Khái niệm IDS\IPS Intrusion Detection System hệ thống phát hiện xâm nhập, có nhiệm vụ theo dõi, phát hiện và có thể ngăn chặn hành vi khai thác trái phép tài nguyên của hệ thống được bả
Trang 1TÌM HIỂU VỀ
HỆ THỐNG IDS/IPS
Thành viên:
1 Nguyễn Phước Điền
2 Phạm Thị Mỹ Hạnh
3 Nguyễn Thị Minh Ngọc
4 Bùi Bích Phương
5 Nguyễn Thị Phượng
GVHD: Ths Trương Hoài Phan
Trang 2Nội Dung
3 Cơ chế hoạt động của IDS/IPS
1 Khái niệm IDS/IPS
2 Phân loại IDS/IPS
4 Một số sản phẩm của IDS/IPS
Trang 31 Khái niệm IDS\IPS
(Intrusion Detection System) hệ thống phát hiện
xâm nhập, có nhiệm vụ theo dõi, phát hiện và (có thể) ngăn chặn hành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ mà làm tổn hại đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống
(Instrusion Protection System) được gọi là một
hệ thống phòng chống xâm nhập khi một hệ thống IDS
có khả năng phát hiện và tự động ngăn chặn các nguy
cơ xâm nhập mà nó phát hiện được
IDS
IPS
Trang 4Network-based IDS (NIDS): Sử dụng dữ
liệu trên toàn bộ
lưu thông mạng,
cùng với dữ liệu
kiểm tra từ một
hoặc một vài máy trạm để phát hiện
xâm nhập.
Host-based IDS
(HIDS): Sử dụng
dữ liệu kiểm tra
từ một máy trạm
đơn để phát hiện
xâm nhập.
IDS
2 Phân loại IDS
Trang 52.1 Host - base IDS(HIDS)
Trang 62.2 Network – base IDS(NIDS)
Trang 7Một số so sánh cơ bản giữa NIDS và HIDS
Trang 9Kết hợp giữa HIDS và NIDS
Trang 103 Hoạt động IDS/IPS
Kiến trúc IDS/IPS
Trang 11Cơ chế hoạt động IDS/IPS
Phát hiện sự lạm dụng: tìm các hành động tương ứng với kĩ thuật xâm nhập đã được biết đến hoặc các điểm dễ bị tấn công của hệ thống.
Phát hiện sự bất thường : tìm các hành động khác với hành vi thông thường của người dùng hay hệ thống.
Trang 12Phát hiện sự bất
thường
Phát hiện sự bất
thường
Phát hiện tĩnh Phát hiện động
Trang 134 Một số sản phẩm của IDS/IPS
Cisco IDS-4235
ISS Proventia A201
NFR NID-310
SNORT
Trang 14Phần mềm IDS mã nguồn mở, tính năng mạnh
Snort có thể chạy trên nhiều hệ thống nền như Windows, Linux, OpenBSD, FreeBSD…
Snort có thể được cấu hình để chạy như một NIDS
Snort hỗ trợ khả năng hoạt động trên các giao thức sau: Ethernet, 802.11,TokenRing, FDDI, Cisco HDLC, SLIP, PPP…
Trang 15Kiến trúc của snort
Môđun giải mã gói tin (Packet Decoder)
Môđun tiền xử lý (Preprocessors)
Môđun phát hiện (Detection Engine)
Môđun log và cảnh báo (Logging and Alerting System)
Môđun log và cảnh báo (Logging and Alerting System)
Môđun kết xuất thông tin (Output Module)
Trang 16Mô hình kiến trúc hệ thống
Trang 17Cảm ơn thầy và các bạn đã chú ý
lắng nghe!!!
Cảm ơn thầy và các bạn đã chú ý
lắng nghe!!!