TÌM HIỂU VÀ XÂY DỰNG HỆ THỐNG PHÒNG
CHỐNG VÀ PHÁT HIỆN XÂM NHẬP SỬ DỤNG
SNORT/SNORTSAM


SV: Nguyễn Văn Quang
GVHD: Th.S Nguyễn Đăng Quang
Trường ĐH Sư Phạm Kỹ Thuật Tp. Hồ Chí Minh
Khoa Đào tạo Chất lượng cao
Nội dung
2
Giới thiệu về IDS
Snort/SnortSam
Luật của Snort
Demo
Kết quả
Mục tiêu đề tài
3
Nghiên cứu về hệ thống phát hiện xâm nhập, đặc điểm,
kiến trúc, kỹ thuật phát hiện xâm nhập.
Nghiên cứu về Snort/SnortSam, cài đặt, cấu hình, triển
khai trong hệ thống mạng.
Phân tích các dấu hiệu tấn công, hình thành các luật
tương ứng.
Demo trên mô hình ảo.
Giới thiệu về IDS 4
Giới thiệu về IDS
“Xâm nhập” là hành động truy cập

 Suricata
 Cisco, Juniper, Lactien JSC
Host-based IDS
 Tripwire
 Symantec HIDS
 OSSEC
Network-based IDS
11
Host-based IDS
12
Kỹ thuật phát hiện xâm nhập
13
Phát hiện dựa trên sự bất thường.
Phát hiện dựa trên dấu hiệu.
Anomaly Based ID
14
Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với
các hành vi thông thường, sau đó gắn cờ xâm nhập đối
với hành vi này.
Anomaly Based ID
15
Là kỹ thuật phát hiện ra các mẫu hành vì khác xa với
các hành vi thông thường, sau đó gắn cờ xâm nhập đối
với hành vi này.
Ví dụ:
× Không tuân theo các chuẩn Internet thông thường như gửi một gói tin
ICMP có kích thước vượt quá 65.535 bytes.
× Đăng nhập quá số lần quy định, số lượng gói tin gởi đến vượt mực quy
định trong một khoảng thời gian.
Anomaly Based ID

Snort/SnortSam
20
Kiến trúc của Snort
21
Packet Stream
Packet Capture
Snort
Packet Decoder
Preprocessors
Detection Engine
Output
Packet Decoder
22
Một gói tin đi vào
Packet
Ethernet
Header
IP
Header
Payload
TCP
Header
Giải mã cấu trúc của gói tin
Preprocessors
23
Cung cấp 2 chức năng chính là:
× Bình thường hóa các giao thức giúp trình bày dữ liệu theo các
định dạng chuẩn.
× Tái hợp (reassembly) các gói tin.
Ví dụ