đại học thái nguyên TRNG I HC CễNG NGH THễNG TIN VÀ TRUYỀN THÔNG VŨ DUY TUÂN NGHIÊN CỨU XÂY DỰNG MODULE GIÁM SÁT AN NINH MẠNG DỰA TRÊN MÃ NGUỒN MỞ SNORT LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TNH thái nguyên - năm 2014 đại học thái nguyên TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG VŨ DUY TUÂN NGHIÊN CỨU XÂY DỰNG MODULE GIÁM SÁT AN NINH MẠNG DỰA TRÊN MÃ NGUỒN MỞ SNORT LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Chuyên ngành: KHOA HỌC MÁY TÍNH Mã số: 60.48.01 Người hướng dẫn khoa học: TS TRẦN ĐỨC SỰ Thái Nguyên, 2014 LỜI CẢM ƠN Sau tháng nỗ lực tìm hiểu, nghiên cứu thực luận văn Cao học với nội dung “ Nghiên cứu xây dựng Module giám sát an ninh mạng dựa mã nguồn mở Snort” hoàn thành Ngoài nỗ lực thân, tơi nhận nhiều quan tâm, giúp đỡ thầy cô trường ĐH Công nghệ thông tin Truyền thông, Viện Công nghệ thông tin, Học viện Kỹ thuật mật mã, gia đình bạn bè Những động viên giúp đỡ giúp vượt qua khó khăn để hồn thành tốt Luận văn Trước hết em xin gửi lời cảm ơn chân thành đến thầy cô trường ĐH Công nghệ thông tin Truyền thông – ĐH Thái Nguyên, thầy cô giáo sư, tiến sỹ công tác Viện Công nghệ thông tin truyền đạt cho em kiến thức quý báu suốt thời gian học thạc sỹ trường Đặc biệt, em xin gửi lời cảm ơn sâu sắc tới thầy TS Trần Đức Sự Giám đốc Trung tâm Công nghệ thông tin & Giám sát an ninh mạng – Ban yếu phủ tận tình hướng dẫn bảo em suốt thời gian làm luận văn Bên cạnh em xin gửi lời cảm ơn tới thầy, anh chị khoa An tồn thơng tin – Học viện Kỹ thuật mật mã, nhiệt tình giải đáp thắc mắc, tạo điều kiện cho em có tài liệu hữu ích, tham gia thực nghiệm Module mơ hình thử nghiệm trường Cuối cùng, xin cảm ơn gia đình, bạn bè động viên, giúp đỡ suốt thời gian học tập hoàn thành Luận văn Do thời gian, kiến thức trang thiết bị hạn chế, chưa thực nghiệm nhiều kết đạt mang tính chất thử nghiệm Em mong nhận góp ý từ phía thầy cơ, bạn bè để luận văn em hoàn thiện Thái Nguyên, tháng 09 năm 2014 Học viên VŨ DUY TUÂN LỜI CAM ĐOAN Để hoàn thành luận văn thời gian quy định đáp ứng mục tiêu đặt ra, thân em cố gắng nghiên cứu, học tập làm việc Trong trình làm luận văn em có tham khảo số tài liệu (đã nêu phần “TÀI LIỆU THAM KHẢO” không chép nội dung từ luận văn khác Toàn luận văn thân nghiên cứu, xây dựng nên định hướng, hướng dẫn thầy hướng dẫn Em xin cam đoan lời đúng, thông tin sai lệch em xin hoàn toàn chịu trách nhiệm trước thầy giáo hướng dẫn nhà trường Thái nguyên, tháng năm 2014 Học viên VŨ DUY TUÂN DANH MỤC CÁC TỪ VIẾT TẮT IETF : Internet Engineering Task Force RFC : Request for Comments IDS : Intrusion Detection System ARP : Address Resolution Protocol GSANM : Giám sát an ninh mạng CSDL : Cơ sở liệu OSSIM : Open Source Security Information Management NIDS : Network-based IDS HIDS : Host based IDS CPU Central Processing Unit DANH MỤC CÁC HÌNH VẼ Hình 1.1: Mơ hình triển khai hệ thống NIDS 10 Hình 1.2: Mơ hình hệ thống HIDS 12 Hình 1.3 – Mơ hình mạng phổ biến đơn vị vừa nhỏ 13 Hình 2.1: Mis-match so sánh vị trí j 17 Hình 2.2: Good-suffix shift, trường hợp u lại xuất P 17 Hình 2.3: Good-suffix shift, trường hợp suffix u xuất P 17 Hình 2.4: Dịch để ký tự b ăn khớp với văn 18 Hình 2.5: Dịch b khơng xuất P 18 Hình 2.6: Đồ thị hàm goto với từ khóa đầu vào 21 Hình 2.7: Hàm failure 22 Hình 2.8: Hàm ouput 24 Hình 2.9: Ví dụ hàm goto 25 Bảng 2.10: Ví dụ hàm failaure 25 Bảng 2.11: Ví dụ hàm output 25 Hình 3.1: Mơ hình Module giám sát an ninh mạng 35 Hình 3.2: Các sở liệu Module giám sát an ninh mạng 42 Hình 3.3: Giao diện quản lý kiện Module giám sát an ninh mạng 59 Hình 3.4: Giao diện quản trị người dùng Module giám sát an ninh mạng 59 Hình 3.5: Mơ hình thử nghiệm Module giám sát an ninh mạng 60 Hình 3.6: Attacker sử dụng chương trình DoSHTTP để cơng vào WebServer 62 Hình 3.7: Kiểm tra hoạt động CPU WebServer 62 Hình 3.8: Theo dõi gói tin vào WebServer sử dụng Wireshark 65 Hình 3.9: Xây dựng luật Snort phát công DoS qua giao diện Web 66 Hình 3.10: Màn hình cảnh báo công từ chối dịch vụ Module giám sát an ninh mạng 67 Hình 3.11: Sử dụng phần mềm Nmap dò qt cổng máy WebServer 68 Hình 3.12: Màn hình cảnh báo cơng dò qt Module giám sát an ninh mạng 68 Hình 3.13: Chức lưu trữ file giám sát Module giám sát an ninh mạng 69 Hình 3.14: Phân tích file Pcap sử dụng phần mềm Wireshark 69 MỤC LỤC LỜI NÓI ĐẦU .1 Lý chọn đề tài Mục tiêu nhiệm vụ nghiên cứu: Đối tượng phạm vi nghiên cứu Hướng nghiên cứu đề tài Bố cục đề tài Chương – TỔNG QUAN VỀ GIÁM SÁT AN NINH MẠNG 1.1 Khái niệm 1.1.1 Giới thiệu chung 1.1.2 Một số khái niệm liên quan 1.1.2.1 Thu thập liệu 1.1.2.2 Phân tích liệu 1.1.2.3 Phát phản ứng 1.2 Giám sát mạng 1.2.1 Khái niệm 1.2.2 Cách thức hoạt động mục đích ứng dụng .5 1.3 Hệ thống phát xâm nhập 1.3.1 Giới thiệu chung 1.3.2 Nguyên lý hoạt động 1.3.2.1 Giám sát mạng (monotoring) 1.3.2.2 Phân tích lưu thông (Analyzing) 1.3.2.3 Liên lạc 1.3.2.4 Cảnh báo (Alert) 1.3.2.5 Phản ứng (Response) 1.4 Phân loại số kiểu giám sát 1.4.1 Giám sát toàn mạng (NIDS) 1.4.2 Giám sát máy tính đơn lẻ (HIDS) 11 1.5 Mô hình mạng thực tế 13 Chương – KỸ THUẬT XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG .15 2.1 Kỹ thuật phát dựa dấu hiệu thông qua đối sánh mẫu 15 2.1.1 Giới thiệu toán đối sánh mẫu .15 2.1.2 Phát biểu toán 16 2.1.3 Thuật toán Boyer-Moore 16 2.1.4 Thuật toán Aho-Corasick 18 2.1.4.1 Định nghĩa 18 2.1.4.2 Xây dựng máy đối sánh mẫu hữu hạn trạng thái từ tập mẫu phù hợp với từ khóa 19 2.1.4.3 Sử dụng máy hữu hạn trạng thái để xác định vị trí mẫu văn .24 2.1.4.4 Độ phức tạp thuật toán 27 2.1.5 So sánh thuật toán .27 2.2 Kỹ thuật phát dựa bất thường .28 2.2.1 Định nghĩa 28 2.2.2 Dữ liệu phát bất thường .29 2.2.3 Kỹ thuật .31 2.2.4 Phương pháp 32 Kết chương: .34 Chương - XÂY DỰNG MODULE GIÁM SÁT AN NINH MẠNG DỰA TRÊN PHẦN MỀM SNORT 35 3.1 Mơ hình Module giám sát an ninh mạng 35 3.1.1 Mơ hình tổng quan 35 3.1.2 Mơ hình chi tiết 36 3.1.2.1 Máy trinh sát .36 3.1.2.2 Máy thu thập .41 3.1.2.3 Cơ sở liệu .41 3.1.2.4 Phân tích .43 3.1.2.5 Website .46 3.2 Triển khai xây dựng Module giám sát an ninh mạng .46 3.2.1 Lựa chọn phần mềm 46 3.2.1.1 Giới thiệu Snort .46 3.2.1.2 Các thành phần Snort 46 3.2.1.3 Các chế độ hoạt động Snort 49 3.2.1.4 Các tùy chọn việc sử dụng Snort .53 3.2.1.5 Ưu điểm, hạn chế Snort 55 3.2.2 Phân tích yêu cầu chức Module 55 3.2.3 Phân tích thiết kế .56 3.2.4 Tích hợp tính quản lý luật Snort vào Module giám sát an ninh mạng 57 3.2.5 Xây dựng thành phần quản trị tập trung 58 3.3 Vận hành thử nghiệm 59 3.3.1 Mơ hình thử nghiệm 59 3.3.2 Tấn công từ chối dịch vụ 61 3.3.3 Tấn cơng thăm dò 67 3.3.4 Đánh giá kết 69 KẾT LUẬN 71 TÀI LIỆU THAM KHẢO 73 LỜI NÓI ĐẦU Lý chọn đề tài Ngày với phát triển mạnh mẽ khoa học kỹ thuật nói chung cơng nghệ thơng tin nói riêng, việc ứng dụng cơng nghệ thông tin, Internet ngày trở lên phổ biến đời sống ngày hầu hết lĩnh vực Việc trao đổi, quản lý, khai thác thông tin Internet trở thành xu hướng tất yếu xã hội đại Song song với phát triển hàng loạt nguy an tồn thơng tin Vấn đề đảm bảo an tồn thông tin quan, tổ chức đặt lên hàng đầu Tuy nhiên hàng năm vụ cơng mạng liên tục gia tăng mà chưa có biện pháp khắc phục triệt để Cách tốt để đảm bảo cho hệ thống mạng an tồn chủ động phát cơng đưa phản ứng thích hợp Để làm cần phải có hệ thống có khả giám sát toàn hành động vào bên hệ thống mạng cần bảo vệ, có vấn đề cơng cụ bảo vệ hệ thống triển khai nước ta hầu hết mua nước với giá thành cao khó khăn lớn đơn vị vừa nhỏ Mặt khác sản phẩm thương mại nên công nghệ kỹ thuật hệ thống ln ln giữ kín phát sinh dạng cơng mới, nhà quản trị nước tự phát triển mở rộng Từ phát sinh nhu cầu cần có hệ thống hỗ trợ giám sát bảo vệ hệ thống mạng cách hiệu quả, nhà quản trị chủ động mở rộng hay phát triển cho phù hợp với cơng mạng kiểu Đó lý mà tơi chọn đề tài “ Nghiên cứu xây dựng Module giám sát an ninh mạng dựa mã nguồn mở Snort” hướng dẫn TS Trần Đức Sự Mục tiêu nhiệm vụ nghiên cứu: Mục tiêu mà đề tài tìm hiểu, nghiên cứu hệ thống phát xâm nhập, phân tích đưa giải pháp hợp lý Hình 3.3: Giao diện quản lý kiện Module giám sát an ninh mạng Hình 3.4: Giao diện quản trị người dùng Module giám sát an ninh mạng 3.3 Vận hành thử nghiệm 3.3.1 Mơ hình thử nghiệm Chúng tơi áp dụng Module giám sát an ninh mạng để thử giám sát hệ thống mạng theo mơ hình: 59 VLAN 192.168.1.0/24 WebServer 192.168.199.132 Internet ` ` Attacker 192.168.1.101 220.231.101.125 ` VLAN 192.168.2.0/24 220.231.101.126 ` Cisco ASA 5520 ` ` VLAN 192.168.3.0/24 Module GSANM ` ` ` 192.168.199.130 Hình 3.5: Mơ hình thử nghiệm Module giám sát an ninh mạng  tả mơ hình: M - Hệ thống mạng bên chia làm khu vực với dải địa mạng sau: + VLAN 1: 192.168.1.0/24 + VLAN 2: 192.168.2.0/24 + VLAN 3: 192.168.3.0/24 + WebServer: 192.168.199.132 - Module giám sát an ninh mạng kết nối tới cổng Switch để thực giám sát toàn gói tin qua Switch - Hệ thống mạng bên kết nối tới Internet thông qua Firewall ASA 5520 Router - Cụ thể máy sau: + Máy Attacker:   Nằm vùng VLAN 1, địa IP: 192.168.1.101 Cài đặt hệ điều hành Windows  Cài đặt phần mềm DosHTTP, Nmap + Máy WebServer: 60   Địa IP: 192.168.199.132 Cài đặt hệ điều hành Windows Server 2003 SP2  Cài đặt phần mềm XAMPP – Apache làm WebServer  Cài đặt Wireshark + Module giám sát an ninh mạng:   Địa IP: 192.168.199.130 Sử dụng Module giám sát an ninh mạng xây dựng Kịch công: Máy Attacker thực phương pháp công vào WebServer: - Tấn công từ chối dịch vụ (Sử dụng phần mềm DoSHTTP) - Tấn cơng thăm dò (Sử dụng phần mềm Nmap) Chúng ta theo dõi cảnh báo qua giao diện Web Module giám sát an ninh mạng 3.3.2 Tấn công từ chối dịch vụ Chúng tiến hành thử nghiệm khả phát công từ chối dịch vụ Module giám sát an ninh mạng phần mềm kiểm thử DosHTTP Đây phương thức công mà Snort chưa có rule để phát công Do trước thử nghiệm Module giám sát an ninh mạng, chúng tơi tiến hành phân tích công viết thêm rule cho Snort - Tại máy Attacker: Sử dụng phần mềm DoSHTTP để công vào WebServer Hình 3.6: Attacker sử dụng chương trình DoSHTTP để công vào WebServer - Tại máy WebServer: Đột nhiên thấy máy chạy chậm khó đăng nhập vào Website Ta tiến hành kiểm tra sau: Bật Task Manager để kiểm tra hoạt động CPU: Hình 3.7: Kiểm tra hoạt động CPU WebServer Chúng ta thấy CPU load cao lưu lượng mạng vào cao Chứng tỏ hệ thống có vấn đề Tiếp theo, ta đặt Wireshark để lắng nghe thông tin vào WebServer để phân tích: Xem thử log webserver Apache thấy có nhiều request bất thường đến từ IP 192.168.1.101 Cụ thể là máy gửi GET nhiều thời điểm Có thể nhận thấy số GET giây (22:32:40) 22 lần, điều bất thường với người dùng bình thường, ngồi cú GET vào link vào http://192.168.1.199.132 /xampp 192.168.1.101 - - [20/Jun/2014:22:32:36 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:40 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:40 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” 192.168.1.101 - - [20/Jun/2014:22:32:41 +0700] “GET /xampp/ HTTP/1.1” 403 1292 “-“ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; NET CLR 2.0.50727)” Như có khả cao bị cơng DoS từ máy tính 192.168.1.101 Chúng ta cần bắt gói tin Wireshark để kiếm tra thơng tin tìm mẫu để viết luật cho Snort Hình 3.8: Theo dõi gói tin vào WebServer sử dụng Wireshark Ta nhận thấy có nhiều kết nối TCP tạo trước có cú HTTP GET từ IP 192.168.1.101 Như nên chặn kết nối bắt tay TCP trước để tránh tạo cú HTTP GET sau Có thể xem hình thức cơng gửi nhiều HTTP Request liên tục thời điểm để làm giảm hiệu hệ thống hay làm giảm hiệu mạng Vì viết luật tạo ngưỡng để phát kết nối TCP nhiều thời điểm từ máy Trong mơ hình Demo chúng tơi tạm thời coi có máy truy cập Webserver thơi, tạo luật sau: alert tcp any any -> 192.168.199.132 80 (msg:”Co nguoi dang DoS”; flow:stateless; flags:S; threshold:type both, track by_src, count 10, seconds 1; sid:20090011;) Với ý nghĩa sau: Từ IP mà vào WebServer 192.168.199.132 mà có số gói tin TCP khởi tạo với cờ S gửi đến 10 gói giây sinh cảnh báo Giao diện ghi luật : Hình 3.9: Xây dựng luật Snort phát công DoS qua giao diện Web Sau áp luật vào hệ thống chạy thử nghiệm thấy có cơng hệ thống sinh cảnh báo sau: Hình 3.10: Màn hình cảnh báo cơng từ chối dịch vụ Module giám sát an ninh mạng Như sinh cảnh báo cơng DoS 3.3.3 Tấn cơng thăm dò Chúng thử khả phát công thăm dò sử dụng phần mềm quét cổng Nmap vào WebServer Mặc định Hệ thống Giám sát An ninh mạng có plugin portscan tốt, có nhận dạng hầu hết kiểm tham dò, demo sử dụng module Module khai báo file snort.eth0.conf Nội dung sau: preprocessor sfportscan: proto { all } \ memcap { 10000000 } \ sense_level { low } - Trên máy Attacker: Sử dụng phần mềm Nmap để dò quét cổng máy WebServer: Hình 3.11: Sử dụng phần mềm Nmap dò qt cổng máy WebServer - Theo dõi qua giao diện Web Module giám sát an ninh mạng: Hình 3.12: Màn hình cảnh báo cơng dò qt Module giám sát an ninh mạng Như phát hành động quét cổng kẻ cơng, từ tải gói tin sinh cảnh báo xem chi tiết cách kẻ công quét cổng để từ tìm cách đối phó (dùng tưởng lửa, hay tìm cách phản ứng) Tải file Pcap mở Wireshark Hình 3.13: Chức lưu trữ file giám sát Module giám sát an ninh mạng Hình 3.14: Phân tích file Pcap sử dụng phần mềm Wireshark Nhận thấy kẻ công sử dụng cách quét cổng gửi gói tin có cờ SYN liên tục với dải port đến máy WebServer, nắm hành vi quét cổng từ tìm cách chống lại firewall … 3.3.4 Đánh giá kết Như sau tiến hành thử nghiệm chức Snort chạy hệ điều hành nhân Linux tạo thành Module giám sát an ninh mạng theo dõi hoạt động thấy Module giám sát an ninh mạng hoạt động ổn định, không xảy tượng chậm hay xung đột phần mềm Đồng thời Module giám sát an ninh mạng thực chức như: - Giám sát hầu hết gói tin mà khơng làm giảm hiệu suất hoạt động hệ thống mạng - Phát hành vi bất thường - Thống kê luồng lưu thông mạng - Trong suốt với người sử dụng - Dễ dàng vận hành - Có thể quản trị qua giao diện Website - Thích ứng nhanh có thay đổi từ phía người quản trị: Thêm luật, thay đổi cấu hình, chỉnh sửa luật, … Module thử nghiệm hai phương pháp công cho kết cảnh báo xác Các kết cảnh báo hiển thị nhanh theo thời gian thực giao diện Website Thành phần quản trị cập nhật luật cho Snort hoạt động ổn định, hoạt động sau người quản trị tạo luật mà không cần khởi động lại toàn Module giám sát KẾT LUẬN Trong thời đại công nghệ thông tin ngày phát triển nay, vấn đề đảm bảo an toàn thông tin đặt hàng đầu với quan, doanh nghiệp Và hệ thống giám sát an ninh mạng đóng vai trò trọng tâm q trình bảo vệ Hệ thống giám sát an ninh mạng giúp cho người quản trị có nhìn tổng thể hệ thống mạng mình, mối nguy hại xảy đến đồng thời có đưa biện pháp phòng tránh mối nguy hại gây hậu nghiêm trọng cho hệ thống mạng Tuy nhiên, để xây dựng hệ thống giám sát an ninh mạng công việc dễ dàng Nó đòi hỏi phải có hiểu biết sâu rộng phần mềm, kiến thức hệ thống, lập trình, kiến thức an tồn thơng tin Sau thờ , hướng dẫn tận tình TS Trần Đức Sự giúp đỡ tận tình thầy giáo, kỹ sư Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã giúp : - Tìm hiểu hệ thống giám sát an ninh mạng, thành phần chức hệ thống giám sát an ninh mạng - Nghiên cứu, tìm hiểu phần mềm mã nguồn mở với chức khác - Xây dựng thành công Module giám sát an ninh mạng kết hợp tính phần mềm mã nguồn mở Snort nhiều , trực tiếp thử nghiệm mơ hình học viện Kỹ thuật mật mã Tuy nhiên, khuô : - Phát thêm nhiều kiểu công khác - Có thêm chức tự động phản ứng trước công - Xây dựng giao diện quản trị trực quan với người sử dụng, trích xuất báo cáo dạng văn bản: Word, PDF, … - Tích hợp thêm nhiều phần mềm khác với nhiều tính hơn, giúp cho hệ thống giám sát an ninh mạng giám sát hệ thống chặt chẽ - Hiện trái tim Module giám sát an ninh mạng Snort với khả phát xâm nhập dựa vào mẫu sẵn có Vì kiểu cơng phát Do cần xây dựng thêm chức phân tích dựa vào kiện bất thường phân tích dựa giao thức để phát cơng cách xác Hy vọng thời gian tới, tơi nghiên cứu sâu để TÀI LIỆU THAM KHẢO [1] VNCERT (2007), “Nghiên cứu xây dựng mơ hình hệ thống quản lý An toàn Internet theo cấu trúc phân bổ”, Hà Nội [2] Học viện kỹ thuật mật mã (2008), “Bộ giao thức TCP/IP”, Học viện kỹ thuật mật mã, Hà Nội [3] Vũ Bảo Thạch (2006), “Giáo trình Thực hành An tồn Mạng”, Học viện mật mã, Hà Nội [4] Richard Bejtlich (2004), “The Tao Of Network Security Monitoring”, The United States of America [5] Website: http://www.alienvault.com [6] Website: http://www.snort.org/ [7] Website: http://www.securityfocus.com ... thống giám sát an ninh: Phân tích số kỹ thuật giám sát, số phần mềm mã nguồn mở thường ứng dụng việc hỗ trợ giám sát, sâu vào phân tích phần mềm mã nguồn mở Snort Chương 3: Xây dựng module giám sát. .. chọn đề tài “ Nghiên cứu xây dựng Module giám sát an ninh mạng dựa mã nguồn mở Snort hướng dẫn TS Trần Đức Sự Mục tiêu nhiệm vụ nghiên cứu: Mục tiêu mà đề tài tìm hiểu, nghiên cứu hệ thống phát... thống giám sát an ninh mạng Chương – KỸ THUẬT XÂY DỰNG HỆ THỐNG GIÁM SÁT AN NINH MẠNG Một hệ thống giám sát an ninh mạng hoạt động dựa việc tìm kiếm, phát xâm nhập trái phép vào hệ thống mạng