Tải bản đầy đủ (.docx) (20 trang)

hệ thống phát hiện xâm nhập (ids)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (534.18 KB, 20 trang )

ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH

MỤC LỤC

GVHD: THẦY NGUYỄN HÒA

1


ĐH CƠNG NGHIỆP TP.HCM

ĐỒ ÁN CHUN NGÀNH

LỜI CẢM ƠN.
Tơi xin gửi lời cảm ơn tới thầy Nguyễn Hòa trong khoa Công Nghệ Thông Tin
trường Đại Học Công Nghiệp Thành Phố Hồ Chí Minh hướng dẫn và giúp đỡ tận tình để
tơi thực hiện và hồn thành đồ án chun ngành. Và cũng chân thành cảm ơn các thầy cô
khoa Công Nghệ Thông Tin tạo điều kiện cho tôi thực hiện đồ án này.
Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắc đồ án
này cịn nhiều thiếu sót. Tơi rất mong nhận được những ý kiến đóng góp quý báo từ các
thầy cố và các bạn.I. Giới hạn của đề tài và mục tiêu.
1.1 Giới hạn của đề tài.
IDS không chỉ là cơng cụ phân tích các gói tin trên mạng, từ đó đưa ra các cảnh báo
đến nhà quản trị mạng.
Tơi thực hiện đề tài này với mong muốn có thể tìm hiểu, nghiên cứu những đặc trưng
cơ bản của hệ thống phát hiện và ngăn chặn xâm nhập IDS. Với vai trị là cơng cụ bảo
mật mới bổ sung cho các công cụ hay phần mềm phổ biển để tang mức độ an tồn đối với
hệ thống hiện hành.
IDS có hai phần đó là NIDS (Network Intrusion Detection System) và HIDS (Host


Intrusion Detection System) thì tơi nghiên cứu phần HIDS. HIDS thì tơi giới hạn nghiên
cứu phần Install một phần mềm bên máy client và cài đặt cấu hình Server thì quản trị trên
server có thể phát hiện được.
1.2 Mục tiêu của đề tài
- Nắm về hệ thống phát hiện xâm nhập : khái niệm IDS, các thành phần của IDS, các
mơ hình, ứng dụng IDS phổ biến hiện nay.
- Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng.
- Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập.

GVHD: THẦY NGUYỄN HÒA

2


ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH

- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh
nghiệp.
- Xây dựng demo để mô tả việc Install software của client và dấu hiệu nhận biết từ
server phát sinh từ file logs.

II Phương pháp và môi trường thực hiện.
2.1 Phương pháp.
-

Sử dụng phần mềm mã nguồn mở Ossec để xây dựng hệ thống ngăn chặn xâm

-


nhập.
Xây dựng Ossec server trên hệ điều hành Ubuntu và xây dựng Ossec agen trên hệ
điều hành window xp. Từ đó ta sẽ xây dựng được một hệ thống phát hiện xâm
nhập từ kẻ xâm nhập và gửi cảnh báo tới Server do nhà quản trị giám sát.

2.2 Môi trường thực hiện.
Đề tài này tôi thực hiện trên môi trường Linux, nghĩa là máy server tôi cài Ubuntu
và máy client cài Window Xp. Thực hiện trên hai máy laptop, mơ hình này đại diện
cho nhà quản trị mạng quản trị đứng trên máy server cài Unbuntu và các nhân viên thì
dùng máy Xp đại diện. Khi bất kì máy client (xp) cài bất cứ một phần mềm nào mà
khơng có sự cho phép của quản trị thị họ cũng có thể biết được.

III Nội dung của đề tài.
3.1 Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System)
3.1.1 Khái niệm
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống
phần cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động theo dõi các
sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến
an ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị. Ngoài ra IDS cũng đảm nhận việc

GVHD: THẦY NGUYỄN HÒA

3


ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH


phản ứng lại với các lưu thơng bất thường hay có hại bằng các hành động đã được thiết
lặp trước như khóa người dùng hay địa chỉ ip nguồn đó truy cập hệ thống mạng.
IDS cũng có thể phân biệt giữa những tấn cơng từ bên trong (từ những người trong
công ty), hay tấn cơng bên ngồi (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc
biệt về các nguy cơ đã biết (giống như các phần mềm diệt virus dựa vào các dấu hiệu đặc
biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline
(thông số đo đạc chuẩn của hệ thống ) để tìm ra các dấu hiệu khác thường.
3.1.2 Các thành phần, cấu trúc và chức năng của IDS
3.1.2.1 IDS bao gồm các thành phần chính:
Thành phần thu thập gói tin, thành phần này có nhiệm vụ lấy các gói tin đi đến
mạng. Thơng thường các gói tin có địa chỉ khơng phải của một cart mạng thì sẽ bị cart
mạng đó hủy bỏ nhưng cart mạng của IDS được đặt ở chế độ thu nhận tất cả. Bộ phận thu
thập gói tin sẽ đọc thơng tin của từng trường trong gói tin, xác định chúng thuộc kiểu gói
tin nào, dịch vụ gì…. Các thơng tin này được chuyển đến thành phần phát hiện tấn cơng.
Thành phần phát hiện gói tin, ở thành phần này, các bộ cảm biến đóng vai trò quyết
định. Vai trò của bộ cảm biến là dung để lọc thông tin và loại bỏ những thong tin dữ liệu
khơng tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể
phát hiện được các hành động nghi ngờ.
Thành phần phản hồi, khi có dấu hiệu của sự tấn cơng hoặc thâm nhập, thành phần
phát hiện tấn cơng sẽ gửi tín hiệu báo hiệu (alert) có sự tấn cơng hoặc thâm nhập đến
từng thành phần phản ứng. Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện
chức năng ngăn chặn cuộc tấn công hay cảnh báo tới người quản trị.
3.1.2.2 Chức năng
Cảnh báo thời gian thực là gửi các cảnh báo thời gian thực đến người quản trị để họ
nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.
Ghi lại vào tập tin, các dữ liệu của gói tin sẽ được lưu trữ trong hệ thống các tập tin
log. Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn
thông tin giúp cho module phát hiện tấn cơng hoạt động.

GVHD: THẦY NGUYỄN HỊA


4


ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH

Ngăn chặn thai đổi gói tin, khi một gói tin khớp với dấu hiệu tấn cơng thì IDS sẽ
phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở
nên khơng bình thường.
3.1.2.3 Cấu trúc của IDS
3.1.2.3.1 Các thành phần cơ bản
Sensor/ Agent giám sát và phân tích các hoạt động. “Sensor” thường được dùng cho
dạng Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạng Host-base
IDS/IPS.
Management Server là một thiết bị trung tâm dùng thu nhận các thông tin từ Sensor /
Agent và quản lý chúng. Một số Management Server có thể thực hiện việc phân tích các
thơng tin sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện
này dù các Sensor / Agent đơn lẻ không thể nhận diện.
Database Server dùng lưu trữ các thông tin từ Sensor / Agent hay Management
Server Console
Là một chương trình cung cấp giao diện cho IDS/IPS users / Admins. Có thể cài đăt
trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát,
phân tích.
3.1.3 Phân loại
3.1.3.1 Network Base IDS (NIDS)
Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài đặt trên tồn
mạng. Những bộ dị này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với
những mô tả sơ lược được định nghĩa hay là những dấu hiệu.

Thường dùng để giám sát, phân tích hoạt động hệ thống mạng trong một segment,
phân tích mạng, các giao thức ứng dụng từ đó nhận diện các hoạt động khả nghi. Thường
được triển khai ở các biên mạng ( network border ).
Hệ thống NIDS/IPS thường được triển khai trong một đoạn / mạng con riêng phục vụ cho
mục đích quản trị hệ thống ( management network ), trong trường hợp khơng có mạng

GVHD: THẦY NGUYỄN HỊA

5


ĐH CƠNG NGHIỆP TP.HCM

ĐỒ ÁN CHUN NGÀNH

quản trị riêng thì một mạng riêng ảo ( VLAN ) là cần thiết để bảo vệ các kết nối giữa các
hệ NIDS/IPS.
Bên cạnh việc lựa chọn vị trí mạng phù hợp cho các thành phần của hệ NIDS/IPS,
lựa chọn vị trí phù hợp cho các Sensor cũng là một vấn đề quan trọng ảnh hưởng đến khả
năng detection của hệ NIDS/IPS. Trong hệ NIDS/IPS, các Sensor thường gặp ở hai dạng
là tích hợp phần cứng (appliance-based) và phần mềm ( software-only ).
Người ta thường sử dụng hai kiểu triển khai sau: Thẳng hàng (Inline) là một Sensor
thẳng hàng được đặt sao cho các lưu lượng trên mạng mà nó giám sát đi xuyên qua nó
giống như trong trường hợp cùa firewall. Thực tế là một số Sensor thẳng hàng được sử
dụng như một loại lai giữa firewall và NIDS/IPS, một số khác là NIDS thuần túy. Động
cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thể dừng các tấn công bằng
việc chặn lưu lượng mạng ( blocking network traffic ). Sensor thẳng hàng thường được
triển khai tại vị trí tương tự với firewall và các thiết bị bảo mật khác: ranh giới giữa các
mạng. Sensor thẳng hàng cịn có thể được triển khai tại các vùng mạng kém bảo mật hơn
hoặc phía trước các thiết bị bảo mật hoặc firewall để bảo vệ và giảm tải cho các thiết bị

này. Thụ động (Passive), Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát
một bản sao của các lưu lượng trên mạng, thường được triển khai giám sát các vị trí quan
trọng trong mạng hư ranh giới giữa các mạng.
3.1.3.2 Host Base IDS (HIDS)
HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt động
của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. Được
triển khai trên từng host,thông thường là một software hoặc một agent, mục tiêu là giám
sát các tính chất cơ bản, các sự kiện liên quan đến các thành phần này nhằm nhận diện
các hoạt động khả nghi. Host-based IDS/IPS thường được triển khai trên các host có tính
chất quan trọng ( public servers, sensitive data servers ), hoặc một dịch vụ quan trọng
( trường hợp đặc biệt này được gọi là application-based IDS/IPS ).
Quá trình triển khai các agent HIDS/IPS thường đơn giản do chúng là một phần
mềm được cài đặt trực tiếp lên host. Application-based agent thường được triển khai
GVHD: THẦY NGUYỄN HÒA

6


ĐH CƠNG NGHIỆP TP.HCM

ĐỒ ÁN CHUN NGÀNH

thẳng hàng ngay phía trước host mà chúng bảo vệ. Một trong những lưu ý quan trọng
trong việc triển khai hệ thống Host-based IDS/IPS là cân nhắc giữa việc cài đặt agent lên
host hay sử dụng agent-based appliances. Trên phương diện phát hiện và ngăn chặn xâm
nhập, việc cài đặt agent lên host được khuyến khích vì agent tương tác trực tiếp với các
đặc tính của host và qua đó có thể phát hiện và ngăn chặn 1 cách hiệu quả hơn. Tuy
nhiên, do agent thường chỉ tương thích với 1 số hệ điều hành nhất định nên trong trường
hợp này người ta sử dụng thiết bị. Một lý do khác để sử dụng thiết bị là việc cài đặt agent
lên host có thể ảnh hưởng đến performance của host.

Hệ thống HIDS/IPS cung cấp các khả năng bảo mật sau:
- Khả năng ghi log.
- Khả năng phát hiện.
+ Phân tích mã (phân tích hành vi mã, nhận diện buffer-overflow, giám sát hàm gọi hệ
thống, giám sát danh sách ứng dụng và hàm thư viện)
+ Phân tích và lọc lưu lượng mạng .
+ Giám sát filesystem ( kiểm tra tính tồn vẹn,thuộc tính,truy cập của file )
+ Phân tích log.
+ Giám sát cấu hình mạng.
- Khả năng ngăn chặn.
3.1.3.2.1 Ưu nhược điểm của HIDS
Ưu điểm.
- Có khả năng xác định người dung liên quan tới một sự kiện.
- Hids có khả năng phát hiện các cuộc tấn cơng diễn ra trên một máy.
- Có thể phân tích các dữ liệu mã hóa.
- Cung cấp các thông tin về host trong lúc tấn công diễn ra.
Nhược điểm.
- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành
công.
- Khi hệ điều hành bị hạ do tấn công, đồng thời HIDS cũng bị hạ.
- Hids phải được thiết lập trên từng host giám sat.

GVHD: THẦY NGUYỄN HÒA

7


ĐH CƠNG NGHIỆP TP.HCM

ĐỒ ÁN CHUN NGÀNH


- Hids khơng có khả năng phát hiện các cuộc dò mạng.
- Hids cần tài nguyên Host để hoạt động.
- Đa số chạy trên hệ điều hành window. Tuy nhiên cũng đã có 1 số chạy trên linux
chặng hạng Ubuntu.
3.1.3.2.2 Các hoạt động của Hids.
Khi lưu lượng được truyền tải đến host chúng được phân tích và đưa qua host nếu hệ
thống khơng phát hiện thấy các gói tin mang mã nguy hiểm bên trong. HIDS thường
được sử dụng cho các máy tính nội bộ trong khi đó NIDS được dùng cho cả một mạng.
HIDS thường được sử dụng cho nền Windows trong thế giới máy tính, tuy nhiên cũng có
nhiều sản phẩm cũng có thể hoạt động trong mơi trường UNIX và các hệ điều hành khác.
3.2 Ứng dụng OSSEC giám sát cài đặt mới các software trên Workstation.
3.2.1 Tổng quan về OSSEC.
Ossec là một hệ thống phát hiện xâm nhập mã nguồn mở, chính xác là một HIDS
(Host IDS). thực hiện phân tích đăng nhập, kiểm tra tính tồn vẹn file, giám sát chính
sách, phát hiện rootkit, thời gian thực cảnh báo và phản ứng tích cực.
Nó chạy trên hầu hết các hệ điều hành , bao gồm cả Linux, hệ điều hành MacOS,
Solaris, HP-UX, AIX và Windows.
Kiểm tra tính năng OSSEC và cách thức hoạt động để biết thêm thông tin về
cách OSSEC có thể giúp bạn giải quyết vấn đề an ninh dựa trên máy chủ của bạn.
OSSEC là một nền tảng đầy đủ để theo dõi và kiểm soát hệ thống của bạn. Nó trộn
lẫn với nhau tất cả các khía cạnh của HIDS (dựa trên máy chủ phát hiện xâm nhập), giám
sát đăng nhập và SIM / SIEM với nhau trong một giải pháp mã nguồn đơn giản, mạnh mẽ
và cởi mở. Nó cũng được hỗ trợ và hỗ trợ đầy đủ bởi Trend Micro .
OSSEC cho phép khách hàng cấu hình sự cố họ muốn được cảnh báo trên cho
phép họ tập trung vào nâng cao ưu tiên các sự cố quan trọng hơn tiếng ồn thường xuyên
trên hệ thống bất kỳ. Tích hợp với SMTP, tin nhắn và nhật ký hệ thống cho phép khách
hàng được trên đầu trang của các cảnh báo bằng cách gửi những trên e-mail và các thiết
GVHD: THẦY NGUYỄN HÒA


8


ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH

bị cầm tay như điện thoại di động và máy nhắn tin. Tùy chọn hoạt động phản ứng để
ngăn chặn một cuộc tấn công ngay lập tức cũng có sẵn.

3.2.2 Cài đặt OSSEC
3.2.2.1 Yêu cầu hệ thống
Phần cứng:
Tùy thuộc vào quy mô hệ thống mạng mà ta chọn phần cứng cho thích hợp. Tuy nhiên
muốn OSSEC hoạt động một cách hiệu quả ta sẽ cần CPU có tốc độ xử lý nhanh , bộ nhớ
lớn , bus cao và dung lượng ổ cứng lớn nếu như log file do OSSEC sinh ra nhiều và lớn
theo thời gian.
Hệ điều hành:
OSSEC hỗ trợ nhiều hệ điều hành khác nhau như Windows, Ubuntu, CentOs,….
Các yêu cầu khác:
Có hỗ trợ C, C++ để biên dịch OSSEC từ Sources code.
3.2.2.2 Cài đặt ossec server
Ta có thể cài đặt OSSEC từ Souce code hay là các gói RPM .Theo kinh nghiệm nên
download source code và sau đó biên dịch để cài đặt hơn là dùng các gói binary có sẵn.
Vì khi cài đặt từ source code có thể cấu hình OSSEC kết hợp với MySQL, ACID…Cài
OSSEC khá dễ dàng, có nhiều tuỳ chọn phù hợp với nhu cầu ngừơi dùng; phần quan
trọng nhất của OSSEC là kết hợp với nhiều database để lưu trữ. Download OSSEC từ địa
chỉ :
.
Sau khi download file cài đặt về ta giải nén và tiến hành cài đặt và chọn ngôn ngữ, ta

sẽ chọn en.
GVHD: THẦY NGUYỄN HÒA

9


ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH

Tiếp theo, ta sẽ chọn cài đặt OSSEC server.

Và ta chọn nơi lưu:

Bước tiếp theo là ta thực hiện cấu hình.Ở bước này tơi không cần Mail nên tôi chọn No.

Tất cả các bước tiếp theo ta chọn yes cho đến hết quá trình cài đặt và ta chờ cho đến khi
kết thúc.
GVHD: THẦY NGUYỄN HÒA

10


ĐH CƠNG NGHIỆP TP.HCM

ĐỒ ÁN CHUN NGÀNH

Và q trình cài đặt kết thúc.

3.2.2.3 Cài đặt ossec agent

Phần cài đặt ossec agent sẽ tiến hành cài đặt trên mày window xp.Ta sẽ tải chương
trình cài đặt về và tiến hành cài đặt bình thường như các chương trình khác. Và giao diện
cuối cùng như thế này.

GVHD: THẦY NGUYỄN HÒA

11


ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH

Bước tiếp theo là ta qua Ossec server để lấy địa chỉ và key đế connec đến ossec server
và có giao diện như sao:

Và ta tiến hành tạo một client agent mới đế ossec agent có thể kết nối tới server, sau
khi có key thì tiến hành nhập vào hộp thoại của osses agnent.

GVHD: THẦY NGUYỄN HÒA

12


ĐH CƠNG NGHIỆP TP.HCM

ĐỒ ÁN CHUN NGÀNH

Và q trình kết nối tới server thành công.


3.3 Nguy cơ từ việc cài đặt các soft ở Workstation.
Một phần mềm được cài đặt vào máy tính cốt yếu do hai điều sau, thứ nhất là do
nhân viên tại máy Client tự ý cài đặt phần mềm, thứ hai là do khi các máy Client lướt
web thì có những trang quảng cáo, hay những trang web độc hại có chức năng tự cài đặt
phần mềm vào máy tính chúng ta khi chúng ta truy cập vào trang web đó.
Nguy cơ khi cái đặt các soft đó chính là máy client sẽ bị nhiễm mã độc có trong phần
mềm được cài. Và nguy cơ lớn nhất khi cài đặt phần mềm đó là malware, chúng thậm chí

GVHD: THẦY NGUYỄN HỊA

13


ĐH CƠNG NGHIỆP TP.HCM

ĐỒ ÁN CHUN NGÀNH

có thể giả mạo cả dịch vụ phần mềm và khi máy cập nhật, thay vì các bản vá và phần
mềm bảo mật thì malware lại được tải về và cài đặt lên hệ thống.














Và vấn đề tất yếu khi chúng ta gặp phải mã độc đó là : Làm chậm máy, gây lỗi máy bởi
các mã độc.
Gây hiển thị thông báo lỗi liên tục.
Khơng thể tắt máy tính hay khởi động lại khi malware duy trì cho những process nhất
định hoạt động.
Kẻ xấu lợi dụng malware để thu thập thông tin cá nhân hoặc dữ liệu từ máy tính.
“Cướp” trình duyệt, làm chuyển hướng người dùng đến những site có chủ đích.
Lây nhiễm vào máy và sử dụng máy làm một vật chủ quảng bá nhiều file khác nhau hay
thực hiện các cuộc tấn công khác.
Gửi spam đi và đến hộp thư người dùng.
Gửi những email mạo danh người dùng, gây rắc rối cho người dùng hay cho cơng ty.
Cấp quyền kiểm sốt hệ thống và tài nguyên cho kẻ tấn công.
Làm xuất hiện những thanh công cụ mới.
Tạo ra các biểu tượng mới trên màn hình desktop.
Chạy ngầm và khó bị phát hiện nếu được lập trình tốt.

3.4 Dấu hiệu nhận biết và quá trình thực hiện.
3.4.1 Dấu hiệu nhận biết.
Khi chúng ta cài đặt bất kì một phần mềm nào đó vào trong máy tính thì chúng ta đều có thể nhận
biết thông qua file registry, và vào trong đường dẫn sao để phát hiện

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVes\Uninstall

GVHD: THẦY NGUYỄN HÒA

14



ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH

3.4.2 Thực hiện cài đặt và cấu hình để Admin phát hiện client cài đặt phần mềm
Ta cũng có thể sử dụng Ossec để theo dõi tình hình cài đặt các phần mềm của máy
client. Vì qua việc này chúng ta có thể quản lý chặt chẽ hơn khi ta khơng có nhiều thời
gian để kiểm tra các máy client của các nhân viên trong một công ty chẳng hạn. Mặc định
admin đả cài đầy đủ các ứng dụng để nhân viên có thể hồn thành tốt phần việc của mình,
nhưng do nhu cầu cá nhân nên họ sẽ cài đặt vào máy của mình các phần mếm khơng khả
dụng. Admin có thể dung ossec để theo dõi quá trình cài đặt của các nhân viên thơng qua
file cấu hình file win_audit của ossec agent. Ta vào đường dẫn sao để đến file win_audit :

Ta tiến hành cấu hình file win_audit_rcl như sau:

Vì trong ossec có hỗ trợ sẵn cho ta các rule trong đó có rule phát hiện cài đặt phần mềm,
ta chỉ việc cấu hình file win_audit và sử dụng thơi.

GVHD: THẦY NGUYỄN HÒA

15


ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH

Đầu tiên ta phải cài đặt phần mềm có đi là msi, ở đây tơi sẽ cài đặt chương trình yahoo
trong đó có chương trình Microsoft visual C ++ 2005 có đi là msi.


Và admin chỉ cần ở máy ossec server mở file logs và kiểm tra . Ta vào ossec server và
vào câu lệnh sau để xem kết quả từ file logs: cat /var/ossec/logs/alerts/2013/Jul/ossecalerts-02.log

Sau khi xem ta cũng biết được rule dùng để phát hiền phần mềm đã được cài đó chình là
rule 18147 (level 5)
3.3.2

Rule giám sát việc cài đặt mới software.
Ossec đã xây dựng một rule sẵn với số id là 1847 mình chỉ cần dùng thơi.Khi

cài một gói ứng dụng .msi thì nó sẽ ghi vào log event viewer .Ossec nó đã xây dựng
một decoder event Windows sau nó sẽ tạo một alert.
<rule id="18147" level="5">

GVHD: THẦY NGUYỄN HÒA

16


ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH

<if_sid>18101</if_sid>
<id>^11707</id>
<options>alert_by_email</options>
<description>Application Installed.</description>
</rule>

IV. Nhận xét.

Hệ thống phát hiện xâm nhâp (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng
vai trị khơng kém phần quan trọng. IDS giúp con người khám phá, phân tích một nguy
cơ tấn cơng mới. từ đó ta vạch ra phương án phịng chống. Ở một góc độ nào đó, có thể
lần tìm được thủ phạm gây ra một cuộc tấn công.Một tổ chức lớn không thể nào thiếu
IDS.
Sau khi thực hiện đề tài này tơi có thể biết rõ hơn về được cơ chế hoạt động của hệ
thống phát hiện xâm nhập IDS. Cài đặt và cấu hình một hệ thông phát hiện xâm nhập trên
mạng cục bộ dựa vào phần mềm OSSEC. Và cụ thể hơn đó chính là biết được hệ thống
phát hiện xâm nhập dùng HIDS, một hệ thống có thể giúp chúng ta giám sát được tình
trạng install software từ máy client, mặc dù việc cài đặt này không phân biệt là do nhân
viên cài hay được tự cài từ việc nhân viên truy cập các trang web đều được nhà quản trị
giám sát được từ những cảnh báo mà ossec agent gửi cảnh báo tới ossec server và cụ thệ
hơn là dấu hiệu nhận biết được đó chính là các file logs được phát sinh ra từ ossec server.
Vì đề tài chỉ nghiên cứu một khía cạnh của IDS nên nội dung đề tài không phản ánh
được đầy đủ các vấn đề chi tiết của IDS. Nhưng sau khi thực hiện xong đề tài này hướng
đi tiếp theo của tơi có thể nghiên cứu sâu hơn về IDS nhằm đáp ứng được nhu cầu kiến
thức cũng như công việc liên quan sau này.
TÀI LIỆU THAM KHẢO
1. />
10717.html] />
GVHD: THẦY NGUYỄN HÒA

17


ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH

2. />

wan/38250_Host_Based_IDS_va_Network_Based_IDS_Phan_1_.aspx />rum/showthread.php?t=12607
3. />4. />5.
6. />
GVHD: THẦY NGUYỄN HÒA

18



×