Xây dựng hệ thống phát hiện xâm nhập bằng phần mềm Snort


Theo Mạng An toàn thông tin VSEC (The VietNamese security network), 70% website tại Việt Nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bị hacker kiểm soát. Điều này cho thấy chính sách về bảo mật của các hệ thống thông tin của Việt Nam chưa được quan tâm và đầu tư đúng mức.
Khi một hệ thống thông tin bị hacker kiểm soát thì hậu quả không thể lường trước được. Đặc biệt, nếu hệ thống đó là một trong những hệ thống xung yếu của đất nước như hệ thống chính phủ, hệ thống ngân hàng, hệ thống viễn thông, hệ thống thương mại điện tử thì những thiệt hại về uy tín, kinh tế là rất lớn.
Trong bối cảnh đó, việc phát triển và sử dụng các hệ thống phát hiện xâm nhập - IDS ngày càng trở nên phổ biến và đóng vai trò quan trọng không thể thiếu trong bất kỳ chính sách bảo mật và an toàn thông tin của bất kỳ hệ thống thông tin nào.
Nhiệm vụ của các IDS này là thu thập dữ liệu Mạng, tiến hành phân tích, đánh giá, từ đó xác định xem có dấu hiệu của một cuộc tấn công hay không. IDS sẽ cảnh báo cho chuyên gia trước khi thủ phạm có thể thực hiện hành vi đánh cắp hay phá hoại thông tin, và do đó sẽ giảm thiểu nguy cơ mất an ninh của hệ thống.

Hệ thống phát hiện xâm nhập có 2 hướng tiếp cận chính là Tiếp cận dựa trên phát hiện bất thường và Tiếp cận dựa trên dấu hiệu. Nếu như dựa trên dấu hiệu, thì hệ thống sẽ sử dụng các mẫu tấn công đã có từ trước, tiến hành so sánh để xác định dữ liệu đang xét có phải là bất thường hay không. Hướng này hiện đang được sử dụng rộng rãi tuy nhiên điểm yếu của nó là chỉ phát hiện được các tấn công có dấu hiệu đã biết trước.
Kỹ thuật phát hiện bất thường khắc phục được những đặc điểm này, bằng cách tiến hành xây dựng các hồ sơ mô tả “trạng thái bình thường”. Một hành vi được hệ thống được coi là “bất thường” nếu các thông số đo được có độ khác biệt đáng kể với mức “bình thường”, từ đó có thể suy luận rằng các “bất thường” này là dấu hiệu của hành vi tấn công. Rõ ràng hướng tiếp cận dựa trên hành vi bất thường có tính “trí tuệ” cao hơn và hoàn toàn có thể nhận diện các cuộc tấn công mới mà chưa có dấu hiệu cụ thể.

NỘI DUNG:

MỞ ĐẦU 1
CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 3
1.1 Bảo mật hệ thống thông tin 3
1.1.1 Các nguy cơ đe dọa 4
1.1.2.  Các nguyên tắc bảo vệ thông tin 7
1.1.3 Các biện pháp bảo vệ 8
1.2 Kỹ thuật phát hiện xâm nhập trái phép 10
1.2.1 Thành phần 10
1.2.2 Phân loại 12
1.2.3 Nguyên lý hoạt động 17
1.3 Kết chương 20
CHƯƠNG 2. HỆ THỐNG IDS DỰA TRÊN PHÁT HIỆN BẤT THƯỜNG 22
2.1 Định nghĩa bất thường trong mạng 23
2.2 Kỹ thuật phát hiện bất thường 24
2.3 Ưu nhược điểm của phát hiện bất thường 25
2.4 Dữ liệu phát hiện bất thường 26
2.5 Các phương pháp phát hiện bất thường 28
2.5.1  Phát hiện bất thường bằng mạng Nơ-ron 29
2.5.2 Phát hiện bất thường bằng kỹ thuật khai phá dữ liệu 30
2.5.3 Phát hiện bất thường bằng Hệ chuyên gia 37
2.6 Kết chương 38
CHƯƠNG 3. XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP BẤT THƯỜNG VỚI PHẦN MỀM Snort 40
3.1 Tổng quan về Snort 40
3.1.1 Bộ giải mã gói tin 41
3.1.2 Các bộ tiền xử lý 42
3.1.3 Máy phát hiện 43
3.1.4 Hệ thống cảnh báo và ghi dấu 44
3.1.5 Môđun xuất 44
3.2 Hướng dẫn cài đặt và sử dụng 45
3.2.1 Cài Đặt Snort 45
3.2.2 Sử dụng Snort 48
3.3 Kết chương 59
KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI 60
1. Kết luận về đề tài 60
2. Hướng nghiên cứu tiếp theo 61

LINK DOWNLOAD
M_tả

No comments: