V. Phát hiện và ngăn chặn xâm nhập (IDS/IPS – Intrusion Detection System/Intrusion
1. Tổng quan về phát hiện và phòng chống xâm nhập IDP (Intrusion Detection
Prevention)
Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel.
Bạn đang xem: Công nghệ chống xâm nhập (Intrusion prevention)
Lịch sử phát triển của các hệ thống IDP
Phát hiện xâm nhập (Intrusion Detection) là quá trình giám sát các sự kiện xảy ra trong một hệ thống máy tính hoặc một hệ thống mạng, và phân tích chúng để tìm ra các dấu hiệu của sự xâm nhập hoặc dấu hiệu về khả năng hệ thống bị xâm nhập.
Phòng chống xâm nhập (Intrusion Prevention) là hành vi của hệ thống tự động ngăn chặn các xâm nhập trái phép, có khả năng gây hại cho hệ thống.
Một hệ thống tự động phát hiện và phòng chống xâm nhập được gọi là IDP (Intrusion Detection Prevention).
Các vị trí đặt IDS trong mạng
Các dấu hiệu của hành vi xâm nhập trái phép được định nghĩa là việc thực hiện các hành động bất hợp pháp hoặc vượt qua những cơ chế bảo mật của máy tính hay của mạng. Các vụ xâm nhập có thể là do kẻ tấn công truy cập vào hệ thống từ Internet, do những người dùng hợp pháp của hệ thống muốn đạt được sự truy cập vào các đặc quyền mà họ không được phép, và do những người dùng hợp pháp lạm dụng đặc quyền của họ. Các hệ thống phát hiện xâm nhập là các sản phẩm phần cứng hoặc phần mềm trợ giúp quá trình giám sát và phân tích xâm nhập.
Các chức năng chính của một hệ thống IDP:
- Ghi lại nhật ký (log) của các hành vi bị theo dõi: các thông tin về các hành vi bị theo dõi có thể được lưu lại trong hệ thống IDP hoặc được gửi về trung tâm theo dõi an ninh hoặc hệ thống quản trị.
- Đưa ra cảnh báo với quản trị hệ thống về các hành vi nguy hiểm bị theo dõi. Các cảnh báo này có thể được gửi tới quản trị viên bằng email, hộp thoại trong hệ thống IDP hoặc tin nhắn. Các cảnh báo này thường ở dạng ngắn gọn và quản trị viên phải truy nhập vào hệ thống IDP để nhận được nhiều thông tin hơn.
- Tạo báo cáo: các hành vi tấn công và xâm nhập sẽ được phân loại và thể hiện trong báo cáo, các hành động ngăn chặn tương ứng của hệ thống cũng sẽ được phân loại và đưa vào trong báo cáo này.
- Ngăn chặn nguồn tấn công: hệ thống có thể tự động ngăn chặn nguồn tấn công bằng cách ngắt kết nối với mạng được sử dụng để tấn công, khoá việc truy cập tới mục tiêu của nguồn tấn công căn cứ trên tài khoản truy nhập, địa chỉ truy nhập hoặc một số thuộc tính của nguồn tấn công.
- Thay đổi môi trường an ninh: hệ thống có thể cấu hình lại môi trường an ninh để chống lại tấn công bằng cách cấu hình lại các thiết bị mạng (Router, Switch, Firewall, …), thậm chí có những hệ thống IDP có thể tự động vá lỗ hổng bảo mật cho
- Vô hiệu hoá nội dung tấn công: hệ thống IDP có thể thay đổi một phần của đoạn mã tấn công để làm vô hiệu chúng hoặc xoá bỏ một phần đính kèm để tấn công không còn nguy hiểm nữa (ví dụ như hệ thống IDP có thể xoá các file đính kèm độc hại trong email và sau đó vẫn cho phép email được gửi tới người nhận).
Có một số phương pháp khác nhau trong việc phân tích các sự kiện để phát hiện các vụ tấn công: phát hiện dựa trên các dấu hiệu và phát hiện sự bất thường. Các sản phẩm IDP có thể sử dụng một trong các cách hoặc sử dụng kết hợp:
- Phát hiện dựa trên dấu hiệu của tấn công: các dấu hiệu của hành vi tấn công xâm nhập được thống kê các đặc trưng và lưu lại, hệ thống sẽ thu thập các thông tin của các truy nhập và so sánh với các mẫu dấu hiệu đặc trưng về tấn công đã được lưu trữ trong hệ thống để xác định hành vi này là nguy hiểm hay không.
- Phát hiện sự bất thường: các hoạt động bình thường của hệ thống sẽ được ghi nhận và lưu lại thành một hồ sơ theo dõi, nếu có bất kỳ một hành động nào không bình thường, hệ thống sẽ theo dõi, phân tích để cảnh báo.
- Phát hiện dựa trên phân tích trạng thái của giao thức: là quá trình phân tích các hành vi của giao thức được sử dụng trên cơ sở biết được các định nghĩa về các hoạt động hợp lệ của giao thức để nhận ra các hành vi tấn công.
Intrusion Detection - Tính năng phát hiện xâm nhập đây là tính năng phát hiện đối tượng xâm nhập vào trong một khu vực đã quy định trên khung hình video ngay tại thời điểm đó hoặc trong một khoảng thời gian nhất định, hệ thống giám sát sẽ phát hiện và kích hoạt báo động hoặc hành động theo quy định được thiết lập từ trước như chụp hình, gửi email kèm hình ảnh, lập mốc thời gian, kích hoạt ngõ ra báo động, cảnh bảo trên phần mềm điện thoại. Tình năng phát hiện xâm nhập (Intrusion Detection) thường bị báo động giả do không xác định được đối tượng cụ thể, nhưng ngày với kỹ thuật tiến bộ về thuật toán đã giúp cho hệ thống giám sát giảm bớt báo động giả và phát hiện đối tượng củ thể chính xác theo từng yêu cầu.
Ống kính là thấu kính và tiêu cự của thấu kính trên camera quyết định việc nhìn thấy xa hay gần, rộng hay hẹp như thế nào đối với hình…
Lux là đơn vị tính công suất ánh sáng, lượng ánh sáng chiếu trên một bề mặt cụ thể. Đơn vị của độ nhạy sáng là LUX, trong môi trường…
Các thiết bị Hikvision đều được hỗ trợ cập nhật firmware thông qua trình duyệt, phần mềm (như i
VMS-4200, Batch Config). Riêng đầu ghi hình còn hỗ trợ cập nhật…
Zero Channel là tính năng gộp nhiều kênh video(mỗi camera là 1 kênh) và tạo thành một kênh duy nhất nhầm tiết kiệm băng thông.
Xem thêm: Cách thêm dấu phẩy vào dãy số trong excel cực nhanh, hiện hoặc ẩn dấu phân cách hàng nghìn
Transcoded Stream - Tính năng thay đổi cấu hình luồng gốc để hỗ trợ xem trực tuyến: Các đầu ghi hình mạng NVR, hay camera IP đều tích hợp tính…
Lux là đơn vị tính công suất ánh sáng, lượng ánh sáng chiếu trên một bề mặt cụ thể. Đơn vị của độ nhạy sáng là LUX, trong môi trường…
Các thiết bị Hikvision đều được hỗ trợ cập nhật firmware thông qua trình duyệt, phần mềm (như i
VMS-4200, Batch Config). Riêng đầu ghi hình còn hỗ trợ cập nhật…
"Hi
DDNS" (www.hik-online.com), Hik-Connect (www.hik-connect.com) là một Dịch vụ tên miền động do Hikvision cung cấp miễn phí cho khách hàng của để truy cập từ xa trong vài năm qua.
ANR là tính năng đặc biệt trên đầu ghi NVR ( Network Video Recorder ) với tính năng này hệ thống có thể tự động lưu trữ dữ liệu trên…
HLC(High Light Compensation) là công nghệ sử dụng những tấm nền đen che trực tiếp vào những vùng chói sáng mạnh trên camera, làm cho camera không bị chói tổng…
Multi IP Address Mode - Chế độ đa địa chỉ IP của đầu ghi hình NVR đây là tính năng mạng với các Đầu Ghi Hình NVR có nhiều hơn…
● Giờ mở cửa
Thứ 2 - Chủ nhật: Từ 7h45 đến 21h30
● Bảo hànhThời gian nhận và trả thiết bị bảo hành
Từ 08h00 đến 21h30 hằng ngày
Trung tâm bảo hành chính hãng ● Chấp nhận thanh toán● Văn Phòng Đại Diện ● BẠN CÓ THẮC MẮC ?