Bài giảng môn an toàn mạng Intruders and Viruses
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (536.33 KB, 34 trang )
Network Security
Intruders and Viruses
Intruders
Khái niệm: Các đối tượng (người dùng/phần
mềm) xâm nhập vào hệ thống mà không được
phép, không được chào đón bởi người quản lý
hệ thống.
Phân loại Intruders
Giả mạo – Người dùng bất hợp pháp từ bên
ngoài xâm nhập vào hệ thống, và lợi dụng
các quyền của một người dùng hợp pháp.
Lạm quyền – Người dùng hợp pháp, nhưng
sử dụng quyền hạn vượt quá phạm vi cho
phép.
Người dùng lén lút – Chiếm quyền điều khiển
giám sát để tránh khỏi sự kiểm soát và điều
khiển truy cập.
Các dạng Intruders
Khám phá hệ thống– Không có ý định
phá hoại
Phá hoại – Trẻ tuổi, hành động nông
nổi, thiếu kiến thức, nhiều thời gian rỗi.
Types Of Hackers
Tội phạm chuyên nghiệp – Crackers –
chuyên nghề xâm nhập hệ thống trái
phép, ăn cắp, bán thông tin (thường là
gián điệp hoặc tội phạm có tổ chức)
Types Of Hackers
Chuyên gia viết mã virus – Người có kiến
thức cao về lập trình, viết mã. Nhóm người
này có 1 khu vực để thí nghiệm virus gọi là
Zoos, sau đó thả virus ra mạng Internet.
Intruders
Attack Sophistication vs.
Intruder Technical
Knowledge
High
Low
1980 1985 1990 1995
2000
Intruder
Knowledge
Attack
Sophistication
Cross site scripting
password guessing
self-replicating code
password cracking
exploiting known vulnerabilities
disabling audits
back doors
hijacking
sessions
sweepers
sniffers
packet spoofing
GUI
automated probes/scans
denial of service
www attacks
Tools
“stealth” / advanced
scanning
techniques
burglaries
network mgmt. diagnostics
distributed
attack tools
Staged
Auto
Coordinated
Source: Carnegie Mellon University
Intrusion Detection
Mục đích
•
Phát hiện nhanh – Tối thiểu hóa thiệt hại
và khôi phục nhanh.
•
Ngăn chặn – Hệ thống phát hiện xâm
nhập hiệu quả có thể giúp ngăn chặn các
xâm nhập.
•
Thu thập thông tin về các kỹ thuật xâm
nhập – tăng khả năng ngăn chặn.
Phát hiện xâm nhập
Giả thiết cơ bản:
Hành vi
của kẻ xâm nhập trái phép có
sự khác biệt so với người dùng hợp
pháp và có thể phát hiện được sự khác
biệt này.
Intruder & Authorized User Behavior
Sai tích c cự – ng i dùng h p ườ ợ
pháp b nh m là k xâm nh p trái ị ầ ẻ ậ
phép
Sai tiêu c cự – k xâm nh p không ẻ ậ
b phát hi nị ệ
Phát hiện kẻ xâm nhập
Cần phân biệt giữa kẻ giả mạo và người
dùng hợp pháp
Quan sát các dữ liệu lịch sử (quá khứ)
Thiết lập các mẫu hành vi
Quan sát các độ lệch quan trọng trong
hành vi
Hai phương pháp tiếp cận
Phát hiện bất thường theo thống kê
Thu thập dữ liệu về hành vi của người dùng
hợp pháp trong 1 khoảng thời gian
Định kỳ quan sát các hành vi và xác định các
hành vi trái phép:
Dựa vào ngưỡng: Tần suất xuất hiện của
các sự kiện nhất định.
Dựa trên tiểu sử: Tiểu sử hoạt động của
người dùng và phát hiện ra sự thay đổi.
Two Approaches:
Phát hiện dựa trên luật
Xây dựng một hệ thống luật xác định hành vi
xác định là hành vi của kẻ xâm nhập
Phát hiện bất thường: Các luật được xây
dựng để phát hiện sự sai khác trong các
mẫu hành vi trước đó
Nhận diện xâm nhập: Hệ chuyên gia tìm
kiếm các hành vi đáng ngờ.
Bản ghi kiểm soát
Công cụ chủ yếu để phát hiện xâm nhập
Bản ghi kiểm soát tự nhiên
Thông tin kiểm soát được thu thập cho các hoạt
động khác.
Không tốn thêm tài nguyên thu thập, nhưng
thông tin đôi khi hỗn loạn và không cần thiết.
Bản ghi kiểm soát có mục đích để phát hiện
Chỉ được sử dụng bởi các hệ thống phát hiện xâm
nhập
Tốn thêm tài nguyên thực hiện
Subject, action, object, exception condition,
resource usage, timestamp
Statistical Anomaly Categories
Threshold detection
Counting the
number of occurrences
of a specific event
type over an
interval of time
Generate either a lot of false positives or a lot of false
negatives
Profile-based systems
Characterizing the
past behavior
of individual users or
related groups of users and then
detecting significant
deviations
A profile is a
set of parameters
Foundation
of this approach is an analysis of
audit records
Records over time
define typical behavior.
Current audit
records
are used to detect intrusion
Statistical Anomaly Detection
Various tests determine whether current activity
fits within acceptable limits
Mean & standard deviation – crude for intrusion
detection
Multivariate – correlation determines intruder
behavior
Markov process – establish transition probabilities
among various states
Time series – focus on time intervals
Operational model – exceeding fixed limits
Prior knowledge of security flaws is not required
Measures Used For Intrusion Detection
Rule-Based Detection
Observe events in the system and apply
a set of rules that decide if activity is
suspicious or not
Approaches focus on either:
Anomaly detection
Penetration identification
Rule-Based Anomaly
Detection
Similar in terms of approach and strengths to
statistical anomaly detection
Automatically generate rules by analyzing
historical audit records to identify usage patterns
Assume the future will look like the past and
apply rules to current behavior
Does not require a knowledge of security
vulnerabilities
Requires a rather large database of rules (10
4
to
10
6
)
Rule-Based Penetration Identification
Based on expert system technology
Uses rules for identifying known penetrations or
ones that exploit known weaknesses – suspicion
rating
Rules generated by experts and system specific
Strength is a function of the skills of the rule
makers – hire a hacker
Early systems: NIDX, IDES, Haystack – late 80’s
Best approach is a high level model that is
independent of specific audit records
USTAT, a state transition model, deals with
general actions and reduces the number of rules
Distributed Intrusion Detection
Scalability Issues
Too much overhead for standalone IDS
on each host
Heterogeneous environment – different
audit records
Need IDS across the network
Centralized vs decentralized issues
Distributed Intrusion
Detection
Distributed Intrusion
Detection
Host agent module – background process
collects data and sends results to the central
manager
LAN monitor agent module – analyzes LAN traffic
and sends results to the central manager
Central manager module – processes and
correlates received reports to detect intrusion
Agent Architecture
Machine Independent
