1. Trang chủ
  2. » Giáo Dục - Đào Tạo

BÀI TẬP LỚN MÔN HỌC AN TOÀN MẠNG MÁY TÍNH Đề tài TÌM HIỂU VỀ HỆ THỐNG IDS/IPS SNORT3, CÀI ĐẶT VÀ THỬ NGHIỆM

20 26 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 20
Dung lượng 433,99 KB

Nội dung

Với sự phát triển ngày càng nhanh chóng của Internet và các ứng dụng giao dịch điện tử trên mạng, nhu cầu bảo vệ thông tin trong các hệ thống và ứng dụng điện tử ngày càng được quan tâm

Trang 1

HỌC VIỆN KỸ THUẬT MẬT MÃ

KHOA AN TOÀN THÔNGTIN

BÀI TẬP LỚN MÔN HỌC

AN TOÀN MẠNG MÁY TÍNH

Đề tài:

TÌM HIỂU VỀ HỆ THỐNG IDS/IPS SNORT3,

CÀI ĐẶT VÀ THỬ NGHIỆM

Sinh viên thực hiện: PHẠMTHỊNGỌC AT150441

THỦYAT150457BÙITHÀNH CÔNG AT150406TRẦNQUANGTHÁI

AT150604

Hà Nội, 02- 2022

Trang 2

MỤC LỤC

LỜIMỞĐẦU 3

CHƯƠNG 1: TỔNG QUANVỀIDS/IPS 4

1.1 KháiNiệmIDS/IPS 5

1.2 Phânloại 5

1.3 So sánh IDSvàIPS 6

1.4 Cơ chế hoạt động của hệthống IDS/IPS 7

1.4.1 Phát hiện sựlạmdụng 7

1.4.2 Phát hiện sựbất thường 8

1.4.3 Phát hiện thôngquaProtocol 10

CHƯƠNG 2: TỔNG QUAN VỀSNORT3-IDS/IPS MÃ NGUỒN MỞ CÓ BẢNCẬPNHẬTMỚI 12

2.1 Giới thiệu về snortvàsnort3 12

2.2 Một số tính năng mớicủasnort3 14

CHƯƠNG 3: CÀI ĐẶT VÀTHỬ NGHIỆM 15

3.1 Mô hìnhthử nghiệm 15

3.2 Thử nghiệm phát hiện và ngăn chặncủasnort 15

KẾT LUẬN VÀ HƯỚNGPHÁTTRIỂN 19

TÀI LIỆUTHAM KHẢO 20

Trang 3

LỜI MỞ ĐẦU

Ngàynay,bảo mật thông tin đang ngày càng phổ biến trong các lĩnh vực khác nhau trên thế giới, từ các lĩnh vực an ninh, quân sự, quốc phòng cho đến các lĩnh vực dân sự như thương mại điện tử, ngân hàng Với sự phát triển ngày càng nhanh chóng của Internet

và các ứng dụng giao dịch điện tử trên mạng, nhu cầu bảo vệ thông tin trong các hệ thống và ứng dụng điện tử ngày càng được quan tâm và có ý nghĩa hết sức quan trọng Các ứng dụng mã hóa thông tin cá nhân, trao đổi thông tin kinh doanh, thực hiện các giao dịch điện tử qua mạng đã trở nên gần gũi và quen thuộc với mọingười

Vớinhucầutraođổithôngtinngàynaybắtbuộccáccánhâncũngnhưcáccơquan, tổ chức phải kết nối mạng Internet toàn cầu An toàn và bảo mật thông tin là một trong nhữngvấnđềquantrọnghàngđầukhithựchiệnkếtnốiInternet.Tuynhiên,vẫnthường xuyên có các mạng bị tấn công, có các tổ chức bị đánh cắp thông tin gây nên những hậuquảvôcùngnghiêmtrọng.Nhữngvụtấncôngnàynhằmvàotấtcảcácmáytínhcó mặt trên mạng Internet, đa phần vì mục đích xấu và các cuộc tấn công không được báo trước,sốlượngcácvụtấncôngtănglênnhanhchóngvàcácphươngpháptấncôngcũng liên tục được hoàn thiện Vì vậy việc kết nối một máy tính vào mạng nội bộ cũng như vào mạng Internet cần phải có các biện pháp đảm bảo an toàn thông tin Nhiều phương phápđãđượcpháttriểnđểbảomậthạtầngmạngvàviệctruyềnthôngtrênInternet,bao gồm các cách như sử dụng tường lửa (Firewall), mã hóa, và mạng riêngảo(VPN)

Vì vậy chúng em đã chọn đề tài Tìm hiểu về hệ thống IDS/IPS Snort 3, một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng xuất phát

từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống

Trang 4

CHƯƠNG 1: TỔNG QUAN VỀ IDS/IPS

Trong hệ thống mạng, vấn đề an toàn và bảo mật một hệ thống thông tin đóng một vai trò hết sức quan trọng Thông tin chỉ có giá trị khi nó giữ được tính chính xác,

thông tin chỉ có tính bảo mật khi chỉ có những người được phép nắm giữ thông tin biết được nó Khi ta chưa có thông tin, hoặc việc sử dụng hệ thống thông tin chưa phải là phương tiệnduynhất trong quản lý, điều hành thì vấn đề an toàn, bảo mật đôi khi

bị xem thường Nhưng một khi nhìn nhận tới mức độ quan trọng của tính bền hệ thống

và giá trị đích thực của thông tin đang có thì chúng ta sẽ có mức độ đánh giá về an toàn

và bảo mật hệ thống thông tin Để đảm bảo được tính an toàn và bảo mật cho một hệ thống cần phải có sự phối hợp giữa các yếu tố phần cứng, phần mềm và con người

Hệ thống quản lý an toàn thông tin tại Việt Nam hiện nay còn rất yếu kém thể hiện ở tỉ các đơn vị có cán bộ chuyên trách, bán chuyên trách về an toàn thông tin chỉ chiếm gần 70% Trong khi đó tỉ lệ đơn vị có kế hoạch đào tạo an toàn thông tin chiếm khoảng 60% Đặc biệt tỉ lệ đơn vị mua bảo hiểm đề phòng thiệt hại do bị tấn công máy tính vô cùng ít chỉ có 11.6 %

Trên 90% các mạng được kết nối đang sử dụng IDS/IPS để phát hiện lỗ hổng bảo mật

hệ thống

Mỗi năm, Việt Nam phải chịu thiệt hại hàng nghìn tỉ đồng vì các cuộc tấn công mạng, phá hoại máy tính, kéo theo hàng triệu công việc bị ảnh hưởng do sự xâm nhập… Nếu sử dụng một phần mềm chống virus thì cần phải xem xét đến việc bổ sung thêm một IDS/IPS cho chiến lược bảo mật của mình Hầu hết các tổ chức sử dụng phần mềm chống virus không sử dụng IDS/IPS

Ngày nay do công nghệ ngày càng phát triển nên không có một giải pháp bảo mật nào

có thể tồn tại lâu dài Theo đánh giá của các tổ chức hàng đầu về công nghệ thông tin trên thế giới, tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là năm

“báo động đỏ” của an ninh mạng toàn cầu khi có nhiều lỗ hổng an ninh nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin của các doanh nghiệp

Trang 5

Hệ thống phát hiện xâm nhập và ngăn chặn trái phép IDS/IPS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát

từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống

Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật, an toàn thông tin

1.1 Khái NiệmIDS/IPS

IDS (Intrusion Detection Systems - Hệ thống phát hiện xâm nhập) là thiết bị hoặc phần mềm có nhiệm vụ giám sát traffic mạng, các hành vi đángngờvà cảnh báo cho admin hệ thống Mục đích của IDS là phát hiện và ngăn ngừa các hành động phá hoại bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như dò tìm, quét các cổng IDS cũng có thể phân biệt giữa những cuộ tấn công nội bộ (từ chính nhân viên hoặckháchhàngtrongtổchức)vàtấncôngbênngoài(từhacker).Trongmộtsốtrường hợp, IDS có thể phản ứng lại với các traffic bất thường/độc hại bằng cách chặn người dùng hoặc địa chỉ

IP nguồn truy cậpmạng

Hệthốngphòngchốngxâmnhập(Intrusionpreventionsystem,viếttắtlàIPS)làmột số biện pháp an ninh mạng quan trọng nhất mà mạng có thể có IPS được biết đến như một hệ thống kiểm soát, vì

nó không chỉ phát hiện các mối đe dọa tiềm ẩn đối với hệ thống mạng và cơ sở hạ tầng của nó, mà còn tìm cách chủ động chặn bất kỳ kết nốinào có thể là mối đe dọa Điều này khác với các biện pháp bảo vệ thụ động như hệ thống phát hiện xâmnhập

IPS là một hệ thống chủ động thực hiện các bước để ngăn chặn sự xâm nhập hoặc tấn công khi xác định được nó

1.2 Phânloại

Có hai loại IDSchính:

Đầu tiên là hệ thống phát hiện xâm nhập mạng (NIDS) Các hệ thống này kiểm tra lưu lượng trong mạng và giám sát nhiều máy chủ để xác định các cuộc xâm nhập Các cảm biến được sử dụng để nắm bắt lưu lượng trong mạng và mỗi gói được phân tích để xác định nội dung độc hại

Loại thứ hai là hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) HIDS được triển khai trong các máy chủ hoặc máy chủ Họ phân tích dữ liệu cục bộ trên máy như tệpnhậtkýhệthống,đườngdẫnkiểmtoánvàthayđổihệthốngtệpđểxácđịnhhànhvi

Trang 6

bất thường HIDS so sánh hồ sơ bình thường của máy chủ với các hoạt động được quan sát

để xác định sự bất thường tiềm ẩn

Ngoài ra, còn có NNIDS cũng hoạt động như NIDS, tuy nhiên chúng chỉ áp dụngvới một máy chủ trong một thời gian nhất định, chứ không phải trên toàn bộ mạng con

Ở hầu hết các nơi, các thiết bị được cài đặt IDS được đặt ở giữa bộ định tuyến nội trú và tường lửa hoặc bên ngoài bộ định tuyến nội trú Trong một số trường hợp, các thiết bị được cài đặt IDS được đặt bên ngoài tường lửa và bộ định tuyến nội trú với cườngđộnhìnthấytoànbộcáccuộctấncôngđãcốgắng.Hiệusuấtlàmộtvấnđềquan

trọngvớicáchệthốngIDSvìchúngđượcsửdụngvớicácthiếtbịmạngbăngthôngcao

Ngaycảvớicácthànhphầnhiệusuấtcaovàphầnmềmđượccậpnhật,IDScóxuhướng bỏ các gói vì chúng không thể xử lý thông lượnglớn

IPS được chia thành bốnloại:

ĐầutiênlàPhòngchốngxâmnhậpdựatrênmạng(NIPS),theodõitoànbộmạngvề hoạt động đángngờ

Loại thứ hai là các hệ thống Phân tích Hành vi Mạng (NBA) kiểm tra luồng lưu lượng

để phát hiện các luồng lưu lượng bất thường có thể là kết quả của cuộc tấn công như từ chối dịch vụ phân tán (DDoS)

LoạithứbalàHệthốngngănchặnxâmnhậpkhôngdây(WIPS),phântíchcácmạng không dây cho lưu lượng đángngờ

Loại thứ tư là Hệ thống ngăn chặn xâm nhập dựa trên máy chủ (HIPS), trong đógói phần mềm được cài đặt để giám sát các hoạt động của một máy chủ Như đã đề cập trước đó, IPS thực hiện các bước hoạt động như bỏ các gói chứa dữ liệu độc hại, đặt lại hoặc chặn lưu lượng truy cập đến từ một địa chỉ IP viphạm

1.3 So sánh IDS vàIPS

IDSlàmộthệthốnggiámsátmạngvàpháthiệncáchoạtđộngkhôngphùhợp,không chính xác hoặc bất thường, trong khi IPS là hệ thống phát hiện sự xâm nhập hoặc tấn công và thực hiện các bước tích cực

để ngăn chặnchúng

IPSbaogồmIDScùnghệthốngkiểmsoáthoặcphảnhồi.IDSkhôngthểđiềuchỉnh các xâm nhập, trong khi IPS có khả năng ngăn chặn phát tán dựa vào nội dung của các xâmnhập

Trang 7

Cả IDS và IPS đều là các hệ thống dựa trên dữ liệu những mối đe dọa đã được biết đến.IDScầnquảntrịviênxemxétnhữngmốinguyđượccảnhbáo,trongkhiIPScóthể tự ngăn chặn các mối nguynày

Sự bảo vệ chính giữa hai người không giống như IDS, IPS chủ động thực hiện các bước

để ngăn chặn hoặc chặn các cuộc xâm nhập được phát hiện Các bước ngăn chặn này bao gồm các hoạt động như bỏ các gói độc hại và đặt lại hoặc chặn lưu lượng truy cập đến từ các địa chỉ IP độc hại IPS có thể được coi là một phần mở rộng của IDS, có khả năng bổ sung để ngăn chặn sự xâm nhập trong khi phát hiện ra chúng

1.4 Cơ chế hoạt động của hệ thốngIDS/IPS

Có ba cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là: Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các xâmnhập bằng cách tìm kiếm các hành động tương ứng với các kĩ thuật xâm nhập đã đượcbiết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của hệ thống.Phát hiện

sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiện các xâmnhập bằng

cách tìm kiếm các hành động khác với hành vi thông thường của người dùng hay hệ thống

PháthiệnthôngquaProtocol:Tươngtựnhưviệcpháthiệndựatrêndấuhiệu,nhưng nó thực hiện một sự phân tích theo chiều sâu của các giao thức được xác định cụ thể trong góitin

1.4.1 Pháthiện sự lạmdụng

Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập vào hệthốngmàsửdụngmộtsốkỹthuậtđãbiết.Nóliênquanđếnviệcmôtảđặcđiểmcác cách thức xâm nhập vào hệ thống đã được biết đến, mỗi cách thức này được mô tả như một mẫu Hệ thống phát hiện sự lạm dụng chỉ thực hiện kiểm soát đối với các mẫu đã rõ ràng Mẫu có thể là một xâu bit cố định (ví dụ như một virus đặc tả việc chèn xâu),…dùng để mô tả một tập hay một chuỗi các hành động đáng nghingờ

Ởđây,ta sử dụng thuật ngữ kịch bản xâm nhập (intrusion scenario) Một hệ thống pháthiệnsựlạmdụng điểnhìnhsẽliêntụcso sánhhànhđộngcủahệthốnghiệntạivới mộttậpcáckịchbảnxâmnhậpđểcốgắngdòrakịchbảnđangđượctiếnhành.Hệthống này có thể xem xét hành động hiện tại của hệ thống được bảo vệ trong thời gian thực hoặc có thể là các bản ghi kiểm tra được ghi lại bởi hệ điềuhành

Trang 8

Cáckỹthuậtđểpháthiệnsựlạmdụngkhácnhauởcáchthứcmàchúngmôhìnhhoá các hành vi chỉ định một sự xâm nhập Các hệ thống phát hiện sự lạm dụng thế hệ đầu tiên sử dụng các luật (rules) để mô tả những gì mà các nhà quản trị an ninh tìm kiếm tronghệthống.Mộtlượnglớntậpluậtđượctíchluỹdẫnđếnkhócóthểhiểuvàsửađổi

bởivìchúngkhôngđượctạothànhtừngnhómmộtcáchhợplýtrongmộtkịchbảnxâm nhập

Để giải quyết khó khănnày,các hệ thống thế hệ thứ hai đưa ra các biểu diễn kịch bản xen kẽ, bao gồm các tổ chức luật dựa trên mô hình và các biểu diễn về phép biến đổitrạngthái.Điềunàysẽmangtínhhiệuquảhơnđốivớingườidùnghệthốngcầnđến

sựbiểudiễnvàhiểurõràngvềcáckịchbản.Hệthốngphảithườngxuyênduytrìvàcập nhật để đương đầu với những kịch bản xâm nhập mới được pháthiện

Docáckịchbảnxâmnhậpcóthểđượcđặctảmộtcáchchínhxác,cáchệthốngphát

hiệnsựlạmdụngsẽdựatheođóđểtheovếthànhđộngxâmnhập.Trongmộtchuỗihành động, hệ thống phát hiện có thể đoán trước được bước tiếp theo của hành động xâm nhập Bộ dò tìm phân tích thông tin hệ thống để kiểm tra bước tiếp theo, và khi cần sẽ can thiệp để làm giảm bởi tác hại cóthể

1.4.2 Pháthiện sự bấtthường

Dựatrênviệcđịnhnghĩavàmôtảđặcđiểmcủacáchànhvicóthểchấpnhậncủahệ

thốngđểphânbiệtchúngvớicáchànhvikhôngmongmuốnhoặcbấtthường,tìmracác thay đổi, các hành vi bất hợp pháp Nhưvậy,bộ phát hiện sự không bình thường phải có khả năng phân biệt giữa những hiện tượng thông thường và hiện tượng bấtthường

Ranh giới giữa dạng thức chấp nhận được và dạng thức bất thường của đoạn mã và dữ liệu lưu trữ được định nghĩa rõ ràng (chỉ cần một bit khác nhau), còn ranh giới giữa hành vi hợp lệ và hành vi bất thýờng thì khó xác định hơn Phát hiện sự không bình thường được chia thành hai loại tĩnh và động

1.4.2.1 Phát hiệntĩnh

Dựa trên giả thiết ban đầu là phần hệ thống được kiểm soát phải luôn luôn không đổi Ởđây,ta chỉ quan tâm đến phần mềm của vùng hệ thống đó (với giả sử là phần cứngkhôngcầnphảikiểmtra).Phầntĩnhcủamộthệthốngbaogồm2phầncon:mãhệ

thốngvàdữliệucủaphầnhệthốngđó.Haithôngtinnàyđềuđượcbiểudiễndướidạng

mộtxâubitnhịphânhoặcmộttậpcácxâu.Nếubiểudiễnnàycósựsaikhácsovớidạng

Trang 9

thức gốc thì hoặc có lỗi xảy ra hoặc một kẻ xâm nhập nào đó đã thay đổi nó Lúc này,

bộ phát hiện tĩnh sẽ được thông báo để kiểm tra tính toàn vẹn dữ liệu

Cụ thể là: bộ phát hiện tĩnh đưa ra một hoặc một vài xâu bit cố định để định nghĩa trạng thái mong muốn của hệ thống Các xâu này giúp ta thu được một biểu diễn về trạng thái

đó, có thể ở dạng nén Sau đó, nó so sánh biểu diễn trạng thái thu được với biểu diễn tương tự được tính toán dựa trên trạng thái hiện tại của cùng xâu bit cố định Bất kỳ sự khác nhau nào đều là thể hiện lỗi như hỏng phần cứng hoặc có xâm nhập

Biểu diễn trạng thái tĩnh có thể là các xâu bit thực tế được chọn để định nghĩa cho trạngtháihệthống,tuynhiênđiềuđókhátốnkémvềlưutrữcũngnhưvềcácphéptoán so sánh Do vấn đề cần quan tâm là việc tìm ra được sự sai khác để cảnh báo xâm nhập chứ không phải chỉ ra sai khác ở đâu nên ta có thể sử dụng dạng biểu diễn được nén để giảm chi phí Nó là giá trị tóm tắt tính được từ một xâu bit cơ sở Phép tính toán này phải đảm bảo sao cho giá trị tính được từ các xâu bit cơ sở khác nhau là khác nhau Có thể sử dụng các thuật toán checksums, message-digest (phân loại thông điệp), các hàm băm

Mộtsốbộpháthiệnxâmnhậpkếthợpchặtchẽvớimeta-data(dữliệumôtảcácđối

tượngdữliệu)hoặcthôngtinvềcấutrúccủađốitượngđượckiểmtra.Vídụ,meta-data

chomộtlogfilebaogồmkíchcỡcủanó.Nếu kíchcỡcủalogfiletăngthìcóthểlàmột dấu hiệu xâmnhập

1.4.2.2 Phát hiệnđộng

Trướchếttađưarakháiniệmhànhvicủahệthống(behavior).Hànhvicủahệthống được định nghĩa

là một chuỗi các sự kiện phân biệt, ví dụ như rất nhiều hệ thống phát hiện xâm nhập sử dụng các bản ghi kiểm tra (audit record), sinh ra bởi hệ điều hành để định nghĩa các sự kiện liên quan, trong trường hợp này chỉ những hành vi mà kết quả của nó là việc tạo ra các bản ghi kiểm tra của hệ điều hành mới được xemxét

Cácsựkiệncóthểxảyratheotrậttựnghiêmngặthoặckhôngvàthôngtinphảiđược tích luỹ Các ngưỡng được định nghĩa để phân biệt ranh giới giữa việc sử dụng tài nguyên hợp lý hay bấtthường

Nếu không chắc chắn hành vi là bất thường hay không, hệ thống có thể dựa vào các tham số được thiết lập trong suốt quá trình khởi tạo liên quan đến hành vi Ranh giới trong trường hợp này là không rõ ràng do đó có thể dẫn đến những cảnh báo sai

Trang 10

Cách thức thông thường nhất để xác định ranh giới là sử dụng các phân loại thống kêvàcácđộlệchchuẩn.Khimộtphânloạiđượcthiếtlập,ranhgiớicóthểđượcvạchra nhờ sử dụng một số độ lệch chuẩn Nếu hành vi nằm bên ngoài thì sẽ cảnh báo là có xâmnhập

Cụ thể là: các hệ thống phát hiện động thường tạo ra một profile (dữ liệu) cơ sở để mô

tả đặc điểm các hành vi bình thường, chấp nhận được Một dữ liệu bao gồm tập các đo lường được xem xét về hành vi, mỗi đại lượng đo lường gồm nhiều chiều:

 Liên quan đến các lựa chọn: thời gian đăng nhập, vị trí đăngnhập,…

 Các tài nguyên được sử dụng trong cả quá trình hoặc trên một đơn vị thời gian: chiều dài phiên giao dịch, số các thông điệp gửi ra mạng trong một đơn vị thời gian,…

 Chuỗi biểu diễn các hànhđộng

Sau khi khởi tạo dữ liệu cơ sở, quá trình phát hiện xâm nhập có thể được bắt đầu Phát hiện động lúc này cũng giống như phát hiện tĩnh ở đó chúng kiểm soát hành vi bằng cách so sánh mô tả đặc điểm hiện tại về hành vi với mô tả ban đầu của hành vi được mong đợi (chính là dữ liệu cơ sở), để tìm ra sự khác nhau Khi hệ thống phát hiện xâm nhập thực hiện, nó xem xét các sự kiện liên quan đến thực thể hoặc các hành động là thuộc tính của thực thể Chúng xây dựng thêm một dữ liệu hiện tại

Các hệ thống phát hiện xâm nhập thế hệ trước phải phụ thuộc vào các bản ghi kiểm tra(auditrecord)đểbắtgiữcácsựkiệnhoặccáchànhđộngliênquan.Cáchệthốngsau này thì ghi lại một cơ sở dữ liệu đặc tả cho phát hiện xâm nhập Một số hệ thống hoạt động với thời gian thực, hoặc gần thời gian thực, quan sát trực tiếp sự kiện trong khi chúng xảy ra hơn là đợi hệ điều hành tạo ra bản ghi mô tả sựkiện

Khó khăn chính đối với các hệ thống phát hiện động là chúng phải xây dựng các dữ liệu

cơ sở một cách chính xác, và sau đó nhận dạng hành vi sai trái nhờ các dữ liệu

Các dữ liệu cơ sở có thể xây dựng nhờ việc giả chạy hệ thống hoặc quan sát hànhvi người dùng thông thường qua một thời giandài

1.4.3 Pháthiện thông quaProtocol

Tươngtựnhưviệcpháthiệndựatrêndấuhiệu,nhưngnóthựchiệnmộtsựphântích theo chiều sâu của các giao thức được xác định cụ thể trong góitin

Ngày đăng: 27/02/2022, 14:22

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w