Kết quả triển khai 74-

Một phần của tài liệu Hệ thống phát hiện xâm nhập hợp tác và ứng dụng (Trang 74)

3. Triển khai thử nghiệm trong mạng VietnamAirlines 5 1-

2.1. Kết quả triển khai 74-

- Phát hiện, cảnh báo theo thời gian thực.

- 75 -

- Cảnh báo theo các tập luật có chủ đích của ngƣời quản trị từ trƣớc. Đánh giá mức độ nguy hiểm của mỗi cảnh báo.

Hình 3.10. Các cảnh báo được đánh giá mức độ nguy hiểm

- Phân tích một cảnh báo nhận đƣợc trên OSSIM server đƣợc gửi về từ agent CISCO ASA.

- 76 -

Hình 3.10. Phân tích cảnh bào nhận được từ plugin cisco-asa.

- 77 -

- 78 -

- 79 -

- 80 -

2.2. Đánh giá các kết quả thu được qua quá trình triển khai hệ thống.

- Kết nối và quản lý đƣợc các thiết bị đảm bảo an toàn thông tin của toàn hệ thống mạng: Firewall, Symantec-SEP, Snort, OSSEC trên một thiết bị quản lý tập trung duy nhất. Qua giao diện quản lý và theo dõi các agent trên website ngƣời quản trị có thể biết đƣợc trạng thái hoạt động của các agent. Các plugin đang hoạt động. Đồng thời qua giao diện quản lý này ngƣời quản trị có thể enable/disable các plugin nhƣ đang đừng trên chính thiết bị agent.

- Đƣa ra đƣợc các cảnh báo về nguy cơ mất an toàn thông tin từ nhiều nguồn khác nhau trên hệ thống. Các cảnh báo mang tính chất tổng quan và phát đi trên toàn mạng.

- 81 -

KẾT LUẬN.

Trong suốt thời gian vừa qua, với sự hƣớng dẫn tận tình của giáo viên hƣớng dẫn PGS.TS.Ngô Hồng Sơn, cùng với sự hỗ trợ của các đồng nghiệp em đã hoàn thành đƣợc luận văn này. Luận văn đã đề cập đến những vẫn đề chung của an toàn thông tin, an ninh mạng nói chung và đi sâu nghiên cứu về các kỹ thuật phát hiện và phòng chống xâm nhập kết hợp CIDS. Cụ thể luận văn này đã đạt đƣợc một số kết quả sau:

- Tìm hiểu đƣợc nguyên lý hoạt động, phân tích và phát hiện xâm nhập của hệ thống phát hiện xâm nhập kết hợp.

- Phân tích các mô hình triển khai hệ thống: Tập trung, phân cấp và phân phối đấy đủ. Ứng với mỗi mô hình lại có các ƣu điểm, nhƣợc điểm riêng phù hợp với từng mô hình mạng trong thực tế.

- Kết hợp quản lý đƣợc nhiều công cụ an toàn thông tin trên một thiết bị tập trung, kết hợp đƣợc các sản phẩm thƣơng mại và các sản phẩm mã nguồn mở. Đặt chế độ tính toán và xử lý thông tin linh hoạt tƣơng ứng với từng trƣờng hợp cụ thể trong thực tế.

- Hiểu đƣợc cơ chế gửi, nhận và xử lý dữ liệu của các sản phẩm an toàn thông tin trên môi trƣờng xử lý tập trung: Server/ Sensor.

- Xây dựng và thử nghiệm thành công hệ thống quản lý thông tin bảo mật mã nguồn mở OSSIM trong môi trƣờng mạng thực tế của VietnamAirlines.

Hƣớng phát triển tiếp theo của đề tài.

Từ các cảnh báo đƣợc đƣa ra từ OSSIM. Đối với các cảnh báo có mức độ nguy hiểm cao. OSSIM server sẽ phát đi yêu cầu đến các sensor (firewall, IPS) có các hành động tƣơng ứng nhằm ngăn chặn các nguy cơ mất an toàn thông tin cho toàn hệ thống mạng.

- 82 - dụng trên firewall cisco.

- Lọc các ứng dụng. Cấm tất cả ngƣời dùng mở các ứng dụng có đính kèm virus, sâu mạng. Áp dụng trên Symantec-SEP.

- Cấm ngƣời dùng truy cập các trang web, link phát tán virus. Áp dụng trên web proxy: Bluecoat Proxy.

- Xây dựng hệ thống phát hiện xâm nhập phối hợp tích hợp các tính năng bảo mật của các hãng lớn với các sản phẩm thƣơng mại: CISCO, IBM, Checkpoint, Microsoft,.. để trở thành hệ thống phát hiện xâm nhập phối hợp thực sự.

- Các cảnh báo đƣợc gửi tự động tới nhà quản trị bằng tin nhắn SMS, mail đối với những cảnh báo có độ nguy hiểm cao.

- Nghiên cứu thêm việc ứng dụng các tập luật phức tạp, phát hiện đƣợc các cuộc tấn công tinh vi từ các sâu mạng. Có khả năng cập nhật mẫu của các hình thức tấn công, xâm nhập mới.

Tuy nhiên, do lƣợng kiến thức còn nhiều hạn chế và môi trƣờng triển khai mang tính thử nghiệm. Bản OSSIM server sử dụng sản phẩm thử nghiệm, chƣa phải là bản thƣơng mại với đầy đủ các chức năng của một hệ thống phát hiện xâm nhập kết hợp nên còn nhiều hạn chế về các chức năng cầu hình kết nối với firewall, IDPS. Vì vậy trong luận văn chắc chắn còn nhiều vấn đề chƣa hoàn thiện, chƣa thể hiện đƣợc hết tất cả nội dung của vấn đề. Em rất mong nhận đƣợc sự góp ý của các thầy cô giáo.

- 83 -

TÀI LIỆU THAM KHẢO

1 Snapp S, Brentano J, Dias G, Goan T, Heberlein L, Ho C, et al. (1991). DIDS (distributed intrusion detection system) – motivation, architecture, and an early prototype. In: Proceedings of the 14th national computer security conference;pp.167–76.

2 Staniford-Chen S, Cheung S, Crawford R, Dilger M, Frank J,Hoagland J, et al. (September 1996). Grids-a graph based intrusion detection system for large networks. In: Proceedings of the 19th national information systems security conference. vol. 1; pp. 361–70

3 Locasto M, Parekh J, Keromytis A, Stolfo S, (2005). Towards collaborative security and P2P intrusion detection. . In: Proceedings of the 2005 IEEE workshop on information assurance and security

4 Heberlein LT, Mukherjee B, Levitt KN, (1992). Internetwork security monitor: an intrusion-detection system for large-scale networks. In: Proceedings of the 15th national computer security conference. pp. 262–71. 5 Center, CERT Coordination. (CERT/CC). CERT/CC statistics 1988–2006, http://www.cert.org/stats. 2006.

6 https://www.alienvault.com/

7 Huang M, Jasper R, Wicks T, (1999). A large scale distributed intrusion detection framework based on attack strategy analysis. Computer Networks; 31(23–24): 2465–75.Julio Casal. OSSIM Fast Guide. n.d.

8 Karg, Dominique. OSSIM Correlation engine explained.

9 Tiến Sỹ Đỗ Ngọc Duy Trác- Bộ Thông Tin Và Truyền Thông.

Đề tài khoa học: Nghiên cứu xây dụng mô hình hệ thống quản lý an toàn thông tin Internet theo cấu trúc phân bố (Mã số: 61-07-KHKT-RD) 09/2011.

10 Kevin Milne. OSSIM User manual.

Một phần của tài liệu Hệ thống phát hiện xâm nhập hợp tác và ứng dụng (Trang 74)

Tải bản đầy đủ (PDF)

(83 trang)