MỞ ĐẦUNgày nay xu hướng trao đôi thông tin qua hệ thống mạng máy tính đã trở thành yếu tố không thé thiếu trong sự phát triển của xã hội.. Bên cạnh việc mang lợi ích đối với phát triển c
Trang 1MỞ ĐẦU
Ngày nay xu hướng trao đôi thông tin qua hệ thống mạng máy tính đã trở thành
yếu tố không thé thiếu trong sự phát triển của xã hội Hầu hết trong mọi lĩnh vực đều
tiến dần đến quản lý thông tin thông qua mạng máy tính Các cá nhân và các tô chức
gân như bat buộc phải nôi mạng Internet toàn câu đê thực hiện công việc.
Bên cạnh việc mang lợi ích đối với phát triển của xã hội, sự phát triển mạnh
của hệ thống mạng máy tính cũng có nhiều thuận lợi cho việc theo dõi và đánh cắpthông tin của các nhóm tội phạm tin học, thậm chí là cả những tổ chức hoạt động vớinhững mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ thống thông tin,
gây tác hại vô cùng to lớn đến tính an toàn và bảo mật thông tin trên các hệ thống
`
này.
Tại Việt Nam nói riêng và thế giới nói chung, các cuộc tan công của các hackernhằm vào các website, máy chủ của các doanh nghiệp ngày càng tăng Mọi tàinguyên của các tô chức, cá nhân khi tham gia vào Internet đều có nhiều nguy cơ tiềm
ân khả năng mất ATTT Tài nguyên thông tin mang tính bí mật và quyết định cho sựthành công của một doanh nghiệp Van dé cấp thiết là đảm bảo ATTT cho tài nguyên
thông tin của các doanh nghiệp khi tham gia vào môi trường Internet Đã có những
doanh nghiệp thực hiện việc thuê một đối tác thứ 3 với việc chuyên bảo mật hệ thong
mang va bao mật thông tin cho đơn vi minh, cũng có những doanh nghiệp đưa ra các
kế hoạch tính toán chi phí cho việc mua sản phẩm phần mềm dé nhằm dap ứng việcbảo mật của đơn vị mình Tuy nhiên đối với những giải pháp đó các doanh nghiệpđều phải thực hiện cân đối về chính sách tài chính hằng năm với mục đích làm sao
cho giải pháp an toàn thông tin là tối ưu và có được chi phí rẻ nhất và đảm bảo thông
tin trao đổi được an toàn, bảo vệ thông tin của don vị mình trước những tan công của
tội phạm công nghệ từ bên ngoài.
Trên cơ sở đó yêu cầu đặt ra là cần nghiên cứu về an toàn thông tin mạng và
ứng dụng một hệ thống giám sát mạng (OSSEC) dựa trên mã nguồn mở nhằm giúpcho công việc quản trị mạng được tập trung và đạt hiệu quả tốt, ngoài ra đáp ứng yêu
Trang 2câu đặt ra vê cân đôi chi phí của các doanh nghiệp về an toàn thông tin va bảo mật hệ
thống mạng.
Được sự chỉ dẫn của TS Nguyễn Chiến Trinh tôi xin phép thực hiện luận văn
tốt nghiệp cao học khóa với tiêu đề: “NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THONG OSSEC DE GIÁM SÁT VÀ PHÁT HIỆN XÂM NHẬP MẠNG” Mục
đích của dé tài là cung cấp cái nhìn tổng thé về van đề an ninh mang và nghiên cứu
cách thức hoạt động của một hệ thống giám sát và phát hiện xâm nhập điển hình
(OSSEC) dé đưa vào ứng dụng thực tế cho nhu cầu của các doanh nghiệp.
Luận văn được viết thành ba chương chính bao gồm:
Chương 1: Chương này giới thiệu về vai trò của an toàn thông trong mạng máy tính, các phương pháp tân công mạng máy tính và một số biện pháp phòng chống Đề
cập đến tình hình an toàn thông tin tại Việt Nam, từ đó cho thấy nhu cầu cần phải cómột hệ thông giám sát an ninh mạng
Chương 2: Trong chương hai này đã giới thiệu và tìm hiểu chung về hệ thống
IDS Cùng với sự phân chia thành các loại hệ thống IDS điển hình và tác dụng củachúng là giới thiệu một số hệ thống IDS điển hình đã được xây dựng và ứng dụng
Chương 3: Chương này giới thiệu chi tiết về hệ thống OSSEC là hệ thống mà
luận văn tập chung nghiên cứu Chương này nghiên cứu về nguyên lý, kiến trúc, cách
hoạt động cũng như ưu và nhược điểm của hệ thống OSSEC Và có đưa ra 2 kịch bảngiả lập cùng với những đánh giá đạt được, van dé này có thé rất có ích cho những kỹ
sư người quản lý mạng của các doanh nghiệp trong việc đảm bảo an toàn thông tin
mạng.
Do điều kiện thời gian, kiến thức còn hạn hẹp, nên bài luận văn sẽ không tránhkhỏi những thiều sót về nội dung cũng như hình thức Học viên thực hiện rất mong
nhận được sự quan tâm, chỉ bảo của quý thầy cô và các anh (chị) để bài luận văn
được hoàn thiện hơn.
Trang 3CHƯƠNG 1: TONG QUAN VE AN TOAN THONG TIN MẠNG
1.1 Vai trò của an toàn thông tin trong mang máy tinh
Ngày nay xu hướng trao đổi thông tin qua hệ thống mạng máy tinh đã trở thành
yếu tố không thé thiếu trong sự phát triển của xã hội Hau hết trong mọi lĩnh vực đềutiến dan đến quản lý thông tin thông qua mạng máy tinh Các cá nhân và các tổ chứcgần như bắt buộc phải nối mạng Internet toàn cầu đề thực hiện công việc
Bên cạnh việc mang lợi ích đối với phát triển của xã hội, sự phát triển mạnhcủa hệ thống mạng máy tính cũng có nhiều thuận lợi cho việc theo dõi và đánh cắpthông tin của các nhóm tội phạm tin học, thậm chí là cả những tổ chức hoạt động vớinhững mục đích xấu nhằm phá hoại các hệ thống mạng máy tính, hệ thống thông tin,
gây tác hại vô cùng to lớn đến tính an toàn và bảo mật thông tin trên các hệ thống
này.
Tại Việt Nam nói riêng và thế giới nói chung, các cuộc tấn công của các hackernhằm vào các website, máy chủ của các doanh nghiệp ngày càng tăng Mọi tàinguyên của các tô chức, cá nhân khi tham gia vào Internet đều có nhiều nguy cơ tiềm
an kha năng mat ATTT
Tài nguyên thông tin mang tinh bí mật và quyết định cho sự thành công củamột doanh nghiệp và thịnh vượng của quốc gia Chính vì lẽ đó việc đảm bảo an toàn
thông tin là không thé chan chừ Nó là van đề sống còn và cần triển khai một cách
nghiêm túc, có bài bản và chuyên nghiệp.
1.2 Một số phương pháp tấn công mạng máy tính
1.2.1 Tấn công trực tiếp
Tan công trực tiếp thông thường được sử dụng theo cách dò tìm tên người sử
dụng và mật khẩu Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi mộtđiều kiện đặc biệt nào dé bắt đầu Kẻ tấn công có thé sử dụng những thông tin nhưtên người dung, ngày sinh, địa chỉ, số nhà để đoán mật khẩu
Ngoài ra tấn công trực tiếp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp
Trang 4tục để chiếm quyền truy nhập Trong một số trường hợp phương pháp này cho phép
kẻ tấn công có được quyền của người quản trị hệ thống (root hay administrator).
1.2.2 Tấn công từ chối dịch vụ
Tan công từ chối dich vụ (DoS — Denial of Service Attacks ) la dang tan cong can trở người dùng hợp pháp truy cập các tài nguyên hệ thống Tan công từ chối dịch
vụ được chia thành hai loại:
e Tấn công Logic (Logic attacks): tan công dựa vào lỗi phần mềm làm dịch vụ
ngừng hoạt động hoặc làm giảm hiệu năng của hệ thống
e Tan công gây ngập lụt (Flooding attacks): Kẻ tan công gửi một lượng lớn yêu
cầu gây cạn kiệt tài nguyên hệ thống nạn nhân hoặc chiếm hết băng thông đường truyền mạng.
1.2.3 Giả mạo địa chí, nghe trộm
Với cách tan công này, kẻ tan công gửi các gói tin IP tới mạng bên trong vớimột địa chỉ IP giả mạo (thông thường là địa chỉ của một mạng hoặc một máy đượccoi là an toàn đối với mạng bên trong), để đánh lừa máy nạn nhân và vượt qua cáchàng rào kiểm soát an ninh
1.2.4 Tấn công kiểu bom thư và thư rác
Tan công bom thư và thư rác là dạng tan công bằng cách gửi một lượng lớn và liên tục các thư không mong muốn tới nạn nhân, gây lãng phí tài nguyên và thời gian
cho nạn nhân.
1.2.5 Tan công Pharming
Đây là kiểu tấn công bằng cách dùng các mã độc, virut để chiếm đoạt các
URL hợp pháp và thay đổi trên DNS để lái sang các địa chi IP lừa đảo của chúng,những địa chỉ đó gần giống như địa chỉ IP hợp pháp của URL
Trang 51.2.6 Lỗi của hệ thống
Đây là cách tấn công khó phòng tránh nhất Kẻ tấn công nhằm vào lỗi mà admin chưa kiểm soát được, nhất là yếu tố con người là một trong những điểm yếu
nhất của hệ thống
1.2.7 Tan công kiểu phát lại và người đứng giữa
Dựa vào việc truyền thông tin qua mạng cần phải qua rất nhiều chặng, nhiềumạng khác nhau, kẻ tấn công gia mao một nút trong mạng chặn bắt các gói tin và
thay đổi thông tin các gói tin theo chiều hướng có lợi cho chúng mà người gửi và
nhận thông tin 2 bên không hè biết
1.3 Phân loại một số lỗ hồng trong bảo mật
1.3.1 Lỗ héng bảo mật
Các lỗ hồng bảo mật trên một hệ thống là các điểm yếu có thé tạo nên sựngưng trệ của dich vụ, thêm quyền đối với người sử dụng hoặc cho phép truy cập bathợp pháp vào hệ thống Các lỗ hồng bảo mật có thé nằm ngay các dịchvụ cung cấpnhư Web, Email, FTP, Ngoài ra các chương trình ứng dụng haydùng cũng chứa
các lỗ hồng bao mật như Word, các hệ cơ sở dữ liệu như SQL
1.3.2 Phân loại lỗ héng bảo mật
1.3.2.1 Loại C — Ít nguy hiểm
1.3.2.2 Loại B — Nguy hiểm
1.3.2.3 Loại A — Rất nguy hiểm
1.4 Các giai đoạn tan công mạng
1.4.1 Xác định đối tượng
Kẻ tấn công sẽ tiến hành khảo sát và thu thập thông tin của nạn nhân bằng các
công cụ phân mém, phân cứng
Trang 61.4.2 Tham dò và xác định lỗ hỗng, điểm yếu của hệ thong
Sau khi đã thống kê day đủ thông tin cần thiết, kẻ tan công tiến hành xác định điểm yếu của hệ thống bằng cách dò xét kết hợp trên nhiều kênh : công cộng, bằng
công cụ phân tích dé xác định lỗ hồng của hệ thống
1.4.2.1 Thăm dò thông tin công cộng
Tên nhân viên, địa chỉ email là điểm khởi đầu thuận lợi cho các hacker có thêđoán nhận user name của tài khoản nhân viên Thông thường họ sử dụng tên hay họ
của nhân viên dé làm tài khoản máy tính trong mạng của họ Địa chỉ e_mail cũng là
một dạng user name thông thường cho tài khoản máy tính của họ Những công ty lớn
thường ấn định số phone của họ trong công ty điên thoại cục bộ cũng như nhiều tập đoàn có tiếp đầu ngữ quay số cho riêng họ Những công cụ bẻ khóa mạnh thì luôn có
sẵn trên Internet Khi đã đoán được username, thì vẫn đề còn lại chỉ là thời gian để bẻgãy những password yếu kém
1.4.2.2 Thăm dò điện tử
Kẻ tan công phải tiến hành thăm do dé tìm tài nguyên hay hệ thống nào đó có
trên mạng Nếu người tan công không có những hiểu biết về mạng đối tượng, họ
phải tìm nguồn tài nguyên của công ty được đặt ở đâu một cách logic Khi đã có được
địa chỉ IP của công ty , người tấn công có thé bat đầu dò tìm và quét mạng dé tìm
điểm yếu của máy chủ, ứng dụng, hay những thiết bị cơ sở hạ tầng
1.4.2.3 Những công cụ thăm do
Hầu hết những công cụ hack thông thường và phổ biến rộng rãi là công cụ
thăm dò Mục đích chính của những công cụ này là giúp kỹ sư mạng trong xử lý lưulượng hay bảo trì mạng, nhưng hacker lại sử dụng những công cụ này dé tìm kiếmnhững nguồn tài nguyên mạng bat hợp pháp Rất nhiều những công cụ này được chếtạo cũng như cải tiến nhằm giúp hacker trong những hành động trái phép Nhiều công
cụ được phát triển dưới cái mác của những công cụ hợp pháp của các kỹ sư mạngnhưng thực chất nó được xây dựng nhằm làm trợ thủ cho những hacker
Trang 71.4.3 Tấn công
Khi đã có trong tay những điểm yếu của hệ thống mạng, kẻ tắn công mạng sẽ
tiễn hành xâm nhập hệ thống mạng băng các công cụ như làm tran bộ đệm hoặc tấn
công từ chối dịch vụ Sau khi thành công chúng sẽ cài thêm các trojan nhằm điềukhiển hệ thống và xâm nhập trong tương lai gần Việc duy trì xâm nhập này cho phép
chúng khai thác tài nguyên và các thông tin hữu ích khi cần Và hệ thống đã bị xâm
nhập có thể thường xuyên được sử dụng để tạo những cuộc tấn công tới các mạng
khác.
1.4.4 Xóa dau vắt
Với những kẻ tan công chuyên nghiệp, sau khi tấn công thành công chúng sẽ
xóa hết các dau vết từ log, từ các hệ thống phát hiện xâm nhập nhằm tránh các chứng
cứ pháp lí.
1.5 Các giải pháp phòng chống tắn công và xâm nhập trái phép
1.5.1 Kiém tra dấu hiệu bị tan công
Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối; bản thân mỗi
dich vụ đều có những lỗ héng bảo mật tiềm tàng Đứng trên góc độ người quản trị hệ
thông, ngoài việc tìm hiểu phát hiện những 16 hồng bảo mật còn luôn phải thực hiện
các biện pháp kiểm tra hệ thống xem có dấu hiệu tấn công hay không Các biện pháp
đó là:
1.5.1.1 Kiểm tra dấu hiệu
1.5.1.2 Kiểm tra tài khoản mới
1.5.1.3 Kiểm tra tập tin lạ
1.5.1.4 Kiểm tra hiệu năng hệ thống
1.5.1.5 Kiểm tra file liên quan đến cấu hình mạng
1.5.2 Biện pháp phát hiện xâm nhập
Trang 8Các công cụ, phương thức, và tài nguyên giúp người quản trị xác định, đánh
giá, và báo cáo hoạt động không được phép trên hệ thống có tên gọi là hệ thống phát
hiện xâm nhập.
Hệ thống phát hiện xâm nhập dựa vào những mau dấu hiệu tan công triển khai
dé giúp phát hiện nhanh các cuộc tan công mạng Hệ thống phát hiện này kết hợp với tường lửa sẽ chống lại các cuộc tắn công xâm nhập.
1.6 Hiện trạng an toàn thông tin mạng hiện nay ở Việt Nam
Theo báo cáo của Sở Thông tin và Truyền thông từ năm 2014 đến nay mỗi nămđều có hang triệu lượt dd quét, tan công có mức độ nguy hiểm cao vào cổng thông
tin Con số này tăng gấp 3 đến 4 lần so với năm 2013 và ngoài ra phát hiện thêm cả
triệu mã độc Điều đó cho thấy việc mất an toàn thông tin đối với các tổ chức nhànước và các doanh nghiệp không còn là nguy cơ nữa mà đã và đang hiện hữu với mức độ nghiêm trọng.
Kết luận
Chương 1 đã đã giới thiệu về vai trò của an toàn thông tin mạng, các phương
pháp tấn công xâm nhập mạng, các bước tấn công mạng và các phương pháp phát
hiện và phòng chống tan công và xâm nhập trái phép dé tránh rủi ro cho tài nguyênthông tin trên hệ thong mạng Cau hỏi đặt ra ở đây là cơ chế hoạt động của hệ thongphát hiện xâm nhập như thé nào, va các hệ thống phát hiện xâm nhập sử dung các kỹthuật nào dé phát hiện và cảnh báo xâm nhập Dé trả lời câu hỏi này, Chương 2 đi sâunghiên cứu kiến trúc và các thành phần hệ thống phát hiện xâm nhập mạng và các kỹthuật thu thập xử lý đữ liệu và các kỹ thuật phát hiện tắn công xâm nhập mạng
Trang 9CHUONG 2: HE THONG PHAT HIỆN XÂM NHAP MẠNG
2.1 Téng quan về phát hiện xâm nhập mang IDS
2.1.1 Giới thiệu về hệ thống IDS
Hệ thống phát hiện xâm nhập IDS là một hệ thống giám sát lưu lượng mạng
nhằm phát hiện ra hiện tượng bat thường, các hoạt động trái phép xâm nhập vào hệ
thống IDS có thể phân biệt được các cuộc tấn công từ nội bộ hay tấn công từ bên
ngoài.
IDS là một hệ thống dựa vào việc so sánh lưu lượng truyền tải hiện tại với các
thông số chuẩn, các qui chuẩn đã được ban hành của mạng hoặc dựa vào việc pháthiện dựa các dấu hiệu đặc biệt về nguy cơ đã biết, đã được thống kê từu trong nhữngkinh nghiệm phát hiện được hoặc bị tấn công trước đó để tìm ra các dấu hiệu bấtthường.
2.1.2 Kiến trúc chung của hệ thống phát hiện xâm nhập mạng.
Phần lõi của một hệ thống phát hiện xâm nhập luôn luôn là cảm biến Cảmbiến này là một hệ thống phân tích thông tin Dựa trên kết quả mà nó phân tích được
dé có cơ chế ra quyết định liên quan đến sự xâm nhập
Bộ cảm biến của hệ thống IDS được nối với bộ sưu tập dữ liệu Cách sưu tập này được xác định bởi chính sách tạo sự kiện dé định nghĩa chế độ lọc thông tin sự
kiện Bộ tạo sự kiện (hệ điều hành, mạng, ứng dụng) cung cấp một số chính sáchthích hợp cho các sự kiện, có thể là một bản ghi các sự kiện của hệ thong hoặc cácgói mạng Số chính sách này cùng với thông tin chính sách có thé được lưu trong hệthống được bảo vệ hoặc bên ngoài
Vai trò của bộ cảm biến là dùng dé lọc thông tin và loại bỏ dữ liệu không
tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thê pháthiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sách
phát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profile
hành vi thông thường, các tham số cần thiết (ví dụ: các ngưỡng) Thêm vào đó, cơ sở
dữ liệu giữ các tham sô câu hình, gôm có các chê độ truyền thông với module đáp trả.
Trang 10Bộ cảm biên cũng có cơ sở dữ liệu của riêng nó, gdm dữ liệu lưu vê các xâm phạm
phức tạp tiềm ân (tạo ra từ nhiều hành động khác nhau).
2.1.3 Các kỹ thuật thu thập dữ liệu và xứ lý
Thu thập dữ liệu là một trong những bước quan trọng khi thiết kế một hệ
thống phát hiện xâm nhập và nó ảnh hưởng đến toàn bộ quá trình thiết kế và cài đặt
và kết quả phát hiện Thông thường, mục tiêu của các cuộc tấn công không chỉ là
một máy tính cá nhân mà thường là các máy chủ cung cấp dịch vụ Một số xâm
nhập có thể cho thấy một hành vi bất thường tại tầng mạng, trong khi những xâm
nhập khác cho thấy hành vi bất thường tại tầng ứng dụng
2.1.3.1 Thu thập dữ liệu cho HIDS
a Log truy nhập (Audit logs)
Audit logs là các bản ghi của các sự kiện được ghi lại bởi hệ điều hành, thường bao gồm các bản ghi thông tin của tất cả các tiến trình đang chạy, bộ nhớ sử dụng, và việc truy nhập các tập tin hệ thống và các quá trình thao tác.
b Chuối các lời gọi hàm hệ thong
Chuỗi các lời gọi hàm hệ thống đã được nhiều nghiên cứu khăng định là mộtngu6n thông tin hiệu quả trong hệ thống phát hiện xâm nhập máy trạm Trong quátrình thực hiện, các chương trình ứng dụng yêu cầu các dịch vụ từ hệ điều hànhthông qua các lời gọi hàm hệ thống đến nhân hệ điều hành
2.1.3.2 Thu thập dữ liệu cho NIDS
Hệ thong phát hiện xâm nhập cho mang (NIDS) thu thập và phân tích dữ liệu
bắt trực tiếp từ mạng Hệ thống này hoạt động bằng cách bắt và kiểm tra tiêu đề
(header) và nội dung của gói tin hoặc các lưu lượng chuyên qua mạng
2.1.4 Ưu điểm của hệ thống IDS
> Ưu điểm chính của IDS là:
+ Giám sát: giám sát lưu lượng mạng các hoạt động bất thường và các hoạt động
khả nghỉ
Trang 11‹ Cảnh báo: Khi đã biết được các hoạt động bat thường của một truy cap nào đó,
IDS sẽ đưa ra cảnh báo về hệ thống cho người quản trị
« Bảo vệ: Dùng những thiết lập mặc định và những cầu hình từ nhà quản tri mà
có những hành động chống lại kẻ xâm nhập
2.1.5 Quy trình hoạt động của IDS
« _ Một host tạo ra một gói tin mạng
+ Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi nó
được gửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho nó có thê đọc tất cả các gói tin).
‹ Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào có
dấu hiệu vi phạm hay không Khi có dấu hiệu vi phạm thì một cảnh báo sẽ
được tạo ra va gửi đến giao diện điều khiến.
« Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo cho một
người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa sỐpopup, trang web v.v ).
‹_ Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này
« Các cảnh báo được lưu lai để tham khảo trong tương lai (trên địa chỉ cục bộ
hoặc trên cơ sở dữ liệu).
«_ Một báo cáo tóm tắt về chi tiết của sự cô được tạo ra
« Cảnh báo được so sánh với các dir liệu khác dé xác định xem đây có phải là
cuộc tấn công hay không
2.2 Phân loại hệ thống IDS
2.2.1 Host-based IDS/IPS (HIDS)
IDS dựa trên máy chủ quan sát tất cả những hoạt động hệ thong, như các file
log và những lưu lượng mạng thu thập được Hệ thống dựa trên máy chủ cũng theo
dõi OS, những cuộc gọi hệ thống, lịch sử số sách (audit log) và những thông điệp
báo lỗi trên hệ thống máy chủ Trong khi những đầu dò của mạng có thê phát hiện
Trang 12một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thể xác định xem cuộc tan công có thành công hay không.
2.2.2 Network Base IDS (NIDS)
Hé thong IDS dựa trên mang sử dụng bộ do va sensor cai đặt trên toàn mang Những bộ dò này theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơ lược được định nghĩa hay là những dấu hiệu Những sensor thu nhận
và phân tích lưu lượng trong thời gian thực.
2.2.3 So sánh HIDS và NIDS
Bảng 2.1 So sánh HIDS và NIDS
NIDS HIDS
Ưu điểm: Ưu điểm:
« Quan lý được cả một network| s Có khả năng xác định user liên
segment (gồm nhiều host) quan tới event
+ Trong suốt với người sử dụng | s HIDS có khả năng phát hiện tấn
lẫn kẻ tắn công công diễn ra trên một máy, NIDS
‹ Cài đặt và bao trì đơn giản, thì không
không ảnh hưởng tới mạng ‹ Có thé phân tích các dữ liệu mã
« Tránh DOS ảnh hưởng tới một hóa
host nào đó ‹ Cung cấp các thông tin về host
‹ Có khả năng xác định lỗi ở tầng trong lúc cuộc tân công diễn ra
Network trén host nay
¢ Độc lập với OS
Nhược điểm: Nhược điểm:
« Có thé xảy ra trường hợp báo| + Thông tin từ HIDS là không
động giả đáng tin cậy ngay khi sự tấn
‹ Không thé phân tích các dữ liệu công vào host này thành công
đã được mã hóa (VD: SSL, SSH,| s Khi OS bị sập do tấn công, đồng