Chương 3: XÂY DỰNG MƠ HÌNH PHÁT HIỆN ĐỘT NHẬP MẠNG DỰA TRÊN ĐỐI SÁNH CHUỖ
3.3.2 Tích hợp thuật tốn đối sánh chuỗi đa mẫu AhoCorasick vào Snort
Snort
Với ưu điểm vượt trội trong việc đối sánh giữa các chuỗi data lớn, luận văn đã thực hiện việc tích hợp thuật tốn Aho Corasick vào hệ thống Snort để tăng hiệu quả khâu đối sánh chuỗi.
detection_options.c,…
Bước 2: Thay đổi cấu hình (file snort.config) của Snort như sau:
config detection: search-method ac-split search-optimize max-pattern- len 20
search-method sử dụng là ac-split - : sử dụng thuật tốn Aho-Corasick đầy đủ với bất kỳ nhĩm cổng riêng biệt (bộ nhớ thấp, hiệu năng cao). search-optimize: tối ưu hĩa bộ nhớ nhanh chĩng khi sử dụng tìm kiếm
Aho Corasick bằng cách chia tự động kích thước các trạng thái dựa vào tổng các trạng thái.
max-pattern-len <integer>: tối ưu hĩa bộ nhớ xác định độ dài tối đa của chuỗi u được áp dụng trong đối sánh chuỗi nhanh. Với các chuỗi cĩ độ dài lớn hơn thì sẽ được cắt ngắn chiều dài trước khi chèn vào đối sánh chuỗi. Khi một nội dung rất dài sẽ được cắt ngắn mà khơng làm mất tính duy nhất của nĩ.
Bước 3:Tạo rule cho Snort.
Vì luận văn khơng đi sâu tìm hiểu về việc tạo rule trong Snort nên những ví dụ trong luận văn chỉ tạo những rules đơn giản, dễ cài đặt.
Ví dụ 1: rule 1luận văn sử dụng lưu trong file demo.rules đặt trong đường dẫn (C:\Snort\rules):
alert tcp any any -> 192.168.1.100 any (msg:"Co nguoi truy cap";sid:25358;) alert icmp any any -> 192.168.1.100 any (msg:"Co nguoi dang ping";sid:25310;)
Khi khởi động Snort, thử ping đến địa chỉ www.google.com sẽ thu được kết quả là file alert.ids với nội dung như sau:
Hình 3.11Kết quả rule Demo.rules trong Snort
Ví dụ 2: rule 2luận văn sử dụng lưu trong file demo1.rules đặt trong đường dẫn (C:\Snort\rules):
alert TCP 42.112.9.40 any -> 192.168.0.102 any (msg:"Co nguoi dang ping";sid:25312;)
alert UDP any any -> 192.168.0.102 any (msg:"Co goi tin UDP";sid:25310;) Khi khởi động Snort sẽ thu được kết quả là file alert.ids với nội dung như sau:
Hình 3.12Kết quả rule Demo1.rules trong Snort
thước lớn. Luận văn cũng tiến hành tích hợp và thử nghiệm thành cơng thuật tốn đối sánh chuỗi đa mẫu Aho-Corasick vào hệ thống phát hiện đột nhập Snort.