HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Phương Thực NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG PHÁT HIỆN VÀ PHỊNG CHỐNG XÂM NHẬP IDS/IPS Chun ngành: Hệ Thống Thơng Tin Mã số: 60.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ TP HÀ NỘI - 2013 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS Nguyễn Thành Phúc (Ghi rõ học hàm, học vị) Phản biện 1: …………………………………………………………………………… Phản biện 2: ………………………………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng LỜI CẢM ƠN Tôi xin chân thành cảm ơn quý thầy cô Ban giám hiệu nhà trường, thầy cô khoa Công nghệ Thông tin cho kiến thức tảng năm học trường Đặc biệt xin bày tỏ biết ơn sâu sắc tới TS Nguyễn Thành Phúc – Cục trưởng Cục Ứng dụng công nghệ thông tin – Bộ Thông tin Truyền thơng ln tận tình hướng dẫn tạo nhiều điệu kiện tốt để tơi hồn thành luận văn Con xin gửi đến cha mẹ lời ghi ơn sâu sắc, người sinh thành dạy bảo trưởng thành ngày hôm Những người hết lòng tận tụy chăm sóc, ủng hộ động viên suốt thời gian học tập nghiên cứu Mặc dù nghiêm túc cố gắng hồn tất đề tài chắn chắn khơng tránh khỏi thiếu sót, kính mong thơng cảm góp ý giúp đỡ của quý thầy cô bạn Nguyễn Phương Thực LỜI CAM ĐOAN Tôi cam đoan luận văn cơng trình nghiên cứu của riêng kết đạt luận văn sản phẩm của riêng cá nhân, không chép lại của người khác Các số liệu, kết nêu luận văn trung thực Luận văn chưa cơng bố cơng trình khác Nếu sai tơi xin chịu hồn tồn trách nhiệm Tác giả luận văn Nguyễn Phương Thực MỤC LỤC MỞ ĐẦU 1.1 Hiện trạng an ninh mạng 1.1.1 Hiện trạng an ninh mạng nước 1.1.2 Số liệu khảo sát an tồn thơng tin Việt Nam 1.2 Sự cần thiết phải có an ninh mạng yếu tố cần bảo vệ 1.2.1 Sự cần thiết phải có an ninh mạng 1.2.2 Các yếu tố cần bảo vệ 1.2.3 Mơ hình phòng vệ theo chiều sâu: 1.3 Chính sách an tồn, an ninh mạng 1.3.1 Khái niệm sách an ninh mạng 1.3.2 Cấu trúc an toàn, an ninh mạng 1.3.3 Chính sách an toàn, an ninh mạng 1.4 Phương pháp phát phòng chống xâm nhập 1.4.1 Xác định mối đe dọa 1.4.2 Phương pháp phòng chống xâm nhập: Chương - HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/IPS 2.1 IDS 2.1.1 Khái niệm 2.1.3 Công nghệ 2.1.4 Phân loại 2.2 IPS 2.2.2 Ưu nhược điểm 2.2.3 Công nghệ 10 2.2.4 Phân loại 10 2.3 So sánh IDS IPS 10 2.3.1 Sự giống 10 2.3.2 Sự khác 11 2.4 Phương pháp phát xâm nhập 12 2.4.1 Phát dấu hiệu khơng bình thường 12 2.4.2 Phát dựa theo hành vi bất thường 12 2.4.3 Phát dấu hiệu có hành vi xấu 13 2.4.4 Phát dựa vào tương quan mấu tham số 13 2.5 Một số giải pháp IDS/IPS thương mại 13 2.5.1 Giải pháp của Cisco 13 2.5.2 Giải pháp của ISS Proventia 13 2.5.3 Giải pháp của NFR 14 Chương - TRIỂN KHAI VÀ ĐÁNH GIÁ THỬ NGHIỆM GIẢI PHÁP CISCO IPS 14 3.1 Giới thiệu kiến trúc hệ thống 14 3.1.1 Kiến trúc chung của hệ thống IPS 14 3.2 Các yêu cầu triển khai 14 3.2.1 Các yêu cầu bảo mật 14 3.2.2 Yêu cầu phần cứng, phần mềm 15 3.3 Xây dựng mơ hình mạng thử nghiệm 16 3.3.1 Thiết kế mô hình mạng thử nghiệm 16 3.3.2 Triển khai cài đặt 16 3.3.3 Triển khai cấu hình: 16 3.3.4 Sử dụng IPS ngăn chăn công theo yêu cầu bảo mật 17 3.4 Tùy chỉnh tham số phòng chống công 20 3.4.1 Điều chỉnh tham số cảnh báo 20 3.4.2 Tùy chỉnh custom atomic signature 20 3.4.3 Tùy chỉnh custom stream signature 22 3.4.4 Tùy chỉnh custom http signature 22 3.5 Đánh giá kết thử nghiệm 22 3.5.1 Kết đạt 22 3.5.2 Nhận xét đánh giá 23 3.5.3 Định hướng nghiên cứu 24 DANH MỤC TÀI LIỆU THAM KHẢO 25 DANH MỤC THUẬT NGỮ, CHỮ VIẾT TẮT Chữ viết tắt IPS IDS Nghĩa tiếng Anh Intrusion Prevention System Intrusion Detection System Nghĩa tiếng Việt Hệ thống ngăn chặn xâm nhập Hệ thống phát xâm nhập Công nghệ thông tin CNTT Internet Security Systems Hệ thống bảo mật mạng Demilitarized Zone Internet Service Provider Internation Standard Organization Vùng phi quân Nhà cung cấp dịch vụ Internet LAN Local Area Network Mạng cục TCP Transmission Control Protocol Giao thức kiểm soát truyền tin ISS DMZ ISP ISO Tổ chức tiêu chuẩn quốc tế MỞ ĐẦU Ngày nay, hệ thống mạng máy tính trở nên phổ biến hầu hết hoạt động kinh tế xã hội Cùng với phát triển đó, ngày xuất nhiều cá nhân, nhóm chí tổ chức hoạt động với mục đích xấu nhằm phá hoại hệ thống mạng máy tính, hệ thống thơng tin, gây tác hại vơ to lớn đến tính an tồn bảo mật thông tin hệ thống Với nhu cầu trao đổi thông tin ngày bắt buộc cá nhân quan, tổ chức phải kết nối mạng Internet toàn cầu An toàn bảo mật thông tin vấn đề quan trọng hàng đầu thực kết nối Internet Tuy nhiên, thường xuyên có mạng bị công, có tổ chức bị đánh cắp thông tin… gây nên hậu vô nghiêm trọng Những vụ cơng nhằm vào tất máy tính có mặt mạng Internet, đa phần mục đích xấu công không báo trước, số lượng vụ công tăng lên nhanh chóng phương pháp công liên tục hồn thiện Vì việc kết nối máy tính vào mạng nội vào mạng Internet cần phải có biện pháp đảm bảo an tồn thơng tin Xuất phát từ hiểm hoạ hữu mà ta thường xuyên phải đối mặt môi trường Internet em định chọn đề tài: Nghiên cứu, triển khai hệ thống phát phòng chống xâm nhập IDS/IPS Nội dung của luận văn gồm chương sau: Chương 1: Tổng quan an ninh mạng máy tính Chương 2: Hệ thống phát phòng chống xâm nhập IDS/IPS Chương 3: Triển khai đánh giá thử nghiệm giải pháp Cisco IPS Chương - Chương 1- TỔNG QUAN VỀ AN NINH MẠNG MÁY TÍNH 1.1 Hiện trạng an ninh mạng Trong hệ thống mạng, vấn đề an toàn bảo mật hệ thống thông tin đóng vai trò quan trọng Thông tin có giá trị nó giữ tính xác, thơng tin có tính bảo mật có người phép nắm giữ thông tin biết nó Khi ta chưa có thông tin, việc sử dụng hệ thống thông tin chưa phải phương tiện quản lý, điều hành vấn đề an tồn, bảo mật đơi bị xem thường Nhưng nhìn nhận tới mức độ quan trọng của tính bền hệ thống giá trị đích thực của thơng tin có có mức độ đánh giá an tồn bảo mật hệ thống thơng tin Để đảm bảo tính an tồn bảo mật cho hệ thống cần phải có phối hợp yếu tố phần cứng, phần mềm người 1.1.1 Hiện trạng an ninh mạng nước Trong năm qua, lãnh đạo điều hành của Chính phủ, lĩnh vực CNTT khơng ngừng phát triển góp phần thúc đẩy phát triển của kết cấu hạ tầng đóng góp tích cực vào phát triển kinh tế - xã hội Mặc dù kinh tế có nhiều khó khăn chịu ảnh hưởng của khủng hoảng kinh tế toàn 12 có thể: thực nhanh, xác, đưa thơng báo hợp lý, phân tích tồn thơng lượng, cảm biến tối đa, ngăn chặn thành cơng sách quản lý mềm dẻo 2.4 Phương pháp phát xâm nhập 2.4.1 Phát dấu hiệu khơng bình thường Hệ thống phát xâm nhập phải có khả phân biệt hoạt động thông thường của người dùng hoạt động bất thường để tìm cơng nguy hiểm kịp thời Mặc dù vậy, việc dịch hành vi người dùng (hoặc session hệ thống người dùng hoàn chỉnh) định liên quan đến bảo mật phù hợp thường không đơn giản, nhiều hành vi không dự định trước không rõ ràng Để phân loại hành động, IDS phải lợi dụng phương pháp phát dị thường, hành vi dấu hiệu công… thiết bị mô tả hành vi bất thường biết (phát dấu hiệu) gọi kiến thức 2.4.2 Phát dựa theo hành vi bất thường Căn vào phương pháp thống kê kinh nghiệm để đưa mức ngưỡng hoạt động bình thường So sánh kiện quan sát với giá trị ngưỡng bình thường tương ứng để phát xâm nhập 13 2.4.3 Phát dấu hiệu có hành vi xấu Thông tin xử lý hệ thống hành vi bất thường khơng an tồn (dấu hiệu công dựa vào hệ thống) thường sử dụng hệ thống phát xâm nhập thời gian thực (vì phức tạp tính tốn của chúng không cao) 2.4.4 Phát dựa vào tương quan mấu tham số Phương pháp phát xâm nhập khôn ngoan phương pháp trước Nó sinh nhu cầu thực tế rằng, quản trị viên kiểm tra hệ thống khác thuộc tính mạng (khơng cần nhắm đến vấn đề bảo mật) Thông tin đạt cách có môi trường cụ thể không thay đổi 2.5 Một số giải pháp IDS/IPS thương mại IDS/IPS thương mại có giải pháp của Cisco, Checkpoint, IBM, Proventia là: Cisco IPS 4215, Checkpoint IPS R70, IBM IPS GX7800, Proventia G200 Các sản phẩm dựa công nghệ Internet Security Systems hệ thống phòng chống xâm nhập nội tuyến (IPS), nó tự động phòng chống cơng có tính nguy hại đảm bảo băng thông cho đường truyền 2.5.1 Giải pháp Cisco 2.5.2 Giải pháp ISS Proventia 14 2.5.3 Giải pháp NFR Chương - TRIỂN KHAI VÀ ĐÁNH GIÁ THỬ NGHIỆM GIẢI PHÁP CISCO IPS 3.1 Giới thiệu kiến trúc hệ thống 3.1.1 Kiến trúc chung hệ thống IPS 3.1.1.1 Module phân tích luồng liệu 3.1.1.2 Modul phát công 3.1.1.3 Modul phản ứng 3.2 Các yêu cầu triển khai Dựa phạm vi yêu cầu nghiên cứu đề xuất chọn giải pháp sản phẩm IPS 2415 của Cisco để triển khai đánh giá thử nghiệm 3.2.1 Các yêu cầu bảo mật 3.2.1.1 Bảo mật thông tin Trải qua nhiều kỷ, hàng loạt giao thức chế tạo nhằm đáp ứng nhu cầu an toàn bảo mật thông tin Các phương pháp truyền thống cung cấp chế hành phương tiện vật lý nơi lưu trữ bảo vệ tài liệu quan trọng cung cấp giấy phép quyền sử dụng tài liệu mật đó Tất nhiên, mục tiêu của bảo mật không nằm gói gọn 15 lĩnh vực bảo vệ thông tin mà còn nhiều phạm trù khác kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật hệ thống toán điện tử giao dịch trực tuyến… 3.2.1.2 Tấn công từ chối dịch vụ Một công từ chối dịch vụ (tấn công DoS - Viết tắt của Denial of Service) hay công từ chối dịch vụ phân tán (tấn công DDoS - Viết tắt của Distributed Denial of Service) nỗ lực làm cho người dùng sử dụng tài nguyên của máy 3.2.1.3 Xâm nhập qua Trojan Thuật ngữ Trojan ý ngựa gỗ người Hy Lạp sử dụng để đột nhập vào đánh chiếm thành Troy Theo định nghĩa truyền thống, Trojan chương trình giả dạng phần mềm hợp pháp khởi động gây hại cho máy tính Trojan khơng thể tự động lây lan qua máy tính, đặc tính để phân biệt chúng với virus sâu máy tính 3.2.1.4 Xâm nhập qua lỗ hổng bảo mật Việc đảm bảo máy tính của bạn hoạt động tốt an toàn bước khởi đầu quan trọng tiến tới hệ thống an ninh tốt 3.2.2 Yêu cầu phần cứng, phần mềm 16 - Yêu cầu phần cứng: Máy tính - Yêu cầu phần mềm: VmWare 7.0, ASDM, IPS 4215, JRE 6.33 3.3 Xây dựng mơ hình mạng thử nghiệm 3.3.1 Thiết kế mơ hình mạng thử nghiệm 3.3.2 Triển khai cài đặt - Cài đặt phần mềm VMware 7.0 để làm môi trường giả lập cho server thiết bị Cisco IPS 4215 - Cài đặt Cisco IPS 4215 VMware để triển khai hệ thống ngăn chặn phòng chống xâm nhập sử dụng IPS - Cài đặt Cisco ASDM 6.0 để cầu hình Cisco IPS 4215 giao diện - Cài đặt Java Runtime Environment 6.33 để hỗ trợ cấu hình giao diện 3.3.3 Triển khai cấu hình: 3.3.3.1 Cấu hình IDS 4215 - Định nghĩa hostname: ips(config-host-net)# host-name IPS4215-BCVT - Cấu hình địa IP cho thiết bị: - Cấu địa phép truy cập vào thiết bị: 17 3.3.3.2 Cấu hình tính giám sát - Thực cấu hình tính IDS giám sát cảnh báo để nhận biết dấu hiệu công - Mặc định cổng Monitor bị Disable Enable Interface Configuration để kích hoạt tính giám sát cho Interface 3.3.4 Sử dụng IPS ngăn chăn công theo yêu cầu bảo mật Khi công xảy IPS thực hành động cài đặt đồng thời gửi thông báo cơng Thơng báo hiển thị hình alert của giao diện web Ngồi ra, thơng báo có thể gửi qua mail cho người quản trị trường hợp cần thiết Chúng ta có thể đặt mức độ cho loại công, mức độ thể thông báo Alerts phát công (tương ứng với mức low, medium, high) Ta có thể đặt tùy chọn phản ứng phát công block để phòng chống công xảy ra, log để ghi lại file log, email để gửi mail thông báo, quarantine để cách ly địa gây cơng… 3.3.4.1 Phòng chống hình thức thu thập thông tin 18 Tường lửa có thể phòng chống số hình thức thu thập thơng tin ping (để dò xem hệ thống bảo vệ có tồn hay không) cách cấm gói tin ICMP Có thể phòng chống ftp, telnet, trace route cách cấm cổng Với thiết bị IPS 4215, tất hành động bị phát có thể bị ngăn chặn thiết bị theo dõi cách tổng quan toàn mạng tra xét theo dấu hiệu, không khuôn dạng gói tin mà nội dung gói tin hay giao thức gửi nó kiểm tra Do chưa có cách thức để vượt qua thiết bị mà không bị lưu vết 3.3.4.2 Phòng chống công DoS IPS 4215 Security Events cài đặt sẵn khả phòng chống nhiều cách thức công DoS Để kích hoạt khả phòng chống loại công nào, ta cần đánh dấu vào cột Enable cho kiểu công tương ứng Ta đánh dấu với công SYN flood Dựa cách thức hoạt động của công SYNFlood có thể dễ dàng phát gói tin SYN mà không có gói biên nhận ACK tương ứng Có thể khắc phục cách gửi lại gói tin RST yêu cầu khởi động lại kết nối Kết tài nguyên bị chiếm dụng giải phóng Với Network IPS 4215, dấu hiệu công 19 SYNFlood phát cách giám sát số lượng tỉ lệ gói SYN mà server nhận lại không có biên nhận ACK tương ứng Có thể điều khiển tỉ lệ sử dụng hai tham số để định nghĩa số yêu cầu kết nối thời gian timeout Cả công SYNFlood smurf attack (ping sweep) ips phát phòng chống 3.3.4.3 Phòng chống xâm nhập qua Trojan Dựa lưu thông TCP mà phía client của trojan gây (ví dụ yêu cầu kết nối tới cổng 6666), phía client của trojan bị chặn gửi tín hiệu điều khiển tới cho phía máy bị nhiễm Máy kẻ công có thể bị cách ly khỏi toàn mạng đặt tùy chọn quarantine cấu hình IPS Do chế suốt của thiết bị IPS, kẻ công trojan cài bên phía máy nạn nhân khơng hoạt động 3.3.4.4 Phòng chống xâm nhập qua lỗ hổng bảo mật Dấu hiệu của việc công sử dụng MSRPC để thực việc tràn đệm Tiếp đó chiếm quyền điều khiển máy IPS dựa vào gói tin với yêu cầu để xác định việc công vào lỗ hổng MSRPC 20 Security event của IPS để chống MSRPC 3.4 Tùy chỉnh tham số phịng chống cơng 3.4.1 Điều chỉnh tham số cảnh báo 3.4.1.1 Mô tả yêu cầu tùy chỉnh Cấu hình Sig ID 2004 cho biết vi phạm sảy nhận gói icmpEcho Request khoảng thời gian 30 giây với địa IP nguồn đíc - - Event Counter: cho biết lần mà gói echo icmp request nhận xem vi phạm, trường hợp mặc định tương ứng vòng 60 giây Aler Frequency: Xác định mức độ thường xuyên cảnh báo tạo Summary Mode: cho biết 30 giây có trường hợp sau sảy ra:  Trong khoảng 60 giây nhận gói ICMP Echo Request tạo cảnh báo khoảng 60 giây  Trong khoảng 60 giây nhận từ gói trở lên cảnh báo tạo ra, sau đó 30 giây cảnh báo Summary tạo biết số lần vi phạm xảy 3.4.1.2 Cấu hình 3.4.2 Tùy chỉnh custom atomic signature 3.4.2.1 Mô tả yêu cầu tùy chỉnh 21 - Khi thực cấu hình atomic TCP signature, phải xác định tham số TCP Mask TCP Flag Tham số TCP Mask dùng để xác định TCP Flag mà ta phải quan tâm Bất kỳ TCP Flag mà khơng có TCP Mask khơng ngun nhân làm cho signature kích hoạt - Ví dụ: ta chọn tham số TCP Mask bao gồm FIN ACK, tham số TCP Flag bao gồm FIN Signature kích hoạt dựa vào giá trị của FIN ACK Flag gói (Tất TCP Flag khác gói bỏ qua) - Những trường hợp sảy ra: - Nếu ACK FIN Flag tồn tại, Signature không thực kích hoạt - Nều FIN Flag tồn ACK Flag khơng tồn tại, Signature kích hoạt (bất chấp tồn của TCP Flag khác) - Nếu FIN Flag không tồn tại, Signature không kích hoạt - Mục đích ta muống tùy chỉnh custom signature kích hoạt gói tồn SYN Flag mà không có ACK Flag, truy cập ứng dụng Telnet Cấu hình Signature với mức độ nghiêm trọng High Cảnh báo nên tạo 22 lần xảy vi phạm IPS Sensor nên có hành động Deny Packet Inlin Produce Alert 3.4.2.2 Cấu hình 3.4.3 Tùy chỉnh custom stream signature 3.4.3.1 Mơ tả yêu cầu tùy chỉnh Tạo Signature tùy chọn mà cho biết vi phạm xảy gói Telnet (cổng 23) chứa từ “admin” (không phân biệt chữ hoa chữ thường IPS Sensor có hành động Deny Connection Inline Produce Alert cho lần vi phạm Cấu hình IPS senso r để chuyển sang Summary Alert vi phạm sảy lần 60 giây với địa cơng 3.4.3.2 Cấu hình 3.4.4 Tùy chỉnh custom http signature 3.4.4.1 Mô tả yêu cầu tùy chỉnh Tạo Signature tùy chọn để kiểm tra vi phạm gói HTTP có chưa từ “attack” URL Khi vi phạm xảy hành động Produce Alert Deny Attacker Service Pair Inline 3.4.4.2 Cấu hình 3.5 Đánh giá kết thử nghiệm 3.5.1 Kết đạt 23 Qua nghiên cứu triển khai hệ thống IDS/IPS, em biết tình hình an ninh mạng yêu cầu cần thiết để thiết lập trì hệ thống mạng an tồn Bằng cách tìm hiểu tài liệu liên quan, tham khảo ý kiến chuyên gia thực hành, em nắm vững kiến thức sở thử nghiệm phương pháp phát cách phịng chống cơng hệ thống Hiểu công nghệ giới sử dụng để phòng chống hiểm họa an ninh mạng nay, em cài đặt cấu hình thành cơng thiết bị Cisco IDS 4215 thiết bị chuyên dụng công nghệ phát phòng chống xâm nhập Qua đó em hiểu nguyên lý hoạt động chung để có thể cấu hình thiết bị tương tự khác Em có thể xác định khó khăn hướng giải triển khai hệ thống phòng chống xâm nhập hệ thống mạng thực tế 3.5.2 Nhận xét đánh giá - Ưu điểm: Sau nghiên cứu tìm hiểu cơng nghệ phòng chống xâm nhập IDS/IPS qua dòng thiết bị điển hình của Cisco IDS 4215, em nhận thấy thiết bị có khả phòng chống hầu hết công hiểu biết của hacker bình thường 24 Do hoạt động tầng ứng dụng kiểm soát nội dung gói tin, thiết bị có khả phòng chống công tốt nhiều so với tường lửa đơn Thiết bị có khả cập nhật dấu hiệu cơng mới, nó có khả phòng chống hình thức cơng Ngồi ra, người quản trị hiểu biết sâu rộng cách thức cơng điểm yếu mạng có thể thiết lập dấu hiệu riêng cho mạng của mạng đó chắn khó có thể bị xâm nhập trái phép - Hạn chế: Do sản phẩm công nghệ đóng gói sẵn nên thay đổi cấu trúc nội dung dẫn đến khả phát phòng chống công hệ thống mạng còn thụ động 3.5.3 Định hướng nghiên cứu Thông qua kết nghiên cứu nguy đe dọa mạng điểm yếu an ninh mạng, em nhận thấy việc đảm bảo an ninh mạng ngày vấn đề cần thiết song khó khăn Sau hoàn thành luận văn, điều em mong muốn trước tiên tiếp tục nghiên cứu chi tiết cách công mạng cách có hệ thống (hoặc cách toàn diện hơn), để có thể tùy chỉnh sách riêng biệt cho hệ thống 25 mạng, biện pháp bảo đảm an ninh mạng có hiệu cao Sau đó em nghiên cứu cách thức phát lỗ hổng hệ thống, đồng thời nghiên cứu cách thức phòng tránh lỗ hổng đó trước kẻ công lợi dụng nó Kết nghiên cứu của luận văn giúp định hướng nghiên cứu sâu an ninh mạng môi trường hệ thống mạng khác sau DANH MỤC TÀI LIỆU THAM KHẢO A Tiếng Việt Bùi Nguyễn Hoàng Long (2009), CCSP Labpro – IPS & CSMARS, NXB Thông Tin Truyền Thông Thông tin Truyền thông (2012), Thông tin số liệu thống kê công nghệ thông tin truyền thông, 163 trang Trần Tiến Công (2009), Nghiên cứu triển khai hệ thống IDS/IPS, Trường Đại học Cơng nghệ, 76 trang Vũ Đình Cường (2009), Cách bảo vệ liệu quan trọng phương pháp phát thâm nhập, NXB Lao Động Xã Hội http://vnpro.org/forum/forumdisplay.php/67-IPS, truy cập ngày 06/08/2013 26 B Tiếng Anh The Information Assurance Technology Analysis Center (IATAC) (2009), Intrusion Detection Systems http://www.networkcritical.com/Solutions/IDS-IPS http://www.cisco.com/en/US/docs/security/ips/6.1/con figuration/guide/cli/cli_setup.html, truy cập ngày 06/08/2013 ... Phương pháp phát phòng chống xâm nhập 1.4.1 Xác định mối đe dọa 1.4.2 Phương pháp phòng chống xâm nhập: Chương - HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP IDS/ IPS 2.1 IDS ... phát hiện, IDS cung cấp khả cho việc phòng chống tương lai với hoạt động xâm nhập từ máy chủ nghi ngờ  Hệ thống phát xâm nhập mềm Cũng tương tự phần công nghệ của IDS  Hệ thống phát xâm nhập. .. nghệ Chủ động bảo vệ tài nguyên hệ thống mạng xu hướng bảo mật Hầu hết hệ thống phát xâm nhập (IDS) thụ động giám sát hệ thống cho dấu hiệu của hoạt động xâm nhập Khi hoạt động xâm nhập phát