Khóa luận tốt nghiệp: Xây dựng hệ thống IDS - Snort trên hệ điều hành Linux ppt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (18.88 MB, 152 trang )
B
Ộ
GI
Á
O
D
Ụ
C
V
À
ĐÀO
T
Ạ
O
TR
ƯỜ
NG
ĐẠ
I
H
Ọ
C
HOA
SEN
KHOA
KHOA
H
Ọ
C
V
À
CÔN
G
N
GH
Ệ
Gi
ả
ng
vi
ê
n
h
ướ
ng
d
ẫ
n
:
Nguy
ễ
n
N
g
ọ
c
Nh
ư
H
ằ
ng
Nh
ó
m
s
inh
vi
ê
n
t
h
ự
c
hi
ệ
n
:
Ng
uy
ễ
n
Qu
ỳ
nh
MSSV:
070073
Ph
ù
S
ử
H
ù
n
g
MSSV:
070156
L
ớ
p
:
VT071
T
h
á
ng
12
/
n
ă
m
2010
PHI
Ế
U
GIAO
ĐỀ
T
À
I
KH
Ó
A
LU
Ậ
N
T
Ố
T
NG
HI
Ệ
P
1.
M
ỗ
i
si
nh
vi
ê
n
ph
ả
i
vi
ế
t
ri
ê
n
g
m
ộ
t
b
á
o
c
á
o
2.
Ph
i
ế
u
n
à
y
ph
ả
i
d
á
n
ở
tran
g
đầ
u
ti
ê
n
c
ủ
a
b
á
o
c
á
o
1.
Họ
v
à
t
ê
n
sinh
vi
ê
n
/
nh
ó
m
si
nh
vi
ê
n
đượ
c
gi
ao
đề
t
à
i
(s
ĩ
s
ố
trong
nh
ó
m
:
)
(1)
MSSV:
kh
ó
a:
(2)
MSSV:
kh
ó
a:
(3)
MSSV:
kh
ó
a:
Chuy
ê
n
ng
à
nh:
M
ạ
n
g
m
á
y
t
í
nh
Khoa:
Khoa
H
ọ
c
-
C
ô
ng
Ng
h
ệ
2.
T
ê
n
đề
t
à
i:
X
â
y
d
ự
ng
h
ệ
th
ố
ng
ID
S
–
S
nort
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
L
inux
3.
C
á
c
d
ữ
li
ệ
u
b
a
n
đầ
u:
S
nort
đượ
c
x
â
y
d
ự
n
g
v
ớ
i
m
ụ
c
đí
ch
ph
á
t
hi
ệ
n
x
â
m
nh
ậ
p
v
à
o
h
ệ
th
ố
ng
.
Snort
c
ó
kh
ả
n
ă
ng
ph
á
t
hi
ệ
n
m
ộ
t
s
ố
l
ượ
n
g
l
ớ
n
c
á
c
k
i
ể
u
th
ă
m
d
ò
,
x
â
m
nh
ậ
p
k
h
á
c
nhau
nh
ư
:
buffer
ov
erflo
w,
ICMP,
virus…
Snort
l
à
ph
ầ
n
m
ề
m
open
source
cu
n
g
c
ấ
p
cho
nh
à
qu
ả
n
tr
ị
c
á
c
th
ô
ng
tin
c
ầ
n
thi
ế
t
để
x
ử
l
ý
c
á
c
s
ự
c
ố
k
hi
b
ị
x
â
m
nh
ậ
p
4.
C
á
c
y
ê
u
c
ầ
u
đặ
c
b
i
ệ
t
:
Hi
ể
u
đượ
c
k
h
á
i
ni
ệ
m
,
c
á
ch
ho
ạ
t
độ
ng
c
ủ
a
I
D
S
-
Snort.
C
à
i
đặ
t,
c
ấ
u
h
ì
nh
S
nort
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
Ubuntu.
Ki
ể
m
ch
ứ
ng
k
ế
t
qu
ả
đạ
t
đượ
c
sau
k
hi
c
à
i
đặ
t
th
à
nh
c
ô
ng
5.
K
ế
t
q
u
ả
t
ố
i
t
h
i
ể
u
ph
ả
i
c
ó
:
1.
N
ắ
m
r
õ
k
h
á
i
ni
ệ
m
v
ề
I
D
S
v
à
Sno
rt
2.
C
à
i
đặ
t,
c
ấ
u
h
ì
nh
th
à
nh
c
ô
ng
S
nor
t
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
Ubuntu
3.
4.
Ng
à
y
g
iao
đề
t
à
i:……
/………./………N
g
à
y
n
ộ
p
b
á
o
c
á
o:
……/…………/
H
ọ
t
ê
n
GV
h
ướ
ng
d
ẫ
n
1:
Ng
uy
ễ
n
N
g
ọ
c
Nh
ư
H
ằ
ng
…
….
………Ch
ữ
k
ý
:
H
ọ
t
ê
n
GV
h
ướ
ng
d
ẫ
n
2:
………………….
.
.…………………
Ch
ữ
k
ý
:
Ng
à
y
….
th
á
ng
…
n
ă
m…
T
r
í
c
h
Y
ế
u
I
ntrusio
n
Detection
Syste
m
(
I
D
S)
l
à
h
ệ
th
ố
ng
ph
ò
n
g
ch
ố
n
g
v
à
ph
á
t
hi
ệ
n
x
â
m
nh
ậ
p
th
ô
ng
m
inh
nh
ấ
t
hi
ệ
n
nay.
I
D
S
ph
á
t
hi
ệ
n
nh
ữ
n
g
t
í
n
hi
ệ
u,
bi
ể
u
hi
ệ
n,
h
à
nh
v
i
c
ủ
a
n
g
ườ
i
x
â
m
nh
ậ
p
tr
ướ
c
khi
c
ó
th
ể
g
â
y
thi
ệ
t
h
ạ
i
đế
n
h
ệ
th
ố
ng
m
ạ
n
g
nh
ư
l
à
m
c
ho
d
ị
ch
v
ụ
m
ạ
n
g
ng
ừ
n
g
ho
ạ
t
độ
n
g
hay
m
ấ
t
d
ữ
li
ệ
u.
T
ừ
đó
n
g
ườ
i
qu
ả
n
tr
ị
m
ạ
n
g
c
ó
th
ể
n
g
ă
n
ch
ặ
n
th
ô
n
g
qua
c
á
c
bi
ệ
n
ph
á
p
k
ỹ
thu
ậ
t
k
h
á
c
nhau.
Đề
t
à
i
c
ủ
a
ch
ú
ng
t
ô
i
v
ớ
i
m
ụ
c
ti
ê
u
l
à
x
â
y
đự
n
g
m
ộ
t
h
ệ
th
ố
n
g
S
nort
–
I
D
S
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
Ubuntu,
h
ệ
th
ố
n
g
n
à
y
v
ớ
i
m
ụ
c
đí
ch
p
h
á
t
hi
ệ
n
v
à
ph
ò
n
g
ch
ố
n
g
c
á
c
h
à
nh
độ
n
g
t
ấ
n
c
ô
ng
v
à
th
â
m
nh
ậ
p
trong
m
ạ
n
g.
Do
đó
đề
t
à
i
t
ậ
p
trung
n
g
hi
ê
n
c
ứ
u
v
à
o
ph
ươ
n
g
th
ứ
c
ho
ạ
t
độ
ng
v
à
v
ậ
n
h
à
nh
c
ủ
a
h
ệ
th
ố
n
g
Sn
ort
–
IDS
đồ
n
g
t
h
ờ
i
đư
a
ra
c
á
ch
c
à
i
đặ
t
v
à
thi
ế
t
l
ậ
p
m
ộ
t
h
ệ
th
ố
n
g
ID
S
ho
à
n
ch
ỉ
nh
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
Ubuntu.
B
ê
n
c
ạ
nh
đó
ch
ú
n
g
t
ô
i
đư
a
ra
g
i
ả
i
ph
á
p
nh
ằ
m
t
ă
ng
c
ườ
n
g
kh
ả
n
ă
n
g
ho
ạ
t
độ
ng
v
à
v
ậ
n
h
à
nh
c
ủ
a
h
ệ
th
ố
ng
th
ô
ng
qua
vi
ệ
c
s
ử
d
ụ
n
g
barnyard
để
t
ă
ng
c
ườ
ng
kh
ả
n
ă
n
g
g
hi
l
ạ
i
lo
g
c
ủ
a
h
ệ
th
ố
n
g
v
à
oinkm
a
ster
để
t
ự
độ
ng
li
ê
n
t
ụ
c
c
ậ
p
nh
ậ
t
rule.
Ng
o
à
i
vi
ệ
c
s
ử
d
ụ
n
g
h
ệ
th
ố
n
g
rule
c
ó
s
ẵ
n,
đề
t
à
i
t
ì
m
hi
ể
u
c
á
ch
t
ạ
o
ra
rule
theo
y
ê
u
c
ầ
u
nh
ằ
m
g
i
á
m
s
á
t
v
à
k
i
ể
m
tra
đố
i
v
ớ
i
m
ộ
t
lu
ồ
n
g
th
ô
n
g
tin
c
ụ
th
ể
khi
m
à
h
ệ
th
ố
n
g
rule
c
ủ
a
snort
kh
ô
n
g
th
ể
đá
p
ứ
ng
.
Th
ô
ng
qua
vi
ệ
c
nghi
ê
n
c
ứ
u,
đề
t
à
i
c
ủ
a
ch
ú
n
g
t
ô
i
đư
a
m
ộ
t
c
á
i
nh
ì
n
t
ổ
n
g
quan
v
ề
h
ệ
th
ố
ng
Host-based
ID
S
v
à
Netw
or
k
-based
I
D
S,
v
ề
s
ự
k
h
á
c
v
à
g
i
ố
n
g
nhau
c
ủ
a
hai
h
ệ
th
ố
ng
t
ừ
đó
c
ó
th
ể
ứ
ng
d
ụ
n
g
trong
m
ô
h
ì
nh
m
ạ
ng
th
ự
c
t
ế
.
M
ụ
c
L
ụ
c
Tr
í
ch
Y
ế
u
iv
M
ụ
c
L
ụ
c
v
L
ờ
i
C
ả
m
Ơ
n
v
ii
Nh
ậ
n
X
é
t
C
ủ
a
Ng
ườ
i
H
ướ
ng
D
ẫ
n
v
iii
Nh
ậ
p
Đề
9
1.
Ng
uy
ê
n
L
ý
H
o
ạ
t
Độ
n
g
C
ủ
a
Sno
rt
10
1.1
Qu
á
tr
ì
nh
k
h
ở
i
độ
ng
c
ủ
a
snort
10
1.2
X
ử
l
ý
g
ó
i
tin
trong
snor
t
11
1.3
Detection
Eng
ine
15
1.4
Kh
ả
o
s
á
t
Detection
Eng
ine
18
1.5
S
nort
I
nline
Mode
20
2.
Preprocessor
22
2.1
Preprocessor
frag3
23
2.2
Preprocessor
strea
m
5
25
3.
H
ệ
Th
ố
ng
Rule
Trong
Snort
31
3.1
T
ổ
ng
qua
n
v
ề
rule
trong
snort
31
3.2
C
ấ
u
tr
ú
c
rule
31
3.3
Th
ứ
t
ự
c
á
c
rule
trong
r
ule
base
c
ủ
a
snort
34
3.4
Oinkm
a
ster
34
4.
S
nort
Output
Plu
g
-in
35
4.1
Output
log
v
à
alert
v
ớ
i
t
ố
c
độ
nha
nh
35
4.2
Output
log
v
à
alert
v
à
o
database
38
4.3
Output
log
v
à
alert
v
à
o
Unix
syslog
38
4.4
Output
log
v
à
alert
v
à
o
m
ộ
t
f
ile
c
ụ
th
ể
39
4.5
Output
log
v
à
alert
v
à
o
file
C
S
V
40
4.6
Output
log
v
à
alert
ra
nhi
ề
u
d
ạ
ng
kh
á
c
nhau
41
5.
Networ
k
-Based
v
à
Host-Based
I
D
S
41
5.1
Nework
-
Based
ID
S
41
5.2
Host-Based
I
D
S
43
5.3
Tri
ể
n
Khai
I
D
S
T
rong
M
ạ
n
g
44
6.
C
á
c
H
ì
nh
Th
ứ
c
Khai
Th
á
c
V
à
T
ấ
n
C
ô
ng
H
ệ
T
h
ố
ng
Ph
ổ
Bi
ế
n
47
6.1
Port
sc
an
47
6.2
DOS
(Denial
of
S
er
v
ices)
50
6.3
A
RP
Spoofin
g
53
7.
C
à
i
Đ
ặ
t
S
nort
54
7.1
M
ộ
t
s
ố
t
ù
y
c
h
ọ
n
k
hi
bi
ê
n
d
ị
ch
snort
54
7.2
C
ấ
u
tr
ú
c
database
c
ủ
a
snort
55
7.3
C
à
i
đặ
t
S
nort
v
ớ
i
S
nort
Report
(S
in
gle
S
nort
Sensor)
56
7.4
C
à
i
đặ
t
S
nort
v
ớ
i
BAS
E
(S
in
gle
S
nort
S
ensor)
62
7.5
C
à
i
đặ
t
snort
v
ớ
i
BAS
E
(Multiple
S
nort
S
ensors)
72
7.6
C
à
i
đặ
t
S
nort
inline
81
8.
L
ab
Ki
ể
m
Tra
Ho
ạ
t
Độ
ng
C
ủ
a
S
nort
91
8.1
Rule
để
k
i
ể
m
tr
a
ho
ạ
t
độ
ng
c
ủ
a
snort
91
8.2
Rule
ph
á
t
hi
ệ
n
truy
c
ậ
p
web
92
8.3
Ph
á
t
hi
ệ
n
portscan
trong
S
nort
93
8.4
Ph
á
t
hi
ệ
n
DOS
v
ớ
i
snort
94
8.5
Ph
á
t
hi
ệ
n
A
RP
attac
k
96
K
ế
t
L
u
ậ
n
101
T
à
i
L
i
ệ
u
Tha
m
Kh
ả
o
102
L
ờ
i
C
ả
m
Ơ
n
Ch
ú
ng
t
ô
i
xin
ch
â
n
th
à
nh
c
ả
m
ơ
n
c
ô
Ng
uy
ễ
n
Ng
ọ
c
Nh
ư
H
ằ
n
g
-
g
i
ả
n
g
vi
ê
n
tr
ự
c
ti
ế
p
h
ướ
ng
d
ẫ
n
nh
ó
m
ch
ú
n
g
t
ô
i
th
ự
c
hi
ệ
n
kh
ó
a
lu
ậ
n
t
ố
t
n
g
hi
ệ
p
n
à
y
n
à
y,
đã
t
ậ
n
t
ì
nh
h
ướ
n
g
d
ẫ
n
v
à
h
ỗ
tr
ợ
v
à
g
i
ú
p
ch
ú
n
g
t
ô
i
g
i
ả
i
quy
ế
t
kh
ó
kh
ă
n
trong
qu
á
tr
ì
n
h
n
g
hi
ê
n
c
ứ
u
đề
t
à
i
n
à
y.
Ch
ú
ng
t
ô
i
ch
â
n
th
à
nh
c
ả
m
ơ
n
s
ự
nhi
ệ
t
t
ì
nh
c
ủ
a
c
ô
,
c
ô
đã
g
i
ú
p
ch
ú
ng
t
ô
i
g
i
ả
i
đá
p
nh
ữ
n
g
th
ắ
c
m
ắ
c
c
ũ
n
g
nh
ư
cung
c
ấ
p
nh
ữ
n
g
t
à
i
li
ệ
u
c
ầ
n
thi
ế
t
cho
qu
á
tr
ì
nh
n
g
hi
ê
n
c
ứ
u
đề
t
à
i
c
ủ
a
ch
ú
ng
t
ô
i.
M
ộ
t
l
ầ
n
n
ữ
a
xin
c
h
â
n
th
à
n
h
c
ả
m
ơ
n
c
ô
.
Ch
ú
ng
t
ô
i
xin
g
ử
i
l
ờ
i
c
ả
m
ơ
n
đế
n
nh
ữ
n
g
g
i
ả
n
g
vi
ê
n
c
ủ
a
n
g
à
nh
M
ạ
n
g
M
á
y
T
í
nh
tr
ườ
n
g
đạ
i
h
ọ
c
Hoa
S
en
đã
t
ậ
n
t
ì
nh
g
i
ả
n
g
d
ạ
y
v
à
t
ạ
o
đ
i
ề
u
k
i
ệ
n
cho
ch
ú
n
g
t
ô
i
h
ọ
c
t
ậ
p,
nghi
ê
n
c
ứ
u.
Để
t
ừ
đó
ch
ú
n
g
t
ô
i
c
ó
đượ
c
m
ộ
t
n
ề
n
t
ả
ng
k
i
ế
n
th
ứ
c
v
ữ
n
g
ch
ắ
c
l
à
m
ti
ề
n
đề
g
i
ú
p
cho
ch
ú
ng
t
ô
i
th
ự
c
hi
ệ
n
t
ố
t
đề
t
à
i
t
ố
t
nghi
ệ
p
c
ủ
a
m
ì
nh.
vii
X
â
y
d
ự
ng
h
ệ
th
ố
n
g
I
D
S
–
S
nort
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
L
inux
NH
Ậ
N
X
É
T
C
Ủ
A
NG
ƯỜ
I
H
Ư
Ớ
NG
D
Ẫ
N
Ng
ườ
i
hướng
d
ẫ
n
k
ý
t
ê
n
viii
X
â
y
d
ự
ng
h
ệ
th
ố
n
g
I
D
S
–
S
nort
tr
ê
n
h
ệ
đ
i
ề
u
h
à
nh
L
inux
Nh
ậ
p
Đề
Kh
á
i
ni
ệ
m
t
ấ
n
c
ô
n
g
m
ộ
t
m
á
y
t
í
nh
b
ằ
n
g
vi
ệ
c
t
á
c
độ
ng
tr
ự
c
ti
ế
p
v
à
o
m
á
y
đó
đã
tr
ở
th
à
nh
qu
á
k
h
ứ
k
hi
m
à
n
g
à
y
nay
con
ng
ườ
i
c
ó
th
ể
truy
c
ậ
p
v
à
o
m
ộ
t
m
á
y
ch
ủ
ở
c
á
ch
xa
m
ì
nh
n
ử
a
v
ò
n
g
tr
á
i
đấ
t
để
l
ấ
y
th
ô
n
g
tin
web
site,
m
ail…
Hack
er
c
ũ
n
g
l
à
m
nh
ữ
n
g
c
ô
n
g
vi
ệ
c
t
ươ
ng
t
ự
nh
ư
n
g
h
ọ
t
ậ
n
d
ụ
n
g
nh
ữ
n
g
l
ỗ
h
ỏ
ng
c
ủ
a
h
ệ
th
ố
n
g
nh
ằ
m
chi
ế
m
quy
ề
n
s
ử
d
ụ
ng
hay
n
g
ă
n
ch
ặ
n
s
ự
truy
c
ậ
p
c
ủ
a
ng
ườ
i
d
ù
ng
k
h
á
c
v
à
o
h
ệ
th
ố
ng
đó
.
Nh
ằ
m
n
g
ă
n
ch
ặ
n
nh
ữ
n
g
truy
nh
ậ
p
tr
á
i
ph
é
p
v
à
o
h
ệ
th
ố
n
g
n
g
ườ
i
ta
s
ử
d
ụ
ng
nh
ữ
n
g
thi
ế
t
b
ị
b
ả
o
m
ậ
t
nh
ư
Fire
wall
hay
c
á
c
thu
ậ
t
t
o
á
n
m
ã
h
ó
a.
Th
ế
nh
ư
n
g
đố
i
v
ớ
i
nh
ữ
n
g
m
á
y
ch
ủ
ch
ạ
y
nh
ữ
n
g
d
ị
ch
v
ụ
nh
ư
web,
m
ail
t
h
ì
nh
ữ
n
g
c
ô
n
g
c
ụ
b
ả
o
m
ậ
t
n
à
y
v
ẫ
n
ch
ư
a
ho
à
n
h
ả
o
v
ì
đâ
y
l
à
nh
ữ
n
g
m
á
y
ch
ủ
đượ
c
m
ọ
i
n
g
ườ
i
t
ừ
b
ê
n
n
g
o
à
i
truy
c
ậ
p
(publi
c
server).
Hack
er
s
ẽ
lợi
d
ụ
ng
ch
í
nh
nh
ữ
n
g
d
ị
ch
v
ụ
n
à
y
để
t
ấ
n
c
ô
ng
v
à
o
h
ệ
th
ố
ng
.
Đ
i
ề
u
đó
l
à
ng
uy
ê
n
nh
â
n
d
ẫ
n
đế
n
s
ự
c
ầ
n
thi
ế
t
s
ử
d
ụ
ng
c
ô
n
g
c
ụ
I
D
S
(
I
ntrus
ion
Detection
S
yste
m)
v
ớ
i
m
ụ
c
đí
ch
l
à
d
ò
t
ì
m
v
à
n
g
hi
ê
n
c
ứ
u
c
á
c
h
à
nh
vi
b
ấ
t
t
h
ườ
n
g
v
à
t
h
á
i
độ
c
ủ
a
ng
ườ
i
s
ử
d
ụ
n
g
trong
m
ạ
n
g,
ph
á
t
hi
ệ
n
ra
c
á
c
h
à
nh
v
i
l
ạ
m
d
ụ
n
g
đặ
c
quy
ề
n
để
g
i
á
m
s
á
t
h
ệ
th
ố
ng
m
ạ
n
g.
1.
Ngu
y
ê
n
L
ý
H
o
ạ
t
Đ
ộ
n
g
C
ủ
a
S
no
rt
1.1
Qu
á
t
r
ì
nh
kh
ở
i
đ
ộ
n
g
c
ủ
a
snort
Qu
á
tr
ì
nh
k
h
ở
i
độ
ng
c
ủ
a
snort
chia
l
à
m
3
g
iai
đ
o
ạ
n
C
á
c
đố
i
s
ố
c
ủ
a
comm
an
d-line
đượ
c
ph
â
n
t
í
ch
để
x
á
c
đị
nh
ch
ế
độ
ch
ạ
y
c
ủ
a
snort
v
à
thi
ế
t
l
ậ
p
c
á
c
bi
ế
n
m
ô
i
tr
ườ
ng
.
File
c
ấ
u
h
ì
nh
đượ
c
x
ử
l
ý
,
tr
on
g
file
n
à
y
ch
ứ
a
c
á
c
th
ô
n
g
tin
c
ấ
u
h
ì
nh
v
ề
rule,
preprocessor,
output
plug
-in…
S
au
k
hi
th
ô
n
g
tin
c
ấ
u
h
ì
nh
đượ
c
đọ
c,
snort
b
ắ
t
đầ
u
thi
ế
t
l
ậ
p
detection
engine,
c
á
cth
ư
v
i
ệ
n
pcap…
1.1.1
Tr
ì
nh
c
omm
a
nd-li
n
e
c
ủ
a
snort
Comm
a
nd
line
c
ủ
a
snor
t
r
ấ
t
linh
ho
ạ
t
v
à
c
ó
nhi
ề
u
option
cho
ph
é
p
n
g
ườ
i
d
ù
n
g
thi
ế
t
l
ậ
p
v
à
c
ấ
u
h
ì
nh
th
ô
n
g
qua
co
mm
and
line
.
Đ
i
ề
u
n
à
y
cho
ph
é
p
ng
ườ
i
d
ù
n
g
c
ó
th
ể
thay
đổ
i
c
ấ
u
h
ì
nh
c
ấ
u
h
ì
nh
c
ủ
a
snort
m
à
kh
ô
ng
c
ầ
n
ph
ả
i
thay
đổ
i
file
c
ấ
u
h
ì
nh.
Đồ
ng
th
ờ
i
c
ó
th
ể
cho
ph
é
p
nhi
ề
u
ti
ế
n
tr
ì
nh
s
nort
chia
s
ẽ
v
ớ
i
nhau
m
ộ
t
file
c
ấ
u
h
ì
nh.
Để
xem
c
á
c
comm
and
line
option
trong
snort
đượ
c
x
ử
l
ý
th
ế
n
à
o
ng
ườ
i
d
ù
n
g
c
ó
th
ể
xe
m
h
à
m
P
arse
CmdLine
trong
file
sn
ort.c.
Đồ
ng
th
ờ
i
qua
đó
n
g
ườ
i
d
ù
n
g
c
ũ
ng
c
ó
th
ể
t
ạ
o
th
ê
m
c
á
c
option
t
ù
y
theo
ý
m
u
ố
n.
T
ừ
phi
ê
n
b
ả
n
2.6
snort
đã
c
ó
h
ơ
n
40
comm
and
line
options.
1.1.2
X
ử
l
ý
f
ile
c
ấ
u
h
ì
nh
File
c
ấ
u
h
ì
nh
ch
ứ
a
c
á
c
th
ô
n
g
s
ố
c
ấ
u
h
ì
nh
cho
snort,
m
ộ
t
s
ố
th
ô
n
g
s
ố
c
ấ
u
h
ì
nh
s
ẽ
kh
ô
n
g
đ
ượ
c
h
ỗ
tr
ợ
th
ô
ng
q
ua
co
mm
and
lin
e.
C
á
c
th
ô
ng
s
ố
n
à
y
bao
g
ồ
m
c
á
c
lo
ạ
ig
i
á
tr
ị
c
ấ
u
h
ì
nh,
preprosessor,
c
á
c
ch
ỉ
d
ẫ
n
cho
output,
rule
v
à
c
á
c
th
ô
n
g
s
ố
k
h
á
c.
File
c
ấ
u
h
ì
nh
c
ủ
a
snort
đượ
c
đị
nh
d
ạ
ng
theo
t
ừ
n
g
d
ò
ng
v
à
đượ
c
ph
â
n
t
í
ch
v
à
ch
ạ
y theo
t
ừ
ng
d
ò
n
g
m
ộ
t.
S
nort
đọ
c
to
à
n
b
ộ
c
á
c
line
v
à
ph
â
n
t
í
ch
t
ừ
ng
line
nh
ư
l
à
m
ộ
t
đố
i
t
ượ
n
g
ri
ê
n
g
bi
ệ
t.
Để
th
ự
c
hi
ệ
n
vi
ệ
c
ph
â
n
t
í
ch
c
á
c
rule
snort
s
ử
d
ụ
n
g
h
à
m
P
arseRules
F
ile
trong
file
pa
rser.c
.
Để
ph
â
n
t
í
ch
c
á
c
th
à
nh
ph
ầ
n
c
ò
n
l
ạ
i
trong
fil
e
c
ấ
u
h
ì
nh
snort
t
í
ch
h
ợ
p
code
d
ù
n
g
cho
v
i
ệ
c
ph
â
n
t
í
ch
cho
preprocessor,
dectect
ion
option,
v
à
c
á
c
output
plug
-in
v
à
o
trong
c
á
c
m
odule
đó
.
1.1.3
Ph
â
n
t
í
c
h
c
á
c
r
u
le
M
ỗ
i
rule
trong
sno
rt
bao
g
ồ
m
2
ph
ầ
n:
header
v
à
c
á
c
option.
Header
c
ủ
a
rule
d
ù
n
g
để
ph
â
n
bi
ệ
t
lo
ạ
i
r
ule
(alert,
log
,
pass…),
pr
oto
col,
source
v
à
destination
I
P,
source
v
à
destinatio
n
port
m
à
rule
đ
an
g
d
ù
n
g.
Ph
ầ
n
Option
c
ủ
a
rule
ch
ứ
a
nhi
ề
u
lo
ạ
i
option
k
h
á
c
n
hau
quy
đị
nh
c
á
c
th
ô
n
g
tin
v
ề
rule
v
à
k
h
á
c
detect
option
nh
ư
sid
(snort
identifier),
m
essa
g
e…Khi
rule
đượ
c
ph
â
n
t
í
ch
snort
s
ẽ
ti
ế
n
h
à
nh
x
â
y
d
ự
n
g
t
ấ
t
c
ả
c
á
c
rule
theo
d
ạ
ng
c
â
y.
Ph
ầ
n
header
c
ủ
a
rule
d
ù
ng
để
t
ạ
o
th
à
nh
rule
tree
node
(RTN)
v
à
ph
ầ
n
o
ption
s
ẽ
t
ạ
o
th
à
nh
opti
on
tree
node
(OTN).
M
ộ
t
ph
ầ
n
c
ủ
a
OTN
s
ẽ
bao
g
ồ
m
c
á
c
dection
o
ption.
T
ấ
t
c
ả
c
á
c
OTN
t
ươ
n
g
ứ
n
g
v
ớ
i
m
ộ
t
header
s
ẽ
đượ
c
nh
ó
m
l
ạ
i
d
ướ
i
c
ù
ng
m
ộ
t
RTN.
1.2
X
ử
l
ý
g
ó
i
t
i
n
trong
snort
S
nort
b
ắ
t
đầ
u
v
ớ
i
v
i
ệ
c
ti
ế
p
nh
ậ
n
g
ó
i
tin.
S
au
k
hi
g
ó
i
tin
đượ
c
snort
ti
ế
p
nh
ậ
n,
c
á
c g
ó
i
tin
l
ú
c
n
à
y
đượ
c
chuy
ể
n
v
à
o
pack
et
decoder.
S
au
khi
đượ
c
dec
ode,
g
ó
i
tin
s
ẽ
đượ
c
chuy
ể
n
v
à
o
preprocessor
đ
ể
ti
ê
u
chu
ẩ
n
h
ó
a
g
ó
i
tin,
ph
â
n
t
í
ch,
ph
â
n
t
í
ch
th
ố
ng
k
ê
v
à
ph
á
t
hi
ệ
n
c
á
c
protocol
b
ấ
t
th
ườ
ng
.
Ti
ế
p
theo
đó
g
ó
i
tin
s
ẽ
đ
ượ
c
chuy
ể
n
v
à
o
detect
ion
e
ng
ine
để
đố
i
c
hi
ế
u
k
i
ể
m
t
ra
v
ớ
i
rulebase
trong
snort.
Cu
ố
i
c
ù
ng
g
ó
i
tin
đượ
c
g
ử
i
v
à
o
c
á
c
ouput
plug-in
để
log
in
g
v
à
c
ả
nh
b
á
o.
1.2.1
Ti
ế
p
nh
ậ
n
g
ó
i
t
i
n
L
ú
c
b
ắ
t
đầ
u,
snort
ti
ế
n
h
à
nh
th
ự
c
hi
ệ
n
ch
ứ
c
n
ă
ng
pac
k
et
processin
g
c
ủ
a
n
ó
.
S
nort
đ
i
v
à
o
ch
ế
độ
sniffin
g
m
ode
b
ằ
n
g
c
á
ch
s
ử
d
ụ
ng
h
à
m
I
nterfaceThread
trong
file
snort.c.
H
à
m
n
à
y
k
h
ở
i
độ
n
g
libpcap
để
l
ấ
y
c
á
c
g
ó
i
tin
t
ừ
interface.
L
ibpcap
l
à
m
ộ
t
th
ư
v
i
ệ
n
h
ỗ
tr
ợ
nhi
ề
u
n
ề
n
t
ả
ng
k
h
á
c
nhau
v
à
c
ho
ph
é
p
ti
ế
p
nh
ậ
n
t
ấ
t
c
ả
c
á
c
g
ó
i
tin tr
ự
c
ti
ế
p
t
ừ
interface.
L
ibpcap
g
i
ú
p
cung
c
ấ
p
nh
ữ
n
g
th
ô
n
g
tin
c
ơ
b
ả
n
sau
đâ
y
cho
m
ỗ
i
g
ó
i
tin:
Th
ờ
i
g
ian
m
à
g
ó
i
tin
đượ
c
b
ắ
t
t
ừ
interface
t
í
nh
đế
n
ph
ầ
n
tr
ă
m
g
i
â
y
Chi
ề
u
d
à
i
g
ó
i
tin
S
ố
byte
c
ủ
a
pack
et
đã
b
ắ
t
đượ
c
L
in
k
type
c
ủ
a
pac
k
et
(Ethernet,
Point
to
Point…)
Con
tr
ỏ
đế
n
n
ộ
i
dung
c
ủ
a
g
ó
i
tin
Ch
ứ
c
n
ă
ng
x
ử
l
ý
g
ó
i
tin
c
ủ
a
snort
đượ
c
th
ự
c
hi
ệ
n
qua
nhi
ề
u
g
iai
đ
o
ạ
n
k
h
á
c
nhau.
Đầ
u
ti
ê
n
snor
t
g
ọ
i
lib
pcap
b
ằ
n
g
h
à
m
pcap_dis
patch
để
x
ử
l
ý
t
ấ
t
c
ả
c
á
c
g
ó
i
tin
đ
an
g
ch
ờ
.
V
ớ
i
m
ỗ
i
g
ó
i
tin
libpcap
g
ọ
i
h
à
m
P
cap
P
r
ocessP
a
cket
trong
file
snort.c
để
x
ử
l
ý
g
ó
i
tin.
H
à
m
n
à
y
k
h
ở
i
t
ạ
o
l
ạ
i
g
i
á
tr
ị
count
er
v
à
s
ố
li
ệ
u
c
ủ
a
t
ừ
n
g
g
ó
i
tin
v
à
g
ọ
i
h
à
m
Process
P
acket
trong
file
snort.c.
H
à
m
P
r
ocessP
a
cket
x
ử
l
ý
t
ấ
t
c
ả
c
á
c
chi
ti
ế
t
c
ủ
a
c
ô
ng
vi
ệ
c
decode
g
ó
i
tin,
xu
ấ
t
g
ó
i
tin
ra
m
à
n
h
ì
nh
(n
ế
u
ch
ạ
y
ở
ch
ế
v
erbose
m
ode),
g
ọ
i
h
à
m
lo
gg
in
g
pa
c
k
et
(n
ế
u
ch
ạ
y
ở
log
mode)
v
à
g
ọ
i
c
á
c
preprocesso
r
(n
ế
u
ch
ạ
y
ở
I
DS
m
ode).
Khi
ch
ạ
y
snort
ở
ch
ế
độ
inline,
v
ấ
n
đề
l
ú
c
n
à
y
l
à
kh
ô
n
g
c
ó
th
ư
v
i
ệ
n
n
à
o
t
ươ
n
g
đươ
ng
v
ớ
i
libpcap
cho
snort
k
hi
ch
ạ
y
ở
Sniff
er,
Pack
a
g
e
s
v
à
I
ntrusion
Detection
m
ode.Tuy
nhi
ê
n
snort
c
ó
th
ể
ti
ế
p
nh
ậ
n
đượ
c
g
ó
i
tin
tr
ự
c
ti
ế
p
t
ừ
iptables
thay
v
ì
t
ừ
libpcap.
Nh
ư
ng
do
snort
ho
ạ
t
độ
ng
tr
ê
n
n
ề
n
t
ả
ng
pcap,
c
á
c
g
ó
i
tin
s
ẽ
đượ
c
chuy
ể
n
th
à
nh
đị
nh
d
ạ
ng
pcap
sau
đó
s
ẽ
g
ọ
i
h
à
m
P
cap
P
rocess
Packet.
Khi
snort
ho
à
n
t
ấ
t
vi
ệ
c
x
ử
l
ý
g
ó
i
tin,
snort
c
ó
th
ể
chuy
ể
n
g
ó
i
tin
đ
i
v
ớ
i
n
ộ
i
dun
g
kh
ô
n
g
thay
đổ
i
ho
ặ
c
c
ó
th
ể
b
ị
thay
đổ
i,
reject
g
ó
i
tin
ho
ặ
c
d
rop
g
ó
i
tin
m
à
kh
ô
n
g
c
ầ
n
ph
ả
n
h
ồ
i
l
ạ
i.
Vi
ệ
c
x
ử
l
ý
g
ó
i
ti
n
c
ủ
a
snort
khi
ch
ạ
y
ở
ch
ế
độ
inline
s
ẽ
th
ự
c
hi
ệ
n
ph
ụ
thu
ộ
c
v
à
o
c
ờ
đượ
c
g
á
n
trong
l
ú
c
snort
x
ử
l
ý
g
ó
i
tin.
N
g
ườ
i
d
ù
n
g
c
ó
th
ể
xe
m
chi
ti
ế
t
ph
ươ
ng
th
ứ
c
x
ử
l
ý
c
ủ
a
snort
inline
trong
f
ile
inline.c
S
nort
ch
ỉ
c
ó
th
ể
c
ó
th
ể
x
ử
l
ý
m
ộ
t
g
ó
i
tin
t
ạ
i
m
ộ
t
th
ờ
i
đ
i
ể
m
.
M
ặ
c
d
ù
pcap
v
à
A
P
I
c
ủ
a
inline
đề
u
c
ó
th
ể
bu
ffer
c
á
c
g
ó
i
ti
n,
n
ế
u
snort
t
ố
n
qu
á
nhi
ề
u
th
ờ
i
g
ian
để
x
ử
l
ý
g
ó
i
tin
trong
buffer
th
ì
c
á
c
g
ó
i
tin
n
à
y
s
ẽ
b
ị
drop.
Khi
g
ó
i
tin
b
ị
drop
snort
s
ẽ
kh
ô
n
g
c
ó
đủ
thong
t
in
c
ầ
n
t
hi
ế
t
để
c
ó
th
ể
ph
á
t
hi
ệ
n
h
à
nh
độ
n
g
t
ấ
n
c
ô
n
g
m
ặ
c
d
ù
ở
ch
ế
độ
inline
dr
op
g
ó
i
tin
th
ì
đồ
n
g
n
g
h
ĩ
a
v
ớ
i
v
i
ệ
c
h
à
nh
độ
n
g
t
ấ
n
c
ô
n
g
c
ũ
n
g
b
ị
dr
op
theo.
Ng
o
à
i
ra
vi
ệ
c
n
à
y
c
ò
n
l
à
m
cho
vi
ệ
c
k
ế
t
n
ố
i
trong
m
ạ
n
g
g
ặ
p
v
ấ
n
đề
v
à
g
i
ả
m
kh
ả
n
ă
n
g
ho
ạ
t
độ
n
g
c
ủ
a
m
ạ
n
g,
đồ
ng
th
ờ
i
l
à
m
cho
preprocessors
(frag3,
strea
m
4,
stream
5
…)
v
ì
c
á
c
preprocessor
n
à
y
ho
ạ
t
độ
n
g
d
ự
a
tr
ê
n
t
h
ô
n
g
tin
thu
th
ậ
p
t
ừ
nhi
ề
u
g
ó
i
tin
k
h
á
c
c
ó
li
ê
n
quan
v
ớ
i
nhau.
V
à
n
ế
u
m
ộ
t
hay
nhi
ề
u
g
ó
i
tin
b
ị
drop
snort
s
ẽ
ti
ế
p
t
ụ
c
ch
ờ
nh
ữ
ng
g
ó
i
tin
b
ị
m
ấ
t
v
à
thi
ế
u,
do
đó
c
á
c
g
ó
i
tin
ti
ế
p
theo
s
ẽ
đượ
c
đư
a
v
à
o
hang
đợ
i.
Trong
qu
á
tr
ì
nh
ch
ờ
đợ
i
nh
ư
v
ậ
y
snort
s
ẽ
ti
ê
u
th
ụ
nhi
ề
u
b
ộ
nh
ớ
v
à
CPU
c
ủ
a
h
ệ
th
ố
ng
.
1.2.2
G
i
ả
i
m
ã
g
ó
i
t
i
n
S
au
k
hi
snort
c
ó
đượ
c
g
ó
i
tin,
g
ó
i
tin
đượ
c
ch
uy
ể
n
qua
cho
c
á
c
decoder
ở
l
ớ
p
tr
ê
n
v
à
vi
ệ
c
g
ó
i
ti
n
đượ
c
chuy
ể
n
cho
decoder
n
à
o
s
ẽ
d
ự
a
v
à
o
lo
ạ
i
lin
k
layer
c
ủ
a
g
ó
i
tin
đó
.
S
nort
h
ỗ
tr
ợ
c
á
c
lo
ạ
i
lin
k
layer
sau:
Et
hernet,
802.11,
T
ok
en
Ri
n
g,
FDD
I
,
Cisco
HDL
C,
SLI
P,
PPP
v
à
Open
B
S
D’s
PF.
Đồ
n
g
th
ờ
i
snort
h
ỗ
tr
ợ
nhi
ề
u
protocol
sau
đâ
y:
I
P,
I
nternet
Control
Messag
e
Protocol
(I
CMP),TCP,
and
User
Datag
ra
m
Protocol
(
UDP).
N
g
ườ
i
d
ù
n
g
c
ó
th
ể
xem
v
ề
c
á
c
decoder
trong
f
ile
decode.c.
S
au
k
hi
m
ộ
t
lin
k
layer
đã
đượ
c
x
á
c
đị
nh
v
à
d
ecoder
đã
đượ
c
ch
ọ
n,
c
á
c
con
tr
ỏ
s
ẽ
đượ
c
d
ù
ng
để
tr
ỏ
đế
n
c
á
c
ph
ầ
n
kh
á
c
nhau
c
ủ
a
g
ó
i
tin.
D
ự
a
v
à
o
th
ô
n
g
tin
dec
ode
đượ
c,
n
ó
s
ẽ
g
ọ
i
ti
ế
p
c
á
c
decoder
cho
nh
ữ
n
g
l
ớ
p
ti
ế
p
theo
cho
đế
n
k
hi
n
à
o
kh
ô
n
g
c
ò
n
decoder
n
à
o
đượ
c
g
ọ
i
n
ữ
a.
Trong
k
hi
dec
ode
snort
s
ẽ
k
i
ể
m
tra
t
í
nh
s
ự
h
ợ
p
l
ệ
c
ủ
a
g
ó
i
tin
t
ạ
i
m
ỗ
i
l
ớ
p
v
à
s
ẽ
x
ế
p
c
á
c
s
ự
ki
ệ
n
n
ế
u
ph
á
t
hi
ệ
n
m
ộ
t
g
ó
i
tin
n
à
o
đó
b
ấ
t
th
ườ
ng
.
Qu
á
tr
ì
nh
gi
ả
i
m
ã
m
ộ
t
g
ó
i
tin
Trong
s
ơ
đồ
tr
ê
n
m
ô
ph
ỏ
n
g
g
ó
i
ti
n
đượ
c
đư
a
v
à
o
decoder
d
à
nh
cho
ethernet,
h
à
m
DecodeEth
P
kt
đ
ượ
c
d
ù
n
g.
S
au
khi
decode
g
ó
i
tin,
th
ô
n
g
tin
v
ề
source
v
à
destination
MA
C
đượ
c
l
à
m
r
õ
v
à
d
ự
a
v
à
o
th
ô
ng
tin
v
ề
l
ớ
p
ti
ế
p
t
heo
(ether_type
)
decoder
ti
ế
p
theo
s
ẽ
đượ
c
g
ọ
i.
Gi
ả
s
ử
trong
tr
ườ
ng
h
ợ
p
g
i
á
tr
ị
c
ủ
a
ether_type
l
ú
c n
à
y
l
à
2048
(ETHER_TYPE_
I
P)
snort
bi
ế
t
đư
ợ
c
l
ớ
p
ti
ế
p
theo
s
ẽ
l
à
I
P
v
à
g
ọ
i
h
à
m
DecodeI
P
.
Quy
tr
ì
nh
s
ẽ
ti
ế
p
t
ụ
c
cho
đế
n
k
hi
kh
ô
n
g
c
ò
n
decoder
n
à
o
đượ
c
g
ọ
i.
Trong
t
r
ườ
n
g
h
ợ
p
g
ó
i
tin
c
ó
l
in
k
type
l
à
Eth
e
rnet
th
ì
g
ó
i
tin
s
ẽ
đ
ượ
c
chuy
ể
n
v
à
o
h
à
m
DecodeEth
P
kt
,
sa
u
đó
h
à
m
n
à
y
s
ẽ
g
ọ
i
DecodeIP
,
ti
ế
p
sau
l
à
DecodeTCP.
S
au
k
hi
decode
c
ấ
u
tr
ú
c
c
ủ
a
m
ộ
t
g
ó
i
tin
s
ẽ
đư
ợ
c
l
à
m
r
õ
,
l
ú
c
n
à
o
g
ó
i
tin
ch
ứ
nhi
ề
u
con
tr
ỏ
k
h
á
c
nhau
tr
ỏ
đế
n
nh
ữ
n
g
ph
ầ
n
k
h
á
c
n
hau
c
ủ
a
g
ó
i
tin,
đ
i
ề
u
n
à
y
cho
ph
é
p
snort
c
ó
th
ể
truy
xu
ấ
t
nhanh
đế
n
nh
ữ
n
g
th
à
nh
ph
ầ
n
trong
g
ó
i
tin.
Con
tr
ỏ
n
à
y
cho
ph
é
p
c
á
c
th
à
nh
ph
ầ
n
c
ủ
a
snort
nh
ư
preprocessor,
detection
engine
v
à
output-plug
i
n
c
ó
th
ự
c
hi
ệ
n
c
ô
ng
v
i
ệ
c
m
ộ
t
c
á
ch
d
ễ
d
à
n
g
sa
u
n
à
y.
Trong
s
ự
ph
á
t
tri
ể
n
v
à
c
ả
i
ti
ế
n
c
ủ
a
snort,
m
ộ
t
s
ố
con
tr
ỏ
đượ
c
th
ê
m
v
à
o
trong
g
ó
i
tin
cho
ph
é
p
c
á
c
th
à
nh
ph
ầ
n
k
h
á
c
nhau
c
ủ
a
s
nort
c
ó
th
ể
th
ô
n
g
tin
cho
nhau.
L
ú
c
n
à
o
trong
c
ấ
u
tr
ú
c
g
ó
i
tin
l
ú
c
n
à
y
s
ẽ
ch
ứ
a
con
tr
ỏ
ch
ỉ
đế
n
TCP
strea
m
tracker,
IP
fragm
ent
trac
k
er
v
à
flow
trac
k
er.
1.2.3
Prep
r
o
ce
ss
o
r
S
au
khi
g
ó
i
tin
đ
ượ
c
decode
n
ó
đ
ượ
c
chuy
ể
n
qua
preprocessor.
Preprocessor
c
ủ
a
snort
đó
n
g
m
ộ
t
vai
tr
ò
r
ấ
t
quan
tr
ọ
n
g
v
ớ
i
n
hi
ề
u
ch
ứ
c
n
ă
n
g
k
h
á
c
nha
u
ph
á
t
h
i
ệ
n
c
á
c
protocol
kh
ô
n
g
h
ợ
p
l
ệ
,
ph
á
t
hi
ệ
n
th
ô
n
g
q
ua
c
á
c
s
ố
li
ệ
u
thu
th
ậ
p
đ
ượ
c
ho
ặ
c
ph
á
t
hi
ệ
n
tr
ự
c
ti
ế
p
m
à
k
h
ô
n
g
c
ầ
n
d
ự
a
v
à
o
rule.
1.3
Detection
En
gine
S
au
khi
đượ
c
x
ử
l
ý
b
ở
i
preprocessor,
g
ó
i
tin
l
ú
c
n
à
o
đượ
c
chuy
ể
n
v
à
o
detection
engine.
Detecti
on
engine
g
i
ố
n
g
nh
ư
m
ộ
t
preprocessor
v
à
n
ó
l
à
preprocessor
đ
ượ
c
s
ử
d
ụ
n
g
cu
ố
i
c
ù
n
g.
Nhi
ệ
m
v
ụ
c
ủ
a
detec
tion
engine
l
à
đá
nh
g
i
á
g
ó
i
tin
d
ự
a
v
à
o
c
á
c
rule
c
ó
s
ẵ
n
trong
snort.
Để
l
à
m
đ
i
ề
u
n
à
y
snort
s
ử
d
ụ
n
g
m
ộ
t
rule
tree
c
ó
n
g
h
ĩ
a
l
à
g
ó
i
tin
đ
ượ
c
so
s
á
nh
d
ự
a
v
à
o
RTN,
n
ế
u
m
ộ
t
RTN
đượ
c
th
ỏ
a
m
ã
n
n
ó
s
ẽ
t
ì
m
ti
ế
p
tro
n
g
c
á
c
danh
s
á
c
h
c
ủ
a
c
á
c
OTN.
Quy
tr
ì
nh
ti
ế
p
t
ụ
c
cho
đế
n
k
hi
snor
t
t
ì
m
đế
n
h
ế
t
rule
tree.
M
ặ
c
d
ù
v
ẫ
n
s
ử
d
ụ
n
g
c
h
ứ
c
n
ă
n
g
t
ì
m
theo
danh
s
á
ch
cho
ch
ứ
c
n
ă
ng
đá
nh
g
i
á
v
à
ph
á
t
hi
ệ
n
c
á
c
g
ó
i
tin.
Nh
ư
n
g
snort
kh
ô
n
g
c
ò
n
d
ù
n
g
c
â
y
c
ủ
a
c
á
c
OTN
n
ữ
a.
Thay
v
à
o
đó
snort
d
ù
n
g
fast
pattern
matcher,
fast
pattern
m
atcher
x
á
c
đị
nh
m
ộ
t
t
ậ
p
h
ợ
p
c
á
c
OTN
v
à
OTN
n
à
o
s
ẽ
đượ
c
đá
nh
g
i
á
.
S
au
đó
s
nort
k
i
ể
m
tra
t
ừ
n
g
OTN
v
à
x
ắ
p
x
ế
p
th
à
nh
m
ộ
t
h
ằ
n
g
đợ
i
g
ồ
m
c
á
c
OTN
đã
k
h
ớ
p
v
ớ
i
n
ộ
i
dung
trong
g
ó
i
tin.
1.3.1
Gh
i
l
og
v
à
c
ả
nh
b
á
o
S
au
khi
t
ấ
t
c
ả
c
á
c
preprocessor
to
à
n
t
ấ
t
c
ô
n
g
vi
ệ
c
c
ủ
a
ch
ú
n
g
v
à
g
ó
i
tin
l
ú
c
n
à
y
đã
đượ
c
đá
nh
g
i
á
b
ở
i
t
ậ
p
c
á
c
rule
th
ô
n
g
qua
detec
tion
e
n
gine.
Sn
ort
b
ắ
t
đầ
u
c
ô
n
g
vi
ệ
c
g
hi
l
ạ
i
lo
g
v
à
đư
a
ra
c
ả
nh
b
á
o.
S
nort
k
h
ô
n
g
đư
a
ra
c
ả
nh
b
á
o
n
gay
l
ậ
p
t
ứ
c
k
hi
g
ó
i
tin
k
h
ớ
p
v
ớ
i
rule
đầ
u
ti
ê
n
trong
t
ậ
p
rule
m
à
s
ẽ
g
hi
l
ạ
i
s
ự
k
i
ệ
n
v
à
c
ả
nh
b
á
o
đó
v
à
o
m
ộ
t
h
à
n
g
đợ
i,
sau
k
hi
g
ó
i
tin
đượ
c
so
s
á
nh
h
ế
t
trong
t
ậ
p
rule,
snort
s
ẽ
đá
nh
g
i
á
xe
m
c
ả
nh
b
á
o
n
à
o
s
ẽ
đượ
c
đư
a
ra.
1.3.2
H
à
n
g
đợ
i
c
á
c
s
ự
k
i
ệ
n
c
ả
nh
b
á
o
Ev
ent
queue
cung
c
ấ
p
2
ch
ứ
c
n
ă
ng
sau:
Kh
ả
n
ă
ng
đ
i
ề
u
khi
ể
n
c
á
c
rule,
rule
n
à
o
s
ẽ
đ
ượ
c
ch
ọ
n
n
ế
u
c
ó
nhi
ề
u
rule
k
h
ớ
p
v
ớ
i
n
ộ
i
dun
g
tr
on
g
g
ó
i
tin
Kh
ả
n
ă
ng
đư
a
ra
nhi
ề
u
c
ả
nh
b
á
o
tr
ê
n
c
ù
ng
m
ộ
t
rule
Ở
nh
ữ
n
g
phi
ê
n
b
ả
n
tr
ướ
c
c
ủ
a
snort,
snort
đư
a
ra
c
ả
nh
b
á
o
n
gay
t
ừ
rule
đầ
u
ti
ê
n
v
à
nh
ữ
n
g
rule
n
à
o
c
ó
độ
ư
u
ti
ê
n
th
ấ
p
s
ẽ
b
ị
b
ỏ
qua.
Ng
ườ
i
d
ù
n
g
c
ó
th
ể
s
ắ
p
x
ế
p
th
ứ
t
ự
c
á
c
rule
s
ẽ
đượ
c
đá
nh
g
i
á
,
nh
ư
ng
đ
i
ề
u
n
à
y
ph
ứ
c
t
ạ
p
v
à
đò
i
h
ỏ
i
ph
ả
i
x
â
y
d
ự
ng
rul
e
l
ạ
i
t
ừ
đầ
u.
V
ớ
i
e
v
ent
queue
t
hay
v
ì
c
ả
nh
b
á
o
ng
ay
t
ừ
rule
đầ
u
ti
ê
n
(ho
ặ
c
decoder
v
à
preprocessor
c
ó
th
ể
đư
a
ra
c
ả
nh
b
á
o)
l
ú
c
n
à
y
c
á
c
s
ự
k
i
ệ
n
s
ẽ
đượ
c
x
ế
p
v
à
o
m
ộ
t
h
à
ng
đợ
i.
S
au
k
hi
h
à
n
g
đợ
i
đã
đầ
y
ho
ặ
c
k
hi
s
nort
đã
ho
à
n
th
à
nh
vi
ệ
c
x
ử
l
ý
h
ế
t
t
ấ
t
c
ả
c
á
c
rule.
N
ó
s
ẽ
k
i
ể
m
tra
e
v
ent
queue
v
à
quy
ế
t
đị
nh
nh
ữ
n
g
c
ả
nh
b
á
o
n
à
o
s
ẽ
đượ
c
đư
a
ra.
Ng
ườ
i
d
ù
ng
c
ó
th
ể
c
ấ
u
h
ì
nh
trong
snort
để
x
ắ
p
x
ế
p
th
ứ
t
ự
c
ả
nh
b
á
o
theo
rule
n
à
o
k
h
ớ
p
nhi
ề
u
nh
ấ
t
v
ớ
i
g
ó
i
tin
ho
ặ
c
theo
th
ứ
t
ự
ư
u
ti
ê
n
c
ủ
a
c
á
c
rule.
N
ế
u
n
g
ườ
i
d
ù
n
g
c
ấ
u
h
ì
nh
s
nort
đư
a
ra
nhi
ề
u
c
ả
nh
b
á
o
tr
ê
n
c
ù
n
g
m
ộ
t
g
ó
i
tin
th
ì
l
ú
c
n
à
y
snort
s
ẽ
ti
ế
n
h
à
nh
k
i
ể
m
tra
h
ế
t
h
à
n
g
đợ
i
ho
ặ
c
cho
đế
n
k
hi
n
ó
đư
a
ra
h
ế
t
s
ố
l
ượ
ng
c
ả
n
h
b
á
o
t
ố
i
đ
a
cho
ph
é
p.
Theo
m
ặ
c
đị
nh
snort
s
ẽ
đư
a
ra
c
ả
nh
b
á
o
t
heo
rule
n
à
o
kh
ớ
p
nhi
ề
u
nh
ấ
t
v
ớ
i
tin
v
à
đư
a
ra
3
c
ả
nh
b
á
o
cho
m
ộ
t
g
ó
i
tin.
Ng
ườ
i
d
ù
n
g
c
ó
th
ể
thay
đổ
i
g
i
á
tr
ị
event_queue
option
trong
file
snort.conf.
1.3.3
Ngưỡ
n
g
đư
a
ra
c
ả
nh
b
á
o
S
au
k
hi
m
ộ
t
quy
ế
t
đị
nh
v
ề
m
ộ
t
c
ả
nh
b
á
o
đượ
c
đư
a
ra,
snort
l
ú
c
n
à
y
s
ẽ
g
ọ
i
output
plug
-in,
tuy
nhi
ê
n
c
ó
2
b
ướ
c
m
à
snor
t
s
ẽ
th
ự
c
hi
ệ
n
tr
ướ
c
k
hi
g
ọ
i
output
plu
g
-in
v
à
xu
ấ
t
ra
m
à
n
h
ì
nh.
Đầ
u
ti
ê
n
l
à
thresholding,
sau
k
hi
quy
ế
t
đị
n
h
v
ề
m
ộ
t
c
ả
nh
b
á
o
đượ
c
đư
a
ra,
dectection
engine
l
ú
c
n
à
y
s
ẽ
g
ọ
i
th
à
nh
ph
ầ
n
thr
esholding
c
ủ
a
dectection
engine.
