3 GIẢI PHÁP QUẢN LÝ CÁC HỆ THỐNG PHÁT HIỆN PHÒNG CHỐNG
2.13 Hệ thống quản lý phát hiện xâm nhập [Lichtenberg05]
Vào năm 2005, J. Lichtenberg và J. M. Gómez [15] đề nghị một hệ thống quản lý phát hiện xâm nhập (Intrusion Detection Management System) trong thương mại điện tử. Hệ thống quản lý xâm nhập áp dụng các Hệ thống phát hiện xâm nhập khác nhau để không chỉ phát hiện mối đe dọa mà còn phân tích nó và đề xuất các biện pháp chống lại việc xâm nhập vào hệ thống được bảo vệ. Kiến trúc cơ bản của hệ thống quản lý xâm nhập này được chỉ dẫn trên Hình 2.18. Thành phần quản lý trong hệ thống này là Bộ quản lý hệ thống. Từ đầu ra của các hệ thống phát hiện xâm nhập, với sự hợp tác của thành phần Lập kế hoạch phản ứng và điều hành, Bộ phân tích tấn công cung cấp kiến thức về bản chất và mức nghiêm trọng của cuộc tấn công tiềm năng tới Bộ quản lý hệ thống. Sau đó, Bộ quản lý hệ thống quyết định cuộc tấn công tiềm năng là mối nguy hiểm nghiêm trọng hoặc vô hại. Với ý tưởng sử dụng một bộ quản lý như một thực thể độc lập với các bộ phân tích và cảm
biến trong các hệ thống phát hiện xâm nhập của nhiều nhà cung cấp, B-C. B¨osch [B¨osch12] đề nghị hai chuẩn truyền thông IDMEF (Intrusion Detection Message Exchange Format) từ bộ phân tích tới bộ quản lý và IDPEF (Intrusion Detection Parameterization Exchange Format) từ bộ quản lý tới bộ phân tích. Hình 2.13 mô tả hoạt động của mô hình hệ thống với hai chuẩn truyền thông này. B-C. B¨osch [B¨osch12] đã tiến hành thực nghiệm mô hình trên đây với ba hệ thống phát hiện xâm nhập mã nguồn mở, NetIDS Snort và HostIDS Samhain và HostIDS OSSec và kết quả cho thấy việc triển khai không sửa đổi các thực thi IDS thành phần. Ngày nay, các nhà cung cấp hệ thống phát hiện và ngăn chặn xâm nhập sử dụng bộ quản lý trong các sản phẩm của mình. Hệ thống quản lý IPSManager của đề tài được xây dựng theo xu hướng chung.
2.5.2 Mô hình nhiều lớp phát hiện và ngăn chặn xâm nhập