Khái niệm phát hiện xâm nhập đã xuất hiện qua một bài báo của James Anderson cách đây khoảng 25 năm. Khi đó người ta cần hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel. Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an ninh được sử dụng nhiều nhất và vẫn còn phát triển. Vào năm 2003, Gartner một công ty hàng đầu trong lĩnh vực nghiên cứu và phân tích thị trường công nghệ thông tin trên toàn cầu đã đưa ra một dự đoán gây chấn động trong lĩnh vực an toàn thông tin : “Hệ thống phát hiện xâm nhập (IDS) sẽ không còn nữa vào năm 2005”. Phát biểu này xuất phát từ một số kết quả phân tích và đánh giá cho thấy hệ thống IDS khi đó đang đối mặt với vấn đề là IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives). Hệ thống IDS còn có vẻ là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục (24 giờ trong suốt cả 365 ngày của năm). Kèm theo các cảnh báo tấn công của IDS còn là một quy trình xử lý an ninh rất vất vả. Các IDS lúc này không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn 600 Megabit trên giây. Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều phản ánh của những khách hàng đang sử dụng IDS rằng quản trị và vận hành hệ thống IDS là rất khó khăn, tốn kém và không đem lại hiệu quả tương xứng so với đầu tư.
1 LỜI NÓI ĐẦU CHƯƠNG I - TỔNG QUAN VỀ IDS .6 1.1 Khái niệm 1.2 Chức .6 1.3 Cấu trúc chung .7 1.4 Phân biệt mô hình IDS 10 NIDS .10 HIDS 11 1.5 Các phương pháp nhận biết công 12 1.6 Các sản phẩm IDS thị trường 14 Intrust 14 ELM 15 GFI LANGUARD S.E.L.M 16 SNORT 16 Cisco IDS 17 Dragon 18 CHƯƠNG II – KẾT NỐI MÁY PHÂN TÍCH VÀO HỆ THỐNG 19 SWITCH CISCO 19 2.1 Các kiến thức sở kỹ thuật phân tích thống kê cổng - SPAN 19 2.1.1 Khái niệm SPAN 19 2.1.2 Các thuật ngữ 21 2.1.3 Các đặc điểm cổng nguồn 23 2.1.4 Lọc VLAN 23 2.1.5 Các đặc điểm nguồn VLAN 25 2.1.6 Các đặc điểm cổng đích 26 2.1.7 Các đặc điểm cổng phản hồi 27 2.2 SPAN dòng Switch Cisco 28 2.2.1 Span Catalyst 2900, 4500/4000, 5500/5000, 6500/6000 Series .28 chạy CatOS 28 2.2.2 SPAN dòng Catalyst 2940, 2950, 2955, 2960, 2970, 3550, 51 3560, 3560-E, 3750 and 3750-E Series 51 2.2.3 SPAN Catalyst 4500/4000 Catalyst 6500/6000 Series chạy phần .55 mềm hệ thống Cisco IOS .55 2.3 Hiệu tác động SPAN Switch Catalyst khác 58 Các dòng Switch Catalyst 4000 Series 58 Catalyst 4500/4000 Series .58 Catalyst 5500/5000 and 6500/6000 Series .58 2.4 Các lỗi thường gặp cấu hình 59 CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - 67 SNORT VÀO HỆ THỐNG 67 3.1 Các đặc điểm .67 3.1.1 Hệ thống detection engine: 68 3.1.2 Hệ thống Logging & alerting: .69 3.1.3 Tập luật(RULES) 69 3.2 Các bước cài đặt Snort hệ điều hành Debian 71 3.2.1 Cài hệ điều hành Debian .71 3.2.2 Cài phần mềm cần thiết 71 3.2.3 Cài đặt cấu hình IPTABLES-BASED FIREWALL 73 3.2.4 Cài đặt Snort 73 3.2.5 Cấu hình MySQL Server 75 3.2.6 Cấu hình để SNORT bắn alert vào MySQL 76 3.2.7 Cài đặt Apache-ssl Web Server .76 3.2.8 Cài đặt cấu hình Basic Analysis Sercurity Engine (Base) 77 3.2.9 Cập nhật Rules với Oinkmaster 79 3.2.10 Startup Script 80 3.2.11 Tạo Acc truy cập vào Base 80 3.2.12 Cấu hình SNMP Server .81 3.2.13 Tạo file index.php để định hướng trình duyệt .82 3.2.14 Cài đặt phần mềm quản trị Webmin 82 3.3 Giao diện hệ thồng sau cài đặt .83 3.3.1 Các thông tin cấu hình .83 3.3.2 Hướng dẫn sử dụng SNORT 84 3.3.3 Hướng dẫn sử dụng công cụ phân tích (Base) .87 3.3.4 Hướng dẫn sử dụng Webmin 99 KẾT LUẬN 106 LỜI NÓI ĐẦU Khái niệm phát xâm nhập xuất qua báo James Anderson cách khoảng 25 năm Khi người ta cần hệ thống phát xâm nhập - IDS (Intrusion Detection System) với mục đích dò tìm nghiên cứu hành vi bất thường thái độ người sử dụng mạng, phát việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính không lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS xuất phòng thí nghiệm viện nghiên cứu Tuy nhiên thời gian này, số công nghệ IDS bắt đầu phát triển dựa bùng nổ công nghệ thông tin Đến năm 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu công ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel Hiện tại, thống kê cho thấy IDS công nghệ an ninh sử dụng nhiều phát triển Vào năm 2003, Gartner- công ty hàng đầu lĩnh vực nghiên cứu phân tích thị trường công nghệ thông tin toàn cầu- đưa dự đoán gây chấn động lĩnh vực an toàn thông tin : “Hệ thống phát xâm nhập (IDS) không vào năm 2005” Phát biểu xuất phát từ số kết phân tích đánh giá cho thấy hệ thống IDS đối mặt với vấn đề IDS thường xuyên đưa nhiều báo động giả ( False Positives) Hệ thống IDS gánh nặng cho quản trị an ninh hệ thống cần theo dõi liên tục (24 suốt 365 ngày năm) Kèm theo cảnh báo công IDS quy trình xử lý an ninh vất vả Các IDS lúc khả theo dõi luồng liệu truyền với tốc độ lớn 600 Megabit giây Nhìn chung Gartner đưa nhận xét dựa nhiều phản ánh khách hàng sử dụng IDS quản trị vận hành hệ thống IDS khó khăn, tốn không đem lại hiệu tương xứng so với đầu tư Sau phát biểu đưa ra, số ý kiến phản đối cho rằng, việc hệ thống IDS không đem lại hiệu mong muốn vấn đề tồn việc quản lý vận hành chất công nghệ kiểm soát phân tích gói tin IDS Cụ thể, hệ thống IDS hoạt động hiệu quả, vai trò công cụ, người quản trị quan trọng, cần phải đáp ứng tiêu chí sau: - Thu thập đánh giá tương quan tất kiện an ninh phát IDS, tường lửa để tránh báo động giả - Các thành phần quản trị phải tự động hoạt động phân tích - Kết hợp với biện pháp ngăn chặn tự động Kết tới năm 2005, hệ sau IDS-hệ thống tự động phát ngăn chặn xâm nhập IPS- dần khắc phục mặt hạn chế IDS hoạt động hiệu nhiều so với hệ trước Vậy IPS IPS hệ thống chống xâm nhập ( Intrusion Prevention System – IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung hệ thống IDP - Intrusion Detection and Prevention Trước hạn chế hệ thống IDS, sau xuất công ạt quy mô lớn công Code Red, NIMDA, SQL Slammer, vấn đề đặt tự động ngăn chặn công không đưa cảnh báo nhằm giảm thiểu công việc người quản trị hệ thống Hệ thống IPS đời vào năm 2003 sau đó, năm 2004 phổ biến rộng rãi Kết hợp với việc nâng cấp thành phần quản trị, hệ thống IPS xuất dần thay cho IDS giảm bớt yêu cầu tác động người việc đáp trả lại nguy phát được, giảm bớt phần gánh nặng việc vận hành Hơn số trường hợp đặc biệt, IPS hoạt động IDS việc ngắt bỏ tính ngăn chặn xâm nhập Ngày hệ thống mạng hướng tới sử dụng giải pháp IPS thay hệ thống IDS cũ Tuy nhiên để ngăn chặn xâm nhập trước hết cần phải phát Vì nói đến hệ thống IDS, thời điểm tại, ta hiểu hệ thống tích hợp gồm hai chức IPS/IDS Cơ sở hạ tầng CNTT phát triển, vấn đề phát triển mạng lại quan trọng, mà việc phát triển mạng việc đảm bảo an ninh mạng vấn đề tối quan trọng Sau chục năm phát triển, vấn đề an ninh mạng Việt Nam dần quan tâm mức Trước có giải pháp toàn diện mạng phải tự thiết lập hệ thống tích hợp IDS riêng Trong luận văn này, tìm hiểu cấu trúc hệ thống IDS, sâu tìm hiểu phát triển hệ thống IDS mềm sử dụng mã nguồn mở để áp dụng hệ thống mạng thay cho IDS cứng đắt tiền CHƯƠNG I - TỔNG QUAN VỀ IDS 1.1 Khái niệm Hệ thống phát xâm nhập (Intrusion Detection System - IDS) hệ thống giám sát lưu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị Ngoài IDS đảm nhận việc phản ứng lại với lưu thông bất thường hay có hại cách thực hành động thiết lập trước khóa người dùng hay địa IP nguồn không cho truy cập hệ thống mạng,… IDS phân biệt công từ bên hay công từ bên IDS phát công dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lưu thông mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu khác thường 1.2 Chức Ta hiểu tóm tắt hệ thống phát xâm nhập mạng – IDS sau : Chức quan trọng : giám sát - cảnh báo - bảo vệ Giám sát: lưu lượng mạng hoạt động khả nghi Cảnh báo: báo cáo tình trạng mạng cho nhà quản trị Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động thiết thực chống lại kẻ xâm nhập phá hoại + Chức mở rộng Phân biệt: công mạng Phát hiện: dấu hiệu bất thường dựa biết nhờ vào so sánh thông lượng mạng với baseline 1.3 Cấu trúc chung Cấu trúc hệ thống IDS phụ thuộc vào kiểu phương pháp sử dụng để phát xâm nhập, chế xử lý khác sử dụng IDS Mô hình cấu trúc chung cho hệ IDS là: Hình 1.1 : Mô hình chung hệ thống IDS Nhiệm vụ hệ thống phát xâm phạm phòng chống cho hệ thống máy tính cách phát dấu hiệu công đẩy lùi Việc phát công phụ thuộc vào số lượng kiểu hành động thích hợp Để ngăn chặn xâm phạm tốt cần phải kết hợp tốt “bả bẫy” sử dụng để xác định mối đe dọa Việc làm lệnh hướng tập trung kẻ xâm nhập vào tài nguyên bảo vệ nhiệm vụ quan trọng Cả hệ thống thực hệ thống bẫy cần phải kiểm tra cách liên tục Dữ liệu tạo hệ thống phát xâm nhập kiểm tra cách cẩn thận (đây nhiệm vụ cho IDS) để phát dấu hiệu công Khi xâm nhập phát hiện, IDS đưa cảnh báo đến quản trị viên hệ thống việc Bước thực quản trị viên thân IDS cách lợi dụng tham số đo bổ sung (các chức khóa để giới hạn session, backup hệ thống, định tuyến kết nối đến bẫy hệ thống, sở hạ tầng hợp lệ,…) – theo sách bảo mật tổ chức Một IDS thành phần nằm sách bảo mật Giữa nhiệm vụ IDS khác nhau, việc nhận kẻ xâm nhập nhiệm vụ Nó hữu dụng việc nghiên cứu mang tính pháp lý tình tiết việc cài đặt vá thích hợp phép phát công tương lai nhằm vào cá nhân cụ thể tài nguyên hệ thống Phát xâm nhập đưa báo cảnh sai, ví dụ vấn đề xảy trục trặc giao diện mạng việc gửi phần mô tả công chữ ký thông qua email Cấu trúc hệ thống phát xâm phạm dạng tập trung : Hình 1.2 : Cấu trúc tập trung Bộ cảm biến tích hợp với thành phần sưu tập liệu – tạo kiện Cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện Bộ tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng Số sách với thông tin sách lưu hệ thống bảo vệ bên Trong trường hợp đó, ví dụ, luồng liệu kiện truyền tải trực tiếp đến phân tích mà lưu liệu thực Điều liên quan chút đến gói mạng Vai trò cảm biến dùng để lọc thông tin loại bỏ liệu không tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ Bộ phân tích sử dụng sở liệu sách phát cho mục Ngoài có thành phần: dấu hiệu công, profile hành vi thông thường, tham số cần thiết (ví dụ: ngưỡng) Thêm vào đó, sở liệu giữ tham số cấu hình, gồm có chế độ truyền thông với module đáp trả Bộ cảm biến có sở liệu riêng nó, gồm liệu lưu xâm phạm phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) IDS đặt tập trung (ví dụ tích hợp vào tường lửa) phân tán Một IDS phân tán gồm nhiều IDS khác mạng lớn, tất chúng truyền thông với Nhiều hệ thống tinh vi theo nguyên lý cấu trúc tác nhân, nơi module nhỏ tổ chức host mạng bảo vệ Hình 1.3 : Cấu trúc đa tác nhân 10 Vai trò tác nhân để kiểm tra lọc tất hành động bên vùng bảo vệ phụ thuộc vào phương pháp đưa – tạo phân tích bước đầu chí đảm trách hành động đáp trả Mạng tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm thành phần quan trọng IDS IDS sử dụng nhiều công cụ phân tích tinh vi hơn, đặc biệt trang bị phát công phân tán Các vai trò khác tác nhân liên quan đến khả lưu động tính roaming vị trí vật lý Thêm vào đó, tác nhân đặc biệt dành cho việc phát dấu hiệu công biết Đây hệ số định nói đến ý nghĩa bảo vệ liên quan đến kiểu công Các giải pháp dựa tác nhân IDS tạo chế phức tạp cho việc nâng cấp sách đáp trả Giải pháp kiến trúc đa tác nhân đưa năm 1994 AAFID (các tác nhân tự trị cho việc phát xâm phạm) Nó sử dụng tác nhân để kiểm tra khía cạnh hành vi hệ thống thời điểm Ví dụ: tác nhân cho biết số không bình thường telnet session bên hệ thống kiểm tra Tác nhân có khả đưa cảnh báo phát kiện khả nghi Các tác nhân nhái thay đổi bên hệ thống khác (tính tự trị) Một phần tác nhân, hệ thống có phận thu phát để kiểm tra tất hành động kiểm soát tác nhân host cụ thể Các thu nhận luôn gửi kết hoạt động chúng đến kiểm tra 1.4 Phân biệt mô hình IDS Có mô hình IDS Network Based IDS(NIDS) Host Based IDS (HIDS) NIDS Được đặt kết nối hệ thống mạng bên mạng bên để giám sát toàn lưu lượng vào Có thể thiết bị phần cứng riêng biệt thiết lập sẵn hay phần mềm cài đặt máy tính Chủ yếu dùng để đo lưu lượng mạng sử dụng Tuy nhiên xảy tượng nghẽn cổ chai lưu lượng mạng hoạt động mức cao 92 Hình 3.7 : Hiển thị địa nghi vấn - Trên bảng cho thấy, IP range 80-100 đối tượng bị khai thác Click tiếp vào link “[snort]” để xem thông tin alert “Signature database” site www snort org Hình 3.8 : Tra thông tin chi tiết Alert nghi vấn - Sau đọc thông tin alert này, ta thấy nhiều khả alert sinh “Slammer worm” phát tán Internet, cố gắng khai thác lỗi buffer overflow MS SQL Server 2000 Resolution Service 93 Hình 3.9 : Xác định thông tin Alert - Tiếp tục đọc kỹ thông tin alert này, ta thấy cách xử lý alert phần “Corrective Action” + Cấm truy cập từ vào dịch vụ MS SQL cổng 1433 and 1434 Thực firewall hệ thống + Cập nhật vá cho dịch vụ MS SQL public từ URL: www microsoft com/technet/security/bulletin/MS02-039 asp Xem Payload packets Để xem payload packet, click vào cột ID tương ứng alert, 94 Hình 3.10 : Xem Payload packet - Ví dụ: click vào link “#0-(2-48876)” để xem nội dung gói tin tương ứng Hình 3.11 : Xem nội dung packet - Tính đặc biệt hữu ích, cho phép IDS admin review lại toàn gói tin tạo alert, giúp cho trình tinh chỉnh rules xác hơn, thuận tiện 95 Tìm kiếm Để tìm kiếm alert đó, bạn click vào link “Search” tìm kiếm theo nhiều tiêu chí khác như: Sensor, Alert Group, Signature, Classification, Priority, Alert Time, xếp theo vài tuỳ chọn có sẵn Hình 3.12 : Tìm kiếm Alert Quản lý nhóm Alert Bên cạnh cách phân loại rules sẵn có snort, để tiện lợi cho việc quản lý, người sử dụng tạo nhóm alert khác nhau, gán alert vào nhóm phù hợp với quan điểm Click vào “Alert Group Management” để thao tác với nhóm: 96 Hình 3.13 : Quản lý Alert theo nhóm Bạn tạo nhóm (Create), xem alert tương ứng với nhóm (View), sửa nhóm (Edit), xoá nhóm(Delete) reset nhóm (Clear) Đồ thị trực quan BASE cung cấp số cách hiển thị biểu đồ trực quan, cho phép người quản trị cảm nhận nhanh chóng vấn đề hệ thống, đưa phương án giải kịp thời Graph Alert Data Click vào "Graph Alert Data" để xem biểu đồ liệu alert: 97 Hình 3.14 : Chọn biểu đồ liệu Có nhiều tham số cho phép xây dựng biểu đồ, bao gồm: - Kiểu đồ thị (Chart title): + Thời gian (theo giờ) Số lượng alert + Thời gian (theo ngày) Số lượng alert + Thời gian (theo tháng) số lượng alert +… - Chu kỳ đồ thị (Chart period) + ngày (1 tuần) + 24 (1 ngày) + 168 (24 x 7) - Kích thước đồ thị - Lề đồ thị: trái, phải, trên, - Kiểu vẽ: bar, line, pie - Thời gian bắt đầu, thời gian kết thúc 98 Hình 3.15 : Đồ thị trực quan Graph Alert Detection Time Tại trang chính, click vào "Grap Alert Detection Time" để xem biểu đồ thể tần suất alert theo giờ, ngày theo tháng Dạng biểu đồ hữu ích, cho phép xác định thời điểm bất thường, qua giúp định hướng người quản trị tập trung vào điểm quan trọng 99 Hình 3.16 : Đồ thị tần suất Alert 3.3.4 Hướng dẫn sử dụng Webmin Đăng nhập trang quản trị - Account quản trị WEBMIN: root/root2008 - Địa đăng nhập: https://192.168.40.12:10000/ - Màn hình đăng nhập Hình 3.17 : Màn hình đăng nhập Webmin Sau đăng nhập thành công, hình xuất cửa sổ sau: Hình 3.18 : Đăng nhập thành công 100 Quản trị Webmin Phần cho phép thay đổi thông tin cấu hình Webmin, bao gồm mục: - Backup Configuration Files - Change language and theme - Webmin Actions logs - Webmin configuration - Webmin server index - Webmin users Hình 3.19 : Giao diện công cụ quản trị Quản trị hệ thống Hiện Webmin quản trị cấu hình để quản trị thông tin hệ thống sau (vào mục System) - Bootup and Shutdown - Change Passwords - Disk and Network file systems - File system backups 101 - Log file rotation - MIME type programs - PAM Authentication - Running processes - Scheduled Commands - Scheduled Cron jobs - Software packages - SysV Init Configuration - System Documentation - System logs - Users and Groups Hình 3.20 : Các thông tin quản trị Quản trị Server Hiện tại, webmin cấu hình để quản trị dịch vụ sau: 102 - Apache webserver - MySql server - SSH server Hình 3.21 : Các thông tin quản trị Quản trị dịch vụ mạng Hiện tại, webmin cấu hình để thay đổi thông tin cấu hình mạng sau: - Internet services and protocols - Linux firewall (IPTables) - Network configuration - PPP Dial in server - Shorewall firewall 103 Hình 3.22 : Các dịch vụ mạng quản trị Quản trị phần cứng Webmin cấu hình để thay đổi thông tin cấu hình phần cứng sau: - Grub boot loader - Partitions on Local disks - System time 104 Hình 3.23 : Quản trị phần cứng Quản trị vấn đề khác Ngoài ra, webmin quản trị số ứng dụng khác: - Command shell - Custom commands - File manager - Http tunnel - PHP configuration - PERL Modules - Protected web directories - SSH/Telnet login - System and server status - Upload and download 105 Hình 3.24 : Quản trị ứng dụng khác 106 KẾT LUẬN Bất mạng nào, có lỗ hổng mặt kỹ thuật cho phép tin tặc xâm nhập vào hệ thống để ăn cắp thông tin hay phá hoại thực tế mạng xem bảo mật tuyệt đối Vì vậy, người ta thường phải sử dụng nhiều kỹ thuật bảo mật kèm với mạng để bảo đảm tính an toàn cho mạng Ngoài việc sử dụng phương pháp mã hóa để bảo đảm tính bí mật thông tin, sử dụng chế chứng thực để kiểm tra tính hợp pháp người dùng, việc sử dụng hệ thống IDS để nâng cao khả quản lý bảo vệ mạng cần thiết Mặc dù việc triển khai IDS cho mạng cách toàn diện có nhiều khó khăn nhiên lợi ích mà đem lại lớn Một mặt giúp hệ thống an toàn trước nguy công, mặt khác cho phép nhà quản trị nhận dạng phát nguy tiềm ẩn dựa phân tích báo cáo IDS cung cấp Từ đó, hệ thống có tích hợp IDS góp phần loại trừ cách đáng kể lỗ hổng bảo mật môi trường mạng Bằng cách sử dụng giải pháp IDS mềm thay cho IDS cứng vấn đề kinh phí, hệ thống mạng giảm thiểu tương đối nguy công tiềm ẩn nâng cao độ an toàn Với tham khảo áp dụng triển khai hệ thống IDS mềm tích hợp vào mạng, ta thấy hệ thống IDS mềm hoàn toàn thực tính IDS cứng, thời gian triển khai phần mềm ngắn nên việc hoàn thiện module gắn thêm cho hệ thống IDS chưa có Nếu tiếp tục phát triển, ta hoàn toàn tích hợp hệ thống IDS tương tác với phần lại mạng, để có công xảy ra, IDS tự động báo tin đến người quản trị, tự động đưa phương án thích hợp để vô hiệu hoá công ... 59 CHƯƠNG III – TRIỂN KHAI TÍCH HỢP HỆ THỐNG IDS MỀM - 67 SNORT VÀO HỆ THỐNG 67 3.1 Các đặc điểm .67 3.1.1 Hệ thống detection engine: 68 3.1.2 Hệ thống Logging & alerting:... thống IDS, sâu tìm hiểu phát triển hệ thống IDS mềm sử dụng mã nguồn mở để áp dụng hệ thống mạng thay cho IDS cứng đắt tiền 6 CHƯƠNG I - TỔNG QUAN VỀ IDS 1.1 Khái niệm Hệ thống phát xâm nhập (Intrusion... nhập ngăn chặn nguy gây an ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung hệ thống IDP - Intrusion Detection and Prevention Trước hạn chế hệ thống IDS, sau xuất công ạt quy mô lớn