Bài giảng môn An toàn cơ sở dữ liệu: Chương 4 - Nguyễn Phương Tâm

Chương 4 đề cập đến vấn đề phát hiện xâm nhập cơ sở dữ liệu trái phép. Nội dung chương này giới thiệu một số công cụ phát hiện xâm nhập trái phép, trình bày hướng tiếp cận dựa vào các hệ chuyên gia, trình bày các xu hướng chung trong việc phát hiệnxâm nhập.
Nội dung trích xuất từ tài liệu:
Bài giảng môn An toàn cơ sở dữ liệu: Chương 4 - Nguyễn Phương TâmChương 4.PHÁT HIỆN XÂM NHẬPCƠ SỞ DỮ LIỆU TRÁI PHÉP GV: Nguyễn Phương Tâm MỤC TIÊUGiới thiệu một số công cụ phát hiện xâm nhập trái phépTrình bày hướng tiếp cận dựa vào các hệ chuyên giaTrình bày các xu hướng chung trong việc phát hiện xâm nhậpTrường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 2/81 NỘI DUNG 4.1 Giới thiệu 4.2 Các công cụ tự động phát hiện xâm nhập 4.3 Hướng tiếp cận dựa vào hệ chuyên gia 4.4 Kiểm toán trong các hệ thống quản trị CSDL tin cậy 4.5 Các xu hướng chung trong phát hiện xâm nhậpTrường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 3/81 4.1 GIỚI THIỆU Mục đích của các biện pháp phát hiện xâm nhập máy tính là phát hiện ra các loại xâm phạm an toàn cơ bản như:  Xâm phạm tính toàn vẹn.  Từ chối dịch vụ.  Truy nhập trái phép.Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 4/81 4.1 GIỚI THIỆU Khó khăn: nảy sinh một số vấn đề làm hạn chế hiệu quả của các biện pháp phát hiện xâm nhập này, như:  Người sử dụng áp dụng các biện pháp này chưa đúng  Các kiểm soát an toàn làm giảm hiệu năng của hệ thống.  Những người sử dụng hợp pháp có thể lạm dụng quyền của mình bằng những điểm yếu mà các biện pháp phát hiện xâm nhập chưa phát hiện ra.Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 5/81 4.1 GIỚI THIỆU Phát hiện xâm nhập là gì?  Phát hiện xâm nhập là khả năng nhận dạng xâm nhập do các cá nhân gây ra, bao gồm: những người sử dụng hệ thống bất hợp pháp (“tội phạm máy tính” - hacker) và những người sử dụng hợp pháp nhưng lại lạm dụng các đặc quyền của mình (“đe doạ bên trong”).Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 6/81 4.1 GIỚI THIỆU Ví dụ:  Sửa đổi trái phép các tập tin để có thể truy nhập vào dữ liệu.  Truy nhập hoặc sửa đổi trái phép các tập tin người sử dụng và thông tin.  Sửa đổi trái phép các bảng của hệ thống (chẳng hạn như sửa đổi các bảng định tuyến để chối bỏ sử dụng mạng).  Tạo ra các account trái phép hoặc sử dụng trái phép các account hiện có.Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 7/81 4.1 GIỚI THIỆU Mô hình phát hiện xâm nhập: Khả năng phát hiện xâm nhập máy tính phụ thuộc vào sự xuất hiện của một mô hình phát hiện xâm nhập. Hiện nay có hai kiểu mô hình phát hiện xâm nhập được các hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) áp dụng là:  Mô hình phát hiện tình trạng bất thường (Anomaly detection models)  Mô hình phát hiện sự lạm dụng (Misuse detection models)Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 8/81 4.1 GIỚI THIỆU Mô hình phát hiện tình trạng bất thường: Các mô hình này cho phép so sánh profile (trong đó có lưu các hành vi bình thường của một người sử dụng) một cách có thống kê với các tham số trong phiên làm việc của người sử dụng hiện tại. Các sai lệch đáng kể so với hành vi bình thường sẽ được hệ thống IDS báo cáo lại cho chuyên gia an ninh, các sai lệch được đo bằng một ngưỡng (do mô hình xác định hoặc chuyên gia an ninh đặt ra).Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 9/81 4.1 GIỚI THIỆU Mô hình phát hiện sự lạm dụng: Mô hình này trợ giúp việc so sánh các tham số trong phiên làm việc của người sử dụng với các mẫu tấn công đã có, được lưu trong hệ thống.Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 10/81 4.1 GIỚI THIỆU Cơ chế làm việc dựa vào kiểm toán: Các IDS kiểm soát hành vi của người sử dụng trong hệ thống bằng cách theo dõi các yêu cầu mà người sử dụng thực hiện và ghi chúng vào một vết kiểm toán thích hợp. Sau đó phân tích vết kiểm toán này để phát hiện dấu hiệu đáng nghi của các yêu cầu đó.Trường CĐ CNTT HN Việt Hàn Nguyễn Phương Tâm 11/81 4.1 GIỚI THIỆU Nhược điểm:  Các kiểm soá ...