Tải bản đầy đủ (.pdf) (79 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Cơ sở dữ liệu

Nghiên cứu, thử nghiệm các phương pháp phát hiện xâm nhập trái phép dựa trên phát hiện bất thường

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.15 MB, 79 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------

Nguyễn Thị Thu Hiền

NGHIÊN CỨU, THỬ NGHIỆM CÁC PHƢƠNG PHÁP PHÁT HIỆN
XÂM NHẬP TRÁI PHÉP DỰA TRÊN PHÁT HIỆN BẤT THƢỜNG

Chuyên ngành: Công nghệ Thông tin

LUẬN VĂN THẠC SĨ KỸ THUẬT
CÔNG NGHỆ THÔNG TIN

NGƢỜI HƢỚNG DẪN KHOA HỌC:
PGS.TS. Nguyễn Linh Giang

Hà Nội – 2015


MỤC LỤC
Lời cam đoan ....................................................................................................4
Danh mục các ký hiệu, các chữ viết tắt............................................................5
Danh mục các bảng ..........................................................................................6
Danh mục các hình vẽ, đồ thị ...........................................................................7
MỞ ĐẦU ..........................................................................................................9
Chƣơng 1 - TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP.....12
1.1. Giới thiệu về hệ thống phát hiện xâm nhập ........................................ 12
1.1.1. Khái niệm phát hiện xâm nhập ....................................................12
1.1.2. Hệ thống phát hiện xâm nhập ......................................................12
1.1.3. Vị trí của IDS trong mô hình mạng .............................................13


1.2. Chức năng của IDS ............................................................................. 14
1.3. Kiến trúc của IDS ................................................................................ 14
1.4. Phân loại IDS ...................................................................................... 16
1.4.1. NIDS ............................................................................................16
1.4.2. HIDS ............................................................................................18
1.4.3. So sánh NIDS và HIDS ................................................................20
1.5. Kỹ thuật phát hiện xâm nhập .............................................................. 20
1.5.1. Phát hiện xâm nhập dựa trên sử dụng sai.....................................21
1.5.2. Phát hiện xâm nhập dựa trên bất thƣờng .....................................22
1.5.3. So sánh hai phƣơng pháp [3] [11] ................................................23
1.6. Hệ thống phát hiện xâm nhập với Snort ............................................. 24
1.6.1. Giới thiệu Snort ............................................................................24
1.6.2. Kiến trúc của Snort ......................................................................25
1.6.3. Chức năng của Snort ....................................................................26
1.6.4. Một số minh hoạ khả năng phát hiện xâm nhập của Snort ..........30
Chƣơng 2 - CÁC PHƢƠNG PHÁP PHÁT HIỆN XÂM NHẬP DỰA TRÊN
BẤT THƢỜNG .........................................................................................................36
2.1. Giới thiệu ............................................................................................ 36

2


2.2. Các phƣơng pháp kỹ thuật phát hiện xâm nhập dựa trên bất thƣờng . 36
2.2.1. Phƣơng pháp phát hiện xâm nhập bất thƣờng dựa trên thống kê 37
2.2.2. Phƣơng pháp phát hiện bất thƣờng dựa trên khai phá dữ liệu .....41
2.2.3. Phƣơng pháp phát hiện dựa trên tri thức ......................................45
2.2.4. Phƣơng pháp phát hiện dựa trên học máy....................................48
Chƣơng 3 - THỬ NGHIỆM THUẬT TOÁN CUSUM TRONG PHÁT HIỆN
TẤN CÔNG SYN FLOODING ................................................................................51
3.1. Các dạng tấn công tràn ngập mạng ..................................................... 51

3.1.1. TCP SYN flood ............................................................................52
3.1.2. UDP flood ....................................................................................53
3.1.3. ICMP flood ..................................................................................54
3.2. Giới thiệu thuật toán CUSUM và đề xuất thực hiện ........................... 54
3.3. Thử nghiệm CUSUM .......................................................................... 58
3.3.1. Mô hình thử nghiệm .....................................................................58
3.3.2. Kịch bản thử nghiệm ....................................................................60
3.3.3. Đánh giá kết quả thử nghiệm .......................................................64
3.4. Khả năng tích hợp CUSUM vào Snort ............................................... 73
KẾT LUẬN ....................................................................................................75
TÀI LIỆU THAM KHẢO..............................................................................76
PHỤ LỤC .......................................................................................................78

3


Lời cam đoan
Trƣớc tiên, tôi xin chân thành cảm ơn và bày tỏ lòng biết ơn sâu sắc tới thầy
giáo PGS.TS Nguyễn Linh Giang, Bộ môn Truyền thông và Mạng máy tính, Viện
Công nghệ Thông tin và Truyền thông, Trƣờng Đại học Bách Khoa Hà Nội, ngƣời
đã tận tình hƣớng dẫn, giúp đỡ tôi trong suốt quá trình hoàn thiện luận văn.
Tôi cũng xin chân thành cảm ơn các thầy cô giáo trong Viện Công nghệ
Thông tin và Truyền thông nói riêng và Đại học Bách Khoa Hà Nội nói chung đã
chỉ dạy, cung cấp những kiến thức quý báu cho tôi trong suốt quá trình học tập và
nghiên cứu tại trƣờng.
Cuối cùng tôi xin gửi lời cảm ơn sâu sắc tới gia đình, bạn bè và đồng nghiệp,
những ngƣời luôn cổ vũ, quan tâm và giúp đỡ tôi trong suốt thời gian học tập và
làm luận văn.
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu và kết quả nêu trong luận văn là trung thực và chƣa từng đƣợc ai

công bố trong bất kỳ công trình nào khác.
Tác giả

Nguyễn Thị Thu Hiền

4


Danh mục các ký hiệu, các chữ viết tắt

1

Từ
Tiếng Anh
viết tắt
ID
Intrusion Detection

Phát hiện xâm nhập

2

IDS

Intrusion Detection System

Hệ thống phát hiện xâm nhập

3


NIDS

Network-based IDS

Hệ thống phát hiện xâm nhập dựa

STT

Tiếng Việt

trên mạng
4

HIDS

Host-based IDS

Hệ thống phát hiện xâm nhập dựa
trên host

5

DoS

Denial Of Service

Tấn công từ chối dịch vụ

6


DDoS

Distributed Denial Of Service

Tấn công từ chối dịch vụ phân tán

7

SBIDS Signature Based IDS

Hệ thống phát hiện xâm nhập dựa
trên dấu hiệu

8

ABIDS Anomaly Based IDS

Hệ thống phát hiện xâm nhập dựa
trên bất thƣờng

9

CUSUM Cumulative SUM

10 KPDL

Thuật toán cộng tích luỹ

Data mining


Khai phá dữ liệu

11 ADAM Audit Data Analysis and Mining Khai phá và phân tích dữ liệu
kiểm toán
12 SOM

Self-Organizing Maps

13 ICMP

Internet

14 TCP

Control

Bản đồ tự tổ chức
Message Giao thức thông điệp điều khiển

Protocol

Internet

Transmission Comunication

Giao thức điều khiển truyền vận

Protocol
15 UDP


User Datagram Protocol

Giao thức không liên kết

16 SFD

SYN Flooding detection

Phát hiện tấn công SYN flooding

5


Danh mục các bảng
Bảng 3.1. Số lƣợng gói tin SYN, FIN và Y trong trạng thái hoạt động bình thƣờng
với N=0.5 ..................................................................................................................64
Bảng 3.2. Số lƣợng các gói tin và Y trong trạng thái bình thƣờng với N=1 .............64
Bảng 3.3. Số lƣợng các gói tin và Y trong trạng thái bình thƣờng với N=2 .............65
Bảng 3.4. Số lƣợng các gói tin trong trạng thái có tấn công SYN Flood với N=0.5 67
Bảng 3.5. Giá trị Y trong trạng thái có tấn công SYN Flood với N = 0.5 ................67
Bảng 3.6. Số lƣợng các gói tin trong trạng thái có tấn công SYN Flood với N=1 ...68
Bảng 3.7. Giá trị Y trong trạng thái có tấn công SYN Flood ...................................69
Bảng 3.8. Số lƣợng các gói tin trong trạng thái có tấn công .....................................69
Bảng 3.9. Giá trị Y trong trạng thái có tấn công SYN Flood ...................................70
Bảng 3.10. Số lƣợng các gói tin trong trạng thái có tấn công ...................................70
Bảng 3.11. Giá trị Y trong trạng thái có tấn công SYN Flood với N=2 ...................71

6



Danh mục các hình vẽ, đồ thị
Hình 1.1. Các vị trí điển hình của một IDS [15] .......................................................13
Hình 1.2. Kiến trúc của IDS ......................................................................................15
Hình 1.3. NIDS Network ..........................................................................................17
Hình 1.4. HIDS Network ..........................................................................................19
Hình 1.5. Kiến trúc Snort [5] ....................................................................................25
Hình 1.6. Mô-đun tiền xử lý......................................................................................27
Hình 1.7. Môđun phát hiện .......................................................................................28
Hình 1.8. Mô hình thử nghiệm Snort ........................................................................30
Hình 1.9. Phát hiện gói tin kích thƣớc bất thƣờng ....................................................31
Hình 1.10. Phát hiện Ping of Death...........................................................................32
Hình 1.11. Ping -t đến máy nạn nhân ........................................................................32
Hình 1.12. Kết quả phát hiện ping -t .........................................................................33
Hình 1.13. Thử tấn công web với từ khóa "hacker" .................................................33
Hình 1.14. Phát hiện tấn công web ở Ví dụ 1 ...........................................................33
Hình 1.15. Thử tấn công web với từ khóa "sql" .......................................................34
Hình 1.16. Phát hiện tấn công web ở Ví dụ 2 ...........................................................34
Hình 1.17. Thử tấn công SYN flooding ....................................................................35
Hình 1.18. Kết quả phát hiện SYN flooding trên Snort ............................................35
Hình 2.1. Phân loại hệ thống IDS dựa trên bất thƣờng .............................................37
Hình 3.1. Quá trình thiết lập kết nối TCP .................................................................52
Hình 3.2. Tấn công SYN Flood ................................................................................53
Hình 3.3. Sơ đồ thuật toán phát hiện bất thƣờng dựa trên CUSUM .........................57
Hình 3.4. Mô hình thử nghiệm CUSUM...................................................................59
Hình 3.5. Bắt gói tin trên máy web server ................................................................61
Hình 3.6. Ghi kết quả bắt gói tin ra file ....................................................................61
Hình 3.7. Giả lập ngƣời dùng thông thƣờng gửi yêu cầu đến server ........................62
Hình 3.8. Kết quả chạy thuật toán CUSUM khi lƣu lƣợng mạng bình thƣờng ........62
Hình 3.9. Tấn công máy Web server ........................................................................63


7


Hình 3.10. Kết quả thuật toán CUSUM lúc tấn công với Y<=N ..............................63
Hình 3.11. Cảnh báo tấn công khi Y > N ..................................................................63
Hình 3.12. Đồ thị thuật toán CUSUM trong trạng thái lƣu lƣợng mạng bình thƣờng
và sự biến động số các gói tin SYN-FIN hợp lệ với N=0.5 ......................................64
Hình 3.13. Đồ thị thuật toán CUSUM trong trạng thái lƣu lƣợng mạng bình thƣờng
và các gói tin SYN-FIN hợp lệ với N = 1 .................................................................65
Hình 3.14. Đồ thị thuật toán CUSUM trong trạng thái lƣu lƣợng mạng bình thƣờng
và các gói SYN-FIN hợp lệ với N=2 ........................................................................66
Hình 3.15. Sự biến động số các gói SYN-FIN lúc có tấn công SYN Flood với N=0.5
...................................................................................................................................67
Hình 3.16. Đồ thị thuật toán CUSUM khi có tấn công với N = 0.5 .........................68
Hình 3.17. Sự biến đổi các gói SYN và FIN lúc có tấn công SYN Flood với N = 168
Hình 3.18. Đồ thị thuật toán CUSUM khi có tấn công với N = 1 ............................69
Hình 3.19. Sự biến đổi các gói SYN và FIN lúc có tấn công SYN Flood với N=1 .70
Hình 3.20. Đồ thị thuật toán CUSUM khi có tấn công với N = 1 ............................70
Hình 3.21. Sự biến động các gói SYN và FIN lúc có tấn công SYN Flood với N=2
...................................................................................................................................71
Hình 3.22. Đồ thị thuật toán CUSUM khi có tấn công với N = 2 ............................71
Hình 3.23. Đồ thị phát hiện SYN flooding của phƣơng pháp SFD với N=0.6 .........72
Hình 3.24 Vị trí CUSUM trong Snort .......................................................................73

8


MỞ ĐẦU
- Lý do chọn đề tài
An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề đƣợc

quan tâm không chỉ ở Việt Nam mà trên toàn thế giới. Thời gian gần đây, các cơ
quan, tổ chức đã tăng cƣờng triển khai đào tạo, đầu tƣ mua sắm trang thiết bị và
nghiên cứu các biện pháp nhằm đảm bảo an toàn thông tin cho máy tính cá nhân
cũng nhƣ các mạng nội bộ. Tuy nhiên, tình hình tấn công mạng vẫn thƣờng xuyên
xảy ra, có nhiều cơ quan, tổ chức bị đánh cắp thông tin… gây nên những hậu quả vô
cùng nghiêm trọng, thủ đoạn của kẻ phá hoại ngày càng tinh vi. Vì thế, bên cạnh
việc phát triển các dịch vụ và ứng dụng trên mạng, việc làm thế nào để có thể phát
hiện ra máy tính hoặc mạng máy tính của mình đang bị xâm nhập trái phép góp
phần bảo đảm an toàn, bảo mật mạng là một vấn đề hết sức quan trọng cần đƣợc
quan tâm nghiên cứu thƣờng xuyên.
Hiện nay, các nghiên cứu tại Việt Nam cũng nhƣ trên thế giới về xây dựng
một hệ thống phát hiện xâm nhập mạng trái phép dựa trên mã nguồn mở cũng phát
triển mạnh, tuy nhiên tại Việt Nam các nghiên cứu này có mức độ triển khai vào
thực tế là chƣa cao. Ngoài ra, các chƣơng trình phát hiện xâm nhập hầu hết đƣợc
tích hợp trên các thiết bị phần cứng nên việc khai thác chức năng, hoặc ngƣời dùng
tự phát triển mở rộng thêm chức năng của các chƣơng trình này bị hạn chế. Vì vậy,
lựa chọn đề tài "Nghiên cứu, thử nghiệm các phƣơng pháp phát hiện xâm nhập
trái phép dựa trên phát hiện bất thƣờng" nhằm phát hiện các hành động tấn công
mạng, nâng cao khả năng bảo đảm an toàn thông tin là một yêu cầu khách quan cần
thiết trong giai đoạn hiện nay.
- Mục tiêu nghiên cứu
+ Nghiên cứu các phƣơng pháp phát hiện xâm nhập trái phép dựa trên phát
hiện bất thƣờng;
+ Thử nghiệm phát hiện xâm nhập dựa trên bất thƣờng sử dụng phân tích
thống kê lƣu lƣợng nhằm áp dụng trong quản trị mạng hoặc phát hiện các xâm nhập
trái phép vào hệ thống mạng.

9



- Đối tƣợng, phạm vi nghiên cứu
+ Phƣơng pháp phát hiện xâm nhập trái phép dựa trên bất thƣờng;
+ Thuật toán phát hiện xâm nhập bất thƣờng thống kê;
+ Thử nghiệm giải pháp phát hiện xâm nhập sử dụng phần mềm mã nguồn
mở Snort;
+ Thử nghiệm thuật toán CUSUM trong phát hiện tấn công SYN flooding.
Trong khuôn khổ đề tài, tôi đã tìm hiểu cơ bản về hệ thống phát hiện xâm
nhập, thử nghiệm hệ thống Snort để phát hiện xâm nhập dựa trên dấu hiệu, đặc biệt
tập trung nghiên cứu về các phƣơng pháp phát hiện xâm nhập dựa trên bất thƣờng
và lựa chọn thuật toán Tổng tích luỹ (CUSUM) để triển khai thử nghiệm. Đề tài đã
đề xuất mô hình phát hiện xâm nhập trái phép dựa trên phƣơng pháp phát hiện bất
thƣờng thống kê bằng việc thử nghiệm thuật toán CUSUM để phát hiện tấn công
SYN flooding.
- Ý nghĩa khoa học và thực tiễn của đề tài
+ Ý nghĩa khoa học
Quá trình xây dựng đề tài tạo ra cơ sở nghiên cứu về các phƣơng pháp kỹ
thuật phát hiện xâm nhập trái phép dựa trên bất thƣờng, đƣa ra cái nhìn tổng quát về
hệ thống hỗ trợ giám sát, bảo vệ mạng máy tính; góp phần nâng cao kiến thức về
bảo mật và an toàn thông tin.
+ Ý nghĩa thực tiễn
Kết quả nghiên cứu của đề tài nhằm bổ sung thêm giải pháp kỹ thuật phát
hiện xâm nhập mạng, góp phần bảo đảm an ninh an toàn thông tin; là cơ sở để tiếp
tục nghiên cứu phát triển các giải pháp tiếp theo.
- Phƣơng pháp nghiên cứu
+ Nghiên cứu lý thuyết;
+ Khảo sát thực nghiệm;
+ Phân tích, tổng hợp;
+ Kiểm nghiệm thực tế.
Nội dung luận văn đƣợc kết cấu thành 3 chƣơng nhƣ sau:


10


Chƣơng 1: Tổng quan về hệ thống phát hiện xâm nhập. Chƣơng này giới
thiệu tổng quan về hệ thống phát hiện xâm nhập, các kỹ thuật phát hiện xâm nhập,
trong đó giới thiệu hệ thống Snort và thử nghiệm đƣa ra một số kết quả phát hiện
xâm nhập dựa trên dấu hiệu.
Chƣơng 2: Các phƣơng pháp phát hiện xâm nhập dựa trên bất thƣờng.
Chƣơng này nghiên cứu về các phƣơng pháp phát hiện xâm nhập dựa trên bất
thƣờng, ƣu nhƣợc điểm của từng phƣơng pháp.
Chƣơng 3: Thử nghiệm thuật toán CUSUM trong phát hiện tấn công
SYN flooding. Chƣơng này tìm hiểu về một số dạng tấn công tràn ngập mạng; giới
thiệu về thuật toán CUSUM và đề xuất mô hình phát hiện xâm nhập trái phép dựa
trên phƣơng pháp phát hiện bất thƣờng thống kê bằng việc triển khai thử nghiệm
thuật toán CUSUM để phát hiện tấn công SYN flooding.

11


Chƣơng 1 - TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP
1.1. Giới thiệu về hệ thống phát hiện xâm nhập
1.1.1. Khái niệm phát hiện xâm nhập
Phát hiện xâm nhập (Intrusion Detection - ID) [18] là một loại hệ thống quản
lý an ninh cho máy tính và mạng. Một hệ thống ID tập hợp và phân tích thông tin từ
các phạm vi khác nhau trong một máy tính hoặc mạng máy tính để xác định hành vi
vi phạm an ninh có thể, trong đó bao gồm cả sự xâm nhập (các cuộc tấn công từ bên
ngoài tổ chức) và sử dụng sai (tấn công từ bên trong tổ chức). ID sử
dụng Vulnerability Assessment (đánh giá tổn thƣơng, đôi khi đƣợc gọi là
scanning), đây là một công nghệ đƣợc phát triển để đánh giá sự an toàn của một hệ
thống máy tính hoặc mạng máy tính, để tìm ra các vấn đề an ninh tiềm tàng hoặc dò

tìm các dấu vết khi hệ thống bị tổn thƣơng.
1.1.2. Hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) [1] là một
hệ thống phần cứng hoặc phần mềm đƣợc sử dụng để phát hiện các hành động truy
nhập trái phép đến một hệ thống máy tính hoặc mạng. IDS có khả năng phát hiện tất
cả các loại lƣu lƣợng mạng độc hại và việc sử dụng máy tính, bao gồm các cuộc tấn
công mạng đối với các dịch vụ có chế độ bảo mật yếu, tấn công vào dữ liệu, các ứng
dụng, các tấn công dựa trên host chẳng hạn nhƣ leo thang đặc quyền, đăng nhập trái
phép và truy cập vào các file nhạy cảm và phần mềm độc hại. IDS là một hệ thống
giám sát động bổ sung cho khả năng giám sát tĩnh của tƣờng lửa. Các gói dữ liệu
mạng thu thập đƣợc sẽ đƣợc phân tích để phát hiện các dấu hiệu xâm nhập (tấn
công, xuất xứ từ ngoài tổ chức) và sử dụng sai (tấn công, có nguồn gốc trong tổ
chức). Khác với tƣờng lửa, IDS không thực hiện các thao tác ngăn chặn truy xuất
mà chỉ theo dõi các hoạt động trên mạng để tìm ra các dấu hiệu của tấn công và
cảnh báo.
IDS cũng có thể phân biệt giữa những tấn công nội bộ hay tấn công từ bên
ngoài. Thâm nhập từ bên ngoài đƣợc định nghĩa là xâm nhập đƣợc thực hiện bởi
ngƣời sử dụng trái phép hệ thống máy tính; thâm nhập nội bộ đƣợc thực hiện bởi

12


ngƣời dùng đƣợc ủy quyền, ngƣời không đƣợc quyền đối với các dữ liệu bị tổn hại;
và sự vi phạm đƣợc xác định là việc lạm dụng quyền truy cập đối với cả hệ thống và
dữ liệu của nó. IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết hay
dựa trên so sánh lƣu thông mạng hiện tại với thông số đo đạc chuẩn của hệ thống
(baseline) để tìm ra các dấu hiệu bất thƣờng.
1.1.3. Vị trí của IDS trong mô hình mạng
Tuỳ thuộc vào cấu hình mạng của ngƣời dùng mà ngƣời dùng có thể đặt vị trí
IDS [15] tại một hoặc nhiều vị trí, và cũng tuỳ vào kiểu các hành động xâm nhập

ngƣời dùng muốn phát hiện: bên trong (internal), bên ngoài (external) hoặc cả hai.
Ví dụ, nếu ta chỉ muốn phát hiện các hành động xâm nhập từ bên ngoài, và ta chỉ có
một router kết nối với Internet, vị trí tốt nhất cho IDS chỉ có thể là ở bên trong
router hoặc firewall. Còn nếu có nhiều đƣờng kết nối Internet thì ta có thể đặt IDS ở
nhiều vị trí. Tuy nhiên, nếu muốn phát hiện các mối đe doạ bên trong, ta có thể đặt
IDS ở mỗi phân đoạn mạng tuỳ vào chính sách an ninh của ngƣời dùng. Hình 1.1
chỉ ra các vị trí điển hình có thể đặt IDS.

IDS

Company
Network

Firewall

Internet

IDS
Company
Network
Router

Hình 1.1. Các vị trí điển hình của một IDS

13


1.2. Chức năng của IDS
Hệ thống phát hiện xâm nhập có chức năng tự động theo dõi các sự kiện xảy
ra, giám sát lƣu thông mạng, phân tích để phát hiện ra các vấn đề liên quan đến an

ninh, bảo mật và đƣa ra cảnh báo các hoạt động khả nghi cho nhà quản trị.
- Chức năng chính [1] và quan trọng nhất của một hệ thống IDS là giám sát,
cảnh báo và bảo vệ.
+ Giám sát: Giám sát lƣu lƣợng mạng, các hành động bất thƣờng và các hoạt
động khả nghi.
+ Cảnh báo: Khi đã biết các hoạt động bất thƣờng của một (hoặc một nhóm)
truy cập nào đó, IDS sẽ đƣa ra cảnh báo cho hệ thống và ngƣời quản trị.
+ Bảo vệ: Dùng những thiết lập mặc định và những cấu hình từ ngƣời quản
trị để có những hành động chống lại kẻ xâm nhập và phá hoại.
- Chức năng mở rộng [1] của IDS là phân biệt đƣợc đâu là những truy cập
hợp lệ (không hợp lệ) từ bên trong và đâu là cuộc tấn công từ bên ngoài vào hệ
thống; phát hiện những dấu hiệu bất thƣờng dựa trên những gì đã biết hoặc nhờ vào
sự so sánh lƣu lƣợng mạng hiện tại với baseline.
1.3. Kiến trúc của IDS
Kiến trúc của IDS [2] bao gồm 3 thành phần chính: Thành phần thu thập
dữ liệu (Information collection), thành phần phân tích gói tin và phát hiện xâm
nhập (Dectection), thành phần phản hồi (Respontion) nếu gói tin đó đƣợc phát
hiện là một tấn công của tin tặc (hacker). Trong ba thành phần này thì thành phần
phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến (sensor) đóng
vai trò quyết định, vì vậy sau đây chúng ta sẽ đi vào phân tích bộ cảm biến để hiểu
rõ hơn kiến trúc của hệ thống phát hiện xâm nhập.

14


Thông tin
sự kiện

Chính sách thu thập
thông tin


Hệ thống phân tích
Thiết lập
sự kiện
(Syslogs,
System
status,
Network
packet)

Thu thập thông tin

Thông tin
hệ thống

Chính
sách phát
hiện

Phát hiện

Hệ thống đáp trả

Chính sách
phản ứng

Phản ứng

Hình 1.2. Kiến trúc của IDS
Sensor [2] [5] đƣợc tích hợp với thành phần thu thập dữ liệu – một bộ tạo sự

kiện. Cách sƣu tập này đƣợc xác định bởi chính sách tạo sự kiện để định nghĩa chế
độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp
một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của
hệ thống hoặc các gói mạng. Số chính sách này cùng với thông tin chính sách có thể
đƣợc lƣu trong hệ thống đƣợc bảo vệ hoặc bên ngoài. Trong trƣờng hợp nào đó, ví
dụ khi luồng dữ liệu sự kiện đƣợc truyền tải trực tiếp đến bộ phân tích mà không có
sự lƣu dữ liệu nào đƣợc thực hiện. Điều này cũng có liên quan đến các gói mạng.
Sensor có nhiệm vụ bắt các gói tin qua mạng (sniffer hoặc capture) và gửi tới
hệ CSDL theo các định dạng. Thông thƣờng cách thiết lập hệ thống sensor là đặt
trƣớc và ngay sau hệ thống tƣờng lửa. Việc đặt nhƣ vậy sẽ đạt đƣợc 3 mục đích:
- Biết đƣợc những tấn công mạng trƣớc cả khi gói tin đi qua tƣờng lửa: Một
điều quan trọng đối với an ninh mạng là hệ thống cần biết trƣớc những tấn công có
thể xảy ra và những tấn công không thành công để có giải pháp hợp lý cho việc
ngăn ngừa những tấn công trong tƣơng lai. Việc thiết lập một bộ thu thập dữ liệu
trƣớc hệ thống tƣờng lửa sẽ cho phép chúng ta thực hiện điều này.

15


- Biết đƣợc những tấn công mạng bị hệ thống tƣờng lửa chặn lại: Có thể cho
phép hệ thống IDS chỉ tập trung vào những tấn công thực sự trên mạng, bỏ qua
những tấn công đã bị chặn, do đó giảm đƣợc cảnh báo sai.
- Có thể dễ dàng kiểm tra đƣợc cấu hình của tƣờng lửa đã chính xác hay
chƣa: Cho phép ngƣời quản trị mạng nhận ra đƣợc những lỗi trong cấu hình của hệ
thống tƣờng lửa khi nhận đƣợc cảnh báo của hệ thống IDS. Những tấn công vƣợt
qua đƣợc hệ thống tƣờng lửa vẫn có thể bị phát hiện và ngăn chặn.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không
tƣơng thích đạt đƣợc từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể
phát hiện đƣợc các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính
sách phát hiện cho mục này. Ngoài ra còn có các thành phần: Dấu hiệu tấn công,

profile hành vi thông thƣờng, các tham số cần thiết, chẳng hạn các ngƣỡng. Thêm
vào đó, cơ sở dữ liệu giữ các tham số cấu hình, gồm có các chế độ truyền thông với
module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu của riêng nó, gồm dữ liệu lƣu về
các xâm phạm phức tạp tiềm ẩn đƣợc tạo ra từ nhiều hành động khác nhau [2].
1.4. Phân loại IDS
Dựa vào việc quan sát và nơi đặt mà IDS đƣợc phân thành hai loại [5]:
- Network-based IDS (Hệ thống phát hiện xâm nhập dựa trên mạng - NIDS):
Phát hiện xâm nhập hƣớng vào toàn bộ mạng hay miền mạng;
- Host-based IDS (Hệ thống phát hiện xâm nhập dựa trên host - HIDS): Phát
hiện xâm nhập hƣớng vào nút cụ thể của mạng.
1.4.1. NIDS
NIDS [5] là một hệ thống phát hiện xâm nhập bằng cách thu thập dữ liệu của
các gói tin lƣu thông trên các phƣơng tiện truyền dẫn nhƣ cables, wireless bằng
cách sử dụng các card giao tiếp. Khi một gói dữ liệu phù hợp với qui tắc của hệ
thống, một cảnh báo đƣợc tạo ra để thông báo đến nhà quản trị và các file log đƣợc
lƣu vào cơ sở dữ liệu.
NIDS đƣợc đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài
(thƣờng đặt sau Firewall) để giám sát toàn bộ lƣu lƣợng vào ra, phát hiện xâm nhập

16


trái phép từ Internet cho toàn bộ hệ thống mạng nội bộ. Hệ thống này có thể là một
thiết bị phần cứng riêng biệt đƣợc thiết lập sẵn hoặc phần mềm cài đặt trên máy
tính. Chủ yếu dùng để đo lƣu lƣợng mạng đƣợc sử dụng. Tuy nhiên có thể xảy ra
hiện tƣợng nghẽn cổ chai khi lƣu lƣợng mạng hoạt động ở mức cao. NIDS làm
nhiệm vụ phân tích các gói tin và kiểm tra các dấu hiệu tấn công dựa trên một tập
các dấu hiệu mẫu. Nếu phát hiện tấn công, NIDS sẽ ghi vào log file hoặc gửi đi
cảnh báo, cách thức cảnh báo phụ thuộc vào từng hệ thống IDS hoặc cách cấu hình.


Internet

NIDS

NIDS

Firewall
Web Server Mail Server

Web Server

DNS

NIDS

Hình 1.3. NIDS Network
* Ƣu điểm của NIDS [5] [15]
- Quản lý đƣợc cả một phân đoạn mạng (network segment) bao gồm nhiều
host;
- "Trong suốt" với ngƣời sử dụng lẫn kẻ tấn công và không làm ảnh hƣởng
đến hoạt động của một máy tính cụ thể nào;
- Cài đặt và bảo trì đơn giản, không ảnh hƣởng tới mạng;
- Tránh đƣợc việc bị tấn công từ chối dịch vụ (DoS) tới một host nào đó;

17


- Hoạt động phát hiện chủ yếu ở tầng mạng (trong mô hình OSI) nên có thể
độc lập với các ứng dụng và các hệ điều hành sử dụng tại máy tính trên mạng.
* Hạn chế của NIDS [5] [15]

- Giới hạn băng thông;
- Có thể xảy ra trƣờng hợp báo động nhầm (false positive), tức là không có
xâm nhập (intrusion) mà NIDS vẫn báo;
- Không có khả năng phát hiện đƣợc các tấn công trên các dòng dữ liệu đã
đƣợc mã hoá nhƣ: SSL, SSH, IPSec…;
- NIDS đòi hỏi phải đƣợc cập nhật các dấu hiệu (signature) tấn công mới
nhất để thực sự hoạt động hiệu quả;
- Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động. Khi báo
động đƣợc phát ra, hệ thống có thể đã bị tổn hại;
- Không cho biết việc mạng bị tấn công có thành công hay không.
Một trong những hạn chế là giới hạn băng thông. Những đầu dò mạng phải
thu thập tất cả các lƣu lƣợng mạng, sắp xếp lại và phân tích chúng. Khi tốc độ mạng
tăng lên thì khả năng của bộ thu thập thông tin cũng vậy. Một giải pháp là phải bảo
đảm cho mạng đƣợc thiết kế chính xác để cho phép sự sắp đặt của nhiều bộ thu thập
thông tin.
1.4.2. HIDS
HIDS [5] thƣờng đƣợc cài đặt trên một máy tính nhất định. Thay vì giám sát
hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một
máy tính. HIDS có thể đƣợc triển khai trên nhiều máy tính trong hệ thống mạng,
cho phép ngƣời dùng thực hiện một cách linh hoạt trong các đoạn mạng mà NIDS
không thể thực hiện đƣợc. Lƣu lƣợng đã gửi tới máy tính HIDS đƣợc phân tích và
chuyển qua nếu chúng không chứa mã nguy hiểm.

18


Internet

Firewall


HIDS

HIDS
Web server

Mail server

HIDS

DNS

Web server

HIDS

HIDS

Hình 1.4. HIDS Network
* Ƣu điểm của HIDS [5] [15]
- Có khả năng xác định ngƣời dùng liên quan tới một sự kiện;
- HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy (NIDS
không có khả năng này);
- Có thể phân tích các dữ liệu mã hoá;
- Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trên host
này.
* Hạn chế của HIDS [5] [15]
- Khả năng quản lý;
- Tầm nhìn vi mô về các sự tấn công mạng;
- Các máy chủ bị thỏa hiệp;
- Những giới hạn của hệ điều hành: HIDS đƣợc thiết kế hoạt động chủ yếu

chạy trên hệ điều hành Window. Tuy nhiên cũng đã có 1 số chạy đƣợc trên UNIX
và những hệ điều hành khác.

19


Vì hệ thống HIDS đòi hỏi phần mềm phải đƣợc cài đặt trên tất cả các máy
chủ nên đây là khó khăn cho những nhà quản trị khi các điều khiển phiên bản, bảo
trì phần mềm và cấu hình phần mềm trở thành công việc tốn nhiều thời gian và
phức tạp. Bởi vì HIDS chỉ phân tích những lƣu lƣợng do máy chủ nhận đƣợc, chúng
không thể phát hiện những tấn công thăm dò thông thƣờng đƣợc thực hiện nhằm
chống lại một máy chủ hay là một nhóm máy chủ. Hệ thống HIDS sẽ không phát
hiện đƣợc những chức năng quét ping hay dò cổng (ping sweep and port scans) trên
nhiều máy chủ. Nếu máy chủ bị thỏa hiệp thì kẻ xâm nhập hoàn toàn có thể tắt phần
mềm IDS hay tắt kết nối của máy chủ đó. Một khi điều này xảy ra thì máy chủ sẽ
không thể tạo ra đƣợc cảnh báo nào cả.
1.4.3. So sánh NIDS và HIDS
Sự khác nhau cơ bản giữa chúng đó là trong khi NIDS phát hiện ra các cuộc
tấn công tiềm năng (những thứ sẽ đƣợc chuyển tới đích) thì HIDS lại phát hiện ra
những cuộc tấn công đã thành công. Bởi vậy có thể nói rằng NIDS mang tính tiền
phong hơn. Tuy nhiên, một HIDS sẽ hiệu quả hơn đối với trong các môi trƣờng có
tốc độ chuyển dịch lớn, mã hoá - đây là những môi trƣờng mà NIDS rất khó hoạt
động.
1.5. Kỹ thuật phát hiện xâm nhập
Kỹ thuật phát hiện xâm nhập đƣợc xếp vào một trong hai phƣơng pháp [4]
[11]: Phát hiện sử dụng sai (misused detection) hoặc phát hiện bất thƣờng (anomaly
detection).
Kỹ thuật phát hiện sử dụng sai, còn gọi là kỹ thuật phát hiện dựa trên dấu
hiệu (signature-based detection), tìm kiếm hành vi tƣơng ứng với một kịch bản tấn
công đã biết bằng cách phân tích các thông tin trong mạng, so sánh nó với một cơ

sở dữ liệu lớn của các cuộc tấn công đã đƣợc biết đến dựa trên các dấu hiệu
(signatures). Bất kỳ một cuộc tấn công mới nào mà không có trong cơ sở dữ liệu thì
hệ thống không thể phát hiện đƣợc, vì vậy cơ sở dữ liệu phải đƣợc cập nhật mới
thƣờng xuyên, điều đó không phải dễ dàng thực hiện trong các mạng cảm biến.

20


Các kỹ thuật phát hiện bất thƣờng [4] phát hiện các xâm nhập bằng cách
tìm kiếm hành vi khác với các hoạt động bình thƣờng của ngƣời dùng hay hệ thống.
Những kỹ thuật này không yêu cầu hiểu biết về các cuộc tấn công đã biết và có thể
phát hiện các kiểu xâm nhập mới, kỹ thuật này đƣợc xem là phù hợp hơn với các
mạng cảm biến.
Câu hỏi đặt ra là làm thế nào để phân biệt đƣợc các hành vi bất thƣờng từ
những hoạt động bình thƣờng, làm sao để biết liệu một hành vi này là bình thƣờng
hay không là điều quan trọng nhất trong hệ thống phát hiện bất thƣờng.
1.5.1. Phát hiện xâm nhập dựa trên sử dụng sai
Phƣơng pháp phát hiện dựa trên sử dụng sai (Misuse-based Detection) [4] so
sánh các dấu hiệu mối đe dọa đã biết với các sự kiện đƣợc giám sát để nhận dạng
tấn công. Phƣơng pháp này rất hiệu quả trong phát hiện các mối đe dọa đã biết
nhƣng không có tác dụng trong việc phát hiện mối đe dọa chƣa biết và các mối đe
dọa có nhiều biến thể, do chƣa có đƣợc thông tin về cuộc tấn công.
Phƣơng pháp này gồm hai bƣớc để phát hiện đột nhập:
(1) Xây dựng một tập hợp dấu hiệu tấn công hay đột nhập đã biết trƣớc (còn
đƣợc gọi là mẫu - pattern).
(2) Kiểm tra hành vi hiện tại xem có khớp (match) với tập các dấu hiệu đã
xây dựng hay không để nhận biết một tấn công.
Ƣu điểm [4]:
Tỉ lệ cảnh báo sai (false positive) thấp hơn so với phƣơng pháp dựa trên bất
thƣờng; dễ triển khai, tạo cơ sở dữ liệu dấu hiệu tấn công.

Nhƣợc điểm [4]:
- Không thể phát hiện những cuộc tấn công mới khi chƣa biết dấu hiệu;
- Không có khả năng phát hiện các biến thể của những cuộc tấn công đã biết:
Những file dấu hiệu là những file tĩnh, bằng cách thay đổi cách tấn công, một kẻ
xâm nhập có thể thực hiện cuộc xâm nhập mà không bị phát hiện;
- Mỗi cuộc tấn công hay biến thể của nó đều cần tạo thêm dấu hiệu đƣa vào
CSDL, nên kích cỡ của nó ngày càng lớn;

21


- Kỹ thuật này có thể dễ bị sai bởi vì nó chỉ dựa trên các biểu thức thông
thƣờng và khớp với chuỗi trong mẫu.
1.5.2. Phát hiện xâm nhập dựa trên bất thường
Phƣơng pháp phát hiện xâm nhập dựa vào bất thƣờng (Anomaly-based
Detection) [3] [4] là quá trình so sánh các định nghĩa sự kiện đƣợc cho là bình
thƣờng với các sự kiện đƣợc quan sát để xác định các vấn đề bất thƣờng. Trƣớc hết,
hệ thống phát hiện bất thƣờng tạo một hồ sơ cơ bản (baseline) về các hoạt động
bình thƣờng của hệ thống, của mạng hoặc chƣơng trình. Sau đó, bất cứ hoạt động
nào lệch khỏi baseline đƣợc xem nhƣ một khả năng xâm nhập và hệ thống sẽ đƣa ra
cảnh báo. Các ngƣỡng định trƣớc có thể đƣợc điều chỉnh để đáp ứng hiệu năng
mong muốn. Hệ thống sử dụng hồ sơ (profile) đƣợc phát hiện bằng cách giám sát
các đặc trƣng của các hành động điển hình trong một khoảng thời gian. Các thuật
toán phát hiện bất thƣờng hiện nay rất hữu hiệu trong việc phát hiện các mối đe doạ
mạng nhƣ dạng tấn công từ chối dịch vụ (DoS), DDoS, Worm, spam,v.v...
Tƣơng tự nhƣ phƣơng pháp phát hiện đột nhập dựa trên dấu hiệu, phƣơng
pháp phát hiện đột nhập dựa trên bất thƣờng này gồm có hai bƣớc:
(1) Bƣớc huấn luyện: Xây dựng cơ sở dữ liệu (CSDL) các hành vi bình
thƣờng của đối tƣợng (ngƣời sử dụng, chƣơng trình ứng dụng, chƣơng trình hệ
thống, lƣu lƣợng mạng...). Thông thƣờng, ngƣời ta định nghĩa profile lƣu lƣợng

bình thƣờng, còn profile đã đƣợc huấn luyện sẽ áp dụng đối với dữ liệu mới.
(2) Bƣớc kiểm tra: So sánh hành vi hiện tại của đối tƣợng với các hành vi
đƣợc xác định là bình thƣờng đƣợc lƣu trong CSDL để xác định các hành vi tấn
công và đột nhập.
Ƣu điểm [4]: Có khả năng phát hiện các dạng tấn công xâm nhập chƣa biết
trƣớc đó (hoặc các biến thể của các dạng tấn công đã biết) khi chúng xuất hiện;
cung cấp các thông tin để xây dựng các dấu hiệu.
Nhƣợc điểm [4]: Việc thiết lập các profile không đủ tinh vi để phản ánh
đúng hoạt động tính toán trên thực tế. Vì vậy, thƣờng tạo ra nhiều cảnh báo sai làm
giảm hiệu suất hoạt động của mạng. Cần phải đƣợc đào tạo thƣờng xuyên.

22


Phƣơng pháp phát hiện dựa trên bất thƣờng giải quyết vấn đề phát hiện xâm
nhập chƣa biết. Thông thƣờng, nó không thể cung cấp thông tin chi tiết về các cuộc
tấn công. Một hệ thống phát hiện xâm nhập thiết kế tốt phải có khả năng phát hiện
cả những tấn công dấu hiệu và bất thƣờng.
1.5.3. So sánh hai phương pháp [3] [11]
Phát hiện dựa trên sử dụng sai

Phát hiện dựa trên bất thƣờng

(Misuse based detection)

(Anomaly base detection)

Là phƣơng pháp truyền thống, sử dụng Là phƣơng pháp tiên tiến, không cần
một tập các mẫu mô tả các dấu hiệu tấn sử dụng tập mẫu.
công.


- Tìm kiếm độ lệch của hành động

- Tìm kiếm các hành động tƣơng ứng với thực tế với các hành động thông
các kỹ thuật xâm nhập đã biết (dựa trên thƣờng.
dấu hiệu)
Đƣa ra kết luận dựa vào phép so sánh Đƣa ra kết quả dựa vào độ lệch giữa
khớp mẫu (pattern matching).

thông tin thực tế và ngƣỡng cho
phép.

- Hiệu quả trong việc phát hiện các dạng Hiệu quả trong việc phát hiện các
tấn công hay các biến thể của các dạng tấn dạng tấn công mới mà một hệ thống
công đã biết.

phát hiện dấu hiệu sai bỏ qua, chẳng

- Không phát hiện đƣợc các dạng tấn công hạn nhƣ tấn công zero-day.
mới.
Dễ cấu hình hơn do yêu cầu ít hơn về thu Khó cấu hình hơn vì đƣa ra nhiều dữ
thập dữ liệu, phân tích và cập nhật.

liệu hơn, phải có đƣợc một khái
niệm toàn diện về hành vi bình
thƣờng của của ngƣời dùng và hệ
thống.

Tỉ lệ cảnh báo sai thấp hơn


Tỉ lệ cảnh báo sai thƣờng cao

23


Theo bảng trên, ta có thể thấy IDS dựa trên bất thƣờng có nhiều ƣu điểm hơn
so với IDS dựa trên sử dụng sai. Tuy nhiên, để tăng cƣờng tính chính xác của cảnh
báo thì nên có sự kết hợp giữa hai phƣơng pháp.
1.6. Hệ thống phát hiện xâm nhập với Snort
1.6.1. Giới thiệu Snort
Snort [5] là một hệ thống phát hiện xâm nhập mạng đƣợc Martin Roesch
phát triển đầu tiên vào năm 1998 dƣới mô hình mã nguồn mở, hoàn toàn miễn phí
và dễ sử dụng với nhiều tính năng mạnh mẽ. Với kiến trúc thiết kế theo kiểu
module, CSDL luật của Snort rất lớn và đƣợc cập nhật thƣờng xuyên bởi một cộng
đồng ngƣời sử dụng. Snort có thể triển khai trên nhiều nền tảng hệ điều hành nhƣ
Windows, Linux, OpenBSD, Solaris, MaxOS…; theo dõi 24/7 với thời gian thật,
giúp phát hiện liên tục các xâm nhập vào hệ thống.
Snort chủ yếu là một IDS dựa trên luật, tuy nhiên các input plug-in cũng tồn
tại để phát hiện sự bất thƣờng trong các header của giao thức. Snort sử dụng các luật
đƣợc định nghĩa trƣớc và lƣu trữ trong các file text theo từng nhóm loại, có thể
đƣợc thêm, chỉnh sửa bởi ngƣời quản trị, đồng thời cũng có thể xóa một vài luật đã
đƣợc tạo trƣớc để tránh việc báo động sai. File cấu hình chính của Snort là
snort.conf. Snort đọc những luật này vào lúc khởi tạo và xây dựng cấu trúc dữ liệu
để cung cấp các luật nhằm bắt giữ dữ liệu. Việc tìm ra các dấu hiệu và sử dụng
chúng trong các luật là một vấn đề đòi hỏi sự tinh tế, vì ta càng sử dụng nhiều luật
thì năng lực xử lý càng đƣợc yêu cầu để thu thập dữ liệu trong thực tế.
Snort cũng có điểm yếu, đó là tƣơng tự nhƣ các bộ quét virus (virus scanner),
Snort chỉ có thể chống lại các cuộc tấn công một cách hiệu quả nếu nhƣ nó biết
đƣợc dấu hiệu (signature) của các cuộc tấn công đó. Dựa vào điểm này, các hacker
có thể điều chỉnh các cuộc tấn công để thay đổi signature của cuộc tấn công đó. Từ

đó các cuộc tấn công này có thể vƣợt qua đƣợc sự giám sát của Snort. Nhƣ vậy có
thể thấy rằng, để Snort hoạt động một cách hiệu quả thì một trong những yếu tố
quan trọng cần phải chú ý là các luật viết cho nó.
Snort có thể thực thi ở 3 chế độ chính:

24


- Chế độ Packet Sniffer: Ở chế độ này, Snort hoạt động nhƣ một chƣơng
trình thu thập và phân tích gói tin thông thƣờng, gói tin sau khi giải mã đó sẽ trình
bày kết quả trên giao diện hiển thị.
- Chế độ Packet Logger: Gói tin sau khi giải mã đƣợc ghi vào tập tin có cấu
trúc binary hay ASCII.
- Chế độ NIDS: Đây là chế độ hoạt động rất mạnh và đƣợc áp dụng nhiều
nhất, sử dụng các rule để áp dụng lên gói tin. Snort sẽ phân tích các gói tin luân
chuyển trên mạng và so sánh với các thông tin đã đƣợc ngƣời dùng định nghĩa, gói
tin sau khi giải mã đƣợc chuyển sang Preprocessor tƣơng ứng.
1.6.2. Kiến trúc của Snort
Snort có vài thành phần quan trọng nhƣ các mô-đun tiền xử lý
(Preprocessors) và các plug-in cảnh báo, hầu hết trong số đó có thể đƣợc điều chỉnh
thêm các plug-in để thực thi Snort cho những yêu cầu cụ thể của ngƣời dùng. Kiến
trúc Snort bao gồm bốn thành phần chính sau đây [5]:
- Môđun chặn bắt gói tin (Sniffer);
- Môđun tiền xử lý (Preprocessor);
- Môđun phát hiện (Detection Engine);
- Môđun kết xuất thông tin (Output).

Hình 1.5. Kiến trúc Snort [5]
Về cơ bản, Snort là một công cụ chặn bắt gói tin (packet sniffer). Tuy nhiên,
nó đƣợc thiết kế để bắt các gói tin và xử lý chúng thông qua mô-đun tiền xử lý, sau

đó kiểm tra các gói tin đó dựa vào bộ luật (qua Detection Engine). Tại đây, tuỳ theo

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×