1 TRƯỜNG ĐẠI HỌC LẠC HỒNG KHOA CÔNG NGHỆ THÔNG TIN  -             BÁO CÁO NGHIÊN CỨU KHOA HỌC ĐỀ TÀI: XÂY DỰNG HỆ THỐNG CẢNH BÁO TRONG MÔI TRƯỜNG IoT LÊ MINH HẬU BIÊN HÒA, THÁNG 11/2018 TRƯỜNG ĐẠI HỌC LẠC HỒNG KHOA CÔNG NGHỆ THÔNG TIN - - BÁO CÁO NGHIÊN CỨU KHOA HỌC ĐỀ     TÀI:   THỐNG CẢNH BÁO XÂY DỰNG HỆ  TRONG MÔI TRƯỜNG IoT       Sinh viên thực hiện: LÊ MINH HẬU Giáo viên hướng dẫn: Th.S Nguyễn Minh Sơn BIÊN HÒA, THÁNG 11/2018 i LỜI CẢM ƠN Em xin cám ơn giảng viên trường Đại Học Lạc Hồng, thầy cô khoa Công Nghệ Thông Tin giảng dạy hướng dẫn chúng em suốt thời gian chúng em theo học trường Em xin cảm ơn ThS Nguyễn Minh Sơn, giáo viên hướng dẫn em hoàn thành đề tài nghiên cứu khoa học Em xin cám ơn thầy, cô khoa Công Nghệ Thông Tin có ý kiến đóng góp buổi báo cáo tiến độ Ngoài em xin cám ơn thầy Nguyễn Vũ Duy Quang, giáo viên chủ nhiệm giáo viên phản biện, bạn lớp tồn thể gia đình người thân giúp đỡ, động viên chúng em trình thực đề tài Với vốn kiến thức hạn chế điều kiện khách quan không cho phép, đề tài em khó tránh khỏi thiếu sót chưa đáp ứng đầy đủ yêu cầu Do em hy vọng tiếp tục nhận ý kiến đóng góp hướng dẫn q thầy để đề tài em hoàn thiện Em xin chân thành cảm ơn Biên Hòa, tháng 11 năm 2018 Sinh viên thực Lê Minh Hậu ii BẢNG KÝ HIỆU VIẾT TẮT Từ viết tắt IDS IPS VPN DMZ Nghĩa tiếng Anh Intrusion Detection System Intrusion Prevention Systems Virtual Private Network Demilitarized Zone HIDS Host Intrusion Detection System NIDS Network Intrusion Detection System Host-based Intrusion Prevention Network-based Intrusion Prevention Distributed Denial of Service File Transfer Protocol Point-to-Point Protocol Transmission Control Protocol User Datagram Protocol Domain Name System Simple Network Management Protocol Internet Protocol Internet Control Message Protocol Secure Shell Internet of Thing HIPS NIPS DDOS FTP PPP TCP UDP DNS SNMP IP ICMP SSH IOT iii MỤC LỤC LỜI CẢM ƠN i BẢNG KÝ HIỆU VIẾT TẮT ii MỤC LỤC iii DANH MỤC BẢNG v DANH MỤC HÌNH v PHẦN MỞ ĐẦU 1 Lý chọn đề tài Tình hình nghiên cứu Mục tiêu nghiên cứu Đối tượng nghiên cứu Phương pháp nghiên cứu Chương : TỔNG QUAN ĐỀ TÀI 1.1 Tình hình chung 1.2 Kiến trúc môi trường IoT Application layer Network layer Support layer Perceptual layer 1.3 Tổng quan IDS 1.3.1 Định nghĩa 1.3.2 Các yếu tố hệ thống IDS 1.4 Phân loại IDS/IPS 1.4.1.1 Host based - HIDS/HIPS 1.4.1.2 Network based – NIDS/NIPS 1.5 Sự khác IDS IPS 1.6 Một số sản phẩm IDS/IPS Chương : TỔNG QUÁT VỀ CÔNG CỤ SNORT 2.1 Giới thiệu snort 2.2 Kiến trúc Snort 2.2.1 Packet Decoder 2.2.2 Preprocessors 2.2.3 Detection Engine 10 2.2.4 Logging and Alerting System 11 2.2.5 Output Module 11 iv 2.2.6 Chế độ thực thi Snort 12 2.2.6.1 Sniff mode 12 2.2.6.2 Packet logger mode 12 2.2.6.3 NIDS mode 13 2.3 Cơ chế hoạt động hệ thống IDS/IPS 13 2.4 Bộ luật snort 13 2.4.1 Giới thiệu 13 2.4.2 Cấu trúc luật Snort 14 2.4.2.1 Phần Header 16 2.4.2.2 Các tùy chọn Rule Option 18 2.5 Tổng quan Iptables 25 2.5.1 Giới thiệu Iptables 25 2.5.2 Cơ chế xử lý gói tin iptables 25 2.5.3 Target Iptables 25 2.6 Chế độ phòng chống Snort 26 2.6.1 Snort Inline 26 2.6.2 Bổ sung cho cấu trúc Rules Snort chạy Inline mode 27 2.7 Tiểu kết 28 Chương : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP 29 3.1 Sơ đồ triển khai 29 3.1.1 Mơ hình 29 3.1.2 Thiết bị 30 3.1.3 Các công cụ cần thiết 30 3.1.3.1 Snort 31 3.1.3.2 BASE 32 3.1.3.1 MQTT 33 3.1.3.2 Ntop-NG 33 3.1.3.3 Mysql 34 3.2 Đánh giá nhận xét 34 Chương : THỬ NGHIỆM PHỊNG CHỐNG TẤN CƠNG BẰNG SNORT 35 4.1 Mơ Hình 35 4.2 Các phương thức công 35 4.2.1 Attack ping of death (DOS) 35 4.2.2 Attack Syn Flood 35 4.2.3 Attack Zero Day 35 v 4.2.4 Attack ARP Spoofing 36 4.3 Thử nghiệm phịng chống cơng snort 37 4.3.1 Attack ping of death (DOS) 37 4.3.2 Attack Syn Flood 38 4.4 Tiểu kết 39 Chương : TỔNG KẾT 40 TÀI LIỆU THAM KHẢO 41 DANH MỤC BẢNG Bảng 2-1 Các cờ sử dụng với từ khóa flags 23 Bảng 2-2 Các thông số chuyển mạch 25 Bảng 2-3 Các Targets Iptables 26 DANH MỤC HÌNH Hình 1-1 Mơ hình hệ thống NIDS/NIPS Hình 1-2 Sản phẩm IDS Cisco Hình 1-3 IDS Software Suricata Hình 1-4 IDS Software Snort Hình 2-1 Kiến trúc hệ thống Snort Hình 2-2 Quy trình xử lý gói tin .9 Hình 2-3 Mơ hình Logging 11 Hình 2-4 Cấu trúc rules Snort 14 Hình 3-1 Mơ hình áp dụng 29 Hình 3-2 Thiết bị Ras3 30 Hình 3-3 Chạy Snort 31 Hình 3-4 Thêm rules tự khởi tạo 31 Hình 3-5 Giao diện Base 32 Hình 3-6 Quản lý Alert 32 Hình 3-7 Khởi chạy MQTT 33 Hình 3-8 Giao diện làm việc Ntop-Ng 33 vi Hình 3-9 Các liệu alert lưu lại 34 Hình 4-1 Mơ hình áp dụng 35 Hình 4-2 ARP Cache 36 Hình 4-3 Rule phát công 37 Hình 4-4 Kết thử nghiệm phát .37 Hình 4-5 Rules ngăn chặn 37 Hình 4-6 Kết chặn Dos 38 Hình 4-7 Kết sau bị chặn máy cơng 38 Hình 4-8 Rule chặn Syn Attack 38 Hình 4-9 Kết chặn Syn Attack 38 PHẦN MỞ ĐẦU Lý chọn đề tài Theo cục An tồn thơng tin - Bộ TT&TT nước ta đánh giá, có nhiều doanh nghiệp viễn thơng, CNTT tham gia sản xuất thiết bị IoT Tuy nhiên, thị trường Việt Nam giới có nhiều thiết bị trơi khơng đảm bảo an tồn thông tin, lỗ hổng bị khai thác cơng Có tới 70% thiết bị IoT có nguy bị công mạng đến máy chủ họ Việt Nam quốc gia phát triển nước ta năm gần thiết bị IoT áp dụng nhiều nhiều lĩnh vực Hơn 36% doanh nghiệp nước ta triển khai mơ hình Đây số lớn, với số mật độ triển khai lớn tốn việc theo dõi phòng chống cho hệ thống IoT vấn đề đáng quan tâm Vì tác giả thực báo cáo hướng tới việc giám giát máy chủ trung tâm điều khiển thiết bị Iot, biết đặc trưng hệ thống IDS áp dụng vào thực tiễn Giúp người dùng biết phiên làm việc từ thiết bị Tình hình nghiên cứu Theo Itcnew.vn buổi tọa đàm trực tuyến chủ đề “Bảo mật IoT Việt Nam: Thách thức giải pháp” chiều ngày 17/10/2018 có ơng Nguyễn Hồi Nam, đại diện Cục An tồn thơng tin (Bộ TT&TT) nói:” Nguy an ninh, an tồn thơng tin doanh nghiệp giống nguy việc tin tặc khai thác máy chủ, thiết bị mạng hay máy tính cá nhân Tuy nhiên có điểm nghiêm trọng nhóm thiết bị lỗ hổng thiết bị IoT thường cập nhật tương đối chậm, cách thức để cập nhật vá lỗ hổng số trường hợp phức tạp so với việc cập nhật máy chủ máy tính cá nhân Vì lý này, doanh nghiệp thông báo lỗ hổng thiết bị IoT sử dụng việc khắc phục tương đối nhiều thời gian, tính thời gian tháng Đối với thiết bị IoT, có vấn đề bảo mật: Một liên quan đến mức độ an toàn sản phẩm xuất xưởng Điều phụ thuộc hoàn toàn vào nhà sản xuất Trong trường hợp sản phẩm khơng có nguồn gốc rõ ràng nhiều thiết bị bị cài đặt backdoor/module thu thập liệu người dùng Hai việc bảo mật từ phía người dùng, việc đặt mật khẩu, cấu hình khơng an tồn Đối với trường hợp camera giám sát an ninh doanh nghiệp, có nguyên nhân: nhà cung cấp chủ động cài đặt mã độc, hacker khai thác lỗ hổng để công vào thiết bị, cài đặt mã độc Trong buổi tọa đàm có nhắc đến năm gần có 90% hệ thống IDS áp dụng tổ chức doanh nghiệp riêng lĩnh vực IoT năm trở lại sinh viên trường đại học ngồi nước thường tìm tới giải pháp bảo mật IDS mềm Snort phần là open source có khả tùy biến yêu cầu phần cứng không cao Không nước ta mà trường đại học nước khác Snort đại đa số sinh viên thực tập trường đại học nghiên cứu phát triển theo mục đích riêng, cộng đồng người sử dụng nghiên cứu Snort nhiều diễn đàn cơng nghệ có 26 000 thành viên sử dụng quan tâm đến công cụ vấn đề Mục tiêu nghiên cứu Đề tài thực với mục tiêu:  Xây dựng hệ thống phát hiện, cảnh báo hành vi truy cập vào Server điểu khiển hệ thống IoT  Lưu trữ thông tin Attack vào Mysql hiển thị Đối tượng nghiên cứu  Các dịch vụ snort cách hoạt động, cấu hình  Các giao thức gói tin  Hệ thống phát ngăn chặn, Snort Inline Phương pháp nghiên cứu  Tìm hiểu IDS  Tìm hiểu Snort  Tìm hiểu giao thức điều khiển hệ thống IoT  Tìm hiểu gói tin port hệ thống IoT  Tổng hợp phương pháp công dấu hiệu  Triển khai hệ thống Snort 27 Hệ thống DAQ cho snort ba chế độ read-file | passive | inline kèm theo ba loại daq là: pcap | afpacket | nfq • Pcap: mặc định chạy DAQ làm việc chế độ passive, bao gồm thư viện chụp bắt lại gói tin mạng Cách khởi chạy: # snort daq pcap daq-mode passive • Afpacket: có nhiệm vụ chặn lọc gói tin DAQ làm việc chế độ inline, sử dụng đệm (buffer_size_mb) để tiếp nhận xử lý gói tin Khi snort hoạt động chế độ inline mode sử dụng afpacket, thư viện có tên af_packet.c (được build sẵn từ source cài DAQ) load vào kernel để bật module apf (Advanced Policy Firewall) cho phép làm việc thơng qua iptables để chặn lọc gói tin Afpacket có ưu điểm hiệu suất xử lý chặn lọc gói tin nhanh sử dụng đệm buffer, có nhược điểm yêu cầu phần cứng cao, đệm lớn, tối thiểu từ card mạng trở lên để hoạt động chế độ inline mode Cách khởi chạy: # snort daq afpacket -i eth0:eth1 (có thể đổi tên card mạng cho phù hợp) • Nfq (NetFilter Queue): đời lâu afpacket có tác dụng chặn lọc gói tin DAQ chế độ inline, sử dụng module ipqueue thư viện libipq để load queue traffic từ iptables để định chặn lọc gói tin Ưu điểm khơng u cầu phần cứng cao có nhược điểm hiệu suất xử lý chặn lọc gói tin khơng cao Cách khởi chạy: # iptables -A INPUT -p tcp dport 80 -j NFQUEUE queue-num # snort daq nfq daq-var /usr/local/snort/etc/snort.conf queue=2 -Q -l /var/log/snort -c 2.6.2 Bổ sung cho cấu trúc Rules Snort chạy Inline mode Để hỗ trợ tính ngăn chặn phịng chống Snort-inline, thay đổi bổ sung đưa vào luật Snort Đó đưa thêm hành động DROP, SDROP, INJECT thay đổi trình tự ưu tiên Rules Snort • DROP DROP yêu cầu iptables loại bỏ gói tin ghi lại thơng tin hành động LOG • SDROP SDROP tương tự DROP, điều khác biệt chỗ Snort khơng ghi lại thơng tin hành động LOG • REJECT REJECT yêu cầu iptables loại bỏ gói tin gửi lại thơng báo cho nguồn gửi gói tin Hành động REJECT khơng ghi lại bất cử thơng tin 28 2.7 Tiểu kết Qua chương biết tổng quan lý thuyết, định nghĩa hệ thống.Ở chương sau biết cách xây dựng mơ triển khai hệ thống 29 Chương : TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP Để triển khai hệ thống phát thử nghiệm Snort trải qua bước sau:  Nắm rõ địa IP mạng Lan  Lựa chọn thiết bị phù hợp  Cài đặt cấu hình  Chạy thử hệ thống 3.1 Sơ đồ triển khai 3.1.1 Mơ hình Mơ hình áp dụng: Hình 3-1 Mơ hình áp dụng Vị trí Snort: Snort nên đặt trước server điều khiển gói tin phải qua snort trước đến server, đồng thời giúp bảo vệ server trước công Đánh giá mơ hình có Snort khơng áp dụng snort: Khi khơng có snort: Trong mơ hình IoT tác giả sử dụng giao thức MQTT q trình trao đổi thiết bị Server sử dụng tài khoản mật để kết nối vào topic Ở gói tin điều khiển thiết bị Server có TLS/SSL giao thức mã hóa sử dụng chế handshake (bắt tay) để tạo kết nối an toàn máy khách máy chủ Sau hoàn thành bước “handshake”, kênh giao tiếp mã hóa client server thiết lập đảm bảo khơng kẻ cơng có khả nghe trộm thơng tin suốt q trình giao tiếp Dù có bắt gói tin khơng thể giả mạo 30 Nhưng khơng có Snort hoạt động bất thường khơng alert nên nguy công khác Ddos Syn attack xảy Khi có snort: Khi có Snort alert hoạt động diễn liên tục mơ hình đồng thời nhờ dấu hiệu biết trước nên snort phần giảm thiểu nguy công 3.1.2 Thiết bị Để thực cần thiết bị như: - Raspberry Pi (hoặc Laptop pc cài ubutu16.04) Hình 3-2 Thiết bị Ras3 - Các thiết bị Iot (tùy theo mơi trường) - Màn hình Monitor để hiển thị - Laptop Computer (tối thiểu 1) 3.1.3 Các công cụ cần thiết Để thực cần cài đặt công cụ sau  Snort  Mysql  Ntop-ng  Mqtt  Base 31 3.1.3.1 Snort Đây cơng cụ quan trọng mơ hình phát phịng chống xâm nhập hình ảnh sau cài đặt Snort chạy thử nghiệm hình Console test thử gói tin ping để thử hệ thống phát Hình 3-3 Chạy Snort Với nhiều Rules báo cáo tập trung rules cần thiết mơ hình IoT hình ảnh Snort phát có gói tin Syn vào MQTT điều khiển thiết bị IoT Hình 3-4 Thêm rules tự khởi tạo 32 3.1.3.2 BASE Giao diện BASE để hỗ trợ hiển thị tối ưu cho Snort, Base tổng hợp số loại gói tin cập nhật alert theo thời gian thực hình console, nhiên chạy ras hay bị Base cần nhiều dịch vụ kèm nên chạy Ras ko nên thêm Base Hình 3-5 Giao diện Base Base cung cấp giao diện quản lý alert cách trực quan Hình 3-6 Quản lý Alert 33 3.1.3.1 MQTT MQTT cài đặt Ras để điều khiển Chúng ta cài song song MQTT server client thiết bị để test Nếu có nhiều thiết bị nên phân riêng biệt server client Hình 3-7 Khởi chạy MQTT 3.1.3.2 Ntop-NG Ntop-NG công cụ hỗ trợ người quản trị xem traffic mạng đồng thời biết thông tin client mạng Lan Hình 3-8 Giao diện làm việc Ntop-Ng 34 3.1.3.3 Mysql Mysql cài đặt chung với công cụ barnyard2 để lưu alert sau thông báo, đồng thời cịn kết hợp với cơng cụ hiển thị cảnh báo Base để hiển thị cách tường minh Hình 3-9 Các liệu alert lưu lại 3.2 Đánh giá nhận xét Đã cài đặt thành công hệ thống phát chống xâm nhập Snort chạy hệ điều hành Ubuntu Hệ thống Snort cài thành cơng có chức năng:  Phát hành vi bất thường diễn môi trường  Thể alert qua giao diện Base  Lưu trữ thời gian , địa ip đối tượng xâm nhập qua sở sở liệu lưu mysql  Tuy nhiên, nhiều chức chưa khai thác hết 35 Chương : THỬ NGHIỆM PHÒNG CHỐNG TẤN CÔNG BẰNG SNORT Ở chương tác giả nói cách cơng phổ biến cách phịng chống 4.1 Mơ Hình Hình 4-1 Mơ hình áp dụng 4.2 Các phương thức công 4.2.1 Attack ping of death (DOS) Với dạng cơng máy cơng liên tục gửi gói tin icmp có kích thước lớn gói tin ping thơng thường cụ thể lớn 65.536 bytes, gói tin bị chia thành segment nhỏ, máy đích ráp gói tin lại, địa đích nhận thấy gói tin lớn buffer bên nhận Kết khiến hệ thống quản lý tình trạng bất thường reboot bị treo lệnh: VD :Ping 192.168.1.252 –s 66000 4.2.2 Attack Syn Flood Đây kiểu công từ chối dịch vụ, người công gửi liên tục gói tin kết nối Syn đến hệ thống Loại công phổ biến nguy hiểm, hệ thống chia sẻ tài nguyên sau nhận gói tin Syn từ máy cơng trước nhận gói tin Ack 4.2.3 Attack Zero Day Zero-day thuật ngữ công hay mối đe dọa khai thác lỗ hổng ứng dụng máy tính mà chưa cơng bố chưa sửa chữa update windows cũ "Windows Vista/7:SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D." nguyên văn tiêu đề mô tả mã công viết Python mà Gaffie đưa lên blog bảo mật Seclists.org Cuộc công nhằm vào lỗi xuất phát từ System Message Block phiên 2.0 (SMB2) vốn có Windows Vista, Windows Windows Server 2008 Đi sâu vào lỗi Gaffie cơng bố, ngun nhân xuất phát từ cách thức driver srv2.sys xử lý yêu cầu từ máy khách 36 phần header ô "Process Id High" chứa đựng ký tự "&"(mã hexa 00 26) Cuộc công không cần đến chứng thực nhận dạng, cần cổng 445 truy xuất Mối lo ngại cổng 445 thường mở mặc định phần cấu hình mạng nội (LAN) Windows Cách phòng chống: + Cập nhật vá lỗi cho windows + Lọc liệu từ port TCP 445 tường lửa/ + Lock port SMB registry 4.2.4 Attack ARP Spoofing Attack ARP Spoofing hình thức cơng Man in the middle đại có xuất sứ lâu đời kiểu công cho phép kẻ công nằm subnet với nạn nhân nghe trộm tất lưu lượng mạng máy tính nạn nhân Đây loại công đơn giản lại hình thức hiệu thực kẻ cơng Cách phịng chống: Cấu hình Snort để phát ARP Spoofing Bật tính nhận dạng arp spoofing file snort.conf: preprocessor arpspoof preprocessor arpspoof_detect_host: 192.168.1.1 00:0d:70:b3:3a:90 Nguyên tắc để phát ARP Spoofing so sánh với bảng liên hệ IP MAC người quản trị đặt ra, có gói tin gửi thơng tin sai MAC địa IP kích hoạt báo động Snort dùng preprocessor để phát arp spoofing nên thơng tin source destination arpspoof preprocessor alert không MAC address không với IP address ánh xạ file cấu hình Hình 4-2 ARP Cache Có thể thêm entry vào danh sách cách sử dụng lệnh: 37 arp –s Có nhiều trường hợp cấu hình mạng bạn thay đổi, bạn hồn tồn tạo danh sách entry ARP static sử dụng chúng cho client thông qua kịch tự động Điều bảo đảm thiết bị dựa vào ARP cache nội chúng thay ARP request ARP reply 4.3 Thử nghiệm phịng chống cơng snort 4.3.1 Attack ping of death (DOS) Đầu tiên thêm rule có nội dụng phía vào file local.rules để phát cơng Hình 4-3 Rule phát cơng Snort hiển thị Alert liên tục Hình 4-4 Kết thử nghiệm phát Sau thêm rule sau vào để ngăn chặn Attack Hình 4-5 Rules ngăn chặn Sau thêm rule xong , chạy snort chế độ inline kết : 38 Hình 4-6 Kết chặn Dos Cịn giao diện Dos bên phía máy cơng Hình 4-7 Kết sau bị chặn máy công 4.3.2 Attack Syn Flood Cách phịng chống: Thêm rules sau vào Snort Hình 4-8 Rule chặn Syn Attack Sau thêm Snort Hình 4-9 Kết chặn Syn Attack 39 4.4 Tiểu kết Đánh giá hệ thống phòng chống xâm nhập Snort:  Phát hành vi bất thường diễn mơi trường  Phịng chống kiểu cơng Ping of Death Syn Flood  Hệ thống phòng chống snort phụ thuộc vào dấu hiệu kẻ công cần thay đổi cấu trúc snort chưa biết dấu hiệu bị bỏ qua 40 Chương : TỔNG KẾT Những kết đạt được:  Về mặt lý thuyết: Sau thời gian nghiên cứu đề tài “ Xây dựng hệ thống phát giám sát trường IoT, tác giả nghiên cứu tìm hiểu nguyên lý hoạt động thành phần môi trường IoT, hệ thống Snort, cách thức vận hành cách thức đưa alert thơng báo có hành vi xâm nhập diễn môi trường Đồng thời hiểu rõ cách xuất output alert cách cấu hình snort hệ điều hành ubuntu 16.04 Bên cạnh việc sử dụng rule nhà phát triển tác giả cịn phải tìm hiểu cách viết xây dựng rules cho môi trường nghiên cứu cho phù hợp  Về mặt thực nghiệm: • Phát hành vi bất thường diễn mơi trường IoT • Thể alert qua giao diện Base • Lưu trữ thời gian , địa ip đối tượng xâm nhập qua sở sở liệu lưu mysql • Phịng chống kiểu công Ping of Death Syn Flood Cuối cùng, tổng hợp lại làm sản phẩm hiển thị hình monitor hiển thị phát giúp phòng chống xâm nhập cho hệ thống Những vấn đề tồn tại: Tuy nhiên trình nghiên cứu đề tài tác giả gặp số khó khăn việc triển khai hệ thống vào server điều khiển nên tác giả phải giả lập chung ras vừa server điều khiển vừa hệ thống cảnh báo Ngoài thiếu kiến thức việc lập trình linux nên nhiều thời gian cho việc tìm hiểu, cài đặt giải vấn đề Hệ thống phịng chống phát công cách hiệu biết trước dấu hiệu công Điều khiến kẻ công dễ thay đổi dấu hiệu vượt qua hệ thống Vấn đề công lớn, cách thức cơng ngày đổi khó đoán trước Định hướng phát triển tương lai: Nâng cấp hệ thống phát phòng chống, ngăn chặn nhiều dạng xâm nhập vào tài nguyên Server Đồng thời phát triển thêm rules phù hợp với môi trường IoT 41 TÀI LIỆU THAM KHẢO [1] Sforzin† Alessandro, A Fruitful Intrusion Detection System for IoT, 2016 [2] Michael Andersson, Andreas Mickols, A study of Centralized Network Intrusion Detection, 2017 [3] Trần Văn Cường, "Tìm hiểu chế, cách hoạt động IDS," 2015 [Online] Available: https://viblo.asia/p/network-tim-hieuco-che-cach-hoat-dong-cua-ids-phan-2-pDljMbe5RVZn [4] Nguyễn Trọng Tấn, "Ly thuyet ve Snort," 2018 [Online] Available: https://github.com/TrongTan124/ghichep-IDS-IPSSIEM/blob/master/ghichepsnort/Ly%20thuyet%20ve%20Snort.md [5] Phan Mạnh Tuấn, "Giao thức MQTT," 2017 [Online] Available: https://arduino.esp8266.vn/network/mqtt.html ...2 TRƯỜNG ĐẠI HỌC LẠC HỒNG KHOA CÔNG NGHỆ THÔNG TIN - - BÁO CÁO NGHIÊN CỨU KHOA HỌC ĐỀ     TÀI:   THỐNG CẢNH BÁO XÂY DỰNG HỆ  TRONG MÔI TRƯỜNG IoT       Sinh... tài “ Xây dựng hệ thống phát giám sát trường IoT, tác giả nghiên cứu tìm hiểu nguyên lý hoạt động thành phần môi trường IoT, hệ thống Snort, cách thức vận hành cách thức đưa alert thơng báo có... FDDI, Cisco HDLC, SLIP, PPP, PF OpenBSD Trong báo cáo Snort đóng vai trị chủ đạo hệ thống Snort áp dụng để cảnh báo hệ thống giám sát phát bất thường môi trường IOT 2.2 Kiến trúc Snort Snort bao gồm