Luận Văn Nghiên cứu phòng chống thâm nhập trái phép ids, ips (trên linux)

Mục lục:
1 . IDS 3
1.1 Giới thiệu sự ra đời. . 3
1.2 Khái niệm . 3
1.3 Chức năng. . 4
1.4 Phân biệt IDS. 4
1.5 Các loại tấn công. . 4
1.6 Phân Loại IDS. . 5
1.6.1 Hệ thống phát hiện xâm nhập Host-Based( Host-based IDS) . 5
1.6.2 Hệ thống phát hiện xâm nhập Network-Based( Network-based IDS). . 8
1.6.3 So sánh HIDS và NIDS . 11
1.7 Nhiệm Vụ Của IDS. . 13
1.8 Kiến trúc IDS. 15
1.9 Kỹ thuật xử lý dữ liệu của IDS. . 16
2 IPS. . 18
2.1 Khái niệm. 18
2.2 Phát hiện và ngăn ngừa xâm nhập. 19
2.2.1 Phát hiện xâm nhập. 19
2.2.2 Ngăn ngừa xâm nhập. . 19
2.3 Yêu cầu tương lai của IPS. . 20
3 So sánh IDS và IPS. 21
4 Snort. 22


4.1 Giới Thiệu. . 22
4.2 Mô hình hoạt động. 22
4.2.1 Network Intrusion Detection Systems (NIDS). 22
4.2.2 Host Intrusion Detection Systems (HIDS) 23
4.3 Cấu trúc Snort. . 24
4.3.1 Decoder. 24
4.3.2 Preprocessor (Input Plugin). . 24
4.3.3 Detection Engine. 24
4.3.4 Logging và Alert: 25
4.3.5 Output Plugin. . 25
4.4 Cấu Trúc Rule. . 25
4.4.1 Rule Header. . 25
4.4.2 Rule option. . 26
4.5 Cài Đặt. 29
4.5.1 Cài đặt snort. . 29
4.5.2 Cài đặt Webmin. . 30
4.5.3 Cài đặt adodb, acid, gd, phplot. 32
4.6 Cấu Hình Snort: . 35
4.7 Hướng Dẫn Sử Dụng Snort Trong Linux. . 36
4.7.1 Sniffer mode 36
4.7.2 Packet logger mode. 37
4.7.3 Network Intrusion Detection Mode (NIDS). 37
4.7.4 Inline mode. 38

1 . IDS
1.1 Giới thiệu sự ra đời.
- Cách đây khoảng 25 năm, khái niệm phát hiện xâm nhập xuất hiện qua một bài báo
của James Anderson. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu
các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc
làm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống
phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước khi
được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến tận năm 1996, các
khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong
các phòng thí nghiệm và viện nghiên cứu. Tuy nhiên trong thời gian này, một số công
nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ của công nghệ thông tin. Đến năm
1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của
công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng của IDS và đã mua lại
một công ty cung cấp giải pháp IDS tên là Wheel.
- Hiện tại, các thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh
được sử dụng nhiều nhất và vẫn còn phát triển.
- Tại sao Gartner nói: IDS is dead? Vào năm 2003, Gartner- một công ty hàng đầu
trong lĩnh vực nghiên cứu và phân tích thị trường công nghệ thông tin trên toàn cầu-
đã đưa ra một dự đoán gây chấn động trong lĩnh vực an toàn thông tin : “Hệ thống
phát hiện xâm nhập (IDS) sẽ không còn nữa vào năm 2005”. Phát biểu này của xuất
phát từ một số kết quả phân tích và đánh giá cho thấy hệ thống IDS khi đó đang đối
mặt với các vấn đề sau:
 IDS thường xuyên đưa ra rất nhiều báo động giả ( False Positives).
 Là gánh nặng cho quản trị an ninh hệ thống bởi nó cần được theo dõi liên tục
(24 giờ trong suốt cả 365 ngày của năm).
 èm theo các cảnh báo tấn công là một quy trình xử lý an ninh rất vất vả.
 Không có khả năng theo dõi các luồng dữ liệu được truyền với tốc độ lớn hơn
600 Megabit trên giây.Nhìn chung Gartner đưa ra nhận xét này dựa trên nhiều
phản ánh của những khách hàng đang sử dụng IDS rằng quản trị và vận hành
hệ thống IDS là rất khó khăn, tốn kém và không đem lại hiệu quả tương xứng
so với đầu tư.
- Sau khi phát biểu này được đưa ra, một số ý kiến phản đối cho rằng, việc hệ thống
IDS không đem lại hiệu quả như mong muốn là do các vấn đề còn tồn tại trong việc
quản lý và vận hành chứ không phải do bản chất công nghệ kiểm soát và phân tích gói
tin của IDS. Cụ thể, để cho một hệ thống IDS hoạt động hiệu quả, vai trò của các công
cụ, con người quản trị là rất quan trọng, cần phải đáp ứng được các tiêu chí sau:
 Thu thập và đánh giá tương quan tất cả các sự kiện an ninh được phát hiện bởi
các IDS, tường lửa để tránh các báo động giả.
 Các thành phần quản trị phải tự động hoạt động và phân tích.
Kết hợp với các biện pháp ngăn chặn tự độngKết quả là tới năm 2005, thế hệ sau của
IDS-hệ thống tự động phát hiện và ngăn chặn xâm nhập IPS- đã dần khắc phục được các mặt
còn hạn chế của IDS và hoạt động hiệu quả hơn nhiều so với thế hệ trước đó.