Đang tải... (xem toàn văn)
Suricata là một hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mã nguồn mở. Nó được phát triển bởi Open Information Security Foundation (OISF). Một phiên bản thử nghiệm được phát hành vào tháng 12 năm 2009, bản chuẩn đầu tiên được phát hành tiếp theo vào tháng 7 năm 2010. Sản phẩm này được phát triển không nhằm cạnh tranh hay thay thế các công cụ hiện có, nhưng nó sẽ mang lại những ý tưởng và công nghệ mới trong lĩnh vực này. Phiên bản mới nhất hiện nay là 4.0.4 được phát hành vào ngày 14/2/2018. Suricata là một công cụ đa luồng, cung cấp tăng tốc độ và hiệu quả trong việc phân tích lưu lượng mạng. Ngoài việc tăng hiệu quả phần cứng (với phần cứng và giao diện mạng giới hạn), sản phẩm này được xây dựng để tận dụng khả năng xử lý cao được cung cấp bởi chip CPU đa lõi mới nhất.
z HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN - - BÀI TẬP LỚN Đề tài: Xây dựng hệ thống phát chống xâm nhập trái phép cho mạng sở 1, dựa Suricata Lớp: L01 Sinh viên thực hiện: Nguyễn Thị Nga Phạm Thị Quỳnh Phạm Bảo Yến Giảng viên: Vũ Thị Vân Hà Nội,5/201 NHẬN XÉT CỦA GIẢNG VIÊN ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… ……………………………………………………………………………………………… Page LỜI MỞ ĐẦU Hiện nay, mạng Internet trở nên phổ biến toàn giới Nó đem lại cho người cách tiếp cận thơng tin hồn tồn Đồng thời, ngồi lợi ích to lớn mình, mạng internet ẩn chứa nhiều mối nguy hiểm tiềm tàng như: Lây nhiễm virus, sâu mạng, trojan, sniffer,… Với hệ thống mạng máy tính, việc đảm bảo an tồn cho hệ thống tránh khỏi nguy cơ, hiểm họa đe dọa trọng đề cao Với mơ mạng Học Viện, việc đảm bảo cần áp dụng, kết hợp nhiều biện pháp khác Trong báo này, chúng em xin trình bày đề tài: “Xây dựng hệ thống phát chống xâm nhập trái phép cho mạng sở 1, dựa Suricata” Bản báo cáo có phần: Chương I Hệ thống phát ngăn chặn xâm nhập: Chương giới thiệu cách tổng quan khái niệm, chức năng, phân loại,… liên quan đến hệ thống phát ngăn chặn xâm nhập Chương II Tổng quan Suricata: Chương giới thiệu cách tổng quan khái niệm, chức năng, phân loại,… liên quan đến Suricata Chương III Xây dựng hệ thống phát chống xâm nhập trái phép Chương triển khai xây dựng hệ thống phát chống xâm nhập trái phép cho mạng sở dựa Suricata Mặc dù cố gắng kiến thức thời gian nhiều hạn chế nên chắn báo cáo nhiều thiếu sót, chúng em mong nhận ý kiến đóng góp thầy bạn sinh viên để chúng em tìm hiểu sâu vấn đề Chúng em xin chân thành cảm ơn! Page MỤC LỤC Page DANH MỤC HÌNH ẢNH Page CHƯƠNG 1: HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP 1.1 Các khái niệm hệ thống phát ngăn chặn xâm nhập Phát xâm nhập tiến trình theo dõi kiện xảy hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm dấu hiệu “xâm nhập trái phép” Xâm nhập trái phép định nghĩa cố gắng tìm cách để xâm hại đến tính tồn vẹn, tính sẵn sàng, tính tin cậy hệ thống, cố gắng vượt qua chế an tồn hệ thống máy tính hay mạng Việc xâm nhập xuất phát từ kẻ cơng mạng Internet nhằm giành quyền truy cập hệ thống, người dùng phép hệ thống muốn chiếm đoạt quyền khác mà họ chưa cấp phát Như đề cập trên, hệ thống phát xâm nhập hệ thống phần mềm phần cứng có khả tự động theo dõi phân tích để phát dấu hiệu xâm nhập Ngăn chặn xâm nhập trình thực phát xâm nhập cố gắng để ngăn chặn cố phát Hệ thống phát ngăn chặn xâm nhập IDPS chủ yếu tập trung vào việc phát cố xảy ra, ghi lại thông tin cố đó, cố gắng để ngăn chặn chúng, lập báo cáo với quản trị hệ thống mạng Ngoài ra, tổ chức sử dụng IDPS cho mục đích khác, chẳng hạn xác định vấn đề với sách an ninh, ghi lại mối đe dọa ngăn chặn hành vi vi phạm sách an ninh mạng IDPS thành phần bổ sung cần thiết cho hạn tầng an ninh mạng tổ chức, công ty 1.1.1 Chức hệ thống phát ngăn chặn xâm nhập Có nhiều loại công nghệ IDPS, khác biệt chủ yếu loại kiện mà chúng phát phương pháp mà chúng sử dụng để xác định cố Ngồi việc giám sát phân tích kiện để xác định hoạt động không mong muốn, tất loại công nghệ IDPS thường thực chức sau: - Ghi lại thông tin liên quan đến kiện giám sát: Thông tin thường ghi lại lưu thiết bị gửi đến hệ thống máy chủ giám sát an ninh tập trung (SIEM) Page Thông báo cho nhân viên quản trị kiện an ninh quan trọng: Các thông báo biết đến cảnh báo, thực thông qua số phương pháp như: e-mail, trang web, tin nhắn giao diện quản trị IDPS 1.1.2 Các phương pháp phát chung IDPS IDPS sử dụng nhiều phương pháp khác để phát hành động xâm nhập hệ thống trái phép Những phương pháp như: Phát dựa dấu hiệu, phát dựa kiện bất thường Thông thường IDS sử dụng nhiều phương pháp phát xâm nhập sử dụng phương pháp riêng lẻ hay kết hợp nhằm phát xác hành động xâm nhập 1.1.2.1 Phương pháp phát dựa dấu hiệu Dấu hiệu tập mẫu tương ứng với đe dọa biết thống kê đặc trưng lưu lại sở liệu hệ thống Hệ thống thu thập thông tin liên quan so sánh với dấu hiệu công lưu trữ sở liệu để xác định xem hành động có nguy hiểm hay khơng Ví dụ sau mô tả cách IDS phát xâm nhập dựa vào dấu hiệu - Người dùng cố gắng truy cập vào máy chủ thông qua tài khoản Administrator từ dịch vụ truy cập từ xa (Remote Desktop) Windows Điều vi phạm sách an tồn hệ thống - Một thư điện tử có chủ đề “bảng lương” với tệp tin đính kèm bangluong.exe Đây dấu hiệu tệp mã độc - Luồng liệu mạng có nhiều gói tin ICMP với kích thước lớn - Page Hình 1.1: Mô tả phát xâm nhập dựa dấu hiệu Phát dựa vào dấu hiệu kỹ thuật đơn giản so sánh hành động với danh sách dấu hiệu biết cách so sánh tốn tử Kỹ thuật dùng mơ hình mạng lớn hay giao thức ứng dụng khơng thể theo dõi hiểu trạng thái tất thành phần phức tạp hệ thống 1.1.2.2 Phương pháp phát dựa bất thường mạng Phát dựa vào bất thường tiến trình so sánh hành động xem bình thường với kiện quan sát để xác định độ chênh lệch dẫn tới bất thường IDPS sử dụng phương pháp phát dựa vào bất thường có sẵn tập mẫu trình bày hành vi bình thường đối tượng người dùng, máy tính, kết nối mạng ứng dụng Tập mẫu xây dựng cách giám sát thu đặc trưng hành động cụ thể khoảng thời gian trước Hệ thống IDPS sau sử dụng phương pháp thống kê để so sánh đặc trưng hành động thời với ngưỡng liên quan tập mẫu xây dựng Tập mẫu xây dựng cho nhiều thuộc tính hành vi khác nhau, ví dụ số lượng thư điện tử gửi người dùng, số lần đăng nhập thất bại vào máy tính Page khoảng thời gian định, mức độ sử dụng vi xử lý thông thường thống kê khoảng thời gian trước Thuận lợi phương pháp phát dựa vào bất thường chúng hiệu việc phát hiểm họa chưa biết trước Ví dụ máy tính bị nhiễm loại mã độc loại mã độc tiêu thụ nhiều tài nguyên máy tính, gửi số lượng lớn thư điện tử, khởi tạo số lượng lớn kết nối mạng bên thực hành vi khác, hành vi có khác biệt nhiều so với hành vi định nghĩa tập mẫu Tập mẫu vềngưỡng tạo khoảng thời gian trước đó, khoảng thời gian gọi thời gian huấn luyện Tập mẫu cho phát bất thường dạng tĩnh động Khi tạo ra, tập mẫu tĩnh khơng thay đổi suốt q trình hoạt động trừ trường hợp đặc biệt IDPS trực tiếp tạo mẫu Mẫu hoạt động điều chỉnh liên tục trình quan sát kiện Bởi mạng hệ thống thay đổi theo thời gian nên việc đo lường giá trị ngưỡng tương ứng hành vi bình thường thay đổi theo 1.1.2.3 Phương pháp phát dựa phân tích trạng thái giao thức Phân tích trạng thái giao thức q trình so sánh mẫu xác định trước định nghĩa chấp nhận chung giao thức hoạt động thông thường với kiện quan sát trạng thái giao thức để xác định độ lệch Với phương pháp phát dựa vào bất thường dựa vào máy trạm hồ sơ cụ thể mạng, phân tích trạng thái giao thức dựa vào hồ sơ phát triển nhà cung cấp rõ giao thức cụ thể nên không nên sử dụng Từ “trạng thái” phân tích trạng thái nghĩa IDPS có khả hiểu theo dõi trạng thái giao thức tầng mạng, vận chuyển, ứng dụng có khái niệm trạng thái Ví dụ, người dùng bắt đầu phiên FTP, phiên khởi tạo trạng thái không xác thực Đối với người dùng không xác thực thực số lệch trạng thái quyền xem, cung cấp tên đăng nhập mật Một phần quan trọng khả hiểu trạng thái ghép cặp yêu cầu đáp ứng, nỗ lực xác thực FTP xuất hiện, IDPS xác định xác thực thành công thông qua Page mã trạng thái người dùng phép thực dòng lệch thông qua giao thức 1.1.3 Phân loại công nghệ IDPS 1.1.3.1 Hệ thống IDPS hoạt động dựa mạng (Network-based IDPS) Phần lớn IDPS thương mại dạng Network-based N-IDPS thường bao gồm tập hợp cảm biến đặt điểm khác mạng Hệ thống NIDPS dựa mạng sử dụng dò cảm biến cài đặt tồn mạng Những dò theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa dấu hiệu Những cảm biến thu nhận phân tích lưu lượng thời gian thực Khi ghi nhận mẫu lưu lượng hay dấu hiệu, cảm biến gửi tín hiệu cảnh báo đến trạm quản trị cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập sâu N-IDPS tập nhiều cảm biến đặt toàn mạng để theo dõi gói tin mạng so sánh với mẫu định nghĩa để phát cơng hay khơng Hình 1.2: Mơ hình Network IDPS N-IDPS đặt kết nối hệ thống mạng bên mạng bên để giám sát toàn lưu lượng vào Có thể thiết bị phần cứng riêng biệt thiết lập sẵn hay phần mềm cài đặt máy tính Chủ yếu dùng để đo lưu lượng mạng sử dụng Tuy nhiên xảy tượng nghẽn cổ chai lưu lượng mạng hoạt động mức cao Page 10 gói tin bỏ qua tất luật (chỉ áp dụng cho gói tin tại) - Drop (hủy bỏ): Hành động áp dụng cho IPS luồng Nếu Suricata tìm kiếm dấu hiệu phù hợp chứa hành động drop, hủy bỏ gói tin Do gói tin khơng thể vào mạng nội bên Trong trường hợp bên nhận khơng nhận gói tin khơng có thơng báo vấn đề xảy ra, kết hết hạn Suricata tạo cảnh báo cho gói tin - Reject (từ chối): Đây hành động từ chối gói tin Cả bên nhận bên gửi nhận gói tin bị từ chối Có hai dạng từ chối gói tin tự động lựa chọn Nếu gói tin vi phạm liên quan đến giao thức TCP, yêu cầu khởi tạo lại Những giao thức khác gửi gói tin ICPM báo lỗi Suricata tạo cảnh báo Trong chế độ IPS luồng, gói tin vi phạm bị hủy bỏ giống hành động - Alert (cảnh báo): Nếu dấu hiệu trùng khớp với luật cảnh báo, gói tin xử lý với gói tin khơng có đe dọa khác, trừ trường hợp cảnh báo tạo Suricata 2.5 Các tham số phần Option luật Các tham số mục 2.4 tham số phần Header luật, trình bày số tham số phần Option cần thiết sử dụng tập luật: - msg: Đây tham số chứa chuỗi ký tự mô tả công, cho mô-đun ghi nhật ký cảnh báo in với đặc điểm khác công phát - reference: Từ khóa cho phép luật tham chiếu tới định danh cơng bên ngồi hệ thống - gid:Từ khóa sử dụng để định danh phần hệ thống tạo kiện luật cụ thể áp dụng - sid:Từ khóa sử dụng để định danh cho luật Đây dãy số tùy ý - rev: Từ khóa sử dụng để xác định số lần chỉnh sửa luật - classtype: Từ khóa sử dụng để phân loại luật phát công phần nhiều dạng công chung Page 24 priority: Từ khóa dùng để xác định mức độ nghiêm trọng luật - metadata:Từ khóa cho phép người viết luật nhúng thêm thông tin luật, đặc biệt định danh giá trị đặc trưng 2.6 Bộ phận phát Suricata Trong phận phát liệu đầu vào chia thành nhóm, liệu phân chia theo nhóm dựa vào giao thức TCP, UDP, ICMP Tiếp theo liệu phân nhóm tiếp luồng liệu tới máy trạm, luồng liệu tới máy chủ Các nhóm địa nguồn đích, cổng nguồn đích Cuối nhóm tập mẫu phát chi tiết thể hình 2.3 Suricata tham chiếu dấu hiệu so sánh với lưu lượng mạng vừa phân chia phát công Với lý trên, tất dấu hiệu chia vào nhóm Tuy nhiên phân chia nhiều nhóm tốn nhớ Số lượng nhóm xác định cân nhớ hiệu Số lượng nhóm có hiệu thấp sử dụng nhớ ngược lại Có số tùy chọn để quản lý vấn đề này: Với tùy chọn “high” cho hiệu cao chiếm dung lượng nhớ, tùy chọn “low” cho hiệu thấp chiếm nhớ, tùy chọn “medium” cân hiệu nhớ, thể đoạn mã Đây tùy chọn mặc định, người dùng tùy chỉnh để có hiệu xử lý cao - Tất tùy chọn này, người dùng thêm vào thay đổi giá trị Hầu hết dấu hiệu có điều chỉnh để tập trung vào hướng, nghĩa tập trung hoàn toàn vào máy chủ, máy khách Page 25 Hình sau miêu tả phương pháp phân nhóm phát hiện: Hình 2.3 : Phương pháp phân nhóm phát Suricata Các thuộc tính hình: - src: địa IP nguồn - dst: địa IP đích - sp: cổng nguồn - dp: cổng đích 2.7 Các chế độ hoạt động Suricata 2.7.1 Chế độ luồng Hình 2.4 :IPS Inline Mode Page 26 Trong chế độ Suricata cài đặt máy chủ có nhiệm vụ giám sát toàn lưu lượng mạng phân vùng cần bảo vệ 2.7.2 Chế độ ngồi luồng Hình 2.5: IDS Outline Mode Trong chế độ Suricata cài đặt máy chủ máy tính ánh xạ luồng liệu từ thiết bị khác vào Page 27 CHƯƠNG – XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP TRÁI PHÉP 3.1 Mơ hình triển khai Học viện gồm: sở: Học viện đường Chiến Thắng - Hà Nội (cơ sở 1), Trung tâm nghiên cứu Nguyễn Chí Thanh – Hà Nội (cơ sở 2), sở học viện phía Nam TP Hồ Chí Minh (cơ sở 3) Cơ sở 1: Gồm có phòng ban học viện: hành chính, đào tạo, thư viện, khoa, có phòng thực hành cho sinh viên, khu vực DMZ (hiện chưa triển khai dịch vụ gì) Cơ sở 2: gồm phòng nghiên cứu, mạng văn phòng Cơ sở 3: gồm phòng thực hành, mạng văn phòng sở Các sở Học viện chưa kết nối với thành mạng Hình 3.1: Mơ hình khảo sát mạng học viện Mục đích: Xây dựng hết thống phát chống xâm nhập trái phép cho mạng sở học viện, dựa công cụ suricata Page 28 3.2 Đặt vấn đề Qua khảo sát, Mạng sở học viện có phòng ban ngành vùng DMZ chứa máy chủ Web chạy dịch vụ Vùng máy chủ DMZ chia dải mạng riêng với phòng ban ngành, nằm độc phòng máy chủ nhà trường Vì vùng mạng DMZ cung cấp dịch vụ Internet, chứa nhiều tiềm ẩn nguy bị công từ mạng Internet, từ mạng nội Tuy nhiên sơ đồ mạng, có giải pháp tường lừa cài đặt bảo vệ chung cho toàn mạng nội Học viện Vì vậy, đòi hỏi phải có giải pháp phát chống xâm nhập, đặc biệt cho máy chủ cung cấp dịch vụ vùng mạng DMZ Hình 3.2: Mơ hình triển khai Suricata Trong báo cáo này, nhóm thực cơng Ddos lên máy chủ đặt vùng mạng với DMZ sử dụng Suricata để phát ngăn chặn Page 29 3.3 Mơ hình thử nghiệm Hình 3.3: Mơ hình thử nghiệm Máy Suricata (nằm vùng DMZ) chạy hệ điều hành Ubuntu, có địa IP192.168.31.3 Máy cơng chạy hệ điều hành Windows XP Professional, có địa IP 192.168.31.4 Kịch công Một Attacker (từ mạng bên ngồi) thực cơng DDos lên máy chủ Suricata kỹ thuật Slowloris Suricata cài đặt với tập luật, phát có cơng DDos Từ đó, suricata phát cảnh báo cho người quản trị hệ thống Người quản trị hệ thống xây dựng tập luật để chống lại cơng DDos 3.4 Q trình thực Máy chủ Suricata: Đầu tiên, ta cần tạo file ph-doc.rules để lưu luật thiết lập etc/suricata/rules/ph-doc.rules Sau tạo file xong, mở file suricata.yaml, vào mục “rule-files”,thêm vào “ph-doc.rules” lưu lại Page 30 Hình 3.4: Tạo file ph-doc.rules lưu lại rule-files Hì nh 3.5: Tạo file ph-doc.rules lưu lại rule-files(2) Page 31 Hình 3.6: Tạo file ph-doc.rules lưu lại rule-files(3) Tiếp, ta thiết lập luật cho việc phát slowloris ngăn chặn slowloris Luật thiết lập sau: Hình 3.7: Nội dung tập luật thiết lập Luật có nghĩa: Suricata cảnh báo DOS slowloris cho luồng không thiết lập theo giao thức TCP(ở trình bắt tay bước) drop chúng Sau thiết lập ta lưu luật lại, chạy dòng lệnh sau với quyền root áp file cấu hình lên giao diện mạng eth0: Hình 3.8: Áp file cấu hình lên giao diện eth0 Đợi đến hình xuất thơng báo Page 32 Hình 3.9: Thơng báo áp file cấu hình lên giao diện eth0 thành cơng Tiếp theo, ta chạy dòng lệnh sau để mở file fasst.log Trong file fasst.log ghi lưu lại tất traffic diễn máy suricata Hình 3.10: Mở file fast.log Giao diện website bị cơng DDos có địa DNS minhbao.net Hình 3.11 : Giao diện website bị cơng DDos Máy Attacker: Page 33 Slowloris kỹ thuật tương tự SYN flood diễn lớp HTTP (lớp ứng dụng) Để công, tin tặc gửi u cầu HTTP đến máy chủ, khơng gửi tồn yêu cầu mà gửi phần Với hàng trăm kết nối vậy, tin tặc tốn tài nguyên đủ để làm treo máy chủ, tiếp nhận kết nối từ người dùng hợp lệ Để bắt đầu công DDos ta cần khởi động tệp tin Slowloris.pl Hình 3.12: Câu lệnh khởi động tệp slowloris.pl Hình 3.13: Giao diện slowlori Tiếp theo để thực thi tập lệnh, ta thực theo cấu trúc sau: /.slowloris.pl –dns địa trang web muốn cơng –port 80 Page 34 Hình 3.14: Các socket liên tục xây dựng để gửi resquet đến máy chủ web server Kết quả, ta thử load lại trang http://www.minhbao.net, ta khơng thấy phản hồi Hình 3.15: Kết công DDos Sau 1vài giây, ta thấy bên file fast.log, tập luật ph-doc.rules thực Cụ thể cảnh báo DOS slowloris liên tục Suricata cảnh Page 35 báo cho máy web server drop Còn website, việc load lại trang web phản hồi nhanh chóng Hình 3.16: Kết ghi lại file fast.log Page 36 KẾT LUẬN Với phát triển mạng máy tính lợi ích mà đem lại, theo nguy an toàn hệ thống mạng nảy sinh Việc phát ngăn chặn xâm nhập trái phép hữu ích đảm bảo hệ thống mạng an toàn Bài báo cáo đạt mục tiêu sau: - Tìm hiểu cách tổng quan hệ thống phát chống xâm nhập trái phép, đồng thời tìm hiểu hệ thống phát phòng chống xâm nhập trái phép Suricata Dựa vào Suricata xây dựng tập luật để phát ngăn chặn công DDos kỹ thuật Slowloris Tuy nhiên, trình tìm hiểu, hạn chế kiến thức thời gian mà báo cáo dừng lại mức giới thiệu bản, chưa sâu vào dạng nâng cao áp dụng vào thực tế Hi vọng tương lai, có thời gian hội, chúng em tiếp tục phát triển vấn đề nâng cao Page 37 TÀI LIỆU THAM KHẢO [1] Karen Scarfone, Peter Mell (2007), NIST SP 800-94, Guide to Intrusion Detection and Prevention Systems [2] https://suricata-ids.org/ [3] Cao Minh Tuấn, luận văn thạc sĩ Nghiên cứu đánh giá hệ thống phát ngăn chặn xâm nhập mạng máy tính SURICATA, 2016 Page 38 ... thành nhóm, liệu phân chia theo nhóm dựa vào giao thức TCP, UDP, ICMP Tiếp theo liệu phân nhóm tiếp luồng liệu tới máy trạm, luồng liệu tới máy chủ Các nhóm địa nguồn đích, cổng nguồn đích Cuối nhóm. .. phân chia phát công Với lý trên, tất dấu hiệu chia vào nhóm Tuy nhiên phân chia nhiều nhóm tốn nhớ Số lượng nhóm xác định cân nhớ hiệu Số lượng nhóm có hiệu thấp sử dụng nhớ ngược lại Có số tùy chọn... sản phẩm phần mềm Sản phẩm tiếng sử dụng rộng rãi học tập thực tế Snort Được phát triển từ năm 199 8 đến Snort có bề dày lịch sử 18 năm Snort sản phẩm mã nguồn mở, với kiến trúc thiết kế theo kiểu