3. Thiết kế xây dựng mô hình hệ thống giám sát
3.3.2. Chức năng của từng khối
Hệ thống giám sát gồm 4 khối xử lý chính:
Khối Sensor:
Khối này sẽ lấy các logfiles từ syslog của hệ thống.
Khối sensor sẽ trực tiếp lấy logfile từ hệ thống webserver. Lưu trữ và chuyển qua khối Weblog analyzer xử lý. Đây là thành phần khá quan trọng trong hệ thống. Tất nhiên, việc các logfiles nào được lấy để giám sát sẽ được cài đặt trong syslogs của hệ thống webserver.
Firewall
IP Controller
Config LIDS
Alert Parselog Pattern Sensor
Weblog Analyzer
IP xâm nhập trái phép Chặn/cho phép IP truy cập
Thiết lập các luật cho firewall
Lo g _ LI D S
LIDS Interface Logfiles đã được xử lý
Đặt cấu hình
Cảnh báo
Logfiles LIDS
SV: HỒ TRUNG DŨNG 59 Khối xử lý logfiles (Weblog analyzer):
Weblog analyzer sẽ lấy logfiles từ Sensor và phân tích các logfiles theo một chuẩn chung . Bao gồm các thành phần sau:
Timestamp: Giờ hệ thống của thiết bị khi ghi nhận log (trường hợp log 1 đăng nhập từ xa) hoặc của thiết bị tạo log (trong trường hợp tự tạo log).
Hostname: có thể là một tên domain name chất lượng (FQDN) hoặc dns.
Message source: Nguồn có thể là một phần mềm hệ thống (sshd hoặc là named, …) hoặc là 1 bộ phận (ví vụ như PAM_unix) mà sản sinh ra thông báo log.
Log message: Thông báo log có thể có nhiều định dạng khác nhau, thông thường
bao gồm tên ứng dụng, các biến tình trạng đa dạng, địa chỉ IP nguồn, giao thức … Thỉnh thoảng định danh tiến trình của một tiến trình có thể tạo ra những bản ghi log và được ghi vào các chỗ trống.
Khối ConfigLIDS:
Đây là khối có nhiệm vụ quan trọng nhất trong chương trình. Khối này gồm ba module chính.
+ Module PaserLog: Module này sẽ đọc các logfiles đưa vào và sẽ phân tích các logfile này, sau đó sẽ đối chiếu với các mẫu (patterns) có sẵn trong module Config.
+ Module Config: Module này sẽ chứa các mẫu tập luật (Rules): AntiDDOS, Webattach, Spam mail, Backdoor. Module này sẽ phát hiện các truy cấp có dấu hiệu vi phạm và sẽ được chuyển vào Module Alert.
+ Module Alert sẽ thông báo các truy cập vi phạm tới khối IPController, lưu trữ các logfile dưới dạng text file, và gửi email cảnh báo tới nhà quản trị.
Khối IPController:
Khối này sẽ kết nối trực tiếp đến Firewall nhằm xử lý các xâm nhập bất hợp pháp. Các truy cập có IP xâm nhập bất hợp pháp này sẽ bị chặn (DROP) trong thời gian nhất định nào đấy. Trong firewall sẽ chứa các tập luật nhằm xử lý các IP có dấu hiệu xâm nhập bất hợp pháp.