Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng MỤC LỤC DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT - DANH MỤC CÁC BẢNG - DANH MỤC HÌNH VẼ - LỜI MỞ ĐẦU - CHƢƠNG I CƠ SỞ LÝ THUYẾT - 13 1.1 Mô hình hệ thống phát xâm nhập hợp tác CIDS - 13 1.2 Kiến trúc hệ thống CIDS - 15 1.3 Phân loại mô hính phát xâm nhập hợp tác - 17 1.3.1 Xây dựng hệ thống theo phƣơng pháp tiếp cận tập trung - 19 1.3.2 Xây dựng hệ thống theo phƣơng pháp tiếp cận phân cấp - 20 1.3.3 Xây dựng hệ thống theo phƣơng pháp tiếp cận phân tán hoàn toàn - 21 1.4 CƠ CHẾ PHÁT HIỆN XÂM NHẬP - 23 1.4.1.1 Tổng hợp nghiên cứu đạt đƣợc hệ thống CIDS triển khai giời 26 CHƢƠNG II TRIỂN KHAI HỆ THỐNG OSSIM ………………………………… -292.1 Các thành phần chƣơng trình phát xâm nhập hợp tác OSSIM - 29 2.2 Kiến trúc hệ thống - 31 2.3 Chi tiết thành phần hệ thống OSSIM - 32 2.3.1 Cơ sở liệu - 32 2.3.2 Hệ quản lý tập trung - 34 2.3.3 Bộ phận xử lý thông tin, đánh giá đƣa cảnh báo - 34 2.3.4 Máy trạm trinh sát - 38 2.3.4.1 Tiện ích giám sát - 42 2.3.4.2 Tiện ích rà soát - 43 2.3.4.3 Quản lý tiện ích - 43 2.4 Hệ quản lý tập trung OSSIM - 44 CHƢƠNG III TRIỂN KHAI, KẾT QUẢ VÀ ĐÁNH GIÁ………………………- 51 Triển khai thử nghiệm mạng VietnamAirlines - 51 3.1 Mô hình triển khai kết nối - 53 3.2 Kết nối với modul bảo mật có mạng - 54 - -1- Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng 3.2.1 Kết nối OSSIM với hệ thống Symantech-SEP - 54 3.2.1.1 Quy trính kết nối bƣớc thực - 54 3.2.1.2 Cấu hình triển khai - 55 3.2.2 Kết nối OSSIM với hệ thống Filewall Cisco ASA - 59 3.2.2.1 Quy trính kết nối bƣớc thực - 59 3.2.2.2 Cấu hình triển khai - 61 3.2.3 Kết nối plugin OSSEC webserver VietNamairlines - 67 3.2.3.1 Quy trính kết nối bƣớc thực - 67 3.2.3.2 Cấu hình triển khai - 69 2.1 Kết triển khai - 74 2.2 Đánh giá kết thu đƣợc qua trình triển khai hệ thống - 80 KẾT LUẬN………………………………………………………………………… - 81 TÀI LIỆU THAM KHẢO………………………………………………………… - 83 - -2- Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng LỜI CAM ĐOAN Tôi xin cam đoan luận văn thạc sỹ kỹ thuật nghiên cứu đƣợc thực dƣới hƣớng dẫn khoa học PGS.TS Ngô Hồng Sơn Các kết tự nghiên cứu tham khảo từ nguồn tài liệu nhƣ công trình nghiên cứu khoa học khác đƣợc trích dẫn đầy đủ Nếu có vấn đề sai phạm quyền, xin hoàn toàn chịu trách nhiệm trƣớc nhà trƣờng Hà Nội, ngày 11 tháng năm 2015 Học viên Đặng Hồng Cường -3- Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT ACID Analysis Console for Intrusion Databases ARP Address Resolution Protocol CGI Scripts Common Gateway Interface Scripts CIDS Collaborative Intrusion Detection System DDOS Distributed Denial Of Service DHCP Dynamic Host Configuration Protocol DIDS Distributed Intrusion Detection System DMZ Demilitarized Zone DNS Domain Name System DOS Denial Of Service DRDoS Distributed Reflection Denial of Service DSOC Distributed Security Operation Center GD Global detectors ICMP Internetwork Control Message Protocol IDPS IPS + IDS IDS Intrusion Detection System IPS Intrusion Prevention System LAN Local Area Network LD Local detectors MAC Medium Access Control MADIDF Mobile Agents based Distributed Intrusion Detection Framework NIC Network Interface Card NIDS Network Intrusion Detection System OSSIM Open Source Security Information Management P2P Peer – to – Peer -4- Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng PSKs Pre-shared keys RARP Reverse Address Resolution Protocol SMTP Simple Mail Transfer Protoco SQL Structured Query Language TCP/IP Transmission Control Protocol/Internet Protocol UDP User Datagram Protocol WAN Wide Area Network -5- Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng DANH MỤC CÁC BẢNG Bảng 1.2 Tổng hợp nghiên cứu giời …………………… …………29 Bảng 2.1 Nhật ký truy cập hệ thống OSSIM ………………………………………39 Bảng 2.2: Plugin phần phát xâm nhập Snort ………………………43 Bảng 2.3 Bảng mô tả plugin báo cáo hệ thống OSSIM…………… 45 Bảng 2.4 Bảng mô tả plugin giám sát hệ thống OSSIM ………… 46 Bảng 2.5 Bảng mô tả plugin rà soát hệ thống OSSI………………….47 -6- Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng DANH MỤC HÌNH VẼ Hình 1.1 Mô hình hệ thống phát xâm nhập hợp tác CIDS ………….…….10 Hình1.3 Firewall không bảo vệ công không qua …………13 Hình 1.4 Mô hình hệ thống CIDS bảo vệ ………………………………………… 14 Hình1.5 Cơ chế cảnh báo công cảnh báo xâm nhập hệ thống CIDS.15 Hình 1.6 CIDS thu thập thông tin mức thấp, xử lý đưa cảnh báo mức cao …………………………………………………… …………………………………17 Hình 1.7 Phương pháp tiếp cận tập trung …………… ………………………… 19 Hình 1.8 Phương pháp tiếp cận phân cấp……… …… ………………………….20 Hình 1.9 Phương pháp tiếp cận phân phối hoàn toàn ….…………………… … 21 Hình 1.10 Kiến trúc hệ thống CIDS …………………………………… …… ……23 Hình 1.11 Quá trình gửi liên kết liệu từ khối Corelation Unit khối Detection Unit … ………………………………………………………………………25 Hình 2.1 Sơ đồ hoạt động hệ thống OSSIM … …….…………………………… 32 Hình 2.2: Mô hình hệ thống quản lý an toàn thông tin …………………… …… 34 Hình 2.3 Hệ quản lý tập trung OSSIM ……………………………………… … 37 Hình 2.4 Giao diện tương tác hệ thống qua website ………………………… ….41 Hình 2.5: Máy trạm trinh sát ……………………………………………… ……… 43 Hình 2.6: Thành phần quản lý plugin giao diện web ……………… 49 Hình 3.1 Mô hình kết nối mạng VietnamAirlines …………………….……….… 55 Hình 3.2 Mô hình mạng VietnamAirlines triển khai OSSIM ……………… ….56 Hình 3.3 Mô hình triển khai logic ……………………………………………… … 57 Hình 3.3 Enable plugin Symantec-epm ……………… ……………………………59 Hình 3.3 Enable plugin Cisco-asa ……………………… ……………………….63 Hình 3.5 Tạo key xác thực plugin OSSIM agent ……………………… …….66 Hình 3.6 Kết nối plugin OSSEC tới OSSIM server……………………………….66 -7- Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng Hình 3.7 Kết nối OSSIM agent OSSIM server ……………………….…………67 Hình 3.8 Quản lý OSSIM agent giao diện web ………… ………… ………67 Hình 3.9 Các cảnh báo theo thời gian thực …………… ……………… ……… 68 Hình 3.10 Các cảnh báo đánh giá mức độ nguy hiểm ……………… ……69 Hình 3.10 Phân tích cảnh bào nhận từ plugin cisco-asa ………………… 70 Hình 3.11 Top 15 IP bị công nhiều mạng …………….……….….71 Hình 3.12 Top 15 IP công mạng nhiều ………………… ………… ….72 Hình 3.13 Top 15 cảnh báo hệ thống gửi nhiều ………………….73 -8- Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng LỜI MỞ ĐẦU Nhƣ biết, ngày sống ngƣời ngày đại, với phát triển nhƣ vũ bão công nghệ thông tin, mạng máy tính internet giúp ngƣời có sống tốt đẹp hơn, đáp ứng nhu cầu ngƣời sống: Giải trí, gặp gỡ bạn bè, mua sắm, tìm kiếm thông tin, học tập, làm việc, kinh doanh, buôn bán, v.v song song với tiềm ẩn nhiều nguy luôn rình rập ngƣời sử dụng nhƣ việc bị lợi dụng thông tin cá nhân, thông tin đăng nhập email, số thẻ tín dụng, thông tin kinh doanh, buôn bán thiết kế công trình nghiên cứu khoa học, v.v Nghiêm trọng nguy an toàn thông tin hệ thống lớn, hệ thống cung cấp dịch vụ, công ty có quy mô lớn khắp vùng địa lý khác nhau, nơi mà tính sẵn sàng hệ thống yếu tố định tới tồn công ty yêu cầu đảm bảo an toàn thông tin vấn đề đƣợc quan tâm, nghiên cứu Cùng với tƣ tƣởng tạo hệ thống an ninh đảm bảo an toàn cao, triển khai quy mô rộng lớn, quản lý tập trung, hƣớng đến hệ thống tự động phát xâm nhập với trính tự động tính toán đƣa cảnh báo xâm nhập hệ thống phát xâm nhập hợp tác CIDS (Collaborative Intrusion Detection System) đƣợc nghiên cứu phát triển Hệ thống phát xâm nhập hợp tác hoạt động nguyên tắc kết hợp thiết bị an toàn thôn tin: Firewall, IDS, IPS phân vùng mạng riêng lẻ thành thể thống nhất, quản lý thiết bị tập trung, nhận liệu từ nhiều nguồn khác xử lý tập trung để đƣa cảnh báo an toàn thông tin toàn hệ thống mạng Hệ thống CIDS đƣa cảnh báo từ tổng hợp thông tin nhận đƣợc từ nhiều nguồn khác nên kết đánh giá có tính chất khách quan, phát đƣợc kiểu công phức tạp, tinh vi với nhiều kịch công khác nhau: Scan lút, công từ chối dịch vụ, bùng phát -9- Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng phá hoại sâu mạng, mà với thiết bị an toàn thông tin đơn lẻ khó để phát Mô hình hệ thống phát xâm nhập hợp tác mô hình triển khai an toàn thông tin có tính khả thi cao, đƣợc áp dụng nhiều sản phẩm từ mã nguồn mở nhƣ: Hệ thống quản lý bảo mật mã nguồn mở OSSIM, tới sản phẩm thƣơng mại tiếng: Firewall Site Protecter IBM, Symantec Endpoint hãng bảo mật Symantec,… thực tế chứng minh đƣợc mô hình hoạt động hệ thống an toàn thông tin kết hợp hiệu quả, có tính khả thi cao Với đặc thù công việc đảm nhận Tổng công ty Hàng Không Việt Nam (VNA) triển khai, quản trị hệ thống, đảm bảo hệ thống hoạt động an toàn, phòng chống virus việc tích hợp triền khai hệ thống phát hiện, chống xâm nhập hợp tác CIDS cho dịch vụ đơn vị cung cấp vô cần thiết Hiện trạng hệ thống mạng LAN/WAN kết nối Internet VNA đƣợc đầu tƣ đại Các phân vùng mạng đƣợc quy hoạch riêng tƣơng ứng với chức năng, nhiệm vụ đối tƣợng sử dụng: - Phân vùng mạng LAN/WAN: Dùng cho ngƣời dùng nội công ty - Phân vùng server: Dùng cho server cung cấp dịch vụ, ừng dụng web nội - Phân vùng DMZ: Chứa server đƣợc public internet - Đối với phân vùng mạng nêu có thiết bị firewall bảo vệ phía trƣớc firewall cisco asa 5590 - Trên máy tính clinet server đƣợc bổ sung chƣơng trình diệt virus ngăn chặn xâm nhập trái phép Symantech endpoint protection (SEP) version 12.1 - 10 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng Bƣớc 5: Cài đặt chƣơng trình OSSEC web server Bƣớc 6: Trên OSSEC khai báo địa OSSIM server nhập chuỗi key xác thực đƣợc tạo Bƣớc Bƣớc 6: Thực trình kết nối xác thực thành công Bƣớc 7: Ngƣời quản trị dùng giao diện đƣợc cung cấp OSSIM server để theo dõi quản lý plugin OSSEC web server 3.2.3.2 Cấu hình triển khai - Đƣờng dẫn kết nối tới plugin OSSEC /etc/ossim/agent/plugins/ossec.cfg [DEFAULT] plugin_id=7007 [config] type=detector enable=yes source=log location=/var/ossec/logs/alerts/alerts.log # create log file if it does not exists, # otherwise stop processing this plugin create_file=false process=ossec-logcollector start=yes ; launch plugin process when agent starts stop=yes ; shutdown plugin process when agent stops - 69 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng restart=no ; restart plugin process after each interval restart_interval=_CFG(watchdog,restart_interval) ; interval between each restart startup=/etc/init.d/ossec start shutdown=/etc/init.d/ossec stop # For stock ossec v1.4 [1-ossec-Ossec-rule] event_type=event regexp=Alert\s+\d+.*\n(?P\d+\s+\w+\s+\d+\s+\d+:\d+:\d+)\s+.*\s(?P.*)\>.*\nRule:\s+(?P\d+)\s+.*\nSrc\s+IP:\s+(?P.*)\nUser:\s+(?P.*)\n(?P.*)\n #** Alert 1228218527.188045: - windows,authentication_success, #2008 Dec 02 06:48:47 (WINXP) 192.168.1.84->WinEvtLog date={normalize_date($date)} sensor={resolv($sensor)} #src_ip={$src_ip} plugin_id={translate($plugin_sid)} plugin_sid={$plugin_sid} username={$user} userdata1={$data} userdata2=1 [2-ossec-Ossec-rule] event_type=event regexp=Alert\s+\d+.*\n(?P\d+\s+\w+\s+\d+\s+\d+:\d+:\d+)\s+(?P.*)\>.*\nRule:\s+(?P\d+)\s+.*\nSrc\s+IP:\s+(?P\IPV4)\nUser:\s+(?P< user>.*)\n(?P.*)\n #** Alert 1195309578.5244: - ossec, - 70 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng #2007 Nov 17 06:26:18 ossim-dk->ossec-logcollector #Rule: 591 (level 3) -> 'Log file rotated.' #Src IP: (none) #User: (none) #ossec: File rotated (inode changed): '/var/log/syslog' #timestamp: (.*) date={normalize_date($date)} sensor={resolv($sensor)} src_ip={$src_ip} dst_ip={resolv($sensor)} plugin_id={translate($plugin_sid)} plugin_sid={$plugin_sid} username={$user} userdata1={$data} userdata2=2 [3-ossec-Ossec-rule] event_type=event regexp=Alert\s+\d+.*\n(?P\d+\s+\w+\s+\d+\s+\d+:\d+:\d+)\s+(?P.*)\>.*\nRule:\s+(?P\d+)\s+.*\nSrc\s+IP:\s+(?P.*)\nUser:\s+(?P.*)\n(?P.*)\n #** Alert 1195309578.5244: - ossec, #2007 Nov 17 06:26:18 ossim-dk->ossec-logcollector #Rule: 591 (level 3) -> 'Log file rotated.' #Src IP: (none) #User: (none) #ossec: File rotated (inode changed): '/var/log/syslog' #timestamp: (.*) date={normalize_date($date)} - 71 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng sensor={resolv($sensor)} #src_ip={$src_ip} plugin_id={translate($plugin_sid)} plugin_sid={$plugin_sid} username={$user} userdata1={$data} userdata2=3 - Tạo key xác thực cho OSSEC client kết nối Hình 3.5 Tạo key xác thực plugin OSSIM agent - Kết nối OSSEC agent tới OSSIM server - 72 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng Hình 3.6 Kết nối plugin OSSEC tới OSSIM server - Kết nối OSSIM Agent server web Hình 3.7 Kết nối OSSIM agent OSSIM server - Theo dõi trạng thái hoạt động OSSIM agent giao diện quản lý tập trung OSSIM server - 73 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng Hình 3.8 Quản lý OSSIM agent giao diện web 2.1 - Kết triển khai Phát hiện, cảnh báo theo thời gian thực Hình 3.9 Các cảnh báo theo thời gian thực - 74 - Luận Văn Thạc Sĩ - Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng Cảnh báo theo tập luật có chủ đích ngƣời quản trị từ trƣớc Đánh giá mức độ nguy hiểm cảnh báo Hình 3.10 Các cảnh báo đánh giá mức độ nguy hiểm - Phân tích cảnh báo nhận đƣợc OSSIM server đƣợc gửi từ agent CISCO ASA - 75 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng Hình 3.10 Phân tích cảnh bào nhận từ plugin cisco-asa - Các cảnh báo tổng hợp toàn hệ thống - 76 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng Hình 3.11 Top 15 IP bị công nhiều mạng - 77 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng Hình 3.12 Top 15 IP công mạng nhiều - 78 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng Hình 3.13 Top 15 cảnh báo hệ thống gửi nhiều - 79 - Luận Văn Thạc Sĩ 2.2 - Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng Đánh giá kết thu qua trình triển khai hệ thống Kết nối quản lý đƣợc thiết bị đảm bảo an toàn thông tin toàn hệ thống mạng: Firewall, Symantec-SEP, Snort, OSSEC thiết bị quản lý tập trung Qua giao diện quản lý theo dõi agent website ngƣời quản trị biết đƣợc trạng thái hoạt động agent Các plugin hoạt động Đồng thời qua giao diện quản lý ngƣời quản trị enable/disable plugin nhƣ đừng thiết bị agent - Đƣa đƣợc cảnh báo nguy an toàn thông tin từ nhiều nguồn khác hệ thống Các cảnh báo mang tính chất tổng quan phát toàn mạng - Đánh giá mức độ nguy hiểm cảnh báo đƣợc đƣa - 80 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng KẾT LUẬN Trong suốt thời gian vừa qua, với hƣớng dẫn tận tình giáo viên hƣớng dẫn PGS.TS.Ngô Hồng Sơn, với hỗ trợ đồng nghiệp em hoàn thành đƣợc luận văn Luận văn đề cập đến đề chung an toàn thông tin, an ninh mạng nói chung sâu nghiên cứu kỹ thuật phát phòng chống xâm nhập kết hợp CIDS Cụ thể luận văn đạt đƣợc số kết sau: - Tìm hiểu đƣợc nguyên lý hoạt động, phân tích phát xâm nhập hệ thống phát xâm nhập kết hợp - Phân tích mô hình triển khai hệ thống: Tập trung, phân cấp phân phối đủ Ứng với mô hình lại có ƣu điểm, nhƣợc điểm riêng phù hợp với mô hình mạng thực tế - Kết hợp quản lý đƣợc nhiều công cụ an toàn thông tin thiết bị tập trung, kết hợp đƣợc sản phẩm thƣơng mại sản phẩm mã nguồn mở Đặt chế độ tính toán xử lý thông tin linh hoạt tƣơng ứng với trƣờng hợp cụ thể thực tế - Hiểu đƣợc chế gửi, nhận xử lý liệu sản phẩm an toàn thông tin môi trƣờng xử lý tập trung: Server/ Sensor - Xây dựng thử nghiệm thành công hệ thống quản lý thông tin bảo mật mã nguồn mở OSSIM môi trƣờng mạng thực tế VietnamAirlines Hƣớng phát triển đề tài Từ cảnh báo đƣợc đƣa từ OSSIM Đối với cảnh báo có mức độ nguy hiểm cao OSSIM server phát yêu cầu đến sensor (firewall, IPS) có hành động tƣơng ứng nhằm ngăn chặn nguy an toàn thông tin cho toàn hệ thống mạng - Ngăn chặn, không cho IP truy cập vào vùng mạng công ty Áp - 81 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng dụng firewall cisco - Lọc ứng dụng Cấm tất ngƣời dùng mở ứng dụng có đính kèm virus, sâu mạng Áp dụng Symantec-SEP - Cấm ngƣời dùng truy cập trang web, link phát tán virus Áp dụng web proxy: Bluecoat Proxy - Xây dựng hệ thống phát xâm nhập phối hợp tích hợp tính bảo mật hãng lớn với sản phẩm thƣơng mại: CISCO, IBM, Checkpoint, Microsoft, để trở thành hệ thống phát xâm nhập phối hợp thực - Các cảnh báo đƣợc gửi tự động tới nhà quản trị tin nhắn SMS, mail cảnh báo có độ nguy hiểm cao - Nghiên cứu thêm việc ứng dụng tập luật phức tạp, phát đƣợc công tinh vi từ sâu mạng Có khả cập nhật mẫu hình thức công, xâm nhập Tuy nhiên, lƣợng kiến thức nhiều hạn chế môi trƣờng triển khai mang tính thử nghiệm Bản OSSIM server sử dụng sản phẩm thử nghiệm, chƣa phải thƣơng mại với đầy đủ chức hệ thống phát xâm nhập kết hợp nên nhiều hạn chế chức cầu hình kết nối với firewall, IDPS Vì luận văn chắn nhiều vấn đề chƣa hoàn thiện, chƣa thể đƣợc hết tất nội dung vấn đề Em mong nhận đƣợc góp ý thầy cô giáo Em xin chân thành cảm ơn! - 82 - Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng TÀI LIỆU THAM KHẢO Snapp S, Brentano J, Dias G, Goan T, Heberlein L, Ho C, et al (1991) DIDS (distributed intrusion detection system) – motivation, architecture, and an early prototype In: Proceedings of the 14th national computer security conference;pp.167–76 Staniford-Chen S, Cheung S, Crawford R, Dilger M, Frank J,Hoagland J, et al (September 1996) Grids-a graph based intrusion detection system for large networks In: Proceedings of the 19th national information systems security conference vol 1; pp 361–70 Locasto M, Parekh J, Keromytis A, Stolfo S, (2005) Towards collaborative security and P2P intrusion detection In: Proceedings of the 2005 IEEE workshop on information assurance and security Heberlein LT, Mukherjee B, Levitt KN, (1992) Internetwork security monitor: an intrusion-detection system for large-scale networks In: Proceedings of the 15th national computer security conference pp 262–71 Center, CERT Coordination (CERT/CC) CERT/CC statistics 1988–2006, http://www.cert.org/stats 2006 https://www.alienvault.com/ Huang M, Jasper R, Wicks T, (1999) A large scale distributed intrusion detection framework based on attack strategy analysis Computer Networks; 31(23–24): 2465–75.Julio Casal OSSIM Fast Guide n.d Karg, Dominique OSSIM Correlation engine explained Tiến Sỹ Đỗ Ngọc Duy Trác- Bộ Thông Tin Và Truyền Thông Đề tài khoa học: Nghiên cứu xây dụng mô hình hệ thống quản lý an toàn thông tin Internet theo cấu trúc phân bố (Mã số: 61-07-KHKT-RD) 09/2011 10 Kevin Milne OSSIM User manual 11 Nguyễn Chí Công, Giáo trình an toàn bảo mật hệ thống thông tin - 83 - ... tài: Hệ thống phát xâm nhập hợp tác ứng dụng Cơ chế phát xâm nhập Hệ thống phát xâm nhập hợp tác đƣợc triển khai với hai thành phần chính: - Khối xử lý thông tin: Correlation Unit - Khối phát hiện: ... bùng phát -9- Luận Văn Thạc Sĩ Đề tài: Hệ thống phát xâm nhập hợp tác ứng dụng phá hoại sâu mạng, mà với thiết bị an toàn thông tin đơn lẻ khó để phát Mô hình hệ thống phát xâm nhập hợp tác mô... hệ thống tự động phát xâm nhập với trính tự động tính toán đƣa cảnh báo xâm nhập hệ thống phát xâm nhập hợp tác CIDS (Collaborative Intrusion Detection System) đƣợc nghiên cứu phát triển Hệ thống