Đăng ký
  1. Trang chủ
  2. » Giáo Dục - Đào Tạo

(Luận văn thạc sĩ) giải pháp phát hiện và ngăn chặn truy cập trái phép vào mạng

80 21 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

ĐẠI HỌC Q U Ó C GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ N G U Y Ê N P H Ư Ơ N G C H ÍN H G IA I P H A P P H A T H IẸ N V A NG ĂN CH ẶN TRUY CẬP TRÁI PHÉP VÀO M ẠNG N g n h : C ô n g n g h ệ T h ô n g t in C h u y ê n n g n h : T r u y ề n d ữ liệ u v M n g m y t ín h M ã s ố : 15 LU Ậ N V Ă N T H Ạ C s ĩ NGƯỜI HƯỞNG DẦN KHOA HỌC: PGS-TS Nguyễn Văn Tam Hà Nội-2009 L Ờ I C Ả M Ơ N L i dầu tiê n , x in c h â n th n h c ả m om P G S T S N g u y ễ n V ă n T a m V iệ n c ô n g ng h ệ th ô n a tin n g i g ợ i ý đề tà i v tận tìn h h n g d ần c h o h o àn th ành lu ậ n v ă n cao h ọ c n y T ô i c ũ n g x in g i lờ i c ả m ơn ch â n th n h tớ i P h ò n g đào tạo sau đ i h ọ c v c c th ầ y cô g iá o tro n g k h o a C ô n g n g h ệ - T r n g Đ i H ọ c C ô n s N g h ệ - Đ i H ọ c Q u ố c G ia H N ộ i dã g iả n g d y , tru y ề n đ ạt v tạo d iề u k iệ n h ọ c tập tốt n h ấ t c h o tơ i su ố t q trìn h h ọ c ca o h ọc c ũ n g n h th i g ia n th ự c h iệ n lu ậ n v ă n c a o h ọ c H N ộ i, th n g n ăm 0 N g u y ễ n P h n g C h ín h I M Ụ C L Ụ C LỜ I C Ả M ƠN B Ả N C i C Á C T Ừ V I É T T Ắ T , K Ý H IỆ U M ỤC LỰ C M Ở Đ Ầ U Đ ặ t v ấ n đ ề N ộ i d u n a củ a dề t i C ấ u trú c lu ận v ă n .2 C H Ư Ơ N G T Ồ N G Q U A N V Ề H Ệ T H Ố N G I P S 1.1 L ịc h s đ i 1.2 H ệ th ố n g I D S 1.2.1 M ộ t hệ thốns, I D S b ao gồm c c th ành p h ầ n 2 P h â n loại c c hệ th ố n g I D S 1.2 N e tw o rk -b a se d In tr u s io n D e te c tio n S y s te m ( N I D S ) 2 H o st-b a se d In tru s io n D e te c tio n S y s te m ( H I D S ) .7 2 H y b r id In tru s io n D e te c tio n S y s t e m 1.3 H ệ th o n g I P S 1.3.1 Phân loại IP S 10 C c thành p hần c h í n h 11 1.3 M o d u le p hân tíc h g ó i (p a c k e t a n a ly z e r ) 11 2 M o d u le p hát h iệ n c ô n g .11 3 M o d u le p hản ứ n g 14 3 M h ìn h h o ạt đ ộ n g 15 Đ n h g iá hệ th ố n e I P S 17 K ế t c h n s , 18 C H Ư Ơ N G : T ÌM H IÉ Ư V À N G H IÊ N c ứ u C Á C P H Ư Ơ N G P H Á P P H Á T H IỆ N TÁN CÔN G TRO N G H Ệ T H Ố N G I P S .21 T o n s q uan v ề p h n e p h p p h át h iệ n bẩt t h n a 2.1.1 T h ế n o b ấ t t h n g t r o n g m n g ? 21 2 C c n g u n d ữ liệ u d ù n g c h o p h t h iệ n b ất t h n s 2 2 N e t w o rk P r o b e s 23 2 L ọ c s ó i tin c h o v iệ c p h â n tíc h lu o n a ( P a c k e t F ilt e r in g ) 23 2 D ữ liệ u từ c c g ia o th ứ c đ ịn h t u y ế n 2 D ữ liệ u từ c c g ia o th ứ c q u ả n trị m n s C c p hư ơna, p h áp p hát h iệ n b ất t h n s 25 H ệ c h u v ê n g ia ( R u le - b a s e d ) M n g N a - ro n ( A r t if ic ia l N e u l N e t w o r k ) .2 3 M y trạ n g th h ữ u h n 31 P h â n tíc h th ố n g k ê 2 M n g B a y e s .3 2 K ế t c h n a 35 C H Ư Ơ N G 3: P H Ư Ơ N G P H Á P P H Á T H IỆ N B Á T THƯ Ờ N G D ự A TRÊN KH A I P H Á D L I Ệ U .3 3.1 K h a i p h l i ệ u C c th u ậ t toán p h át h iệ n bất th n g tro n a k h a i p h p d l i ệ u Đ n h g iá c h u n a v ề h ệ t h ố n g 39 2 P h ầ n tử d ị b iệ t 41 2 P h n g p h áp đ iể m lâ n c ậ n g ầ n n hất ( N N ) 2 P h n g p h áp p h p h iệ n đ iể m d ị b iệ t d ự a trê n k h o ả n g c c h M a h a la n o b is 3 2 T h u ậ t to án L O F 4 2 T h u ậ t to án L S C - M i n e 3 M h ìn h p hát h iệ n bất th n g d ự a trê n k ỹ th u ậ t K J P D L 3.3.1 M o d u l e lọ c t i n 51 3 M o d u le tríc h x u ấ t th ô n e t i n 51 3 M ô đ u n phát h iệ n p hần tử di b iệ t 52 3 M o d u le p hản ứ n g 55 3 M o d u le tổ n g h ợ p 55 G iớ i th iệ u v ề hệ th ố n g p hát h iệ n x â m n hập M I N D S 58 G iớ i th iệu hệ th ố n g .58 S o sánh S N O R T v M I N D S 4 T ấ n c ô n g d ự a trê n n ộ i d u n e 4 H o t độ n g s c a n n in g 65 3 X â m p h ạm c h ín h s c h 6 K Ì t c h n g 6 K É T L U Ậ N H n g phát triể n c ủ a lu ặn v ă n : 69 T À I L IỆ U T H A M K H Ả O II B Ả N G C Á C T Ù V IẾ T Đ ầ y đủ T v iế t tắ t T Ắ T , K Ý H IỆ U T iế n g V iệt IP S In tr u s io n P re v e n s io n S y s te m H ệ th ổ n a n a ă n c h ặ n tru y cập trá i p h ép ID S In s tru s io n D e te c tio n S y s te m H ệ th ố n g p hát h iệ n tr u y cập trá i p h ép N ID S N e tw o rk - b a s e d In tru s io n H ệ th ố n g p h t h iệ n tru y cập c h o m n g D e te c tio n S y s te m H 1D S H o s t-b a se d In tru s io n H ệ th ố n g p h át h iệ n tru y cập c h o m y trạ m D e te c tio n S y s t e m O O B IP S O u t o f b an d In tru s io n H ệ th ố n g I P S b ố t r í b ên n go ài P re v e n s io n S y s te m In - lin e I P S In lin e In tru s io n P re v e n s io n H ệ th ố n g IP S bố trí th ẳ n g h àng S y s te m UDP U s e r D a ta g m P ro to c o l G ia o th ứ c tru y ề n d liệ u U D P TCP T r a n s m is s io n C o n tro l G ia o th ứ c tru y ề n d liệ u T C P P ro to c o l FTP F i l e T r a n s f e r P ro to c o l G ia o th ứ c tru y ề n f ile F T P DNS D o m a in N a m e S e r v e r D ịc h v ụ p h â n g iả i tên m iề n ROC R e c e v ie r o p e r a tin g Đ n a c o n g đ ặ c trư n a, hoạt độ n g C h a r a c t e r is t ic C u r v e DoS D e n ia l o f S e r v ic e T ấ n c ô n g từ c h ổ i d ịc h v ụ O SPF O p e n sh o rte st p ath fir s t G ia o th ứ c đ ịn h tu y ế n O S P F SN M P S im p le N e t w o rk T ậ p h p g ia o th ứ c q u ả n lý m n g đ n g iả n M a n a g e m e n t P ro to c o l M IB M a n a g e m e n t in fo rm a tio n C s q u ả n lý th ô n g tin b a se FC M F u z z y c o g n itiv e m ap B ả n đồ n h ậ n th ứ c m M LP M u lt i- la y e r e d P e rc e p tro n K iế n trú c n h ậ n th ứ c đa tầng SO M S e lf - O r g a n iz in g M a p s B ả n đồ tổ c h ứ c đ ộ c lậ p II FSM F in it e sta te s m a c h in e M y trạ n g th i h ữ u h ạn ID E S In tr u s io n D e te c tio n E x p e r t H ệ th ố n g c h u y ê n g ia p hát h iệ n tru y c ậ p S y s te m trá i p h é p N e x t G e n e tio n In tr u s io n T h ế h ệ tiế p th eo c ủ a hệ thống c h u y ê n g ia D e te c tio n E x p e r t S y s t e m p h t h iệ n tru y cập trá i phép E v e n t M o n it o rin g E n a b lin g H ệ th ố n g p h t h iệ n tru y cập E M E R A L D N ID E S EM ERA LD R e s p o n s e s to A n o m a lo u s L i v e D is tu rb a n c e s LO F L o c a l O u t lie r F a c t o r N h â n tố dị b iệ t đ ịa p h o n e M IN D S M in n e s o ta In tr u s io n H ệ th ổ n g p h t h iệ n tru y cập M in n e s o ta D e te c tio n S y s te m Ill T H Ô N G T IN H ÌN H V Ẽ / B Ả N G Hình vẽ/bảng Trang H ìn h 1.1 : H ệ th ố n g N e tw o rk -b a s e d In tru s io n D e te c tio n H ìn h 1.2 : H ệ th ố n g H o st-b a se d In tru s io n D e te ctio n H ìn h : H ệ th ố n g H y b r id In tru s io n D e te c tio n H ìn h 1.4 : M h ìn h th ê m lu ậ t p h n e pháp phát h iệ n d ựa dấu 12 h iệ u H ìn h ỉ : M h ìn h th êm lu ậ t p h irơ n a p háp phát h iệ n d ự a phát 13 h iệ n bất th n g H ìn h : M h ìn h hoạt đ ộn g củ a hệ th ố n g IP S 15 H ìn h 1.7 : M in h họa đ n g co n g R O C 18 H ìn h : M h ìn h hệ th ố n g phát h iệ n bất th n g d ự a tập lu ật 26 H in h 2 : M h ìn h m n g n ro n 27 H ìn h : c ấ u trú c m ộ t hệ th ố n g p hát h iệ n bất th n g s d ụ n g S O M 29 H ìn h : C ô n g th ứ c c h u ẩ n hóa d ữ liệ u đầu o 30 H ìn h : T h iế t kế c ủ a m n g S O M 30 H ìn h : M ô h ìn h F S M c h o kế t n ổ i T C P 31 H ìn h : G n g iá trị để lư ợ n g hóa c c c u ộ c cô n g s đồ 40 H ìn h : M in h h ọ a b i to án phát h iệ n p h ầ n tử dị b iệ t 41 H ìn h 3 : M in h họa p h n g p háp đ iể m lâ n cận gần n hất phát h iệ n 43 p h ầ n từ dị b iệ t H ìn h : Ư u đ iể m c ủ a p h n s; p h áp d ự a trèn k h o ả n g c c h 44 M a h a la n o b is k h i tín h c c k h o ả n g c c h H ìn h : V í dụ k h o ả n g c c h R - d is (re a c h -d ist) 45 H ìn h : Ư u đ iể m c ủ a p h n s, p háp L O F 47 H ìn h : T h u ậ t to án L S C - M in e 50 H ìn h : M h ìn h hệ th ố n g phát h iệ n bất th n g s dụn g k ỹ thuật 50 KPDL H ìn h : Đ n g c o n g R O C c ủ a c c th uật toán 54 Ill Hình 3.10: Mơ tả hoạt động mơđun tổng hợp 56 Hình 3.11: Mơ hình hoạt động hệ thống MINDS 59 Hinh 3.12: Bàng kết đầu hệ thống MINDS - cột 62 giá trị bất thường Bảng 3.1 : Danh sách cảnh báo chưa rút aọn 57 Bảng 3.2: Danh sách cảnh báo sau rút gọn 58 Bảng 3.3: Nhữne đặc điểm chọn “dựa thời gian” 60 Bảng 3.4: Nhữna đặc điểm chọn “dựa kết nối” 60 M Ở ĐẦU Đăt « vấn đề Vấn đề an tồn, an ninh mạng khơng nhưns neày càna trở nên quan trọng với phát triển theo chiều rộng chiều sâu xã hội thơng tin Lấy ví dụ đơn aiản eần nhiều trang web, hệ thống mạng Việt Nam bị hacker công gây hậu đặc biệt nghiêm trọna Hon công ngày tinh vi, phức tạp đến từ nhiều hướng khác Trước tình hình hệ thống thơng tin cần phải có chiến lược, giải pháp phòng thủ theo chiều sâu nhiều lớp IPS (Intrusion Prevension System - Hệ thống ngăn chặn truy nhập trái phép) hệ thống có khả năne phát trước làm chệch hướng công vào mạng IPS dáp ứng dược yêu cầu hệ thống phòng thủ chiến lược theo chiều sâu, hoạt động dựa sở thu thập dừ liệu mạng, tiến hành phân tích, đánh giá, từ đỏ xác định xem có dấu hiệu công hay không đế đưa cảnh báo cho nhà quản trị mạng tự động thực số thao tắc nhằm naãn chặn chấm dứt cơng Các hệ thống IPS có hai hướng tiếp cận dựa dấu hiệu dựa phát bất thườne Đổi với hướng dựa dấu hiệu, hệ thống sử dụng mẫu tẩn công từ lần công trước tiến hành so sánh để xác định dừ liệu đane xét có phải cơng khơng, hướng sử dụne, tương đối rộng rãi có điểm yếu phát dạng công biết trước Đổi với hướng dựa phát bất thường, hệ thống xây dựng hồ sơ mơ tả trạng thái bình thường, từ xét hành động bất thường thông số đo hành động có độ khác biệt đána kể với mức “bình thường” Hướng tiếp cận có nhiều ưu điểm cách tiếp cận dựa dấu hiệu có khả năne phát công Nội dung đề tài Xuất phát từ vẩn đề nêu trên, nội dung đề tài bao gồm vấn đề sau: 57 Đối với module tổng hợp đầu vào két nối dược xác định bất thường từ mođule phát phẩn tử dị hiệt, dầu mẫu rút gọn mô tả công Module tổng hợp sử dụng thuật toán heuristic để lựa chọn cách rút gọn tập cảnh báo cách phù hợp Các thuật toán bao gồm bước sau: - Xuất phát từ cảnh báo module phát phần tử dị biệt, xác dịnh tần số xuất tập yếu tố quan sát - Đưa danh sách ứng cử viên rút gọn - Sử dụng vét cạn trường hợp sử dụng hàm địnhlượns s=k*(độ nén) - ( ti lệ tin) Xác định ứng cử viên có hàm dịnh lượng s lớn Thực rút gọn theo ứng cử viên Loại bỏ cảnh báo nằm trình rút gọn Cứ tiếp tục với ứng cử viên khác toàn danh sách rút gọn - Ta xem xét danh sách cành báo sau: Srclp sPort dstlP dPort Pro Flags Packet Bytes TI 12.190.84.122 32178 100.10.20.4 80 Tcp _APRS_ [2,20] [504,1200] T2 88.34.224.2 51989 100.10.20.4 80 Tcp _APRS_ [2,20] [220,500] T3 12.190.19.23 2234 100.10.20.4 80 Tcp _APRS_ [2,20] [220,500] T4 98.198.66.23 27643 100.10.20.4 80 Tcp _ARSF_ [2,20] [42,200] T5 192.168.22.4 5002 100.10.20.3 21 Tcp APRS_ [2,20] [42,200] T6 192.168.22.4 5001 100.10.20.3 21 Tcp APRS_ [40,68] [200,500] T7 67.118.25.23 43532 100.10.20.3 21 Tcp _ARSF_ [40,68] [42,200] T8 192.168.22.4 2765 100.10.20.4 113 Tcp _APRS_ [2,20] [504,1200] Bảng 3.1 danh sách cảnh báo chưa rút eọn Tập ứng cử viên hao gồm yếu tố quan sát hộ yếu tố quan sát có tần sổ xuất cao như: {[srcIP=192.168.22.4],[dstIP=100.10.20.4;pro=tcp;flags=_APRPS_, packets=2,20], [dport=80],[srcIP= 192.168.22.4;dstl p= 100.10.20.3],[dstIP= 100.10.20.4;dport=80] } Sử dụng thuật toán rút gọn, cảnh báo sau: 58 -Srclp sPort dstlP dPort Pro Flags Packet Bytes 51 ** ** *** 100.10.20.4 * Tcp _APRS_ [2,20] *** 52 **** *** 100.10.20.3 21 Tcp *** *** *** 53 192.168.22.4 2765 100.10.20.4 113 Tcp APRS_ [2.20] [504,1200] Bảng 3.2 )anh sách cảnh báo sau k li dã rút gọn Các hệ thống phát hất thưừna trước có điểm hạn chết dỏ khơng có trình học phản hồi từ chuyên gia Nghĩa cảnh báo sai tiếp tục xuất lần sau Đối với hệ thống sử dụng KPDL, hình thành cảnh báo rút gọn Module tồng hợp chuyển cho chuyên gia xem xét định cảnh báo cành báo thực có cơng, dừ liệu cập nhật vào kho liệu hệ thong giúp cho việc phát tẩn cơng lần sau đơn giản 3.4 Giói thiệu hệ thống phát xâm nhập MINDS 3.4.1 Giói thiệu hệ thống Hệ thống phát xâm nhập Minnesota (MINDS) [9] hệ thống dựa plnrơng pháp khai phá liệu nham phát xâm nhập mạng Mơ hình hệ thống thực chất trình bày phần có đày đù module thành phần hệ thống phát xâm nhập sử dụng khai phá liệu, phần vào giới thiệu thành phần triển khai thực cùa hệ thống Hình 3.11 minh họa tiến trình phân tích liệu giao thông mạng hệ thống Đầu vào hệ thống MINDS liệu Netflow phiên bàn cơng cụ dịng ( Flow-tool) tập hợp lại Các công cụ chi bắt thông tin phần header cúa gói tin (chứ khơng bắt nội dung) xây dựng phiên (các flows) chiều Chúng ta làm việc liệu Netflow thay liệu tcpdump khả thu thập lưu trừ liệu tcpdump tươne đối tốn Trong vòng 10 phút, liệu Netflow sinh khoảng 1-2 triệu dòng lưu vào tệp liệu Các chuyên gia dùng hệ thốna, MINDS để phân tích tệp liệu sinh 10 phút đợt Lý hệ thống chạy tệp cùne đợt khơng phải thời gian cần để phân tích tệp mà chủ yếu chuyên gia cảm thấy thuận tiện Để chạy hệ thống với 59 tệp sinh 10 phút máy tính để bàn thường phút Như dà biết trước liệu dược chuyển vào module phát bất thường bưức lọc dừ liệu tiến hành nhằm loại bỏ dừ liệu mạng mà chuyên gia khơng muốn phân tích Ví dụ, dừ liệu sau lọc có thê gồm dừ liệu từ nguồn dã xác thực biếu mang tính bất thường/ nguy hiểm lại coi khơng mang tính xâm phạm A /J.Y D S s y s t e m I ) V n e tw o r k ■? D ata c a p tu rin g d e v ic e Ö H Association pattern analysis A n o m ah T »cores A n o m a ly d e te c tio n ♦• ♦ p ũllỉìì il Filtering D etected n o v e l a tta c k s H S u m m a ry a n d h a c te n z a tto n o f a tta c k s ■Human L £ ,J a n a lv s t Labels " - Feature Extraction Knownattack drtfcrion D e tected k n o v il a tta c k s Hình 3.11 Mơ hình hoạt động hệ thống MINDS Bước dầu tiên cùa q trình MINDS trích lọc đặc điểm dùng cho việc phân tích khai phá dừ liệu Những dặc dicin bao gồm địa IP nguồn 1P đích, cổng nguồn, cổng đến, giao thức, cờ, sổ lượng bytes số lượne gói Các đặc điểm phát sinh gồm có cửa sổ thời gian đặc điểm dựa cửa sổ kết nối(trình bày phần trên) Chúns tạo để bát liên kết có tính chất khoảng T giây cuối cùns Chúns đặc biệt hữu ích việc phân biệt nguồn có lượng kết nối cao đơn vị thời gian với phần cịn lại giao thơng mạng biết đến hoạt động scannina nhanh Phương pháp tươne tự cũna áp dụng vào việc xây dựne tính năne bảng dừ liệu KDD Cup năm 1999 Bảng 3.3 tóm tat tính năns dựa cửa sơ thời gian 60 T ê n đ ă• c đ iê m M tả Sơ kêt nơi có ngn đèn đích khác trone t countsrc giâv gần dâv count_dest Sơ kêt nơi có đích từ nhiêu ngn khác t giây gần count_serv_src Sô kêt nôi đên địa cơng đich trone t giây ên count_serv_dest Sơ kêt nơi từ dịa đích đên địa cơne đích trone T giây gần Bảng 3.3 nhừng dặc điêm chọn “dựa thời gian” Khác với scan “nhanh” hoạt dộng scanning “chậm” hoạt dộng scan host port sử dụng khoảng thời gian nhiều vài giây, ví dụ tiếp xúc (scan) phút chí tiếp xúc bị chia cẳt với phần cịn lại giao thơng mạng sử dụng đặc điểm dựa cửa sổ thời gian Để làm điều dó, tạo đặc điểm dựa vào cửa sổ-kết nối nhằm bắt đặc điểm tương tự kết nối dặc tính dựa cửa sổ thời gian, nhiên lại dược tính tốn dựa N kết nối cuối xuất phát từ (hoặc đến) nguồn riêng biệt (đích) Các đặc điểm dựa cửa sổ liên kết minh họa bảng 3.4 rp A -A w _*• Ẩ Tên đăc điêm Mơ tả • count_dest_conn Sơ kêt nơi có từ ngn đên đích khác N kết nối gần countsrcconn Sơ kêt nơi có đích nhưng, từ nhiêu nguôn khác N kết nối gần đày count_serv_src_conn Sơ kêt nơi đên địa chì cơng đích trona N kêt nơi gân đâv count_serv_des_conn Sơ kêt nối từ địa đích đên địa cơng đích N kết nối gần •» r r Bảng 3.4 đặc điêm chọn “dựa kêt nôi” 61 Sau bước rút đặc điểm để phân tích, mođule phát công bict dùna để phát kết nối mạng tươne ứng với cơng mà chúng có sằn dấu hiệu loại bó chúng khỏi danh sách dừ liệu cần phân tích Tiếp đến, liệu dược chuyến tiếp vào module phát bất thường MINDS sử dụng thuật toán phát điểm dị biệt để gán giá trị bất thường cho mồi kết nối mạng M1NDS sử dụng thuật toán LOF module phát bất thường.Một chuyên eia sau chi phải xem xét nhữnơ kết nối có giá trị bất thường để định liệu chúng có phải nhừns công thực biểu ngẫu nhiên bên Module tổng hợp MINDS tổng kết liên kết mạng xếp chúng theo mức độ bất thường từ cao xuống thấp Cuối chuyên gia đưa phản hồi sau phân tích kết dịnh chúng có ích việc tạo luật sử dụng mođule phát côna biết hay không Tiếp theo xem xét số kết thu sau áp dụng module phát bất thường M1NDS vào giao thông mạng thực đại học Minnesota Tuy nhiên khơng thể dưa tì lệ phát tỉ lệ cành báo sai khó khăn việc dánh dấu toàn kết nối mạng Chuyên viên an ninh mạng ĐH Minnesota sử dụng phương pháp MINDS đê phân tích giao thơng mạng từ năm 2002 Trong suốt thời gian này, M1NDS dà phát thành công nhiều công biến dạng mà bị phát dùng hệ thống dựa dấu hiệu (sianature) SNORT Nhìn chung, MINDS có khả thường xun phát hành động xâm nhập nguy hại khác (ví dụ xâm phạm sách - policy violations), phát tán sâu hoạt động scan Dầu tiên vào trình chuyên viên phân tích đầu module phát bất thường MINDS dãy dừ liệu cụ thể Sau chúne ta tiếp tục với vài ví dụ loại công khác xác định MINDS Hình 3.12 cho thấy kết nối đứng đầu module phát bất thường MINDS tìm 10 phút khoảng 48 tiếng sau sâu Slammer/ Sapphire xuất Đầu bao gồm liệu gốc với giá trị bất thường gán cho kết thành phần liên quan đặc điểm số 16 đặc điểm sử dụng thuật toán phát bất thườrm Lưu ý hầu hết kết đứng đầu thuộc sâu Slaminer/ Sapphire ( có giá trị bất thường cao -cột đầu 62 tiên) Đó trone khoảns thời gian này, kết nối mạng bị nhiễm sáu chì chiếm 2% tơnơ giao thơng mạne Điều chứng tỏ hiệu quà phương pháp MINDS việc xác định kết nối nhiễm sâu Nhữne kết nối đánh dấu màu xám nhạt Chúng ta quan sát hỉnh đế thấy thành phần đóng góp nhiều vào giá trị bất thường cùa kết đặc tính 11 Nguyên nhân máy tính bị nhiễm hệ thống đans cố gẳng kết nối với máy tính bên mạng *

Ngày đăng: 05/12/2020, 09:52

Xem thêm:

Mục lục

    BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU

    THÔNG TIN HÌNH VẼ / BẢNG

    CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG IPS

    1.1 Lịch sử ra đời

    1.2.1 Một hệ thống IDS bao gồm các thành phần

    1.2.2 Phân loại các hệ thống IDS

    1.3.2 Các thành phần chính

    1.3.3 Mô hình hoạt động

    1.3.4 Đánh giá hệ thống IPS

    2.1 Tổng quan về phương pháp phát hiện bất thường

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w