Hệ thống phát hiện xâm nhập IDS là gì

Hệ thống phát hiện xâm nhập IDS là thiết bị hoặc ứng dụng phần mềm có nhiệm vụ giám sát lưu lượng mạng, các hành vi đáng ngờ và cảnh báo cho người quản trị hệ thống. Mục đích của IDS là phát hiện và ngăn ngừa các hành động phá hoại bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như dò tìm, scan port.

IDS cũng có thể phân biệt giữa những cuộc tấn công nội bộ (từ chính nhân viên hoặc khách hàng trong tổ chức) và tấn công bên ngoài (từ hacker). Trong một số trường hợp, IDS có thể phản ứng lại với các lưu lượng bất thường/độc hại bằng cách chặn người dùng hoặc địa chỉ IP nguồn truy cập mạng.

1. Chức năng hệ thống phát hiện xâm nhập IDS

• Giám sát lưu lượng mạng và các hoạt động khả nghi.
• Cảnh báo về tình trạng mạng cho hệ thống và nhà quản trị.
• Kết hợp với các hệ thống giám sát, tường lửa, diệt virus tạo thành một hệ thống bảo mật hoàn chỉnh.

2. Phân loại IDS

• NIDS: Network Intrusion Detection Systems được đặt tại một điểm chiến lược hoặc những điểm giám sát traffic đến và đi từ tất cả các thiết bị trên mạng. Lý tưởng nhất là bạn có thể quét tất cả traffic inbound và outbound, nhưng việc này có thể tạo ra nút thắt cổ chai làm giảm tốc độ chung của mạng.
• HIDS: Host Intrusion Detection Systems, hệ thống phát hiện xâm nhập này chạy trên máy chủ riêng hoặc một thiết bị đặc biệt trên mạng. HIDS chỉ giám sát các gói dữ liệu inbound và outbound từ thiết bị và cảnh báo người dùng hoặc quản trị viên về những hoạt động đáng ngờ được phát hiện.
• Signature-Based: Là các IDS hoạt động dựa trên chữ ký, giám sát các gói tin trên mạng và so sánh chúng với cơ sở dữ liệu chữ ký, thuộc tính từ những mối đe dọa đã biết, tương tự như cách phần mềm diệt virus hoạt động. Vấn đề đối với hệ thống IDS này là có thể không phát hiện ra mối đe dọa mới, khi chữ ký để nhận biết nó chưa được IDS kịp cập nhật.
• Anomaly-Based: IDS này sẽ phát hiện mối đe dọa dựa trên sự bất thường. Nó giám sát traffic mạng và so sánh với baseline đã được thiết lập. Baseline sẽ xác định đâu là mức bình thường của mạng: loại băng thông thường được dùng, giao thức thường dùng, cổng và thiết bị thường kết nối với nhau, cảnh báo cho quản trị viên mạng hoặc người dùng khi phát hiện traffic truy cập bất thường hoặc những khác biệt đáng kể so với baseline.
• Passive: IDS thụ động sẽ chỉ phát hiện và cảnh báo. Khi phát hiện traffic đáng ngờ hoặc độc hại, nó sẽ tạo cảnh báo và gửi đến quản trị viên hoặc người dùng. Việc hành động như nào sau đó tùy thuộc vào người dùng và quản trị viên.
• Reactive: Loại IDS này bên cạnh nhiệm vụ như IDS Passive, nó còn thực hiện những hành động được thiết lập sẵn để ngay lập tức phản ứng lại các mối đe dọa, ví như: chặn truy cập, khóa IP.

3. Ưu điểm, hạn chế của hệ thống phát hiện xâm nhập IDS

Ưu điểm:

• Cung cấp một cách nhìn toàn diện về toàn bộ lưu lượng mạng.
• Giúp kiểm tra các sự cố xảy ra với hệ thống mạng.
• Sử dụng để thu thập bằng chứng cho điều tra và ứng cứu sự cố.

Hạn chế:

• Có thể gây ra tình trạng báo động nhầm nếu cấu hình không hợp lý.
• Khả năng phân tích lưu lượng bị mã hóa tương đối thấp.
• Chi phí triển khai và vận hành hệ thống tương đối lớn .

4. Hệ thống rule của IDS

Tập rule là thành phần quan trọng nhất của một hệ thống phát hiện xâm nhập. Đây là tập sẽ định ra dấu hiệu (mẫu) để so sánh, đói chiếu với dữ liệu ở đầu vào. Thông thường, bộ nguyên tắc bao gồm rất nhiều rule , mỗi rule sẽ gồm 2 thành phần cơ bản: Rule Header và Rule Options.

Rule header gồm các thông tin sau:

• Rule Action: Cho biết các hoạt động sẽ được thực thi khi “khớp” luật (alert, log, pass, active, dynamic, drop…).
• Protocol: Cho biết giao thức sẽ kiểm tra (TCP, UDP, ICMP, IP…)
• IP address: Cho biết thông tin về địa chỉ ip.
• Port number: Cho biết thông tin về cổng.
• Direction: Cho biết hướng của dữ liệu mà được so khớp.

Rule options gồm 4 danh mục:

• General: cung cấp thông tin chung về luật (msg, reference, rev, classtype…).
• Payload: Tìm kiếm nội dung payload của gói tin (content, offset, depth, distance, within…).
• Non-payload: Tìm kiếm nội dung non-payload của gói tin (ttl, ack, tos, id, dsize…).
• Post-detection: cung cấp các phương pháp thực thi kế tiếp(logto, session, tag…).

Bạn có thể tham khảo thêm nhiều bài viết về WAF tại đây

P.A Việt Nam giúp các bạn lựa chon chứng chỉ SSL phù hợp với nhu cầu
https://www.pavietnam.vn/vn/tu-van-ssl.html
Tham khảo chứng chỉ số SSL của các hãng bảo mật nổi tiếng
Sectigo – Comodo
Geotrust
Digicert

Tham khảo các ưu đãi: https://www.pavietnam.vn/vn/tin-khuyen-mai/