Cùng với tư tưởng tạo ra một hệ thống an ninh đảm bảo an toàn cao, triển khai trên quy mô rộng lớn, quản lý tập trung, hướng đến một hệ thống tự động phát hiện xâm nhập với quá trính tự
Trang 1MỤC LỤC
DANHMỤCCÁCKÝHIỆU,CHỮVIẾTTẮT -4-
DANHMỤCCÁCBẢNG -6-
DANHMỤCHÌNHVẼ -7-
LỜI MỞ ĐẦU - 9 -
CHƯƠNG I CƠ SỞ LÝ THUYẾT - 13 -
1.1 Mô hình hệ thống phát hiện xâm nhập hợp tác CIDS - 13 -
1.2 Kiến trúc hệ thống CIDS -15-
1.3 Phân loại các mô hính phát hiện xâm nhập hợp tác -17-
1.3.1 Xây dựng hệ thống theo phương pháp tiếp cận tập trung - 19 -
1.3.2 Xây dựng hệ thống theo phương pháp tiếp cận phân cấp - 20 -
1.3.3 Xây dựng hệ thống theo phương pháp tiếp cận phân tán hoàn toàn - 21 -
1.4 CƠ CHẾ PHÁT HIỆN XÂM NHẬP -23-
1.4.1.1 Tổng hợp các nghiên cứu đạt được của hệ thống CIDS triển khai trên thế giời -
26 - CHƯƠNG II TRIỂN KHAI HỆ THỐNG OSSIM ……… -29-
2.1 Các thành phần trong chương trình phát hiện xâm nhập hợp tác OSSIM -29-
2.2 Kiến trúc hệ thống - 31 -
2.3 Chi tiết các thành phần trong hệ thống OSSIM -32-
2.3.1 Cơ sở dữ liệu - 32 -
2.3.2 Hệ quản lý tập trung - 34 -
2.3.3 Bộ phận xử lý thông tin, đánh giá và đưa ra các cảnh báo - 34 -
2.3.4 Máy trạm trinh sát - 38 -
2.3.4.1 Tiện ích giám sát - 42 -
2.3.4.2 Tiện ích rà soát - 43 -
2.3.4.3 Quản lý tiện ích - 43 -
2.4 Hệ quản lý tập trung OSSIM -44-
CHƯƠNG III TRIỂN KHAI, KẾT QUẢ VÀ ĐÁNH GIÁ………- 51 -
3 Triển khai thử nghiệm trong mạng VietnamAirlines - 51 -
3.1 Mô hình triển khai và kết nối - 53 -
3.2 Kết nối với các modul bảo mật hiện có trong mạng - 54 -
Trang 23.2.1 Kết nối OSSIM với hệ thống Symantech-SEP - 54 -
3.2.1.1 Quy trính kết nối và các bước thực hiện - 54 -
3.2.1.2 Cấu hình triển khai - 55 -
3.2.2 Kết nối OSSIM với hệ thống Filewall Cisco ASA - 59 -
3.2.2.1 Quy trính kết nối và các bước thực hiện - 59 -
3.2.2.2 Cấu hình triển khai - 61 -
3.2.3 Kết nối plugin OSSEC trên webserver của VietNamairlines - 67 -
3.2.3.1 Quy trính kết nối và các bước thực hiện - 67 -
3.2.3.2 Cấu hình triển khai - 69 -
2.1 Kết quả triển khai - 74 -
2.2 Đánh giá các kết quả thu được qua quá trình triển khai hệ thống - 80 -
KẾT LUẬN……… - 81 -
TÀI LIỆU THAM KHẢO……… - 83 -
Trang 3LỜI CAM ĐOAN
Tôi xin cam đoan luận văn thạc sỹ kỹ thuật này là do tôi nghiên cứu và được thực hiện dưới sự hướng dẫn khoa học của PGS.TS Ngô Hồng Sơn Các kết quả
do tôi tự nghiên cứu và tham khảo từ các nguồn tài liệu cũng như các công trình nghiên cứu khoa học khác được trích dẫn đầy đủ Nếu có vấn đề về sai phạm bản quyền, tôi xin hoàn toàn chịu trách nhiệm trước nhà trường
Trang 4DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT
ACID Analysis Console for Intrusion Databases
ARP Address Resolution Protocol
CGI Scripts Common Gateway Interface Scripts
CIDS Collaborative Intrusion Detection System
DDOS Distributed Denial Of Service
DHCP Dynamic Host Configuration Protocol
DIDS Distributed Intrusion Detection System
DMZ Demilitarized Zone
DNS Domain Name System
DOS Denial Of Service
DRDoS Distributed Reflection Denial of Service
DSOC Distributed Security Operation Center
GD Global detectors
ICMP Internetwork Control Message Protocol
IDPS IPS + IDS
IDS Intrusion Detection System
IPS Intrusion Prevention System
LAN Local Area Network
LD Local detectors
MAC Medium Access Control
MADIDF Mobile Agents based Distributed Intrusion Detection Framework NIC Network Interface Card
NIDS Network Intrusion Detection System
OSSIM Open Source Security Information Management
P2P Peer – to – Peer
Trang 5PSKs Pre-shared keys
RARP Reverse Address Resolution Protocol
SMTP Simple Mail Transfer Protoco
SQL Structured Query Language
TCP/IP Transmission Control Protocol/Internet Protocol
UDP User Datagram Protocol
WAN Wide Area Network
Trang 6DANH MỤC CÁC BẢNG
Bảng 1.2 Tổng hợp các nghiên cứu trên thế giời ……… …………29
Bảng 2.1 Nhật ký truy cập hệ thống OSSIM ………39
Bảng 2.2: Plugin trong phần phát hiện xâm nhập Snort ………43
Bảng 2.3 Bảng mô tả các plugin báo cáo trong hệ thống OSSIM……… 45
Bảng 2.4 Bảng mô tả các plugin giám sát trong hệ thống OSSIM ………… 46
Bảng 2.5 Bảng mô tả các plugin rà soát trong hệ thống OSSI……….47
Trang 7DANH MỤC HÌNH VẼ
Hình 1.1 Mô hình hệ thống phát hiện xâm nhập hợp tác CIDS ………….…….10
Hình1.3 Firewall không bảo vệ được các tấn công không đi qua nó …………13
Hình 1.4 Mô hình hệ thống CIDS bảo vệ ……… 14
Hình1.5 Cơ chế cảnh báo tấn công và cảnh báo xâm nhập của hệ thống CIDS.15 Hình 1.6 CIDS thu thập thông tin mức thấp, xử lý và đưa ra các cảnh báo ở mức cao ……… ………17
Hình 1.7 Phương pháp tiếp cận tập trung ……… ……… 19
Hình 1.8 Phương pháp tiếp cận phân cấp……… …… ……….20
Hình 1.9 Phương pháp tiếp cận phân phối hoàn toàn ….……… … 21
Hình 1.10 Kiến trúc hệ thống CIDS ……… …… ……23
Hình 1.11 Quá trình gửi và liên kết dữ liệu từ khối Corelation Unit và khối Detection Unit … ………25
Hình 2.1 Sơ đồ hoạt động hệ thống OSSIM … …….……… 32
Hình 2.2: Mô hình hệ thống quản lý an toàn thông tin ……… …… 34
Hình 2.3 Hệ quản lý tập trung OSSIM ……… … 37
Hình 2.4 Giao diện tương tác hệ thống qua website ……… ….41
Hình 2.5: Máy trạm trinh sát ……… ……… 43
Hình 2.6: Thành phần quản lý các plugin trên giao diện web ……… 49
Hình 3.1 Mô hình kết nối mạng VietnamAirlines ……….……….… 55
Hình 3.2 Mô hình mạng VietnamAirlines triển khai OSSIM ……… ….56
Hình 3.3 Mô hình triển khai logic ……… … 57
Hình 3.3 Enable plugin Symantec-epm ……… ………59
Hình 3.3 Enable plugin Cisco-asa ……… ……….63
Hình 3.5 Tạo key xác thực plugin trên OSSIM agent ……… …….66
Hình 3.6 Kết nối plugin OSSEC tới OSSIM server……….66
Trang 8Hình 3.7 Kết nối OSSIM agent và OSSIM server ……….…………67
Hình 3.8 Quản lý OSSIM agent trên giao diện web ………… ………… ………67
Hình 3.9 Các cảnh báo theo thời gian thực ……… ……… ……… 68
Hình 3.10 Các cảnh báo được đánh giá mức độ nguy hiểm ……… ……69
Hình 3.10 Phân tích cảnh bào nhận được từ plugin cisco-asa ……… 70
Hình 3.11 Top 15 IP bị tấn công nhiều nhất trong mạng ……….……….….71
Hình 3.12 Top 15 IP tấn công mạng nhiều nhất ……… ………… ….72
Hình 3.13 Top 15 cảnh báo được hệ thống gửi đi nhiều nhất ……….73
Trang 9LỜI MỞ ĐẦU
Như chúng ta đã biết, ngày nay khi cuộc sống của con người ngày càng hiện đại, cùng với sự phát triển như vũ bão của công nghệ thông tin, mạng máy tính và internet giúp con người có cuộc sống tốt đẹp hơn, đáp ứng mọi nhu cầu của con người trong cuộc sống: Giải trí, gặp gỡ bạn bè, mua sắm, tìm kiếm thông tin, học tập, làm việc, kinh doanh, buôn bán, v.v song song với đó tiềm ẩn rất nhiều những nguy cơ luôn luôn rình rập người sử dụng như việc bị lợi dụng thông tin cá nhân, thông tin đăng nhập email, số thẻ tín dụng, các thông tin kinh doanh, buôn bán hoặc có thể là bản thiết kế hoặc một công trình nghiên cứu khoa học, v.v Nghiêm trọng hơn là các nguy cơ mất an toàn thông tin đối với các hệ thống lớn, các hệ thống cung cấp dịch vụ, các công ty có quy mô lớn trên khắp các vùng địa
lý khác nhau, những nơi mà tính sẵn sàng của hệ thống là yếu tố quyết định tới sự tồn tại của cả công ty thì yêu cầu về đảm bảo an toàn thông tin là vấn đề luôn được quan tâm, nghiên cứu Cùng với tư tưởng tạo ra một hệ thống an ninh đảm bảo an toàn cao, triển khai trên quy mô rộng lớn, quản lý tập trung, hướng đến một hệ thống tự động phát hiện xâm nhập với quá trính tự động tính toán và đưa
ra các cảnh báo xâm nhập thì hệ thống phát hiện xâm nhập hợp tác CIDS (Collaborative Intrusion Detection System) được nghiên cứu và phát triển
Hệ thống phát hiện xâm nhập hợp tác hoạt động trên nguyên tắc kết hợp các thiết bị an toàn thôn tin: Firewall, IDS, IPS trên các phân vùng mạng riêng lẻ thành một thể thống nhất, quản lý bởi một thiết bị tập trung, nhận dữ liệu từ nhiều nguồn khác nhau và xử lý tập trung để đưa ra các cảnh báo về sự an toàn thông tin trên toàn bộ hệ thống mạng Hệ thống CIDS đưa ra các cảnh báo từ sự tổng hợp thông tin nhận được từ nhiều nguồn khác nhau nên kết quả đánh giá sẽ có tính chất khách quan, phát hiện được các kiểu tấn công phức tạp, tinh vi với nhiều kịch bản tấn công khác nhau: Scan lén lút, tấn công từ chối dịch vụ, sự bùng phát
Trang 10và phá hoại của sâu mạng, mà có thể với một thiết bị an toàn thông tin đơn lẻ sẽ rất khó để phát hiện ra
Mô hình hệ thống phát hiện xâm nhập hợp tác là một mô hình triển khai an toàn thông tin có tính khả thi cao, đã được áp dụng trên nhiều sản phẩm từ mã nguồn mở như: Hệ thống quản lý bảo mật mã nguồn mở OSSIM, tới các sản phẩm thương mại nổi tiếng: Firewall Site Protecter của IBM, Symantec Endpoint của hãng bảo mật Symantec,… thực tế đã chứng minh được mô hình hoạt động của hệ thống an toàn thông tin kết hợp là rất hiệu quả, có tính khả thi cao
Với đặc thù công việc đang đảm nhận tại Tổng công ty Hàng Không Việt Nam (VNA) là triển khai, quản trị hệ thống, đảm bảo hệ thống hoạt động an toàn, phòng chống virus thì việc tích hợp triền khai hệ thống phát hiện, chống xâm nhập hợp tác CIDS cho các dịch vụ của đơn vị cung cấp là vô cùng cần thiết Hiện trạng hệ thống mạng LAN/WAN và kết nối Internet của VNA được đầu
tư khá hiện đại và bài bản Các phân vùng mạng được quy hoạch riêng tương ứng với từng chức năng, nhiệm vụ của các đối tượng sử dụng:
- Phân vùng mạng LAN/WAN: Dùng cho người dùng nội bộ công ty
- Phân vùng server: Dùng cho các server cung cấp dịch vụ, ừng dụng và web nội bộ
- Phân vùng DMZ: Chứa các server được public ra internet
- Đối với mỗi phân vùng mạng nêu trên đều có thiết bị firewall bảo vệ phía trước là firewall cisco asa 5590
- Trên các máy tính clinet và server còn được bổ sung chương trình diệt virus
và ngăn chặn xâm nhập trái phép Symantech endpoint protection (SEP) version 12.1
Trang 11Vấn đề đặt ra là chưa có một giải pháp tổng thể, mang tính chất tập trung, thu thập và đánh giá an toàn thông tin của toàn bộ hệ thống mạng mà chỉ mang tính chất nội bộ hệ thống mạng mà thiết bị đó quản lý Vì vậy em đã lựa chọn triển khai giải pháp hệ thống phát hiện xâm nhập hợp tác CIDS với sản phẩm mã nguồn mở OSSIM trên hệ thống mạng của VietnamAirlines để khắc phục các khuyết điểm trên
Trong phạm vi đồ án của mình và để không ảnh hưởng tới hệ thống mạng đang hoạt động của công ty em triển khai thử nghiệm với các hệ thống và dịch vụ sau:
- OSSIM server và firewall cisco asa
- OSSIM server và hệ thống symantech endpoint protection - SEP
- OSSIM server và máy chủ ứng dụng webserver có bổ sung thêm plugin OSSEC và snort để phát hiện và cảnh báo xâm nhập hệ thống
Sau quá trình triển khai thử nghiệm, theo dõi và tổng hợp các cảnh báo thu thập được từ OSSIM server em đã thu được các kết quả sau:
- Quản lý và theo dõi tập trung được các thiết bị chịu trách nhiệm đảm bảo an toàn thông tin của công ty: Firewall, IDS, IPS
- Đưa ra các cảnh báo về tình trạng an ninh của hệ thống mạng từ các nguồn thu thập thông tin khác nhau: firewall, symantec-epm, ossec, snort
- Đánh giá mức độ nguy hiểm của các cảnh báo đưa ra
- Mô hình hóa các nguy cơ mấy an toàn thông tin: Top 10 IP tấn công mạng nhiều nhất, Top 10 IP bị tấn công nhiều nhất, c ác giao thức bị tấn công nhiều nhất, hoặc các cảnh báo nguy hiểm cần lưu ý
Trang 12Cuối cùng em xin gửi lời cảm ơn chân thành tới ban giám hiệu, viện sau đại học, viện Kỹ Thuật Máy Tính và Truyền Thông, các Giảng viên trường Đại học Bách Khoa Hà Nội đã nhiệt tình truyền đạt những kiến thức quý báu cho em trong suốt quá trình học tập và hoàn thành Luận văn Thạc sĩ
Em xin gửi lời cảm ơn và lòng biết ơn chân thành tới PGS.TS Ngô Hồng Sơn
- Người đã trực tiếp chỉ bảo, hướng dẫn và giúp đỡ em trong suốt quá trình nghiên cứu và hoàn thành Luận văn Thạc sĩ
Cuối cùng, tôi xin chân thành cảm ơn tới các anh, các đồng nghiệp tại Phòng
Hạ tầng CNTT - Công ty Cổ phần tin học viễn thông Hàng Không đã giúp đỡ tôi trong suốt quá trình thực hiện đề tài
Xin chân thành cảm ơn!
Hà Nội, Ngày 11 tháng 9 năm 2015
Học viên
Đặng Hồng Cường
Trang 13Chương I CƠ SỞ LÝ THUYẾT 1.1 Mô hình hệ thống phát hiện xâm nhập hợp tác CIDS
Hiện nay các cuộc tấn công có sự chuẩn bị, tính toán, được đầu tư lớn về thời gian chuẩn bị, tiền bạc và kỹ thuật cao để có thể gây ra hậu quả lớn tới vấn
đề bảo mật trên Internet ngày càng tăng Những cuộc tấn công âm thần diện rộng gây rất nhiều khó khăn cho việc kiểm tra, thu thập các bằng chứng của việc tấn công bởi rất nhiều người quản lý các vùng mạng khác nhau, đồng thời các công
cụ tấn công cũng được lập trình tinh vi để xóa dấu vết, ngăn chặn các nhà quản trị mạng truy tìm ra nguồn gốc của thủ phạm tấn công, phương thức hoạt động và các server quản trị công cụ tấn công vào các hệ thống mạng Những giải pháp bảo
vệ mạng bên trong nhằm hạn chế tối đa thiệt hại có thể xảy ra như các thiết bị cảnh báo xâm nhập (IDS) hoặc các thiết bị bảo vệ, ngăn chặn tấn công (IPS/ Firewall), các thiết bị đó có thể là các thiết bị cứng, thiết bị mềm với các cơ chế bảo vệ và thông báo Khi mạng máy tính xuất hiện các dấu hiệu bị tấn công, chương trình sẽ gửi các thông tin nghi ngờ về cho người quản trị hệ thống biết Trong quy định các kiểu kiểm tra của mức độ phân chia vấn đề rộng lớn được tính toán để tấn công, chúng ta cần phải có khả năng phối hợp các bằng chứng của các dấu hiệu nghi ngờ trên mạng một cách linh hoạt từ nhiều nguồn khác nhau, về mặt địa lý chúng sẽ được phân phối qua các môi trường mạng khác nhau cùng một lúc Hơn nữa các thiết bị IDS sẽ làm việc độc lập, chúng ta cần kết hợp các thiết bị cảnh bảo xâm nhập từ nhiều nguồn thông tin khác nhau để có cái nhìn tổng quan nhất về tất cả các vấn đề đang diễn ra trên một mạng diện rộng và nguy
cơ mất an toàn thông tin có thể xẩy ra Một hệ thống như vậy phải kết nối và phân tích được các kết quả từ các IDS, Firewall từ nhiều vùng mạng khác nhau,
xử lý và đánh giá các thông tin nhận được một cách tổng hợp, có độ chính xác cao và từ nhiều nguồn khác nhau Hệ thống có thể xử lý, tổng hợp các kết quả
Trang 14đánh giá từ nhiều nguồn khác nhau, với các định dạng mẫu gửi về trung tâm xử lý khác nhau: Snort, OSSEC, Ntop, Iptable, Nagios, Cisco-Asa, Symantec-SEP…Hệ
thống như thế được gọi là hệ thống phát hiện xâm nhập hợp tác CIDS: Collaborative Intrusion Detection System Khi đó ta phân tích được các dấu
hiệu từ nhiều mạng khác nhau cùng một lúc Bên cạnh đó, sự phối hợp các kết quả từ nhiều mạng khác nhau, chúng ta có thể kiểm tra phối hợp các kiểu tấn công nhỏ ngay từ lúc ban đầu, nhờ đó chúng ta sẽ có được các kết quả rất ý nghĩa
từ sự kết hợp hoạt động trên Internet Như thế, cho dù việc tấn công bằng cách kết hợp nhiều kiểu tấn công khác nhau vẫn có thể dễ dàng được kiểm tra và phát hiện, ngăn chặn sớm các giai đoạn sau đó khi mà các thành phần của các traffic tấn công vào hệ thống có quy mô lớn hơn Cùng vơi việc tuân thủ các quy tắc làm việc an toàn sẽ làm giảm các nguy cơ mất an toàn trong hệ thống bởi các nguy cơ mất an toàn cho hệ thống đều được tính toán thiệt hại từ trước đó
Hình 1.1 Mô hình hệ thống phát hiện xâm nhập hợp tác CIDS
Trang 151.2 Kiến trúc hệ thống CIDS
Với Firewall đƣợc sử dụng với mục đích kiểm soát luồng thông tin vào ra giữa
mạng bên ngoài và mạng bên trong, kiểm soát các dịch vụ đƣợc phép hoạt động,
kiểm soát truy nhập Điều này đƣợc thực hiện do Firewall thực hiện việc lọc và
phân tích các gói tin TCP/IP đi vào và đi ra thông qua nó, thực hiện thanh tra
trạng thái, đóng hết tất cả các cổng dịch vụ không hoạt động Nhƣng nó chỉ hiệu
quả với các luồng thông tin đi qua nó, vậy những luồng thông tin không trực tiếp
đi qua nó mà vì một lý do nào đó, mối nguy hiển xuất phát từ chính trong nội bộ
mạng LAN bên trong, phát tán và phá hoại những thành viên trong mạng LAN thì
Firewall không thể ngăn chặn đƣợc, thậm chí với kiểu tấn công này chính firewall
cũng có thể bị đánh sập bởi sự tấn công ngƣợc lại từ chính mạng bên trong (Local
Actack)
Hình 1.2 Firewall bảo vệ mạng LAN bên trong, ngăn chặn kết nối trái phép
Trang 16Hình1.3 Firewall không bảo vệ được các tấn công không đi qua nó
Vì thế yêu cầu đặt ra là tạo ra một thiết bị cảnh báo tập trung, có khả năng quản lý rộng lớn, có khả năng đọc và xử lý nhiều các định dạng file log khác nhau
từ các thiết bị security gửi tới nó: Iptable, Snort, Ntop, Ossec, …, xử lý và tính toán các luồn dữ liệu nhận đƣợc, từ đó đƣa ra kết quả đánh giá và mức độ nguy hiển của cuộc tấn công tới các vùng mạng con để có biện pháp đối phó thích hợp
IDS
Firewall
IDPS CIDS
Hình 1.4 Mô hình hệ thống CIDS bảo vệ
Trang 17Firewall
IDPS CIDS
Actack Internet
(Gửi thông bào về CIDS)
(CIDS phat cảnh báo tấn công)
Hình1.5 Cơ chế cảnh báo tấn công và cảnh báo xâm nhập của hệ thống CIDS
1.3 Phân loại các mô hính phát hiện xâm nhập hợp tác
Mục tiêu chính của hệ thống CIDS là giảm bớt số lƣợng các thông báo không chính xác và những sự đánh giá không thích hợp đƣợc đƣa ra trong quá trình làm việc bởi các đánh giá của thiết bị IDS độc lập, hệ thống kết hợp tạo ra một cái nhìn tổng quan cho toàn bộ hệ thống mạng bởi hệ thống cảnh báo xâm nhập IDS CIDS bao gồm hai chức năng chính:
- Chức năng phát hiện
Gồm các sensor có chức năng kiểm tra, trong đó mỗi sensor có nhiệm vụ giám sát một mạng con của riêng mình hoặc các máy chủ chuyên biệt, sau đó đƣa ra các cảnh báo xâm nhập ở mức độ thấp
Trang 18- Chức năng kết hợp: Đây là chức năng xử lý tổng hợp các cảnh báo cấp độ thấp sang mức cảnh báo cao hơn của việc xác nhận các tấn công Điều này rất
có ý nghĩa với các kiểu tấn công tinh vi, tấn công với tần suất nhỏ trên quy mô rộng lớn
- Kiến trúc hệ thống: CIDS bản chất là một hệ thống phát hiện xâm nhập hợp tác Do đó, kiến trúc để xử lý các thông báo được gửi lên từ hệ thống phát hiện xâm nhập đơn lẻ được chia sẽ và xử lý thế nào cho hợp lý và hiệu quả
- Sự tương quan về độ chính xác của cảnh báo: Mục tiêu chính của một hệ thống CIDS là để phát hiện các cuộc tấn công quy mô lớn và giảm các cảnh báo không chính xác, đó là điều đạt được bởi sự tương quan về độ chính xác của các cảnh báo (nghĩa là, có sự tương quan giữa các đơn vị dữ liệu) Vậy làm thế nào các Sensor có sự tương quan với hệ thống CIDS trong việc xác định chính xác sự tấn công
- Bảo mật dữ liệu: Bảo mật dữ liệu là một vấn đề quan trọng trong thực tế nếu thông tin đang được chia sẽ giữa các thành viên trong hệ thống Nếu các biện pháp bảo mật thích hợp không được cung cấp bởi một CIDS server được tin tưởng thì các thành viên không được xác thực trên toàn bộ hệ thống, các thông tin gửi và nhận xuất phát từ thành viên không xác thực cũng sẽ không được tin tưởng, như thế việc chia sẽ dữ liệu sẽ là không thể với hệ thống đã được CIDS bảo vệ Điều này bắt buộc các CIDS agent phải kết nối tới CIDS server để được xác thực, đảm bảo các thành viên là tin cậy trong toàn hệ thống
- An ninh và sự tin cậy: Giống như các hệ thống phân phối khác, bảo mật và tin cậy là một khía cạnh quan trọng đối với bất cứ CIDS nào Kể từ khi phát hiện chính xác tổng thể của CIDS phụ thuộc vào tính chính xác của thông tin cảnh
Trang 19báo được cung cấp bởi mỗi Detection Unit tham gia, điều quan trọng để xác minh độ tin cậy của các cảnh báo
Có nhiều cách để phân loại CIDS Chúng ta chia các hệ thống phát hiện xâm nhập theo hai cách thức đối với CIDS liệt kê ở trên, tức là kiến trúc hệ thống, và mối tương quan cảnh báo Chúng ta sẽ tiến hành tìm hiểu và phân tích những điểm mạnh, điểm yếu của CIDS hiện có tương ứng với mỗi kiểu kiến trúc tổ chức
hệ thống
1.3.1 Xây dựng hệ thống theo phương pháp tiếp cận tập trung
Nơi tất cả các thông tin thu thập được từ mỗi khối thu thập thông tin (Detection Unit) Thực chất đây là các thiết bị đóng vai trong firewall, IPS, IDS hoặc các server ứng dụng có cài đặt thêm chức năng tổng hợp báo cáo Các thông tin thu thập được gửi về một trung tâm xử lý duy nhất, trung tâm này sẽ đảm nhận
xử lý tất cả các luồng dữ liệu Tổng hợp, đánh giá các thông tin mực thấp từ các Detection Unit gửi về để có các kết luận mức cao hơn cho toàn bộ hệ thống.1
Trong phương pháp này, IDS đóng vai trò như một đơn vị phát hiện trong CIDS, nơi mà nó tạo ra các cảnh báo tại chính vùng mạng bên trong mà IDS đó kiểm soát Sau đó các cảnh báo được báo cáo tới một máy chủ trung tâm làm việc như một đơn vị xử lý thông tin tập trung để phân tích
Trang 20Hình 1.7 Phương pháp tiếp cận tập trung
1.3.2 Xây dựng hệ thống theo phương pháp tiếp cận phân cấp
Để giải quyết vấn đề khả năng mở rộng của phương pháp tập trung, một số mô hình về phân cấp đã được đưa ra Trong phương pháp này, toàn bộ CIDS chia thành các nhóm truyền thống nhỏ dựa trên các tình năng sau:
- Vị trí địa lý
- Phân phối quản trị
- Tập hợp các chương trình tương tự nhau
- Các kiểu cảnh báo xâm nhập
Trang 21Mỗi nhóm truyền thông là một tập hợp con của cả hệ thống lớn Có một điểm phân tích trong mỗi vùng có trách nhiệm so sánh tất cả các dữ liệu thu thập được trong vùng này Phân tích nút này là nút quản lý của cả vùng, dữ liệu được xử lý của nó sẽ được gửi lên với một nút ở mức độ cao hơn trong mô hình phân cấp để tiếp tục xử lý 2
Hình 1.8 mô tả tổng quan về cách tiếp cận tương quan phân cấp cho một CIDS Hệ thống được chia thành ba nhóm thông tin liên lạc như mô tả trên Thông thường, IDS đảm nhiệm các vai trò ở mức độ thấp, nhất là các đơn vị phát hiện Cảnh báo của các thành phần này tiếp tục được gửi tới các thành phần
ở mức cao hơn xử lý IDS ở mức độ cao hơn được trạng bị cả đơn vị phát hiện và đơn vị thu thập Trong thành phần này các cảnh báo liên quan tới cả hai cấp độ trên chính local host và các thành phần cấp thấp hơn của nó
Hình 1.8 Phương pháp tiếp cận phân cấp
1.3.3 Xây dựng hệ thống theo phương pháp tiếp cận phân tán hoàn toàn
Nơi mà các thông tin từ các Detection Unit được chia sẽ và xử lý một cách hoàn toàn phân tán mà không có một điều phối viên tập trung 3
Một số mô hình kiến trúc hệ thống phát hiện xâm nhập hợp tác xây dự theo phương pháp phân tán hoàn toàn (Fully distributed approaches) đã được đề xuất
Trang 22để giải quyết những vấn đề đang tồn tại khi triển khai hệ thống phát hiện xâm nhập hợp tác CIDS theo kiến trúc phân cấp Hình 1.9 mô tả một cái nhìn tổng quan về kiến trúc phân phồi hoàn toàn của một CIDS Trong hệ thống, mỗi IDS thành viên có hai chức năng đơn vị chính:
- Chức năng phát hiện có nhiệm vụ thu thập dữ liệu trên vùng mạng mà nó quản lý
- Chức năng đánh giá, tự xử lý dữ liệu khách quan trên chính bản thân nó mà không phụ thuộc vào thiết bị xử lý dữ liệu trung tâm (Trong phương pháp tiếp cậu tập trung) hoặc thiết bị xử lý dữ liệu ở mức cao hơn (Trong phương pháp tiếp cận phân cấp) Thiết bị đóng vai trò là một phần của cả hệ thống xử lý thông tin, đánh giá mức độ nguy hiểm trên toàn mạng
Hình 1.9 Phương pháp tiếp cận phân phối hoàn toàn
Trang 231.4 Cơ chế phát hiện xâm nhập
Hệ thống phát hiện xâm nhập hợp tác được triển khai với hai thành phần chính:
- Khối xử lý thông tin: Correlation Unit
- Khối phát hiện: Detection Unit
Các khối phát hiện bản chất là các thiết bị IDPS, firewall, IDS có chức năng bảo vệ các vùng mạng riêng biệt, phát hiện và ngăn chặn các truy cập trái phép từ internet vào hệ thống mạng nội bộ
Khối xử lý thông tin là một hệ thống có khả năng kết nối trực tiếp được với nhiều khối phát hiện Khối phát hiện thực hiện được điều này là do có một kết nối riêng giữa khối xử lý thông tin và các khối phát hiện được gọi là các sensor Nhiệm vụ của sensor là tạo kết nối giữa khối xử lý thông tin và khối phát hiện, đảm bảo trạng thái kết nối giữa hai thành phần trong hệ thống Lúc này hệ thống
sẽ được kết nối với nhau tạo nên một mạng lưới rộng khắp và liên kết với nhau qua khối xử lý thông tin trung tâm
Dựa vào kết nối giữa khối xử lý thông tin và khối phát hiện mà khối xử lý thông tin có thể quản lý được tất cả các khối phát hiện của mình, có thể gửi và nhận dữ liệu qua lại với nhau thông qua kết nối này
Nhưng vấn đề đặt ra là mỗi khối phát hiện lại sử dụng một công cụ bảo vệ khác nhau Ví dụ như: Ở khối phát hiện này sử dụng Snort để phát hiện và cảnh báo tấn công, ở Detection Unit này lại sử dụng Ntop để thống kê lưu lượng mạng,
ở khối phát hiện kia lại sử dụng firewall để ngăn chặn và kiểm soát truy câp,… Vậy việc đồng bộ và xử lý dữ liệu giữa khối xử lý thông tin và các khối phát hiện
sẽ diễn ra như thế nào khi mà có rất nhiều những công cụ bảo vệ khác nhau trên các khối phát hiện khác nhau
Trang 24Vấn đề trên được khối xứ lý thông tin (Correlation Unit) giải quyết như sau: Ứng với mỗi khối phát hiện ( Detection Unit ) chạy các công cụ phát hiện xâm nhập nào thì trên khối cảm biến cũng chạy công cụ phát hiện xâm nhập tương tự như thế trong hệ thống, các công cụ như thế được gọi là các plugin Như vậy trên khối xử lý thông tin sẽ chạy nhiều các plugin khác nhau tương ứng với các công cụ an toàn thông tin trên khối phát hiện (Detection Unit) Tương ứng với mỗi plugin sẽ được định nghĩa bởi các ID riêng
Đối với hệ thống quản lý thông tin OSSIM các plugin được định nghĩa tương ứng như sau:
1110 Spp_unidecode Unicode decoder
Trang 252007 Nagios Nagios
Bảng 1.1 Các ID và Plugin tương ứng trong hệ thống OSSIM
Khi chương trình bắt đầu được khởi động, giữa CIDS server và CIDS Agent
sẽ định nghĩa ra một port dành riêng cho kết nồi của plugin từ CIDS server và CIDS Agent Port này thường năm trong giải 1024 – 49151, là giải port người dùng có thể định nghĩa và sử dụng cho các ứng dụng của mình. 4
lý
Thông báo gửi về được xử lý theo thời gian thực
Hình 1.11 Quá trình gửi và liên kết dữ liệu từ khối Corelation Unit và khối
Detection Unit
Trang 261.4.1.1 Tổng hợp các nghiên cứu đạt được của hệ thống CIDS triển
khai trên thế giời 5
Bảng tóm tắt các nghiên cứu đạt đƣợc của hệ thống CIDS
Phân loại Mô hình Hệ thống mẫu Ƣu điểm Nhƣợc điểm
Kiến trúc
hệ thống
Tập trung (Hệ thống OSSIM đƣợc triển khai theo mô hình này)
DIDS DShield NSTAT
Hiệu quả với các
mô hình triển khai nhỏ
Khả năng mở rộng hạn chế, tập trung tất
cả vào một trung tâm xử
lý dữ liệu chính
Phân cấp
EMERALD DSOC
Li AAFID Servin and Kudenko NetSTAT
Hệ thống đƣợc bảo vệ rộng khắp, không tồn tại điểm nhạy cảm trong kiến trúc hệ thống
Hạn chế khả năng mở rộng, giảm năng lực phát hiện trong các cuộc tấn công tinh vi
Phân phối
Worminator DOMINO Dash et al
Indra MADIDF
Không tồn tại điểm nhạy cảm trong hệ thống, khả năng mở
Mất cân bằng tải trong các cuộc tấn công, không chắc chắn
Trang 27Garcia et al. CSM
rộng cao trong các kết
quả phát hiện Các cảnh báo tương quan đơn giản
Cảnh báo
tương
quan
Dựa trên tính tương tự
Valdes and Skinner Debar and Wespi Cuppens
Spice Zhou et al
Seurat Julisch Error! Reference source
not found.
Dễ thực hiện Không thể
phát hiện các cuộc tấn công phức tạp, thay đổi liên tục kịch bản tấn công
Dựa vào các kịch bản tấn công có sẵn
Dain and CunninghamError! Reference
source not found.
LAMBDA STATL
Phát hiện được chính xác các cuộc tấn công, đánh giá được mức độ nguy hiểm của hệ thống
Không thể phát hiện các cuộc tấn công
âm thầm, dai dẳng Phải tự xây dựng các kịch bản tấn công sẵn trước cho hệ thống
Đa tầng Cuppens and MiegeError!
Reference source not found.
Có khả năng phát hiện các
Chi phí xây dựng cơ sở
Trang 28CAML Qiu and Lee Almgren et al.
JIGSAW Ning et al
cuộc tấn công không rõ ràng
dữ liệu tấn công đầy đủ, chỉ áp dụng cho việc tấn công nhiều giai đoạn, đặt tiền đề cho các cảnh báo tiếp theo
Dựa vào kỹ thuật lọc
M-Correlator Gula
Kruegel and Robertson Vigilante
Shield
Không đòi hỏi
sự hiểu biết quá nhiều về phương pháp tấn công cũng như cách phòng chống
Thiếu tính tổng quát, không chắc chắn với các tương quan phức tạp
Bảo mật
dữ liệu
Lincoln et al
Xu and Ning Gross et al
Worminator
Khả năng đảm bảo tính riêng
tư, bí mật của các thành viên tham gia trong
hệ thống
Khả năng phát hiện xâm nhập bị hạn khi các thành viên hệ thống bị vô hiệu hóa Bảo mật
và đồng
bộ dữ liệu
Indra DOMINO Chen and Yeager
Khả năng xác thực nguồn gốc thông tin
Bảo vệ, ngăn chặn người dùng hợp
Trang 29pháp phát tán
mã độc hại
Bảng 1.2 Tổng hợp các nghiên cứu trên thế giời
2.1 Các thành phần trong chương trình phát hiện xâm nhập hợp tác
OSSIM
Hệ thống quản lý bảo mật thông tin mã nguồn mở (Open Source Security Information Management) được viết tắt là OSSIM Đây là một hệ thống quản lý
an toàn thông tin dựa trên nền mã nguồn mở Hệ thống này là tập hợp nhiều công
cụ mã nguồn mở thực hiện những chức năng khác nhau cung cấp cái nhìn toàn diện và tổng thể đến từng đối tượng trên mạng 6Ngoài những công cụ mã nguồn
mở được sử dụng, OSSIM còn có cơ chế kết hợp đánh giá thông tin, cung cấp một giao diện trực quan để quản lý các sự cố, cho phép định nghĩa các đối tượng trên mạng như máy tính, các dịch vụ, địa chỉ mạng…
OSSIM là hệ một phần mềm mã nguồn mở, bản thân nó cũng tích hợp những công cụ mã nguồn mở để thực hiện những chức năng khác nhau Kiến trúc tích hợp các thành phần được thiết kế dễ hiểu, khả mở, có thể tùy biến để áp dụng cho những công cụ khác
Dưới đây là kiến trúc và mô tả hoạt động của hệ thống quản lý an toàn thông tin:
- Các máy trạm hoạt động và thu thập thông tin về các sự kiện, mỗi khi phát hiện ra một sự kiện có dấu hiệu bất thường hoặc có dấu hiệu như một sự tấn
Trang 30công thì sinh ra một cảnh báo Cảnh báo được gửi đi theo một giao thức xác định trước, được hiểu bởi cả phía gửi và phía nhận
- Bộ phân tích nhận cảnh báo, thực hiện chuẩn hóa và lưu vào cơ sở dữ liệu các
- Bộ phận đánh giá rủi ro định kỳ sẽ tính toán lại mức độ rủi ro của các mối nguy và sắp xếp theo thứ tự
- Bảng điều khiển hiển thị những báo động mới nhất, cập nhật trạng thái của các mối nguy và so sánh với một giới hạn ngưỡng nào đó Khi mối nguy với quá giới hạn đó, bảng điều khiển có thể phát ra một báo động mới đến người quản trị hoặc thực hiện một tác vụ tương ứng nếu cần thiết
Trang 31Từ bảng điều khiển, người quản trị có thể xem và liên kết toàn bộ các sự kiện xảy ra vào thời điểm nhận được cảnh báo Người quản trị cũng có thể kiểm tra trạng thái của các máy đang được sử dụng, các phiên giao tiếp mạng…
2.2 Kiến trúc hệ thống.
Thông tin có thể được thu thập từ nhiều nguồn được lưu trữ trong một cơ sở
dữ liệu tập trung (CSDL giám sát an toàn mạng) và sẽ được phân tích để đưa ra những thống kê và cảnh báo Khi cần, hệ thống có thể tương tác ngược lại các thiết bị mạng để thực hiện ngăn chặn các mối nguy hiểm7
Trang 32- Thống kê: Hệ thống có thể cung cấp những số liệu thống kê chi tiết, đầy đủ và cập nhật theo thời gian thực về hoạt động mạng, khi cần có thể xuất ra thành dạng văn bản báo cáo
- Phát hiện dấu hiệu bất thường: hệ thống có khả năng phát hiện được những dấu hiệu bất thường xảy ra trên mạng, điều này được thực hiện bằng cách giám sát các luồng dữ liệu và nhận biết các dấu hiệu bất thường xảy ra
- Rà soát phát hiện yếu điểm trên diện rộng: hệ thống có khả năng thực hiện rà soát yếu điểm trên các hệ thống mạng khác một cách tự động
Việc sử dụng cấu trúc phân bố cho hệ thống này mang ý nghĩa rất quan trọng, quyết định đến khả năng hoạt động của hệ thống Chức năng chính của hệ thống
là theo dõi và rà soát mọi luồng lưu thông mạng đi qua nó Khi ta sử dụng hệ thống cho một mạng lớn, lưu lượng mạng thông qua đó cũng trở nên quá tải đối với khả năng xử lý của một hệ thống đơn lẻ Vì vậy ta cần sử dụng cấu trúc phân
bố để có thể phân tải xử lý cho nhiều hệ thống con nhằm tăng năng lực xử lý của toàn bộ hệ thống.8
2.3 Chi tiết các thành phần trong hệ thống OSSIM 9
2.3.1 Cơ sở dữ liệu
Hệ thống quản lý an toàn thông tin sẽ sử dụng một số cơ sở dữ liệu:
- Cơ sở dữ liệu cho Website: Cơ sở dữ liệu cho Website chứa những thông tin phục vụ cho hoạt động của Website Sau đây là một số bảng dữ liệu chính: Users: lưu trữ thông tin về người dùng, hệ thống sẽ kiểm tra tài khoản của người dùng từ bảng này mỗi khi người dùng đăng nhập vào hệ thống
Host: hệ thống lưu giữ thông tin về các host được giám sát trong mạng
Host_services: danh sách các service chạy trên các host
Trang 33Host_vulnerability: lưu trữ các yếu điểm của host được phát hiện sau khi thực hiện quá trình rà soát yếu điểm
Host_mac: danh sách địa chỉ vật lý (địa chỉ MAC) của các thiết bị
Host_netbios: danh sách tên của các máy tính trong mạng
Host_os: danh sách hệ điều hành của các máy tính trong mạng
Net: danh sách các mạng máy tính được quản lý
Sensor: danh sách các máy trinh sát tham gia vào hệ thống quản lý an toàn thông tin
Policy: bảng thiết lập các chính sách cho các đối tượng trong mạng
Events: bảng danh sách ghi nhận các sự kiện
Config: lưu các thông tin về thiết lập cấu hình hệ thống
Incidents: thông tin về các sự cố an toàn mạng
Plugins: thông tin về các tiện ích dùng cho hệ thống, hệ thống có rất nhiều tiện ích cung cấp những dấu hiệu nhận dạng khác nhau
- Cơ sở dữ liệu hệ thống phát hiện xâm nhập: Bao gồm các bảng phục vụ cho hoạt động của thành phần phát hiện xâm nhập như:
Event: các sự kiện được phát hiện bởi Hệ thống phát hiện xâm nhập
Signature: lưu trữ các dấu hiệu nhận dạng luồng lưu thông mạng có khả năng gây ra mối nguy hiểm
Data: lưu trữ phần nội dung của gói dữ liệu, khi cần có thể đọc và phân tích ngược lại những gì xảy ra trên mạng
Ngoài ra còn có một số bảng khác lưu thông tin mô tả của một số loại gói tin phổ biến: icmphdr, iphdr, tcphdr, udphdr
- Cơ sở dữ liệu điều khiển truy nhập: Dùng cho mục đích phân quyền truy nhập vào các thành phần cho người sử dụng bao gồm các bảng chứa thông tin về
Trang 34định nghĩa các nhóm người dùng, định nghĩa các đối tượng trên Website để phân quyền truy nhập đến các đối tượng cho từng nhóm người dùng
2.3.3 Bộ phận xử lý thông tin, đánh giá và đưa ra các cảnh báo
Bộ phận xử lý chính là thành phần xử lý chính của Hệ quản lý tập trung, bao gồm 4 chức năng chính:
a Đánh giá
Hình 2.3 Hệ quản lý tập trung OSSIM
Trang 35Trong quá trình hệ thống hoạt động, có thể sẽ có rất nhiều sự kiện được ghi nhận Điều quan trọng là hệ thống phải có khả năng phân tích, đánh giá mức độ quan trọng và ưu tiên của mỗi sự kiện để phục vụ cho việc sắp xếp và phân loại
Sự đánh giá, phân loại mức độ ưu tiên phải cho biết những thông tin sau:
- Thành phần nào là quan trọng và cần bảo vệ? (đánh giá tài sản)
- Những địa chỉ nguồn nào là đáng lo ngại?
- Những địa chỉ đích nào là đáng lo ngại?
Mức độ ưu tiên của một sự kiện phụ thuộc vào kiến trúc mạng và phụ thuộc vào các đặc tính của hệ thống và được định nghĩa trong các Policy mà chúng ta có thể điều chỉnh được Chúng ta có thể xét ví dụ sau:
Nếu một hệ thống chạy hệ điều hành UNIX và đang sử dụng máy chủ web là Apache, trong khi đó ta nhận được một cảnh báo về dấu hiệu một cuộc tấn công vào Máy chủ web IIS (Microsoft), thì cảnh báo đó có mức ưu tiên không cao Nếu một người dùng tạo một kết nối đáng ngờ đến máy chủ, hệ thống cần phải:
- Đặt độ ưu tiên cao nhất nếu người dùng đó ở bên ngoài mạng nội bộ và tấn công vào cơ sở dữ liệu khách hàng
- Đặt độ ưu tiên thấp nếu người dùng đó ở trong mạng nội bộ và tấn công vào máy in mạng (không quan trọng bằng máy tính)
- Bỏ qua nếu người dùng đó đang kiểm tra một máy chủ thử nghiệm
- Chính vì vậy mức độ ưu tiên phụ thuộc vào ngữ cảnh của sự kiện, nói cách khác, mức độ quan trọng của cảnh báo có liên quan tới môi trường của tổ chức, được mô tả trong cơ sở tri thức về hệ thống mạng:
- Danh sách các máy tính và mạng (mã nhận dạng, hệ điều hành, các dịch vụ )
Trang 36- Chính sách truy cập: Chính sách cho phép ta định nghĩa các đối tượng, nhóm đối tượng mà hệ thống sẽ quản lý Sau đó, những sự kiện có liên quan đến những đối tượng này sẽ được chú ý, đánh giá xử lý tùy theo mức độ ưu tiên của sự kiện và đối tượng Hệ thống cũng cho phép thiết lập để phát ra cảnh báo đến người quản trị mỗi khi có sự kiện nào đó xảy ra trên đối tượng
b Tổng hợp
Đây chính là tính năng nổi bật của hệ thống Giám sát an toàn thông tin theo cấu trúc phân bố Hệ thống này có khả năng kết hợp các thông tin để đưa ra quyết định:
- Nhận biết được sự liên quan của một cảnh báo với phiên bản của sản phẩm hoặc hệ điều hành có thể bị tấn công (Nếu một cuộc tấn công chỉ ảnh hưởng đến máy chủ web IIS-Windows, thì hệ thống sẽ bỏ qua những đối tượng sử dụng máy chủ web Apache-Linux)
- Nhận biết được sự liên quan giữa phần mềm phát hiện xâm nhập Snort và phần mềm rà soát điểm yếu Nessus (nếu hệ thống có khả năng bị tấn công vào một yếu điểm và Nessus phát hiện thấy hệ thống có yếu điểm đó thì cảnh báo
sẽ được gán mức ưu tiên cao)
- Cho phép định nghĩa sự liên quan giữa các sự kiện xảy ra dựa vào một số dấu hiệu:
Các cảnh báo
Các dấu hiệu bất thường
Trạng thái của những hệ thống đang được giám sát
Để thực hiện được những chức năng trên, Hệ thống quản lý an toàn thông tin cũng đồng thời thực hiện những chức năng như:
- Lưu giữ thông tin về các hệ thống
Trang 37- Lưu trữ thông tin cảnh báo về mối liên quan giữa phiên bản và các lỗ hổng
- Truy vấn và giám sát thời gian thực
c Quản lý
Hệ thống quản lý an toàn thông tin sẽ tự động lưu giữ những thông tin về các thành phần của mạng, các máy tính trong mạng:
- Hệ điều hành
- Địa chỉ vật lý của các thiết bị
- Tên máy tính, tên miền
- Các dịch vụ đang chạy trên hệ thống
- Tên sản phẩm và phiên bản của các dịch vụ
Những thông tin này sẽ được sử dụng để phát hiện và đưa ra cảnh báo mỗi khi
có sự thay đổi nào đó Những dữ liệu khác (luồng dữ liệu / các kết nối / thời gian) được lưu trong cơ sở dữ liệu giám sát việc sử dụng mạng
d Phân tán
Theo mô hình triển khai của hệ thống, Hệ quản lý tập trung có thể quản lý nhiều Máy trạm trinh sát Vì vậy, Hệ quản lý tập trung phải có chức năng quản lý
và phân công việc cho các Máy trinh sát Khi có yêu cầu quét một hệ thống nào
đó, Hệ quản lý tập trung sẽ chuyển yêu cầu đó xuống cho những Máy trạm trinh sát tương ứng với hệ thống muốn quét Các Máy trinh sát khác sẽ không phải thực hiện yêu cầu này
e Ghi nhật ký
Trong quá trình vận hành, Hệ quản lý tập trung có chức năng ghi nhật ký những sự kiện xảy ra trên hệ thống, những thao tác người dùng đã thực hiện
Trang 38Chức năng này rất tiện khi hệ thống có nhiều người sử dụng và ta muốn xem ai đã
làm những gì trên hệ thống
Bảng 2.1 Nhật ký truy cập hệ thống OSSIM
2.3.4 Máy trạm trinh sát 10
Máy trạm trinh sát đóng vai trò là các Sensor đặt tại nhiều nơi để thu thập
thông tin Thông tin về các tiện ích được lưu trong bảng "plugin” của cơ sở dữ
liệu của hệ thống QLAT Internet, bao gồm các trường:
- Id: số hiệu của tiện ích
- Type: chỉ định loại tiện ích (1 là cảnh báo, 2 là giám sát, 3 là rà soát)
- Name: tên của tiện ích
- Description: mô tả về tiện ích
Trang 39Mỗi tiện ích có thể tạo ra nhiều kiểu sự kiện khác nhau, thông tin này được lưu trong bảng “plugin_sid” của cơ sở dữ liệu của hệ thống QLAT Internet như sau:
- plugin_id: số hiệu của tiện ích sinh ra sự kiện
- sid: số hiệu của sự kiện
- reliability: mức độ tin cậy được gán cho sự kiện
- priority: mức độ ưu tiên được gán cho sự kiện
- Name: tên của sự kiện
Dưới đây là một số sự kiện của tiện ích Snort trong bộ tập hợp các tiện ích
Hình 2.5: Máy trạm trinh sát
Trang 40Bảng 2.2: Plugin trong phần phát hiện xâm nhập Snort
- Một số tiện ích cảnh báo đƣợc sử dụng:
PLUGINS
1001 snort Detector (1) Snort Rules
1002 snort_tag Detector (1) Snort Tagging
1003 intrushield Detector (1) McAfee IntruShield
1100 spp_portscan Detector (1) Portscan1
1101 spp_minfrag Detector (1) Minfrag
1102 http_decode Detector (1) HTTP decode 1/2
1103 spp_defrag Detector (1) First defragmenter
1104 spp_anomsensor Detector (1) SPADE
1105 spp_bo Detector (1) Back Orifice
1106 spp_rpc_decode Detector (1) RPC Preprocessor