Câu 5: Khái niệm hành vi xâm nhập hệ thống trái phép, phân loại kẻ xâm nhập (Intruder) theo biện pháp xâm nhập, phân loại Intruder theo hành vi.

Khái niệm hành vi xâm nhập hệ thống trái phép: là hành vi xâm nhập vào hệ thống mà mình không được phép truy nhập vào, không được chào đón bởi hệ thống.

·Phân loại kẻ xâm nhập theo biện pháp xâm nhập:

oGiả mạo: người dùng bất hợp pháp từ bên ngoài xâm nhập vào hệ thống và lợi dụng quyền của một người dùng hợp pháp. (xâm nhập từ bên ngoài)

oLạm quyền: người dùng hợp pháp, nhưng sử dụng quyền hạn vượt quá phạm vi cho phép (xâm nhập từ bên trong)

oNgười dùng lén lút: chiếm quyền điều khiển giám sát để tránh khỏi sự kiểm soát và điều khiển truy nhập (thường sử dụng đối với hệ quản trị cơ sở dữ liệu không tốt) (xâm nhập từ bên trong hoặc bên ngoài)

·Phân loại kẻ xâm nhập theo hành vi:

oKhám phá hệ thống: không có ý định phá hoại, chỉ xâm nhập vào (thử xem khả năng của mình có thể xâm nhập vào được không ^^)

oPhá hoại: xâm nhập hệ thống và thực hiện các hành vi phá hoại hệ thống (thường là những kẻ trẻ tuổi, hành động nông nổi, thiếu kiến thức, nhiều thời gian rảnh rỗi)

2)Phát hiện xâm nhập: Mục đích, giả thiết cơ bản trong phát hiện xâm nhập, hai phương pháp tiếp cận trong phát hiện xâm nhập (dựa trên thống kê và dựa trên luật).

·Mục đích:

oPhát hiện nhanh: để tối thiểu hóa thiệt hại và khôi phục hoạt động bình thường cho hệ thống một cách nhanh chóng.

oNgăn chặn: hệ thống phát hiện xâm nhập có hiệu quả có thể giúp ngăn chặn các xâm nhập

oThu thập thông tin về các kỹ thuật xâm nhập để tăng khả năng ngăn chặn

·Giả thiết cơ bản trong phát hiện hành vi xâm nhập là: hành vi của kẻ xâm nhập trái phép có sự khác biệt so với người dùng hợp pháp và có thể phát hiện được sự khác biệt này. Có thể tiến hành như sau:

oPhân biệt giữa kẻ giả mạo và người dùng hợp pháp

oQuan sát các dữ liệu lịch sử

oThiết lập các mẫu hình vi

oQuan sát các độ lệch quan trọng trong hành vi

·2 phương pháp tiếp cận trong phát hiện xâm nhập

oPhát hiện bất thường theo thống kê:

§thu thập dữ liệu về hành vi của người dùng hợp pháp trong một khoảng thời gian

§định kỳ theo dõi các hành vi và xác định hành vi trái phép:

·dựa vào ngưỡng: tần suất xuất hiện của các sự kiện nhất định

oĐếm số lần xuất hiện của một kiểu sự kiện nhất định trong một khoảng thời gian

oTạo ra cả lỗi tích cực (người dùng thực sự bị coi là kẻ thâm nhập)và lỗi tiêu cực (kẻ xâm nhập trái phép thực nhưng lại không bị coi là kẻ xâm nhập trái phép)

·dựa trên tiểu sử: từ hồ sơ của hoạt động người dùng, phát hiện ra các thay đổi

omô tả hành vi quá khứ của các cá nhân người dùng hoặc các nhóm người dùng có liên quan và sau đó phát hiện ra những sự chênh lệch đáng kể

oTiểu sử là một tập các tham số

oNền tảng của các tiếp cận này là việc phân tích các bản ghi kiểm soát

oCác bản ghi qua thời gian định nghĩa hành vi điển hình. Bản ghi kiểm soát hiện thời được dùng để phát hiện sự xâm nhập

§Không cần hiểu biết trước về khe hở bảo mật

§cách này thì phát hiện thành công với kẻ xâm nhập giả mạo, còn với kẻ xâm nhập vượt quyền thì khó phát hiện hơn.

oPhát hiện dựa trên luật

§quan sát các sự kiện trong hệ thống và áp dụng tập các quy tắc xem hành động có đáng ngờ hay không

§xây dựng một hệ thống luật xác định hành vi kẻ xâm nhập

·phát hiện bất thường: phát hiện sự sai khác trong các mẫu hành vi trước đó

otự động sinh ra các luật bằng việc phân tích các bản ghikiểm soát lịch sử để xác định các kiểu sử dụng

ogiả sử tương lai sẽ giống như quá khứ và áp dụng các luật vào hành vi hiện tại

okhông yêu cầu kiến thức về những điểm yếu trong bảo mật

ocần một cơ sở dữ liệu của các luật lớn (10^4 -> 10^6)

·nhận diện xâm nhập: hệ chuyên gia tìm kiếm các hành vi đáng ngờ.

osử dụng các luật để nhận diện những xâm nhập đã biết hoặc những xâm nhập còn đang nghi ngờ

oluật được tạo ra bởi các chuyên gia và đặc trưng hệ thống

§đây là cách tốt hơn so với phát hiện bất thường theo thống kê để phát hiện xâm nhập

3) Hệ phát hiện xâm nhập phân tán

·Phát hiện truy nhập phân tán:

oHost agent module: quy trình nền thu thập dữ liệu và gửi kết quả tới máy quản lý tập trung

oLan monitor agent module: phân tích lưu lượng giao thông trong mạng Lan và gửi kết quả đến máy quản lý tập trung

oCentral manager module: xử lý và phối hợp các báo cáo nhận được để phát hiện xâm nhập

Honeypots:

oLà các hệ thống giăng bẫy

oNhử mồi kẻ tấn công vào những hệ thống quan trọng

oThu thập thông tin về kẻ tấn công

oGiữ kẻ tấn công lại đủ lâu để có thể phản ứng được

Trình bày về virus máy tính và các chương trình mã độc:

Khái niệm, phân loại các chương trình mã độc. Phân biệt virus, sâu (worm), zombie.

-Trình bày cấu trúc chung của một virus, kỹ thuật tránh phát hiện bằng việc nén chương trình chủ.

-Các loại virus (file virus, virus boot sector, virus đa hình, virus macro). Kỹ thuật giải mã họ virus để phát hiện và diệt các virus đa hình.