TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TPHCM KHOA CÔNG NGHỆ THÔNG TIN ***** ĐỒ ÁN MƠN HỌC PHÂN TÍCH VÀ ĐÁNH GIÁ AN TỒN THƠNG TIN TIM HIỂU VÀ PHÁT TRIỂN HỆ THỐNG (IDS/IPS) ZEEK GVHD: Ths TỐNG THANH VĂN GROUP: 15 ĐỀ TÀI: SVTH: Phạm Văn Lộc Hoa 1711061243 Nguyễn Viết Đăng Long 1711061106 Cao Đăng Quang 1711061151 Tháng 04 – Năm 2021 MỤC LỤC Giới thiệu lịch sử đời IDS/IPS .3 1.1 Giới thiệu: 1.1.1 IDS: 1.1.2 IPS: 1.2 Lịch sử đời: 1.2.1 IDS: 1.2.2 IPS: Hệ thống phát xâm nhập: 2.1 Phát xâm nhập: .5 2.2 Chinh sách IDS: .6 2.3 Kiến trúc hệ thống phát xâm nhập: 2.4 Phân loại hệ thống phát xâm nhập: 2.4.1 Network-based IDS (NIDS): b Hạn chế NIDS: 10 2.4.2 Host-based IDS (HIDS): .11 2.4.3 So sánh NIDS HIDS: 13 Hệ thống ngăn xâm nhập: 15 3.1 Kiến trúc hệ thống ngăn chặn xâm nhập: 15 3.1.1 Module phân tích gói tin: 15 3.1.2 Module phát công: 16 3.1.3 Module phản ứng: 17 3.2 Các kiểu IPS triển khai thực tế: 19 3.2.1 Promiscuous mode IPS: 19 3.2.2 In-line mode IPS: 19 3.3 Công nghệ ngăn chặn xâm nhập IPS: 21 3.3.1 Signature-based IPS: .21 3.3.2 Anomaly-based IPS: 23 3.3.3 Policy-Based IPS: 26 3.3.4 Protocol Analysis-Based IPS: .26 3.4 Lợi IPS: 27 3.5 Bảo vệ hai lần: 28 Kết thực nghiệm: 28 4.1 Chuẩn bị: 29 4.2 : Khái niệm sơ đồ vè Zeek: 29 4.2.1 Cài đặt cấu hình Zeek: 29 4.2.2 Thực vào công cụ: 30 Tổng kết: .33 5.1 Tóm tắt nội dung: 33 5.2 Phần làm thiếu sót: 34 5.2.1 Làm được: .34 5.2.2 Thiếu sót: .34 Trang Giới thiệu lịch sử đời IDS/IPS 1.1 Giới thiệu: 1.1.1 IDS: IDS (Hệ thống phát xâm phạm) hệ thống phòng chống nhằm phát hành động cơng vào mạng mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống hành động tiến trình cơng sưu tập, quét cổng tính hệ thống cung cấp thông tin nhận biết hành động khơng bình thường đưa báo cảnh thông báo cho quản trị viên mạng khóa kết nối cơng thêm vào cơng cụ IDS phân biệt Trang công bên từ bên tổ chức (từ nhân viên khách hàng) cơng bên ngồi (tấn cơng từ hacker) 1.1.2 IPS: IPS hệ thống chống xâm nhập (Intrusion Prevention System –IPS) định nghĩa phần mềm thiết bị chuyên dụng có khả phát xâm nhập ngăn chặn nguy gây an ninh IDS IPS có nhiều điểm chung, hệ thống IDS IPS gọi chung IDP - Intrusion Detection and Prevention 1.2 Lịch sử đời: 1.2.1 IDS: Cách khoảng 25 năm, khái niệm phát xâm nhập xuất qua báo James Anderson người ta cần IDS với mục đích dị tìm nghiên cứu hành vi bất thường thái độ người sử dụng mạng, phát việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính khơng lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS xuất phịng thí nghiệm viện nghiên cứu Tuy nhiên thời gian số công nghệ IDS bắt đầu phát triển dựa bùng nổ công nghệ thông tin đến năm 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu công ty ISS, năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel Hiện tại, thống kê cho thấy IDS/IPS công nghệ an ninh sử dụng nhiều phát triển 1.2.2 IPS: Trước hạn chế hệ thống IDS, sau xuất công ạt quy mô lớn Code Red, NIMDA, SQL Slammer, vấn đề đặt tự động ngăn chặn công không đưa cảnh báo nhằm giảm thiểu Trang công việc người quản trị hệ thống Hệ thống IPS đời vào năm 2003 sau đó, năm 2004 phổ biến rộng rãi Kết hợp với việc nâng cấp thành phần quản trị, hệ thống IPS xuất dần thay cho IDS giảm bớt yêu cầu tác động người việc đáp trả lại nguy phát được, giảm bớt phần gánh nặng việc vận hành số trường hợp đặc biệt, IPS hoạt động IDS việc ngắt bỏ tính ngăn chặn xâm nhập ngày hệ thống mạng hướng tới sử dụng giải pháp IPS thay hệ thống IDS cũ Hệ thống phát xâm nhập: 2.1 Phát xâm nhập: Phát xâm nhập tập hợp kỹ thuật phương pháp sử dụng để phát hành vi đáng ngờ cấp độ mạng máy chủ hệ thống phát xâm nhập phân thành hai loại bản: • Hệ thống phát dựa dấu hiệu xâm nhập • Hệ thống phát dấu hiệu bất thường Kẻ cơng có dấu hiệu, giống virus, phát cách sử dụng phần mềm cách tìm liệu gói tin mà có chứa dấu hiệu xâm nhập dị thường biết đến dựa tập hợp dấu hiệu (signatures) qui tắc (rules) Hệ thống phát dị tìm, ghi lại hoạt động đáng ngờ đưa cảnh báo Anomaly-based IDS thường dựa vào phần header giao thức gói tin cho bất thường Trang Trong số trường hợp phương pháp có kết tốt với Signature-based IDS thơng thường IDS bắt lấy gói tin mạng đối chiếu với rule để tìm dấu hiệu bất thường gói tin 2.2 Chinh sách IDS: Trước cài đặt hệ thống IDS lên hệ thống cần phải có sách để phát kẻ cơng cách xử lý phát hoạt động cơng cách chúng phải áp dụng sách cần chứa phần sau (có thể thêm tùy theo yêu cầu hệ thống): • Ai giám sát hệ thống IDS? Tùy thuộc vào IDS, có chế cảnh báo để cung cấp thông tin hành động công Các cảnh báo hình thức văn đơn giản (simple text) chúng dạng phức tạp tích hợp vào hệ thống quản lý mạng tập trung HP Open View My SQL database cần phải có người quản trị để giám sát hoạt động xâm nhập sách cần có người chịu trách nhiệm hoạt động xâm nhập theo dõi thông báo theo thời gian thực cách sử dụng cửa sổ pop-up giao diện web nhà quản trị phải có kiến thức cảnh báo mức độ an tồn hệ thống • Ai điều hành IDS? Như với tất hệ thống IDS cần được bảo trì thường xun • Ai xử lý cố nào? Nếu cố khơng xử lý IDS xem vơ tác dụng • Các báo cáo tạo hiển thị vào cuối ngày cuối tuần cuối tháng • Cập nhật dấu hiệu Các hacker ln tạo kỹ thuật để công hệ thống Các công phát hệ thống IDS dựa dấu hiệu cơng • Các tài liệu cần thiết cho dự án Các sách IDS nên mô tả dạng tài liệu công phát Các tài liệu bao gồm log đơn giản văn Cần phải xây dựng số hình thức để ghi lưu trữ tài liệu Các báo cáo tài liệu Trang 2.3 Kiến trúc hệ thống phát xâm nhập: Kiến trúc hệ thống IDS bao gồm thành phần sau: Thành phần thu thập gói tin (information collection), thành phần phân tích gói tin (detection) thành phần phản hồi (response) Trong ba thành phần này, thành phần phân tích gói tin quan trọng cảm biến (sensor) đóng vai trị quan định nên cần phân tích để hiểu rõ kiến trúc hệ thống phát xâm nhập Hình 1-1 Kiến trúc hệ thống phát xâm nhập Bộ cảm biến tích hợp với thành phần sưu tập liệu tạo kiện cách sưu tập xác định sách tạo kiện để định nghĩa chế độ lọc thông tin kiện tạo kiện (hệ điều hành, mạng, ứng dụng) cung cấp số sách thích hợp cho kiện, ghi kiện hệ thống gói mạng số sách với thơng tin sách lưu hệ thống bảo vệ bên Vai trò cảm biến dùng để lọc thơng tin loại bỏ liệu khơng tương thích đạt từ kiện liên quan với hệ thống bảo vệ, phát hành động nghi ngờ phân tích sử dụng sở liệu sách phát cho mục Ngồi cịn có thành phần: dấu hiệu công, profile hành vi thông thường, tham số cần thiết (ví dụ: ngưỡng) thêm vào đó, sở liệu giữ tham số cấu hình, gồm có chế độ truyền Trang thơng với module đáp trả cảm biến có sở liệu riêng nó, gồm liệu lưu xâm phạm phức tạp tiềm ẩn (tạo từ nhiều hành động khác nhau) IDS đặt tập trung (ví dụ tích hợp vào tường lửa) phân tán Một IDS phân tán gồm nhiều IDS khác mạng lớn, tất chúng truyền thông với nhiều hệ thống tinh vi theo nguyên lý cấu trúc tác nhân, nơi module nhỏ tổ chức host mạng bảo vệ Vai trò tác nhân để kiểm tra lọc tất hành động bên vùng bảo vệ phụ thuộc vào phương pháp đưa tạo phân tích bước đầu chí đảm trách hành động đáp trả mạng tác nhân hợp tác báo cáo đến máy chủ phân tích trung tâm thành phần quan trọng IDS DIDS sử dụng nhiều cơng cụ phân tích tinh vi hơn, đặc biệt trang bị phát công phân tán Các vai trò khác tác nhân liên quan đến khả lưu động tính roaming vị trí vật lý thêm vào đó, tác nhân đặc biệt dành cho việc phát dấu hiệu cơng biết hệ số định nói đến nghĩa vụ bảo vệ liên quan đến kiểu công Giải pháp kiến trúc đa tác nhân đưa năm 1994 AAFID (các tác nhân tự trị cho việc phát xâm phạm) Nó sử dụng tác nhân để kiểm tra khía cạnh hành vi hệ thống thời điểm Ví dụ: tác nhân cho biết số khơng bình thường telnet session bên hệ thống kiểm tra tác nhân có khả đưa cảnh báo phát kiện khả nghi tác nhân nhái thay đổi bên hệ thống khác (tính tự trị) Một phần tác nhân, hệ thống có phận thu phát để kiểm tra tất hành động kiểm soát tác nhân host cụ thể thu nhận ln ln gửi kết hoạt động chúng đến kiểm tra kiểm tra nhận thông tin từ mạng (khơng chủ từ host), điều có nghĩa chúng tương quan với thơng tin phân tán Thêm vào số lọc đưa để chọn lọc thu thập liệu Trang Hình 1-2 Giải pháp kiến trúc đa tác nhân 2.4 Phân loại hệ thống phát xâm nhập: • Có hai loại là: Network-based IDS Host-based IDS 2.4.1 Network-based IDS (NIDS): NIDS hệ thống phát xâm nhập cách thu thập liệu gói tin lưu thơng phương tiện truyền dẫn (cables, wireless) cách sử dụng card giao tiếp Khi gói liệu phù hợp với qui tắc hệ thống, cảnh báo tạo để thông báo đến nhà quản trị file log lưu vào sở liệu a Lợi NIDS: • Quản lý phân đoạn mạng (network segment) • Trong suốt với người sử dụng kẻ cơng • Cài đặt bảo trì đơn giản, khơng làm ảnh hưởng đến mạng • Tránh việc bị cơng dịch vụ đến host cụ thể • Có khả xác định lỗi tầng network Trang • Độc lập với hệ điều hành b Hạn chế NIDS: • Có thể xảy trường hợp báo động giả, tức khơng có dấu hiệu bất thường mà IDS báo • Khơng thể phân tích lưu lượng mã hóa SSH, IPSEC, SSL… • NIDS địi hỏi phải ln cập nhật dấu hiệu công để thực hoạt động hiệu • Khơng thể cho biết việc mạng bị cơng có thành cơng hay khơng, để người quản trị tiến hành bảo trì hệ thống • Một hạn chế giới hạn băng thông Những thu thập liệu phải thu thập tất lưu lượng mạng, xếp lại phân tích chúng Khi tốc độ mạng tăng lên khả thu thập thông tin Một giải pháp phải đảm bảo cho mạng thiết kế xác Một cách mà hacker cố gắng che đậy cho hoạt động họ gặp hệ thống IDS phân mảnh liệu gói tin giao thức có kích cỡ gói liệu có hạn, liệu truyền qua mạng truyền qua mạng lớn kích cỡ liệu bị phân mảnh Phân mảnh đơn giản trình chia nhỏ liệu thứ tự xếp không thành vấn đề miễn không bị chồng chéo liệu, cảm biến phải tái hợp lại chúng Hacker cố gắng ngăn chặn phát cách gởi nhiều gói liệu phân mảnh chồng chéo cảm biến không phát hoạt động xâm nhập không xếp gói tin lại cách xác Trang 10 mode IPS nhanh nhiên đặt vị trí làm cho tốc độ luồng thông tin vào mạng chậm Với mục tiêu ngăn chặn công, hệ thống IPS phải hoạt động theo thời gian thực Tốc độ hoạt động hệ thống yếu tố vơ quan trọng q trình phát xâm nhập phải đủ nhanh để ngăn chặn cơng tức khơng đáp ứng điều cơng thực xong Hệ thống IPS trở nên vô tác dụng Hình 1-6 Inline mode IPS Trang 20 3.3 Công nghệ ngăn chặn xâm nhập IPS: 3.3.1 Signature-based IPS: Hình 1-7 Signature-based IPS Là tạo rule gắn liền với hoạt động xâm nhập tiêu biểu Việc tạo signature-based yêu cầu người quản trị phải thật rõ kỹ thuật công, mối nguy hại cần phải biết phát triển signature để dị tìm cơng mối nguy hại cho hệ thống Signature-based IPS giám sát tất traffic so sánh với liệu có khơng có đưa cảnh báo cho người quản trị biết cơng để xác định dấu hiệu cơng cần phải biết cấu trúc kiểu cơng, signature-based IPS xem header gói tin phần payload liệu Một signature-based tập nguyên tắc sử dụng để xác định hoạt động xâm nhập thông thường nghiên cứu kỹ thuật nhằm tìm dấu hiệu công, mẫu phương pháp để viết dấu hiệu công nhiều phương pháp công phương pháp khai thác khám phá, nhà sản xuất cung cấp cập nhật file dấu hiệu Khi cập nhật file dấu hiệu hệ thống IPS phân tích tất lưu lượng mạng Nếu có dấu hiệu trùng với file dấu hiệu cảnh báo khởi tạo a Lợi ích việc dùng Signature-Based IPS: Những file dấu hiệu tạo nên từ hoạt động phương pháp cơng biết, có trùng lắp xác suất xảy công cao phát sử dụng sai có cảnh báo nhầm (false positive report) kiểu phát bất thường Phát Trang 21 dựa dấu hiệu không theo dõi mẫu lưu lượng hay tìm kiếm bất thường Thay vào theo dõi hoạt động đơn giản để tìm tương xứng dấu hiệu định dạng Bởi phương pháp phát sử dụng sai dựa dấu hiệu, mẫu lưu lượng hệ thống IPS định dạng bắt đầu bảo vệ mạng dấu hiệu sở liệu chứa hoạt động xâm nhập biết mô tả dấu hiệu dấu hiệu sở liệu thấy cho phép, không cho phép mức độ cảnh báo khác hành động ngăn cản khác nhau, định dạng cho dấu hiệu riêng biệt phát sử dụng sai dễ hiểu dễ định dạng hệ thống phát bất thường File dấu hiệu dễ dàng người quản trị thấy hiểu hành động phải tương xứng cho tín hiệu cảnh báo Người quản trị bảo mật có thể bật dấu hiệu lên, sau họ thực kiểm tra tồn mạng xem có cảnh báo khơng Chính phát sử dụng sai dễ hiểu, bổ sung, kiểm tra, nhà quản trị có khả to lớn việc điều khiển tự tin vào hệ thống IPS họ b Những hạn chế Signature-Based IPS: Bên cạnh lợi điểm chế phát sử dụng sai tồn nhiều hạn chế Phát sử dụng sai dễ dàng định dạng hiểu, giản đơn trở thành giá phải trả cho mát chức overhead hạn chế: • Khơng có khả phát cơng hay chưa biết: Hệ thống IPS sử dụng phát sử dụng sai phải biết trước hoạt động cơng để nhận đợt cơng Những dạng cơng mà chưa biết hay khám phá trước thường không bị phát • Khơng có khả phát thay đổi công biết: Những file dấu hiệu file tĩnh tức chúng khơng thích nghi với vài hệ thống dựa bất thường Bằng cách thay đổi cách cơng, kẻ xâm nhập thực xâm nhập mà không bị phát (false negative) Trang 22 Khả quản trị sở liệu dấu hiệu: Trách nhiệm nhà quản trị bảo mật bảo đảm file sở liệu cập nhật hành công việc nhiều thời gian khó khăn Những cảm biến phải trì tình trạng thơng tin: Giống firewall, cảm biến phải trì trạng thái liệu hầu hết cảm biến giữ trạng thái thơng tin nhớ để tìm lại nhanh hơn, mà khoảng trống giới hạn 3.3.2 Anomaly-based IPS: Phát dựa bất thường hay mô tả sơ lược phân tích hoạt động mạng máy tính lưu lượng mạng nhằm tìm kiếm bất thường tìm thấy bất thường, tín hiệu cảnh báo khởi phát Sự bất thường chệch hướng hay khỏi thứ tự, dạng, ngun tắc thơng thường dạng phát tìm kiếm bất thường nên nhà quản trị bảo mật phải định nghĩa đâu hoạt động, lưu lượng bất thường nhà quản trị bảo mật định nghĩa hoạt động bình thường cách tạo mơ tả sơ lược nhóm người dùng (user group profiles) Bản mô tả sơ lược nhóm người dùng thể ranh giới hoạt động lưu lượng mạng nhóm người dùng cho trước Những nhóm người dùng định nghĩa kỹ sư bảo mật dùng để thể chức công việc chung cách điển hình, nhóm sử dụng nên chia theo hoạt động nguồn tài nguyên mà nhóm sử dụng Một web server phải có mơ tả sơ lược dựa lưu lượng web, tương tự mail server Bạn chắn không mong đợi lưu lượng telnet với web server khơng muốn lưu lượng SSH đến với mail server Chính lý mà bạn nên có nhiều mơ tả sơ lược khác cho dạng dịch vụ có mạng bạn đa dạng kỹ thuật sử dụng để xây dựng mô tả sơ lược người dùng nhiều hệ thống IPS định dạng để xây dựng profile chúng phương pháp điển hình nhằm xây dựng mơ tả sơ lược nhóm người dùng lấy mẫu thống kê (statistical sampling), dựa nguyên tắc mạng neural Trang 23 Mỗi profile sử dụng định nghĩa cho người sử dụng thông thường hoạt động mạng người sử dụng làm chệch xa họ định nghĩa profile, hệ thống IPS phát sinh cảnh báo Hình 1-8 Anomaly-Based IPS a Lợi ích việc dùng Anomaly-Based IPS: Với phương pháp này, kẻ xâm nhập lúc có, lúc khơng phát sinh cảnh báo họ khơng có quyền truy cập vào profile sử dụng để phát công Những profile nhóm người dùng giống sở liệu dấu hiệu động thay đổi mạng bạn thay đổi Với phương pháp dựa dấu hiệu, kẻ xâm nhập kiểm tra hệ thống IPS họ làm phát sinh tín hiệu cảnh báo File dấu hiệu cung cấp kèm theo với hệ thống IPS, kẻ xâm nhập sử dụng hệ thống IPS để thực kiểm tra Một kẻ xâm nhập hiểu tạo cảnh báo họ thay đổi phương pháp công công cụ công để đánh bại hệ IPS Chính phát hiên bất thường không sử dụng sở liệu dấu hiệu định dạng trước nên kẻ xâm nhập biết xác gây cảnh báo phát bất thường nhanh chóng phát công từ bên sử dụng tài khoản người dùng bị thỏa hiệp (compromised user account) Trang 24 Nếu tài khoản người dùng sở hữu phụ tá quản trị sử dụng để thi hành quản trị hệ thống, hệ IPS sử dụng phát bất thường gây Một cảnh báo miễn tài khoản khơng sử dụng để quản trị hệ thống cách bình thường Ưu điểm lớn phát dựa profile hay bất thường khơng dựa tập dấu hiệu định dạng hay đợt công biết profile động sử dụng trí tuệ nhân tạo để xác định hoạt động bình thường Bởi phát dựa profile khơng dựa dấu hiệu biết, thực phù hợp cho việc phát công chưa biết trước miễn chệch khỏi profile bình thường phát dựa profile sử dụng để phát phương pháp công mà phát dấu hiệu không phát b Hạn chế việc dùng Anomaly-Based IPS: Nhiều hạn chế phương pháp phát bất thường phải làm với việc sáng tạo profile nhóm người dùng, chất lượng profile • Thời gian chuẩn bị ban đầu cao • Không có bảo vệ suốt thời gian khởi tạo ban đầu • Thường xun cập nhật profile thói quen người dùng thay đổi Khó khăn việc định nghĩa cách hành động thông thường: Hệ thống IPS thật tốt định nghĩa hành động bình thường Định nghĩa hoạt động bình thường chí cịn thử thách mà mơi trường nơi mà công việc người dùng hay trách nhiệm thay đổi thường xuyên • Cảnh báo nhầm: Những hệ thống dựa bất thường có xu hứng có nhiều false positive chúng thường tìm điều khác thường • Khó hiểu: Hạn chế cuối phương pháp phát dựa bất thường phức tạp Lấy mẫu thống kê, dựa nguyên tắc, mạng neural phương cách nhằm tạo profile mà thật khó hiểu giải thích Trang 25 3.3.3 Policy-Based IPS: Hình 1-9 Policy-Based IPS Một Policy-Based IPS phản ứng có hành động có vi phạm cấu hình policy xảy vậy, Policy-Based IPS cung cấp nhiều phương thức ưu chuộng để ngăn chặn a Lợi ích việc dùng Policy-Based IPS • Ta policy cho thiết bị hệ thống mạng • Một tính quan trọng Policy-Based IPS xác thực phản ứng nhanh, có cảnh báo sai Đây lợi ích chấp nhận người quản trị hệ thống đưa security policy tới IPS cách xác có cho phép hay khơng? b Hạn chế việc dùng Policy-Based IPS: • Khi cơng việc người quản trị vất vả • Khi thiết bị thêm vào mạng lại phải cấu hình • Khó khăn quản trị từ xa 3.3.4 Protocol Analysis-Based IPS: Giải pháp phân tích giao thức (Protocol Analysis-Based IPS) việc chống xâm nhập tương tự Signature-Based IPS, sâu việc phân tích giao thức Trang 26 gói tin (packet).Ví dụ: Một hacker bắt đầu chạy chương trình cơng tới Server Trước tiên hacker phải gửi gói tin IP với kiểu giao thức, theo RFC, khơng chứa liệu payload Một Protocol Analysis-Based phát kiểu công số giao thức • Kiểm tra khả giao thức để xác định gói tin có hợp pháp hay khơng? • Kiểm tra nội dung Payload (pattern matching) • Thực cảnh cáo khơng bình thường So sánh hệ thống IDS IPS: Ở mức nhất, IDS thụ động, theo dõi liệu packet qua mạng từ port giám sát, so sánh traffic đến rules thiết lập đưa cảnh báo phát dấu hiệu bất thường Một hệ thống IDS phát hầu hết loại traffic độc hại bị tường lửa để trượt, bao gồm công từ chối dịch vụ, công liệu ứng dụng, đăng nhập trái phép máy chủ, phần mềm độc hại virus, Trojan worms Hầu hết hệ thống IDS sử dụng số phương pháp để phát mối đe dọa, thường dựa dấu hiệu xâm nhập phân tích trạng thái giao thức IDS lưu file log vào CSDL tạo cảnh báo đến người quản trị IDS cho tầm nhìn sâu với hoạt động mạng, nên giúp xác định vấn đề với sách an ninh tổ chức Vấn đề IDS thường đưa báo động giả cần phải tối đa hóa tính xác việc phát dấu hiệu bất thường 3.4 Lợi IPS: Ở mức nhất, IPS có tất tính hệ thống IDS ngồi cịn ngăn chặn luồng lưu lượng gấy nguy hại đến hệ thống chấm dứt kết nối mạng kẻ cố gắng công vào hệ thống, cách chặn tài khoản người dùng, địa IP, thuộc tính liên kết đến kẻ cơng chặn tất truy cập vào máy chủ, dịch vụ, ứng dụng Trang 27 Ngồi ra, IPS phản ứng với mối đe dọa theo hai cách cấu hình lại điều khiển bảo mật khác router firewall, để chặn đứng cơng số IPS chí cịn áp dụng vá lỗi máy chủ có lỗ hổng Ngồi ra, số IPS loại bỏ nội dung độc hại từ cơng, xóa tệp tin đính kèm với mail user mà chứa nội dung nguy hiểm đến hệ thống 3.5 Bảo vệ hai lần: Bởi IDS IPS đặt vị trí khác mạng chúng nên sử dụng đồng thời hệ thống IPS đặt bên mạng ngăn chặn công zero day, virus worm mối đe dọa ngăn chặn IDS đặt bên mạng giám sát hoạt động nội Kết thực nghiệm: Trang 28 4.1 Chuẩn bị: Máy Ubuntu 20.04 cài đặt hệ thống Zeek 4.2 : Khái niệm sơ đồ vè Zeek: Zeek trình bày cơng cụ để hỗ trợ quản lý ứng phó cố an ninh Nó hoạt động cách bổ sung dựa chữ ký công cụ để tìm theo dõi kiện mạng phức tạp Nó khơng giúp xác định kiện bảo mật, mà cịn nhằm mục đích tạo điều kiện khắc phục cố 4.2.1 Cài đặt cấu hình Zeek: Tải Zeek câu lệnh: Sudo apt install zeek Trang 29 4.2.2 Thực vào công cụ: - Truy cập vào thư mục zeek: Trang 30 Trang 31 Mở tab Cmd khác administer: - Ta nhấn Ifconfig IP máy - Sau qua Zeek nhập ens máy admin vào để zeek chạy: Trang 32 - Hiển thị thông tin máy admin Tổng kết: 5.1 Tóm tắt nội dung: Về mặt lý thuyết luận văn nêu vấn đề hệ thống phát xâm nhập hệ thống ngăn chặn xâm nhập bên cạnh đưa giải pháp xây dựng hệ thống IPS thực tế triển khai hiệu đánh giá cao Đã xây dựng thành công hệ thống IPS thực tế hoạt động với yêu cầu đặt Trang 33 5.2 Phần làm thiếu sót: 5.2.1 Làm được: Như cài đặt xong hệ thống Zeek UBuntu, với hướng dẫn bạn cài đặt Zeek cách dễ dàng tự tạo thêm số luật để tạo cảnh báo cho hệ thống 5.2.2 Thiếu sót: Chương trình cài đặt cịn nhiều thiếu sót, bước làm làm thị cảnh báo xâm nhập Trang 34 ... Hệ thống phát xâm nhập: 2.1 Phát xâm nhập: .5 2.2 Chinh sách IDS: .6 2.3 Kiến trúc hệ thống phát xâm nhập: 2.4 Phân loại hệ thống phát. .. Giới thiệu: 1.1.1 IDS: IDS (Hệ thống phát xâm phạm) hệ thống phòng chống nhằm phát hành động cơng vào mạng mục đích phát ngăn ngừa hành động phá hoại vấn đề bảo mật hệ thống hành động tiến trình... cũ Hệ thống phát xâm nhập: 2.1 Phát xâm nhập: Phát xâm nhập tập hợp kỹ thuật phương pháp sử dụng để phát hành vi đáng ngờ cấp độ mạng máy chủ hệ thống phát xâm nhập phân thành hai loại bản: • Hệ