5. Bố cục của đề tài
3.2.3.Phõn tớch thiết kế
Để cú thể quản lý được toàn bộ luật của Snort thỡ Website cần cú 1 module để lấy toàn bộ luật từ /etc/snort/rules và ghi vào cơ sở dữ liệu và cần 1 module để ghi ngược từ cơ sở dữ liệu vào cỏc file luật nằm trong /etc/snort/rules.
Thụng thường khi cài đặt Snort thỡ Snort cú sử dụng 1 database là snort. Database này gồm cỏc bảng sau :
- Bảng data chứa payload của mỗi gúi tin mà bị sinh cảnh bỏo
- Bảng detail chưa thụng tin chi tiết về log của mỗi gúi tin, cột đầu tiờn là chi tiết gúi tin ở mode “fast” , cột thứ 2 là thụng tin ở mode “full”.
- Bảng encoding thể hiện cỏc kiểu mó húa được sử dụng khi ghi dữ liệu lại. Theo mặc định thỡ nú dựng 3 kiểu log : hex, base64,ASCII.
- Bảng event liệt kờ toàn bộ cỏc sự kiện và lưu trữ tem thời gian của cỏc sự kiện đú.
- Bảng icmphdr table chứa thụng tin về ICMP header của cỏc gúi tin mà được ghi -log vào trong database. Nú chứa thụng tin bao gồm : ICMP type, ICMP code, ICMP ID,ICMP sequence number …..
57
- Bảng Reference và bảng reference_system chưa thụng tin về cỏc site reference sử dụng để lấy cỏc thụng tin về lỗ hổng cỏc thụng tin này giống trong file reference.config.
- Bảng schema thể hiện cỏc version của database schema.
- Bảng Sensor chứa thụng tin về cỏc sensor khỏc nhau mà đều cú nhiệm vụ ghi log vào cơ sở dữ liệu, nếu chỉ cú 1 sensor thỡ bảng này chỉ cú 1 dũng.
- Bảng sig_class chưa thụng tin về cỏc nhúm luật của snort vớ dụ như: backdoor, attach-response.
- Bảng signature chứa thụng tin về cỏc dấu hiệu mà sinh cỏc cảnh bỏo.
- Bảng tcphdr chứa thụng tin TCP header của một gúi tin.
- Bảng udphdr chứa thụng tin UDP header của gúi tin.
Với yờu cầu quản lý rule thỡ ta sẽ sử dụng chung database với Snort để cú thể tận dụng nhiều yếu tố thụng tin sẵn cú.