1. Trang chủ
  2. » Công Nghệ Thông Tin

Hệ thống phát hiện xâm nhập hợp tác và ứng dụng

83 343 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 83
Dung lượng 2,06 MB

Nội dung

Cùng với tư tưởng tạo ra một hệ thống an ninh đảm bảo an toàn cao, triển khai trên quy mô rộng lớn, quản lý tập trung, hướng đến một hệ thống tự động phát hiện xâm nhập với quá trính tự

Trang 1

MỤC LỤC

DANHMỤCCÁCKÝHIỆU,CHỮVIẾTTẮT -4-

DANHMỤCCÁCBẢNG -6-

DANHMỤCHÌNHVẼ -7-

LỜI MỞ ĐẦU - 9 -

CHƯƠNG I CƠ SỞ LÝ THUYẾT - 13 -

1.1 Mô hình hệ thống phát hiện xâm nhập hợp tác CIDS - 13 -

1.2 Kiến trúc hệ thống CIDS -15-

1.3 Phân loại các mô hính phát hiện xâm nhập hợp tác -17-

1.3.1 Xây dựng hệ thống theo phương pháp tiếp cận tập trung - 19 -

1.3.2 Xây dựng hệ thống theo phương pháp tiếp cận phân cấp - 20 -

1.3.3 Xây dựng hệ thống theo phương pháp tiếp cận phân tán hoàn toàn - 21 -

1.4 CƠ CHẾ PHÁT HIỆN XÂM NHẬP -23-

1.4.1.1 Tổng hợp các nghiên cứu đạt được của hệ thống CIDS triển khai trên thế giời -

26 - CHƯƠNG II TRIỂN KHAI HỆ THỐNG OSSIM ……… -29-

2.1 Các thành phần trong chương trình phát hiện xâm nhập hợp tác OSSIM -29-

2.2 Kiến trúc hệ thống - 31 -

2.3 Chi tiết các thành phần trong hệ thống OSSIM -32-

2.3.1 Cơ sở dữ liệu - 32 -

2.3.2 Hệ quản lý tập trung - 34 -

2.3.3 Bộ phận xử lý thông tin, đánh giá và đưa ra các cảnh báo - 34 -

2.3.4 Máy trạm trinh sát - 38 -

2.3.4.1 Tiện ích giám sát - 42 -

2.3.4.2 Tiện ích rà soát - 43 -

2.3.4.3 Quản lý tiện ích - 43 -

2.4 Hệ quản lý tập trung OSSIM -44-

CHƯƠNG III TRIỂN KHAI, KẾT QUẢ VÀ ĐÁNH GIÁ………- 51 -

3 Triển khai thử nghiệm trong mạng VietnamAirlines - 51 -

3.1 Mô hình triển khai và kết nối - 53 -

3.2 Kết nối với các modul bảo mật hiện có trong mạng - 54 -

Trang 2

3.2.1 Kết nối OSSIM với hệ thống Symantech-SEP - 54 -

3.2.1.1 Quy trính kết nối và các bước thực hiện - 54 -

3.2.1.2 Cấu hình triển khai - 55 -

3.2.2 Kết nối OSSIM với hệ thống Filewall Cisco ASA - 59 -

3.2.2.1 Quy trính kết nối và các bước thực hiện - 59 -

3.2.2.2 Cấu hình triển khai - 61 -

3.2.3 Kết nối plugin OSSEC trên webserver của VietNamairlines - 67 -

3.2.3.1 Quy trính kết nối và các bước thực hiện - 67 -

3.2.3.2 Cấu hình triển khai - 69 -

2.1 Kết quả triển khai - 74 -

2.2 Đánh giá các kết quả thu được qua quá trình triển khai hệ thống - 80 -

KẾT LUẬN……… - 81 -

TÀI LIỆU THAM KHẢO……… - 83 -

Trang 3

LỜI CAM ĐOAN

Tôi xin cam đoan luận văn thạc sỹ kỹ thuật này là do tôi nghiên cứu và được thực hiện dưới sự hướng dẫn khoa học của PGS.TS Ngô Hồng Sơn Các kết quả

do tôi tự nghiên cứu và tham khảo từ các nguồn tài liệu cũng như các công trình nghiên cứu khoa học khác được trích dẫn đầy đủ Nếu có vấn đề về sai phạm bản quyền, tôi xin hoàn toàn chịu trách nhiệm trước nhà trường

Trang 4

DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT

ACID Analysis Console for Intrusion Databases

ARP Address Resolution Protocol

CGI Scripts Common Gateway Interface Scripts

CIDS Collaborative Intrusion Detection System

DDOS Distributed Denial Of Service

DHCP Dynamic Host Configuration Protocol

DIDS Distributed Intrusion Detection System

DMZ Demilitarized Zone

DNS Domain Name System

DOS Denial Of Service

DRDoS Distributed Reflection Denial of Service

DSOC Distributed Security Operation Center

GD Global detectors

ICMP Internetwork Control Message Protocol

IDPS IPS + IDS

IDS Intrusion Detection System

IPS Intrusion Prevention System

LAN Local Area Network

LD Local detectors

MAC Medium Access Control

MADIDF Mobile Agents based Distributed Intrusion Detection Framework NIC Network Interface Card

NIDS Network Intrusion Detection System

OSSIM Open Source Security Information Management

P2P Peer – to – Peer

Trang 5

PSKs Pre-shared keys

RARP Reverse Address Resolution Protocol

SMTP Simple Mail Transfer Protoco

SQL Structured Query Language

TCP/IP Transmission Control Protocol/Internet Protocol

UDP User Datagram Protocol

WAN Wide Area Network

Trang 6

DANH MỤC CÁC BẢNG

Bảng 1.2 Tổng hợp các nghiên cứu trên thế giời ……… …………29

Bảng 2.1 Nhật ký truy cập hệ thống OSSIM ………39

Bảng 2.2: Plugin trong phần phát hiện xâm nhập Snort ………43

Bảng 2.3 Bảng mô tả các plugin báo cáo trong hệ thống OSSIM……… 45

Bảng 2.4 Bảng mô tả các plugin giám sát trong hệ thống OSSIM ………… 46

Bảng 2.5 Bảng mô tả các plugin rà soát trong hệ thống OSSI……….47

Trang 7

DANH MỤC HÌNH VẼ

Hình 1.1 Mô hình hệ thống phát hiện xâm nhập hợp tác CIDS ………….…….10

Hình1.3 Firewall không bảo vệ được các tấn công không đi qua nó …………13

Hình 1.4 Mô hình hệ thống CIDS bảo vệ ……… 14

Hình1.5 Cơ chế cảnh báo tấn công và cảnh báo xâm nhập của hệ thống CIDS.15 Hình 1.6 CIDS thu thập thông tin mức thấp, xử lý và đưa ra các cảnh báo ở mức cao ……… ………17

Hình 1.7 Phương pháp tiếp cận tập trung ……… ……… 19

Hình 1.8 Phương pháp tiếp cận phân cấp……… …… ……….20

Hình 1.9 Phương pháp tiếp cận phân phối hoàn toàn ….……… … 21

Hình 1.10 Kiến trúc hệ thống CIDS ……… …… ……23

Hình 1.11 Quá trình gửi và liên kết dữ liệu từ khối Corelation Unit và khối Detection Unit … ………25

Hình 2.1 Sơ đồ hoạt động hệ thống OSSIM … …….……… 32

Hình 2.2: Mô hình hệ thống quản lý an toàn thông tin ……… …… 34

Hình 2.3 Hệ quản lý tập trung OSSIM ……… … 37

Hình 2.4 Giao diện tương tác hệ thống qua website ……… ….41

Hình 2.5: Máy trạm trinh sát ……… ……… 43

Hình 2.6: Thành phần quản lý các plugin trên giao diện web ……… 49

Hình 3.1 Mô hình kết nối mạng VietnamAirlines ……….……….… 55

Hình 3.2 Mô hình mạng VietnamAirlines triển khai OSSIM ……… ….56

Hình 3.3 Mô hình triển khai logic ……… … 57

Hình 3.3 Enable plugin Symantec-epm ……… ………59

Hình 3.3 Enable plugin Cisco-asa ……… ……….63

Hình 3.5 Tạo key xác thực plugin trên OSSIM agent ……… …….66

Hình 3.6 Kết nối plugin OSSEC tới OSSIM server……….66

Trang 8

Hình 3.7 Kết nối OSSIM agent và OSSIM server ……….…………67

Hình 3.8 Quản lý OSSIM agent trên giao diện web ………… ………… ………67

Hình 3.9 Các cảnh báo theo thời gian thực ……… ……… ……… 68

Hình 3.10 Các cảnh báo được đánh giá mức độ nguy hiểm ……… ……69

Hình 3.10 Phân tích cảnh bào nhận được từ plugin cisco-asa ……… 70

Hình 3.11 Top 15 IP bị tấn công nhiều nhất trong mạng ……….……….….71

Hình 3.12 Top 15 IP tấn công mạng nhiều nhất ……… ………… ….72

Hình 3.13 Top 15 cảnh báo được hệ thống gửi đi nhiều nhất ……….73

Trang 9

LỜI MỞ ĐẦU

Như chúng ta đã biết, ngày nay khi cuộc sống của con người ngày càng hiện đại, cùng với sự phát triển như vũ bão của công nghệ thông tin, mạng máy tính và internet giúp con người có cuộc sống tốt đẹp hơn, đáp ứng mọi nhu cầu của con người trong cuộc sống: Giải trí, gặp gỡ bạn bè, mua sắm, tìm kiếm thông tin, học tập, làm việc, kinh doanh, buôn bán, v.v song song với đó tiềm ẩn rất nhiều những nguy cơ luôn luôn rình rập người sử dụng như việc bị lợi dụng thông tin cá nhân, thông tin đăng nhập email, số thẻ tín dụng, các thông tin kinh doanh, buôn bán hoặc có thể là bản thiết kế hoặc một công trình nghiên cứu khoa học, v.v Nghiêm trọng hơn là các nguy cơ mất an toàn thông tin đối với các hệ thống lớn, các hệ thống cung cấp dịch vụ, các công ty có quy mô lớn trên khắp các vùng địa

lý khác nhau, những nơi mà tính sẵn sàng của hệ thống là yếu tố quyết định tới sự tồn tại của cả công ty thì yêu cầu về đảm bảo an toàn thông tin là vấn đề luôn được quan tâm, nghiên cứu Cùng với tư tưởng tạo ra một hệ thống an ninh đảm bảo an toàn cao, triển khai trên quy mô rộng lớn, quản lý tập trung, hướng đến một hệ thống tự động phát hiện xâm nhập với quá trính tự động tính toán và đưa

ra các cảnh báo xâm nhập thì hệ thống phát hiện xâm nhập hợp tác CIDS (Collaborative Intrusion Detection System) được nghiên cứu và phát triển

Hệ thống phát hiện xâm nhập hợp tác hoạt động trên nguyên tắc kết hợp các thiết bị an toàn thôn tin: Firewall, IDS, IPS trên các phân vùng mạng riêng lẻ thành một thể thống nhất, quản lý bởi một thiết bị tập trung, nhận dữ liệu từ nhiều nguồn khác nhau và xử lý tập trung để đưa ra các cảnh báo về sự an toàn thông tin trên toàn bộ hệ thống mạng Hệ thống CIDS đưa ra các cảnh báo từ sự tổng hợp thông tin nhận được từ nhiều nguồn khác nhau nên kết quả đánh giá sẽ có tính chất khách quan, phát hiện được các kiểu tấn công phức tạp, tinh vi với nhiều kịch bản tấn công khác nhau: Scan lén lút, tấn công từ chối dịch vụ, sự bùng phát

Trang 10

và phá hoại của sâu mạng, mà có thể với một thiết bị an toàn thông tin đơn lẻ sẽ rất khó để phát hiện ra

Mô hình hệ thống phát hiện xâm nhập hợp tác là một mô hình triển khai an toàn thông tin có tính khả thi cao, đã được áp dụng trên nhiều sản phẩm từ mã nguồn mở như: Hệ thống quản lý bảo mật mã nguồn mở OSSIM, tới các sản phẩm thương mại nổi tiếng: Firewall Site Protecter của IBM, Symantec Endpoint của hãng bảo mật Symantec,… thực tế đã chứng minh được mô hình hoạt động của hệ thống an toàn thông tin kết hợp là rất hiệu quả, có tính khả thi cao

Với đặc thù công việc đang đảm nhận tại Tổng công ty Hàng Không Việt Nam (VNA) là triển khai, quản trị hệ thống, đảm bảo hệ thống hoạt động an toàn, phòng chống virus thì việc tích hợp triền khai hệ thống phát hiện, chống xâm nhập hợp tác CIDS cho các dịch vụ của đơn vị cung cấp là vô cùng cần thiết Hiện trạng hệ thống mạng LAN/WAN và kết nối Internet của VNA được đầu

tư khá hiện đại và bài bản Các phân vùng mạng được quy hoạch riêng tương ứng với từng chức năng, nhiệm vụ của các đối tượng sử dụng:

- Phân vùng mạng LAN/WAN: Dùng cho người dùng nội bộ công ty

- Phân vùng server: Dùng cho các server cung cấp dịch vụ, ừng dụng và web nội bộ

- Phân vùng DMZ: Chứa các server được public ra internet

- Đối với mỗi phân vùng mạng nêu trên đều có thiết bị firewall bảo vệ phía trước là firewall cisco asa 5590

- Trên các máy tính clinet và server còn được bổ sung chương trình diệt virus

và ngăn chặn xâm nhập trái phép Symantech endpoint protection (SEP) version 12.1

Trang 11

Vấn đề đặt ra là chưa có một giải pháp tổng thể, mang tính chất tập trung, thu thập và đánh giá an toàn thông tin của toàn bộ hệ thống mạng mà chỉ mang tính chất nội bộ hệ thống mạng mà thiết bị đó quản lý Vì vậy em đã lựa chọn triển khai giải pháp hệ thống phát hiện xâm nhập hợp tác CIDS với sản phẩm mã nguồn mở OSSIM trên hệ thống mạng của VietnamAirlines để khắc phục các khuyết điểm trên

Trong phạm vi đồ án của mình và để không ảnh hưởng tới hệ thống mạng đang hoạt động của công ty em triển khai thử nghiệm với các hệ thống và dịch vụ sau:

- OSSIM server và firewall cisco asa

- OSSIM server và hệ thống symantech endpoint protection - SEP

- OSSIM server và máy chủ ứng dụng webserver có bổ sung thêm plugin OSSEC và snort để phát hiện và cảnh báo xâm nhập hệ thống

Sau quá trình triển khai thử nghiệm, theo dõi và tổng hợp các cảnh báo thu thập được từ OSSIM server em đã thu được các kết quả sau:

- Quản lý và theo dõi tập trung được các thiết bị chịu trách nhiệm đảm bảo an toàn thông tin của công ty: Firewall, IDS, IPS

- Đưa ra các cảnh báo về tình trạng an ninh của hệ thống mạng từ các nguồn thu thập thông tin khác nhau: firewall, symantec-epm, ossec, snort

- Đánh giá mức độ nguy hiểm của các cảnh báo đưa ra

- Mô hình hóa các nguy cơ mấy an toàn thông tin: Top 10 IP tấn công mạng nhiều nhất, Top 10 IP bị tấn công nhiều nhất, c ác giao thức bị tấn công nhiều nhất, hoặc các cảnh báo nguy hiểm cần lưu ý

Trang 12

Cuối cùng em xin gửi lời cảm ơn chân thành tới ban giám hiệu, viện sau đại học, viện Kỹ Thuật Máy Tính và Truyền Thông, các Giảng viên trường Đại học Bách Khoa Hà Nội đã nhiệt tình truyền đạt những kiến thức quý báu cho em trong suốt quá trình học tập và hoàn thành Luận văn Thạc sĩ

Em xin gửi lời cảm ơn và lòng biết ơn chân thành tới PGS.TS Ngô Hồng Sơn

- Người đã trực tiếp chỉ bảo, hướng dẫn và giúp đỡ em trong suốt quá trình nghiên cứu và hoàn thành Luận văn Thạc sĩ

Cuối cùng, tôi xin chân thành cảm ơn tới các anh, các đồng nghiệp tại Phòng

Hạ tầng CNTT - Công ty Cổ phần tin học viễn thông Hàng Không đã giúp đỡ tôi trong suốt quá trình thực hiện đề tài

Xin chân thành cảm ơn!

Hà Nội, Ngày 11 tháng 9 năm 2015

Học viên

Đặng Hồng Cường

Trang 13

Chương I CƠ SỞ LÝ THUYẾT 1.1 Mô hình hệ thống phát hiện xâm nhập hợp tác CIDS

Hiện nay các cuộc tấn công có sự chuẩn bị, tính toán, được đầu tư lớn về thời gian chuẩn bị, tiền bạc và kỹ thuật cao để có thể gây ra hậu quả lớn tới vấn

đề bảo mật trên Internet ngày càng tăng Những cuộc tấn công âm thần diện rộng gây rất nhiều khó khăn cho việc kiểm tra, thu thập các bằng chứng của việc tấn công bởi rất nhiều người quản lý các vùng mạng khác nhau, đồng thời các công

cụ tấn công cũng được lập trình tinh vi để xóa dấu vết, ngăn chặn các nhà quản trị mạng truy tìm ra nguồn gốc của thủ phạm tấn công, phương thức hoạt động và các server quản trị công cụ tấn công vào các hệ thống mạng Những giải pháp bảo

vệ mạng bên trong nhằm hạn chế tối đa thiệt hại có thể xảy ra như các thiết bị cảnh báo xâm nhập (IDS) hoặc các thiết bị bảo vệ, ngăn chặn tấn công (IPS/ Firewall), các thiết bị đó có thể là các thiết bị cứng, thiết bị mềm với các cơ chế bảo vệ và thông báo Khi mạng máy tính xuất hiện các dấu hiệu bị tấn công, chương trình sẽ gửi các thông tin nghi ngờ về cho người quản trị hệ thống biết Trong quy định các kiểu kiểm tra của mức độ phân chia vấn đề rộng lớn được tính toán để tấn công, chúng ta cần phải có khả năng phối hợp các bằng chứng của các dấu hiệu nghi ngờ trên mạng một cách linh hoạt từ nhiều nguồn khác nhau, về mặt địa lý chúng sẽ được phân phối qua các môi trường mạng khác nhau cùng một lúc Hơn nữa các thiết bị IDS sẽ làm việc độc lập, chúng ta cần kết hợp các thiết bị cảnh bảo xâm nhập từ nhiều nguồn thông tin khác nhau để có cái nhìn tổng quan nhất về tất cả các vấn đề đang diễn ra trên một mạng diện rộng và nguy

cơ mất an toàn thông tin có thể xẩy ra Một hệ thống như vậy phải kết nối và phân tích được các kết quả từ các IDS, Firewall từ nhiều vùng mạng khác nhau,

xử lý và đánh giá các thông tin nhận được một cách tổng hợp, có độ chính xác cao và từ nhiều nguồn khác nhau Hệ thống có thể xử lý, tổng hợp các kết quả

Trang 14

đánh giá từ nhiều nguồn khác nhau, với các định dạng mẫu gửi về trung tâm xử lý khác nhau: Snort, OSSEC, Ntop, Iptable, Nagios, Cisco-Asa, Symantec-SEP…Hệ

thống như thế được gọi là hệ thống phát hiện xâm nhập hợp tác CIDS: Collaborative Intrusion Detection System Khi đó ta phân tích được các dấu

hiệu từ nhiều mạng khác nhau cùng một lúc Bên cạnh đó, sự phối hợp các kết quả từ nhiều mạng khác nhau, chúng ta có thể kiểm tra phối hợp các kiểu tấn công nhỏ ngay từ lúc ban đầu, nhờ đó chúng ta sẽ có được các kết quả rất ý nghĩa

từ sự kết hợp hoạt động trên Internet Như thế, cho dù việc tấn công bằng cách kết hợp nhiều kiểu tấn công khác nhau vẫn có thể dễ dàng được kiểm tra và phát hiện, ngăn chặn sớm các giai đoạn sau đó khi mà các thành phần của các traffic tấn công vào hệ thống có quy mô lớn hơn Cùng vơi việc tuân thủ các quy tắc làm việc an toàn sẽ làm giảm các nguy cơ mất an toàn trong hệ thống bởi các nguy cơ mất an toàn cho hệ thống đều được tính toán thiệt hại từ trước đó

Hình 1.1 Mô hình hệ thống phát hiện xâm nhập hợp tác CIDS

Trang 15

1.2 Kiến trúc hệ thống CIDS

Với Firewall đƣợc sử dụng với mục đích kiểm soát luồng thông tin vào ra giữa

mạng bên ngoài và mạng bên trong, kiểm soát các dịch vụ đƣợc phép hoạt động,

kiểm soát truy nhập Điều này đƣợc thực hiện do Firewall thực hiện việc lọc và

phân tích các gói tin TCP/IP đi vào và đi ra thông qua nó, thực hiện thanh tra

trạng thái, đóng hết tất cả các cổng dịch vụ không hoạt động Nhƣng nó chỉ hiệu

quả với các luồng thông tin đi qua nó, vậy những luồng thông tin không trực tiếp

đi qua nó mà vì một lý do nào đó, mối nguy hiển xuất phát từ chính trong nội bộ

mạng LAN bên trong, phát tán và phá hoại những thành viên trong mạng LAN thì

Firewall không thể ngăn chặn đƣợc, thậm chí với kiểu tấn công này chính firewall

cũng có thể bị đánh sập bởi sự tấn công ngƣợc lại từ chính mạng bên trong (Local

Actack)

Hình 1.2 Firewall bảo vệ mạng LAN bên trong, ngăn chặn kết nối trái phép

Trang 16

Hình1.3 Firewall không bảo vệ được các tấn công không đi qua nó

Vì thế yêu cầu đặt ra là tạo ra một thiết bị cảnh báo tập trung, có khả năng quản lý rộng lớn, có khả năng đọc và xử lý nhiều các định dạng file log khác nhau

từ các thiết bị security gửi tới nó: Iptable, Snort, Ntop, Ossec, …, xử lý và tính toán các luồn dữ liệu nhận đƣợc, từ đó đƣa ra kết quả đánh giá và mức độ nguy hiển của cuộc tấn công tới các vùng mạng con để có biện pháp đối phó thích hợp

IDS

Firewall

IDPS CIDS

Hình 1.4 Mô hình hệ thống CIDS bảo vệ

Trang 17

Firewall

IDPS CIDS

Actack Internet

(Gửi thông bào về CIDS)

(CIDS phat cảnh báo tấn công)

Hình1.5 Cơ chế cảnh báo tấn công và cảnh báo xâm nhập của hệ thống CIDS

1.3 Phân loại các mô hính phát hiện xâm nhập hợp tác

Mục tiêu chính của hệ thống CIDS là giảm bớt số lƣợng các thông báo không chính xác và những sự đánh giá không thích hợp đƣợc đƣa ra trong quá trình làm việc bởi các đánh giá của thiết bị IDS độc lập, hệ thống kết hợp tạo ra một cái nhìn tổng quan cho toàn bộ hệ thống mạng bởi hệ thống cảnh báo xâm nhập IDS CIDS bao gồm hai chức năng chính:

- Chức năng phát hiện

Gồm các sensor có chức năng kiểm tra, trong đó mỗi sensor có nhiệm vụ giám sát một mạng con của riêng mình hoặc các máy chủ chuyên biệt, sau đó đƣa ra các cảnh báo xâm nhập ở mức độ thấp

Trang 18

- Chức năng kết hợp: Đây là chức năng xử lý tổng hợp các cảnh báo cấp độ thấp sang mức cảnh báo cao hơn của việc xác nhận các tấn công Điều này rất

có ý nghĩa với các kiểu tấn công tinh vi, tấn công với tần suất nhỏ trên quy mô rộng lớn

- Kiến trúc hệ thống: CIDS bản chất là một hệ thống phát hiện xâm nhập hợp tác Do đó, kiến trúc để xử lý các thông báo được gửi lên từ hệ thống phát hiện xâm nhập đơn lẻ được chia sẽ và xử lý thế nào cho hợp lý và hiệu quả

- Sự tương quan về độ chính xác của cảnh báo: Mục tiêu chính của một hệ thống CIDS là để phát hiện các cuộc tấn công quy mô lớn và giảm các cảnh báo không chính xác, đó là điều đạt được bởi sự tương quan về độ chính xác của các cảnh báo (nghĩa là, có sự tương quan giữa các đơn vị dữ liệu) Vậy làm thế nào các Sensor có sự tương quan với hệ thống CIDS trong việc xác định chính xác sự tấn công

- Bảo mật dữ liệu: Bảo mật dữ liệu là một vấn đề quan trọng trong thực tế nếu thông tin đang được chia sẽ giữa các thành viên trong hệ thống Nếu các biện pháp bảo mật thích hợp không được cung cấp bởi một CIDS server được tin tưởng thì các thành viên không được xác thực trên toàn bộ hệ thống, các thông tin gửi và nhận xuất phát từ thành viên không xác thực cũng sẽ không được tin tưởng, như thế việc chia sẽ dữ liệu sẽ là không thể với hệ thống đã được CIDS bảo vệ Điều này bắt buộc các CIDS agent phải kết nối tới CIDS server để được xác thực, đảm bảo các thành viên là tin cậy trong toàn hệ thống

- An ninh và sự tin cậy: Giống như các hệ thống phân phối khác, bảo mật và tin cậy là một khía cạnh quan trọng đối với bất cứ CIDS nào Kể từ khi phát hiện chính xác tổng thể của CIDS phụ thuộc vào tính chính xác của thông tin cảnh

Trang 19

báo được cung cấp bởi mỗi Detection Unit tham gia, điều quan trọng để xác minh độ tin cậy của các cảnh báo

Có nhiều cách để phân loại CIDS Chúng ta chia các hệ thống phát hiện xâm nhập theo hai cách thức đối với CIDS liệt kê ở trên, tức là kiến trúc hệ thống, và mối tương quan cảnh báo Chúng ta sẽ tiến hành tìm hiểu và phân tích những điểm mạnh, điểm yếu của CIDS hiện có tương ứng với mỗi kiểu kiến trúc tổ chức

hệ thống

1.3.1 Xây dựng hệ thống theo phương pháp tiếp cận tập trung

Nơi tất cả các thông tin thu thập được từ mỗi khối thu thập thông tin (Detection Unit) Thực chất đây là các thiết bị đóng vai trong firewall, IPS, IDS hoặc các server ứng dụng có cài đặt thêm chức năng tổng hợp báo cáo Các thông tin thu thập được gửi về một trung tâm xử lý duy nhất, trung tâm này sẽ đảm nhận

xử lý tất cả các luồng dữ liệu Tổng hợp, đánh giá các thông tin mực thấp từ các Detection Unit gửi về để có các kết luận mức cao hơn cho toàn bộ hệ thống.1

Trong phương pháp này, IDS đóng vai trò như một đơn vị phát hiện trong CIDS, nơi mà nó tạo ra các cảnh báo tại chính vùng mạng bên trong mà IDS đó kiểm soát Sau đó các cảnh báo được báo cáo tới một máy chủ trung tâm làm việc như một đơn vị xử lý thông tin tập trung để phân tích

Trang 20

Hình 1.7 Phương pháp tiếp cận tập trung

1.3.2 Xây dựng hệ thống theo phương pháp tiếp cận phân cấp

Để giải quyết vấn đề khả năng mở rộng của phương pháp tập trung, một số mô hình về phân cấp đã được đưa ra Trong phương pháp này, toàn bộ CIDS chia thành các nhóm truyền thống nhỏ dựa trên các tình năng sau:

- Vị trí địa lý

- Phân phối quản trị

- Tập hợp các chương trình tương tự nhau

- Các kiểu cảnh báo xâm nhập

Trang 21

Mỗi nhóm truyền thông là một tập hợp con của cả hệ thống lớn Có một điểm phân tích trong mỗi vùng có trách nhiệm so sánh tất cả các dữ liệu thu thập được trong vùng này Phân tích nút này là nút quản lý của cả vùng, dữ liệu được xử lý của nó sẽ được gửi lên với một nút ở mức độ cao hơn trong mô hình phân cấp để tiếp tục xử lý 2

Hình 1.8 mô tả tổng quan về cách tiếp cận tương quan phân cấp cho một CIDS Hệ thống được chia thành ba nhóm thông tin liên lạc như mô tả trên Thông thường, IDS đảm nhiệm các vai trò ở mức độ thấp, nhất là các đơn vị phát hiện Cảnh báo của các thành phần này tiếp tục được gửi tới các thành phần

ở mức cao hơn xử lý IDS ở mức độ cao hơn được trạng bị cả đơn vị phát hiện và đơn vị thu thập Trong thành phần này các cảnh báo liên quan tới cả hai cấp độ trên chính local host và các thành phần cấp thấp hơn của nó

Hình 1.8 Phương pháp tiếp cận phân cấp

1.3.3 Xây dựng hệ thống theo phương pháp tiếp cận phân tán hoàn toàn

Nơi mà các thông tin từ các Detection Unit được chia sẽ và xử lý một cách hoàn toàn phân tán mà không có một điều phối viên tập trung 3

Một số mô hình kiến trúc hệ thống phát hiện xâm nhập hợp tác xây dự theo phương pháp phân tán hoàn toàn (Fully distributed approaches) đã được đề xuất

Trang 22

để giải quyết những vấn đề đang tồn tại khi triển khai hệ thống phát hiện xâm nhập hợp tác CIDS theo kiến trúc phân cấp Hình 1.9 mô tả một cái nhìn tổng quan về kiến trúc phân phồi hoàn toàn của một CIDS Trong hệ thống, mỗi IDS thành viên có hai chức năng đơn vị chính:

- Chức năng phát hiện có nhiệm vụ thu thập dữ liệu trên vùng mạng mà nó quản lý

- Chức năng đánh giá, tự xử lý dữ liệu khách quan trên chính bản thân nó mà không phụ thuộc vào thiết bị xử lý dữ liệu trung tâm (Trong phương pháp tiếp cậu tập trung) hoặc thiết bị xử lý dữ liệu ở mức cao hơn (Trong phương pháp tiếp cận phân cấp) Thiết bị đóng vai trò là một phần của cả hệ thống xử lý thông tin, đánh giá mức độ nguy hiểm trên toàn mạng

Hình 1.9 Phương pháp tiếp cận phân phối hoàn toàn

Trang 23

1.4 Cơ chế phát hiện xâm nhập

Hệ thống phát hiện xâm nhập hợp tác được triển khai với hai thành phần chính:

- Khối xử lý thông tin: Correlation Unit

- Khối phát hiện: Detection Unit

Các khối phát hiện bản chất là các thiết bị IDPS, firewall, IDS có chức năng bảo vệ các vùng mạng riêng biệt, phát hiện và ngăn chặn các truy cập trái phép từ internet vào hệ thống mạng nội bộ

Khối xử lý thông tin là một hệ thống có khả năng kết nối trực tiếp được với nhiều khối phát hiện Khối phát hiện thực hiện được điều này là do có một kết nối riêng giữa khối xử lý thông tin và các khối phát hiện được gọi là các sensor Nhiệm vụ của sensor là tạo kết nối giữa khối xử lý thông tin và khối phát hiện, đảm bảo trạng thái kết nối giữa hai thành phần trong hệ thống Lúc này hệ thống

sẽ được kết nối với nhau tạo nên một mạng lưới rộng khắp và liên kết với nhau qua khối xử lý thông tin trung tâm

Dựa vào kết nối giữa khối xử lý thông tin và khối phát hiện mà khối xử lý thông tin có thể quản lý được tất cả các khối phát hiện của mình, có thể gửi và nhận dữ liệu qua lại với nhau thông qua kết nối này

Nhưng vấn đề đặt ra là mỗi khối phát hiện lại sử dụng một công cụ bảo vệ khác nhau Ví dụ như: Ở khối phát hiện này sử dụng Snort để phát hiện và cảnh báo tấn công, ở Detection Unit này lại sử dụng Ntop để thống kê lưu lượng mạng,

ở khối phát hiện kia lại sử dụng firewall để ngăn chặn và kiểm soát truy câp,… Vậy việc đồng bộ và xử lý dữ liệu giữa khối xử lý thông tin và các khối phát hiện

sẽ diễn ra như thế nào khi mà có rất nhiều những công cụ bảo vệ khác nhau trên các khối phát hiện khác nhau

Trang 24

Vấn đề trên được khối xứ lý thông tin (Correlation Unit) giải quyết như sau: Ứng với mỗi khối phát hiện ( Detection Unit ) chạy các công cụ phát hiện xâm nhập nào thì trên khối cảm biến cũng chạy công cụ phát hiện xâm nhập tương tự như thế trong hệ thống, các công cụ như thế được gọi là các plugin Như vậy trên khối xử lý thông tin sẽ chạy nhiều các plugin khác nhau tương ứng với các công cụ an toàn thông tin trên khối phát hiện (Detection Unit) Tương ứng với mỗi plugin sẽ được định nghĩa bởi các ID riêng

Đối với hệ thống quản lý thông tin OSSIM các plugin được định nghĩa tương ứng như sau:

1110 Spp_unidecode Unicode decoder

Trang 25

2007 Nagios Nagios

Bảng 1.1 Các ID và Plugin tương ứng trong hệ thống OSSIM

Khi chương trình bắt đầu được khởi động, giữa CIDS server và CIDS Agent

sẽ định nghĩa ra một port dành riêng cho kết nồi của plugin từ CIDS server và CIDS Agent Port này thường năm trong giải 1024 – 49151, là giải port người dùng có thể định nghĩa và sử dụng cho các ứng dụng của mình. 4

Thông báo gửi về được xử lý theo thời gian thực

Hình 1.11 Quá trình gửi và liên kết dữ liệu từ khối Corelation Unit và khối

Detection Unit

Trang 26

1.4.1.1 Tổng hợp các nghiên cứu đạt được của hệ thống CIDS triển

khai trên thế giời 5

Bảng tóm tắt các nghiên cứu đạt đƣợc của hệ thống CIDS

Phân loại Mô hình Hệ thống mẫu Ƣu điểm Nhƣợc điểm

Kiến trúc

hệ thống

Tập trung (Hệ thống OSSIM đƣợc triển khai theo mô hình này)

DIDS DShield NSTAT

Hiệu quả với các

mô hình triển khai nhỏ

Khả năng mở rộng hạn chế, tập trung tất

cả vào một trung tâm xử

lý dữ liệu chính

Phân cấp

EMERALD DSOC

Li AAFID Servin and Kudenko NetSTAT

Hệ thống đƣợc bảo vệ rộng khắp, không tồn tại điểm nhạy cảm trong kiến trúc hệ thống

Hạn chế khả năng mở rộng, giảm năng lực phát hiện trong các cuộc tấn công tinh vi

Phân phối

Worminator DOMINO Dash et al

Indra MADIDF

Không tồn tại điểm nhạy cảm trong hệ thống, khả năng mở

Mất cân bằng tải trong các cuộc tấn công, không chắc chắn

Trang 27

Garcia et al. CSM

rộng cao trong các kết

quả phát hiện Các cảnh báo tương quan đơn giản

Cảnh báo

tương

quan

Dựa trên tính tương tự

Valdes and Skinner Debar and Wespi Cuppens

Spice Zhou et al

Seurat Julisch Error! Reference source

not found.

Dễ thực hiện Không thể

phát hiện các cuộc tấn công phức tạp, thay đổi liên tục kịch bản tấn công

Dựa vào các kịch bản tấn công có sẵn

Dain and CunninghamError! Reference

source not found.

LAMBDA STATL

Phát hiện được chính xác các cuộc tấn công, đánh giá được mức độ nguy hiểm của hệ thống

Không thể phát hiện các cuộc tấn công

âm thầm, dai dẳng Phải tự xây dựng các kịch bản tấn công sẵn trước cho hệ thống

Đa tầng Cuppens and MiegeError!

Reference source not found.

Có khả năng phát hiện các

Chi phí xây dựng cơ sở

Trang 28

CAML Qiu and Lee Almgren et al.

JIGSAW Ning et al

cuộc tấn công không rõ ràng

dữ liệu tấn công đầy đủ, chỉ áp dụng cho việc tấn công nhiều giai đoạn, đặt tiền đề cho các cảnh báo tiếp theo

Dựa vào kỹ thuật lọc

M-Correlator Gula

Kruegel and Robertson Vigilante

Shield

Không đòi hỏi

sự hiểu biết quá nhiều về phương pháp tấn công cũng như cách phòng chống

Thiếu tính tổng quát, không chắc chắn với các tương quan phức tạp

Bảo mật

dữ liệu

Lincoln et al

Xu and Ning Gross et al

Worminator

Khả năng đảm bảo tính riêng

tư, bí mật của các thành viên tham gia trong

hệ thống

Khả năng phát hiện xâm nhập bị hạn khi các thành viên hệ thống bị vô hiệu hóa Bảo mật

và đồng

bộ dữ liệu

Indra DOMINO Chen and Yeager

Khả năng xác thực nguồn gốc thông tin

Bảo vệ, ngăn chặn người dùng hợp

Trang 29

pháp phát tán

mã độc hại

Bảng 1.2 Tổng hợp các nghiên cứu trên thế giời

2.1 Các thành phần trong chương trình phát hiện xâm nhập hợp tác

OSSIM

Hệ thống quản lý bảo mật thông tin mã nguồn mở (Open Source Security Information Management) được viết tắt là OSSIM Đây là một hệ thống quản lý

an toàn thông tin dựa trên nền mã nguồn mở Hệ thống này là tập hợp nhiều công

cụ mã nguồn mở thực hiện những chức năng khác nhau cung cấp cái nhìn toàn diện và tổng thể đến từng đối tượng trên mạng 6Ngoài những công cụ mã nguồn

mở được sử dụng, OSSIM còn có cơ chế kết hợp đánh giá thông tin, cung cấp một giao diện trực quan để quản lý các sự cố, cho phép định nghĩa các đối tượng trên mạng như máy tính, các dịch vụ, địa chỉ mạng…

OSSIM là hệ một phần mềm mã nguồn mở, bản thân nó cũng tích hợp những công cụ mã nguồn mở để thực hiện những chức năng khác nhau Kiến trúc tích hợp các thành phần được thiết kế dễ hiểu, khả mở, có thể tùy biến để áp dụng cho những công cụ khác

Dưới đây là kiến trúc và mô tả hoạt động của hệ thống quản lý an toàn thông tin:

- Các máy trạm hoạt động và thu thập thông tin về các sự kiện, mỗi khi phát hiện ra một sự kiện có dấu hiệu bất thường hoặc có dấu hiệu như một sự tấn

Trang 30

công thì sinh ra một cảnh báo Cảnh báo được gửi đi theo một giao thức xác định trước, được hiểu bởi cả phía gửi và phía nhận

- Bộ phân tích nhận cảnh báo, thực hiện chuẩn hóa và lưu vào cơ sở dữ liệu các

- Bộ phận đánh giá rủi ro định kỳ sẽ tính toán lại mức độ rủi ro của các mối nguy và sắp xếp theo thứ tự

- Bảng điều khiển hiển thị những báo động mới nhất, cập nhật trạng thái của các mối nguy và so sánh với một giới hạn ngưỡng nào đó Khi mối nguy với quá giới hạn đó, bảng điều khiển có thể phát ra một báo động mới đến người quản trị hoặc thực hiện một tác vụ tương ứng nếu cần thiết

Trang 31

Từ bảng điều khiển, người quản trị có thể xem và liên kết toàn bộ các sự kiện xảy ra vào thời điểm nhận được cảnh báo Người quản trị cũng có thể kiểm tra trạng thái của các máy đang được sử dụng, các phiên giao tiếp mạng…

2.2 Kiến trúc hệ thống.

Thông tin có thể được thu thập từ nhiều nguồn được lưu trữ trong một cơ sở

dữ liệu tập trung (CSDL giám sát an toàn mạng) và sẽ được phân tích để đưa ra những thống kê và cảnh báo Khi cần, hệ thống có thể tương tác ngược lại các thiết bị mạng để thực hiện ngăn chặn các mối nguy hiểm7

Trang 32

- Thống kê: Hệ thống có thể cung cấp những số liệu thống kê chi tiết, đầy đủ và cập nhật theo thời gian thực về hoạt động mạng, khi cần có thể xuất ra thành dạng văn bản báo cáo

- Phát hiện dấu hiệu bất thường: hệ thống có khả năng phát hiện được những dấu hiệu bất thường xảy ra trên mạng, điều này được thực hiện bằng cách giám sát các luồng dữ liệu và nhận biết các dấu hiệu bất thường xảy ra

- Rà soát phát hiện yếu điểm trên diện rộng: hệ thống có khả năng thực hiện rà soát yếu điểm trên các hệ thống mạng khác một cách tự động

Việc sử dụng cấu trúc phân bố cho hệ thống này mang ý nghĩa rất quan trọng, quyết định đến khả năng hoạt động của hệ thống Chức năng chính của hệ thống

là theo dõi và rà soát mọi luồng lưu thông mạng đi qua nó Khi ta sử dụng hệ thống cho một mạng lớn, lưu lượng mạng thông qua đó cũng trở nên quá tải đối với khả năng xử lý của một hệ thống đơn lẻ Vì vậy ta cần sử dụng cấu trúc phân

bố để có thể phân tải xử lý cho nhiều hệ thống con nhằm tăng năng lực xử lý của toàn bộ hệ thống.8

2.3 Chi tiết các thành phần trong hệ thống OSSIM 9

2.3.1 Cơ sở dữ liệu

Hệ thống quản lý an toàn thông tin sẽ sử dụng một số cơ sở dữ liệu:

- Cơ sở dữ liệu cho Website: Cơ sở dữ liệu cho Website chứa những thông tin phục vụ cho hoạt động của Website Sau đây là một số bảng dữ liệu chính: Users: lưu trữ thông tin về người dùng, hệ thống sẽ kiểm tra tài khoản của người dùng từ bảng này mỗi khi người dùng đăng nhập vào hệ thống

Host: hệ thống lưu giữ thông tin về các host được giám sát trong mạng

Host_services: danh sách các service chạy trên các host

Trang 33

Host_vulnerability: lưu trữ các yếu điểm của host được phát hiện sau khi thực hiện quá trình rà soát yếu điểm

Host_mac: danh sách địa chỉ vật lý (địa chỉ MAC) của các thiết bị

Host_netbios: danh sách tên của các máy tính trong mạng

Host_os: danh sách hệ điều hành của các máy tính trong mạng

Net: danh sách các mạng máy tính được quản lý

Sensor: danh sách các máy trinh sát tham gia vào hệ thống quản lý an toàn thông tin

Policy: bảng thiết lập các chính sách cho các đối tượng trong mạng

Events: bảng danh sách ghi nhận các sự kiện

Config: lưu các thông tin về thiết lập cấu hình hệ thống

Incidents: thông tin về các sự cố an toàn mạng

Plugins: thông tin về các tiện ích dùng cho hệ thống, hệ thống có rất nhiều tiện ích cung cấp những dấu hiệu nhận dạng khác nhau

- Cơ sở dữ liệu hệ thống phát hiện xâm nhập: Bao gồm các bảng phục vụ cho hoạt động của thành phần phát hiện xâm nhập như:

Event: các sự kiện được phát hiện bởi Hệ thống phát hiện xâm nhập

Signature: lưu trữ các dấu hiệu nhận dạng luồng lưu thông mạng có khả năng gây ra mối nguy hiểm

Data: lưu trữ phần nội dung của gói dữ liệu, khi cần có thể đọc và phân tích ngược lại những gì xảy ra trên mạng

Ngoài ra còn có một số bảng khác lưu thông tin mô tả của một số loại gói tin phổ biến: icmphdr, iphdr, tcphdr, udphdr

- Cơ sở dữ liệu điều khiển truy nhập: Dùng cho mục đích phân quyền truy nhập vào các thành phần cho người sử dụng bao gồm các bảng chứa thông tin về

Trang 34

định nghĩa các nhóm người dùng, định nghĩa các đối tượng trên Website để phân quyền truy nhập đến các đối tượng cho từng nhóm người dùng

2.3.3 Bộ phận xử lý thông tin, đánh giá và đưa ra các cảnh báo

Bộ phận xử lý chính là thành phần xử lý chính của Hệ quản lý tập trung, bao gồm 4 chức năng chính:

a Đánh giá

Hình 2.3 Hệ quản lý tập trung OSSIM

Trang 35

Trong quá trình hệ thống hoạt động, có thể sẽ có rất nhiều sự kiện được ghi nhận Điều quan trọng là hệ thống phải có khả năng phân tích, đánh giá mức độ quan trọng và ưu tiên của mỗi sự kiện để phục vụ cho việc sắp xếp và phân loại

Sự đánh giá, phân loại mức độ ưu tiên phải cho biết những thông tin sau:

- Thành phần nào là quan trọng và cần bảo vệ? (đánh giá tài sản)

- Những địa chỉ nguồn nào là đáng lo ngại?

- Những địa chỉ đích nào là đáng lo ngại?

Mức độ ưu tiên của một sự kiện phụ thuộc vào kiến trúc mạng và phụ thuộc vào các đặc tính của hệ thống và được định nghĩa trong các Policy mà chúng ta có thể điều chỉnh được Chúng ta có thể xét ví dụ sau:

Nếu một hệ thống chạy hệ điều hành UNIX và đang sử dụng máy chủ web là Apache, trong khi đó ta nhận được một cảnh báo về dấu hiệu một cuộc tấn công vào Máy chủ web IIS (Microsoft), thì cảnh báo đó có mức ưu tiên không cao Nếu một người dùng tạo một kết nối đáng ngờ đến máy chủ, hệ thống cần phải:

- Đặt độ ưu tiên cao nhất nếu người dùng đó ở bên ngoài mạng nội bộ và tấn công vào cơ sở dữ liệu khách hàng

- Đặt độ ưu tiên thấp nếu người dùng đó ở trong mạng nội bộ và tấn công vào máy in mạng (không quan trọng bằng máy tính)

- Bỏ qua nếu người dùng đó đang kiểm tra một máy chủ thử nghiệm

- Chính vì vậy mức độ ưu tiên phụ thuộc vào ngữ cảnh của sự kiện, nói cách khác, mức độ quan trọng của cảnh báo có liên quan tới môi trường của tổ chức, được mô tả trong cơ sở tri thức về hệ thống mạng:

- Danh sách các máy tính và mạng (mã nhận dạng, hệ điều hành, các dịch vụ )

Trang 36

- Chính sách truy cập: Chính sách cho phép ta định nghĩa các đối tượng, nhóm đối tượng mà hệ thống sẽ quản lý Sau đó, những sự kiện có liên quan đến những đối tượng này sẽ được chú ý, đánh giá xử lý tùy theo mức độ ưu tiên của sự kiện và đối tượng Hệ thống cũng cho phép thiết lập để phát ra cảnh báo đến người quản trị mỗi khi có sự kiện nào đó xảy ra trên đối tượng

b Tổng hợp

Đây chính là tính năng nổi bật của hệ thống Giám sát an toàn thông tin theo cấu trúc phân bố Hệ thống này có khả năng kết hợp các thông tin để đưa ra quyết định:

- Nhận biết được sự liên quan của một cảnh báo với phiên bản của sản phẩm hoặc hệ điều hành có thể bị tấn công (Nếu một cuộc tấn công chỉ ảnh hưởng đến máy chủ web IIS-Windows, thì hệ thống sẽ bỏ qua những đối tượng sử dụng máy chủ web Apache-Linux)

- Nhận biết được sự liên quan giữa phần mềm phát hiện xâm nhập Snort và phần mềm rà soát điểm yếu Nessus (nếu hệ thống có khả năng bị tấn công vào một yếu điểm và Nessus phát hiện thấy hệ thống có yếu điểm đó thì cảnh báo

sẽ được gán mức ưu tiên cao)

- Cho phép định nghĩa sự liên quan giữa các sự kiện xảy ra dựa vào một số dấu hiệu:

 Các cảnh báo

 Các dấu hiệu bất thường

 Trạng thái của những hệ thống đang được giám sát

Để thực hiện được những chức năng trên, Hệ thống quản lý an toàn thông tin cũng đồng thời thực hiện những chức năng như:

- Lưu giữ thông tin về các hệ thống

Trang 37

- Lưu trữ thông tin cảnh báo về mối liên quan giữa phiên bản và các lỗ hổng

- Truy vấn và giám sát thời gian thực

c Quản lý

Hệ thống quản lý an toàn thông tin sẽ tự động lưu giữ những thông tin về các thành phần của mạng, các máy tính trong mạng:

- Hệ điều hành

- Địa chỉ vật lý của các thiết bị

- Tên máy tính, tên miền

- Các dịch vụ đang chạy trên hệ thống

- Tên sản phẩm và phiên bản của các dịch vụ

Những thông tin này sẽ được sử dụng để phát hiện và đưa ra cảnh báo mỗi khi

có sự thay đổi nào đó Những dữ liệu khác (luồng dữ liệu / các kết nối / thời gian) được lưu trong cơ sở dữ liệu giám sát việc sử dụng mạng

d Phân tán

Theo mô hình triển khai của hệ thống, Hệ quản lý tập trung có thể quản lý nhiều Máy trạm trinh sát Vì vậy, Hệ quản lý tập trung phải có chức năng quản lý

và phân công việc cho các Máy trinh sát Khi có yêu cầu quét một hệ thống nào

đó, Hệ quản lý tập trung sẽ chuyển yêu cầu đó xuống cho những Máy trạm trinh sát tương ứng với hệ thống muốn quét Các Máy trinh sát khác sẽ không phải thực hiện yêu cầu này

e Ghi nhật ký

Trong quá trình vận hành, Hệ quản lý tập trung có chức năng ghi nhật ký những sự kiện xảy ra trên hệ thống, những thao tác người dùng đã thực hiện

Trang 38

Chức năng này rất tiện khi hệ thống có nhiều người sử dụng và ta muốn xem ai đã

làm những gì trên hệ thống

Bảng 2.1 Nhật ký truy cập hệ thống OSSIM

2.3.4 Máy trạm trinh sát 10

Máy trạm trinh sát đóng vai trò là các Sensor đặt tại nhiều nơi để thu thập

thông tin Thông tin về các tiện ích được lưu trong bảng "plugin” của cơ sở dữ

liệu của hệ thống QLAT Internet, bao gồm các trường:

- Id: số hiệu của tiện ích

- Type: chỉ định loại tiện ích (1 là cảnh báo, 2 là giám sát, 3 là rà soát)

- Name: tên của tiện ích

- Description: mô tả về tiện ích

Trang 39

Mỗi tiện ích có thể tạo ra nhiều kiểu sự kiện khác nhau, thông tin này được lưu trong bảng “plugin_sid” của cơ sở dữ liệu của hệ thống QLAT Internet như sau:

- plugin_id: số hiệu của tiện ích sinh ra sự kiện

- sid: số hiệu của sự kiện

- reliability: mức độ tin cậy được gán cho sự kiện

- priority: mức độ ưu tiên được gán cho sự kiện

- Name: tên của sự kiện

Dưới đây là một số sự kiện của tiện ích Snort trong bộ tập hợp các tiện ích

Hình 2.5: Máy trạm trinh sát

Trang 40

Bảng 2.2: Plugin trong phần phát hiện xâm nhập Snort

- Một số tiện ích cảnh báo đƣợc sử dụng:

PLUGINS

1001 snort Detector (1) Snort Rules

1002 snort_tag Detector (1) Snort Tagging

1003 intrushield Detector (1) McAfee IntruShield

1100 spp_portscan Detector (1) Portscan1

1101 spp_minfrag Detector (1) Minfrag

1102 http_decode Detector (1) HTTP decode 1/2

1103 spp_defrag Detector (1) First defragmenter

1104 spp_anomsensor Detector (1) SPADE

1105 spp_bo Detector (1) Back Orifice

1106 spp_rpc_decode Detector (1) RPC Preprocessor

Ngày đăng: 25/07/2017, 21:37

TỪ KHÓA LIÊN QUAN

TRÍCH ĐOẠN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w