Mô tả:
Trường ĐH Sư Phạm Kỹ Thuật Tp. Hồ Chí Minh
Khoa Đào tạo Chất lượng cao
TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG PHÒNG
CHỐNG VÀ PHÁT HIỆN XÂM NHẬP SỬ DỤNG
SNORT/SNORTSAM
SV: Nguyễn Văn Quang
GVHD: Th.S Nguyễn Đăng Quang
Nội dung
Giới thiệu về IDS
Snort/SnortSam
Luật của Snort
Demo
Kết quả
2
Mục tiêu đề tài
Nghiên cứu về hệ thống phát hiện xâm nhập, đặc điểm,
kiến trúc, kỹ thuật phát hiện xâm nhập.
Nghiên cứu về Snort/SnortSam, cài đặt, cấu hình, triển
khai trong hệ thống mạng.
Phân tích các dấu hiệu tấn công, hình thành các luật
tương ứng.
Demo trên mô hình ảo.
3
Giới thiệu về IDS
4
Giới thiệu về IDS
“Xâm nhập” là hành động truy cập
trái phép bằng cách vượt qua cơ
chế bảo mật của hệ thống.
5
Giới thiệu về IDS
“Xâm nhập” là hành động truy cập
trái phép bằng cách vượt qua cơ
chế bảo mật của hệ thống.
“Xâm nhập máy tính” là hành động
cố tình truy cập mặc dù không
được phép hoặc tìm cách vượt qua
quyền đã có để truy xuất các tài
nguyên không được phép.
6
Giới thiệu về IDS
Giám
sát/theo
dõi
IDS
Báo cáo
Xác định
7
Giới thiệu về IDS
8
Giới thiệu về IDS
9
Phân loại IDS
Network-based IDS
Snort
Suricata
Cisco, Juniper, Lactien JSC
Host-based IDS
Tripwire
Symantec HIDS
OSSEC
10
Network-based IDS
11
Host-based IDS
12
Kỹ thuật phát hiện xâm nhập
Phát hiện dựa trên sự bất thường.
Phát hiện dựa trên dấu hiệu.
13
Anomaly Based ID
Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với
các hành vi thông thường, sau đó gắn cờ xâm nhập đối
với hành vi này.
14
Anomaly Based ID
Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với
các hành vi thông thường, sau đó gắn cờ xâm nhập đối
với hành vi này.
Ví dụ:
× Không tuân theo các chuẩn Internet thông thường như gửi một gói tin
ICMP có kích thước vượt quá 65.535 bytes.
× Đăng nhập quá số lần quy định, số lượng gói tin gởi đến vượt mực quy
định trong một khoảng thời gian.
15
Anomaly Based ID
Ưu điểm:
Phát hiện được các cuộc tấn công chưa được biết đến.
Cung cấp các thông tin để xây dựng các dấu hiệu.
16
Anomaly Based ID
Ưu điểm:
Phát hiện được các cuộc tấn công chưa được biết đến.
Cung cấp các thông tin để xây dựng các dấu hiệu.
Nhược điểm:
Có thể tạo ra số lượng lớn các cảnh báo sai.
Cần phải được đào tạo thường xuyên.
17
Misuse/Signature Base ID
Là kỹ thuật so sánh dấu hiệu của các đối tượng đang
quan sát với dấu hiệu của các hình thức xâm nhập đã
biết trước.
Ưu điểm:
× Ít báo sai và hiểu quả đối với các hình thức xâm nhập đã được biết
trước.
× Nhanh chóng và đáng tin cậy trong việc xác định công cụ và kỹ thuật
xâm nhập.
18
Misuse/Signature Base ID
Nhược điểm:
× Thường xuyên cập nhật các dấu hiệu nhận biết các
cuộc tấn công.
× Các dấu hiệu cần phải được thiết kế một cách chặt
chẽ nếu không thể phát hiện được các cuộc tấn
công biến thể.
19
Snort/SnortSam
20
- Xem thêm -