Do số lượng xâm phạm ngày càng tăng khi Internet và các mạng nội bộ càng ngày càng xuất hiện nhiều ở khắp mọi nơi, thách thức của các vấn đề xâm phạm mạng đã buộc các tổ chức phải bổ sung thêm hệ thống khác để kiểm tra các lỗ hổng về bảo mật. Các hacker và kẻ xâm nhập đã tạo ra rất nhiều cách để có thể thành công trong việc làm sập một mạng hoặc dịch vụ Web của một công ty
Lời mở đầu Lý chọn đề tài Do số lượng xâm phạm ngày tăng Internet mạng nội ngày xuất nhiều khắp nơi, thách thức vấn đề xâm phạm mạng buộc tổ chức phải bổ sung thêm hệ thống khác để kiểm tra lỗ hổng bảo mật Các hacker kẻ xâm nhập tạo nhiều cách để thành công việc làm sập mạng dịch vụ Web công ty Nhiều phương pháp phát triển để bảo mật hạ tầng mạng việc truyền thông Internet, bao gồm cách sử dụng tường lửa (Firewall), mã hóa, mạng riêng ảo(VPN) Hệ thống phát xâm nhập trái phép (IDS-Intrusion Detection System) phương pháp bảo mật có khả chống lại kiểu công mới, vụ lạm dụng xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống Phân tích - Trên 90% mạng kết nối sử dụng IDS để phát lỗ hổng bảo mật máy tính - Viện An ninh máy tính báo cáo có đến 80% thiệt hại tài vượt qua 455 triệu đôla bị gây xâm nhập mã nguy hiểm - Hàng triệu công việc bị ảnh hưởng xâm nhập - Nếu sử dụng phần mềm chống virus bạn phải xem xét đến việc bổ sung thêm IDS cho chiến lược bảo mật Hầu hết tổ chức sử dụng phần mềm chống virus không sử dụng IDS - Ngày công nghệ ngày phát triển nên giải pháp bảo mật tồn lâu dài Theo đánh giá tổ chức hàng đầu công nghệ thông tin giới, tình hình an ninh mạng đà bất ổn tiếp tục coi năm “báo động đỏ” an ninh mạng toàn cầu có nhiều lỗ hổng an ninh nghiêm trọng phát hiện, hình thức công thay đổi có nhiều công giới tội phạm công nghệ cao vào hệ thống công nghệ thông tin doanh nghiệp Xác định yêu cầu -Yêu cầu bắt buộc: IDS gì? Các thành phần IDS Các mô hình IDS Các ứng dụng IDS phổ biến Triển khai mô hình IDS demo mạng LAN -Yêu cầu mở rộng : xây dựng ứng dụng demo thành phần cảm biến cảnh báo IDS Ý nghĩa thực tiễn đề tài - Nghiên cứu vấn đề kỹ thuật hệ thống phát ngăn chặn xâm nhập Phân tích, đánh giá nguy xâm nhập trái phép hệ thống mạng - Đưa giải pháp an ninh hữu ích cho hệ thống mạng tổ chức, doanh nghiệp CHƯƠNG I : TỔNG QUAN VỀ IDS/IPS 1.1 Giới thiệu IDS/IPS 1.1.1 Định nghĩa Hệ thống phát xâm nhập (IDS) hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn vẹn tính sẵn sàng hệ thống Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống bảo vệ sau tiến hành phân tích thông tin theo cách khác để phát xâm nhập trái phép Khi hệ thống IDS có khả ngăn chặn nguy xâm nhập mà phát gọi hệ thống phòng chống xâm nhập hay IPS 1.1.2 Sự khác IDS IPS Có thể nhận thấy khác biệt hai khái niệm tên gọi: “phát hiện” “ngăn chặn” Các hệ thống IDS thiết kế với mục đích chủ yếu phát cảnh báo nguy xâm nhập mạng máy tính bảo vệ đó, hệ thống IPS khả phát tự hành động chống lại nguy theo quy định người quản trị thiết lập sẵn Tuy vậy, khác biệt thực tế không thật rõ ràng Một số hệ thống IDS thiết kế với khả ngăn chặn chức tùy chọn Trong số hệ thống IPS lại không mang đầy đủ chức hệ thống phòng chống theo nghĩa Một câu hỏi đặt lựa chọn giải pháp nào, IDS hay IPS? Câu trả lời tùy thuộc vào quy mô, tính chất mạng máy tính cụ thể sách an ninh người quản trị mạng Trong trường hợp mạng có quy mô nhỏ, với máy chủ an ninh, giải pháp IPS thường cân nhắc nhiều tính chất kết hợp phát hiện, cảnh báo ngăn chặn Tuy nhiên với mạng lơn chức ngăn chặn thường giao phó cho sản phẩm chuyên dụng firewall chẳng hạn Khi đó, hệ thống cảnh báo cần theo dõi, phát gửi cảnh báo đến hệ thống ngăn chặn khác Sự phân chia trách nhiệm làm cho việc đảm bảo an ninh cho mạng trở nên linh động hiệu 1.2 Phân loại IDS/IPS Cách thông thường để phân loại hệ thống IDS (cũng IPS) dựa vào đặc điểm nguồn liệu thu thập Trong trường hợp này, hệ thống IDS chia thành loại sau: • Host-based IDS (HIDS): Sử dụng liệu kiểm tra từ máy trạm đơn để phát xâm nhập • Network-based IDS (NIDS): Sử dụng liệu toàn lưu thông mạng, với liệu kiểm tra từ một vài máy trạm để phát xâm nhập 1.2.1 Network Base IDS – NIDS NIDS thường bao gồm có hai thành phần logic : • Bộ cảm biến – Sensor : đặt đoạn mạng, kiểm soát lưu thông nghi ngờ đoạn mạng • Trạm quản lý : nhận tín hiệu cảnh báo từ cảm biến thông báo cho điều hành viên Một NIDS truyền thống với hai cảm biến đoạn mạng khác giao tiếp với trạm kiểm soát Ưu điểm • Chi phí thấp : Do cần cài đặt NIDS vị trí trọng yếu giám sát lưu lượng toàn mạng nên hệ thống không cần phải nạp phần mềm quản lý máy toàn mạng • Phát công mà HIDS bỏ qua: Khác với HIDS, NIDS kiểm tra header tất gói tin không bỏ sót dấu hiệu xuất phát từ Ví dụ: nhiều công DoS, TearDrop (phân nhỏ) bị phát xem header gói tin lưu chuyển mạng • Khó xoá bỏ dấu vết (evidence): Các thông tin lưu log file bị kẻ đột nhập sửa đổi để che dấu hoạt động xâm nhập, tình HIDS khó có đủ thông tin để hoạt động NIDS sử dụng lưu thông hành mạng để phát xâm nhập Vì thế, kẻ đột nhập xoá bỏ dấu vết công Các thông tin bắt không chứa cách thức công mà thông tin hỗ trợ cho việc xác minh buộc tội kẻ đột nhập • Phát đối phó kịp thời : NIDS phát công xảy ra, việc cảnh báo đối phó thực nhanh VD : Một hacker thực công DoS dựa TCP bị NIDS phát ngăn chặn việc gửi yêu cầu TCP reset nhằm chấm dứt công trước xâm nhập phá vỡ máy bị hại • Có tính độc lập cao: Lỗi hệ thống ảnh hưởng đáng kể công việc máy mạng Chúng chạy hệ thống chuyên dụng dễ dàng cài đặt; đơn mở thiết bị ra, thực vài thay đổi cấu hình cắm chúng vào mạng vị trí cho phép kiểm soát lưu thông nhạy cảm Nhược điểm • Bị hạn chế với Switch: Nhiều lợi điểm NIDS không phát huy mạng chuyển mạch đại Thiết bị switch chia mạng thành nhiều phần độc lập NIDS khó thu thập thông tin toàn mạng Do kiểm tra mạng đoạn mà trực tiếp kết nối tới, phát công xảy đoạn mạng khác • Hạn chế hiệu năng: NIDS gặp khó khăn phải xử lý tất gói tin mạng rộng có mật độ lưu thông cao, dẫn đến phát công thực vào lúc "cao điểm" Một số nhà sản xuất khắc phục cách cứng hoá hoàn toàn IDS nhằm tăng cường tốc độ cho Tuy nhiên, phải đảm bảo mặt tốc độ nên số gói tin bỏ qua gây lỗ hổng cho công xâm nhập • Tăng thông lượng mạng: Một hệ thống phát xâm nhập cần truyền dung lượng liệu lớn trở hệ thống phân tích trung tâm, có nghĩa gói tin kiểm soát sinh lượng lớn tải phân tích Để khắc phục người ta thường sử dụng tiến trình giảm liệu linh hoạt để giảm bớt số lượng lưu thông truyền tải Họ thường thêm chu trình tự định vào cảm biến sử dụng trạm trung tâm thiết bị hiển thị trạng thái trung tâm truyền thông thực phân tích thực tế Điểm bất lợi cung cấp thông tin liên quan cho cảm biến; cảm biến việc cảm biến khác dò công Một hệ thống dò công hiệp đồng phức tạp • Một hệ thống NIDS thường gặp khó khăn việc xử lý công phiên mã hoá Lỗi trở nên trầm trọng nhiều công ty tổ chức áp dụng mạng riêng ảo VPN • Một số hệ thống NIDS gặp khó khăn phát công mạng từ gói tin phân mảnh Các gói tin định dạng sai làm cho NIDS hoạt động sai đổ vỡ 1.2.2 Host Base IDS – HIDS Host-based IDS tìm kiếm dấu hiệu xâm nhập vào host cục bộ; thường sử dụng chế kiểm tra phân tích thông tin logging Nó tìm kiếm hoạt động bất thường login, truy nhập file không thích hợp, bước leo thang đặc quyền không chấp nhận Kiến trúc IDS thường dựa luật (rule-based) để phân tích hoạt động Ví dụ đặc quyền người sử dụng cấp cao đạt thông qua lệnh suselect user, cố gắng liên tục để login vào account root coi công Ưu điểm • Xác định kết công: Do HIDS sử dụng liệu log lưu kiện xảy ra, biết công thành công hay thất bại với độ xác cao NIDS Vì thế, HIDS bổ sung thông tin công sớm phát với NIDS • Giám sát hoạt động cụ thể hệ thống: HIDS giám sát hoạt động mà NIDS như: truy nhập file, thay đổi quyền, hành động thực thi, truy nhập dịch vụ phân quyền Đồng thời giám sát hoạt động thực người quản trị Vì thế, hệ thống host-based IDS công cụ cực mạnh để phân tích công xảy thường cung cấp nhiều thông tin chi tiết xác hệ network-based IDS • Phát xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng bàn phím xâm nhập vào server không bị NIDS phát • Thích nghi tốt với môi trường chuyển mạch, mã hoá: Việc chuyển mạch mã hoá thực mạng HIDS cài đặt máy nên không bị ảnh hưởng hai kỹ thuật • Không yêu cầu thêm phần cứng: Được cài đặt trực tiếp lên hạ tầng mạng có sẵn (FTP Server, WebServer) nên HIDS không yêu cầu phải cài đặt thêm phần cứng khác Nhược điểm • Khó quản trị : hệ thống host-based yêu cầu phải cài đặt tất thiết bị đặc biệt mà bạn muốn bảo vệ Đây khối lượng công việc lớn để cấu hình, quản lí, cập nhật • Thông tin nguồn không an toàn: vấn đề khác kết hợp với hệ thống hostbased hướng đến việc tin vào nhật ký mặc định lực kiểm soát server Các thông tin bị công đột nhập dẫn đến hệ thống hoạt đông sai, không phát xâm nhập • Hệ thống host-based tương đối đắt : nhiều tổ chức đủ nguồn tài để bảo vệ toàn đoạn mạng sử dụng hệ thống host-based Những tổ chức phải thận trọng việc chọn hệ thống để bảo vệ Nó để lại lỗ hổng lớn mức độ bao phủ phát xâm nhập Ví dụ kẻ công hệ thống láng giềng không bảo vệ đánh thấy thông tin xác thực tài liệu dễ bị xâm phạm khác mạng • Chiếm tài nguyên hệ thống : Do cài đặt máy cần bảo vệ nên HIDS phải sử dụng tài nguyên hệ thống để hoạt động như: vi xử lí, RAM, nhớ 1.3 Cơ chế hoạt động hệ thống IDS/IPS Có hai cách tiếp cận việc phát phòng chống xâm nhập : Phát lạm dụng (Misuse Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động tương ứng với kĩ thuật xâm nhập biết đến (dựa dấu hiệu - signatures) điểm dễ bị công hệ thống Phát bất thường (Anomaly Detection Model): Hệ thống phát xâm nhập cách tìm kiếm hành động khác với hành vi thông thường người dùng hay hệ thống 1.3.1 Phát lạm dụng Phát lạm dụng phát kẻ xâm nhập cố gắng đột nhập vào hệ thống mà sử dụng số kỹ thuật biết Nó liên quan đến việc mô tả đặc điểm cách thức xâm nhập vào hệ thống biết đến, cách thức mô tả mẫu Hệ thống phát lạm dụng thực kiểm soát mẫu rõ ràng Mẫu xâu bit cố định (ví dụ virus đặc tả việc chèn xâu), …dùng để mô tả tập hay chuỗi hành động đáng nghi ngờ Ở đây, ta sử dụng thuật ngữ kịch xâm nhập (intrusion scenario) Một hệ thống phát lạm dụng điển hình liên tục so sánh hành động hệ thống với tập kịch xâm nhập để cố gắng dò kịch tiến hành Hệ thống xem xét hành động hệ thống bảo vệ thời gian thực ghi kiểm tra ghi lại hệ điều hành Các kỹ thuật để phát lạm dụng khác cách thức mà chúng mô hình hoá hành vi định xâm nhập Các hệ thống phát lạm dụng hệ sử dụng luật (rules) để mô tả mà nhà quản trị an ninh tìm kiếm hệ thống Một lượng lớn tập luật tích luỹ dẫn đến khó hiểu sửa đổi chúng không tạo thành nhóm cách hợp lý kịch xâm nhập Để giải khó khăn này, hệ thống hệ thứ hai đưa biểu diễn kịch xen kẽ, bao gồm tổ chức luật dựa mô hình biểu diễn phép biến đổi trạng thái Điều mang tính hiệu người dùng hệ thống cần đến biểu diễn hiểu rõ ràng kịch Hệ thống phải thường xuyên trì cập nhật để đương đầu với kịch xâm nhập phát Do kịch xâm nhập đặc tả cách xác, hệ thống phát lạm dụng dựa theo để theo vết hành động xâm nhập Trong chuỗi hành động, hệ thống phát đoán trước bước hành động xâm nhập Bộ dò tìm phân tích thông tin hệ thống để kiểm tra bước tiếp theo, cần can thiệp để làm giảm tác hại 1.3.2 Phát bất thường Dựa việc định nghĩa mô tả đặc điểm hành vi chấp nhận hệ thống để phân biệt chúng với hành vi không mong muốn bất thường, tìm thay đổi, hành vi bất hợp pháp Như vậy, phát không bình thường phải có khả phân biệt tượng thông thường tượng bất thường Ranh giới dạng thức chấp nhận dạng thức bất thường đoạn mã liệu lưu trữ định nghĩa rõ ràng (chỉ cần bit khác nhau), ranh giới hành vi hợp lệ hành vi bất thýờng khó xác định Phát không bình thường chia thành hai loại tĩnh động 1.3.2.1 Phát tĩnh Dựa giả thiết ban đầu phần hệ thống kiểm soát phải luôn không đổi Ở đây, ta quan tâm đến phần mềm vùng hệ thống (với giả sử phần cứng không cần phải kiểm tra) Phần tĩnh hệ thống bao gồm phần con: mã hệ thống liệu phần hệ thống Hai thông tin biểu diễn dạng xâu bit nhị phân tập xâu Nếu biểu diễn có sai khác so với dạng thức gốc có lỗi xảy kẻ xâm nhập thay đổi Lúc này, phát tĩnh thông báo để kiểm tra tính toàn vẹn liệu Cụ thể là: phát tĩnh đưa một vài xâu bit cố định để định nghĩa trạng thái mong muốn hệ thống Các xâu giúp ta thu biểu diễn trạng thái đó, dạng nén Sau đó, so sánh biểu diễn trạng thái thu với biểu diễn tương tự tính toán dựa trạng thái xâu bit cố định Bất kỳ khác thể lỗi hỏng phần cứng có xâm nhập Biểu diễn trạng thái tĩnh xâu bit thực tế chọn để định nghĩa cho trạng thái hệ thống, nhiên điều tốn lưu trữ phép toán so sánh Do vấn đề cần quan tâm việc tìm sai khác để cảnh báo xâm nhập sai khác đâu nên ta sử dụng dạng biểu diễn nén để giảm chi phí Nó giá trị tóm tắt tính từ xâu bit sở Phép tính toán phải đảm bảo cho giá trị tính từ xâu bit sở khác khác Có thể sử dụng thuật toán checksums, message-digest (phân loại thông điệp), hàm băm Một số phát xâm nhập kết hợp chặt chẽ với meta-data (dữ liệu mô tả đối tượng liệu) thông tin cấu trúc đối tượng kiểm tra Ví dụ, metadata cho log file bao gồm kích cỡ Nếu kích cỡ log file tăng dấu hiệu xâm nhập 1.3.2.2 Phát động Hành vi hệ thống định nghĩa chuỗi kiện phân biệt, ví dụ nhiều hệ thống phát xâm nhập sử dụng ghi kiểm tra (audit record), sinh hệ điều hành để định nghĩa kiện liên quan, trường hợp hành vi mà kết việc tạo ghi kiểm tra hệ điều hành xem xét Các kiện xảy theo trật tự nghiêm ngặt không thông tin phải tích luỹ Các ngưỡng định nghĩa để phân biệt ranh giới việc sử dụng tài nguyên hợp lý hay bất thường Nếu không chắn hành vi bất thường hay không, hệ thống dựa vào tham số thiết lập suốt trình khởi tạo liên quan đến hành vi Ranh giới trường hợp không rõ ràng dẫn đến cảnh báo sai Cách thức thông thường để xác định ranh giới sử dụng phân loại thống kê độ lệch chuẩn Khi phân loại thiết lập, ranh giới vạch nhờ sử dụng số độ lệch chuẩn Nếu hành vi nằm bên cảnh báo có xâm nhập hệ thống phát động thường tạo profile (dữ liệu) sở để mô tả đặc điểm hành vi bình thường, chấp nhận Một liệu bao gồm tập đo lường xem xét hành vi, đại lượng đo lường gồm nhiều chiều: • Liên quan đến lựa chọn: thời gian đăng nhập, vị trí đăng nhập,… • Các tài nguyên sử dụng trình đơn vị thời gian: chiều dài phiên giao dịch, số thông điệp gửi mạng đơn vị thời gian,… • Chuỗi biểu diễn hành động Sau khởi tạo liệu sở, trình phát xâm nhập bắt đầu Phát động lúc giống phát tĩnh chúng kiểm soát hành vi cách so sánh mô tả đặc điểm hành vi với mô tả ban đầu hành vi mong đợi (chính liệu sở), để tìm khác Khi hệ thống phát xâm nhập thực hiện, xem xét kiện liên quan đến thực thể hành động thuộc tính thực thể Chúng xây dựng thêm liệu Các hệ thống phát xâm nhập hệ trước phải phụ thuộc vào ghi kiểm tra (audit record) để bắt giữ kiện hành động liên quan Các hệ thống sau ghi lại sở liệu đặc tả cho phát xâm nhập Một số hệ thống hoạt động với thời gian thực, gần thời gian thực, quan sát trực tiếp kiện chúng xảy đợi hệ điều hành tạo ghi mô tả kiện 10 • DROP: Hành động DROP yêu cầu iptables loại bỏ gói tin ghi lại thông tin hành động LOG • SDROP: Hành động SDROP tương tự hành động DROP, điều khác biệt chỗ Snort không ghi lại thông tin hành động LOG • REJECT: Hành động REJECT yêu cầu iptables từ chối gói tin, có nghĩa iptables loại bỏ gửi lại thông báo cho nguồn gửi gói tin Hành động REJECT không ghi lại bất cử thông tin Trình tự ưu tiên luật Trong phiên gốc, trình tự ưu tiên hành động Snort : activation->dynamic-> alert->pass->log Trong inline-mode, trình tự ưu tiên thay đổi sau : activation>dynamic->pass->drop->sdrop->reject->alert->log CHƯƠNG 3: MÔ HÌNH THỰC NGHIỆM 3.1 Mô hình 3.1.1 Sơ đồ mô hình 29 3.1.2 Hạn chế mô hình • Dễ bị thăm dò hệ thống • Thông tin dễ bị đánh cắp • Không có khả cảnh báo biến động mạng 3.2 Mô hình đề xuất 30 3.2.1 Triển khai Khi Snort phát công phản ứng nhiều cách khác tùy thuộc vào cấu hình mà người quản trị mạng thiết lập, chẳng hạn gởi thông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin phát có bất thường gói tin Snort hoạt động dựa luật – rule xây dựng sẵn phải cập nhật thường xuyên Mỗi luật đại diện cho công Khi có packet đến hệ thống áp vào tập luật, có so trùng snort phản ứng 3.2.1.1 Sơ đồ triển khai 31 Máy attack công vào web server, snort phát công đưa cảnh báo 3.2.1.2 Các bước triển khai -Sử dụng công cụ quét mạng Nmap quét dịch vụ hệ thống mục tiêu -Sử dụng công cụ Nikto công máy chủ web server 3.2.2 Cài đặt snort cho hệ thống 3.2.2.1 Cài đặt snort • Trước hết chuẩn bị Snort #apt-get install snort 32 • Chọn yes • Cài đặt libpcap-dev, libpcre3-dev, gói zlib1g-dev libdumbnet-dev # apt-get -y libpcap-dev # apt-get libpcre3-dev # apt-get -y libdumbnet-dev 33 Sau cài đặt thành công 3.2.2.2 Cấu hình snort Đầu tiên nhập dòng lệnh $ nano /etc/snort/snort.conf Khoảng dòng thứ 45, ta khai báo Internal network network xem External, HTTP servers, DNS servers, danh sách port, … ipvar HOME_NET 192.168.1.235/24 ipvar EXTERNAL_NET any 34 3.2.2.3 Thiết lập luật $ nano /etc/snort/snort.conf 35 Tại ta chọn tập luật mà ta muốn Bộ luật scan.rules Thiết lập luật cảnh báo Nikto 36 3.2.2.4 Kiểm tra Kiểm tra file cấu hình : 3.3 Kịch kiểm thử • Tấn công Nmap cảnh báo Bước 1: khởi động snort lệnh Snort –c /etc/snort/snort.conf –A console 37 Bước 2: máy attack scan máy webserver nmap 38 Bước 3: máy snort cảnh báo 39 • Scan web server Nikto Bước 1: khởi động snort lệnh Snort –c /etc/snort/snort.conf –A console Bước 2: máy attack scan webserver Nikto Nikto –host 192.168.37.1:8080/mutillidae 40 Bước 3: máy snort cảnh báo scan nikto 41 42 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN KẾT LUẬN Đề tài đạt số mục tiêu hiêu cách thức hoạt động cách thức phát xâm nhập hệ thống IDS Cách bố trí hệ thống phát xâm nhập làm ssao? Nghiên cứu hiểu cấu trúc cách thức xử lý gói tin snort Hiểu rõ cấu trức số tập luật Snort.Cách thức viết tập luật cho yêu cầu cụ thể Phân tích liệu để viết luật Cài đặt cấu hình thành công hệ thống, demo hình thức xâm nhập đơn giản, gặp chút khó khăn việc triển khai mô hình máy ảo Snort có hạn chế việc chưa tận dụng hết phần cứng hệ thống snort chưa hổ trợ xử lý đa nhân, snort dừng lại xử lý đơn nhân Cuối việc xây dựng hệ thống phát xâm nhập có ích việc cảnh báo phòng tránh công có chủ đích, snort chưa thể tự ứng phó trước công dừng lại cảnh báo HƯỚNG PHÁT TRIỂN Áp dụng máy học vào snort Để tự học xâm nhập lưu thông mạng Từ phát sinh rules phù hợp để ngăn chặn xâm nhập bất thường từ bên HẠN CHẾ CỦA ĐỀ TÀI • Có thể xảy báo động giả • Không phân tích gói tin mã hóa • Không biết việc công có thành công hay không 43 ... trung với middle-ware làm nhiệm vụ điều khiển trực tiếp thiết bị • SNORT Snort phần mềm IDS mã nguồn mở, phát triển Martin Roesh Snort xây dựng Unix sau phát triển sang tảng khác Snort đánh giá IDS. .. ngăn chặn snort 2.3.1 Tích hợp khả ngăn chặn vào Snort Snort-inline nhánh phát triển Snort William Metcalf khởi xướng lãnh đạo Đến phiên 2.3.0 RC1 Snort, inline-mode tích hợp vào thức snort. org... đáng ý với tính mạnh Chi tiết Snort trình bày phần chương II đề tài 13 CHƯƠNG : CHỨC NĂNG CHÍNH CỦA SNORT 2.1 Kiến trúc snort Snort NIDS Martin Roesh phát triển mô hình mã nguồn mở Tuy Snort