i
MỤC LỤC
Trang phụ bìa
Lời cảm ơn
Lời cam đoan
Tóm tắt luận văn
Mục Lục i
Danh mục các chữ viết tắt iv
Danh mục hình vẽ v
PHẦN MỞ ĐẦU 1
1 Tính cấp thiết của đề tài 1
2 Mục tiêu của đề tài 2
3 Đối tượng phần mềm nghiên cứu 2
4 Nội dung nghiên cứu đề tài 3
5 Bố cục luận văn 4
6 Các công trình nghiên cứu liên quan 5
CHƯƠNG 1: TỔNG QUAN
1.1 Đánh giá tổng quan về bảo mật mạng máy tính 6
1.2 Phân loại các mối đe dọa trong bảo mật 8
1.2.1 Mối đe dọa bên trong 8
1.2.2 Mối đe dọa từ bên ngoài 9
1.2.3 Mối đe dọa không có cấu trúc 9
1.2.4 Mối đe dọa có cấu trúc 10
1.3 Phân loại một số lỗ hổng trong bảo mật 10
1.3.1 Lỗ hổng bảo mật 10
1.3.2 Phân loại lỗ hổng bảo mật 10
1.4 Một số kiểu tấn công mạng 14
1.5 Các giải pháp phát hiện và phòng chống tấn công mạng 17
1.5.1 Các biện pháp phát hiện hệ thống bị tấn công 17
1.5.2 Giải pháp phát hiện và phòng chống xâm nhập 19
3.8 Mô hình đề xuất kết hợp Snort, Fwsnort, Nagios, Cacti 54
CHƯƠNG 4: PHÁT TRIỂN ỨNG DỤNG HỆ THỐNG GIÁM SÁT VÀ
PHÁT HIỆN XÂM NHẬP MẠNG DỰA TRÊN MÃ NGUỒN MỞ
4.1 Mô hình cài đặt thực nghiệm 57
4.2 Cài đặt thực nghiệm 57
iii
4.2.1 Cài đặt Gnokii 58
4.2.2 Cài đặt Snort 59
4.2.4 Cài đặt Nagios 63
4.2.5 Cài đặt Cacti 65
4.3 Kết quả đạt được từ thực nghiệm 71
CHƯƠNG 5: KẾT LUẬN, KẾT QUẢ ĐẠT ĐƯỢC VÀ HƯỚNG PHÁT
TRIỂN CỦA ĐỀ TÀI
5.1 Kết luận 76
5.2 Kết quả đạt được 77
5.3 Ý nghĩa khoa học và thực tiễn 78
5.3.1 Ý nghĩa về mặt khoa học 78
5.3.2 Về mặt thực tiễn 78
5.4 Hướng phát triển cho đề tài 78
TÀI LIỆU THAM KHẢO
PHỤ LỤC
PHỤ LỤC A: Hướng dẫn cấu hình GSM Gateway trên Linux
PHỤ LỤC B: Hướng dẫn cài đặt Snort
PHỤ LỤC C: Hướng dẫn cài đặt và cấu hình Naigos
PHỤ LỤC D: Hướng dẫn cài đặt và cấu hình Cacti
1
PHẦN MỞ ĐẦU
1 Tính cấp thiết của đề tài
pháp đó các doanh nghiệp đều phải thực hiện cân đối về chính sách tài chính
hằng năm với mục đích làm sao cho giải pháp an toàn thông tin là tối ưu và có
được chi phí rẻ nhất và đảm bảo thông tin trao đổi được an toàn, bảo vệ thông
tin của đơn vị mình trước những tấn công của tội phạm công nghệ từ bên ngoài
do vậy mà đề tài xây dựng hệ thống giám sát mạng dựa trên mã nguồn mở được
phát triển giúp được phần nào yêu cầu của các doanh nghiệp về an toàn thông tin
và bảo mật hệ thống mạng.
2 Mục tiêu của đề tài
Đề tài được thực hiện nhằm mục đích:
Khảo sát các lỗ hổng bảo mật thông tin, các nguy cơ có thể mất an toàn
thông tin và các nguy cơ hệ thống mạng bị xâm nhập, tấn công.
Đề xuất giải pháp để giám sát hệ thống mạng bao gồm: phát hiện xâm
nhập, theo dõi các hoạt động của các thiết bị mạng như Router, Switch, Server
… và một số dịch vụ mạng được sử dụng.
Phát triển hệ thống báo động của chương trình qua tin nhắn (SMS), Email,
Web
3 Đối tượng phần mềm nghiên cứu
Đối tượng nghiên cứu trong bài luận văn là các chương trình phần mềm mã
nguồn mở bao gồm:
+ Các chương trình phần mềm mở phát hiện xâm nhập.
+ Các chương trình phần mềm mở phòng chống xâm nhập.
+ Các chương trình phần mềm mở giám sát lưu lượng của hệ thống mạng.
3
+ Các chương trình phần mềm mở giám sát thiết bị mạng và các dịch vụ
mạng.
4 Nội dung nghiên cứu đề tài
Đề tài tập trung nghiên cứu các vấn đề liên quan đến phát hiện xâm nhập trái
phép và giám sát lưu lượng mạng bao gồm;
+ Nghiên cứu các khả năng tấn công mạng.
cố liên quan đến hệ thống mạng đạt được hiệu quả cao.
5 Bố cục luận văn
Phần bố cục của luận văn được trình bày thành 5 chương.
Chương 1 : Tổng quan. Giới thiệu bao quát về vấn đề bảo mật mạng và
các vấn đề liên quan đến tấn công xâm nhập hệ thống mạng.
Chương 2: Hệ thống phát hiện và phòng chống xâm nhập mạng, ở chương
này tác giả trình bày tổng quan về khả năng, vai trò và đặc điểm của chương
trình phát hiện và phòng chống xâm nhập mạng, giám sát lưu lượng, giám sát
dịch vụ mạng.
Chương 3: Các công cụ hỗ trợ trong việc phát hiện và phòng chống xâm
nhập mạng. Trong chương này tác giả trình bày các đặc điểm của các phần mềm
mã nguồn mở sử dụng trong việc cài đặt thực nghiệm của luận văn. Khả năng
tích hợp chúng thành một hệ thống giám sát và phát hiện xâm nhập và cảnh báo
thông tin tức thời qua SMS hoặc Email, Web.
Chương 4: Trong chương này tác giả tập trung phát triển ứng dụng giám
sát hệ thống mạng bằng các chương trình mã nguồn mở, đề xuất mô hình mạng
và cài đặt thực nghiệm dùng các chương trình mã nguồn mở đã nêu trong đề tài.
5
Chương 5: Đánh giá những mặt đạt được, kết luận và hướng phát triển
thêm của đề tài.
6 Các công trình nghiên cứu liên quan
- Báo cáo luận văn thạc sĩ kỹ thuật máy tính đề tài “Xây dựng hệ thống hỗ trợ
giám sát mạng” tác giả Nguyễn Đăng Bảo Phúc – Đại học Đà Nẵng tháng
3/2012. Nội dung của luận văn tác giả hướng dẫn cách cài đặt và cấu hình
chương trình mã nguồn mở Nagios để theo dõi giám sát một hệ thống mạng kết
hợp Gammu để gửi tin nhắn đến quản trị mạng.
- Báo cáo tốt nghiệp kỹ sư đề tài “Nghiên cứu hệ thống giám sát quản trị
mạng trên nền tảng mã nguồn mở Nagios” bài đăng trên website
http://www.hce.edu.vn/hsv/ năm 2008. Nội dung của bài khóa luận tác giả cũng
Việt Nam trong những năm trở lại đây có tốc độ rất lớn và dự kiến sẽ có chiều
hướng tăng do sự phát triển của thiết bị thông minh và các thiết bị khác. Một số
doanh nghiệp Việt Nam chưa có kế hoạch hoặc có kế hoạch đầu tư nhỏ vào việc
bảo mật cho hệ thống mạng trong khi các doanh nghiệp bắt đầu phát triển các
ứng dụng công nghệ mạng để quảng cáo hoặc cung cấp thông tin của doanh
nghiệp mình trong thế giới số.
Theo báo cáo về an toàn thông tin được công bố trong ngày “An toàn thông tin
năm 2011” về vấn đền an toàn thông tin trong các tổ chức doanh nghiệp Việt
Nam năm 2011, có đến:
- 52% số tổ chức vẫn không hoặc chưa có quy trình thao tác chuẩn để ứng
phó với những cuộc tấn công máy tính
- Tỷ lệ sử dụng những công nghệ chuyên sâu hoặc hẹp hơn như mã hoá, hệ
thống phát hiện xâm nhập, chứng chỉ số, chữ ký số…chỉ chiếm 20% .
- Đặc biệt tỷ lệ sử dụng những giải pháp cấp cao trong bảo mật an ninh
mạng như quản lý định danh, hệ thống quản lý chống thất thoát dữ liệu,
sinh trắc học chỉ chiếm 5% trong tất cả các giải pháp chống tấn công của
tội phạm công nghệ cao.[1]
Nhận định về an toàn thông tin trong những năm qua, các chuyên gia bảo mật
hàng đầu tại Việt Nam đều có chung một nhận định có nhiều biến động lớn và
7 mức độ tấn công là ngày càng rất nguy hiểm và gây nhiều thiệt hại cho các
doanh nghiệp trong nước[2]. Để giải quyết vấn đề này các công ty bảo mật hàng
đầu trên thế giới và của Việt Nam vẫn tiếp tục nghiên cứu phát triển những gói
giải pháp bảo mật bao gồm thiết bị phần cứng và các chương trình phần mềm
phục vụ cho việc an toàn thông tin và bảo mật hệ thống mạng, các nhà cung cấp
dịch vụ giải pháp bảo mật như Juniper (với các sản phẩm phần cứng tường lửa
như NetScreen), Cisco với các thiết bị tường lửa như ASA, PIX hoặc như các
thiết bị tường lửa tiên tiến hơn như Checkpoint, IPS của nhà cung cấp IBM là
đại loại như thế. Mục đích của một hệ thống phát hiện xâm nhập là thông báo
cho nhà quản trị khi có một hành vi xâm nhập hoặc một sự tấn công được phát
hiện. Có thể có nhiều cách khác nhau để tấn công và hệ thống phát hiện xâm
nhập cũng có nhiều cách để phát hiện. Để làm rõ vấn đề phát hiện xâm nhập
trước tiên cần hiểu rõ một số các mối đe dọa trong bảo mật một hệ thống mạng
hoạt động ra sao. Thông thường có 4 mối đe dọa cho việc bảo mật hệ thống
được mô tả như sau:
1.2.1 Mối đe dọa bên trong
Thuật ngữ mối đe dọa bên trong được sử dụng để mô ta một kiểu tấn công
được thực hiện từ một người hoặc một tổ chức có quyền truy cập vào hệ thống
mạng. Các cách tấn công từ bên trong được thực hiện từ một khu vực được coi
là vùng tin cậy trong hệ thống mạng. Mối đe dọa này có thể khó phòng chống
hơn vì các nhân viên hoặc những tổ chức có quyền hạn trong hệ thống mạng sẽ
truy cập vào mạng và dữ liệu bí mật của doanh nghiệp. Phần lớn các doanh
nghiệp hiện nay đều có tường lửa ở các đường biên mạng và họ tin tưởng hoàn
toàn vào các ACL (Access Control List) và quyền truy cập vào server để qui
định cho sự bảo mật bên trong. Quyền truy cập server thường bảo vệ tài nguyên
trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng. Mối đe dọa ở
bên trong thường được thực hiện bởi các nhân viên, tổ chức bất bình, muốn
“quay mặt” lại với doanh nghiệp. Nhiều phương pháp bảo mật liên quan đến
vành đai của hệ thống mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài,
như là truy cập Internet. Khi vành đai của hệ thống mạng được bảo mật, các
9 phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ
xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của hệ thống mạng, mọi
chuyện còn lại thường là rất đơn giản. Các mạng không dây giới thiệu một lĩnh
vực mới về quản trị bảo mật. Không giống như mạng có dây, các mạng không
dây tạo ra một khu vực bao phủ có thể bị can thiệp và sử dụng bởi bất kì ai có
tín dụng của doanh nghiệp đó. Cộng đồng phải tin tưởng rằng một doanh nghiệp
rất giỏi trong việc bảo mật các thông tin riêng tư của nó.
1.2.4 Mối đe dọa có cấu trúc
Mối đe dọa có cấu trúc là khó ngăn ngừa và phòng chống nhất vì nó xuất
phát từ các tổ chức hoặc cá nhân sử dụng một vài loại phương pháp luận thực
hiện tấn công. Các hacker với kiến thức, kinh nghiệm cao và thiết bị sẽ tạo ra
mối đe dọa này. Các hacker này biết các gói tin được tạo thành như thế nào và
có thể phát triển mã để khai thác các lỗ hổng trong cấu trúc của giao thức. Họ
cũng biết được các biện pháp được sử dụng để ngăn ngừa truy cập trái phép,
cũng như các hệ thống IDS và cách chúng phát hiện ra các hành vi xâm nhập.
Họ biết các phương pháp để tránh những cách bảo vệ này. Trong một vài trường
hợp, một cách tấn công có cấu trúc được thực hiện với sự trợ giúp từ một vài
người ở bên trong. Đây gọi là mối đe dọa có cấu trúc ở bên trong. Cấu trúc hoặc
không cấu trúc có thể là mối đe dọa bên ngoài cũng như bên trong.
1.3 Phân loại một số lỗ hổng trong bảo mật
1.3.1 Lỗ hổng bảo mật
Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo nên sự
ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép truy
cập bất hợp pháp vào hệ thống. Các lỗ hổng bảo mật có thể nằm ngay các dịch
vụ cung cấp như Web, Email, FTP, … Ngoài ra các chương trình ứng dụng hay
dùng cũng chứa các lỗ hổng bảo mật như Word, các hệ cơ sở dữ liệu như SQL…
1.3.2 Phân loại lỗ hổng bảo mật
Thực hiện phân loại và hiểu được những phương thức bảo mật thực sự
quan trọng trong việc xây dựng một hệ thống lọc và phân loại gói tin của tường
lửa với mục đích phát hiện được những lỗ hổng trong việc bảo mật. Hiện nay
việc phân loại lỗ hổng bảo mật cơ bản được phân thành 03 loại.
11 Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự
quản trị hệ thống Website trong trường hợp này chỉ có thể khởi động lại hệ
thống.[6]
Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail
là không xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các
hành động spam mail. Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư
điện tử là lưu và chuyển tiếp; một số hệ thống mail không có các xác thực khi
người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy
chủ mail này để thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch
vụ mail của hệ thống bằng cách gửi một số lượng lớn các messages tới một địa
chỉ không xác định, vì máy chủ mail luôn phải tốn năng lực đi tìm những địa chỉ
không có thực dẫn đến tình trạng ngưng trệ dịch vụ. Số lượng các messages có
thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet.
1.3.2.2 Loại B – Nguy hiểm
Các lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho
phép người sử dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập
không hợp pháp. Những lỗ hổng loại này thường xuất hiện trong các dịch vụ
trên hệ thống. Người sử dụng local được hiểu là người đã có quyền truy nhập
vào hệ thống với một số quyền hạn nhất định.
Một dạng khác của lỗ hổng loại B xảy ra đối với các chương trình
có mã nguồn viết bằng ngôn ngữ lập trình C. Những chương trình viết bằng
ngôn ngữ lập trình C thường sử dụng một vùng đệm – là một vùng trong bộ nhớ
sử dụng để lưu dữ liệu trước khi xử lý. Những người lập trình thường sử dụng
vùng đệm trong bộ nhớ trước khi gán một khoảng không gian bộ nhớ cho từng
khối dữ liệu. Ví dụ, người sử dụng viết chương trình nhập trường tên người sử
dụng; qui định trường này dài 20 ký tự. Do đó họ sẽ khai báo: char first_name
[20];
13
Những lỗ hổng loại này hết sức nguy hiểm vì nó đã tồn tại sẵn có
trên phần mềm sử dụng; người quản trị nếu không hiểu sâu về dịch vụ và phần
mềm sử dụng sẽ có thể bỏ qua những điểm yếu này.
Đối với những hệ thống cũ, thường xuyên phải kiểm tra các thông
báo của các nhóm tin về bảo mật trên mạng để phát hiện những lỗ hổng loại này.
Một loạt các chương trình phiên bản cũ thường sử dụng có những lỗ hổng loại A
như: FTP, Gopher, Telnet, Sendmail, ARP, finger…[2]
Các loại bảo mật nêu trên có thể phân loại chung thành 03 mức độ
cơ bản của điểm yếu bảo mật như sau:
- Điểm yếu về kỹ thuật: bao gồm những kỹ thuật gồm có điểm yếu
trong các giao thức, hệ điều hành và các thiết bị phần cứng như
Server, Router, Switch
- Điểm yếu về cấu hình hệ thống: bao gồm lỗi do nhà quản trị tạo ra,
lỗi này do các thiếu sót trong việc cấu hình hệ thống như: không
đảm bảo thông tin mật tài khoản khách hàng, hệ thống tài khoản với
mật khẩu dễ dàng đoán biết, sử dụng các cấu hình mặc định trên
thiết bị.
- Điểm yếu trong chính sách bảo mật: chính sách bảo mật mô tả việc
làm thế nào và ở đâu chính sách bảo mật được thực hiện. Đây là
điều kiện quan trọng giúp việc bảo mật có hiệu quả tốt nhất.
1.4 Một số kiểu tấn công mạng
Có rất nhiều dạng tấn công mạng đang được biết đến hiện nay, dựa vào hành
động tấn công của tội phạm mạng có thể phân làm 02 loại là chủ động và bị
động.
- Tấn công chủ động (active attack): Kẻ tấn công thay đổi hoạt động của hệ
thống và hoạt động của mạng khi tấn công và làm ảnh hưởng đến tính
toàn vẹn, sẵn sàng và xác thực của dữ liệu.
15
- Một số các lỗi khác liên quan đến con người, hệ thống cũng là những
kiểu tấn công trực tiếp từ bên ngoài nhưng có mức độ phức tạp và khó khăn hơn,
nguy hiểm nhất là yếu tố con người bởi nó là một trong nhiều điểm yếu nhất
trong bất kỳ hệ thống bảo mật nào[5] (trích website quantrimang.com)
- Khi một mạng máy tính bị tấn công, nó sẽ bị chiếm một lượng lớn tài
nguyên trên máy chủ, mức độ chiếm lượng tài nguyên này tùy thuộc vào khả
năng huy động tấn công của tội phạm mạng, đến một giới hạn nhất định khả
năng cung cấp tài nguyên của máy chủ sẽ hết và như vậy việc từ chối các yêu
cầu sử dụng dịch vụ của người dùng hợp pháp bị từ chối. Việc phát động tấn
công của tội phạm mạng còn tùy thuộc vào số lượng các máy tính ma mà tội
phạm mạng đó đang kiểm soát, nếu khả năng kiểm soát lớn thì thời gian để tấn
công và làm sập hoàn toàn một hệ thống mạng sẽ nhanh và cấp độ tấn công sẽ
tăng nhanh hơn, tội phạm mạng có thể một lúc tấn công nhiều hệ thống mạng
khác nhau tùy vào mức độ kiểm soát chi phối các máy tính ma như thế nào.
Các kiểu tấn công có nhiều hình thức khác nhau, nhưng thông thường đều thực
hiện qua các bước theo hướng mô tả sau:
+ Khảo sát thu thập thông tin về nơi chuẩn bị tấn công bằng các công cụ
để tìm hiểu đầy đủ về hệ thống mạng.
+ Sau khi đã thu thập đủ thông tin, tội phạm mạng sẽ dò tìm những thông
tin về lỗ hổng của bảo mật hệ thống dựa trên những thông tin đã tìm được, phân
tích điểm yếu của hệ thống mạng, sử dụng các bộ công cụ để dò quét tìm lỗi trên
hệ thống mạng đó.
+ Khi đã có trong tay những điểm yếu của hệ thống mạng, tội phạm mạng
sẽ tiến hành xâm nhập hệ thống mạng bằng các công cụ như làm tràn bộ đệm
hoặc tấn công từ chối dịch vụ.
+ Ở một số cuộc tấn công, người xâm nhập sau khi đã xâm nhập thành
công và khai thác được hệ thống mạng rồi sẽ thực hiện việc duy trì xâm nhập
17
quản trị hệ thống, ngoài việc tìm hiểu phát hiện những lỗ hổng bảo mật còn luôn
phải thực hiện các biện pháp kiểm tra hệ thống xem có dấu hiệu tấn công hay
không. Các biện pháp đó là:
- Kiểm tra các dấu hiệu hệ thống bị tấn công: hệ thống thường bị treo
hoặc bị crash bằng những thông báo lỗi không rõ ràng, khó xác định nguyên
nhân hệ thống bị treo do thiếu thông tin liên quan. Trước tiên, xác định các
nguyên nhân về phần cứng hay không, nếu không phải phần cứng hãy nghĩ đến
khả năng máy bị tấn công
- Kiểm tra các tài khoản người dùng mới trên hệ thống: một số tài khoản
lạ, nhất là uid của tài khoản đó là zero
- Kiểm tra xuất hiện các tập tin lạ. Thường phát hiện thông qua cách đặt
tên các tập tin, mỗi người quản trị hệ thống nên có thói quen đặt tên tập tin theo
một mẫu nhất định để dễ dàng phát hiện tập tin lạ. Thực hiện các lệnh liệt kê
danh sách tập tin trong hệ thống để kiểm tra thuộc tính setuid và setgid đối với
những tập tin đáng chú ý (đặc biệt là các tập tin scripts).
- Kiểm tra thời gian thay đổi trên hệ thống, đặc biệt là các chương trình
login, sh hoặc các scripts khởi động trong /etc/init.d, /etc/rc.d …
- Kiểm tra hiệu năng của hệ thống. Sử dụng các tiện ích theo dõi tài
nguyên và các tiến trình đang hoạt động trên hệ thống như ps hoặc top …
- Kiểm tra hoạt động của các dịch vụ mà hệ thống cung cấp. Chúng ta đã
biết rằng một trong các mục đích tấn công là làm cho tê liệt hệ thống (Hình thức
tấn công DoS). Sử dụng các lệnh như ps, pstat, các tiện ích về mạng để phát hiện
nguyên nhân trên hệ thống.
- Kiểm tra truy nhập hệ thống bằng các account thông thường, đề phòng
trường hợp các account này bị truy nhập trái phép và thay đổi quyền hạn mà
người sử dụng hợp pháp không kiểm sóat được.
19
như: do chương trình mã nguồn mở nên hầu hết không có giao diện thân thiện;
thành phần báo động không được tích hợp sẵn, hoặc nếu có cũng chỉ qua giao
diện console, hoặc qua giao diện Web chưa tạo được sự linh động và tiện dụng
cho người quản trị mạng; phần mềm mang tính đơn lẻ (chỉ tập trung nghiên cứu
về Snort) trong khi nhu cầu tích hợp nhiều tính năng giám sát khác để nâng cao
hiệu quả sử dụng chưa được chú trọng và phát triển. Hơn nữa, các dấu hiệu của
các kiểu tấn công ngày một tinh vi phức tạp đòi hỏi hệ thống phát hiện và phòng
chống xâm nhập (IDS/IPS) phải được thường xuyên cập nhật những dấu hiệu
mới. Người quản trị mạng còn có thể dựa vào những phân tích khác như những
dấu hiệu bất thường về lưu lượng ra vào hệ thống, hoạt động của CPU, RAM
để có những phản ứng kịp thời. Bên cạnh đó, hệ thống báo động cũng cần triển
khai mang tính chất đa dạng nhiều hình thức, linh động, tiện dụng thực sự hỗ trợ
thiết thực cho người quản trị mạng.
Các nghiên cứu đã chứng minh rằng hầu hết các hệ thống có đặc điểm
chung là tính đa dạng và thay đổi. Việc nghiên cứu và triển khai một hệ thống
giám sát mạng, phát hiện và phòng chống xâm nhập với các yếu tố: chính xác,
nhanh chóng, trực quan, linh động và tiện lợi là vấn đề cấp thiết trong thực tế.
Phát triển hệ thống giám sát trực quan theo dõi các diễn biến trên mạng
như lưu lượng ra vào một Server, Switch, … hay hoạt động của CPU, bộ nhớ,
… giúp người quản trị mạng có những phân tích để đưa ra ứng phó kịp thời.
Hệ thống phát hiện xâm nhập dựa vào những mẫu dấu hiệu tấn công triển
khai để giúp phát hiện nhanh các cuộc tấn công mạng. Hệ thống phát hiện này
kết hợp với tường lửa sẽ chống lại các cuộc tấn công xâm nhập. Tuy nhiên, các
dấu hiệu của các kiểu tấn công ngày một tinh vi phức tạp thì hệ thống phát hiện
phải được thường xuyên cập nhật những dấu hiệu mới. Để có thể phát hiện
nhanh chóng các bất thường trên mạng, người quản trị mạng còn có thể dựa vào
những đồ thị trực quan về lưu lượng ra vào hệ thống để có những phản ứng kịp
thời.
21
nhằm giảm thiểu công việc của người quản trị hệ thống. Hệ thống IPS được ra
đời vào năm 2003 và ngay sau đó, năm 2004 nó được phổ biến rộng rãi. Kết hợp
với việc nâng cấp các thành phần quản trị, hệ thống IPS xuất hiện đã dần thay
thế cho IDS bởi nó giảm bớt được các yêu cầu tác động của con người trong
việc đáp trả lại các nguy cơ phát hiện được, cũng như
Copyright: Tài liệu đại học ©