Do an Chuyen Nganh_IDS

ĐH CÔNG NGHIỆP TP.HCM ĐỒ ÁN CHUYÊN NGÀNH

MỤC LỤC

I. Giới hạn của đề tài và mục tiêu........................................................................................2

1.1 Giới hạn của đề tài......................................................................................................2

1.2 Mục tiêu của đề tài.....................................................................................................2

II Phương pháp và môi trường thực hiện............................................................................2

2.1 Phương pháp...............................................................................................................2

2.2 Môi trường thực hiện..................................................................................................3

III Nội dung của đề tài.........................................................................................................4

3.1 Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System)..............................4

3.1.1 Khái niệm................................................................................................................4

3.1.2 Các thành phần, cấu trúc và chức năng của IDS......................................................4

3.1.3 Phân loại...................................................................................................................6

3.2 Ứng dụng OSSEC giám sát cài đặt mới các software trên Workstation.....................9

3.2.1 Tổng quan về OSSEC.............................................................................................9

3.2.2 Cài đặt OSSEC......................................................................................................10

3.3 Nguy cơ từ việc cài đặt các soft ở Workstation........................................................14

3.4 Dấu hiệu nhận biết và quá trình thực hiện................................................................15

3.4.1 Dấu hiệu nhận biết.................................................................................................15

3.4.2 Thực hiện cài đặt và cấu hình để Admin phát hiện client cài đặt phần mềm........15

PHẦN 5: TỔNG KẾT.......................................................................................................18

TÀI LIỆU THAM KHẢO.................................................................................................18

GVHD: THẦY NGUYỄN HÒA 1


LỜI CẢM ƠN.

Tôi xin gửi lời cảm ơn tới thầy Nguyễn Hòa trong khoa Công Nghệ Thông Tin

trường Đại Học Công Nghiệp Thành Phố Hồ Chí Minh hướng dẫn và giúp đỡ tận tình để

tôi thực hiện và hoàn thành đồ án chuyên ngành. Và cũng chân thành cảm ơn các thầy cô

khoa Công Nghệ Thông Tin tạo điều kiện cho tôi thực hiện đồ án này.

Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắc đồ án

này còn nhiều thiếu sót. Tôi rất mong nhận được những ý kiến đóng góp quý báo từ các

thầy cố và các bạn.



I. Giới hạn của đề tài và mục tiêu.

1.1 Giới hạn của đề tài.

IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra các cảnh báo

đến nhà quản trị mạng.

Tôi thực hiện đề tài này với mong muốn có thể tìm hiểu, nghiên cứu những đặc trưng

cơ bản của hệ thống phát hiện và ngăn chặn xâm nhập IDS. Với vai trò là công cụ bảo

mật mới bổ sung cho các công cụ hay phần mềm phổ biển để tang mức độ an toàn đối với

hệ thống hiện hành.

IDS có hai phần đó là NIDS (Network Intrusion Detection System) và HIDS (Host

Intrusion Detection System) thì tôi nghiên cứu phần HIDS. HIDS thì tôi giới hạn nghiên

cứu phần Install một phần mềm bên máy client và cài đặt cấu hình Server thì quản trị trên

server có thể phát hiện được.

1.2 Mục tiêu của đề tài

- Nắm về hệ thống phát hiện xâm nhập : khái niệm IDS, các thành phần của IDS, các

mô hình, ứng dụng IDS phổ biến hiện nay.

- Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng.

- Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập.

- Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh

nghiệp.

- Xây dựng demo để mô tả việc Install software của client và dấu hiệu nhận biết từ

server phát sinh từ file logs.



II Phương pháp và môi trường thực hiện.

2.1 Phương pháp.

- Sử dụng phần mềm mã nguồn mở Ossec để xây dựng hệ thống ngăn chặn xâm

nhập.

- Xây dựng Ossec server trên hệ điều hành Ubuntu và xây dựng Ossec agen trên hệ

điều hành window xp. Từ đó ta sẽ xây dựng được một hệ thống phát hiện xâm

nhập từ kẻ xâm nhập và gửi cảnh báo tới Server do nhà quản trị giám sát.

2.2 Môi trường thực hiện.

Đề tài này tôi thực hiện trên môi trường Linux, nghĩa là máy server tôi cài Ubuntu

và máy client cài Window Xp. Thực hiện trên hai máy laptop, mô hình này đại diện

cho nhà quản trị mạng quản trị đứng trên máy server cài Unbuntu và các nhân viên thì

dùng máy Xp đại diện. Khi bất kì máy client (xp) cài bất cứ một phần mềm nào mà

không có sự cho phép của quản trị thị họ cũng có thể biết được.



III Nội dung của đề tài.

3.1 Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System)

3.1.1 Khái niệm

Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống

phần cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động theo dõi các

sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến

an ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị. Ngoài ra IDS cũng đảm nhận việc

phản ứng lại với các lưu thông bất thường hay có hại bằng các hành động đã được thiết

lặp trước như khóa người dùng hay địa chỉ ip nguồn đó truy cập hệ thống mạng.

IDS cũng có thể phân biệt giữa những tấn công từ bên trong (từ những người trong

công ty), hay tấn công bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc

biệt về các nguy cơ đã biết (giống như các phần mềm diệt virus dựa vào các dấu hiệu đặc

biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline

(thông số đo đạc chuẩn của hệ thống ) để tìm ra các dấu hiệu khác thường.

3.1.2 Các thành phần, cấu trúc và chức năng của IDS

3.1.2.1 IDS bao gồm các thành phần chính:

Thành phần thu thập gói tin, thành phần này có nhiệm vụ lấy các gói tin đi đến

mạng. Thông thường các gói tin có địa chỉ không phải của một cart mạng thì sẽ bị cart

mạng đó hủy bỏ nhưng cart mạng của IDS được đặt ở chế độ thu nhận tất cả. Bộ phận thu

thập gói tin sẽ đọc thông tin của từng trường trong gói tin, xác định chúng thuộc kiểu gói

tin nào, dịch vụ gì…. Các thông tin này được chuyển đến thành phần phát hiện tấn công.

Thành phần phát hiện gói tin, ở thành phần này, các bộ cảm biến đóng vai trò quyết

định. Vai trò của bộ cảm biến là dung để lọc thông tin và loại bỏ những thong tin dữ liệu

không tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể

phát hiện được các hành động nghi ngờ.

Thành phần phản hồi, khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần

phát hiện tấn công sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến



từng thành phần phản ứng. Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện

chức năng ngăn chặn cuộc tấn công hay cảnh báo tới người quản trị.

3.1.2.2 Chức năng

Cảnh báo thời gian thực là gửi các cảnh báo thời gian thực đến người quản trị để họ

nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng.

Ghi lại vào tập tin, các dữ liệu của gói tin sẽ được lưu trữ trong hệ thống các tập tin

log. Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn

thông tin giúp cho module phát hiện tấn công hoạt động.

Ngăn chặn thai đổi gói tin, khi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ

phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở

nên không bình thường.

3.1.2.3 Cấu trúc của IDS

3.1.2.3.1 Các thành phần cơ bản

Sensor/ Agent giám sát và phân tích các hoạt động. “Sensor” thường được dùng cho

dạng Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạng Host-base

IDS/IPS.

Management Server là một thiết bị trung tâm dùng thu nhận các thông tin từ Sensor /

Agent và quản lý chúng. Một số Management Server có thể thực hiện việc phân tích các

thông tin sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện

này dù các Sensor / Agent đơn lẻ không thể nhận diện.

Database Server dùng lưu trữ các thông tin từ Sensor / Agent hay Management

Server Console

Là một chương trình cung cấp giao diện cho IDS/IPS users / Admins. Có thể cài đăt

trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát,

phân tích.



3.1.3 Phân loại

3.1.3.1 Network Base IDS (NIDS)

Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài đặt trên toàn

mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với

những mô tả sơ lược được định nghĩa hay là những dấu hiệu.

Thường dùng để giám sát, phân tích hoạt động hệ thống mạng trong một segment,

phân tích mạng, các giao thức ứng dụng từ đó nhận diện các hoạt động khả nghi. Thường

được triển khai ở các biên mạng ( network border ).

Hệ thống NIDS/IPS thường được triển khai trong một đoạn / mạng con riêng phục vụ cho

mục đích quản trị hệ thống ( management network ), trong trường hợp không có mạng

quản trị riêng thì một mạng riêng ảo ( VLAN ) là cần thiết để bảo vệ các kết nối giữa các

hệ NIDS/IPS.

Bên cạnh việc lựa chọn vị trí mạng phù hợp cho các thành phần của hệ NIDS/IPS,

lựa chọn vị trí phù hợp cho các Sensor cũng là một vấn đề quan trọng ảnh hưởng đến khả

năng detection của hệ NIDS/IPS. Trong hệ NIDS/IPS, các Sensor thường gặp ở hai dạng

là tích hợp phần cứng (appliance-based) và phần mềm ( software-only ).

Người ta thường sử dụng hai kiểu triển khai sau: Thẳng hàng (Inline) là một Sensor

thẳng hàng được đặt sao cho các lưu lượng trên mạng mà nó giám sát đi xuyên qua nó

giống như trong trường hợp cùa firewall. Thực tế là một số Sensor thẳng hàng được sử

dụng như một loại lai giữa firewall và NIDS/IPS, một số khác là NIDS thuần túy. Động

cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thể dừng các tấn công bằng

việc chặn lưu lượng mạng ( blocking network traffic ). Sensor thẳng hàng thường được

triển khai tại vị trí tương tự với firewall và các thiết bị bảo mật khác: ranh giới giữa các

mạng. Sensor thẳng hàng còn có thể được triển khai tại các vùng mạng kém bảo mật hơn

hoặc phía trước các thiết bị bảo mật hoặc firewall để bảo vệ và giảm tải cho các thiết bị

này. Thụ động (Passive), Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát

một bản sao của các lưu lượng trên mạng, thường được triển khai giám sát các vị trí quan

trọng trong mạng hư ranh giới giữa các mạng.



3.1.3.2 Host Base IDS (HIDS)

HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt động

của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. Được

triển khai trên từng host,thông thường là một software hoặc một agent, mục tiêu là giám

sát các tính chất cơ bản, các sự kiện liên quan đến các thành phần này nhằm nhận diện

các hoạt động khả nghi. Host-based IDS/IPS thường được triển khai trên các host có tính

chất quan trọng ( public servers, sensitive data servers ), hoặc một dịch vụ quan trọng

( trường hợp đặc biệt này được gọi là application-based IDS/IPS ).

Quá trình triển khai các agent HIDS/IPS thường đơn giản do chúng là một phần

mềm được cài đặt trực tiếp lên host. Application-based agent thường được triển khai

thẳng hàng ngay phía trước host mà chúng bảo vệ. Một trong những lưu ý quan trọng

trong việc triển khai hệ thống Host-based IDS/IPS là cân nhắc giữa việc cài đặt agent lên

host hay sử dụng agent-based appliances. Trên phương diện phát hiện và ngăn chặn xâm

nhập, việc cài đặt agent lên host được khuyến khích vì agent tương tác trực tiếp với các

đặc tính của host và qua đó có thể phát hiện và ngăn chặn 1 cách hiệu quả hơn. Tuy

nhiên, do agent thường chỉ tương thích với 1 số hệ điều hành nhất định nên trong trường

hợp này người ta sử dụng thiết bị. Một lý do khác để sử dụng thiết bị là việc cài đặt agent

lên host có thể ảnh hưởng đến performance của host.

Hệ thống HIDS/IPS cung cấp các khả năng bảo mật sau:

- Khả năng ghi log.

- Khả năng phát hiện.

+ Phân tích mã (phân tích hành vi mã, nhận diện buffer-overflow, giám sát hàm gọi hệ

thống, giám sát danh sách ứng dụng và hàm thư viện)

+ Phân tích và lọc lưu lượng mạng .

+ Giám sát filesystem ( kiểm tra tính toàn vẹn,thuộc tính,truy cập của file )

+ Phân tích log.

+ Giám sát cấu hình mạng.

- Khả năng ngăn chặn.



3.1.3.2.1 Ưu nhược điểm của HIDS

Ưu điểm.

- Có khả năng xác định người dung liên quan tới một sự kiện.

- Hids có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.

- Có thể phân tích các dữ liệu mã hóa.

- Cung cấp các thông tin về host trong lúc tấn công diễn ra.

Nhược điểm.

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành

công.

- Khi hệ điều hành bị hạ do tấn công, đồng thời HIDS cũng bị hạ.

- Hids phải được thiết lập trên từng host giám sat.

- Hids không có khả năng phát hiện các cuộc dò mạng.

- Hids cần tài nguyên Host để hoạt động.

- Đa số chạy trên hệ điều hành window. Tuy nhiên cũng đã có 1 số chạy trên linux

chặng hạng Ubuntu.

3.1.3.2.2 Các hoạt động của Hids.

Khi lưu lượng được truyền tải đến host chúng được phân tích và đưa qua host nếu hệ

thống không phát hiện thấy các gói tin mang mã nguy hiểm bên trong. HIDS thường

được sử dụng cho các máy tính nội bộ trong khi đó NIDS được dùng cho cả một mạng.

HIDS thường được sử dụng cho nền Windows trong thế giới máy tính, tuy nhiên cũng có

nhiều sản phẩm cũng có thể hoạt động trong môi trường UNIX và các hệ điều hành khác.



3.2 Ứng dụng OSSEC giám sát cài đặt mới các software trên Workstation.

3.2.1 Tổng quan về OSSEC.

Ossec là một hệ thống phát hiện xâm nhập mã nguồn mở, chính xác là một HIDS

(Host IDS). thực hiện phân tích đăng nhập, kiểm tra tính toàn vẹn file, giám sát chính

sách, phát hiện rootkit, thời gian thực cảnh báo và phản ứng tích cực.

Nó chạy trên hầu hết các hệ điều hành , bao gồm cả Linux, hệ điều hành MacOS,

Solaris, HP-UX, AIX và Windows.

Kiểm tra tính năng OSSEC và cách thức hoạt động để biết thêm thông tin về

cách OSSEC có thể giúp bạn giải quyết vấn đề an ninh dựa trên máy chủ của bạn.

OSSEC là một nền tảng đầy đủ để theo dõi và kiểm soát hệ thống của bạn. Nó trộn

lẫn với nhau tất cả các khía cạnh của HIDS (dựa trên máy chủ phát hiện xâm nhập), giám

sát đăng nhập và SIM / SIEM với nhau trong một giải pháp mã nguồn đơn giản, mạnh mẽ

và cởi mở. Nó cũng được hỗ trợ và hỗ trợ đầy đủ bởi Trend Micro .

OSSEC cho phép khách hàng cấu hình sự cố họ muốn được cảnh báo trên cho

phép họ tập trung vào nâng cao ưu tiên các sự cố quan trọng hơn tiếng ồn thường xuyên

trên hệ thống bất kỳ. Tích hợp với SMTP, tin nhắn và nhật ký hệ thống cho phép khách

hàng được trên đầu trang của các cảnh báo bằng cách gửi những trên e-mail và các thiết

bị cầm tay như điện thoại di động và máy nhắn tin. Tùy chọn hoạt động phản ứng để

ngăn chặn một cuộc tấn công ngay lập tức cũng có sẵn.


http://www.ossec.net/?page_id=169




3.2.2 Cài đặt OSSEC

3.2.2.1 Yêu cầu hệ thống

Phần cứng:

Tùy thuộc vào quy mô hệ thống mạng mà ta chọn phần cứng cho thích hợp. Tuy nhiên

muốn OSSEC hoạt động một cách hiệu quả ta sẽ cần CPU có tốc độ xử lý nhanh , bộ nhớ

lớn , bus cao và dung lượng ổ cứng lớn nếu như log file do OSSEC sinh ra nhiều và lớn

theo thời gian.

Hệ điều hành:

OSSEC hỗ trợ nhiều hệ điều hành khác nhau như Windows, Ubuntu, CentOs,….

Các yêu cầu khác:

Có hỗ trợ C, C++ để biên dịch OSSEC từ Sources code.

3.2.2.2 Cài đặt ossec server

Ta có thể cài đặt OSSEC từ Souce code hay là các gói RPM .Theo kinh nghiệm nên

download source code và sau đó biên dịch để cài đặt hơn là dùng các gói binary có sẵn.

Vì khi cài đặt từ source code có thể cấu hình OSSEC kết hợp với MySQL, ACID…Cài

OSSEC khá dễ dàng, có nhiều tuỳ chọn phù hợp với nhu cầu ngừơi dùng; phần quan

trọng nhất của OSSEC là kết hợp với nhiều database để lưu trữ. Download OSSEC từ địa

chỉ :

http://www.ossec.net.

Sau khi download file cài đặt về ta giải nén và tiến hành cài đặt và chọn ngôn ngữ, ta

sẽ chọn en.



Tiếp theo, ta sẽ chọn cài đặt OSSEC server.

Và ta chọn nơi lưu:

Bước tiếp theo là ta thực hiện cấu hình.Ở bước này tôi không cần Mail nên tôi chọn No.

Tất cả các bước tiếp theo ta chọn yes cho đến hết quá trình cài đặt và ta chờ cho đến khi

kết thúc.



Và quá trình cài đặt kết thúc.



3.2.2.3 Cài đặt ossec agent

Phần cài đặt ossec agent sẽ tiến hành cài đặt trên mày window xp.Ta sẽ tải chương

trình cài đặt về và tiến hành cài đặt bình thường như các chương trình khác. Và giao diện

cuối cùng như thế này.

Bước tiếp theo là ta qua Ossec server để lấy địa chỉ và key đế connec đến ossec server

và có giao diện như sao:

Và ta tiến hành tạo một client agent mới đế ossec agent có thể kết nối tới server, sau

khi có key thì tiến hành nhập vào hộp thoại của osses agnent.



Và quá trình kết nối tới server thành công.

3.3 Nguy cơ từ việc cài đặt các soft ở Workstation.

Một phần mềm được cài đặt vào máy tính cốt yếu do hai điều sau, thứ nhất là do

nhân viên tại máy Client tự ý cài đặt phần mềm, thứ hai là do khi các máy Client lướt

web thì có những trang quảng cáo, hay những trang web độc hại có chức năng tự cài đặt

phần mềm vào máy tính chúng ta khi chúng ta truy cập vào trang web đó.

Nguy cơ khi cái đặt các soft đó chính là máy client sẽ bị nhiễm mã độc có trong phần

mềm được cài. Và nguy cơ lớn nhất khi cài đặt phần mềm đó là malware, chúng thậm chí

có thể giả mạo cả dịch vụ phần mềm và khi máy cập nhật, thay vì các bản vá và phần

mềm bảo mật thì malware lại được tải về và cài đặt lên hệ thống.



Và vấn đề tất yếu khi chúng ta gặp phải mã độc đó là : Làm chậm máy, gây lỗi máy bởi các mã độc.

Gây hiển thị thông báo lỗi liên tục. Không thể tắt máy tính hay khởi động lại khi malware duy trì cho những process nhất

định hoạt động. Kẻ xấu lợi dụng malware để thu thập thông tin cá nhân hoặc dữ liệu từ máy tính. “Cướp” trình duyệt, làm chuyển hướng người dùng đến những site có chủ đích. Lây nhiễm vào máy và sử dụng máy làm một vật chủ quảng bá nhiều file khác nhau hay

thực hiện các cuộc tấn công khác. Gửi spam đi và đến hộp thư người dùng. Gửi những email mạo danh người dùng, gây rắc rối cho người dùng hay cho công ty. Cấp quyền kiểm soát hệ thống và tài nguyên cho kẻ tấn công. Làm xuất hiện những thanh công cụ mới. Tạo ra các biểu tượng mới trên màn hình desktop. Chạy ngầm và khó bị phát hiện nếu được lập trình tốt.

3.4 Dấu hiệu nhận biết và quá trình thực hiện.

3.4.1 Dấu hiệu nhận biết. Khi chúng ta cài đặt bất kì một phần mềm nào đó vào trong máy tính thì chúng ta đều có thể

nhận biết thông qua file registry, và vào trong đường dẫn sao để phát hiện HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVes\Uninstall



3.4.2 Thực hiện cài đặt và cấu hình để Admin phát hiện client cài đặt phần mềm

Ta cũng có thể sử dụng Ossec để theo dõi tình hình cài đặt các phần mềm của máy

client. Vì qua việc này chúng ta có thể quản lý chặt chẽ hơn khi ta không có nhiều thời

gian để kiểm tra các máy client của các nhân viên trong một công ty chẳng hạn. Mặc định

admin đả cài đầy đủ các ứng dụng để nhân viên có thể hoàn thành tốt phần việc của mình,

nhưng do nhu cầu cá nhân nên họ sẽ cài đặt vào máy của mình các phần mếm không khả

dụng. Admin có thể dung ossec để theo dõi quá trình cài đặt của các nhân viên thông qua

file cấu hình file win_audit của ossec agent. Ta vào đường dẫn sao để đến file win_audit :

Ta tiến hành cấu hình file win_audit_rcl như sau:

Vì trong ossec có hỗ trợ sẵn cho ta các rule trong đó có rule phát hiện cài đặt phần mềm,

ta chỉ việc cấu hình file win_audit và sử dụng thôi.

Đầu tiên ta phải cài đặt phần mềm có đuôi là msi, ở đây tôi sẽ cài đặt chương trình yahoo

trong đó có chương trình Microsoft visual C ++ 2005 có đuôi là msi.



Và admin chỉ cần ở máy ossec server mở file logs và kiểm tra . Ta vào ossec server và

vào câu lệnh sau để xem kết quả từ file logs: cat /var/ossec/logs/alerts/2013/Jul/ossec-

alerts-02.log

Sau khi xem ta cũng biết được rule dùng để phát hiền phần mềm đã được cài đó chình là

rule 18147 (level 5)

3.3.2 Rule giám sát việc cài đặt mới software.

Ossec đã xây dựng một rule sẵn với số id là 1847 mình chỉ cần dùng thôi.Khi

cài một gói ứng dụng .msi thì nó sẽ ghi vào log event viewer .Ossec nó đã xây dựng

một decoder event Windows sau nó sẽ tạo một alert.

<rule id="18147" level="5"> <if_sid>18101</if_sid> <id>^11707</id> <options>alert_by_email</options> <description>Application Installed.</description> </rule>



IV. Nhận xét.

Hệ thống phát hiện xâm nhâp (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng

vai trò không kém phần quan trọng. IDS giúp con người khám phá, phân tích một nguy

cơ tấn công mới. từ đó ta vạch ra phương án phòng chống. Ở một góc độ nào đó, có thể

lần tìm được thủ phạm gây ra một cuộc tấn công.Một tổ chức lớn không thể nào thiếu

IDS.

Sau khi thực hiện đề tài này tôi có thể biết rõ hơn về được cơ chế hoạt động của hệ

thống phát hiện xâm nhập IDS. Cài đặt và cấu hình một hệ thông phát hiện xâm nhập trên

mạng cục bộ dựa vào phần mềm OSSEC. Và cụ thể hơn đó chính là biết được hệ thống

phát hiện xâm nhập dùng HIDS, một hệ thống có thể giúp chúng ta giám sát được tình

trạng install software từ máy client, mặc dù việc cài đặt này không phân biệt là do nhân

viên cài hay được tự cài từ việc nhân viên truy cập các trang web đều được nhà quản trị

giám sát được từ những cảnh báo mà ossec agent gửi cảnh báo tới ossec server và cụ thệ

hơn là dấu hiệu nhận biết được đó chính là các file logs được phát sinh ra từ ossec server.

Vì đề tài chỉ nghiên cứu một khía cạnh của IDS nên nội dung đề tài không phản ánh

được đầy đủ các vấn đề chi tiết của IDS. Nhưng sau khi thực hiện xong đề tài này hướng

đi tiếp theo của tôi có thể nghiên cứu sâu hơn về IDS nhằm đáp ứng được nhu cầu kiến

thức cũng như công việc liên quan sau này.



TÀI LIỆU THAM KHẢO

1. http://hocit.com/forum/ids-trong-bao-mat-he-thong-mang-10717.html ]http://

www.quantrimang.com.vn/kienthuc/kien-thuc-co-ban/

37334_He_thong_phat_hien_xam_pham_IDS_Phan_1_.aspx

2. http://www.quantrimang.com.vn/hethong/lan-wan/

38250_Host_Based_IDS_va_Network_Based_IDS_Phan_1_.aspx http://vnpro.org/

forum/showthread.php?t=12607

3. http://ddcntt.vn/forum/archive/index.php/t-244.html

4. http://www.hvaonline.net/

5. http://ossec.net

6. https://groups.google.com/forum/#!forum/ossec-list


https://groups.google.com/forum/#!forum/ossec-list

http://ossec.net/

http://www.hvaonline.net/hvaonline/posts/list/167.hva;jsessionid=856E9F928A6C2DD6974C0B76A3C32D81

http://ddcntt.vn/forum/archive/index.php/t-244.html

http://vnpro.org/forum/showthread.php?t=12607

http://vnpro.org/forum/showthread.php?t=12607

http://www.quantrimang.com.vn/hethong/lan-wan/38250_Host_Based_IDS_va_Network_Based_IDS_Phan_1_.aspx

http://www.quantrimang.com.vn/hethong/lan-wan/38250_Host_Based_IDS_va_Network_Based_IDS_Phan_1_.aspx

http://www.quantrimang.com.vn/kienthuc/kien-thuc-co-ban/37334_He_thong_phat_hien_xam_pham_IDS_Phan_1_.aspx



http://hocit.com/forum/ids-trong-bao-mat-he-thong-mang-10717.html

Do an Chuyen Nganh_IDS

Documents

Transcript of Do an Chuyen Nganh_IDS