IDS – Phần 3: Chức năng và quy trình hoạt động

Posted in An Toàn Mạng by
Premium WordPress Themes

1. Chức năng của IDS:

  • Bảo vệ tính toàn vẹn (integrity) của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu. Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp.
  • Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy nhập thông tin bất hợp pháp.
  • Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửa chữa…

Nói tóm lại có thể tóm tắt IDS như sau:

  • Chức năng quan trọng nhất là: giám sát – cảnh báo – bảo vệ
    • Giám sát: Giám sát lưu lượng mạng các hoạt động bất thường và các hoạt động khả nghi.
    • Cảnh báo:Khi đã biết được các hoạt động bất thường của một (hoặc một nhóm) truy cập nào đó, IDS sẽ đưa ra cảnh báo cho hệ thống và người quản trị.
    • Bảo vệ: Dùng những thiết lập mặc định và những cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại
  •  Chức năng mở rộng:
    • Phân biệt “Thù trong giặc ngoài” : Đây là chức năng rất hay của IDS, nó có thể phân biệt được đâu là những truy cập hợp lệ (không hợp lệ) từ bên trong và đâu là cuộc tấn công từ bên ngoài vào hệ thống.
    • ØPhát hiện : Dựa vào sự so sánh lưu lượng mạng hiện tại với Baseline, IDS có thể phát hiện ra những dấu hiệu bất thường và đưa ra các cảnh báo và bảo vệ ban đầu cho hệ thống.

2.Quy trình hoạt động của IDS

  • Một host tạo ra một gói tin mạng,gói tin này không khác gì so với một gói tin khác đã tồn tại và được gởi từ host khác trong mạng.
  • Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi nó được gửi ra khỏi mạng cục bộ(cảm biến này cần phải được đặt sao cho nó có thể đọc tất cả các gói tin).
  •  Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào có dấu hiệu vi phạm hay không.Khi có dấu hiệu vi phạm thì một cảnh báo sẽ được tạo ra và gửi đến giao diện điều khiển.
  •  Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo cho một người hoặc một nhóm đã được chỉ định từ trước(thông wa email,cửa sổ popup,trang web v.v…).
  • Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.
  • Các cảnh báo được lưu lại để tham khảo trong tương lai(trên địa chỉ cục bộ hoặc trên cơ sở dữ liệu).
  •  Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra.
  •  Cảnh báo được so sánh với các dữ liệu khác để xác định xem đây có phải là cuộc tấn công hay không.

Mô hình hoạt động IDS

Related Posts

About Author

Đinh Chí Thành - Các bạn có thể liên hệ để trao đổi kiến thức, hỏi đáp thắc mắc có liên quan đến chuyên ngành, cuộc sống, việc làm...bằng cách sử dụng chức năng QUESTIONS bên phải nhé! Hoặc gửi liên hệ qua email me@dinhchithanh.com