<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

MỞ ĐẦU

Ngày nay xu hướng trao đơi thơng tin qua hệ thống mạng máy tính đã trở thành

yếu tố không thé thiếu trong sự phát triển của xã hội. Hầu hết trong mọi lĩnh vực đều

tiến dần đến quản lý thông tin thông qua mạng máy tính. Các cá nhân và các tơ chức

<small>gân như bat buộc phải nơi mạng Internet tồn câu đê thực hiện cơng việc.</small>

Bên cạnh việc mang lợi ích đối với phát triển của xã hội, sự phát triển mạnh

của hệ thống mạng máy tính cũng có nhiều thuận lợi cho việc theo dõi và đánh cắp thơng tin của các nhóm tội phạm tin học, thậm chí là cả những tổ chức hoạt động với những mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ thống thơng tin,

gây tác hại vơ cùng to lớn đến tính an tồn và bảo mật thơng tin trên các hệ thống

Tại Việt Nam nói riêng và thế giới nói chung, các cuộc tan công của các hacker nhằm vào các website, máy chủ của các doanh nghiệp ngày càng tăng. Mọi tài nguyên của các tô chức, cá nhân khi tham gia vào Internet đều có nhiều nguy cơ tiềm ân khả năng mất ATTT. Tài ngun thơng tin mang tính bí mật và quyết định cho sự thành cơng của một doanh nghiệp. Van dé cấp thiết là đảm bảo ATTT cho tài nguyên

<small>thông tin của các doanh nghiệp khi tham gia vào mơi trường Internet. Đã có những</small>

doanh nghiệp thực hiện việc thuê một đối tác thứ 3 với việc chuyên bảo mật hệ thong

<small>mang va bao mật thông tin cho đơn vi minh, cũng có những doanh nghiệp đưa ra các</small>

kế hoạch tính tốn chi phí cho việc mua sản phẩm phần mềm dé nhằm dap ứng việc bảo mật của đơn vị mình. Tuy nhiên đối với những giải pháp đó các doanh nghiệp đều phải thực hiện cân đối về chính sách tài chính hằng năm với mục đích làm sao

cho giải pháp an tồn thơng tin là tối ưu và có được chi phí rẻ nhất và đảm bảo thơng

tin trao đổi được an tồn, bảo vệ thơng tin của don vị mình trước những tan cơng của

<small>tội phạm cơng nghệ từ bên ngồi.</small>

Trên cơ sở đó yêu cầu đặt ra là cần nghiên cứu về an tồn thơng tin mạng và

ứng dụng một hệ thống giám sát mạng (OSSEC) dựa trên mã nguồn mở nhằm giúp cho công việc quản trị mạng được tập trung và đạt hiệu quả tốt, ngoài ra đáp ứng yêu

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<small>câu đặt ra vê cân đôi chi phí của các doanh nghiệp về an tồn thơng tin va bảo mật hệ</small>

thống mạng.

Được sự chỉ dẫn của TS. Nguyễn Chiến Trinh tôi xin phép thực hiện luận văn

tốt nghiệp cao học khóa với tiêu đề: “NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THONG OSSEC DE GIÁM SÁT VÀ PHÁT HIỆN XÂM NHẬP MẠNG”. Mục

đích của dé tài là cung cấp cái nhìn tổng thé về van đề an ninh mang và nghiên cứu

cách thức hoạt động của một hệ thống giám sát và phát hiện xâm nhập điển hình

(OSSEC) dé đưa vào ứng dụng thực tế cho nhu cầu của các doanh nghiệp.

Luận văn được viết thành ba chương chính bao gồm:

Chương 1: Chương này giới thiệu về vai trị của an tồn thơng trong mạng máy tính, các phương pháp tân cơng mạng máy tính và một số biện pháp phịng chống. Đề

cập đến tình hình an tồn thơng tin tại Việt Nam, từ đó cho thấy nhu cầu cần phải có một hệ thơng giám sát an ninh mạng.

Chương 2: Trong chương hai này đã giới thiệu và tìm hiểu chung về hệ thống

IDS. Cùng với sự phân chia thành các loại hệ thống IDS điển hình và tác dụng của chúng là giới thiệu một số hệ thống IDS điển hình đã được xây dựng và ứng dụng.

Chương 3: Chương này giới thiệu chi tiết về hệ thống OSSEC là hệ thống mà

luận văn tập chung nghiên cứu. Chương này nghiên cứu về nguyên lý, kiến trúc, cách

hoạt động cũng như ưu và nhược điểm của hệ thống OSSEC. Và có đưa ra 2 kịch bản giả lập cùng với những đánh giá đạt được, van dé này có thé rất có ích cho những kỹ

<small>sư người quản lý mạng của các doanh nghiệp trong việc đảm bảo an tồn thơng tin</small>

Do điều kiện thời gian, kiến thức còn hạn hẹp, nên bài luận văn sẽ khơng tránh khỏi những thiều sót về nội dung cũng như hình thức. Học viên thực hiện rất mong

nhận được sự quan tâm, chỉ bảo của quý thầy cô và các anh (chị) để bài luận văn

<small>được hoàn thiện hơn.</small>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

CHƯƠNG 1: TONG QUAN VE AN TOAN THONG TIN MẠNG

<small>1.1 Vai trị của an tồn thơng tin trong mang máy tinh</small>

Ngày nay xu hướng trao đổi thông tin qua hệ thống mạng máy tinh đã trở thành

yếu tố không thé thiếu trong sự phát triển của xã hội. Hau hết trong mọi lĩnh vực đều tiến dan đến quản lý thông tin thông qua mạng máy tinh. Các cá nhân và các tổ chức gần như bắt buộc phải nối mạng Internet toàn cầu đề thực hiện cơng việc.

Bên cạnh việc mang lợi ích đối với phát triển của xã hội, sự phát triển mạnh của hệ thống mạng máy tính cũng có nhiều thuận lợi cho việc theo dõi và đánh cắp thông tin của các nhóm tội phạm tin học, thậm chí là cả những tổ chức hoạt động với những mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ thống thông tin,

gây tác hại vô cùng to lớn đến tính an tồn và bảo mật thơng tin trên các hệ thống

Tại Việt Nam nói riêng và thế giới nói chung, các cuộc tấn công của các hacker nhằm vào các website, máy chủ của các doanh nghiệp ngày càng tăng. Mọi tài nguyên của các tô chức, cá nhân khi tham gia vào Internet đều có nhiều nguy cơ tiềm an kha năng mat ATTT.

Tài nguyên thông tin mang tinh bí mật và quyết định cho sự thành cơng của một doanh nghiệp và thịnh vượng của quốc gia. Chính vì lẽ đó việc đảm bảo an tồn

thơng tin là khơng thé chan chừ. Nó là van đề sống cịn và cần triển khai một cách

<small>nghiêm túc, có bài bản và chuyên nghiệp.</small>

1.2 Một số phương pháp tấn công mạng máy tính

1.2.1 Tấn cơng trực tiếp

Tan cơng trực tiếp thơng thường được sử dụng theo cách dị tìm tên người sử

dụng và mật khẩu. Đây là phương pháp đơn giản, dễ thực hiện và khơng địi hỏi một điều kiện đặc biệt nào dé bắt đầu. Kẻ tấn công có thé sử dụng những thơng tin như tên người dung, ngày sinh, địa chỉ, số nhà ... để đoán mật khẩu.

Ngồi ra tấn cơng trực tiếp sử dụng các lỗi của chương trình ứng dụng và bảnthân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

tục để chiếm quyền truy nhập. Trong một số trường hợp phương pháp này cho phép kẻ tấn cơng có được quyền của người quản trị hệ thống (root hay administrator).

1.2.2 Tấn công từ chối dịch vụ

Tan công từ chối dich vụ (DoS — Denial of Service Attacks ) la dang tan cong can trở người dùng hợp pháp truy cập các tài nguyên hệ thống. Tan công từ chối dịch

<small>vụ được chia thành hai loại:</small>

e Tấn công Logic (Logic attacks): tan công dựa vào lỗi phần mềm làm dịch vụ

ngừng hoạt động hoặc làm giảm hiệu năng của hệ thống.

e Tan công gây ngập lụt (Flooding attacks): Kẻ tan công gửi một lượng lớn yêu

cầu gây cạn kiệt tài nguyên hệ thống nạn nhân hoặc chiếm hết băng thông đường truyền mạng.

<small>1.2.3 Giả mạo địa chí, nghe trộm</small>

Với cách tan cơng này, kẻ tan cơng gửi các gói tin IP tới mạng bên trong với <small>một địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy được</small> coi là an toàn đối với mạng bên trong), để đánh lừa máy nạn nhân và vượt qua các hàng rào kiểm sốt an ninh.

1.2.4 Tấn cơng kiểu bom thư và thư rác

Tan công bom thư và thư rác là dạng tan công bằng cách gửi một lượng lớn và liên tục các thư không mong muốn tới nạn nhân, gây lãng phí tài nguyên và thời gian

<small>cho nạn nhân.</small>

1.2.5 Tan công Pharming

Đây là kiểu tấn công bằng cách dùng các mã độc, virut ...để chiếm đoạt các

URL hợp pháp và thay đổi trên DNS để lái sang các địa chi IP lừa đảo của chúng, những địa chỉ đó gần giống như địa chỉ IP hợp pháp của URL

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

1.2.6 Lỗi của hệ thống

Đây là cách tấn cơng khó phịng tránh nhất. Kẻ tấn cơng nhằm vào lỗi mà admin chưa kiểm sốt được, nhất là yếu tố con người là một trong những điểm yếu

nhất của hệ thống.

1.2.7 Tan công kiểu phát lại và người đứng giữa

Dựa vào việc truyền thông tin qua mạng cần phải qua rất nhiều chặng, nhiều mạng khác nhau, kẻ tấn công gia mao một nút trong mạng chặn bắt các gói tin và

thay đổi thơng tin các gói tin theo chiều hướng có lợi cho chúng mà người gửi và

nhận thông tin 2 bên không hè biết.

1.3 Phân loại một số lỗ hồng trong bảo mật

1.3.1 Lỗ héng bảo mật

Các lỗ hồng bảo mật trên một hệ thống là các điểm yếu có thé tạo nên sự ngưng trệ của dich vụ, thêm quyền đối với người sử dụng hoặc cho phép truy cập bat hợp pháp vào hệ thống. Các lỗ hồng bảo mật có thé nằm ngay các dịchvụ cung cấp <small>như Web, Email, FTP, ... Ngồi ra các chương trình ứng dụng haydùng cũng chứa</small>

các lỗ hồng bao mật như Word, các hệ cơ sở dữ liệu như SQL... 1.3.2 Phân loại lỗ héng bảo mật

1.3.2.1 Loại C — Ít nguy hiểm

1.3.2.2 Loại B — Nguy hiểm

1.3.2.3 Loại A — Rất nguy hiểm

1.4 Các giai đoạn tan công mạng 1.4.1 Xác định đối tượng

Kẻ tấn công sẽ tiến hành khảo sát và thu thập thông tin của nạn nhân bằng các

<small>công cụ phân mém, phân cứng ...</small>

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

1.4.2 Tham dò và xác định lỗ hỗng, điểm yếu của hệ thong

Sau khi đã thống kê day đủ thông tin cần thiết, kẻ tan công tiến hành xác định điểm yếu của hệ thống bằng cách dò xét kết hợp trên nhiều kênh : cơng cộng, bằng

cơng cụ phân tích dé xác định lỗ hồng của hệ thống.

<small>1.4.2.1. Thăm dị thơng tin công cộng</small>

Tên nhân viên, địa chỉ email là điểm khởi đầu thuận lợi cho các hacker có thê <small>đốn nhận user name của tài khoản nhân viên. Thông thường họ sử dụng tên hay họ</small>

của nhân viên dé làm tài khoản máy tính trong mạng của họ. Địa chỉ e_mail cũng là

<small>một dạng user name thông thường cho tài khoản máy tính của họ. Những cơng ty lớn</small>

thường ấn định số phone của họ trong công ty điên thoại cục bộ cũng như nhiều tập đồn có tiếp đầu ngữ quay số cho riêng họ. Những cơng cụ bẻ khóa mạnh thì ln có

sẵn trên Internet. Khi đã đốn được username, thì vẫn đề cịn lại chỉ là thời gian để bẻ gãy những password yếu kém.

<small>1.4.2.2. Thăm dò điện tử</small>

Kẻ tan cơng phải tiến hành thăm do dé tìm tài nguyên hay hệ thống nào đó có

trên mạng. Nếu người tan cơng khơng có những hiểu biết về mạng đối tượng, họ

phải tìm nguồn tài ngun của cơng ty được đặt ở đâu một cách logic. Khi đã có được

địa chỉ IP của công ty , người tấn công có thé bat đầu dị tìm và qt mạng dé tìm

điểm yếu của máy chủ, ứng dụng, hay những thiết bị cơ sở hạ tầng. <small>1.4.2.3 . Những công cụ thăm do</small>

Hầu hết những công cụ hack thông thường và phổ biến rộng rãi là cơng cụ

<small>thăm dị. Mục đích chính của những cơng cụ này là giúp kỹ sư mạng trong xử lý lưu</small> lượng hay bảo trì mạng, nhưng hacker lại sử dụng những công cụ này dé tìm kiếm những nguồn tài nguyên mạng bat hợp pháp. Rất nhiều những công cụ này được chế tạo cũng như cải tiến nhằm giúp hacker trong những hành động trái phép. Nhiều công cụ được phát triển dưới cái mác của những công cụ hợp pháp của các kỹ sư mạng nhưng thực chất nó được xây dựng nhằm làm trợ thủ cho những hacker.

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

1.4.3 Tấn cơng

Khi đã có trong tay những điểm yếu của hệ thống mạng, kẻ tắn công mạng sẽ

tiễn hành xâm nhập hệ thống mạng băng các công cụ như làm tran bộ đệm hoặc tấn

công từ chối dịch vụ. Sau khi thành công chúng sẽ cài thêm các trojan nhằm điều khiển hệ thống và xâm nhập trong tương lai gần. Việc duy trì xâm nhập này cho phép

chúng khai thác tài ngun và các thơng tin hữu ích khi cần. Và hệ thống đã bị xâm

nhập có thể thường xuyên được sử dụng để tạo những cuộc tấn công tới các mạng

1.4.4 Xóa dau vắt

Với những kẻ tan cơng chun nghiệp, sau khi tấn cơng thành cơng chúng sẽ

xóa hết các dau vết từ log, từ các hệ thống phát hiện xâm nhập nhằm tránh các chứng

<small>cứ pháp lí.</small>

1.5 Các giải pháp phịng chống tắn cơng và xâm nhập trái phép 1.5.1 Kiém tra dấu hiệu bị tan công

Không có một hệ thống nào có thể đảm bảo an tồn tuyệt đối; bản thân mỗi

dich vụ đều có những lỗ héng bảo mật tiềm tàng. Đứng trên góc độ người quản trị hệ

thơng, ngồi việc tìm hiểu phát hiện những 16 hồng bảo mật cịn ln phải thực hiện

các biện pháp kiểm tra hệ thống xem có dấu hiệu tấn cơng hay khơng. Các biện pháp

<small>đó là:</small>

1.5.1.1 Kiểm tra dấu hiệu

1.5.1.2 Kiểm tra tài khoản mới 1.5.1.3 Kiểm tra tập tin lạ

1.5.1.4 Kiểm tra hiệu năng hệ thống

1.5.1.5 Kiểm tra file liên quan đến cấu hình mạng

<small>1.5.2 Biện pháp phát hiện xâm nhập</small>

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

<small>Các công cụ, phương thức, và tài nguyên giúp người quản trị xác định, đánh</small>

giá, và báo cáo hoạt động không được phép trên hệ thống có tên gọi là hệ thống phát

<small>hiện xâm nhập.</small>

Hệ thống phát hiện xâm nhập dựa vào những mau dấu hiệu tan công triển khai

dé giúp phát hiện nhanh các cuộc tan công mạng. Hệ thống phát hiện này kết hợp với tường lửa sẽ chống lại các cuộc tắn cơng xâm nhập.

<small>1.6 Hiện trạng an tồn thơng tin mạng hiện nay ở Việt Nam</small>

Theo báo cáo của Sở Thông tin và Truyền thông từ năm 2014 đến nay mỗi năm đều có hang triệu lượt dd quét, tan cơng có mức độ nguy hiểm cao vào cổng thông

tin. Con số này tăng gấp 3 đến 4 lần so với năm 2013 và ngoài ra phát hiện thêm cả

triệu mã độc. Điều đó cho thấy việc mất an tồn thơng tin đối với các tổ chức nhà <small>nước và các doanh nghiệp khơng cịn là nguy cơ nữa mà đã và đang hiện hữu vớimức độ nghiêm trọng.</small>

Kết luận

Chương 1 đã đã giới thiệu về vai trò của an tồn thơng tin mạng, các phương

pháp tấn cơng xâm nhập mạng, các bước tấn công mạng và các phương pháp phát

hiện và phịng chống tan cơng và xâm nhập trái phép dé tránh rủi ro cho tài nguyên thông tin trên hệ thong mạng. Cau hỏi đặt ra ở đây là cơ chế hoạt động của hệ thong phát hiện xâm nhập như thé nào, va các hệ thống phát hiện xâm nhập sử dung các kỹ thuật nào dé phát hiện và cảnh báo xâm nhập. Dé trả lời câu hỏi này, Chương 2 đi sâu nghiên cứu kiến trúc và các thành phần hệ thống phát hiện xâm nhập mạng và các kỹ thuật thu thập xử lý đữ liệu và các kỹ thuật phát hiện tắn công xâm nhập mạng.

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

CHUONG 2: HE THONG PHAT HIỆN XÂM NHAP MẠNG

2.1. Téng quan về phát hiện xâm nhập mang IDS 2.1.1 Giới thiệu về hệ thống IDS

Hệ thống phát hiện xâm nhập IDS là một hệ thống giám sát lưu lượng mạng

nhằm phát hiện ra hiện tượng bat thường, các hoạt động trái phép xâm nhập vào hệ

thống. IDS có thể phân biệt được các cuộc tấn công từ nội bộ hay tấn công từ bên

IDS là một hệ thống dựa vào việc so sánh lưu lượng truyền tải hiện tại với các

thông số chuẩn, các qui chuẩn đã được ban hành của mạng hoặc dựa vào việc phát hiện dựa các dấu hiệu đặc biệt về nguy cơ đã biết, đã được thống kê từu trong những kinh nghiệm phát hiện được hoặc bị tấn cơng trước đó để tìm ra các dấu hiệu bất <small>thường.</small>

2.1.2 Kiến trúc chung của hệ thống phát hiện xâm nhập mạng.

Phần lõi của một hệ thống phát hiện xâm nhập luôn luôn là cảm biến. Cảm biến này là một hệ thống phân tích thơng tin. Dựa trên kết quả mà nó phân tích được dé có cơ chế ra quyết định liên quan đến sự xâm nhập.

Bộ cảm biến của hệ thống IDS được nối với bộ sưu tập dữ liệu. Cách sưu tập này được xác định bởi chính sách tạo sự kiện dé định nghĩa chế độ lọc thông tin sự

kiện. Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sách thích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thong hoặc các gói mạng. Số chính sách này cùng với thơng tin chính sách có thé được lưu trong hệ thống được bảo vệ hoặc bên ngồi.

Vai trị của bộ cảm biến là dùng dé lọc thông tin và loại bỏ dữ liệu khơng

tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thê phát <small>hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu chính sách</small>

phát hiện cho mục này. Ngồi ra cịn có các thành phần: dấu hiệu tấn công, profile

hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng). Thêm vào đó, cơ sở

<small>dữ liệu giữ các tham sơ câu hình, gơm có các chê độ truyền thơng với module đáp trả.</small>

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

<small>Bộ cảm biên cũng có cơ sở dữ liệu của riêng nó, gdm dữ liệu lưu vê các xâm phạm</small>

phức tạp tiềm ân (tạo ra từ nhiều hành động khác nhau).

<small>2.1.3 Các kỹ thuật thu thập dữ liệu và xứ lý</small>

Thu thập dữ liệu là một trong những bước quan trọng khi thiết kế một hệ

thống phát hiện xâm nhập và nó ảnh hưởng đến tồn bộ q trình thiết kế và cài đặt

và kết quả phát hiện. Thông thường, mục tiêu của các cuộc tấn cơng khơng chỉ là

một máy tính cá nhân mà thường là các máy chủ cung cấp dịch vụ. Một số xâm

nhập có thể cho thấy một hành vi bất thường tại tầng mạng, trong khi những xâm

nhập khác cho thấy hành vi bất thường tại tầng ứng dụng.

<small>2.1.3.1 Thu thập dữ liệu cho HIDSa. Log truy nhập (Audit logs)</small>

Audit logs là các bản ghi của các sự kiện được ghi lại bởi hệ điều hành, thường bao gồm các bản ghi thơng tin của tất cả các tiến trình đang chạy, bộ nhớ sử dụng, và việc truy nhập các tập tin hệ thống và các quá trình thao tác.

b. Chuối các lời gọi hàm hệ thong

Chuỗi các lời gọi hàm hệ thống đã được nhiều nghiên cứu khăng định là một ngu6n thông tin hiệu quả trong hệ thống phát hiện xâm nhập máy trạm. Trong quá trình thực hiện, các chương trình ứng dụng yêu cầu các dịch vụ từ hệ điều hành thông qua các lời gọi hàm hệ thống đến nhân hệ điều hành.

<small>2.1.3.2 Thu thập dữ liệu cho NIDS</small>

Hệ thong phát hiện xâm nhập cho mang (NIDS) thu thập và phân tích dữ liệu

bắt trực tiếp từ mạng. Hệ thống này hoạt động bằng cách bắt và kiểm tra tiêu đề

(header) và nội dung của gói tin hoặc các lưu lượng chuyên qua mạng.

2.1.4 Ưu điểm của hệ thống IDS

> Ưu điểm chính của IDS là:

+ Giám sát: giám sát lưu lượng mạng các hoạt động bất thường và các hoạt động

<small>khả nghỉ</small>

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

‹ Cảnh báo: Khi đã biết được các hoạt động bat thường của một truy cap nào đó, IDS sẽ đưa ra cảnh báo về hệ thống cho người quản trị

« Bảo vệ: Dùng những thiết lập mặc định và những cầu hình từ nhà quản tri mà có những hành động chống lại kẻ xâm nhập

<small>2.1.5 Quy trình hoạt động của IDS</small>

<small>« _ Một host tạo ra một gói tin mạng</small>

+ Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi nó được gửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho nó có thê đọc tất cả các gói tin).

‹ Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào có dấu hiệu vi phạm hay khơng. Khi có dấu hiệu vi phạm thì một cảnh báo sẽ

được tạo ra va gửi đến giao diện điều khiến.

« Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thơng báo cho một

người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa sỐ <small>popup, trang web v.v...).</small>

‹_ Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này.

« Các cảnh báo được lưu lai để tham khảo trong tương lai (trên địa chỉ cục bộ

<small>hoặc trên cơ sở dữ liệu).</small>

«_ Một báo cáo tóm tắt về chi tiết của sự cơ được tạo ra.

« Cảnh báo được so sánh với các dir liệu khác dé xác định xem đây có phải là cuộc tấn công hay không.

2.2 Phân loại hệ thống IDS

<small>2.2.1 Host-based IDS/IPS (HIDS)</small>

IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thong, như các file

log và những lưu lượng mạng thu thập được. Hệ thống dựa trên máy chủ cũng theo

dõi OS, những cuộc gọi hệ thống, lịch sử số sách (audit log) và những thông điệp

báo lỗi trên hệ thống máy chủ. Trong khi những đầu dị của mạng có thê phát hiện

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

một cuộc tấn cơng, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tan cơng có thành cơng hay khơng.

<small>2.2.2 Network Base IDS (NIDS)</small>

Hé thong IDS dựa trên mang sử dụng bộ do va sensor cai đặt trên toàn mang. Những bộ dị này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Những sensor thu nhận

<small>và phân tích lưu lượng trong thời gian thực.2.2.3 So sánh HIDS và NIDS</small>

<small>Bảng 2.1 So sánh HIDS và NIDS</small>

NIDS HIDS Ưu điểm: Ưu điểm:

<small>« Quan lý được cả một network| s Có khả năng xác định user liên</small> segment (gồm nhiều host) quan tới event

+ Trong suốt với người sử dụng | s HIDS có khả năng phát hiện tấn

lẫn kẻ tắn công công diễn ra trên một máy, NIDS

‹ Cài đặt và bao trì đơn giản, thì khơng

khơng ảnh hưởng tới mạng ‹ Có thé phân tích các dữ liệu mã

<small>« Tránh DOS ảnh hưởng tới một hóa</small>

host nào đó ‹ Cung cấp các thơng tin về host

<small>‹ Có khả năng xác định lỗi ở tầng trong lúc cuộc tân cơng diễn raNetwork trén host nay</small>

<small>¢ Độc lập với OS</small>

Nhược điểm: Nhược điểm:

« Có thé xảy ra trường hợp báo| + Thông tin từ HIDS là không động giả đáng tin cậy ngay khi sự tấn ‹ Khơng thé phân tích các dữ liệu cơng vào host này thành cơng

đã được mã hóa (VD: SSL, SSH,| s Khi OS bị sập do tấn công, đồng

</div>