Nhận dạng tấn công, xâm nhập là vấn đề rất được quan tâm trong thời đại công nghệ tri thức hiện nay.
Nhận dạng tấn công, xâm nhập bằng so sánh với những mẫu hay những luật có trong hệ thống để nhận dạng tấn công, xâm nhập theo phương pháp truyền thống là dựa vào mẫu tấn công đã biết.
Thực nghiệm cho thấy hệ thống này có khả năng phát hiện các loại tấn công dựa trên phát hiện bất thường và tiếp cận dựa trên dấu hiệu, như là sự tấn công của virus tới hệ thống, chúng ta có thể phát hiện Scan Port, tấn công SQL INJECTION, và ngăn chặn Detection of a Denial of Service Attack.
Quản lý snort bằng giao diện đồ họa để dễ dàng kiểm soát hệ thống và có thể cảnh báo qua nhiều hệ thống phát hiện khác nhau, làm cho bộ phận quản lý nhanh chống kịp thời xử lý tránh được nhiều thảm họa xảy ra làm cho hệ thống ngưng hoạt động và đem đến cho những thất thu thiệt hại cho doanh nghiệp.
Hệ thống cảnh báo còn cho chúng ta quản lý tín hiệu dữ liệu thông qua web và báo cáo tình hình theo giờ, ngày, tháng. Cho chúng ta biết chi tiết từng tín hiệu chạy trong hệ thống mà nó quan sát được.
Chúng ta có thể viết một số đoạn code lập trình perl cho phép cập nhật rule tự động và đồng thời quản lý snort bằng giao diện đồ họa như cài đặt phần mềm webmin trên linux, còn trên windows thì chúng ta cài đặt IDScenter11rc4.
7.2. Hướng phát triển
Mặc dù có những kết quả khả quan, luận văn vẫn còn nhiều hạn chế. Để có thể ứng dụng được tốt vào thực tiễn đòi hỏi luận văn phải nghiên cứu phát triển
- Phần mềm Snort là phần mềm mã nguồn mở chúng ta có thể triển khai hệ thống trên windows và cũng như trên hệ thống linux.
- Cấu hình Snort để gửi tin nhắn SMS qua điện thoại để báo động cho ta biết mỗi khi hệ thống đang bị tấn công.
- Kết hợp với hệ thống Nagious (hệ thống cảnh báo khi server trong mạng bị chết có thể do tấn công) làm cho hệ thống mạng trở nên linh động, mềm dẻo hơn.
- Kết hợp xây dựng hệ thống IDS/IPS trên phần cứng (thiết bị của Cisco) và phần mềm.
- Xây dựng hệ thống Honeypot để đánh lạc hướng các cuộc tấn công.
- Xây dựng tường lửa (firewall) hình thành hệ thống nhận dạng và ngăn chặn tấn công. Có hai cách:
Chương trình phải bắt tay được với firewall, router,… tùy thuộc vào tường lửa (firewall) có cho phép hay không để thay đổi luật trên firewall, router,…
Các gói dữ liệu mạng phải qua chương trình nhận dạng tấn công, nếu là tấn công thì chương trình sẽ loại bỏ gói dữ liệu mạng đó ngay. Nếu thấy không tấn công thì sẽ cho qua.
TÀI LIỆU THAM KHẢO