TỔNG QUAN VỀ IPS/IDS -

Hệ thống dò tìm sự xâm nhập (IDS): IDS có khả năng dò tìm hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền.

Hệ thống dò tìm sự xâm nhập (IPS): IPS có khả năng dò tìm, ngăn chặn hành vi nghi ngờ, hành động bất thường và truy cập vào tài nguyên mà không được quyền

Để nhận biết sự vi phạm, bất thường hệ thống cần các cơ chế để thực hiện phân tích và đánh giá.

1.1. Dựa vào chữ ký (Signature-Based)

Quan sát và gửi cảnh báo nếu sự vi phạm xảy ra (hình 1.1):

• Yêu cầu cơ sở dữ liệu được xây dựng dựa vào sự nhận diện những vi phạm hoặc cuộc tấn công được trước đó.
• Cơ sở dữ liệu này cần được cập nhật thường xuyên, để đảm bảo khả năng nhận diện được những cuộc tấn công mới

1.2. Dựa vào sự bất thường

Quan sát và gửi cảnh báo khi có hành vi bất thường xảy ra. Có hai loại hành vi được xem là bất thường:

• Thống kê (statistical): Lưu lượng dữ liệu sẽ được xây dựng dựa theo ngưỡng, ngưỡng này sẽ được dùng để so sánh với lưu lượng vượt mức trong một khoảng thời gian ngắn (do vấn đề về Worm), nếu vượt quá mức ngưỡng được qui định thì IPS/IDS sẽ cho rằng hệ thống mạng đang ở trạng thái bất thường (hình 1.2).

 

 

• Không thống kê (nonstatistical): Sự bất thường sẽ được nhận biết dựa vào những việc không tuân theo chuẩn qui định của giao thức so với RFC. Ví dụ gói http, FTP, SNMP... chứa những phương thức, dòng lệnh không được định nghĩa với RFC, đây là sự bất thường về mặt giao thức (hình 1.3, 1.4).

 

 

 

 

2. NHỮNG DẠNG CẢNH BÁO

2.1. Cảnh báo sai

• False Positive: Những loại dữ liệu thông thường cũng có thể là nguyên nhân chữ ký được kích hoạt hoặc những vi phạm nhưng mức độ ảnh hưởng không đáng kể. Việc kích hoạt chữ ký trong trường hợp này có thể là không cần thiết.
• False Negative: Chữ ký sẽ không được kích hoạt cho dù có sự vi phạm thực sự được tạo ra. Trường hợp này có thể do nguyên nhân bởi thiết bị hoặc chữ ký xây dựng không tốt.

2.2. Cảnh báo đúng

• True Positive: Chữ ký sẽ được kích hoạt khi sự vi phạm thực sự được phát hiện, đây là hành động mong muốn bởi người quản trị
• True Negative: Chữ ký sẽ không được kích hoạt khi không có sự vi phạm, những dữ liệu bình thuờng, những vi phạm mà mức độ ảnh hưởng không đáng kể cũng không là nguyên nhân chữ ký được kích hoạt.

 

NATURE

Một Signature là tập hợp những luật, mà cảm biến (sensor) của bạn dùng để dò tìm những hoạt động xâm nhập, bộ cảm biến hỗ trợ ba loại Signature:

• Signature mặc định: Là những dấu hiệu tấn công được nhận biết mà đã tích hợp sẵn trong phần mềm cảm biến.
• Signature được điều chỉnh: Là những Signature được xây dựng sẵn nhưng đã được tùy chỉnh bởi người dùng.
• Signature tùy biến: Những Signature mới được tạo bởi người dùng.

3.1. Signature Engine

Là một thành phần của bộ cảm biến hỗ trợ một tập hợp được phân loại các Signature. Mỗi Signature của Cisco IPS được điều khiển bởi một Signature Engine được thiết kế để phân tích và kiểm tra một dữ liệu cụ thể. Mỗi engine có một tập hợp các tham số hợp lệ mà có một tập hợp các giá trị.

Những tham số có thể cấu hình cho phép bạn điều chỉnh Signature để làm việc tối ưu trong hệ thống mạng và để tạo Signature mới duy nhất cho môi trường mạng của bạn.

3.2. Cảnh báo

Mặc định, bộ cảm biến tạo ra cảnh báo khi một Signature được kích hoạt, bạn vẫn có thể tắt thiết lập mà tạo cảnh báo. Cảnh báo sẽ được lưu trong bộ lưu trữ sự kiện (Event Store) của thiết bị IPS/IDS.

Thiết bị hay ứng dụng giám sát bên ngoài có thể lấy những cảnh báo này từ bộ cảm biến qua SDEE, nhiều nguồn bên ngoài có thể lấy cảnh báo đồng thời. Cảnh báo có những mức bảo mật:

• Thông tin (Informational);
• Thấp (Low);
• Trung bình (Medium);
• Cao (High).

Mức nghiêm trọng (severity) của cảnh báo được sinh ra từ mức nghiêm trọng của Signature mà tạo ra cảnh báo.

4. TỔNG QUAN VỀ HỆ THỐNG ĐÁNH GIÁ RỦI RO

Đánh giá rủi ro (risk rating) chỉ liên quan đến cảnh báo được tạo, không liên quan đến Signature. Nó dựa trên một vài thành phần để tính toán, trong đó một số có thể được cấu hình, được tập hợp do quá trình phân tích hay được sinh ra từ những tham số cụ thể.

Những thành phần chính ảnh hưởng đến kết quả của quá trình tính toán độ rủi ro.

4.1. Đánh giá mức độ nghiêm trọng của cuộc tấn công

Đánh giá mức độ nghiêm trọng của cuộc tấn công (Attack Severity Rating) được cấu hình trên từng Signature và cho biết sự kiện được phân tích có mức độ nguy hiểm như thế nào. Nó không cho biết mức độ chính xác của sự kiện được phân tích. Được thể hiện bởi 4 mức:

• Thông tin (25);
• Thấp (50);
• Trung bình (75);
• Cao (100).

4.2. Đánh giá mức quan trọng hệ thống đích

Đánh giá mức quan trọng hệ thống đích (Target Value Rating) được cấu hình trong Event Action Rules, dùng để đánh giá sự quan trọng, giá trị của thiết bị (dựa vào địa chỉ) trong hệ thống của bạn. Được thể hiện bởi 5 mức:

• Mức 0 (50);
• Thấp (75);
• Trung bình (100);
• Cao (150);
• Quan trọng (200).

Mặc định là mức trung bình.

4.3. Đánh giá mức tin cậy của Signature

Đánh giá mức tin cậy của Signature (Signature Fidelity Rating) được cấu hình trên từng Signature, giá trị hợp lệ từ 0 ÷ 100. Nó cho biết mức độ chính xác của sự kiện được phân tích hay những điều kiện mô tả của Signature chính xác như thế nào. Giá trị này không cho biết mức độ tác động của cuộc tấn công.

4.4. Đánh giá mức độ liên quan của cuộc tấn công

Đánh giá mức độ liên quan của cuộc tấn công (Attack Relevancy Rating)  của bất kỳ hệ điều hành nào thì được xem xét ở thời điểm cảnh báo được tạo.

Mỗi cuộc tấn công sẽ ảnh hưởng đến một hoặc nhiều hệ điều hành nhất định, việc đánh giá hệ điều hành bị ảnh hưởng của cuộc tấn công sẽ cho biết mức độ rủi ro thực sự của cuộc tấn công. Giá trị được sinh ra và không được cấu hình. Thể hiện bởi ba giá trị:

• Liên quan (Relevant (10));
• Không biết (Unknow (0));
• Không liên quan (Not Relevant (-10)).

Có thể cấu hình trên từng Signature để cho biết mức độ liên quan đến hệ điều hành.