Tải bản đầy đủ (.docx) (53 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Đồ án triển khai hệ thống phát hiện xâm nhập trái phép bằng snort

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.86 MB, 53 trang )

BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG
TRƯỜNG ĐẠI HỌC TÀI NGUYÊN VÀ MÔI TRƯỜNG HÀ NỘI
KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC
Đề tài: Triển khai hệ thống phát hiện xâm nhập trái phép bằng snort

Giáo viên hướng dẫn: Th.s Trịnh Thị Lý
Sinh viên thực hiện : Vũ Văn Quyền

Lớp

: DH1C1

MSSV

: DC00100541

Ngành/Chuyên ngành: Công nghệ Thông tin

Năm học 2015


LỜI CẢM ƠN
Được sự phân công của Khoa Công nghệ thông tin trường Đại học Tài nguyên
và Môi trường Hà Nội và sự đồng ý của Cô giáo hướng dẫn Ths. Trịnh Thị Lý em
đã thực hiện đề tài “Triển khai hệ thống phát hiện xâm nhập trái phép bằng snort”.
Để hoàn thành đồ án tốt nghiệp này, em xin chân thành cảm ơn các thầy cô
giáo trong trường đã tận tình hướng dẫn, giảng dạy, chỉ bảo em trong suốt quá trình
học tập, nghiên cứu và rèn luyện ở mái trường Đại học Tài nguyên và Môi trường
Hà Nội. Đặc biệt em xin bày tỏ lòng kính trọng và biết ơn sâu sắc tới cô giáo


hướng dẫn Ths. Trịnh Thị Lý đã tận tình chu đáo hướng dẫn, trực tiếp chỉ bảo để
em có thể hoàn thành đồ án tốt nghiệp này.
Cuối cùng em xin gửi lời cảm ơn tới gia đình, bạn bè đã giúp đỡ, động viên
em trong suốt quá trình học tập vừa qua.


MỤC LỤC
LỜI CẢM ƠN
DANH MỤC CÁC BẢNG
DANH MỤC CÁC HÌNH VẼ
DANH MỤC CÁC TỪ VIẾT TẮT
LỜI NÓI ĐẦ

CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI..............................................................2
1.1

Đặt vấn đề.................................................................................................2

1.2

Mục tiêu....................................................................................................2

1.3

Phạm vi đề tài...........................................................................................2

1.4

Phương pháp tiếp cận................................................................................2


1.5

Nội dung nghiên cứu.................................................................................2

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT.......................................................................3
2.1

Hệ thống phát hiện xâm nhập IDS............................................................3

2.1.1 Giới thiệu về IDS....................................................................................................3
2.1.2 Phân loại IDS và phân tích ưu nhược điểm.....................................................7
2.1.3 Cơ chế hoạt động của IDS...................................................................................10
2.1.4 Cách phát hiện kiểu tấn công thông dụng của IDS......................................12
2.2

Giới thiệu về Snort...................................................................................15

2.2.1 Giới thiệu về Snort.................................................................................................15
2.2.2 Kiến trúc của Snort................................................................................................16
2.2.3 Thành phần và chức năng của Snort.................................................................16
2.2.4 Bộ luật của Snort....................................................................................................20
2.2.5 Cơ chế hoạt động của Snort................................................................................27
3.1

Mô hình triển khai....................................................................................28

3.2

Mô tả yêu cầu...........................................................................................28


3.3

Cài đặt Snort............................................................................................29

3.4

Cấu hình Iptables và chặn tấn công DoS..................................................38


3.5

Demo kết quả...........................................................................................38

CHƯƠNG 4 KẾT LUẬN......................................................................................44
4.1

Kết quả.....................................................................................................44

4.1.1 Những phần nắm được.........................................................................44
4.1.2 Những gì chưa đạt được.......................................................................44
4.2

Hướng phát triển......................................................................................45

TÀI LIỆU THAM KHẢO.....................................................................................46

DANH MỤC CÁC BẢNG
Bảng 2.1 So sánh hai mô hình phát hiện.................................................................20
DANH MỤC CÁC HÌNH VẼ
Hình 2.1. Thành phần của IDS............................................................................................11

Hình 2.2. Hoạt động của IDS...............................................................................................12
Hình 2.3 Sơ đồ hệ thống NIDS............................................................................................15
Hình 2.4 Sơ đồ hệ thống HIDS............................................................................................17
Hình 2.5 Kiến trúc hệ thống Snort.......................................................................................25
Hình 2.6 Bộ tiền xử lý..........................................................................................................26
Hình 2.7 Bộ phát hiện...........................................................................................................27
Hình 2.8 Bộ kết xuất thông tin............................................................................................29
Hình 2.9 Cấu trúc luật của Snort.........................................................................................30
Hình 2.10 Header của luật Snort..........................................................................................31
Hình 3.1 Mô hình triển khai hệ thống IDS-IPS với Snort và Iptables.................................39
Hình 3.2 Hiển thị trang base................................................................................................48
Hình 3.3 Tạo base................................................................................................................49
Hình 3.4 Thông báo tạo thành công....................................................................................49
Hình 3.5 Hệ thống yêu cầu password khi vào trang base....................................................50
Hình 3.6 Chú thích các phần trong rules Snort....................................................................51
Hình 3.7 Địa chỉ IP máy Client............................................................................................53
Hình 3.8 Máy client ping đến địa chỉ IP của Server Snort..................................................54
Hình 3.9 Kết quả của hệ thống báo có máy đang ping........................................................54
Hình 3.10 Giao diện REMOTE DESKTOP........................................................................55


Hình 3.11 Kết quả của hệ thống báo có máy đang REMOTE DESKTOP..........................56
Hình 3.12 Giao diện của phần mềm tấn công DoS..............................................................56
Hình 3.13 Giao diện trước khi tấn công vẫn truy cập tới server bình thường.....................57
Hình 3.14 Giao diện tấn công khi tắt iptables.....................................................................57
Hình 3.15 Giao diện tấn công khi bật firewall iptables.......................................................58


DANH MỤC CÁC TỪ VIẾT TẮT
DoS

Disk Operating System
IDS
Intrusion detection system
IPS
Intrusion Prevention system
NIDS
Network-based intrusion detection
system
HIDS
Host-based intrusion detection system
TTL
Time To Live
TOS
Type of Service


LỜI MỞ ĐẦU
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và
sự phát triển của mạng Internet ngày càng phát triển đa dạng và phong phú. Các
dịch vụ mạng đã thâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội hiện nay.
Các thông tin trên Internet cũng rất đa dạng về nội dung và hình thức, trong đó có
rất nhiều thông tin cần được bảo mật chặt chẽ.
Sự ra đời của công nghệ An ninh mạng giúp cho việc bảo vệ các thông tin
được đưa lên mạng Internet trước việc đánh cắp và dùng sai mục đích gây nhiều
hậu quả nghiêm trọng. Đi cùng với sự phát triển của Internet thì các thủ đoạn tấn
công mạng cũng ngày một đa dạng và nguy hiểm. Do đó đối với mỗi hệ thống
mạng cần được thiết lập để luôn hoạt động một cách trơn tru, hiệu quả, đảm bảo
tính tin cậy, chính xác cũng như tính sẵn dùng là hết sức quan trọng và cần thiết.
Dựa trên những thực tế đó, em đã tìm hiểu về đề tài “Triển khai hệ thống phát
hiện xâm nhập trái phép bằng snort”.

Qua đây em cũng xin gửi lời cảm ơn chân thành nhất tới các thầy cô giáo
trong khoa Công nghệ thông tin, trường Đại học Tài nguyên và Môi trường Hà nội
đã tận tình dạy bảo, giúp đỡ em trong thời gian qua. Đặc biệt em xin gửi lời cảm
ơn sâu sắc nhất tới cô Ths. Trịnh Thị Lý đã chỉ bảo và giúp đỡ em để có thể hoàn
thành đồ án này.
Tuy đã cố gắng hết sức tìm hiểu, phân tích nhưng do kiến thức chuyên môn
cũng như thời gian nghiên cứu còn hạn chế nên không thể tránh khỏi những sai sót.
Rất mong nhận được sự góp ý của thầy cô cũng như các bạn.
Em xin chân thành cảm ơn!

1


CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI
1.1 Đặt vấn đề
An ninh thông tin nói chung và an ninh mạng nói riêng đang là vấn đề được
quan tâm không chỉ Việt nam mà trên toàn thế giới. Cùng với sự phát triển nhanh
chóng của mạng Internet, việc đảm bảo an ninh cho các hệ thống càng trở nên cấp
thiết hơn bao giờ.
Trong lĩnh vực an ninh mạng, phát hiện và phòng chống tấn công xâm nhập
cho các mạng máy tính là một vấn đề cần thiết. Ngoài việc tăng cường chính sách
bảo mật trong hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết
cũng làm tăng sự nguy hiểm với các dữ liệu quan trọng như sao chép dữ liệu, nghe
trộm việc truyền nhằm lấy dữ liệu quan trọng.
Có rất nhiều giải pháp được đưa ra và để hạn chế những vấn đề nói trên
thì:”Triển khai hệ thống phát hiện xâm nhập trái phép bằng snort” là một giải pháp
hữu ích cho hệ thống.
1.2 Mục tiêu
- Tìm hiểu thông tin về bảo mật.
- Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS.

- Tìm hiểu và nghiên cứu các vấn đề lien quan đến snort.
- Tìm hiểu phương pháp và triển khai cài đặt snort trên linux.
- Đưa ra một số nhận định và phát triển đề tài.
1.3 Phạm vi đề tài
- Hệ thống phát hiện xâm nhâp bằng snort được dùng thu thập thông tin cho
quá trình ngăn chặn các cuộc tấn công nhằm nâng cao tính bảo mật của hệ thống.
- Sử dụng chương trình Snort và tổng hợp các kiến thức về IDS và cơ sở dữ liệu
SQL hệ Đại học, ngành Công nghệ thông tin để xây dựng hệ thống
1.4 Phương pháp tiếp cận
Hệ thống được triển khai trên hệ điều hành linux CentOS 6.5 được cài trên máy ảo
VMWare 11.0
1.5 Nội dung nghiên cứu
- Nghiên cứu về lý thuyết phát hiện xâm nhập thông qua các tài liệu các bài
báo cáo.
- Tìm hiểu, tổng hợp và phân tích hệ thống phát hiện xâm nhập IDS.
- Nghiên cứu về lý thuyết Snort thông qua các tài liệu từ trang chủ của Snort.
- Xây dựng hệ thống IDS- Snort trên linux.

2


- Thu thập tài liệu liên quan đén các vấn đề về đề tài

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT
2.1 Hệ thống phát hiện xâm nhập IDS
2.1.1 Giới thiệu về IDS
a) Định nghĩa IDS
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là một thiết
bị phần cứng hoặc ứng dụng phần mềm theo dõi, giám sát và thu thập thông tin từ
các hoạt động ra vào của mạng. Sau đó hệ thống sẽ phân tích để tìm dấu hiệu của sự

xâm nhập hoặc tấn công hệ thống trái phép và cảnh báo đến người quản trị hệ
thống.
Nói cách khác, IDS là hệ thống phát hiện các dấu hiệu có nguy cơ làm tổn hại
đến tính sẵn dung, tính toàn vẹn, tính bảo mật của một hệ thống mạng hoặc máy
tính, làm cơ sở để đảm bảo cho an ninh hệ thống. Chúng có thể xác định những hoạt
động xâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, system call,
và những khu vực khác khi phát hiện ra những dấu hiệu xâm nhập.
IDS có thể phân biệt giữa những tấn công từ bên trong (những người dùng
trong mạng LAN) hay tấn công từ bên ngoài (từ các Hacker). IDS phát hiện dựa
trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống như các phân mềm diệt virus)
hay dựa trên so sánh lưu thông mạng hiện tại với baseline(thông số đặc chuẩn của
hệ thống) để tìm ra các dấu hiệu khác thường.
Một hệ thống phát hiện xâm nhập trái phép cần phải thỏa mãn những yêu cầu sau:
- Tính chính xác(Accuracy): IDS không được coi những hành động thông
thường trong hệ thống là những hành động bất thường hay lạm dụng (hành động
thông thường bị coi là bất thường được gọi là false positive).
- Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâm
nhập trái phép trong thời gian thực (thời gian thực nghĩa là hành động xâm nhập trái
phép phải được phát hiện trước khi xảy ra tổn thương nghiêm trọng tới hệ thống).
- Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập trái
phép (xâm nhập không bị phát hiện gọi là false negative). Đây là một điều kiện khó
có thể thỏa mãn được vì gần như không thẻ có tất cả thông tin về các cuộc tấn công
từ quá khứ, hiện tại và tương lai.
- Chịu lỗi (Fault Tolerance): Bản thân IDS phải có khả năng chống lại các
cuộc tấn công.
- Khả năng mở rộng (Scalability): IDS phải có khả năng sử lý trong trọng thái
xấu nhất là không bỏ xót thông tin. Yêu cầu này có liên quan đến hệ thống mà các
3



sự kiện tương quan đến từ nhiều nguồn tài nguyên với số lượng host nhỏ. Với sự
phát triển mạnh mẽ và nhanh chóng của mạng máy tính, hệ thống có thể bị quá tải
bởi sự tăng trưởng số lượng sự kiện.
b) Lợi ích của IDS
Lợi thế của hệ thống này là có thể phát hiện được những cuộc tấn công chưa
biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do định nghĩa quá
chung về cuộc tấn công. Thống kê cho thấy trong hệ thống này hầu hết các cảnh báo
là cảnh báo sai, trong đó có rất nhiều cảnh báo từ những hành động bình thường, chỉ
có vài hành động là có ý đồ xấu, vấn đề là ở chỗ hầu hết các hệ thống đều có ít khả
năng giới hạn các cảnh báo nhầm.
c) Phân biệt những hệ thống không phải là IDS
Các thiết bị bảo mật dưới đây không được coi là hệ thống IDS:
- Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề
tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm tra
lưu lượng mạng.
- Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành,
dịch vụ mạng (các bộ quét bảo mật).
- Các sản phẩm chống virus, Trojan hose, worm,… Mặc dù những tính năng
mặc định có thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hổng bảo
mật hiệu quả.
- Tường lửa – Firewall
- Các hệ thống bảo mật, mật mã như: SSI, Kerberos, VPN,…
d) Kiến trúc và nguyên lý hoạt động của IDS
- Thành phần của IDS

Hình 2.1. Thành phần của IDS
4


5



Kiến trúc của hệ thống IDS bao gồm các thành phần chính:
- Thành phần thu gói tin ( Information collection)
- Thành phần phân tích gói tin (Dectection)
- Thành phần phản hổi (Respontion)
Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và
ở thành phần này bộ cảm biến đóng vai trò quyết định nên chúng ta sẽ đi vào phân
tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập là như
thế nào.
Bộ cảm biến được tích hợp với thành phần là sưu tập dữ liệu và một bộ tạo sự
kiện. Cách sưu tập này được xác định bởi chính sách tạo sự kiện. Bộ tạo sự kiện
( hệ điều hành, mạng ứng dụng ) cung cấp một số chính sách thích hợp cho các sự
kiện, có thể là một bản ghi các sự kiện của hệ thống hoặc các gói mạng.
Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không
tương thích đạt được từ các sự kiện quan trọng với hệ thống bảo vệ, vì vậy có thể
phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính
sách phát hiện cho mục này. Ngoài ra còn có các thành phần: dấu hiệu tấn công,
profile hành vi thông thường, các tham số cấu hình, gồm các chệ độ truyền thông
với module đáp trả. Bộ cảm biến cũng có cơ sở dữ liệu riêng của nó, gồm dữ kiệu
lưu về các xâm phạm phức tạp tiềm ẩn(tạo ra từ nhiều hành động khác nhau).
- Nguyên lý hoạt động của IDS

Hình 2.2. Hoạt động của IDS

6


Quá trình phát hiện có thể được mô tả bởi các yếu tố cơ bản nền tảng sau :
- Thu thập thông tin (information source): Kiểm tra tất cả các gói tin trên

mạng (Intrustion Montorring).
- Sự phân tích (Anaylysis): Phân tích tất cả các gói tin đã thu thập để cho biết
hành động nào là tấn công (Intruction detection ).
- Xuất thông tin cảnh báo (Respone): Hành động cảnh báo cho sự tấn công
được phân tích ở trên nhờ bộ phận thông báo (Notification).
Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến
các quản trị viên hệ thống về sự việc này. Bước tiếp theo thực hiện bởi các quản trị
viên hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (các
chức năng khóa để giới hạn session, backup hệ thống, định tuyến các kết nối đến
bẫy hệ thống, cơ sở hạ tầng hợp lệ, …) - theo các chính sách bảo mật của các tổ
chức. Một IDS là một thành phần nằm trong chính sách bảo mật.
Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trong
những nhiệm vụ cơ bản . Nó cũng hữu dụng trong việc nhiên cứu mang tính pháp lý
các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các tấn công
trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
Phát hiện xâm nhập đôi khi có thể đưa ra các cảnh báo sai, ví dụ những vấn đề
xảy ra do trục trặc hệ thống hoặc gửi nhầm các mô tả tấn công hoặc các chữ ký
thông qua mail.
- Chức năng của IDS
Những đe dọa đối với an ninh mạng ngày càng trở lên cần thiết đã đặt ra câu
hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện
xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập hữu ích cho họ,
bổ sung những điểm yếu của hệ thống khác… IDS có được chấp nhận là một thành
phần thêm vào cho hệ thống an toàn không vẫn là câu hỏi của nhiều nhà quản trị hệ
thống. Có nhiều tài liệu về những chức năng mà IDS đã làm được và đây là vài lý
do đưa ra tại sao chọn IDS:
- Bảo vệ tính toàn vẹn của dữ liệu, bảo đảm sự nhất quán của dữ liệu trong hệ
thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hơp pháp hoặc phá
hoại dữ liệu.
- Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài.

- Bảo vệ tính khá dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy
nhập thông tin của người dùng hợp pháp.

7


- Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên
của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp.
- Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi
phục , sửa chữa…
Chức năng quan trọng nhất của IDS là : giám sát - cảnh báo - bảo vệ.
- Giám sát: lưu lượng mạng và các hành động khả nghi.
- Cảnh báo: báo cáo về tình trạng mang cho hệ thống và nhà quản trị.
- Bảo vệ: dùng những thiết lập mặc định và các cấu hình từ nhà quản trị mà có
những hành động thiết thực để chống lại các cuộc xâm nhập, phá hoại trái phép.
Chức năng mở rộng:
- Phân biệt: tấn công bên trong và bên ngoài.
- Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào
sự so sánh thông lượng mạng hiện tại với baseline.
Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là hiển nhiên.
Việc đưa ra những điển yếu đó nhằm đánh giá chất lượng việc thiết kế mạng cũng
như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng.
2.1.2 Phân loại IDS và phân tích ưu nhược điểm
IDS được chia thành hai loại đó là:
- Network-based Intrusion Detection System (NIDS): Hệ thống phát hiện xâm
nhập hướng mạng.
- Host-based Intrusion Detection System (HIDS): Hệ thống phát hiện xâm
nhập máy chủ.
a) Hệ thống phát hiện xâm nhập hướng mạng (NIDS)
NIDS (Network-based Intrusion Detection System) sử dụng dữ liệu kiểm tra

từ một máy trạm đơn để phát hiện xâm nhập, NIDS phát hiện xâm nhập khi thu thập
dữ liệu của các gói tin lưu thông trên các phương tiện truyền dẫn như cables,
wireless bằng cách sử dụng các card giao tiếp. Khi một gói dữ liệu phù hợp với qui
tắc của hệ thống, một cảnh báo được tạo ra để thông báo đến nhà quản trị và các file
log được lưu vào cơ sở dữ liệu.
NIDS thường có hai thành phần logic:
- Bộ cảm biến – Sensor: được đặt tại một đoạn mạng, nó sẽ kiểm soát các cuộc
lưu thông đáng nghi ngờ trên đoạn mạng đó.
- Trạm quản lý: sau khi nhận được các tín hiệu cảnh báo từ bộ cảm biến nó sẽ
thông báo cho nhà quản trị.

8


Hình 2.3 Sơ đồ hệ thống NIDS
Ưu điểm của NIDS
- Chi phí thấp: NIDS có thể được triển khai cho mỗi phân đoạn mạng. Một hệ
thống IDS theo dõi lưu lượng mạng trên tất cả các hệ thống trong một phân đoạn
mạng, giúp chúng ta không cần phải nạp các phần mềm tại các host trong toàn
mạng. Điều này làm giảm chi phí quản lý.
- Dễ dàng triển khai: NIDS không ảnh hưởng đến hệ thống cơ sở hạ tầng hiện
tại. Các hệ thống NIDS hoạt động độc lập, bộ cảm biến của NIDS sẽ lắng nghe tất
cả các cuộc tấn công vào một phân đoạn mạng không phụ thuộc vào kiểu của hệ
điều hành máy chủ đang chạy.
- Phát hiện được các tấn công mà HIDS bỏ qua: NIDS kiểm tra tất cả các
header của gói tin cho nên nó không bỏ qua các nguy cơ từ đây.
- Khó xóa bỏ dấu vết: Các thông tin trong file log có thể bị hacker thay đổi
hoặc loại bỏ để che giấu dấu vết sau khi chúng xâm nhập trái phép. NIDS sử dụng
lưu thông hiện hành trên mạng để phát hiện xâm nhập nên hacker không thể sửa đổi
được file log.

- Phát hiện và đối phó kịp thời: NIDS có khả năng phát hiện và xử lý rất nhanh
chóng nên có thể phát hiện các dấu hiệu xâm nhập trái phép khi xảy ra. Dựa trên các
cảm biến được cấu hình sẵn, các cuộc tấn công sẽ bị ngừng lại trước khi có thể truy
cập được đến máy chủ.
- Phát hiện các cuộc tấn công thất bại: Các bộ cảm biến sẽ không thấy được
những tấn công thất bại bên ngoài tường lửa, tuy nhiên NIDS được triển khai bên
9


ngoài các bức tường lửa có thể phát hiện thấy chúng, điều này rất hữu ích để phân
tích những cuộc tấn công đó mặc dù chúng thất bại.
Nhược điểm của NIDS
- Gặp khó khăn khi phân tích các lưu lượng đã được mã hóa như SSH, IPSec,
SSL,…
- NIDS đòi hỏi phải luôn được cập nhật các dấu hiệu tấn công mới nhất để
hoạt động thực sự hiệu quả.
- Hạn chế về hiệu năng: NIDS gặp khó khăn khi phải xử lý tất cả các gói tin
trên mạng rộng hoặc có mật độ lưu thông cao, dẫn đến không thể phát hiện được
các cuộc tấn công thực hiện vào lúc “cao điểm”.
- Găp khó khăn khi phát hiện các cuộc tấn công mạng từ các gói tin phân
mảnh. Các gói tin định dạng này có thể làm cho NIDS hoạt động sai.
b) Hệ thống phát hiện xâm nhập máy chủ (HIDS)
HIDS (Host-based Intrusion Detection System) là hệ thống phát hiện xâm
nhập được cài đặt trên các máy tính (host). HIDS tìm kiếm dấu hiệu xâm nhập vào
host cục bộ, chúng tìm kiếm các hoạt động bất thường, lưu lượng đã gửi đến host
được kiểm tra và phân tích trong file log lưu lại rồi chuyển qua host nếu cảm thấy
không có dấu hiệu đáng nghi ngờ.
HIDS thường dựa trên các tập luật (rule-based) để phân tích các hoạt động.
Nhiệm vụ chính của HIDS là giám sát sự thay đổi trên hệ thống.


Hình 2.4Sơ đồ hệ thống HIDS

10


Ưu điểm
- Xác định được kết quả của cuộc tấn công: HIDS sử dụng hệ thống ghi lại file
log chứa các sự kiện đã xảy ra, nó có thể xác định được một cuộc tấn công đã xảy ra
hay không với độ chính xác cao và ít sai hơn đối với NIDS. NIDS dựa trên bộ cảm
biến, mặc dù chúng xử lý nhanh hơn HIDS nhưng có rất nhiều những cảnh báo giả
được tạo ra.
- Giám sát được các hoạt động cụ thể của hệ thống: HIDS có thể giám sát các
hoạt động mà NIDS không thể như: truy nhập file, thay đổi quyền truy cập file, các
hành động thực thi,… HIDS cũng có thể giám sát được các hành động chỉ được
thực hiện bởi người quản trị. Vì vậy HIDS rất thuận lợi để phân tích các cuộc tấn
công có thể xảy ra do nó thường cung cấp rất nhiều thông tin chi tiết và chính xác
hơn NIDS.
- Phát hiện các cuộc tấn công mà NIDS bỏ qua: HIDS có thể phát hiện các
cuộc tấn công mà NIDS bỏ qua. Ví dụ, nếu một người truy cập trái phép điều khiển
trực tiếp làm thay đổi file hệ thống, loại tấn công này không bị NIDS phát hiện.
- Không yêu cầu thêm phần cứng: HIDS được cài đặt trực tiếp lên hạ tầng
mạng có sẵn nên sẽ không yêu cầu phải cài đặt thêm các phần cứng khác.
- Chi phí thấp: HIDS thường có chi phí rẻ hơn so với NIDS.
Nhược điểm
- Khó quản trị: Các hệ thống HIDS yêu cầu phải được cài đặt lên trên tất cả
các thiết bị muốn bảo vệ. Đây là một khối lượng công việc lớn để cấu hình, quản lý,
cập nhật.
- Thông tin từ HIDS sẽ không còn đáng tin cậy sau khi cuộc tấn công thành
công.
- Chiếm tài nguyên hệ thống: Do cài đặt trên các máy cần bảo vệ nên HIDS

phải sử dụng các tài nguyên của hệ thống để hoạt động.
2.1.3 Cơ chế hoạt động của IDS
Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập
là:
- Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các
xâm nhập băng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập
đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công
cùa hệ thống.

11


- Phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiện
các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường
của người dùng hay hệ thống.
a) Mô hình phát hiện sự lạm dụng
Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập
vào hệ thống mà sử dụng một số kỹ thuật đã biết. Nó liên quan đến việc mô tả đặc
điểm các cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này
được mô tả như một mẫu. Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soát
đối với các mẫu đã rõ ràng. Mầu có thể là một xâu bít cố định (ví dụ như một virus
đặc tà việc chèn xâu,…) dung để mô tả tập hay một chuỗi các hành động đáng nghi
ngờ.
Một hệ thống phát hiện sự lạm dụng điển hình sẽ liên tục sosánh hành động
của hệ thống hiện tại với một tập các kịch bản xâm nhập để cố gắng dò ra kịch bản
đang được tiến hành. Hệ thống này có thê xem xét hành động hiện tại của hệ thống
được bảo vệ trong thời gian thực hoặc có thể là các bản ghi kiểm tra được ghi lại
bởi hệ điều hành.
Các hệ thống phát hiện sự lạm dụng thể hệ đầu tiên sử dụng các luật (rules) đế
mô tả những gì mà các nhà quản trị an ninh tìm kiếm trong hệ thống. Một lượng lớn

tập luật được tích luỹ dẫn đến khó có thể hiểu và sửa đồi bởi vì chúng không được
tạo thành từng nhóm một cách hợp lý trong một kịch bản xâm nhập.
Để giải quyết khó khăn này, các hệ thống thể hệ thứ hai đưa ra các biểu diễn
kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biếu diễn về
phép biển đồ trạng thái. Điều này sẽ mang tính hiệu quả hơn đối với người dùng hệ
thống cần đển sự biểu diễn và hiểu rõ ràng về các kịch bản. Hệ thống phải thường
xuyên duy trì và cập nhật để đương đầuvới những kịch bản xâm nhập mới được
phát hiện.
b) Mô hình phát hiện sự bất thường
Dựa trên việc định nghĩa và mô tả đặc điểm của các hành vi có thể chấp nhận
của hệ thống để phân biệt chúng với các hành vi không mong muốn hoặc bất
thường, tìm ra các thay đối, các hành vi bất hợp pháp.
Như vậy, bộ phát hiện sự không bình thường phải có khả năng phân biệt giữa
những hiện tượng thông thường và hiện tượng bất thường.Ranh giới giữa dạng thức
chấp nhận được và dạng thức bất thường của đoạn mã và dữ liệu lưu trữ được định
nghĩa rõ ràng (chỉ cần một bú khác nhau), còn ranh giới giữa hành vihợp lệ và hành
vi bất thường thì khó xác định hơn.
12


So sánh giữa hai mô hình
Phát hiện sự lạm dụng
(Misuse Detection Model)
Cơ sờ dữ liệu các dấu hiệu tấn công.
Tìm kiểm các hành động tương ứng với
các kĩ thuật xâm nhập biết đến (dựa trên
dấu hiệu - signatures).
Hiệu quả trong việc phát hiện các dạng
tấn công hay các biển thể cùa các dạng
tấn công đã biết. Không phát hiện được

các dạng tấn công mới.

Phát hiện sự bất thường
(Anomaly Detection Model)
Cơ sở dữ liệu các hành động thông thường.
Tìm kiếm độ lệch của hành động thực tế so
với hành động thông thường.
Hiệu quả trong việc phát hiện các dạng tấn
công mới mà một hệ thống phát hiện sự
lạm dụng bỏ qua.

Dễ cẩu hình hơn do đòi hỏi ít hơn về thu Khó cấu hình hơn vì đưa ra nhiều dữ liệu
thập dữ liệu, phân tích và cập nhật.
hơn, phải có được một khái niệm toàn diện
về hành vi đã biết hay hành vi được mong
đợi của hệ thống
Đưa ra kết luận dựa vào phép so khớp
Đưa ra kết quả dựa vào độ lệch giữa thông
mẫu (pattern matchìng).
túi thực tế và ngưỡng cho phép).
Có thể kích hoạt một thông điệp cành báo Có thê hỗ trợ việc tự sinh thông tin hệ
nhờ một dấu hiệu chắc chắn, hoặc cung thống một cách tự động nhưng cần có thời
cấp dữ liệu hỗ trợ cho các dấu hiệu khác. gian và dữ liệu thu thập được phải rõ ràng.
Bảng 2.1 So sánh hai mô hình phát hiện
2.1.4 Cách phát hiện kiểu tấn công thông dụng của IDS
a) Tấn công từ chối dịch vụ (Denial of Service attack - DoS)
Denial of Service (DoS) attack có mục đích chung là đóng băng hay chặn
đứng tài nguyên cùa hệ thống đích. Cuối cùng, mục tiêu trở nên không thể truy cập
và không thể trả lời. DoS tấn công vào các mục tiêu bao gồm 3 dạng là mạng, hệ
thống và ứng dụng.

- Phá hoại Network: kiểu tẩn công SYN flood là một dạng tấn công từ chối
dịch vụ, kẻ tấn công sẽ gửi các gói tin kết nối SYN đến hệ thống...
- Phá hoại hệ thống: bao gồm thiết bị như Ping of Death, Teardrop..các kiểu
tấn công nhằm lợi dụng lỗ hống trên hệ điều hành nhằm phá hoại, gây quá tải hệ
thống. Sự kiện này có thể xảy ra bằng cách gửi gói tin có định dạng khác thường tới
hệ thống và thiết bị, chúng có thểđược tạo ra bằng các công cụ tấn công được lập
trình trước.

13


- Phá hoại ứng dụng: bằng cách lợi dụng điểm yếu trên ứng dụng, cơ sỡ dữ
liệu, email, trang web,...Ví dụ như một email rất dài hay một số lượng email lớn có
thế gây quá tải cho server cùa các ứng dụng đó.
Giải pháp của IDS:Một firewall dạng proxy rất hiệu quả để ngăn chặn các gói
tin không mong muốn từ bên ngoài, tuy nhiên Network IDS có thể phát hiện được
các tấn công dạng gói tin.
b) Quét và thăm dò (Scanning và Probe)
Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng đê xác định điểm
yếu. Tuy các công cụ này được thiết kế cho mục đích phân tích đề phòng ngừa,
nhưng hacker có thể được sử dụng để gây hại cho hệ thống. Các công cụ quét và
thăm dò như: SATAN, ISS Internet Scanner.... Việc thăm dò có thể được thực hiện
bằngcách ping đến hệ thống cũng như kiềm tra các cổng TCP và UDP để phát hiện
ra ứng dụng có những lỗi đã được biết đến. Vỉ vậy các công cụ này có thể là công
cụ đắc lực cho mục đích xâm nhập.
Giải pháp của ỊDS: Network-based IDS cỏ thể phát hiện các hành động nguy
hiểm trước khi chúng xảy ra. Host-based TDS cũng có thể có tác dụng đối với kiểu
tấn công này, nhưng không hiệu quả bằng giải pháp dựa trên mạng.
c) Tấn công vào mật mã (Password attack)
Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack:

- Kiểu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành cho kẻ tấn
công có thể truy nhập tới mọi thông tin tại mọi thành phần trong mạng.
Ví dụ: như nghe trộm mật mã gửi trên mạng, gửi thư, chương trình có kèm
keỵlogger, trojan cho người quản trị.
- Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi là brute force
bằng cách thử nhiều mật mã để mong tìm được mật mã đúng. Với bẽ khóa, kè tấn
công cẩn truy nhập tới mật mã đã được mã hóa, hay file chứa mật mã đã mã hóa, kẻ
tấn công sử dụng chương trình đoán nhiều mã với thuật toán mã hóa có thể sử đụng
được để xác định mã đúng. Với tốc độ máy tính hiện nay, việc bẽ khóa là rất hiệu
quả trong trường hợp mật mã là từ có nghĩa (trong từ điền), bất cứ mã nào nhò hơn
6 ký tự, tên thông dụng và các phép hoán vị.
Ví dụ như: đoán từ tên, các thông tin cá nhân, từ các từ thông dụng (có thể
dùng khi biết usemame mà không biết mật mã), sử dụng tài khoản khách rồi chiếm
quyền quản trị; các phương thức tấn công như brute force, đoán mật mã đã mã hóa
từ các từ trong từ điển…

14


Giải pháp của IDS: Một Network-based IDS có thể phát hiện và ngăn chặn
cố gắng đoán mã (có thể ghi nhận sau một số lần thử không thành công),nhưng nó
không có hiệu quả trong việc phát hiện truy nhập trái phép tới file đã bị mã hóa.
Trong khi đó Host-based IDS lại rất có hiệu quả trong việc phát hiện việc đoán mật
mã cũng như phát hiện truy nhập trái phép tới fĩle chứa mật mã.
d) Chiếm đặc quyền (Prỉvilege-grabbing)
Khi kẻ tấn công đã xâm nhập được vào hệ thống, chúng sẽ cố chiếm quyền
truy nhập. Khi thành công, chúng đã chiếm được hệ thống. Trong hệ điều hành
UNIX, điều này nghĩa là trở thành “root”, ỡ Windows NT là “Ađministrator”, trên
NetWare là “Supervisor”. Dưới đây là một số kỹ thuật thường dùng cho việc chiếm
đặc quyền.

- Đoán hay bè khóa của root hay administrator " Gâytràn bộ đệm.
- Khai thác Windows NT registry .
- Truy nhập và khai thác console đặc quyền .
- Thăm dò fíle, scrip hay các lỗi của hệ điều hành và ứng dựng.
Giải pháp của ỊDS: Cả Network và Host-based IDS đều có thể xác định việc
thay đổi đặc quyền trái phép ngay lập tức, ở cấp phần mềm, do việc đó xảy ra trên
thiết bị chủ.
e) Cài đặt mã nguy hiểm (Hostile code insertion)
Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống. Mã này có thể
lấy trộm dữ liệu, gây từ chối dịch vụ, xóa fiie, hay tạo backdoor cho lần truy nhập
trái phép tiếp theo. Ta có một số ví dụ về việc cài đặt mã nguy hiểm sau:
- Virus: chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một số hành
động tự động, có hoặc không có hại, nhưng luôn dẫn đến việc tạo ra bản sao của file
hệ thống, file của ứng dụng hay dữ liệu.
- Trojan Horse: một chương trình hay đoạn mã mà khi thực thi sẽ dẫn đến một
số hành động tự động, thường có hại, nhưng không có mục đích nhân bản. Thường
thì Trojan Horseđược đặt tên hay mô tả như một chương trình mà người ta muốn sử
dụng, nhưng thưc tế chúng kích hoạt các hành động có thể dẫn đến hỏng file hay hệ
thống.
Giải pháp của IDS: Cài đặt các phần mềm bảo mật có tác dụng chống virus và
các đoạn mã nguy hiểm lên gateway, server và workstation là phương pháp hiệu quả
nhất để giám mức độ nguy hiểm.
f) Hành động phá hoại trên máy móc (Cyber vandalism)

15


Hành động phá hoại trên máy móc bao gồm: thay đổi trang web, xóa file, phá
block khởi động và chương trình hệ điều hành, format ổ đĩa…
Giải pháp củaIDS. Đối với giải pháp của Host-based IDS, cài đặt và cấu hình

cẩn thận có thể xác định được tât cả các vấn đề liên quan, Network-based IDS thì có
thể sử dụng dấu hiệu tấn công được định nghĩa trước để phát hiện chính xác việc
truy nhập trái phép vào hệ điều hành, ứng dụng cũng như xóa file và thay đổi trang
web.
g) Tấn công hạ tầng bảo mật
Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạ tầng
bảo mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản cùa người dùng hay
router, hay thay đối quyền cùa file. Tấn công vào cơ sở hạ tầng cho phép kẻ xâm
nhập có thêm quyền truy nhập hay tạo thêm nhiều đường xâm nhập vào hệ thống
hay mạng .
Giải pháp của IDS: Host-based IDS có thể bắt giữ các cuộc đăng nhập mà thực
hiện những hành động như đưa thêm tài khoản có đặc quyền, hay router và fĩrewall
bị thay đổi một cách đáng nghi.
2.2 Giới thiệu về Snort
2.2.1 Giới thiệu về Snort
Snort là một hệ thống phát hiện và phòng chống xâm nhập mã nguồn mở được
đóng gói thành nhiều sản phẩm phù hợp cho từng doanh nghiệp được phát triển do
công ty Sourcefire điều hành bởi Martin Roesch. Snort hiện nay đang là công nghệ
IDS/IPS được triển khai rộng rãi trên toàn thế giới.
Snort là một ứng dụng bảo mật hiện đại với ba chức năng chính: nó có thể
phục vụ như là một bộ phận lắng nghe gói tin, lưu lại thông tin gói tin hay là một hệ
thống phát hiện xâm nhập mạng (NIDS). Ngoài ra còn có rất nhiều chương trình
add-on cho Snort để có thể quản lý các file log, các tập luật và cảnh báo cho quản trị
viên khi phát hiện sự xâm nhập hệ thống. Tuy không phải là phần lõi của Snort
nhưng những thành phần này cung cấp rất nhiều tính năng phong phú để có một hệ
thống phát hiện và phòng chống xâm nhập tốt.
Có rất nhiều cách để triển khai hệ thống Snort, thông thường Snort chỉ kết hợp
với TCP/IP do giao thức này là một giao thức phổ biến của Internet, mặc dù với các
phần tùy chỉnh mở rộng, Snort có thể thực hiện để hỗ trợ các giao thức mạng khác,
chẳng hạn như Novell’s IPX. Vì vậy, Snort chủ yếu phân tích và cảnh báo trên giao

thức TCP/IP.

16


2.2.2 Kiến trúc của Snort
Snort bao gồm nhiều thành phần, với mỗi phần có một chức năng riêng. Các
phần chính đó là:
- Module giải mã gói tin (Packet Decoder)
- Module tiền xử lý (Preprocessors)
- Module phát hiện (Detection Engine)
- Module log và cảnh báo (Logging and Alerting System)
- Module kểt xuất thông tin (Output Module)
Kiến trúc của Snort được mô tả trong hình sau:

Hình 2.5 Kiến trúc hệ thống Snort
Khi Snort hoạt động nó sẽ thực hiện việc lắng nghe và thu bắt tất cả các gói tin
nào di chuyên qua nó. Các gói tin sau khi bị bắt được đưa vào Môđun “Giải mã gói
tin ”. Tiếp theo gói tin sẽ được đưa vào môđun “ Tiền xử lý ”, rồi môđun “Phát hiện
”. Tại đây tùy theo việc có phát hiện được xâm nhập hay không mà gói tin có thể
được bỏ qua để lưu thông tiếp hoặc được đưa vào module “Log và cảnh báo để xử
lý”. Khi các cảnh báo được xác định thì module “ Kết xuất thông tin” sẽ thực hiện
việc đưa cảnh báo ra theo đúng định dạng mong muốn. Sau đây ta sẽ đi sâu vào chi
tiết hơn về cơ chế hoạt động và chức năng của từng thành phần.
2.2.3 Thành phần và chức năng của Snort
a) Module giải mã gói tin (Packet Decoder)
Chuyển những gói tin bắt được thành những cấu trúc và những định danh liên
kết những tầng giao thức. Sau đó, nó làm ở tầng tiếp theo, mã hóa IP TCP hay
UDP hay loại giao thức khác lấy những thông tin hứu ích như những cồng và
những địa chỉ ....Snort sẽ cánh báo nếu nó tìm thẩy những header không đúng cấu

trúc, chiều dài TCP bất thường.

17


b) Module tiền xử lý (Preprocessor)

Hình 2.6 Bộ tiền xử lý
Module tiên xử lý là một module rất quan trọng đối với bất kỳ một hệ thống
IDS nào để có thể chuẩn bị gói dữ liệu đưa và cho module “Phát hiện phân tích”. Ba
nhiệm vụ chính của các môđun loại này là:
- Kết hợp lại các gói tin: Khi một lượng dữ liệu lớn được gửi đi, thông tin sẽ
không đóng gói toàn bộ vào một gói tin mà phải thực hiện việc phân mảnh, chia gói
tin ban đầu thành nhiều gói tin rồi mới gửi đi. Khi Snort nhận được các gói tin này
nó phải thực hiện việc ghép nối lại để có được dữ liệu nguyên dạng ban đầu, từ đó
mới thực hiện được các công việc xử lý tiếp. Như ta đã biết khi một phiên làm việc
của hệ thống diễn ra, sẽ có rất nhiều gói tin đuợc trao đổi trong phiên đó. Một gói
tin riêng lẻ sẽ không có trạng thái và nếu công việc phát hiện xâm nhập chỉ dựa
hoàn toàn vào gói tin đó sẽ không đem lại hiệu quả cao.
- Giải mã và chuẩn hóa giao thức: công việc phát hiện xâm nhập dựa trên dấu
hiệu nhận dạng nhiều khi bị thất bại vì khi kiểm tra các giao thức thì dữ liệu có thế
được thể hiện dưới nhiều dạng khác nhau. Ví dụ: một web server có thể chấp nhận
nhiều dạng URL như URL được viết dưới dạng mã hexa/Unicode, URL chấp nhận
cả dấu \ hay / hoặc nhiều ký tự này liên tiếp cùng lúc. Chẳng hạn ta có dấu hiệu
nhận dạng scripts/iisadmin, kẽ tấn công có thể vượt qua được bằng cách tùy biến
các yêu cấu gửi đến web server như sau:
“scripts/./iisadmin”
“scripts/examples/../iisadmin”
“scripts\iisadmin”
“scripts/.\iisadmin”

Hoặc thực hiện việc mã hóa các chuỗi này dưới dạng khác. Nếu Snort chỉ thực
hiện đơn thuần việc so sánh dữ liệu với dấu hiệu nhận dạng sẽ xảy ra tình trạng bỏ
sót các hành vi xâm nhập. Do vậy, một số module tiền xử lý của Snort phải có
nhiệm vụ giải mã và chỉnh sữa, sắp xếp lại các thông tin đầu vào này để thông tin

18


khi đưa đến module phát hiện có thể phát hiện được mà không bỏ sót. Hiện nay
Snort đã hỗ trợ việc giải mã và chuẩn hóa cho các giao thức: telnet, http, rpc, arp.
- Phát hiện các xâm nhập bất thường: Các module tiền xử lý dạng này có thể
thực hiện việc phát hiện xâm nhập theo bất cứ cách nào mà ta nghĩ ra bằng cách
tăng cường thêm tính năng cho Snort. Ví dụ, một plugin tiền xử lý có nhiệm vụ
thống kê thông lượng mạng tại thời điểm bình thường để rồi khi có thông lượng
mạng bât thường xảy ra nó có thế tính toán, phát hiện vả đưa ra cảnh báo (phát hiện
xâm nhập theomô hình thống kê). Phiên bản hiện tại cửa Snort có đi kèm hai plugin
giúp phát hiện các xâm nhập bất thường đó là portscan và bo (backoffce). Portcan
dùng để đưa ra cảnh báo khi kẻ tân công thực hiện việc quét các cổng của hệ thống
để tìm lỗ hổng. Bo (backoffce) dùng để đưa ra cảnh báo khi hệ thống đã bị nhiễm
trojan backoffice và kẻ tấn công từ xa kết nối tới backoffice thực hiện các lệnh từ
xa.
c) Module phát hiện (Detection Engine)

Hình 2.7 Bộ phát hiện
Đây là module quan trọng nhất cùa Snort. Nó chịu trách nhiệm phát hiện các
dấu hiệu xâm nhập. Module phát hiện sử dụng các luật được định nghĩa trước để so
sánh với dữ liệu thu thập được từ đó xác định xem có xâm nhập xảy ra hay không.
Rồi tiếp theo mới có thể thực hiện một sổ công việc như ghi log, tạo thông báo và
kết xuất thông tin.
Một vấn đề rất quan trọng trong module phát hiện là vấn đề thời gian xử lý các

gói tin: một IDS thường nhận được rất nhiều gói tin và bản thân nó cũng có rất
nhiều các luật xử lý. Có thể mất những khoảng thời gian khác nhau cho việc xử lý
các gói tin khác nhau. Và khi thông lượng mạng quá lớn có thê xảy ra việc bỏ sót
hoặc không phàn hồi được đúng lúc. Khả năng xừ lý của mođule phát hiện dựa trên
một số yếu tố như: số lượng các luật, tốc độ của hệ thống đang chạy Snort, tải trên
mạng. Một số thử nghiệm cho biết, phiên bàn hiện tại của Snort khi được tối ưu hóa
19


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×