Tài liệu Tìm hiểu báo cáo ids snortsnortsam

Trường ĐH Sư Phạm Kỹ Thuật Tp. Hồ Chí Minh Khoa Đào tạo Chất lượng cao TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG PHÒNG CHỐNG VÀ PHÁT HIỆN XÂM NHẬP SỬ DỤNG SNORT/SNORTSAM  SV: Nguyễn Văn Quang GVHD: Th.S Nguyễn Đăng Quang Nội dung Giới thiệu về IDS Snort/SnortSam Luật của Snort Demo Kết quả 2 Mục tiêu đề tài Nghiên cứu về hệ thống phát hiện xâm nhập, đặc điểm, kiến trúc, kỹ thuật phát hiện xâm nhập. Nghiên cứu về Snort/SnortSam, cài đặt, cấu hình, triển khai trong hệ thống mạng. Phân tích các dấu hiệu tấn công, hình thành các luật tương ứng. Demo trên mô hình ảo. 3 Giới thiệu về IDS 4 Giới thiệu về IDS “Xâm nhập” là hành động truy cập trái phép bằng cách vượt qua cơ chế bảo mật của hệ thống. 5 Giới thiệu về IDS “Xâm nhập” là hành động truy cập trái phép bằng cách vượt qua cơ chế bảo mật của hệ thống. “Xâm nhập máy tính” là hành động cố tình truy cập mặc dù không được phép hoặc tìm cách vượt qua quyền đã có để truy xuất các tài nguyên không được phép. 6 Giới thiệu về IDS Giám sát/theo dõi IDS Báo cáo Xác định 7 Giới thiệu về IDS 8 Giới thiệu về IDS 9 Phân loại IDS Network-based IDS  Snort  Suricata  Cisco, Juniper, Lactien JSC Host-based IDS  Tripwire  Symantec HIDS  OSSEC 10 Network-based IDS 11 Host-based IDS 12 Kỹ thuật phát hiện xâm nhập Phát hiện dựa trên sự bất thường. Phát hiện dựa trên dấu hiệu. 13 Anomaly Based ID Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với các hành vi thông thường, sau đó gắn cờ xâm nhập đối với hành vi này. 14 Anomaly Based ID Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với các hành vi thông thường, sau đó gắn cờ xâm nhập đối với hành vi này. Ví dụ: × Không tuân theo các chuẩn Internet thông thường như gửi một gói tin ICMP có kích thước vượt quá 65.535 bytes. × Đăng nhập quá số lần quy định, số lượng gói tin gởi đến vượt mực quy định trong một khoảng thời gian. 15 Anomaly Based ID Ưu điểm:  Phát hiện được các cuộc tấn công chưa được biết đến.  Cung cấp các thông tin để xây dựng các dấu hiệu. 16 Anomaly Based ID Ưu điểm:  Phát hiện được các cuộc tấn công chưa được biết đến.  Cung cấp các thông tin để xây dựng các dấu hiệu. Nhược điểm:  Có thể tạo ra số lượng lớn các cảnh báo sai.  Cần phải được đào tạo thường xuyên. 17 Misuse/Signature Base ID Là kỹ thuật so sánh dấu hiệu của các đối tượng đang quan sát với dấu hiệu của các hình thức xâm nhập đã biết trước. Ưu điểm: × Ít báo sai và hiểu quả đối với các hình thức xâm nhập đã được biết trước. × Nhanh chóng và đáng tin cậy trong việc xác định công cụ và kỹ thuật xâm nhập. 18 Misuse/Signature Base ID Nhược điểm: × Thường xuyên cập nhật các dấu hiệu nhận biết các cuộc tấn công. × Các dấu hiệu cần phải được thiết kế một cách chặt chẽ nếu không thể phát hiện được các cuộc tấn công biến thể. 19 Snort/SnortSam 20