Nghiên cứu và ứng dụng hệ thống ossec để giám sát và phát hiện xâm nhập mạng

MỞ ĐẦUNgày nay xu hướng trao đôi thông tin qua hệ thống mạng máy tính đã trở thành yếu tố không thé thiếu trong sự phát triển của xã hội.. Bên cạnh việc mang lợi ích đối với phát triển c

MỞ ĐẦU

Ngày nay xu hướng trao đôi thông tin qua hệ thống mạng máy tính đã trở thành

yếu tố không thé thiếu trong sự phát triển của xã hội Hầu hết trong mọi lĩnh vực đều

tiến dần đến quản lý thông tin thông qua mạng máy tính Các cá nhân và các tô chức

gân như bat buộc phải nôi mạng Internet toàn câu đê thực hiện công việc.

Bên cạnh việc mang lợi ích đối với phát triển của xã hội, sự phát triển mạnh

của hệ thống mạng máy tính cũng có nhiều thuận lợi cho việc theo dõi và đánh cắpthông tin của các nhóm tội phạm tin học, thậm chí là cả những tổ chức hoạt động vớinhững mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ thống thông tin,

gây tác hại vô cùng to lớn đến tính an toàn và bảo mật thông tin trên các hệ thống

`

này.

Tại Việt Nam nói riêng và thế giới nói chung, các cuộc tan công của các hackernhằm vào các website, máy chủ của các doanh nghiệp ngày càng tăng Mọi tàinguyên của các tô chức, cá nhân khi tham gia vào Internet đều có nhiều nguy cơ tiềm

ân khả năng mất ATTT Tài nguyên thông tin mang tính bí mật và quyết định cho sựthành công của một doanh nghiệp Van dé cấp thiết là đảm bảo ATTT cho tài nguyên

thông tin của các doanh nghiệp khi tham gia vào môi trường Internet Đã có những

doanh nghiệp thực hiện việc thuê một đối tác thứ 3 với việc chuyên bảo mật hệ thong

mang va bao mật thông tin cho đơn vi minh, cũng có những doanh nghiệp đưa ra các

kế hoạch tính toán chi phí cho việc mua sản phẩm phần mềm dé nhằm dap ứng việcbảo mật của đơn vị mình Tuy nhiên đối với những giải pháp đó các doanh nghiệpđều phải thực hiện cân đối về chính sách tài chính hằng năm với mục đích làm sao

cho giải pháp an toàn thông tin là tối ưu và có được chi phí rẻ nhất và đảm bảo thông

tin trao đổi được an toàn, bảo vệ thông tin của don vị mình trước những tan công của

tội phạm công nghệ từ bên ngoài.

Trên cơ sở đó yêu cầu đặt ra là cần nghiên cứu về an toàn thông tin mạng và

ứng dụng một hệ thống giám sát mạng (OSSEC) dựa trên mã nguồn mở nhằm giúpcho công việc quản trị mạng được tập trung và đạt hiệu quả tốt, ngoài ra đáp ứng yêu

câu đặt ra vê cân đôi chi phí của các doanh nghiệp về an toàn thông tin va bảo mật hệ

thống mạng.

Được sự chỉ dẫn của TS Nguyễn Chiến Trinh tôi xin phép thực hiện luận văn

tốt nghiệp cao học khóa với tiêu đề: “NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THONG OSSEC DE GIÁM SÁT VÀ PHÁT HIỆN XÂM NHẬP MẠNG” Mục

đích của dé tài là cung cấp cái nhìn tổng thé về van đề an ninh mang và nghiên cứu

cách thức hoạt động của một hệ thống giám sát và phát hiện xâm nhập điển hình

(OSSEC) dé đưa vào ứng dụng thực tế cho nhu cầu của các doanh nghiệp.

Luận văn được viết thành ba chương chính bao gồm:

Chương 1: Chương này giới thiệu về vai trò của an toàn thông trong mạng máy tính, các phương pháp tân công mạng máy tính và một số biện pháp phòng chống Đề

cập đến tình hình an toàn thông tin tại Việt Nam, từ đó cho thấy nhu cầu cần phải cómột hệ thông giám sát an ninh mạng

Chương 2: Trong chương hai này đã giới thiệu và tìm hiểu chung về hệ thống

IDS Cùng với sự phân chia thành các loại hệ thống IDS điển hình và tác dụng củachúng là giới thiệu một số hệ thống IDS điển hình đã được xây dựng và ứng dụng

Chương 3: Chương này giới thiệu chi tiết về hệ thống OSSEC là hệ thống mà

luận văn tập chung nghiên cứu Chương này nghiên cứu về nguyên lý, kiến trúc, cách

hoạt động cũng như ưu và nhược điểm của hệ thống OSSEC Và có đưa ra 2 kịch bảngiả lập cùng với những đánh giá đạt được, van dé này có thé rất có ích cho những kỹ

sư người quản lý mạng của các doanh nghiệp trong việc đảm bảo an toàn thông tin

mạng.

Do điều kiện thời gian, kiến thức còn hạn hẹp, nên bài luận văn sẽ không tránhkhỏi những thiều sót về nội dung cũng như hình thức Học viên thực hiện rất mong

nhận được sự quan tâm, chỉ bảo của quý thầy cô và các anh (chị) để bài luận văn

được hoàn thiện hơn.

CHƯƠNG 1: TONG QUAN VE AN TOAN THONG TIN MẠNG

1.1 Vai trò của an toàn thông tin trong mang máy tinh

Ngày nay xu hướng trao đổi thông tin qua hệ thống mạng máy tinh đã trở thành

yếu tố không thé thiếu trong sự phát triển của xã hội Hau hết trong mọi lĩnh vực đềutiến dan đến quản lý thông tin thông qua mạng máy tinh Các cá nhân và các tổ chứcgần như bắt buộc phải nối mạng Internet toàn cầu đề thực hiện công việc

Bên cạnh việc mang lợi ích đối với phát triển của xã hội, sự phát triển mạnhcủa hệ thống mạng máy tính cũng có nhiều thuận lợi cho việc theo dõi và đánh cắpthông tin của các nhóm tội phạm tin học, thậm chí là cả những tổ chức hoạt động vớinhững mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ thống thông tin,

gây tác hại vô cùng to lớn đến tính an toàn và bảo mật thông tin trên các hệ thống

này.

Tại Việt Nam nói riêng và thế giới nói chung, các cuộc tấn công của các hackernhằm vào các website, máy chủ của các doanh nghiệp ngày càng tăng Mọi tàinguyên của các tô chức, cá nhân khi tham gia vào Internet đều có nhiều nguy cơ tiềm

an kha năng mat ATTT

Tài nguyên thông tin mang tinh bí mật và quyết định cho sự thành công củamột doanh nghiệp và thịnh vượng của quốc gia Chính vì lẽ đó việc đảm bảo an toàn

thông tin là không thé chan chừ Nó là van đề sống còn và cần triển khai một cách

nghiêm túc, có bài bản và chuyên nghiệp.

1.2 Một số phương pháp tấn công mạng máy tính

1.2.1 Tấn công trực tiếp

Tan công trực tiếp thông thường được sử dụng theo cách dò tìm tên người sử

dụng và mật khẩu Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi mộtđiều kiện đặc biệt nào dé bắt đầu Kẻ tấn công có thé sử dụng những thông tin nhưtên người dung, ngày sinh, địa chỉ, số nhà để đoán mật khẩu

Ngoài ra tấn công trực tiếp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp

tục để chiếm quyền truy nhập Trong một số trường hợp phương pháp này cho phép

kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator).

1.2.2 Tấn công từ chối dịch vụ

Tan công từ chối dich vụ (DoS — Denial of Service Attacks ) la dang tan cong can trở người dùng hợp pháp truy cập các tài nguyên hệ thống Tan công từ chối dịch

vụ được chia thành hai loại:

e Tấn công Logic (Logic attacks): tan công dựa vào lỗi phần mềm làm dịch vụ

ngừng hoạt động hoặc làm giảm hiệu năng của hệ thống

e Tan công gây ngập lụt (Flooding attacks): Kẻ tan công gửi một lượng lớn yêu

cầu gây cạn kiệt tài nguyên hệ thống nạn nhân hoặc chiếm hết băng thông đường truyền mạng.

1.2.3 Giả mạo địa chí, nghe trộm

Với cách tan công này, kẻ tan công gửi các gói tin IP tới mạng bên trong vớimột địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy đượccoi là an toàn đối với mạng bên trong), để đánh lừa máy nạn nhân và vượt qua cáchàng rào kiểm soát an ninh

1.2.4 Tấn công kiểu bom thư và thư rác

Tan công bom thư và thư rác là dạng tan công bằng cách gửi một lượng lớn và liên tục các thư không mong muốn tới nạn nhân, gây lãng phí tài nguyên và thời gian

cho nạn nhân.

1.2.5 Tan công Pharming

Đây là kiểu tấn công bằng cách dùng các mã độc, virut để chiếm đoạt các

URL hợp pháp và thay đổi trên DNS để lái sang các địa chi IP lừa đảo của chúng,những địa chỉ đó gần giống như địa chỉ IP hợp pháp của URL

1.2.6 Lỗi của hệ thống

Đây là cách tấn công khó phòng tránh nhất Kẻ tấn công nhằm vào lỗi mà admin chưa kiểm soát được, nhất là yếu tố con người là một trong những điểm yếu

nhất của hệ thống

1.2.7 Tan công kiểu phát lại và người đứng giữa

Dựa vào việc truyền thông tin qua mạng cần phải qua rất nhiều chặng, nhiềumạng khác nhau, kẻ tấn công gia mao một nút trong mạng chặn bắt các gói tin và

thay đổi thông tin các gói tin theo chiều hướng có lợi cho chúng mà người gửi và

nhận thông tin 2 bên không hè biết

1.3 Phân loại một số lỗ hồng trong bảo mật

1.3.1 Lỗ héng bảo mật

Các lỗ hồng bảo mật trên một hệ thống là các điểm yếu có thé tạo nên sựngưng trệ của dich vụ, thêm quyền đối với người sử dụng hoặc cho phép truy cập bathợp pháp vào hệ thống Các lỗ hồng bảo mật có thé nằm ngay các dịchvụ cung cấpnhư Web, Email, FTP, Ngoài ra các chương trình ứng dụng haydùng cũng chứa

các lỗ hồng bao mật như Word, các hệ cơ sở dữ liệu như SQL

1.3.2 Phân loại lỗ héng bảo mật

1.3.2.1 Loại C — Ít nguy hiểm

1.3.2.2 Loại B — Nguy hiểm

1.3.2.3 Loại A — Rất nguy hiểm

1.4 Các giai đoạn tan công mạng

1.4.1 Xác định đối tượng

Kẻ tấn công sẽ tiến hành khảo sát và thu thập thông tin của nạn nhân bằng các

công cụ phân mém, phân cứng

1.4.2 Tham dò và xác định lỗ hỗng, điểm yếu của hệ thong

Sau khi đã thống kê day đủ thông tin cần thiết, kẻ tan công tiến hành xác định điểm yếu của hệ thống bằng cách dò xét kết hợp trên nhiều kênh : công cộng, bằng

công cụ phân tích dé xác định lỗ hồng của hệ thống

1.4.2.1 Thăm dò thông tin công cộng

Tên nhân viên, địa chỉ email là điểm khởi đầu thuận lợi cho các hacker có thêđoán nhận user name của tài khoản nhân viên Thông thường họ sử dụng tên hay họ

của nhân viên dé làm tài khoản máy tính trong mạng của họ Địa chỉ e_mail cũng là

một dạng user name thông thường cho tài khoản máy tính của họ Những công ty lớn

thường ấn định số phone của họ trong công ty điên thoại cục bộ cũng như nhiều tập đoàn có tiếp đầu ngữ quay số cho riêng họ Những công cụ bẻ khóa mạnh thì luôn có

sẵn trên Internet Khi đã đoán được username, thì vẫn đề còn lại chỉ là thời gian để bẻgãy những password yếu kém

1.4.2.2 Thăm dò điện tử

Kẻ tan công phải tiến hành thăm do dé tìm tài nguyên hay hệ thống nào đó có

trên mạng Nếu người tan công không có những hiểu biết về mạng đối tượng, họ

phải tìm nguồn tài nguyên của công ty được đặt ở đâu một cách logic Khi đã có được

địa chỉ IP của công ty , người tấn công có thé bat đầu dò tìm và quét mạng dé tìm

điểm yếu của máy chủ, ứng dụng, hay những thiết bị cơ sở hạ tầng

1.4.2.3 Những công cụ thăm do

Hầu hết những công cụ hack thông thường và phổ biến rộng rãi là công cụ

thăm dò Mục đích chính của những công cụ này là giúp kỹ sư mạng trong xử lý lưulượng hay bảo trì mạng, nhưng hacker lại sử dụng những công cụ này dé tìm kiếmnhững nguồn tài nguyên mạng bat hợp pháp Rất nhiều những công cụ này được chếtạo cũng như cải tiến nhằm giúp hacker trong những hành động trái phép Nhiều công

cụ được phát triển dưới cái mác của những công cụ hợp pháp của các kỹ sư mạngnhưng thực chất nó được xây dựng nhằm làm trợ thủ cho những hacker

1.4.3 Tấn công

Khi đã có trong tay những điểm yếu của hệ thống mạng, kẻ tắn công mạng sẽ

tiễn hành xâm nhập hệ thống mạng băng các công cụ như làm tran bộ đệm hoặc tấn

công từ chối dịch vụ Sau khi thành công chúng sẽ cài thêm các trojan nhằm điềukhiển hệ thống và xâm nhập trong tương lai gần Việc duy trì xâm nhập này cho phép

chúng khai thác tài nguyên và các thông tin hữu ích khi cần Và hệ thống đã bị xâm

nhập có thể thường xuyên được sử dụng để tạo những cuộc tấn công tới các mạng

khác.

1.4.4 Xóa dau vắt

Với những kẻ tan công chuyên nghiệp, sau khi tấn công thành công chúng sẽ

xóa hết các dau vết từ log, từ các hệ thống phát hiện xâm nhập nhằm tránh các chứng

cứ pháp lí.

1.5 Các giải pháp phòng chống tắn công và xâm nhập trái phép

1.5.1 Kiém tra dấu hiệu bị tan công

Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối; bản thân mỗi

dich vụ đều có những lỗ héng bảo mật tiềm tàng Đứng trên góc độ người quản trị hệ

thông, ngoài việc tìm hiểu phát hiện những 16 hồng bảo mật còn luôn phải thực hiện

các biện pháp kiểm tra hệ thống xem có dấu hiệu tấn công hay không Các biện pháp

đó là:

1.5.1.1 Kiểm tra dấu hiệu

1.5.1.2 Kiểm tra tài khoản mới

1.5.1.3 Kiểm tra tập tin lạ

1.5.1.4 Kiểm tra hiệu năng hệ thống

1.5.1.5 Kiểm tra file liên quan đến cấu hình mạng

1.5.2 Biện pháp phát hiện xâm nhập

Các công cụ, phương thức, và tài nguyên giúp người quản trị xác định, đánh

giá, và báo cáo hoạt động không được phép trên hệ thống có tên gọi là hệ thống phát

hiện xâm nhập.

Hệ thống phát hiện xâm nhập dựa vào những mau dấu hiệu tan công triển khai

dé giúp phát hiện nhanh các cuộc tan công mạng Hệ thống phát hiện này kết hợp với tường lửa sẽ chống lại các cuộc tắn công xâm nhập.

1.6 Hiện trạng an toàn thông tin mạng hiện nay ở Việt Nam

Theo báo cáo của Sở Thông tin và Truyền thông từ năm 2014 đến nay mỗi nămđều có hang triệu lượt dd quét, tan công có mức độ nguy hiểm cao vào cổng thông

tin Con số này tăng gấp 3 đến 4 lần so với năm 2013 và ngoài ra phát hiện thêm cả

triệu mã độc Điều đó cho thấy việc mất an toàn thông tin đối với các tổ chức nhànước và các doanh nghiệp không còn là nguy cơ nữa mà đã và đang hiện hữu với mức độ nghiêm trọng.

Kết luận

Chương 1 đã đã giới thiệu về vai trò của an toàn thông tin mạng, các phương

pháp tấn công xâm nhập mạng, các bước tấn công mạng và các phương pháp phát

hiện và phòng chống tan công và xâm nhập trái phép dé tránh rủi ro cho tài nguyênthông tin trên hệ thong mạng Cau hỏi đặt ra ở đây là cơ chế hoạt động của hệ thongphát hiện xâm nhập như thé nào, va các hệ thống phát hiện xâm nhập sử dung các kỹthuật nào dé phát hiện và cảnh báo xâm nhập Dé trả lời câu hỏi này, Chương 2 đi sâunghiên cứu kiến trúc và các thành phần hệ thống phát hiện xâm nhập mạng và các kỹthuật thu thập xử lý đữ liệu và các kỹ thuật phát hiện tắn công xâm nhập mạng

CHUONG 2: HE THONG PHAT HIỆN XÂM NHAP MẠNG

2.1 Téng quan về phát hiện xâm nhập mang IDS

2.1.1 Giới thiệu về hệ thống IDS

Hệ thống phát hiện xâm nhập IDS là một hệ thống giám sát lưu lượng mạng

nhằm phát hiện ra hiện tượng bat thường, các hoạt động trái phép xâm nhập vào hệ

thống IDS có thể phân biệt được các cuộc tấn công từ nội bộ hay tấn công từ bên

ngoài.

IDS là một hệ thống dựa vào việc so sánh lưu lượng truyền tải hiện tại với các

thông số chuẩn, các qui chuẩn đã được ban hành của mạng hoặc dựa vào việc pháthiện dựa các dấu hiệu đặc biệt về nguy cơ đã biết, đã được thống kê từu trong nhữngkinh nghiệm phát hiện được hoặc bị tấn công trước đó để tìm ra các dấu hiệu bấtthường.

2.1.2 Kiến trúc chung của hệ thống phát hiện xâm nhập mạng.

Phần lõi của một hệ thống phát hiện xâm nhập luôn luôn là cảm biến Cảmbiến này là một hệ thống phân tích thông tin Dựa trên kết quả mà nó phân tích được

dé có cơ chế ra quyết định liên quan đến sự xâm nhập

Bộ cảm biến của hệ thống IDS được nối với bộ sưu tập dữ liệu Cách sưu tập này được xác định bởi chính sách tạo sự kiện dé định nghĩa chế độ lọc thông tin sự

kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sáchthích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thong hoặc cácgói mạng Số chính sách này cùng với thông tin chính sách có thé được lưu trong hệthống được bảo vệ hoặc bên ngoài

Vai trò của bộ cảm biến là dùng dé lọc thông tin và loại bỏ dữ liệu không

tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thê pháthiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sách

phát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile

hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ sở

dữ liệu giữ các tham sô câu hình, gôm có các chê độ truyền thông với module đáp trả.

Bộ cảm biên cũng có cơ sở dữ liệu của riêng nó, gdm dữ liệu lưu vê các xâm phạm

phức tạp tiềm ân (tạo ra từ nhiều hành động khác nhau).

2.1.3 Các kỹ thuật thu thập dữ liệu và xứ lý

Thu thập dữ liệu là một trong những bước quan trọng khi thiết kế một hệ

thống phát hiện xâm nhập và nó ảnh hưởng đến toàn bộ quá trình thiết kế và cài đặt

và kết quả phát hiện Thông thường, mục tiêu của các cuộc tấn công không chỉ là

một máy tính cá nhân mà thường là các máy chủ cung cấp dịch vụ Một số xâm

nhập có thể cho thấy một hành vi bất thường tại tầng mạng, trong khi những xâm

nhập khác cho thấy hành vi bất thường tại tầng ứng dụng

2.1.3.1 Thu thập dữ liệu cho HIDS

a Log truy nhập (Audit logs)

Audit logs là các bản ghi của các sự kiện được ghi lại bởi hệ điều hành, thường bao gồm các bản ghi thông tin của tất cả các tiến trình đang chạy, bộ nhớ sử dụng, và việc truy nhập các tập tin hệ thống và các quá trình thao tác.

b Chuối các lời gọi hàm hệ thong

Chuỗi các lời gọi hàm hệ thống đã được nhiều nghiên cứu khăng định là mộtngu6n thông tin hiệu quả trong hệ thống phát hiện xâm nhập máy trạm Trong quátrình thực hiện, các chương trình ứng dụng yêu cầu các dịch vụ từ hệ điều hànhthông qua các lời gọi hàm hệ thống đến nhân hệ điều hành

2.1.3.2 Thu thập dữ liệu cho NIDS

Hệ thong phát hiện xâm nhập cho mang (NIDS) thu thập và phân tích dữ liệu

bắt trực tiếp từ mạng Hệ thống này hoạt động bằng cách bắt và kiểm tra tiêu đề

(header) và nội dung của gói tin hoặc các lưu lượng chuyên qua mạng

2.1.4 Ưu điểm của hệ thống IDS

> Ưu điểm chính của IDS là:

+ Giám sát: giám sát lưu lượng mạng các hoạt động bất thường và các hoạt động

khả nghỉ

‹ Cảnh báo: Khi đã biết được các hoạt động bat thường của một truy cap nào đó,

IDS sẽ đưa ra cảnh báo về hệ thống cho người quản trị

« Bảo vệ: Dùng những thiết lập mặc định và những cầu hình từ nhà quản tri mà

có những hành động chống lại kẻ xâm nhập

2.1.5 Quy trình hoạt động của IDS

« _ Một host tạo ra một gói tin mạng

+ Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi nó

được gửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho nó có thê đọc tất cả các gói tin).

‹ Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào có

dấu hiệu vi phạm hay không Khi có dấu hiệu vi phạm thì một cảnh báo sẽ

được tạo ra va gửi đến giao diện điều khiến.

« Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo cho một

người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa sỐpopup, trang web v.v ).

‹_ Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này

« Các cảnh báo được lưu lai để tham khảo trong tương lai (trên địa chỉ cục bộ

hoặc trên cơ sở dữ liệu).

«_ Một báo cáo tóm tắt về chi tiết của sự cô được tạo ra

« Cảnh báo được so sánh với các dir liệu khác dé xác định xem đây có phải là

cuộc tấn công hay không

2.2 Phân loại hệ thống IDS

2.2.1 Host-based IDS/IPS (HIDS)

IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thong, như các file

log và những lưu lượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theo

dõi OS, những cuộc gọi hệ thống, lịch sử số sách (audit log) và những thông điệp

báo lỗi trên hệ thống máy chủ Trong khi những đầu dò của mạng có thê phát hiện

một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tan công có thành công hay không.

2.2.2 Network Base IDS (NIDS)

Hé thong IDS dựa trên mang sử dụng bộ do va sensor cai đặt trên toàn mang Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những sensor thu nhận

và phân tích lưu lượng trong thời gian thực.

2.2.3 So sánh HIDS và NIDS

Bảng 2.1 So sánh HIDS và NIDS

NIDS HIDS

Ưu điểm: Ưu điểm:

« Quan lý được cả một network| s Có khả năng xác định user liên

segment (gồm nhiều host) quan tới event

+ Trong suốt với người sử dụng | s HIDS có khả năng phát hiện tấn

lẫn kẻ tắn công công diễn ra trên một máy, NIDS

‹ Cài đặt và bao trì đơn giản, thì không

không ảnh hưởng tới mạng ‹ Có thé phân tích các dữ liệu mã

« Tránh DOS ảnh hưởng tới một hóa

host nào đó ‹ Cung cấp các thông tin về host

‹ Có khả năng xác định lỗi ở tầng trong lúc cuộc tân công diễn ra

Network trén host nay

¢ Độc lập với OS

Nhược điểm: Nhược điểm:

« Có thé xảy ra trường hợp báo| + Thông tin từ HIDS là không

động giả đáng tin cậy ngay khi sự tấn

‹ Không thé phân tích các dữ liệu công vào host này thành công

đã được mã hóa (VD: SSL, SSH,| s Khi OS bị sập do tấn công, đồng