1 / 41

E-COMMERCE

E-COMMERCE. Intrusion Detection Systems (IDS) Hệ thống phát hiện xâm nhập. Thành viên. Giáo viên hướng dẫn : Lê Thị Kim Tuyến Nhóm 8 : Trần Thị Huỳnh Yến 51004165 Mai Quốc Việt 51003979 Nguyễn Huỳnh Xuân Thắng 51003085. Nội dung. 1. Tại sao phải dùng IDS?.

rosine
Download Presentation

E-COMMERCE

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. E-COMMERCE Intrusion Detection Systems (IDS) Hệ thống phát hiện xâm nhập

  2. Thành viên • Giáo viên hướng dẫn : Lê Thị Kim Tuyến • Nhóm 8: Trần Thị Huỳnh Yến 51004165 Mai Quốc Việt 51003979 Nguyễn Huỳnh Xuân Thắng 51003085

  3. Nội dung

  4. 1. Tại sao phải dùng IDS? • Hacker thay đổi hệ thống và để lại một cửa sau (backdoor) để có thể vào, ra mà không bị phát hiện. • Trojan ẩn mình và thu thập những thông tin nhạy cảm.

  5. 2. IDS là gì? • Hệ thống phát hiện xâm nhập (Intrusion Detection Systems – IDS) là một hệ thống giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống và nhà quản trị.

  6. Question? • Sự khác nhau giữa IDS và firewall?

  7. Hình 2.1 Cấu trúc một IDS

  8. 2.1 NIDS – Network-based IDS • NIDS được đặt tại những điểm chiến lược để giám sát lưu thông đến và đi của tất cả các thiết bị trong mạng.

  9. 2.2 HIDS – Host-based IDS • HIDS giám sát các gói tin vào ra (inbound & outbound packets) chỉ trên các thiết bị và cảnh báo nhà quản trị khi xác định có hoạt động khả nghi. • HIDS giám sát sự thay đổi của các biến: - System Processes - Registry Entries - CPU Usage - File Access and Integrity Checking

  10. Question? • Sự khác nhau giữa HIDS và NIDS?

  11. Question? • Vậy nên chọn NIDS hay HIDS?

  12. 3. IDS hoạt động như thế nào? • IDS là một hệ thống thụ động (passive system) • Hoạt động của IDS: • Kiểm tra mạng giao tiếp. • Xác định mô hình (pattern) và chuẩn đoán (heuristic) của những cuộc tấn công thông thường. • Cảnh báo nhà quản trị

  13. Hình 3.1 Cấu trúc một IDS

  14. 3. IDS hoạt động như thế nào? Kĩ thuật phát hiện (Detection techniques) • 3.1 Statistical anomaly-based : dựa trên thống kê bất thường • 3.2 Signature-based : dựa trên dấu hiệu

  15. 3.1 Statistical anomaly-based • Giám sát lưu thông mạng và so sánh với đường cơ bản (baseline). • Đánh giá dựa trên: - bandwidths - protocols - ports & devices

  16. 3.2 Signature-based • Giám sát những gói tin (packets) trên mạng và so sánh chúng với một cơ sở dữ liệu của chữ kí (signatures) và thuộc tính (attributes) đã được biết đến. → chỉ phát hiện được những dạng đã biết và được cập nhật vào IDS.

  17. 4. Hạn chế của IDS là gì?

  18. 4.1 Địa chỉ nguồn • Địachỉmạngđượcliênkếtvớicácgói tin IP gửivàomạng. • Địachịcókhảnăngbịlàmgiả. • Khôngcókhảnăngngănchặnxâmnhậpvàomạngđangdiễnra.

  19. 4.2 Mã hóa gói tin

  20. 4.3 Báo động sai • Trênmạng, các IDS thườngtạoracácbáođộngsai. • Cần đào tạo chuyên gia. • Các chi phí đào tạo là bất lợi.

  21. 5. Ứng dụng của IDS? • Snort : một NIDS mã nguồn mở, gồm các thành phần: • Packet Decoder • Preprocessors • Detection Engine • Logging and Alerting System • Output Modules

  22. 5. Ứng dụng của IDS? Signature : “scripts/iisadmin” → hacker chỉnh sửa: “scripts/./iisadmin” “scripts/examples/../iisadmin” “scripts\iisadmin” “scripts/.\iisadmin”

  23. 6. Làm sao tấn công khi có IDS? • Denial of service (DoS) • Là kiểu tấn công mạng làm cho hệ thống không thể sử dụng, hoặc làm cho hệ thống bị chậm bằng cách làm quá tải tài nguyên của hệ thống • Nếu kẻ tấn công không có khả năng xâm nhập được vào hệ thống thì chúng cố làm cho hệ thống bị sụp đổ

  24. 6. Làm sao tấn công khi có IDS? • Mục đích của DoS • Làm ngắt kết nối giữa hai máy và ngăn chặn quá trình truy cập vào dịch vụ • Ngăn chặn các dịch vụ không cho người khác có khả năng truy cập vào • Chiếm băng thông mạng và làm hệ thống bị ngập khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ cho người dùng

  25. 6. Làm sao tấn công khi có IDS? • Denial of service(DoS): có thể chia thành • Volume Based Attack (UDP floods, ICMP floods) • Protocol Attacks (SYN floods, Ping of death,Smurf…) • Application Layer Attacks (zero-day attacks) • Session Exhaustion

  26. 6. Làm sao tấn công khi có IDS? • Các công cụ để DoS • Jolt2

  27. 6. Làm sao tấn công khi có IDS? • Các công cụ để DoS • Panther2

  28. 6. Làm sao tấn công khi có IDS? • Các công cụ để DoS • Nemesy

  29. 6. Làm sao tấn công khi có IDS? • Các công cụ để DoS • Crazy Pinger

  30. 6. Làm sao tấn công khi có IDS? • Các công cụ để DoS • UDP Flood

  31. 6. Làm sao tấn công khi có IDS? • Các công cụ để DoS • Smurf2k

  32. 6. Làm sao tấn công khi có IDS? • Các công cụ để DoS • Ping of Death ping –t address –l size_packet(max 65536 bytes)

  33. Tham khảo • [1]http://en.wikipedia.org/wiki/Intrusion_detection_system • [2] http://www.windowsecurity.com/articles-tutorials/intrusion_detection/Hids_vs_Nids_Part1.html • [3] http://www.quantrimang.com.vn/he-thong-phat-hien-xam-pham-ids-phan-1-37334 • [4] SANS Institute InfoSec Reading Room, Understanding Intrusion Detection Systems • [5] SANS Institute InfoSec Reading Room, Guide to Intrusion Detection and Prevention System • [6]http://en.wikipedia.org/wiki/Intrusion_detection_system_evasion_techniques

More Related