Ngày nay, công nghệ thông tin đã và đang phát triển một cách mạnh mẽ đem lại những lợi ích và ứng dụng vô cùng to lớn cho con người. Mạng máy tính ra đời, mở rộng và phát triển không ngừng tạo nên hệ thống mạng Internet toàn cầu. Ngày càng có nhiều người nhận ra lợi ích của việc nối mạng (để chia sẻ tài nguyên, có thể trao đổi và tìm kiếm thông tin hiệu quả, nhanh chóng, tiết kiệm thời gian và chi phí,...), Internet đã thực sự trở thành một phần không thể thiếu trong cuộc sống của con người, thông tin liên lạc qua Internet đã trở nên quen thuộc với hầu hết mọi người. Tuy nhiên, việc truyền thông trên mạng phải qua rất nhiều trạm trung gian, nhiều nút với nhiều người sử dụng khác nhau và không ai dám chắc rằng thông tin khi đến tay người nhận không bị thay đổi hoặc không bị sao chép. Chúng ta đã được nghe nhiều về vấn đề thông tin bị đánh cắp gây những thiệt hại nghiêm trọng hay những kẻ thường xuyên trộm tin của người khác, thậm chí ăn trộm mật khẩu và giả mạo nhằm phá hoại việc giao dịch. Thực tế cũng đã cho thấy số các vụ tấn công vào mạng ngày càng tăng, các kỹ thuật tấn công ngày càng mới và đa dạng. Chính vì thế mà vấn đề an toàn được đặt lên hàng đầu khi nói đến việc truyền thông trên mạng. Có rất nhiều cách để thực hiện an toàn trên mạng như: phương pháp kiểm soát lối vào, ngăn cản sự xâm nhập trái phép vào hệ thống cũng như kiểm soát tất cả các thông tin gửi ra bên ngoài hệ thống, hay sử dụng phương pháp mã hoá dữ liệu trước khi truyền, ký trước khi truyền,...Ngoài ra, công nghệ phát hiện và ngăn chặn xâm nhập cũng đang được ứng dụng rất hiệu quả. Do đó, nhóm đã chọn đề tài “Tìm hiểu hệ thống phát hiện và ngăn chặn xâm nhập IDSIPS” để nghiên cứu rõ hơn về công nghệ này. Mục tiêu của đề tài: Nghiên cứu chung về hệ thống phát hiện và ngăn chặn xâm nhập, các đặc điểm, kiến trúc của một hệ thống phát hiện và ngăn chặn xâm nhập. Cài đặt, thử nghiệm hệ thống phát hiện và ngăn chặn xâm nhập trong hệ thống mạng. Do còn hạn chế nhiều về thời gian, kiến thức và kinh nghiệm thực tế nên đề tài của nhóm không tránh khỏi những thiếu sót và khuyết điểm. Nhóm thực hiện đề tài rất mong nhận được sự đánh giá, nhận xét của các Thầy, các Cô và sự góp ý của các bạn sinh viên để giúp đề tài này được hoàn thiện hơn, từ đó nhóm chúng em có thể rút kinh nghiệm trong nghiên cứu và công việc sau này. Nhóm chúng em xin chân thành cảm ơn Chương 1:Giới thiệu về IDSIPS 1.1. Khái niệm Một hệ thống phát hiện và ngăn chặn xâm nhập IDSIPS (Intrusion Detection System Intrusion Prevention System) được định nghĩa là một phần mềm hoặc một thiết bị chuyên dụng có khả năng phát hiện xâm nhập và có thể ngăn chặn các nguy cơ gây mất an ninh. Thực chất thì ta có thể hiểu về IDSIPS một cách đơn giản là một hệ thống bao gồm chứa đựng cả hai công nghệ IDS và IPS. IDS và IPS có rất nhiều điểm chung, do đó hệ thống IDSIPS có thể được gọi chung là IDP Intrusion Detection and Prevention (IPSIDS). Về đặc điểm, kiến trúc, phân loại IDS, IPS sẽ được nhóm trình bày ở mục sau. 1.2. Hoạt động Nếu hoạt động theo kiểu nhận dạng mẫu gói thì nó sẽ so trùng từng gói với những mẫu tấn công mà nó có, nếu trùng => là loại gói tấn công => cảnh báo hoặc ngăn cản luôn. Hiện nay đa số IDSIPS hoạt động theo kiểu này. Tuy nhiên nếu kiểu tấn công mới thì IDS không nhận biết được, nên phải cập nhật lỗi thường xuyên giống như cập nhật virus. Nếu hoạt động theo kiểu phân tích gói thông minh thì IDS theo dõi mạng xem có hiện tượng bất thường hay không, và phản ứng lại. Lợi điểm là có thể nhận biết các kiểu tấn công mới, nhưng nhiều trường hợp bị báo động nhầm (không phải trường hợp tấn công mà vẫn gây báo động). Chương 2: Hệ thống phát hiện xâm nhập 2.1. Giới thiệu Kỹ thuật phát hiện xâm nhập không phải là một kỹ thuật mới. Vì nó đã được áp dụng nhiều trong các lĩnh vực khác nhau chứ không chỉ riêng lĩnh vực an toàn thông tin của mạng máy tính. Ví dụ đơn giản nhất mà có thể thấy về kỹ thuật phát hiện xâm nhập đó là hệ thống cảnh báo bằng chuông trên ô tô con. Nguyên lý hoạt động rất đơn giản, hệ thống được bật nên và nếu có ai đó chạm vào chiếc ô tô thì còi sẽ hú để cảnh báo rằng có kẻ đang xâm nhập. Tương tự như các hệ thống tường lửa, hệ thống phát hiện xâm nhập được xây dựng để bảo vệ các tài nguyên của hệ thống mạng trước những attacker không mong muốn. Vậy tại sao lại cần một IDS trong khi đã có một hệ thống tường lửa rồi? Ta biết rằng, giống như trong thế giới thực tường lửa được dựng lên giống như con người xây tường, thuê vệ sĩ, mua khóa cửa để ngăn cản kẻ trộm xâm nhập vào hệ thống của mình. Tuy nhiên dù có bảo vệ như thế nào cũng không đảm bảo rằng chúng ta có thể biết hết các phương pháp mà kẻ trộm có thể tấn công được. Vì vậy ngoài hệ thống ngăn chặn kẻ xâm nhập ra (tường lửa) còn có thể triển khai các hệ thống cảnh báo như chuông báo động, camera quan sát, hệ thống cảnh báo... Tương tự như vậy trong hệ thống mạng, không ai có thể chắc chắn rằng các phần cứng và các chế độ bảo vệ khác có thể chặn được hết các cuộc tấn công cũng như biết được hết các phương pháp của attacker. Chính vì vậy mà cần xây dựng một hệ thống phát hiện xâm nhậpIDS để phát hiện các dấu hiệu bất thường, cảnh báo khi có biểu hiện bất thường và giám sát các hoạt động ra vào hệ thống để phân tích và ngăn chặn kịp thời (Monitor