Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật cókhả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuấtphát từ trong hệ thống và có thể hoạt độn
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP.HCM
KHOA ĐÀO TẠO CHẤT LƯỢNG CAO.
-Based IDS và thực nghiệm
Giảng viên hướng dẫn : Nguyễn Thị Thanh Vân
Môn học : Hệ Điều Hành Unix
Sinh viên thực hiện: Trần Trung Tín - 14110204
BÁO CÁO CUỐI KỲ
Trang 2Mục Lục
Contents
I. Tổng quan về IDS 4
1 Khái niệm IDS 5
2 Giới thiệu hệ thống IDS 6
3 Kiến trúc, chức năng và quy trình hoạt động của IDS 7
3.1 Các thành phần của IDS 7
3.2 Chức năng 7
3.3 Quy trình hoạt động của IDS 8
4 Phân Loại IDS 9
4.1 Network based IDS – NIDS 9
4.2 Host based IDS - HIDS 10
5 Những loại tấn công thường gặp và IDS tương ứng 12
5.1 Tấn công từ chối dịch vụ Denial of Services 12
5.2 Quét và thăm dò (Scanning và Probe) 12
5.3 Tấn công vào mật khẩu (Password attack) 13
5.4 Chiếm đặc quyền (Privilege-grabbing) 13
5.5 Cài đặt mã nguy hiểm (Hostile code insertion) 14
5.6 Hành động phá hoại trên máy móc (Cyber vandalism) 14
5.7 Tấn công hạ tầng bảo mật (Security infrastructure attack) 14
II Giới thiệu về snort 15
1 Khái niệm Snort 15
2 Kiến trúc của Snort 16
2.1 Module giải mã gói tin 17
Trang 32.2 Module tiền xử lý 17
2.3 Module phát hiện 18
2.4 Module log và cảnh báo 19
2.5 Module kết xuất thông tin 19
III Thực nghiệm 19
1 Thực nghiêm tạo mô hình và cài đặt snort 19
2 Thực nghiệm attacker thâm nhập và snort phát hiện 26
IV Kết luận 31
PHỤ LỤC 33
Trang 4I Tổng quan về IDS
Hiện nay mạng Internet đã trở thành một phần không thể thiếu của conngười Internet ngày càng phổ biến rộng rải cho mọi người để trao đổi thôngtin trên mạng Khả năng kết nối trên toàn thế giới đang mang lại thuận tiệncho tất cả mọi người, nhưng nó cũng tiềm ẩn những nguy cơ khó lường đedọa tới mọi mặt của đời sống xã hội Việc mất trộm thông tin trên mạng gâyảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từchối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty
và gây phiền toái cho người sử dụng Internet… làm cho vấn đề bảo mật trênmạng luôn là một vấn đề nóng hổi và được quan tâm đến trong mọi thờiđiểm
Cho đến nay, các giải pháp bảo mật luôn được chú trọng và đã có nhữngđóng góp lớn trong việc hạn chế và ngăn chặn những vấn đề về bảo mật, ví
dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa làmtăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở
dữ liệu liên tục cập nhật về những loại virus mới nhất Tuy nhiên hiện naycác vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn cùng với sự gia tăngnhững vụ lạm dụng, dùng sai xuất phát từ trong hệ thống mà những phươngpháp bảo mật truyền thống không chống được Những điều đó dẫn đến yêucầu phải có một phương pháp bảo mật mới bổ trợ cho những phương phápbảo mật truyền thống
Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật cókhả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuấtphát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mậttruyền thống Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thếgiới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật Tuynhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập trái phép vẫn mớiđang được nghiên cứu, vẫn chưa được ứng dụng vào trong thực tế Nguyênnhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp, tốnthời gian đào tạo để sử dụng, cũng có thể do nó là những hệ thống lớn, yêu
Trang 5cầu nhiều trang thiết bị, nhiều công sức để quản lý bảo dưỡng, không phùhợp với điều kiện của các hệ thống ở Việt Nam hiện nay.
1 Khái niệm IDS
Là một hệ thống nhằm phát hiện các hành động xâm nhập tấn công vàomạng IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biếthay dựa trên so sánh lưu thông mạng hiện tại với basedline để tìm ra các dấuhiệu khác thường
Phát hiện xâm nhập trái phép là một công việc đầy khó khăn do ảnh hưởngcủa sự tăng trưởng nhanh chóng các kết nối mạng, môi trường máy tínhkhông đồng nhất, nhiều giao thức truyền thông và sự phân loại đáng kể củacác ứng dụng thông dụng và độc quyền Hầu hết các kỹ thuật IDS được xâydựng dựa trên sự khác biệt ứng xử của kẻ xâm nhập so với người dùng hợplệ
Một IDS có nhiệm vụ phân tích các gói tin mà Firewall cho phép đi qua, tìmkiếm các dấu hiệu đã biết mà không thể kiểm tra hoặc ngăn chặn bởiFirewall Sau đó cung cấp thông tin và đưa ra các cảnh báo cho các quản trịviên
IDS cung cấp thêm cho việc bảo vệ an toàn thông tin mạng một mức độ caohơn Nó được đánh giá giá trị giống như Firewall và VPN là ngăn ngừa cáccuộc tấn công mà IDS cung cấp sự bảo vệ bằng cách trang bị cho bạn thôngtin về cuộc tấn công Bởi vậy, IDS có thể thỏa mãn nhu cầu về an toàn hệthống của bạn bằng cách cảnh báo cho bạn về khả năng các cuộc tấn công vàthỉnh thoảng thì ngoài những thông báo chính xác thì chúng cũng đưa ra một
số cảnh báo chưa đúng
Phân biệt những hệ thống không phải là IDS: Theo một cách riêng biệt nào
đó, các thiết bị bảo mật dưới đây không phải là IDS:
Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đềtấn công từ chối dịch vụ trên một mạng nào đó Ở đó có hệ thống kiểm tralưu lượng mạng
Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành,dịch vụ mạng
Trang 6 Các sản phẩm chống virus đã thiết kế để phát hiện phần mềm mã nguy hiểmnhư virus, Trojan horse, worm Mặc dù những tính năng mặc định có thểrất giống hệ thống phát hiện xâm nhập và thường cung cấp một công cụ pháthiện lỗ hổng bảo mật hiệu quả.
Tường lửa và các hệ thống bảo mật, mật mã như VPN, SSL,S/MINE,Kerberos, Radius
2 Giới thiệu hệ thống IDS
Hệ thống phát hiện xâm nhập IDS là một hệ thống giám sát lưu lượng mạngnhằm phát hiện ra hiện tượng bất thường, các hoạt động trái phép xâm nhậpvào hệ thống IDS có thể phân biệt được các cuộc tấn công từ nội bộ hay tấncông từ bên ngoài
IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống nhưcách phần mềm diệt virus phát hiện và diệt virus) hay dựa trên so sánh lưuthông mạng hiện tại với baseline (thông số chuẩn của hệ thống có thể chấpnhận được) để tìm ra các dấu hiệu bất thường
Một hệ thống IDS cần phải thỏa mãn những yêu cầu:
Tính chính xác (Accuracy): IDS không được coi những hành động thôngthường trong môi trường hệ thống là những hành động bất thường haylạm dụng
Hiệu năng (Performance): Hiệu năng của IDS phải đủ để phát hiện xâmnhập trái phpes trong thời gian thực
Tính trọn vẹn (Completeness): IDS không được bỏ qua một xâm nhập tráiphép nào Đây là một điều kiện khó thỏa mãn được
Chịu lỗi (Fault Tolerance): bản thân IDS cũng phải có khả năng chống lạitấn công
Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong trạngthái xấu nhất là không bỏ sót thông tin nào Yên cầu này liên quan tới hệthống mà các sự kiện trong tương lai đến từ nhiều nguồn tài nguyên với sốlượng host nhỏ Với sự phát triển nhanh và mạnh của mạng máy tính, hệthống có thể bị quá tải bởi sự tăng trưởng của số lượng sự kiện
Trang 73 Kiến trúc, chức năng và quy trình hoạt động của IDS
3.1 Các thành phần của IDS
IDS bao gồm các thành phần chính: thành phần thu thập gói tin (informationcollection), thành phần phân tích gói tin (Detection), thành phần phản hồi(response) nếu gói tin đó được phát hiện là một cuộc tấn công
Thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảmbiến đóng vai trò quyết định Bộ cảm biến tích hợp với thành phần là sưu tập
dữ liệu và một bộ tạo sự kiến Cách sưu tập này được xác định bởi chính sáchtạo sự kiện để định nghĩa chế độ lọc thông tin sự kiện Vai trò của bộ cảmbiến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từcác sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được cáchành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiệncho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công, profilehành vi thông thường, các tham số cần thiết Thêm vào đó, cơ sở dữ liệu giữacác tham số cấu hình, gồm các chế độ truyền thông với module đáp trả Bộcảm biến cũng có sơ sở dữ liệu của riêng nó
3.2 Chức năng
Chức năng quan trọng nhất của IDS là:
Giám sát: giám sát lưu lượng mạng các hoạt động bất thường và các hoạtđộng khả nghi
Cảnh báo: Khi đã biết được các hoạt động bất thường của một truy cậpnào đó, IDS sẽ đưa ra cảnh báo về hệ thống cho người quản trị
Trang 8 Bảo vệ: Dùng những thiết lập mặc định và những cấu hình từ nhà quản trị
mà có những hành động chống lại kẻ xâm nhập
Chức năng mở rộng của IDS:
Phân biệt các cuộc tấn công từ trong hoặc từ bên ngoài: nó có thể phânbiệt được đâu là những truy cập hợp lệ (hoặc không hợp lệ) từ bên trong
và đâu là cuộc tấn công từ bên ngoài
Phát hiện: dựa vào so sánh lưu lượng mạng hiện tại với baseline, IDS cóthể phát hiện ra những dấu hiệu bất thường và đưa ra các cảnh báo và bảo
vệ ban đầu cho hệ thống
3.3 Quy trình hoạt động của IDS
Một host tạo ra một gói tin mạng
Các cảm biến trong mạng đọc các gói tin trong khoảng thời gian trước khi
nó được gửi ra khỏi mạng cục bộ (cảm biến này cần phải được đặt sao cho
nó có thể đọc tất cả các gói tin)
Chương trình phát hiện nằm trong bộ cảm biến kiểm tra xem có gói tin nào
có dấu hiệu vi phạm hay không Khi có dấu hiệu vi phạm thì một cảnh báo
sẽ được tạo ra và gửi đến giao diện điều khiển
Khi giao diện điều khiển lệnh nhận được cảnh báo nó sẽ gửi thông báo chomột người hoặc một nhóm đã được chỉ định từ trước (thông qua email, cửa
sổ popup, trang web v.v…)
Phản hồi được khởi tạo theo quy định ứng với dấu hiệu xâm nhập này
Các cảnh báo được lưu lại để tham khảo trong tương lai (trên địa chỉ cục bộhoặc trên cơ sở dữ liệu)
Một báo cáo tóm tắt về chi tiết của sự cố được tạo ra
Cảnh báo được so sánh với các dữ liệu khác để xác định xem đây có phải làcuộc tấn công hay không
Trang 94 Phân Loại IDS
Hệ thống IDS được chia làm 2 loại cơ bản:
Network-based IDS (NIDS): sử dụng dữ liệu trên toàn bộ lưu thông mạngcùng dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâmnhập
Host-based IDS (HIDS): sử dụng dữ liệu kiểm tra tự một máy trạm đơn
để phát hiện xâm nhập
4.1 Network based IDS – NIDS
Hệ thống IDS dựa trên mạng sẽ kiểm tra các giao tiếp trên mạng với thờigian thực (real-time) Nó kiểm tra các giao tiếp, quét header của các gói tin,
và có thể kiểm tra nội dung của các gói đó để phát hiện ra các đoạn mã nguyhiểm hay các dạng tấn công khác nhau Một Network-Based IDS hoạt độngtin cậy trong việc kiểm tra, phát hiện các dạng tấn công trên mạng, ví dụ nhưdựa vào băng thông (bandwidth-based) của tấn công Denied of Service(DoS)
Ưu điểm:
Quản lý được cả một network segment (gồm nhiều host)
Trang 10 Trong suốt với người sử dụng lẫn kẻ tấn công
Cài đặt và bảo trì đơn giản, không ảnh hưởng tới mạng
Tránh DOS ảnh hưởng tới một host nào đó
Có khả năng xác định lỗi ở tầng Network
Độc lập với OS
Nhược điểm:
Có thể xảy ra trường hợp báo động giả
Không thể phân tích các dữ liệu đã được mã hóa (VD: SSL, SSH,IPSec ) NIDS đòi hỏi phải được cập nhật các signature mới nhất để thực
sự an toàn
Có độ trễ giữa thời điểm bị tấn công với thời điểm phát báo động Khibáo động được phát hiện, hệ thống có thể đã bị tổn hại
Không cho biết việc tấn công có thành công hay không
Hạn chế lớn nhất là giới hạn băng thông Những bộ dò mạng phải nhậntất cả các lưu lượng mạng, sắp xếp lại những lưu lượng đó và phân tíchchúng Khi tốc độ mạng tăng lên thì khả năng của đầu dò cũng phải tăngtheo
4.2 Host based IDS - HIDS
Bằng cách cài đặt một phần mềm trên máy chủ, IDS dựa trên máy chủ quansát tất cả những hoạt động về hệ thống và các file log, lưu lượng mạng thuthập Hệ thống dựa trên máy chủ cũng theo dói OS, những cuộc gọi hệthống, lịch sử và những thông điệp báo lỗi trên hệ thống máy chủ HIDSthường được cài đặt trên một máy tính nhất định thay vì giám sát hoạt độngcủa một network, HIDS chỉ giám sát các hoạt động trên một máy tính HIDS
Trang 11thường được đặt trên các host quan trọng và các server trong vùng DMS.Nhiệm vụ của HIDS là theo dõi các thay đổi trên hệ thống gồm:
Có khả năng xác định user liên quan tới event
HIDS có khả năng phát hiện tấn công diễn ra trên một máy, NIDS thìkhông
Có thể phân tích các dữ liệu mã hóa
Cung cấp các thông tin về host trong lúc cuộc tấn công diễn ra trênhost này
Nhược điểm:
Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vàohost này thành công
Khi OS bị sập do tấn công, đồng thời HIDS cũng sập
HIDS phải được thiết lập trên từng host cần giám sát
HIDS không có khả năng phát hiện các cuộc dò quét mạng (Nmap,Netcat )
HIDS cần tài nguyên trên host để hoạt động
HIDS có thể không hiệu quả khi bị DOS
Trang 125 Những loại tấn công thường gặp và IDS tương ứng
5.1 Tấn công từ chối dịch vụ Denial of Services
Denial of Service (DoS) có mục đích đóng bang hay chặn đứng tài nguyên
hệ thống đích Cuối cùng mục tiêu không thể tiếp cận và trả lời các gói tingửi đến DoS tấn công vào các mục tiêu bao gồm 3 dạng: mạng, hệ thống vàứng dụng
Phá hoại mạng: kiểu tấn công SYN flood Kẻ tấn công sẽ gửi các gói tin kếtnối SYN tới hệ thống cho tới khi công suất của máy chủ quá tải và sẽ khôngthể nhận được bất kỳ gói tin nào nữa
Phá hoại hệ thống: bao gồm các dạng như Ping of Death (gửi 1 gói dữ liệu
có kích thước lớn thông qua lệnh ping tới máy chủ), Teardrop (gửi tới máychủ một loại gói tin có giá trị offset chồng chéo khiến máy chủ không sắpxếp được à crash hoặc reboot) … Các kiểu tấn công này nhằm lợi dụng lỗhổng trên hệ điều hành nhằm phá hoại, gây quá tải hệ thống
Phá hoại ứng dụng: bằng cách lợi dụng điểm yếu trên ứng dụng, cơ sở dữliệu hay trang web…
Giải pháp: Network IDS có thể phát hiện được các cuộc tấn công dạng góitin
5.2 Quét và thăm dò (Scanning và Probe)
Bộ quét và thăm dò tự động sẽ tìm kiếm hệ thống trên mạng để xác địnhđiểm yếu Việc thăm dò có thể thực hiện bằng cách ping tới hệ thống cũngnhư kiểm tra các cổng TCP hoặc UDP để phát hiện ra ứng dụng có những lỗi
đã được biết tới
Giải pháp: Network IDS có thể phát hiện các hành động nguy hiểm trước khichúng xảy ra Host IDS cũng có tác dụng đối với kiểu tấn công này
5.3 Tấn công vào mật khẩu (Password attack)
Có các phương thức để tiếp cận:
Kiểu dễ nhận thấy nhất là ăn trộm mật khẩu, mang lại quyền quản trị cho
kẻ tấn công có thể truy cập mọi thông tin trong mạng
Đoán hay bẻ khóa mật khẩu là phương thức tiếp cận bằng cách thử nhiềulần mật khẩu để tìm được đáp án đúng Với kiểu bẻ khóa, kẻ tấn công cầntruy cập tới mật khẩu đã được mã hóa hay file chứa mật khẩu đã mã hóa
Trang 13Và sử dụng chương trình đoán mật khẩu với thuật toán mã hóa để xácđịnh mật khẩu đúng.
Giải pháp: Một Network IDS có thể phát hiện và ngăn chặn cố gắng đoánmật khẩu, nhưng nó không hiệu quả trong việc phát hiện truy cập trái phéptới file bị mã hóa Trong khi đó, Host IDS lại thể hiện hiệu quả trong việcphát hiện đoán mật khẩu cũng như truy cập trái phép
5.4 Chiếm đặc quyền (Privilege-grabbing)
Khi kẻ tấn công đã xâm nhập được hệ thống, chúng sẽ cố chiếm quyền truycập Khi thành công, chúng sẽ tìm cách phá hoại hệ thống hoặc đánh cắpthông tin quan trọng Một số kỹ thuật thường dung cho việc chiếm đặcquyền:
Đoán hay đánh cắp mật khẩu root, admin
Gây tràn bộ đệm
Khai thác registry
Sử dụng file, script hay lỗi của hệ điều hành, ứng dụng
Giải pháp: Cả NIDS và HIDS đều có thể xác định được việc thay đổi đặcquyền trái phép
5.5 Cài đặt mã nguy hiểm (Hostile code insertion)
Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống Mã này cóthể lấy trộm dữ liệu, gây từ chối dịch vụ, xóa file hay tạo backdoor cho lầntruy cập tiếp theo
Virus: khi được thực thi sẽ dẫn tới hành động tự động, có hoặc không có hại,luôn tạo ra bản sao của file hệ thống, file ứng dụng hay dữ liệu
Trojan Horse: được đặt tên như một chương trình người ta muốn sử dụngnhưng thực tế chúng kích hoạt các hành động dẫn tới hỏng hệ thống
Giải pháp: không có loại IDS nào chống việc phá hoại từ virus hay Trojan.Cách tốt nhất là cài đặt phần mềm diệt virus
5.6 Hành động phá hoại trên máy móc (Cyber vandalism)
Hành động phá hoại bao gồm: thay đổi trang web, xóa file, phá block khởiđộng và chương trình hệ điều hành, format ổ đĩa
Giải pháp: sử dụng HIDS trong trường hợp này là hoàn toàn phù hợp VớiNIDS có thể sử dụng dấu hiệu tấn công được định nghĩa trước để phát hiệnchính xác việc truy cập trái phép vào hệ điều hành
5.7 Tấn công hạ tầng bảo mật (Security infrastructure attack)
Trang 14 Có nhiều loại tấn công can thiệp vào việc điều khiển cơ bản của cơ sở hạtầng bảo mật như tạo tường lửa trái phép, chỉnh sửa tài khoản của ngườidung hay thay đổi các quyền của file Tấn công vào cơ sở hạ tầng cho phép
kẻ xâm nhập có them quyền truy cập hay tạo them nhiều đường xâm nhậpvào hệ thống
Giải pháp: HIDS có thể bắt giữ các cuộc đăng nhập mà thực hiện nhữnghành động như trên
II Giới thiệu về snort
1. Khái niệm Snort
Snort là phần mềm IDS được phát triển bởi Martin Roesh dưới dạng mãnguồn mở
Snort ban đầu được xây dựng trên nền Unix nhưng sau đó phát triển sangcác nền tảng khác Snort được đánh giá rất cao về khả năng phát hiện xâmnhập Tuy snort miễn phí nhưng nó lại có rất nhiều tính năng tuyệt vời Vớikiến trúc kiểu module, người dùng có thể tự tăng cường tính năng cho hệthống Snort của mình Snort có thể chạy trên nhiều hệ thống như Windows,Linux, OpenBSD, FreeBSD, Solaris …
Bên cạnh việc có thể hoạt động như một ứng dụng bắt gói tin thông thường,Snort còn được cấu hình để chạy như một NIDS
Tuy nhiên snort cũng có điểm yếu Đó là tương tự như các bộ quét virus(virus scanner), snort chỉ có thể chống lại các cuộc tấn công một cách hiệuquả nếu như nó biết được dấu hiệu (signature) của các cuộc tấn công đó.Dựa vào điểm này, các hacker "cao thủ" có thể điều chỉnh các cuộc tấn công
để thay đổi signature của cuộc tấn công đó Từ đó các cuộc tấn công này cóthể "qua mặt" được sự giám sát của snort
Snort là một kiểu IDS (Instruction Detection System) Nói ngắn gọn IDS làmột hệ thống được cài đặt trên mạng (hay máy tính) của bạn và nhiệm vụcủa nó là giám sát những gói tin vào ra hệ thống của bạn Nếu một cuộc tấncông được phát hiện bởi Snort thì nó có thể phản ứng bằng nhiều cách khácnhau phụ thuộc vào cấu hình mà bạn thiết lập, chẳng hạn như nó có thể gởithông điệp cảnh báo đến nhà quản trị hay loại bỏ gói tin khi phát hiện có sựbất thường trong các gói tin đó
Tuy nhiên snort cũng có điểm yếu Đó là tương tự như các bộ quét virus(virus scanner), snort chỉ có thể chống lại các cuộc tấn công một cách hiệu
Trang 15quả nếu như nó biết được dấu hiệu (signature) của các cuộc tấn công đó.Dựa vào điểm này, các hacker "cao thủ" có thể điều chỉnh các cuộc tấn công
để thay đổi signature của cuộc tấn công đó Từ đó các cuộc tấn công này cóthể "qua mặt" được sự giám sát của snort
Như vậy có thể thấy rằng, để snort hoạt động một cách hiệu quả thì mộttrong những yếu tố quan trọng cần phải chú ý là các luật viết cho snort Khisnort hoạt động, nó sẽ đọc các tập luật, giám sát luồng dữ liệu chạy qua hệthống và sẽ phản ứng nếu có bất kì luồng dữ liệu nào phù hợp với tập luậtcủa nó Cụ thể hơn, tập luật có thể được tạo ra để giám sát các nỗ lực quyétcổng (scanning), tìm dấu vết (footprinting), hoặc nhiều phương pháp khác
mà các hacker dùng để tìm cách chiếm quyền hệ thống
2 Kiến trúc của Snort
Snort bao gồm nhiều thành phần, mỗi phần có một chức năng riêng biệt
Module giải mã gói tin
Module tiền xử lý
Module phát hiện
Module log và cảnh báo
Module kết xuất thông tin
Kiến trúc của Snort được thể hiện qua mô hình sau:
Khi Snort hoạt động, nó sẽ lắng nghe tất cả các gói tin nào di chuyển qua nó.Các gói tin sau khi bị bắt sẽ được đưa vào module giải mã Tiếp theo sẽ vàomodule tiền xử lý và rồi module phát hiện Tại đây tùy vào việc có phát hiệnđược xâm nhập hay không mà gói tin có thể bỏ qua để lưu thông tin tiếphoặc đưa vào module Log và cảnh báo để xử lý Khi các cảnh báo được xác