3/3/2013
36
Đại họcCôngnghệthông tinKhoaMạngmáy tính vàtruyềnthông KhoaMạngmáy tính vàtruyềnthông
36
Hệ thốngtìmkiếm, pháthiệnvàngăn ngừaxâmnhập ThS. Hồ Hải
Phát hiện dựa trên Honey Pot
Phương pháp này dựa trên nguyênlý Honey pot để hấp dẫn những kẻ tấn lý Honey pot để hấp dẫn những kẻ tấn công tập trung vào các Honey pot. Từ đó máy chủ thực sự sẽ không phải là mục tiêu cuộc tấn công và người quản trị mạng sẽ dùng các dữ liệu thu thập được từ Honey pot để phân tích kỹ thuật tấn công.
3/3/2013
37
Đại họcCôngnghệthông tinKhoaMạngmáy tính vàtruyềnthông KhoaMạngmáy tính vàtruyềnthông
37
Hệ thốngtìmkiếm, pháthiệnvàngăn ngừaxâmnhập ThS. Hồ Hải
Thành phần chính của Hệ thống IDS/IPS
Bộ cảm biến (sensor): giám sát và phân tíchcác hoạt động. các hoạt động.
Server quản lý (management server): là thiếtbị tập trung để nhận thông tin từ các bộ cảm bị tập trung để nhận thông tin từ các bộ cảm biến và quản lý chúng.
Database server: là một kho lưu trữ thông tin
sự kiện được ghi bởi bộ cảm biến và/ hoặc
server quản lý
Console: là chương trình cung cấp giao diện
3/3/2013
38
Đại họcCôngnghệthông tinKhoaMạngmáy tính vàtruyềnthông KhoaMạngmáy tính vàtruyềnthông
38
Hệ thốngtìmkiếm, pháthiệnvàngăn ngừaxâmnhập ThS. Hồ Hải
3/3/2013
39
Đại họcCôngnghệthông tinKhoaMạngmáy tính vàtruyềnthông KhoaMạngmáy tính vàtruyềnthông
39
Hệ thốngtìmkiếm, pháthiệnvàngăn ngừaxâmnhập ThS. Hồ Hải
Cảm biến IPS (tt)
Cảm biến IPS phân tíchcác gói (packet) khi chúng đi các gói (packet) khi chúng đi
vào cổng (interface) củacảm biến. cảm biến.
Cảm biến so sánh lưu lượngxấu với các dấu hiệu (signature) xấu với các dấu hiệu (signature)
của IPS để đưa ra các phản ứng
thích hợp: ngưng lưu lượng,
gửi cảnh báo cho ngườiquản trị mạng. quản trị mạng.
3/3/2013
40
Đại họcCôngnghệthông tinKhoaMạngmáy tính vàtruyềnthông KhoaMạngmáy tính vàtruyềnthông
40
Hệ thốngtìmkiếm, pháthiệnvàngăn ngừaxâmnhập ThS. Hồ Hải
Cảm biến IPS (tt)
Khi nào cần tăng số lượng cảm biến IPS trong hệthống mạng? thống mạng?
Thực thi chính sách bảo mật: tăng số lượng cảm biến
IPS để thực thi các ranh giới bảo mật dựa trên chính sách
bảo mật hoặc thiết kế của hệ thống mạng
Vượt quá khả năng lưu lượng mạng: yêu cầu thêm băng
thông có thể làm tăng thêm các đường link trong hệ thống
mạng. Do đó, tăng số lượng cảm biến IPS để đáp ứng yêu
cầu bảo mật.
Khả năng hiệu suất của cảm biến: cảm biến hiện tại