Cỏc thành phần của Snort

Một phần của tài liệu Nghiên cứu xây dựng module giám sát an ninh mạng dựa trên mã nguồn mở snort (Trang 55 - 58)

5. Bố cục của đề tài

3.2.1.2.Cỏc thành phần của Snort

47

Snort được chia thành nhiều thành phần. Những thành phần này làm việc với nhau để phỏt hiện cỏc cỏch tấn cụng cụ thể và tạo đầu ra theo một định dạng nhất định. Một IDS dựa trờn Snort bao gồm cỏc thành phần chớnh sau đõy:

Packet Decoder (Bộ phận giải mó gúi tin) Preprocessor (Bộ phận xử lý )

Dectection Engine (Bộ phật phỏt hiện)

Logging và Alerting System (Hệ thống ghi và cảnh bỏo)  Packet Decoder (Bộ phận giải mó gúi tin)

Bộ phận giải mó gúi tin lấy cỏc gúi tin từ cỏc giao diện mạng khỏc nhau và chuẩn bị cho việc xử lý gúi tin.

 Preprocessor (Bộ phận xử lý)

Hỡnh 2.6: Bộ phận xử lý

Bộ phận xử lý là những thành phần được sử dụng với Snort để sắp xếp hoặc chỉnh sửa gúi tin trước khi bộ phận phỏt hiện xử lý để tỡm ra gúi tin cú được sử dụng bởi kẻ xõm nhập hay khụng. Một vài thành phần của bộ phận xử lý cũng thực thi việc phỏt hiện bằng cỏch tỡm cỏc dấu hiệu bất thường trong header của gúi tin và tạo ra cỏc cảnh bỏo. Bộ phận xử lý là rất quan trọng trong bất kỡ IDS nào, chỳng chuẩn bị cho cỏc gúi tin được phõn tớch dựa trờn cỏc luật trong bộ phận phỏt hiện. Kẻ tấn cụng sử dụng nhiều kĩ thuật khỏc nhau để lừa IDS theo nhiều cỏch.

48

Hỡnh 2.7: Bộ phận phỏt hiện

Đõy là phần quan trọng nhất của Snort. Trỏch nhiệm của bộ phận này là phỏt hiện cú sự xõm nhập tồn tại trong gúi tin hay khụng. Bộ phận phỏt hiện sử dụng cỏc luật của Snort cho mục đớch này. Nếu một gúi tin giống với bất kỡ luật nào, một hành động tương ứng sẽ được thực hiện. Đõy là bộ phận then chốt về thời gian thực thi của Snort. Dựa vào bộ mỏy của người sử dụng mạnh như thế nào và bao nhiờu luật mà nú cú thể tốn những khoảng thời gian khỏc nhau đối với cỏc gúi tin khỏc nhau. Nếu lưu lượng trờn mạng là quỏ lớn khi Snort đang hoạt động trong chế độ NIDS, người dựng cú thể mất một vài gúi tin và cú thể thời gian đỏp ứng khụng chớnh xỏc. Lưu lượng trờn bộ phận phỏt hiện phụ thuộc vào cỏc yếu tố sau:

Số lượng cỏc luật

Sức mạnh của bộ mỏy mà Snort đang chạy Tốc độ của bus được sử dụng

Lưu lượng trờn mạng

49

Hỡnh 2.8: Hệ thống ghi và cảnh bỏo

Hệ thống ghi và cảnh bỏo phụ thuộc vào dữ liệu mà bộ phận phỏt hiện tỡm thấy trong gúi tin, gúi tin cú thể được sử dụng để ghi lại cỏc hành vi hoặc tạo ra một cảnh bỏo. Cỏc thụng tin ghi lại được giữ trong cỏc file text đơn giản hoặc cỏc dạng khỏc.

Một phần của tài liệu Nghiên cứu xây dựng module giám sát an ninh mạng dựa trên mã nguồn mở snort (Trang 55 - 58)

(82 trang)