Do an Chuyen Nganh_IDS

ĐH CÔNG NGHIỆP TP.HCM

ĐỒ ÁN CHUYÊN NGÀNH

MỤC LỤC I. Giới hạn của đề tài và mục tiêu. ....................................................................................... 2 1.1 Giới hạn của đề tài. .................................................................................................... 3 1.2 Mục tiêu của đề tài ..................................................................................................... 3 II Phương pháp và môi trường thực hiện. .......................................................................... 3 2.1 Phương pháp............................................................................................................... 4 2.2 Môi trường thực hiện. ................................................................................................ 4 III Nội dung của đề tài. ........................................................................................................ 5 3.1 Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) ............................. 5 3.1.1 Khái niệm ................................................................................................................ 5 3.1.2 Các thành phần, cấu trúc và chức năng của IDS ..................................................... 5 3.1.3 Phân loại .................................................................................................................. 7 3.2 Ứng dụng OSSEC giám sát cài đặt mới các software trên Workstation. ................... 9 3.2.1 Tổng quan về OSSEC. .......................................................................................... 10 3.2.2 Cài đặt OSSEC...................................................................................................... 11 3.3 Nguy cơ từ việc cài đặt các soft ở Workstation. ...................................................... 15 3.4 Dấu hiệu nhận biết và quá trình thực hiện. .............................................................. 16 3.4.1 Dấu hiệu nhận biết. ................................................................................................ 16 3.4.2 Thực hiện cài đặt và cấu hình để Admin phát hiện client cài đặt phần mềm ........ 17 PHẦN 5: TỔNG KẾT ....................................................................................................... 19 TÀI LIỆU THAM KHẢO ................................................................................................. 19

GVHD: THẦY NGUYỄN HÒA

1



LỜI CẢM ƠN. Tôi xin gửi lời cảm ơn tới thầy Nguyễn Hòa trong khoa Công Nghệ Thông Tin trường Đại Học Công Nghiệp Thành Phố Hồ Chí Minh hướng dẫn và giúp đỡ tận tình để tôi thực hiện và hoàn thành đồ án chuyên ngành. Và cũng chân thành cảm ơn các thầy cô khoa Công Nghệ Thông Tin tạo điều kiện cho tôi thực hiện đồ án này. Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắc đồ án này còn nhiều thiếu sót. Tôi rất mong nhận được những ý kiến đóng góp quý báo từ các thầy cố và các bạn.


2



I. Giới hạn của đề tài và mục tiêu. 1.1 Giới hạn của đề tài. IDS không chỉ là công cụ phân tích các gói tin trên mạng, từ đó đưa ra các cảnh báo đến nhà quản trị mạng. Tôi thực hiện đề tài này với mong muốn có thể tìm hiểu, nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện và ngăn chặn xâm nhập IDS. Với vai trò là công cụ bảo mật mới bổ sung cho các công cụ hay phần mềm phổ biển để tang mức độ an toàn đối với hệ thống hiện hành. IDS có hai phần đó là NIDS (Network Intrusion Detection System) và HIDS (Host Intrusion Detection System) thì tôi nghiên cứu phần HIDS. HIDS thì tôi giới hạn nghiên cứu phần Install một phần mềm bên máy client và cài đặt cấu hình Server thì quản trị trên server có thể phát hiện được. 1.2 Mục tiêu của đề tài - Nắm về hệ thống phát hiện xâm nhập : khái niệm IDS, các thành phần của IDS, các mô hình, ứng dụng IDS phổ biến hiện nay. - Tìm hiểu các nguy cơ xâm nhập trái phép đối với hệ thống mạng. - Tìm hiểu các kỹ thuật của việc phát hiện và ngăn chặn xâm nhập. - Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanh nghiệp. - Xây dựng demo để mô tả việc Install software của client và dấu hiệu nhận biết từ server phát sinh từ file logs.


3



II Phƣơng pháp và môi trƣờng thực hiện. 2.1 Phƣơng pháp. -

Sử dụng phần mềm mã nguồn mở Ossec để xây dựng hệ thống ngăn chặn xâm nhập.

-

Xây dựng Ossec server trên hệ điều hành Ubuntu và xây dựng Ossec agen trên hệ điều hành window xp. Từ đó ta sẽ xây dựng được một hệ thống phát hiện xâm nhập từ kẻ xâm nhập và gửi cảnh báo tới Server do nhà quản trị giám sát.

2.2 Môi trƣờng thực hiện. Đề tài này tôi thực hiện trên môi trường Linux, nghĩa là máy server tôi cài Ubuntu và máy client cài Window Xp. Thực hiện trên hai máy laptop, mô hình này đại diện cho nhà quản trị mạng quản trị đứng trên máy server cài Unbuntu và các nhân viên thì dùng máy Xp đại diện. Khi bất kì máy client (xp) cài bất cứ một phần mềm nào mà không có sự cho phép của quản trị thị họ cũng có thể biết được.


4



III Nội dung của đề tài. 3.1 Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) 3.1.1 Khái niệm Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ thống phần cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo cho nhà quản trị. Ngoài ra IDS cũng đảm nhận việc phản ứng lại với các lưu thông bất thường hay có hại bằng các hành động đã được thiết lặp trước như khóa người dùng hay địa chỉ ip nguồn đó truy cập hệ thống mạng. IDS cũng có thể phân biệt giữa những tấn công từ bên trong (từ những người trong công ty), hay tấn công bên ngoài (từ các hacker). IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus) hay dựa trên so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống ) để tìm ra các dấu hiệu khác thường. 3.1.2 Các thành phần, cấu trúc và chức năng của IDS 3.1.2.1 IDS bao gồm các thành phần chính: Thành phần thu thập gói tin, thành phần này có nhiệm vụ lấy các gói tin đi đến mạng. Thông thường các gói tin có địa chỉ không phải của một cart mạng thì sẽ bị cart mạng đó hủy bỏ nhưng cart mạng của IDS được đặt ở chế độ thu nhận tất cả. Bộ phận thu thập gói tin sẽ đọc thông tin của từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì…. Các thông tin này được chuyển đến thành phần phát hiện tấn công. Thành phần phát hiện gói tin, ở thành phần này, các bộ cảm biến đóng vai trò quyết định. Vai trò của bộ cảm biến là dung để lọc thông tin và loại bỏ những thong tin dữ liệu không tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ. Thành phần phản hồi, khi có dấu hiệu của sự tấn công hoặc thâm nhập, thành phần phát hiện tấn công sẽ gửi tín hiệu báo hiệu (alert) có sự tấn công hoặc thâm nhập đến GVHD: THẦY NGUYỄN HÒA

5



từng thành phần phản ứng. Lúc đó thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức năng ngăn chặn cuộc tấn công hay cảnh báo tới người quản trị. 3.1.2.2 Chức năng Cảnh báo thời gian thực là gửi các cảnh báo thời gian thực đến người quản trị để họ nắm được chi tiết các cuộc tấn công, các đặc điểm và thông tin về chúng. Ghi lại vào tập tin, các dữ liệu của gói tin sẽ được lưu trữ trong hệ thống các tập tin log. Mục đích là để những người quản trị có thể theo dõi các luồng thông tin và là nguồn thông tin giúp cho module phát hiện tấn công hoạt động. Ngăn chặn thai đổi gói tin, khi một gói tin khớp với dấu hiệu tấn công thì IDS sẽ phản hồi bằng cách xóa bỏ, từ chối hay thay đổi nội dung của gói tin, làm cho gói tin trở nên không bình thường. 3.1.2.3 Cấu trúc của IDS 3.1.2.3.1 Các thành phần cơ bản Sensor/ Agent giám sát và phân tích các hoạt động. “Sensor” thường được dùng cho dạng Network-base IDS/IPS trong khi “Agent” thường được dùng cho dạng Host-base IDS/IPS. Management Server là một thiết bị trung tâm dùng thu nhận các thông tin từ Sensor / Agent và quản lý chúng. Một số Management Server có thể thực hiện việc phân tích các thông tin sự việc được cung cấp bởi Sensor / Agent và có thể nhận dạng được các sự kiện này dù các Sensor / Agent đơn lẻ không thể nhận diện. Database Server dùng lưu trữ các thông tin từ Sensor / Agent hay Management Server Console Là một chương trình cung cấp giao diện cho IDS/IPS users / Admins. Có thể cài đăt trên một máy tính bình thường dùng để phục vụ cho tác vụ quản trị, hoặc để giám sát, phân tích.


6



3.1.3 Phân loại 3.1.3.1 Network Base IDS (NIDS) Hệ thống IDS dựa trên mạng sử dụng bộ dò và bộ cảm biến được cài đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu. Thường dùng để giám sát, phân tích hoạt động hệ thống mạng trong một segment, phân tích mạng, các giao thức ứng dụng từ đó nhận diện các hoạt động khả nghi. Thường được triển khai ở các biên mạng ( network border ). Hệ thống NIDS/IPS thường được triển khai trong một đoạn / mạng con riêng phục vụ cho mục đích quản trị hệ thống ( management network ), trong trường hợp không có mạng quản trị riêng thì một mạng riêng ảo ( VLAN ) là cần thiết để bảo vệ các kết nối giữa các hệ NIDS/IPS. Bên cạnh việc lựa chọn vị trí mạng phù hợp cho các thành phần của hệ NIDS/IPS, lựa chọn vị trí phù hợp cho các Sensor cũng là một vấn đề quan trọng ảnh hưởng đến khả năng detection của hệ NIDS/IPS. Trong hệ NIDS/IPS, các Sensor thường gặp ở hai dạng là tích hợp phần cứng (appliance-based) và phần mềm ( software-only ). Người ta thường sử dụng hai kiểu triển khai sau: Thẳng hàng (Inline) là một Sensor thẳng hàng được đặt sao cho các lưu lượng trên mạng mà nó giám sát đi xuyên qua nó giống như trong trường hợp cùa firewall. Thực tế là một số Sensor thẳng hàng được sử dụng như một loại lai giữa firewall và NIDS/IPS, một số khác là NIDS thuần túy. Động cơ chính của việc triển khai Sensor kiểu thẳng hàng là nó có thể dừng các tấn công bằng việc chặn lưu lượng mạng ( blocking network traffic ). Sensor thẳng hàng thường được triển khai tại vị trí tương tự với firewall và các thiết bị bảo mật khác: ranh giới giữa các mạng. Sensor thẳng hàng còn có thể được triển khai tại các vùng mạng kém bảo mật hơn hoặc phía trước các thiết bị bảo mật hoặc firewall để bảo vệ và giảm tải cho các thiết bị này. Thụ động (Passive), Sensor kiểu thụ động được triển khai sao cho nó có thể giám sát một bản sao của các lưu lượng trên mạng, thường được triển khai giám sát các vị trí quan trọng trong mạng hư ranh giới giữa các mạng.


7



3.1.3.2 Host Base IDS (HIDS) HIDS thường được cài đặt trên một máy tính nhất định. Thay vì giám sát hoạt động của một network segment, HIDS chỉ giám sát các hoạt động trên một máy tính. Được triển khai trên từng host,thông thường là một software hoặc một agent, mục tiêu là giám sát các tính chất cơ bản, các sự kiện liên quan đến các thành phần này nhằm nhận diện các hoạt động khả nghi. Host-based IDS/IPS thường được triển khai trên các host có tính chất quan trọng ( public servers, sensitive data servers ), hoặc một dịch vụ quan trọng ( trường hợp đặc biệt này được gọi là application-based IDS/IPS ). Quá trình triển khai các agent HIDS/IPS thường đơn giản do chúng là một phần mềm được cài đặt trực tiếp lên host. Application-based agent thường được triển khai thẳng hàng ngay phía trước host mà chúng bảo vệ. Một trong những lưu ý quan trọng trong việc triển khai hệ thống Host-based IDS/IPS là cân nhắc giữa việc cài đặt agent lên host hay sử dụng agent-based appliances. Trên phương diện phát hiện và ngăn chặn xâm nhập, việc cài đặt agent lên host được khuyến khích vì agent tương tác trực tiếp với các đặc tính của host và qua đó có thể phát hiện và ngăn chặn 1 cách hiệu quả hơn. Tuy nhiên, do agent thường chỉ tương thích với 1 số hệ điều hành nhất định nên trong trường hợp này người ta sử dụng thiết bị. Một lý do khác để sử dụng thiết bị là việc cài đặt agent lên host có thể ảnh hưởng đến performance của host. Hệ thống HIDS/IPS cung cấp các khả năng bảo mật sau: - Khả năng ghi log. - Khả năng phát hiện. + Phân tích mã (phân tích hành vi mã, nhận diện buffer-overflow, giám sát hàm gọi hệ thống, giám sát danh sách ứng dụng và hàm thư viện) + Phân tích và lọc lưu lượng mạng . + Giám sát filesystem ( kiểm tra tính toàn vẹn,thuộc tính,truy cập của file ) + Phân tích log. + Giám sát cấu hình mạng. - Khả năng ngăn chặn.


8



3.1.3.2.1 Ƣu nhƣợc điểm của HIDS Ưu điểm. - Có khả năng xác định người dung liên quan tới một sự kiện. - Hids có khả năng phát hiện các cuộc tấn công diễn ra trên một máy. - Có thể phân tích các dữ liệu mã hóa. - Cung cấp các thông tin về host trong lúc tấn công diễn ra. Nhược điểm. - Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host này thành công. - Khi hệ điều hành bị hạ do tấn công, đồng thời HIDS cũng bị hạ. - Hids phải được thiết lập trên từng host giám sat. - Hids không có khả năng phát hiện các cuộc dò mạng. - Hids cần tài nguyên Host để hoạt động. - Đa số chạy trên hệ điều hành window. Tuy nhiên cũng đã có 1 số chạy trên linux chặng hạng Ubuntu. 3.1.3.2.2 Các hoạt động của Hids. Khi lưu lượng được truyền tải đến host chúng được phân tích và đưa qua host nếu hệ thống không phát hiện thấy các gói tin mang mã nguy hiểm bên trong. HIDS thường được sử dụng cho các máy tính nội bộ trong khi đó NIDS được dùng cho cả một mạng. HIDS thường được sử dụng cho nền Windows trong thế giới máy tính, tuy nhiên cũng có nhiều sản phẩm cũng có thể hoạt động trong môi trường UNIX và các hệ điều hành khác.


9



3.2 Ứng dụng OSSEC giám sát cài đặt mới các software trên Workstation. 3.2.1 Tổng quan về OSSEC. Ossec là một hệ thống phát hiện xâm nhập mã nguồn mở, chính xác là một HIDS (Host IDS). thực hiện phân tích đăng nhập, kiểm tra tính toàn vẹn file, giám sát chính sách, phát hiện rootkit, thời gian thực cảnh báo và phản ứng tích cực. Nó chạy trên hầu hết các hệ điều hành , bao gồm cả Linux, hệ điều hành MacOS, Solaris, HP-UX, AIX và Windows. Kiểm tra tính năng OSSEC và cách thức hoạt động để biết thêm thông tin về cách OSSEC có thể giúp bạn giải quyết vấn đề an ninh dựa trên máy chủ của bạn. OSSEC là một nền tảng đầy đủ để theo dõi và kiểm soát hệ thống của bạn. Nó trộn lẫn với nhau tất cả các khía cạnh của HIDS (dựa trên máy chủ phát hiện xâm nhập), giám sát đăng nhập và SIM / SIEM với nhau trong một giải pháp mã nguồn đơn giản, mạnh mẽ và cởi mở. Nó cũng được hỗ trợ và hỗ trợ đầy đủ bởi Trend Micro . OSSEC cho phép khách hàng cấu hình sự cố họ muốn được cảnh báo trên cho phép họ tập trung vào nâng cao ưu tiên các sự cố quan trọng hơn tiếng ồn thường xuyên trên hệ thống bất kỳ. Tích hợp với SMTP, tin nhắn và nhật ký hệ thống cho phép khách hàng được trên đầu trang của các cảnh báo bằng cách gửi những trên e-mail và các thiết bị cầm tay như điện thoại di động và máy nhắn tin. Tùy chọn hoạt động phản ứng để ngăn chặn một cuộc tấn công ngay lập tức cũng có sẵn.


10



3.2.2 Cài đặt OSSEC 3.2.2.1 Yêu cầu hệ thống Phần cứng: Tùy thuộc vào quy mô hệ thống mạng mà ta chọn phần cứng cho thích hợp. Tuy nhiên muốn OSSEC hoạt động một cách hiệu quả ta sẽ cần CPU có tốc độ xử lý nhanh , bộ nhớ lớn , bus cao và dung lượng ổ cứng lớn nếu như log file do OSSEC sinh ra nhiều và lớn theo thời gian. Hệ điều hành: OSSEC hỗ trợ nhiều hệ điều hành khác nhau như Windows, Ubuntu, CentOs,…. Các yêu cầu khác: Có hỗ trợ C, C++ để biên dịch OSSEC từ Sources code. 3.2.2.2 Cài đặt ossec server Ta có thể cài đặt OSSEC từ Souce code hay là các gói RPM .Theo kinh nghiệm nên download source code và sau đó biên dịch để cài đặt hơn là dùng các gói binary có sẵn. Vì khi cài đặt từ source code có thể cấu hình OSSEC kết hợp với MySQL, ACID…Cài OSSEC khá dễ dàng, có nhiều tuỳ chọn phù hợp với nhu cầu ngừơi dùng; phần quan trọng nhất của OSSEC là kết hợp với nhiều database để lưu trữ. Download OSSEC từ địa chỉ : http://www.ossec.net. Sau khi download file cài đặt về ta giải nén và tiến hành cài đặt và chọn ngôn ngữ, ta sẽ chọn en.


11



Tiếp theo, ta sẽ chọn cài đặt OSSEC server.

Và ta chọn nơi lưu:

Bước tiếp theo là ta thực hiện cấu hình.Ở bước này tôi không cần Mail nên tôi chọn No.

Tất cả các bước tiếp theo ta chọn yes cho đến hết quá trình cài đặt và ta chờ cho đến khi kết thúc.


12



Và quá trình cài đặt kết thúc.


13



3.2.2.3 Cài đặt ossec agent Phần cài đặt ossec agent sẽ tiến hành cài đặt trên mày window xp.Ta sẽ tải chương trình cài đặt về và tiến hành cài đặt bình thường như các chương trình khác. Và giao diện cuối cùng như thế này.

Bước tiếp theo là ta qua Ossec server để lấy địa chỉ và key đế connec đến ossec server và có giao diện như sao:

Và ta tiến hành tạo một client agent mới đế ossec agent có thể kết nối tới server, sau khi có key thì tiến hành nhập vào hộp thoại của osses agnent.


14



Và quá trình kết nối tới server thành công.

3.3 Nguy cơ từ việc cài đặt các soft ở Workstation. Một phần mềm được cài đặt vào máy tính cốt yếu do hai điều sau, thứ nhất là do nhân viên tại máy Client tự ý cài đặt phần mềm, thứ hai là do khi các máy Client lướt web thì có những trang quảng cáo, hay những trang web độc hại có chức năng tự cài đặt phần mềm vào máy tính chúng ta khi chúng ta truy cập vào trang web đó. Nguy cơ khi cái đặt các soft đó chính là máy client sẽ bị nhiễm mã độc có trong phần mềm được cài. Và nguy cơ lớn nhất khi cài đặt phần mềm đó là malware, chúng thậm chí có thể giả mạo cả dịch vụ phần mềm và khi máy cập nhật, thay vì các bản vá và phần mềm bảo mật thì malware lại được tải về và cài đặt lên hệ thống.


15

ĐH CÔNG NGHIỆP TP.HCM            


Và vấn đề tất yếu khi chúng ta gặp phải mã độc đó là : Làm chậm máy, gây lỗi máy bởi các mã độc. Gây hiển thị thông báo lỗi liên tục. Không thể tắt máy tính hay khởi động lại khi malware duy trì cho những process nhất định hoạt động. Kẻ xấu lợi dụng malware để thu thập thông tin cá nhân hoặc dữ liệu từ máy tính. “Cướp” trình duyệt, làm chuyển hướng người dùng đến những site có chủ đích. Lây nhiễm vào máy và sử dụng máy làm một vật chủ quảng bá nhiều file khác nhau hay thực hiện các cuộc tấn công khác. Gửi spam đi và đến hộp thư người dùng. Gửi những email mạo danh người dùng, gây rắc rối cho người dùng hay cho công ty. Cấp quyền kiểm soát hệ thống và tài nguyên cho kẻ tấn công. Làm xuất hiện những thanh công cụ mới. Tạo ra các biểu tượng mới trên màn hình desktop. Chạy ngầm và khó bị phát hiện nếu được lập trình tốt.

3.4 Dấu hiệu nhận biết và quá trình thực hiện. 3.4.1 Dấu hiệu nhận biết. Khi chúng ta cài đặt bất kì một phần mềm nào đó vào trong máy tính thì chúng ta đều có thể nhận biết thông qua file registry, và vào trong đường dẫn sao để phát hiện

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVes\Uninstall


16



3.4.2 Thực hiện cài đặt và cấu hình để Admin phát hiện client cài đặt phần mềm Ta cũng có thể sử dụng Ossec để theo dõi tình hình cài đặt các phần mềm của máy client. Vì qua việc này chúng ta có thể quản lý chặt chẽ hơn khi ta không có nhiều thời gian để kiểm tra các máy client của các nhân viên trong một công ty chẳng hạn. Mặc định admin đả cài đầy đủ các ứng dụng để nhân viên có thể hoàn thành tốt phần việc của mình, nhưng do nhu cầu cá nhân nên họ sẽ cài đặt vào máy của mình các phần mếm không khả dụng. Admin có thể dung ossec để theo dõi quá trình cài đặt của các nhân viên thông qua file cấu hình file win_audit của ossec agent. Ta vào đường dẫn sao để đến file win_audit :

Ta tiến hành cấu hình file win_audit_rcl như sau:

Vì trong ossec có hỗ trợ sẵn cho ta các rule trong đó có rule phát hiện cài đặt phần mềm, ta chỉ việc cấu hình file win_audit và sử dụng thôi. Đầu tiên ta phải cài đặt phần mềm có đuôi là msi, ở đây tôi sẽ cài đặt chương trình yahoo trong đó có chương trình Microsoft visual C ++ 2005 có đuôi là msi.


17



Và admin chỉ cần ở máy ossec server mở file logs và kiểm tra . Ta vào ossec server và vào câu lệnh sau để xem kết quả từ file logs: cat /var/ossec/logs/alerts/2013/Jul/ossecalerts-02.log

Sau khi xem ta cũng biết được rule dùng để phát hiền phần mềm đã được cài đó chình là rule 18147 (level 5) 3.3.2 Rule giám sát việc cài đặt mới software. Ossec đã xây dựng một rule sẵn với số id là 1847 mình chỉ cần dùng thôi.Khi cài một gói ứng dụng .msi thì nó sẽ ghi vào log event viewer .Ossec nó đã xây dựng một decoder event Windows sau nó sẽ tạo một alert. 18101 ^11707 alert_by_email Application Installed. GVHD: THẦY NGUYỄN HÒA

18



IV. Nhận xét. Hệ thống phát hiện xâm nhâp (IDS) tuy chỉ mới xuất hiện sau này nhưng hiện đóng vai trò không kém phần quan trọng. IDS giúp con người khám phá, phân tích một nguy cơ tấn công mới. từ đó ta vạch ra phương án phòng chống. Ở một góc độ nào đó, có thể lần tìm được thủ phạm gây ra một cuộc tấn công.Một tổ chức lớn không thể nào thiếu IDS. Sau khi thực hiện đề tài này tôi có thể biết rõ hơn về được cơ chế hoạt động của hệ thống phát hiện xâm nhập IDS. Cài đặt và cấu hình một hệ thông phát hiện xâm nhập trên mạng cục bộ dựa vào phần mềm OSSEC. Và cụ thể hơn đó chính là biết được hệ thống phát hiện xâm nhập dùng HIDS, một hệ thống có thể giúp chúng ta giám sát được tình trạng install software từ máy client, mặc dù việc cài đặt này không phân biệt là do nhân viên cài hay được tự cài từ việc nhân viên truy cập các trang web đều được nhà quản trị giám sát được từ những cảnh báo mà ossec agent gửi cảnh báo tới ossec server và cụ thệ hơn là dấu hiệu nhận biết được đó chính là các file logs được phát sinh ra từ ossec server. Vì đề tài chỉ nghiên cứu một khía cạnh của IDS nên nội dung đề tài không phản ánh được đầy đủ các vấn đề chi tiết của IDS. Nhưng sau khi thực hiện xong đề tài này hướng đi tiếp theo của tôi có thể nghiên cứu sâu hơn về IDS nhằm đáp ứng được nhu cầu kiến thức cũng như công việc liên quan sau này.


19



TÀI LIỆU THAM KHẢO 1. http://hocit.com/forum/ids-trong-bao-mat-he-thong-mang-

10717.html]http://www.quantrimang.com.vn/kienthuc/kien-thuc-coban/37334_He_thong_phat_hien_xam_pham_IDS_Phan_1_.aspx 2. http://www.quantrimang.com.vn/hethong/lan-

wan/38250_Host_Based_IDS_va_Network_Based_IDS_Phan_1_.aspxhttp://vnpro.org/fo rum/showthread.php?t=12607 3. http://ddcntt.vn/forum/archive/index.php/t-244.html 4. http://www.hvaonline.net/ 5. http://ossec.net 6. https://groups.google.com/forum/#!forum/ossec-list


20

Do an Chuyen Nganh_IDS

Recommend Documents