Bảo mật là một v ấn đề lớn đối v ới tất cả các mạng trong môi trường doanh nghiệp ngày nay. Hacker v à I ntruder (kẻ xâm nhập) đã nhiều
lần thành công trong v iệc xâm nhập v ào mạng công ty v à đem ra ngoài rất nhiều thông tin giá trị. Đã có nhiều phương pháp được phát triển để
đảm bảo cho hạ tầng mạng v à giao tiếp trên I nternet như: sử dụng firew all, encryption (mã hóa), V PN (mạng riêng ảo) trong đó có hệ thống
phát hiện xâm nhập.
Phát hiện xâm nhập là một tập những công nghệ v à phương thức dùng để phát hiện hành động khả nghi trên cả host v à mạng. Các phương
pháp phát hiện xâm nhập bắt đầu xuất hiện những năm gần đây. Sử dụng phương thức phát hiện xâm nhập, bạn có thể thu thập, sử dụng thông tin
từ những loại tấn công đã biết để tìm ra một ai đó cố gắng tấn công v ào mạng hay máy cá nhân. T hông tin thu thập theo cách này có thể sử dụng
làm cho mạng chúng ta an toàn hơn, nó hoàn toàn hợp pháp. Sản phẩm thương mại v à mã nguồn mở đều sẵn có cho mục đích này
65 trang |
Chia sẻ: nyanko | Lượt xem: 1209 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Luận văn Hệ thống phát hiện xâm nhập (ids-Intrusion detection system), để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
Luận văn
HỆ THỐNG PHÁT HIỆN XÂM
NHẬP (IDS-Intrusion Detection
System)
BỘ GIÁO DỤC & ĐÀO TẠO
ĐẠI HỌC KỸ THUẬT CÔNG
NGHỆ TP.HCM
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
ĐỘC LẬP – TỰ DO – HẠNH PHÚC
_____oOo_____
Khoa: Công nghệ thông tin
Bộ môn: Mạng máy tính
NHIỆM VỤ THỰC HIỆN ĐỀ TÀI CHUYÊN
NGÀNH
Họ và tên : Lê Thị An Hải MSSV : 09B1020158
Ngành : Mạng máy tính Lớp : 09HTHM2
1. Đầu đề đồ án tốt nghiệp :
HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS-Intrusion Detection System)
2. Nhiệm vụ :
...........
...
......................................................................................................
.
3. Ngày giao nhiệm vụ đồ án:
4. Ngày hoàn thành nhiệm vụ:......
5. Họ tên giáo viên hướng dẫn:.............................................................................
Nội dung và yêu cầu đồ án chuyên ngành đã
thông qua.
TP.HCM, ngày tháng năm 2007
CHỦ NHIỆM KHOA
(Ký và ghi rõ họ tên)
GIÁO VIÊN HƯỚNG DẪN CHÍNH
(Ký và ghi rõ họ tên)
PHẦN DÀNH CHO BỘ MÔN
Người duyệt (chấm sơ bộ) :
Đơn vị :
Ngày bảo vệ :
Điểm tổng quát :
ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ
KHOA CÔNG NGHỆ THÔNG TIN
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
ĐỘC LẬP – TỰ DO – HẠNH PHÚC
____o0o____
NHẬN XÉT ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN
ĐỀ TÀI:
Sinh Viên: Chuyên ngành:
Điểm bằng số:
Điểm bằng chữ:
Tp. Hồ Chí Minh, ngày tháng năm2010
NGƯỜI NHẬN XÉT
(Ký tên và ghi rõ họ tên)
LỜI CẢM ƠN
Em xin gửi lời cảm ơn tới các thầy cô trong bộ môn Mạng máy tính, khoa Công nghệ thông tin, trường Kỹ Thuật Công Nghệ Thành Phố
Hồ Chí Minh đã tạo điều kiện cho em thực hiện đồ án chuyên ngành. Xin chân thành cảm ơn thầy giáo Nguyễn Hoàng Nam đã tận tình hướng
dẫn, giúp đỡ em hoàn thành đồ án này.
Cuối cùng, em xin bày tỏ lòng biết ơn đến gia đình và bạn bè đã giúp đỡ, động viên em rất nhiều trong suốt quá trình học tập và làm đồ án.
Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắc chắn đồ án này còn có nhiều thiếu sót. Em rất mong nhận được
những ý kiến đóng góp quý báu từ thầy cô và các bạn.
Tp.HCM, ngày thángnăm 2010
LÊ THỊ AN HẢI
Lớp 09HTHM2-ĐH KTCN Tp.HCM
MỤC LỤC
NHIỆM VỤ ĐỒ ÁN CHUYÊN NGÀNH..1
NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN2
LỜI CẢM ƠN...3
MỤC LỤC.4
LỜI NÓI ĐẦU..8
CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG.....9
I. BẢO MẬT HỆ THỐNG......9
1. Khái niêm về bảo mật........................................................................................9
2. Sự cần thiết của bảo mật..................................................................................9
3. Những mối đe dọa...........................................................................................10
3.1. Mối đe dọa không có cấu trúc.......................................................................10
3.2. Mối đe dọa có cấu trúc..................................................................................10
3.3. Mối đe dọa từ bên ngoài...............................................................................10
3.4. Mối đe dọa từ bên trong................................................................................11
4. Các phương thức tấn công (Attack methods)................................................11
4.1. Thăm dò........................................................................................................11
4.2. Truy nhập (Access).......................................................................................12
4.3. Từ chối dịch vụ (Denial of Service)..............................................................14
II. TẦM QUAN TRỌNG CỦA HỆ THỐNG IDS...........................................15
1.Sự giới hạn của các biên pháp đối phó...........................................................15
2. Sự cần thiết của hệ thống phát hiện xâm nhập.............................................16
CHƯƠNG II: SƠ LƯỢC VỀ HỆ THỐNG IDS..............................................18
I. GIỚI THIỆU CƠ BẢN VỀ IDS....................................................................18
1. Định nghĩa.......................................................................................................18
2. Chức năng.......................................................................................................19
3. Yêu cầu hệ thống.............................................................................................19
4. Kiến trúc cơ bản của hệ thống.......................................................................20
4.1. Cơ sở hạ tầng của IDS...................................................................................20
4.2. Cấu trúc và kiến trúc của hệ thống................................................................22
II. CƠ CHẾ HOẠT ĐỘNG...24
1. Phương pháp nhận diện.....24
1.1. Nhận diện dựa vào dấu hiệu (Signature-base detection).....24
1.2. Nhận diện sự bất thường (Abnormaly-base detection).....25
1.3. Phân tích trạng thái giao thức (Stateful protocol analysis)...25
2. Cơ chế bảo mật....26
2.1. Phát hiện tấn công.26
2.2. Ngăn chặn tấn công...27
2.3. Phòng tránh tấn công.....28
3. Phản ứng.....29
III.CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS..30
1. Kỹ thuật xử lý dữ liệu..30
1.1. Hệ thống Expert (Expert systems)30
1.2. Phát hiện xâm nhập dựa trên luật (Rule-base intrusion detection)...30
1.3. Phân biệt ý định người dùng (User intention identification)30
1.4. Phân tích trạng thái phiên (State-transition analysis)....31
1.5. Phương pháp phân tích thống kê (Staticstical analysis approach)....31
2. Các kiểu tấn công thông dụng....31
2.1. Denial of Service attack31
2.2. Scanning and Probe...32
2.3. Password attack.....33
2.4. Privilege-grabbing.....34
2.5. Hostile code insertion....35
2.6. Cyber vandalism...36
2.7. Proprietary data theft.37
2.8. Fraul, waste, abuse....37
2.9. Audit trail tampering.....38
2.10. Security infrastructure attack..39
3. Hạn chế của hệ thống.....39
CHƯƠNG III: MÔ HÌNH HỆ THỐNG......41
I. PHÂN LOẠI...41
1. Host Intrusion Detection System........41
2. Network Intrusion Detection System..43
3. Distributed Intrusion Detection System.....46
4. So sánh HIDS và NIDS..47
5. Phân biệt các hệ thống không phải là IDS....50
II. MỘT SỐ DẠNG KHÁC CỦA IDS......51
1. Wireless IDS........51
2. Network Behavior Analysis System....53
3. Honeypot IDS..54
CHƯƠNG IV: XÂY DỰNG MÔ HÌNH SẢN PHẨM....55
I. ĐẶT VẤN ĐỀ BÀI TOÁN.55
II. GIỚI THIỆU CHUNG VỀ SNORT....56
1. Các thành phần cơ bản của Snort.....56
1.1. Packet Decoder.59
1.2. Preprocessors....59
1.3. Detection Engine...60
1.4. Logging and Alerting System...62
1.5. Output Modules.....63
2. File cấu hình...64
2.1 Cấu hình các biến giá trị....65
2.2. Cấu hình bộ tiền xử lý...67
2.3. Cấu hình xuất kết quả....69
2.4. Các files kèm theo.72
3. Tập luật (rulesets) trong Snort...73
3.1. Cấu trúc của một rule....75
3.2. Rule option77
III. TRIỂN KHAI HỆ THỐNG IDS BẰNG SNORT.....78
1. Những điểm cần lưu ý....78
1.1. Các hệ thống và mạng phải giám sát.79
1.2. Tạo các điểm kết nối.....80
1.3. Lưu lượng mã hóa.80
1.4. Bảo mật bộ cảm biến Snort...81
1.5. Chọn hệ điều hành.81
1.6. Cấu hình các giao diện..82
2. Cài đặt và cấu hình căn bản...83
2.1. Các bước cài đặt và cấu hình Snort...83
2.2. Các chế độ hoạt động....90
3. Cấu hình Snort nâng cao....92
3.1. Cài đặt cơ sở dữ liệu cho Snort.92
3.2. Basic Analysis and Security Engine.99
3.3. Tự động cập nhập Snort rules với Oinkmaster...105
4. Mô hình triển khai....111
4.1. Mô hình bài toán 1......111
4.2. Mô hình bài toán 2..116
ĐÁNH GIÁ KẾT QUẢ ĐỒ ÁN..118
TÀI LIỆU THAM KHẢO...120
Luận văn
HỆ THỐNG PHÁT HIỆN XÂM
NHẬP (IDS-Intrusion Detection
System)
LỜI NÓI ĐẦU
Bảo mật là một vấn đề lớn đối với tất cả các mạng trong môi trường doanh nghiệp ngày nay. Hacker và Intruder (kẻ xâm nhập) đã nhiều
lần thành công trong việc xâm nhập vào mạng công ty và đem ra ngoài rất nhiều thông tin giá trị. Đã có nhiều phương pháp được phát triển để
đảm bảo cho hạ tầng mạng và giao tiếp trên Internet như: sử dụng firewall, encryption (mã hóa), VPN (mạng riêng ảo) trong đó có hệ thống
phát hiện xâm nhập.
Phát hiện xâm nhập là một tập những công nghệ và phương thức dùng để phát hiện hành động khả nghi trên cả host và mạng. Các phương
pháp phát hiện xâm nhập bắt đầu xuất hiện những năm gần đây. Sử dụng phương thức phát hiện xâm nhập, bạn có thể thu thập, sử dụng thông tin
từ những loại tấn công đã biết để tìm ra một ai đó cố gắng tấn công vào mạng hay máy cá nhân. Thông tin thu thập theo cách này có thể sử dụng
làm cho mạng chúng ta an toàn hơn, nó hoàn toàn hợp pháp. Sản phẩm thương mại và mã nguồn mở đều sẵn có cho mục đích này.
Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là một phương pháp bảo mật có khả năng phát hiện và chống lại các kiểu
tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã
được nghiên cứu, phát triển, ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. Mặc dù các phương
pháp phát hiện xâm nhập vẫn còn mới, nhưng IDS giữ vị trí là hệ thống chất lượng thuộc loại top (hàng đầu) ngày nay.
Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ giúp các bạn hiểu về những kiến thức cơ bản chung của hệ
thống IDS, mà còn có thể giúp các bạn tự xây dựng được một hệ thống IDS phù hợp với từng yêu cầu sử dụng và có thể ứng dụng rộng rãi trong
thực tiễn.
CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG
I. BẢO MẬT HỆ THỐNG
1. Khái niệm về bảo mật:
Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo
mật, phân tích chính xác các cuộc tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết có thể làm giảm
thiệt hại gây nên từ các cuộc tấn công. Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ
thống:
- Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực thể liên kết. Thực thể đó có thể là người dùng độc lập
hay tiến trình của phần mềm.
- Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống.
- Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. Tính cẩn mật yêu cầu dữ
liệu trên máy và dữ liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép.
- Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi,
sửa đổi, xóa và xem lại thông điệp đã được truyền.
- Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS
là phá hoại tính sẵn sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài.
2. Sự cần thiết của bảo mật:
Hiện nay Internet hầu như đã phủ khắp toàn cầu, tham gia vào gần như tất cả các hoạt động kinh doanh và các lĩnh vực của đời sống xã hội,
nhưng đi cùng với việc phát triển nhanh chóng của nó là các mối đe dọa về bảo mật, các cuộc tấn công trên Internet. Càng có nhiều khả năng truy
nhập thì càng có nhiều cơ hội cho những kẻ tấn công, nhưng nếu bảo mật hiệu quả, hệ thống của bạn vẫn có thể làm việc tốt mà không cần lo lắng
quá về việc tăng nguy cơ bị tấn công.
3. Những mối đe dọa:
3.1 Mối đe dọa không có cấu trúc ( Untructured threat)
Hầu hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử dụng các công cụ được cung cấp,
không có hoặc có ít khả năng lập trình) hay những người có trình độ vừa phải. Hầu hết các cuộc tấn công đó vì sở thích cá nhân, nhưng cũng có
nhiều cuộc tấn công có ý đồ xấu.
Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó vẫn là một mối nguy hại lớn.
3.2. Mối đe dọa có cấu trúc ( Structured threat)
Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao. Không như Script Kiddes, những kẻ tấn công này có đủ kỹ năng để
hiểu các công cụ, có thể chỉnh sửa các công cụ hiện tại cũng như tạo ra các công cụ mới. Động cơ thường thấy có thể vì tiền, hoạt động chính
trị, tức giận hay báo thù. Các cuộc tấn công này thường có mục đích từ trước. Các cuộc tấn công như vậy thường gây hậu quả nghiêm trọng cho
hệ thống. Một cuộc tấn công structured thành công có thể gây nên sự phá hủy cho toàn hệ thống.
3.3. Mối đe dọa từ bên ngoài (External threat)
External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong hệ thống. Người dùng trên toàn thế giới thông qua
Internet đều có thể thực hiện các cuộc tấn công như vậy.
Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat. Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể
giảm tác động của kiểu tấn công này xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ nhiều tiền và thời
gian để ngăn ngừa.
3.4. Mối đe dọa từ bên trong ( Internal threat )
Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. Mối đe dọa này khó phòng chống hơn vì các
nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn
“quay mặt” lại với công ty. Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như
là Internet. Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt
qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản.
Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ của người bên trong hệ thống. Trong trường hợp
đó, kẻ tấn công trở thành structured internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyên quan trọng của
công ty. Structured internel threat là kiểu tấn công nguy hiểm nhất cho mọi hệ thống.
4. Các phương thức tấn công ( Attack methods):
4.1. Thăm dò (Reconnaisance)
Reconnaissance là việc thăm dò và ánh xạ bản đồ hệ thống, dịch vụ hay điểm yếu một cách trái phép. Nó cũng được biết như việc thu
thập thông tin, và trong nhiều trường hợp là hành động xảy ra trước việc xâm nhập hay tấn công từ chối dịch vụ.
Việc thăm dò thường được thực hiện bằng các công cụ hay câu lệnh có sẵn trên hệ điều hành. Ta có các bước cơ bản của việc thăm dò
như sau:
Bước 1: Ping quét để kiểm tra bản đồ IP.
Bước 2: Sử dụng port scanner để kiểm tra dịch vụ và cổng mở trên IP đó, có nhiều công cụ như vậy, như Nmap, SATAN,
Bước 3: Truy vấn các cổng để xác định loại, phiên bản của ứng dụng, hệ điều hành.
Bước 4: Xác định điểm yếu tồn tại trên hệ thống dựa trên các bước trên.
Hình 1.1: Thăm dò hệ thống
Một kẻ tấn công ban đầu thường rà quét bằng lệnh ping tới mục tiêu để xác định địa chỉ IP nào còn tồn tại, sau đó quét các cổng để xác
định xem dịch vụ mạng hoặc mạng nào cổng nào đang mở. Từ những thông tin đó, kẻ tấn công truy vấn tới các port để xác định loại, version của
ứng dụng và cả của hệ điều hành đang chạy. Từ những thông tin tìm được, kẻ tấn công có thể xác định những lỗ hổng có trên hệ thống để phá
hoại.
4.2. Truy nhập (Access)
Access là chỉ việc thao túng dữ liệu, truy nhập hệ thống hay leo thang đặc quyền trái phép. Truy nhập vào hệ thống là khả năng của kẻ xâm
nhập để truy nhập vào thiết bị mà không có tài khoản hay mật khẩu. Việc xâm nhập đó thường được thực hiện bằng cách sử dụng các công cụ,
đoạn mã hack nhằm tấn công vào điểm yếu của hệ thống hay ứng dụng. Trong một số trường hợp kẻ xâm nhập muốn lấy quyền truy nhập mà
không thực sự cần lấy trộm thông tin, đặc biệt khi động cơ của việc xâm nhập là do thách thức hay tò mò.
Phương thức xâm nhập rất đa dạng. Phương thức đầu tiên là lấy mật mã của tài khoản.Tài khoản và mật mã cũng có thể lấy được bằng các
phương pháp nghe trộm từ bước thăm dò như Man-In-The-Middle attack, cho phép kẻ xâm nhập dễ dàng thu được nhiều thông tin. Khi đã lấy
được tài khoản, kẻ tấn công có thể vào hệ thống như người dùng hợp pháp bình thường, và nếu tài khoản đó có đặc quyền lớn thì kẻ xâm nhập có
thể tạo ra backdoor cho các lần xâm nhập sau.
Hình 1.2: Man In The Middle attack
Hình 1.3: Tấn công khai thác sự tin cậy.
4.3. Từ chối dịch vụ ( Denial of Service)
Denial of service (DoS) là trạng thái khi kẻ tấn công vô hiệu hóa hay làm hỏng mạng, hệ thống máy tính, hay dịch vụ với mục tiêu từ chối
cung cấp dịch vụ cho user dự định. Nó thường liên quan đến việc phá hoại hay làm chậm hệ thống để người dùng không thể sử dụng được. Trong
hầu hết các trường hợp, việc tấn công chỉ cần thực hiện bằng cách chạy các công cụ, đoạn mã hack, kẻ tấn công không cần quyền truy nhập vào
hệ thống. Chỉ với lí do phá hoại, tấn công từ chối dịch vụ gây ra là rất lớn và đây là kiểu tấn công nguy hiểm nhất đặc biệt là cho các trang web
thương mại.
Hình 1.4: Mô hình DDoS attack
II. TẦM QUAN TRỌNG CỦA HỆ THỐNG IDS
1. Sự giới hạn của các biện pháp đối phó:
Hiện nay có nhiều công cụ nhằm gia tăng tính bảo mật cho hệ thống. Các công cụ đó vẫn đang hoạt động có hiệu quả, tuy nhiên chúng
đều có những hạn chế riêng làm hệ thống vẫn có nguy cơ bị tấn công cao.
Firewall là một công cụ hoạt động ở ranh giới giữa bên trong hệ thống và Internet bên ngoài, cung cấp cơ chế phòng thủ từ vành đai, hạn
chế việc truyền thông của hệ thống với những kẻ xâm nhập tiềm tàng và làm giảm rủi ro cho hệ thống.
Hình 1.5: Firewall bảo vệ hệ thống
Đây là một công cụ không thể thiếu trong một giải pháp bảo mật tổng thể. Tuy nhiên Firewall cũng có những điểm yếu sau:
- Firewall không quản lý các hoạt động của người dùng khi đã vào được hệ thống, và không thể chống lại sự đe dọa từ trong hệ thống.
- Firewall cần phải đảm bảo một mức độ truy cập nào đó tới hệ thống, việc này có thể cho phép việc thăm dò điểm yếu.
- Chính sách của Firewall có thể chậm trễ so với sự thay đổi của môi trường, điều này cũng có thể tạo nên cơ hội cho việc xâm nhập và tấn công.
- Hacker có thể sử dụng phương thức tác động đến yếu tố con người để được truy nhập một cách tin cậy và loại bỏ được cơ chế firewall.
- Firewall không ngăn được việc sử dụng các modem không được xác thực hoặc không an toàn gia nhập hoặc rời khỏi hệ thống.
VPN và cơ chế mã hóa cung cấp khả năng bảo mật cho việc truyền thông đầu cuối các dữ liệu quan trọng. Tuy nhiên, các dữ liệu có mã hóa
chỉ an toàn với những người không được xác thực. Việc truyền thông sẽ trở nên mở, không được bảo vệ và quản lý với những hành động của
người dùng.
Hình 1.6: Mô hình sử dụng chứng chỉ để đảm bảo tính tin cậy
Các phương thức trên cung cấp khả năng bảo vệ cho các thông tin, tuy nhiên chúng không phát hiện được cuộc tấn công đang tiến hành.
Phát hiện xâm nhập trái phép được định nghĩa là “một ứng dụng hay tiến trình dùng để quản lý môi trường cho mục đích xác định hành động có
dấu hiệu lạm dụng, dùng sai hay có ý đồ xấu”.
2. Sự cần thiết của hệ thống phát hiện xâm nhập:
Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ
thống thông tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có
nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của
hệ thống khác
Hệ thống phát hiện xâm nhập giúp giám sát lưu thông mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, nhà quản trị. Nó cũng có
thể phân biệt giữa những tấn công bên trong từ bên trong (từ những người trong công ty) hay tấn công từ bên ngoài (từ các hacker).
Vai trò của hệ thống phát hiện xâm nhập ngày càng trở nên quan trọng, nhưng nó có được chấp nhận là một thành phần thêm vào cho mọi
hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống.
Hình 1.7: Mô hình hệ thống
Bài viết này tôi sẽ giới thiệu cho các bạn tổ