Đồ án: Hệ thống phát hiện cảnh báo nguy cơ tấn công mạng

Dự án: Hệ thống phát hiện và cảnh báo nguy cơ tấn công mạng. Bạn đang chuẩn bị làm báo cáo thực tập chuyên môn, hay bạn đang làm đồ án tốt nghiệp nhưng chưa biết chọn đề tài nào cho trường hợp của mình, giờ đây bạn không phải lo lắng về vấn đề đó nữa, vì Sau đâyDịch vụ hỗ trợ viết luận văn sẽ chia sẻ với các bạn sinh viên một đồ án Đồ án: Hệ thống cảnh báo và phát hiện sớm nguy cơ tấn công mạng để các bạn tham khảo.

Giới thiệu

Thế giới đang bắt đầu bước vào cuộc cách mạng công nghiệp lần thứ tư, cuộc cách mạng sản xuất mới đi kèm với những đột phá công nghệ chưa từng có, bao gồm kết nối Internet, điện toán đám mây, in 3D, công nghệ cảm biến, thực tế ảo… Cuộc cách mạng sản xuất mới này được kỳ vọng sẽ tạo ra những ảnh hưởng mạnh mẽ. Tác động đến mọi quốc gia, chính phủ, doanh nghiệp và mọi người trên thế giới, đồng thời thay đổi căn bản cách chúng ta sống, làm việc và sản xuất. Ngoài ra, còn có những nguy cơ tiềm ẩn đe dọa mọi mặt đời sống xã hội như: đánh cắp thông tin, truy cập hệ thống trái phép, tấn công từ chối dịch vụ cần phải được xử lý. “Dự án: Hệ thống phát hiện và cảnh báo về các cuộc tấn công mạng”

Nhiều giải pháp an ninh mạng đã ra đời và cũng đã đóng góp lớn trong việc đảm bảo an toàn thông tin như: tường lửa ngăn chặn các kết nối không tin cậy, mã hóa để tăng tính bảo mật cho đường truyền dữ liệu, các chương trình diệt virus cập nhật cơ sở dữ liệu thường xuyên…

p >

Tuy nhiên, thực tế cho thấy chúng ta vẫn ở thế bị động trước các cuộc tấn công, đặc biệt là cuộc tấn công mới nên cần có hệ thống phát hiện sớm, cảnh báo sớm trước cuộc tấn công. nhân công. Một hệ thống phát hiện xâm nhập được coi là lựa chọn tốt nhất.

Dự án này giới thiệu hệ thống phát hiện và cảnh báo sớm tấn công mạng, đồng thời tìm hiểu công cụ phát hiện và cảnh báo sớm tấn công mạng mã nguồn mở snort. Nội dung dự án bao gồm:

• Chương 1: Tổng quan về Giám sát An ninh mạng.
• Chương 2: Tìm hiểu về hệ thống phát hiện và ngăn chặn xâm nhập mạng.
• Chương 3: Ứng dụng PMNM snort trong phát hiện xâm nhập mạng.

Chương 1: Tổng quan về Giám sát an ninh mạng “Dự án: Hệ thống phát hiện và cảnh báo sớm tấn công mạng”

1.1Giám sát an ninh mạng

Giám sát an ninh mạng là hệ thống được xây dựng nhằm thu thập, giám sát và phân tích các sự kiện, dữ liệu mạng, từ đó phát hiện các hành vi tấn công mạng và đưa ra cảnh báo cho hệ thống. Mạng được giám sát. Về cơ bản, đây là một hệ thống phân tích sự cố không có luồng dữ liệu để tích hợp các giải pháp phòng ngừa. Hệ thống hoạt động độc lập và chỉ thu thập nhật ký hệ thống của thiết bị, ứng dụng hoặc luồng dữ liệu mà không ảnh hưởng đến chúng.

Trong các hệ thống thông tin, việc khắc phục sự cố thường rất tốn kém. Do đó, một giải pháp giám sát hệ thống mạng phát hiện sớm sự cố là lựa chọn hàng đầu của nhiều người mang lại hiệu quả cao với chi phí vừa phải.

1.2Mô hình hệ thống và các chức năng chính. “Dự án: Hệ thống phát hiện và cảnh báo nguy cơ tấn công mạng”

Hệ thống giám sát an ninh mạng (gsanm) về cơ bản theo mô hình siem (Quản lý sự kiện và thông tin bảo mật). Đây là mô hình chung của hệ thống gsanm được sử dụng rộng rãi trên thế giới hiện nay và các hãng sản xuất thiết bị gsanm cũng dựa trên mô hình tiêu chuẩn này.

1.2.1 Các thành phần chính.

Hệ thống giám sát an ninh mạng bao gồm các thành phần chính sau:

Bảng điều khiển:

là nơi các sự kiện bảo mật cảnh báo được gửi từ trình xử lý sự kiện và trình xử lý luồng được xử lý và lưu trữ. Ngoài ra, nó chứa các bộ quy tắc để xử lý dữ liệu và bảng điều khiển có khả năng chạy độc lập.

console có hai giao diện, giao diện dòng lệnh giúp người quản trị cấu hình, xử lý lỗi hệ thống,… và giao diện web là nơi hiển thị các cảnh báo, sự kiện đã thu thập. Thời gian lưu trữ cảnh báo tùy thuộc vào cấu hình của quản trị viên, thường là một năm cho mỗi hệ thống.

Khả năng chạy của console phụ thuộc vào nhiều yếu tố như: lưu lượng mạng, cấu hình phần cứng,… điển hình là hệ thống chạy ở tốc độ 1000eps và 100000fpm. Sau khi hoàn tất cấu hình cài đặt hệ thống gsanm, sau khi thiết bị được kết nối qua cổng 22, bảng điều khiển sẽ tự động định cấu hình các thiết bị tương ứng cho các thiết bị khác. Từ đó, việc cấu hình thiết bị trong hệ thống gsanm có thể được thực hiện qua bàn điều khiển theo hai cách: qua giao diện web với cổng 443 hoặc qua giao diện dòng lệnh. “Dự án: Hệ thống phát hiện và cảnh báo về các cuộc tấn công mạng”

Trình xử lý sự kiện (ep):

Đây là nơi các sự kiện được gửi từ trình thu thập sự kiện được xử lý. Những sự kiện này sẽ được xử lý bởi bộ quy tắc ở đây. Nếu một cảnh báo hoặc sự kiện từ một thiết bị an ninh tạo ra một cảnh báo, nó sẽ được gửi trực tiếp đến bảng điều khiển để xử lý. Các sự kiện không có cảnh báo được lưu trữ ở đây mà không cần chuyển đến bảng điều khiển.

Các sự kiện được lưu vào bộ nhớ cache theo cấu hình của quản trị viên, thường là ba tháng đối với các sự kiện không đưa ra cảnh báo. Syslog sẽ không đưa ra cảnh báo, nó sẽ được quản lý thông qua giao diện web của bảng điều khiển.

Bộ xử lý luồng (fp):

Đây là nơi luồng dữ liệu được xử lý. fp nhận dữ liệu từ bộ thu thập luồng và xử lý dữ liệu đó theo bộ quy tắc của fp. Sau đó, các cảnh báo sẽ được nó gửi đến bảng điều khiển và các sự kiện không có cảnh báo sẽ được lưu trữ trong fp và được quản lý dựa trên giao diện web của bảng điều khiển. Những sự kiện này thường được lưu trữ trong khoảng thời gian ba tháng, tùy thuộc vào cấu hình.

Trình thu thập sự kiện (ec):

là nơi thu thập nhật ký hệ thống, nhận nhật ký hệ thống từ thiết bị hoặc gửi ứng dụng. Tại đây, nhật ký hệ thống được mã hóa, nén và gửi đến ep qua cổng 22, ep sẽ phân tích và xử lý nó.

Đối với ec, có nhiều cách để lấy nhật ký hệ thống, ví dụ: cài đặt một tác nhân trên máy tính cần thu thập nhật ký hệ thống cụ thể và gửi chúng cho ec. Trên bảng điều khiển, quản trị viên sẽ định cấu hình ec để nhận nhật ký hệ thống từ các tác nhân này. Các nhật ký hệ thống này sau đó sẽ được quản lý từ giao diện web của bảng điều khiển. ec chỉ có thể thu thập các sự kiện chứ không phải luồng. Với các thiết bị và dịch vụ như iis, thường có khoảng 20 sự kiện mỗi giây (20 eps). “Dự án: Hệ thống phát hiện và cảnh báo về các cuộc tấn công mạng”

Bộ thu thập luồng (fc):

Đây là nơi lưu lượng truy cập từ mạng được giám sát được thu thập. fc thường nhận lưu lượng từ một switch có khả năng span port của cisco. Dữ liệu sau đó cũng được nén, mã hóa và chuyển qua cổng 22 để fp xử lý. Bàn điều khiển sẽ cấu hình fc để lắng nghe cổng ethernet được kết nối với cổng span để thu thập dữ liệu. Năng lực xử lý fc của hệ thống gsanm hiện tại là 220000fpm.

Các thiết bị phần cứng ec và fc của hệ thống gsanm thu thập nhật ký hệ thống ở dạng “thô” chưa được phân tích. Đối với mỗi thiết bị này, quản trị viên hệ thống cần cung cấp địa chỉ ip tĩnh công khai,

Sau đó, dữ liệu hệ thống trao đổi sẽ được mã hóa và nén rồi gửi về ep và fp qua cổng 22 để phân tích và xử lý. cảnh báo qua cổng 443 .

1.2.2 Phân loại

Có hai hình thức chính của mô hình gsnam được triển khai:

• Phân phối:

là mô hình lấy hệ thống xử lý làm trung tâm của gsanm và mọi hoạt động của hệ thống như sự kiện, luồng dữ liệu… sẽ được xử lý tại trung tâm rồi hiển thị ra giao diện website. Đối với mô hình này thường đòi hỏi đầu tư lớn và nhiều nhân lực để vận hành hệ thống.

• Hai thành một:

Đây là mô hình trong đó hệ thống được xây dựng thành các đơn vị riêng lẻ, độc lập với nhau, nghĩa là các hệ thống hoạt động độc lập. Nhật ký hệ thống và lưu lượng truy cập được thu thập trực tiếp tại mạng con và sau đó được đẩy tới thiết bị gsanm sẽ xử lý lưu lượng. Nhưng mô hình này phù hợp với ngân hàng và các đơn vị nhỏ, yêu cầu đầu tư và nhân lực không cao. “Dự án: Hệ thống phát hiện và cảnh báo về các cuộc tấn công mạng”

1.2.3 Chức năng

Đối với hệ thống gsanm, chức năng chính của nó là thu thập các thành phần sau:

• Sự kiện bảo mật: được tạo bởi các ứng dụng hoặc thiết bị, chẳng hạn như: iis syslog, tường lửa, vpn (mạng riêng ảo), ids (hệ thống phát hiện xâm nhập), ips (hệ thống ngăn chặn xâm nhập)…
• Bối cảnh hoạt động mạng: Bối cảnh ứng dụng lớp 7 từ lưu lượng mạng và lưu lượng ứng dụng.
• Thông tin hệ điều hành: Tên nhà sản xuất và chi tiết số phiên bản.
• Nhật ký hệ thống ứng dụng: hoạch định nguồn lực doanh nghiệp (erp), quy trình làm việc, cơ sở dữ liệu ứng dụng, nền tảng quản lý, …

Mỗi dòng nhật ký hệ thống được tạo ra được tính là một sự kiện, sự kiện được tính theo giây (eps) và quá trình xử lý các luồng dữ liệu này được tính theo phút (fpm), sau đó hệ thống tiếp tục phân tích theo quy tắc và đưa ra cảnh báo cần thiết cho quản trị viên hệ thống.

Bạn có thể quan tâm đến các dịch vụ sau:

===>>> Viết đồ án tốt nghiệp

1.3Phát hiện và ngăn chặn xâm nhập mạng

1.3.1 Hệ thống phát hiện xâm nhập (id)

ids (hệ thống phát hiện xâm nhập) là hệ thống phòng thủ để phát hiện các cuộc tấn công mạng. Hệ thống có tính năng chính là cung cấp thông tin về hành vi bất thường và cảnh báo cho quản trị viên mạng. Chặn các kết nối tấn công này, cộng với các công cụ ids cũng có thể phân biệt giữa các cuộc tấn công nội bộ từ bên trong tổ chức (từ nhân viên hoặc khách hàng) và các cuộc tấn công bên ngoài (tin tặc). . “Dự án: Hệ thống phát hiện và cảnh báo về các cuộc tấn công mạng”

1.3.2 Hệ thống ngăn chặn xâm nhập (ips).

IPS (Hệ thống ngăn chặn xâm nhập) là hệ thống giám sát và ngăn chặn kịp thời hoạt động xâm nhập không mong muốn.

Chức năng chính của ips là xác định hoạt động độc hại và lưu trữ thông tin này. Sau đó các hoạt động này được dừng ngay lập tức kết hợp với tường lửa, và cuối cùng là báo cáo chi tiết về các hoạt động xâm nhập trái phép nói trên.

Hệ thống ips được coi là một phần mở rộng của hệ thống id và các hoạt động cũng như tính năng của hai hệ thống này là tương tự nhau. Chỉ khác là ngoài khả năng theo dõi, giám sát, hệ thống ips còn có chức năng ngăn chặn kịp thời các hoạt động độc hại ảnh hưởng đến hệ thống. Hệ thống ips sử dụng bộ quy tắc giống như hệ thống ids.

1.3.3 Nguyên lý hoạt động của hệ thống

Nguyên tắc hoạt động của hệ thống phát hiện và ngăn chặn xâm nhập được chia thành 5 giai đoạn chính: giám sát mạng, phân tích lưu lượng truy cập, giao tiếpgiao tiếp giữa các thành phần, cảnh báo Về xâm nhập và cuối cùng là phản ứng dựa trên khả năng của từng id.

1.3.3.1 Giám sát mạng (giám sát)

Giám sát mạng là quá trình thu thập thông tin về lưu lượng mạng. Điều này thường được thực hiện với các cảm biến. Điều kiện cần của giai đoạn này là có được thông tin tình hình mạng đầy đủ và hoàn thiện. Đây cũng là một thách thức vì việc theo dõi tất cả thông tin tốn nhiều tài nguyên và tạo ra nguy cơ tắc nghẽn mạng. Vì vậy cần phải cân nhắc để không ảnh hưởng đến toàn hệ thống. Các tùy chọn có sẵn là thu thập liên tục dài hạn hoặc thu thập định kỳ. Tuy nhiên, sau đó chỉ bắt được hành vi trong quá trình giám sát. Hoặc bạn có thể theo dõi lưu lượng truy cập tcp theo gói hoặc liên kết. Bằng cách này, bạn sẽ thấy các luồng đầu vào và đầu ra được phép. Nhưng chỉ theo dõi các liên kết thành công mới có thể bỏ lỡ thông tin có giá trị về các liên kết bị lỗi, đây thường là những phần thú vị của hệ thống id, chẳng hạn như quét cổng. .

1.3.3.2 Phân tích lưu lượng truy cập

Khi bạn đã thu thập thông tin cần thiết từ các điểm trên web. ids Phân tích dữ liệu thu thập được. Mỗi hệ thống yêu cầu một phân tích khác nhau vì không phải tất cả các môi trường đều giống nhau. Thông thường ở giai đoạn này, hệ thống IDS sẽ phát hiện xem có dấu hiệu khả nghi nào trong luồng lưu lượng hay không dựa trên công nghệ khớp mẫu hoặc phân tích hành vi bất thường. “Dự án: Hệ thống phát hiện và cảnh báo về các cuộc tấn công mạng”

1.3.3.3 Liên hệ

Giai đoạn này đóng vai trò quan trọng trong hệ thống id. Giao tiếp xảy ra khi cảm biến phát hiện tín hiệu tấn công hoặc khi bộ xử lý thực hiện thay đổi cấu hình hoặc điều khiển cảm biến. Thông thường các hệ thống id sử dụng một bộ giao thức đặc biệt để trao đổi thông tin giữa các thành phần. Các giao thức này phải đảm bảo độ tin cậy, bảo mật và khả năng chịu lỗi tốt, chẳng hạn như: ssh, https, snmpv3… Ví dụ: hệ thống ids của cisco thường sử dụng giao thức postoffice để định nghĩa một tập hợp các thông điệp để liên lạc giữa các phần tử.

1.3.3.4 Cảnh báo

Sau khi phân tích dữ liệu, hệ thống id cần đưa ra cảnh báo. Ví dụ:

• Cảnh báo địa chỉ không hợp lệ.
• Cảnh báo khi máy tìm cách kết nối với máy tính trong danh sách xem trong hoặc ngoài mạng.

1.3.3.5 Phản hồi

Ở một số hệ thống id tiên tiến hiện nay, sau khi phát hiện dấu hiệu tấn công ở giai đoạn trên, hệ thống không chỉ cảnh báo cho người quản trị mà còn đưa ra các biện pháp phòng thủ để ngăn chặn cuộc tấn công. Điều này giúp tăng cường khả năng phòng thủ của mạng, bởi vì đôi khi các cuộc tấn công có thể diễn ra và gây ra thiệt hại nghiêm trọng nếu quản trị viên chỉ được cảnh báo. Một hệ thống id có thể xử lý các cuộc tấn công phải được cấu hình để có quyền can thiệp vào hoạt động của tường lửa, bộ chuyển mạch và bộ định tuyến. Các thao tác mà id có thể cung cấp như sau:

• Gián đoạn dịch vụ.
• Phiên bị gián đoạn.
• Cấm tấn công địa chỉ ip.
• Tạo nhật ký.

Chương 2: Hệ thống phát hiện xâm nhập mạng “Dự án: Hệ thống phát hiện và cảnh báo các cuộc tấn công mạng”

Nếu hiểu tường lửa là hệ thống “khóa” ở cổng mạng thì hệ thống ids có thể coi là “cảm biến giám sát” được đặt khắp nơi trong hệ thống mạng để cảnh báo các cuộc tấn công đã “lọt” qua tường lửa hoặc đến từ nội bộ mạng. ids chịu trách nhiệm phân tích các gói dữ liệu được tường lửa cho phép, tìm kiếm các dấu hiệu tấn công từ các dấu hiệu đã biết hoặc bằng cách phân tích các sự kiện bất thường để ngăn chặn cuộc tấn công trước khi nó có thể ảnh hưởng tiêu cực đến tổ chức.

Khoảng 25 năm trước, khi mọi người cần id để phát hiện và nghiên cứu hành vi bất thường cũng như thái độ của người dùng, khái niệm phát hiện xâm nhập đã xuất hiện thông qua một bài viết của james anderson, khám phá các cách sử dụng đặc quyền của tài sản mạng. Việc nghiên cứu hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi được ứng dụng vào mạng máy tính của Lực lượng Không quân Hoa Kỳ. Cho đến năm 1996, khái niệm id vẫn chưa được phổ biến và một số hệ thống id chỉ xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên, trong thời gian này, dựa trên sự phát triển bùng nổ của công nghệ thông tin, một số công nghệ id bắt đầu phát triển. Năm 1997, dưới sự lãnh đạo của Công ty Iss, ids đã trở thành một cái tên quen thuộc và tạo ra lợi nhuận thực sự. Một năm sau, Cisco nhận ra tầm quan trọng của id và đã mua lại id. Một công ty giải pháp ids gọi là bánh xe. Hiện tại, số liệu thống kê cho thấy id/ips là một trong những công nghệ bảo mật được sử dụng nhiều nhất và vẫn đang phát triển.

2.1 Phát hiện xâm nhập

Phát hiện xâm nhập là một tập hợp các kỹ thuật và phương pháp phát hiện hành vi đáng ngờ của hệ thống phát hiện xâm nhập ở cấp độ mạng và máy chủ, được chia thành hai loại cơ bản:

p>

• Hệ thống phát hiện dựa trên xâm nhập.
• Hệ thống đã phát hiện dấu hiệu bất thường.

Có thể phát hiện kẻ tấn công chữ ký (chẳng hạn như vi-rút) bằng cách sử dụng phần mềm tìm kiếm dữ liệu gói có chứa bất kỳ đặc điểm xâm nhập hoặc bất thường đã biết nào dựa trên một bộ cờ hoặc quy tắc. Hệ thống phát hiện có thể phát hiện và ghi nhật ký các hoạt động đáng ngờ này và đưa ra cảnh báo. Các id dựa trên sự bất thường thường dựa trên các tiêu đề giao thức gói được coi là bất thường trong một số trường hợp, các phương pháp này hoạt động tốt hơn với các id dựa trên chữ ký, thường là các id bắt các gói trên mạng và phá vỡ các quy tắc để tìm các gói bất thường.

2.1.1 chính sách id. “Dự án: Hệ thống phát hiện và cảnh báo nguy cơ tấn công mạng”

Trước khi cài đặt hệ thống id trên hệ thống, cần phát triển chiến lược phát hiện kẻ tấn công và cách phản ứng khi phát hiện hoạt động tấn công, các chiến lược này phải được áp dụng theo một cách nào đó. Chiến lược nên bao gồm các phần sau (trong đó có thể dựa trên hệ thống Thêm các tùy chọn khác theo yêu cầu):

• Ai sẽ giám sát hệ thống id? Tùy thuộc vào id, có thể có một cơ chế cảnh báo để cung cấp thông tin về hành vi tấn công. Các cảnh báo này có thể ở dạng văn bản thuần túy hoặc phức tạp hơn và có thể được tích hợp vào các hệ thống quản lý mạng tập trung như hp open view hoặc cơ sở dữ liệu my sql yêu cầu quản trị viên giám sát hoạt động xâm nhập và các chính sách có thể sử dụng cửa sổ bật lên hoặc giao diện web để giám sát và thông báo trong thời gian thực quản trị viên chịu trách nhiệm về hoạt động xâm nhập phải nhận thức được các cảnh báo hệ thống và mức độ bảo mật.
• Ai sẽ quản lý các id này? Như với tất cả các hệ thống id yêu cầu bảo trì thường xuyên.
• Ai sẽ xử lý những vấn đề này và xử lý như thế nào? Những id này được coi là vô dụng nếu vấn đề không được giải quyết.
• Báo cáo có thể được tạo và hiển thị vào cuối ngày, cuối tuần hoặc tháng.
• Cập nhật biểu trưng. Tin tặc luôn tạo ra các kỹ thuật mới để tấn công hệ thống. Các cuộc tấn công này được phát hiện bởi hệ thống id dựa trên chữ ký tấn công.
• Tệp rất cần thiết cho dự án. Chính sách id phải được ghi lại khi phát hiện một cuộc tấn công. Tài liệu có thể bao gồm nhật ký hoặc tài liệu đơn giản. Một số hình thức cần được thiết lập để ghi lại và lưu trữ các tập tin. Báo cáo cũng là tài liệu.

2.1.2 Kiến trúc hệ thống phát hiện xâm nhập

Cấu trúc của hệ thống id bao gồm các thành phần chính sau: thành phần thu thập thông tin, thành phần phát hiện và thành phần phản hồi. Trong 3 thành phần này thì bộ phân tích gói tin là quan trọng nhất và bộ cảm biến đóng vai trò quyết định nên cần phân tích để hiểu rõ hơn về kiến ​​trúc của hệ thống phát hiện xâm nhập.

Cảm biến tích hợp thành phần thu thập dữ liệu của trình tạo sự kiện và bộ sưu tập này là để xác định chế độ lọc thông tin sự kiện của trình tạo sự kiện (hệ điều hành) thông qua chính sách tạo sự kiện. (Vận hành, Mạng, Ứng dụng) Cung cấp một số sự kiện chính sách phù hợp, cho dù là nhật ký sự kiện hệ thống hay gói mạng, số lượng chính sách này có thể được lưu cùng với thông tin chính sách bên trong hoặc bên ngoài hệ thống được bảo vệ. “Dự án: Hệ thống phát hiện và cảnh báo về các cuộc tấn công mạng”

Vai trò của cảm biến là lọc thông tin và xóa dữ liệu không tương thích khỏi các sự kiện liên quan đến hệ thống bảo vệ để phát hiện hành vi đáng ngờ. Sử dụng chính sách phát hiện đối với cơ sở dữ liệu phân tích này. Ngoài ra, còn có các thành phần: dấu hiệu tấn công, hồ sơ hành vi phổ biến, các tham số cần thiết (ví dụ: ngưỡng) Ngoài ra, cơ sở dữ liệu chứa các tham số cấu hình, bao gồm các chế độ hoạt động. Mức độ giao tiếp với mô-đun phản hồi cảm biến cũng có cơ sở dữ liệu riêng, bao gồm dữ liệu được lưu trữ (được tạo từ các hoạt động khác nhau) về các vi phạm phức tạp tiềm ẩn.

id có thể được tập trung (ví dụ: tích hợp trong tường lửa) hoặc phân tán. Các id phân tán được tạo thành từ nhiều id khác nhau trên một mạng lớn, tất cả đều giao tiếp với nhau, nhiều hệ thống phức tạp tuân theo nguyên tắc cấu trúc một tác nhân, trong đó các mô-đun nhỏ được tổ chức trên các máy chủ trong các bộ bảo vệ mạng được bảo vệ.

Vai trò của tác nhân là kiểm tra và lọc tất cả các hoạt động trong khu vực được bảo vệ và tạo phân tích ban đầu theo phương pháp nhất định, thậm chí chịu trách nhiệm về các hoạt động phản hồi của mạng Tác nhân cộng tác báo cáo cho máy chủ phân tích trung tâm là một trong những thành phần chính id dos có thể sử dụng các công cụ phân tích phức tạp hơn, đặc biệt là được trang bị khả năng phát hiện tấn công phân tán. Các vai trò khác của một tác nhân liên quan đến tính di động và chuyển vùng của nó trong một vị trí thực tế, ngoài ra, một tác nhân có thể chuyên phát hiện một số dấu hiệu tấn công đã biết. Đây là yếu tố quyết định khi nói đến nghĩa vụ bảo vệ trước các hình thức tấn công mới.

Một giải pháp kiến ​​trúc đa tác nhân được giới thiệu vào năm 1994 là aafid (Tác nhân tự động phát hiện xâm nhập), sử dụng một tác nhân để kiểm tra một số khía cạnh trong hành vi của hệ thống tại một thời điểm nhất định. Ví dụ: một tác nhân có thể báo cáo số lượng phiên telnet bất thường trong một hệ thống và nó kiểm tra xem tác nhân đó có thể đưa ra cảnh báo nếu phát hiện điều gì đó đáng ngờ không. Là một phần của tác nhân, hệ thống có thể có các bộ thu phát để kiểm tra tất cả các hành động do tác nhân điều khiển trên một máy chủ cụ thể. máy chủ), Điều này có nghĩa là chúng có thể được liên kết với thông tin phân tán. Ngoài ra, nhiều bộ lọc có thể được giới thiệu để lọc và thu thập dữ liệu.

2.1.3 Phân loại hệ thống phát hiện xâm nhập. “Dự án: Hệ thống phát hiện và cảnh báo nguy cơ tấn công mạng”

Việc phân loại hệ thống id phổ biến nhất dựa trên các đặc điểm của nguồn dữ liệu được thu thập. Trong trường hợp này, hệ thống id thuộc các loại sau:

• ID dựa trên mạng (nids): Sử dụng dữ liệu từ lưu lượng mạng tổng thể, cũng như dữ liệu kiểm tra từ một hoặc nhiều máy khách, để phát hiện xâm nhập.
• Id dựa trên máy chủ (ẩn): sử dụng dữ liệu kiểm tra từ các máy khách riêng lẻ để phát hiện xâm nhập.

2.1.3.1 Giám sát nids toàn bộ mạng (id dựa trên mạng)

nids là một hệ thống phát hiện xâm nhập sử dụng thẻ giao tiếp để thu thập dữ liệu gói được truyền qua phương tiện truyền dẫn (cáp, không dây). Khi một gói phù hợp với các quy tắc hệ thống, một cảnh báo sẽ được tạo để thông báo cho quản trị viên và tệp nhật ký được lưu vào cơ sở dữ liệu.

Ở dạng này, nids xác định truy cập trái phép bằng cách giám sát hoạt động mạng diễn ra trên tất cả các mạng con của hệ thống, sử dụng các bộ phát hiện và cảm biến được cài đặt trên toàn mạng. Các máy dò này giám sát mạng để biết lưu lượng phù hợp với các cấu hình hoặc chữ ký đã xác định. Khi các mẫu hoặc đặc điểm lưu lượng được phát hiện, các cảm biến sẽ gửi tín hiệu cảnh báo đến trung tâm điều khiển và có thể được định cấu hình để tìm cách ngăn chặn các cuộc xâm nhập tiếp theo. nids là một tập hợp các cảm biến được đặt trên toàn mạng để giám sát các gói trong mạng và so sánh chúng với các mẫu đã xác định để phát hiện các cuộc tấn công.

• Cảm biến: Nằm trên một phân đoạn mạng, nó giám sát lưu lượng truy cập đáng ngờ trên phân đoạn mạng đó.
• Trạm quản lý: Nhận tín hiệu cảnh báo từ các cảm biến và thông báo cho người vận hành.

Một nids truyền thống có hai cảm biến trên các phân đoạn mạng khác nhau giao tiếp với một trạm kiểm soát.

Ưu điểm của “Dự án: Hệ thống cảnh báo sớm và phát hiện tấn công mạng”

• Chi phí thấp: Do nids chỉ cần cài đặt ở những vị trí trọng yếu là có thể giám sát lưu lượng của toàn mạng nên hệ thống không cần nạp và quản lý phần mềm trên tất cả các máy trong mạng.
• Phát hiện các cuộc tấn công bỏ lỡ: Không giống như hides, nids kiểm tra tiêu đề của tất cả các gói, vì vậy nó không bỏ lỡ các tín hiệu từ đây. Ví dụ, nhiều cuộc tấn công dos, giọt nước mắt chỉ có thể được phát hiện bằng cách nhìn vào tiêu đề của các gói dữ liệu di chuyển trên mạng.
• Khó xóa dấu vết (bằng chứng): Thông tin được lưu trữ trong tệp nhật ký có thể bị kẻ xâm nhập sửa đổi để che giấu hoạt động xâm nhập, trong trường hợp đó hầu như không có đủ thông tin để thực hiện. nids sử dụng lưu lượng hiện tại trên mạng để phát hiện xâm nhập. Do đó, kẻ xâm nhập không thể xóa dấu vết của cuộc tấn công. Thông tin thu được không chỉ bao gồm phương thức tấn công mà còn cả thông tin hỗ trợ xác định và truy tố kẻ xâm nhập.
• Phát hiện và phản hồi theo thời gian thực: nids phát hiện các cuộc tấn công khi chúng xảy ra, vì vậy chúng có thể được cảnh báo và phản hồi nhanh hơn. Ví dụ: Một hacker thực hiện tấn công dos dựa trên tcp có thể bị nids phát hiện và chặn ngay lập tức bằng cách gửi yêu cầu đặt lại tcp để chấm dứt cuộc tấn công trước khi nó xâm nhập và làm hỏng máy của nạn nhân.
• Mức độ độc lập cao: Lỗi hệ thống không ảnh hưởng đáng kể đến hoạt động của các máy trên mạng. Chúng chạy trên các hệ thống chuyên dụng dễ cài đặt; chỉ cần bật thiết bị, thực hiện một số thay đổi về cấu hình và cắm chúng vào mạng nơi cho phép thiết bị kiểm soát lưu lượng nhạy cảm.

Nhược điểm

• Chỉ chuyển mạch: Các mạng chuyển mạch hiện đại không triển khai nhiều ưu điểm của nids. Các thiết bị chuyển mạch chia mạng thành nhiều phần độc lập nên các nid khó thu thập thông tin trên toàn mạng. Vì nó chỉ kiểm tra mạng trên phân đoạn mạng mà nó được kết nối trực tiếp nên nó không thể phát hiện các cuộc tấn công xảy ra trên các phân đoạn mạng khác. Vấn đề này dẫn đến nhu cầu các tổ chức phải mua một số lượng lớn cảm biến để bao phủ toàn bộ mạng, điều này rất tốn kém về chi phí lắp đặt. “Dự án: Hệ thống phát hiện và cảnh báo nguy cơ tấn công mạng”
• Hạn chế về hiệu suất: nids sẽ gặp khó khăn trong việc xử lý tất cả các gói trên mạng rộng hoặc có lưu lượng truy cập cao, do đó không thể phát hiện các cuộc tấn công được thực hiện ở thời điểm “cao”. điểm”. Một số nhà sản xuất đã tăng tốc độ của họ bằng cách làm cứng hoàn toàn id. Nhưng do nhu cầu đảm bảo tốc độ, một số gói bị bỏ qua và dễ bị tấn công xâm nhập.
• Tăng thông lượng mạng: Hệ thống phát hiện xâm nhập có thể cần truyền một lượng lớn dữ liệu trở lại hệ thống phân tích trung tâm, điều đó có nghĩa là một gói được kiểm soát duy nhất có thể tạo ra nhiều phân tích lưu lượng. Để khắc phục vấn đề này, một quy trình giảm dữ liệu linh hoạt thường được sử dụng để giảm lưu lượng truyền. Họ cũng thường thêm các chu kỳ quyết định vào các cảm biến và sử dụng trạm trung tâm làm trung tâm hiển thị trạng thái hoặc liên lạc thay vì thực hiện phân tích thực tế. Nhược điểm là nó sẽ cung cấp rất ít thông tin liên quan đến các cảm biến; không có cảm biến nào biết rằng một cảm biến khác đã phát hiện ra một cuộc tấn công. Một hệ thống như vậy sẽ không thể phát hiện các cuộc tấn công phối hợp hoặc tinh vi.

Các hệ thống

• nids thường gặp khó khăn khi xử lý các cuộc tấn công trong các phiên mã hóa. Sai lầm này càng trở nên tồi tệ hơn khi nhiều công ty và tổ chức đang áp dụng mạng riêng ảo VPN.
• Một số hệ thống nids cũng gặp khó khăn trong việc phát hiện các cuộc tấn công mạng từ các gói bị phân mảnh. Các gói không đúng định dạng này có thể khiến các nid hoạt động sai và gặp sự cố.

2.1.3.2 Giám sát ẩn độc lập (id dựa trên máy chủ)

HIDS là hệ thống phát hiện xâm nhập được cài đặt trên máy tính (host), được cài đặt trên nhiều loại máy chủ, máy trạm hay máy tính xách tay khác nhau HIDS cho phép triển khai linh hoạt trên các phân đoạn mạng mà NIDS không làm được. Nếu lưu lượng được gửi đến máy chủ lưu trữ không phải là mã độc tiềm ẩn, dành riêng cho nền tảng ứng dụng hơn và phục vụ mạnh mẽ cho hệ điều hành, thì nó sẽ được phân tích và chuyển đến máy chủ. Nhiệm vụ chính của hides là theo dõi các thay đổi trên hệ thống.

Tìm kiếm các dấu hiệu xâm nhập trên máy chủ cục bộ dựa trên id máy chủ; cơ chế thường được sử dụng để kiểm tra và phân tích thông tin đã ghi. Nó tìm kiếm các hoạt động bất thường như đăng nhập, truy cập tệp không phù hợp và leo thang đặc quyền trái phép. “Dự án: Hệ thống phát hiện và cảnh báo về các cuộc tấn công mạng”

Loại cấu trúc id này thường dựa trên các quy tắc để phân tích hoạt động. Ví dụ: chỉ có thể nhận được các đặc quyền siêu người dùng bằng lệnh su-select user, do đó, việc cố gắng đăng nhập nhiều lần vào tài khoản root có thể bị coi là một cuộc tấn công.

Bằng cách cài đặt một phần mềm trên tất cả các máy chủ, id dựa trên máy chủ có thể quan sát tất cả hoạt động của hệ thống, chẳng hạn như tệp nhật ký và lưu lượng truy cập mạng đã thu thập.

Các hệ thống dựa trên máy chủ cũng giám sát hệ điều hành, lệnh gọi hệ thống, nhật ký kiểm tra và thông báo lỗi trên hệ thống máy chủ. Mặc dù các đầu dò mạng có thể phát hiện các cuộc tấn công, nhưng chỉ các hệ thống dựa trên máy chủ mới có thể xác định liệu một cuộc tấn công có thành công hay không.

hids thường được cài đặt trên một máy tính nhất định. hides không giám sát hoạt động trên các phân đoạn mạng mà chỉ trên các máy tính cá nhân. Nó thường nằm trên các máy chủ và máy chủ chính của tổ chức trong vùng dmz. Thường là mục tiêu tấn công đầu tiên. Nhiệm vụ chính của hides là theo dõi các thay đổi trên hệ thống, bao gồm:

• Quy trình.
• Khóa đăng ký.
• sử dụng cpu.
• Các tham số này đưa ra cảnh báo khi vượt quá các ngưỡng xác định trước hoặc khi xảy ra các thay đổi đáng ngờ đối với hệ thống tệp. “Dự án: Hệ thống phát hiện và cảnh báo nguy cơ tấn công mạng”

Lợi thế

• Xác định kết quả của một cuộc tấn công: Vì hides sử dụng dữ liệu nhật ký để lưu trữ các sự kiện nên nó có thể xác định chính xác hơn liệu một cuộc tấn công thành công hay thất bại. nids. Vì vậy, khi một cuộc tấn công được phát hiện sớm với nids, hides có thể bổ sung thêm thông tin.
• Giám sát các hoạt động hệ thống cụ thể: hides có thể giám sát các hoạt động mà nids không thể giám sát, chẳng hạn như: truy cập tệp, thay đổi quyền, hoạt động thực thi, truy cập dịch vụ được ủy quyền. Đồng thời, nó cũng giám sát các hoạt động chỉ được thực hiện bởi quản trị viên. Do đó, hệ thống id dựa trên máy chủ có thể là một công cụ rất mạnh để phân tích các cuộc tấn công có thể xảy ra, vì nó thường cung cấp thông tin chi tiết và chính xác hơn hệ thống id dựa trên mạng.
• Phát hiện các hành vi xâm nhập mà nids bỏ qua: ví dụ: những kẻ xâm nhập bằng bàn phím vào máy chủ sẽ không bị nids phát hiện.
• Khả năng thích ứng với môi trường chuyển mạch và mã hóa tốt: Việc chuyển mạch và mã hóa được thực hiện trên mạng, do hides được cài đặt trên máy nên không bị ảnh hưởng bởi 2 công nghệ trên.
• Không yêu cầu phần cứng bổ sung: cài đặt trực tiếp trên cơ sở hạ tầng mạng hiện có (máy chủ ftp, máy chủ web), do đó, hides không yêu cầu cài đặt phần cứng bổ sung.

Nhược điểm

• Khó quản lý: Yêu cầu các hệ thống dựa trên máy chủ trên tất cả các thiết bị đặc biệt phải được bảo vệ. Cấu hình, quản lý và cập nhật là rất nhiều công việc.
• Thông tin nguồn không an toàn: Một vấn đề khác liên quan đến các hệ thống dựa trên máy chủ lưu trữ là nó có xu hướng dựa vào các hệ thống cảnh báo và phát hiện tấn công mạng và ghi nhật ký mặc định của máy chủ. Thông tin này có thể bị tấn công và bị xâm phạm, khiến hệ thống hoạt động sai và sự xâm nhập không bị phát hiện.
• Các hệ thống dựa trên máy chủ tương đối đắt: Nhiều tổ chức không có nguồn tài chính để sử dụng các hệ thống dựa trên máy chủ để bảo vệ toàn bộ các phần trong mạng của họ. Các tổ chức này phải rất cẩn thận trong việc lựa chọn hệ thống nào để bảo vệ. Nó có thể để lại những lỗ hổng lớn trong phổ phát hiện xâm nhập. Ví dụ: kẻ tấn công trên một hệ thống lân cận không được bảo vệ có thể phát hiện ra thông tin đăng nhập hoặc các tài liệu dễ bị tấn công khác trên mạng. “Dự án: Hệ thống phát hiện và cảnh báo nguy cơ tấn công mạng”
• Chiếm dụng tài nguyên hệ thống: do được cài đặt trên máy cần được bảo vệ
• hids phải sử dụng tài nguyên hệ thống để chạy, ví dụ như bộ xử lý, bộ nhớ, bộ nhớ ngoài.
• hids không thể phát hiện quét mạng (nmap, netcat…)