6. Ý nghĩa khoa học của đề tài
3.2.1. Kiến trúc và thành phần hệ thống
3.2.1.1. Thu thập trên host.
Việc thu nhận dữ liệu trên các thiết bị này sẽ thu đƣợc các thông tin mà hacker giao tiếp với các thiết bị dƣới dạng không bị mã khóa.
Ngoài ra trên các host đều cài đặt các hệ điều hành, mỗi hệ điều hành duy trì các log có thể cung cấp nhiều thông tin. Hệ thống log thƣờng xuyên ghi lại những cố gắng đăng nhập vào hệ thống dù thất bại hay thành công, cũng nhƣ bất kì cảnh báo hệ điều hành đã đƣa ra. Đây cũng là một kênh thông tin hữu ích cho việc thu thập thông tin an ninh mạng.
3.2.1.2. Thu thập trên mạng
Hiện nay, thu thập và phân tích thông tin an ninh mạng thông thƣờng sử dụng hai phƣơng pháp thu nhập và phân tích trực tuyến hoặc ngoại tuyến. Đối với hai phƣơng pháp này thì việc bố trí kiến trúc và thành phần hệ thống có thay đổi khác nhau. Trong phƣơng pháp thu thập và phân tích trực tuyến, ngƣời phân tích cần thực hiện việc chặn bắt gói thông tin mạng. Để thực hiện
44
việc phân tích này ngƣời ta sử dụng một trong các biện pháp sau: TAPS( Test Access Ports); Inline Devices; Hubs; SPAN Ports.
Thiết bị chuyên biệt đƣợc xây dựng cho việc truy cập luồng dữ liệu trên các thiết bị mạng. Thông thƣờng thiết bị này đƣợc cài đặt trƣớc tại những dữ liệu quan trọng, đồng thời những thiết bị này có khả năng chặn bắt dữ liệu tại lớp vật lí.
3.2.1.3. Thu thập trên thiết bị mạng
Thông tin thu thập trên các thiết bị mạng thông thƣờng nhƣ router, switch, hub hay những thiết bị an ninh chuyên dụng nhƣ tƣờng lửa, hệ thống phát hiện xâm nhập IDS rất có giá trị trong việc phân tích thông tin an ninh mạng.
Tùy thuộc vào từng loại thiết bị khác nhau, chúng ta sẽ thu thập các thông tin cần thiết cho quá trình phân tích sau này.