Download miễn phí Đồ án MỤC LỤC
MỤC LỤC 1
LỜi NÓI ĐẦU .3
CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG .4
1.1 Các mục tiêu cần bảo vệ . .4
1.2 Các kiểu tấn công mạng 4
1.3 Các phương pháp bảo vệ .6
CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP TRÊN MẠNG (NIDS) .8
2.1 Xâm nhập (Instrusion) .8
2.1.1 Cách thức xâm nhập vào hệ thống .8
2.1.2 Những lỗ hổng an ninh có thể xâm nhập .9
2.1.3 Những dấu hiệu xâm nhập thông thường .12
2.1.4 Một kịch bản xâm nhập điển hình .13
2.2 Hệ thống phát hiện xâm nhập IDS (Instrusion Detection System) .14
2.2.1 Định nghĩa, chức năng và nguyên lý làm chuyện 14
2.2.2 Vị trí 17
2.2.3 Phân loại .17
2.3 NIDS (Network-based IDS) 28
2.3.1 Lí do lựa chọn NIDS .28
2.3.2 Kiến trúc và hoạt động 29
2.3.3 Mô hình hệ thống NIDS .31
2.3.4 Triển khai và điều chỉnh hệ thống NIDS 33
2.3.5 Đánh giá một hệ thống NIDS (value of NIDS) .39
2.3.6 Tối ưu hoá giá trị của NIDS 40
2.3.7 NIDS & Firewall .42
2.3.8 Tổng kết .43
CHƯƠNG 3: THIẾT KẾ HỆ THỐNG NIDS 44
3.1 Mục đích .44
3.2 Phân tích và thiết kế chương trình .44
TÀI LIỆU THAM KHẢO .45
sản phẩm IDS có thể được phân loại theo dạng phòng ngừa hay dạng đối phó (phản ứng lại sau khi vừa bị xâm nhập). Chúng cũng có thể được phân loại theo tầm quan trọng trong chuyện quét tìm trên mạng và hệ thống.
Các công cụ IDS được đề cập trong phần này thuộc một trong hai loại sau: các hệ thống phát hiện xâm nhập và các máy quét tìm điểm dễ bị xâm phạm. Xa hơn nữa ta chia chúng thành các hệ thống dựa trên mạng và trên host. Như được chỉ ra trên hình 2 các máy quét điểm dễ bị xâm phạm có thể chạy tại bất kỳ thời điểm nào vì chúng ta cho rằng một điểm dễ bị xâm phạm luôn tồn tại cho tới khi nó được sửa chữa. Mặt khác một sự xâm phạm khai thác một điểm dễ bị xâm phạm và cần được dò tìm càng sớm càng tốt sau khi nó được bắt đầu. Ví lý do này các công cụ dò tìm xâm nhập cần được chạy một cách thường xuyên hơn một máy quét điểm dễ bị xâm phạm. Đó là lý do tại sao hầu hết các nhà cung cầp sản phẩm IDS cố gắng làm cho các công cụ của họ có khả năng hoạt động trong thời gian thực.
Hình 2: Technology Landscape
rõ hơn các hệ thống dò tìm sự xâm phạm
Một hệ thống phát hiện xâm nhập kiểm tra hoạt động của mạng hay của hệ thống để tìm ra các cuộc tấn công hay xâm nhập có thể xảy ra. Các hệ thống dò tìm xâm nhập có thể là network-based hay host-based. Các nhà cung cấp mới chỉ bắt đầu chuyện tích hợp hai công nghệ này.
Hệ thống dò tìm xâm phạm dựa trên mạng khá thông dụng hơn, nó thực hiện kiểm tra thông qua giao thông mạng để tìm ra dấu hiệu xâm nhập. Các hệ thống host-based xem xét các user và quả trình hoạt động ngay trên máy cục bộ để xác định dấu hiệu xâm nhập. Mỗi một loại đều có một điểm mạnh riêng của mình. Chúng ta sẽ xem xét tất cả loại đó.
Các hệ thống IDS thường dùng 3 loại công cụ phân tích có giá trị, đó là:
Phân tích dựa trên dấu hiệu hay sự kiện.
Phân tích thống kê
Các hệ thống có khả năng tương thích
Dựa trên dấu hiệu hay sự kiện, chức năng các hệ thống phải tương tự như một phần mềm phòng chống virus mà hầu hết tất cả người đều rất quen thuộc. Những nhà cung cấp đưa ra một danh sách các mẫu mà nó cho rằng đáng nghi hay có dấu hiệu của một cuộc tấn công; IDS chỉ đơn thuần quét trong môi trường để tìm ra một dấu hiệu cho các mẫu vừa được biết đến. Sau đó IDS sẽ trả lời bằng cách thực hiện một thao tác xác định người dùng, gửi một thông báo hay thực hiện logging phụ. Đây là loại hình thông dụng nhất của hệ thống phát hiện xâm nhập.
Một hệ thống phân tích thống kê xây dựng các mô hình thống kê của môi trường coi như độ dài trung bình của một phiên telnet.. sau đó tìm kiếm sự chênh lệch với các giá trị thông thường.
Các hệ thống có khả năng tương thích khởi đầu với các quy tắc được tổng quát hoá cho môi trường, sau đó học hay làm thích nghi, các điều kiện cục bộ mà về phương diện khác có thể không thông dụng. Sau khi bắt đầu quá trình học hệ thống hiểu được cách mà tất cả người tương tác với môi trường sau đó thông báo cho người điề hành về các hoạt động bất thường.
Tuy nhiên bạn vẫn cần chú ý rằng IDS sẽ không có cả các hành động nghi ngờ và các dấu hiệu thông báo khi không có điều gì sai xảy ra. Đó là lý do vì sao các tổ chức vẫn luôn có một qui trình của con người tương tác với IDS để ước lượng môi trường điều hành.
Sau đây sẽ xem xét tổng quan, ưu điểm, nhược điểm các loại IDS vừa kể ra ở trên:
Network-based IDS (NIDS)
NIDS thường có hai thành phần logic là bộ cảm biến và trạm quản lý. Bộ cảm bến đặt tại một đoạn mạng, kiểm soát các cuộc giao vận nghi ngờ trên đoạn mạng đó. Trạm quản lý nhận các tín hiệu thông báo từ bộ cảm biến và trình bày nó cho một điều hành viên.
Bộ cảm biến thường được dành cho các hệ thống chỉ tồn tại để giảm sát hoạt động của mạng. Một số sự hiển thị thường là một giao diện tới một công cụ quản trị mạng ví dụ như HP Overview, tuy nhiên một số trường hợp đó lại là một cách được thiết kế để giúp người điều hành phân tích vấn đề.
Hình 3: Sơ đồ miêu tả sự bố trí của một network based IDS truyền thống với hai bộ cảm biến trên các đoạn mạng khác nhau cùng giao tiếp với một trạm kiểm soát trong một mạng internal.
Ưu điểm
Các hệ thống phát hiện xâm nhập có thể dò được một số loại tấn công dùng mạng. Chúng rất tốt trong chuyện dò các truy cập trái phép hay một số loại truy cập vượt quá sự cho phép.
Một hệ thống network-based IDS không yêu cầu thay đổi các server hay host đưa ra. Đây chính là một điểm thuận lợi vì các server đưa ra thông thường có các dung sai hoạt động đóng đối với CPU, các thiết bị vào ra và dung lượng đĩa; cài đặt các phần mềm phụ có thể gây vượt quá dung lượng của hệ thống.
IDS không khó thực hiện đối với bất cứ một dịch vụ hay một tiến trình nào được đưa ra vì một network-based IDS không hoạt động như một router hay các thiết bị khó tính khác. Lỗi hệ thống không có một ảnh hưởng đáng kể nào đối với công việc. Một khía cạnh của lợi ích đó là bạn có thể gặp ít sự chống cự hơn từ các người khác trong tổ chức. Sự rủi ro trong chuyện tồn tại các chu trình nguy cấp với một hệ thống mạng thấp hơn với một hệ thống host.
Các hệ thống network-based IDS hướng về tính độc lập nhiều hơn các hệ thống host-based. Chúng chạy trên một hê thống chuyên dụng dễ dàng cài đặt; đơn thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình và cắm chúng vào trong mạng của bạn tại một vị trí cho phép nó kiểm soát các cuộc giao vận nhạy cảm.
Nhược điểm
Một hệ thống network-based IDS mặt khác cũng có những hạn chế của nó. Nó chỉ kiểm tra mạng trên đoạn mà nó trực tiếp kết nối tới, nó không thể phát hiện một cuộc tấn công xảy ra trên các đoạn mạng khác. Vấn đề này dẫn tới yêu cầu tổ chức cần mua một lượng các ssensor để có thể bao phủ hết toàn mạng, và đây là một nhược điểm lớn về chi phí và mỗi sensor đều rất đắt.
Các hệ thống phát hiện xâm nhập mạng hướng tới dùng phân tích tín hiệu để đáp ứng các yêu cầu hiệu năng. Nó sẽ dò các cuộc tấn công các chương trình thông dụng từ các nguồn bên ngoài, nhưng nó không đầy đủ để dò các luồn thông tin phức tạp hơn. Nó yêu cầu khả năng mạnh hơn để kiểm tra môi trường.
Một hệ thống phát hiện xâm nhập có thể cần truyền một dung lượng dữ liệu lớn hơn trở về hệ thống phân tích trung tâm. Thỉnh thoảng điều đó có nghĩa là một gói được kiểm soát sẽ sinh ra một lượng lớn hơn tải phân tích. Rất nhiều các hệ thống như vậy dùng các tiến trình giảm dữ liệu linh hoạt để giảm bớt số lượng các giao vận được truyền tải. Họ cũng thường thêm các chu trình tự ra các quyết định vào các bộ cảm biến và dùng các trạm trung tâm như một thiết bị hiển thị trạng thái hay trung tâm truyền thông hơn là thực hiện các phân tích thực tế. Điểm bất lợi lànó sẽ cung cấp rất ít các điều phối viên giữa các bộ cảm ứng; bất kỳ một sensor nào cũng không ...
Link download cho anh em
xem thêm
XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ THÔNG BÁO XÂM NHẬP MẠNG
Ai cần download tài liệu gì mà không tìm thấy ở đây, , đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí
MỤC LỤC 1
LỜi NÓI ĐẦU .3
CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG .4
1.1 Các mục tiêu cần bảo vệ . .4
1.2 Các kiểu tấn công mạng 4
1.3 Các phương pháp bảo vệ .6
CHƯƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP TRÊN MẠNG (NIDS) .8
2.1 Xâm nhập (Instrusion) .8
2.1.1 Cách thức xâm nhập vào hệ thống .8
2.1.2 Những lỗ hổng an ninh có thể xâm nhập .9
2.1.3 Những dấu hiệu xâm nhập thông thường .12
2.1.4 Một kịch bản xâm nhập điển hình .13
2.2 Hệ thống phát hiện xâm nhập IDS (Instrusion Detection System) .14
2.2.1 Định nghĩa, chức năng và nguyên lý làm chuyện 14
2.2.2 Vị trí 17
2.2.3 Phân loại .17
2.3 NIDS (Network-based IDS) 28
2.3.1 Lí do lựa chọn NIDS .28
2.3.2 Kiến trúc và hoạt động 29
2.3.3 Mô hình hệ thống NIDS .31
2.3.4 Triển khai và điều chỉnh hệ thống NIDS 33
2.3.5 Đánh giá một hệ thống NIDS (value of NIDS) .39
2.3.6 Tối ưu hoá giá trị của NIDS 40
2.3.7 NIDS & Firewall .42
2.3.8 Tổng kết .43
CHƯƠNG 3: THIẾT KẾ HỆ THỐNG NIDS 44
3.1 Mục đích .44
3.2 Phân tích và thiết kế chương trình .44
TÀI LIỆU THAM KHẢO .45
sản phẩm IDS có thể được phân loại theo dạng phòng ngừa hay dạng đối phó (phản ứng lại sau khi vừa bị xâm nhập). Chúng cũng có thể được phân loại theo tầm quan trọng trong chuyện quét tìm trên mạng và hệ thống.
Các công cụ IDS được đề cập trong phần này thuộc một trong hai loại sau: các hệ thống phát hiện xâm nhập và các máy quét tìm điểm dễ bị xâm phạm. Xa hơn nữa ta chia chúng thành các hệ thống dựa trên mạng và trên host. Như được chỉ ra trên hình 2 các máy quét điểm dễ bị xâm phạm có thể chạy tại bất kỳ thời điểm nào vì chúng ta cho rằng một điểm dễ bị xâm phạm luôn tồn tại cho tới khi nó được sửa chữa. Mặt khác một sự xâm phạm khai thác một điểm dễ bị xâm phạm và cần được dò tìm càng sớm càng tốt sau khi nó được bắt đầu. Ví lý do này các công cụ dò tìm xâm nhập cần được chạy một cách thường xuyên hơn một máy quét điểm dễ bị xâm phạm. Đó là lý do tại sao hầu hết các nhà cung cầp sản phẩm IDS cố gắng làm cho các công cụ của họ có khả năng hoạt động trong thời gian thực.
Hình 2: Technology Landscape
rõ hơn các hệ thống dò tìm sự xâm phạm
Một hệ thống phát hiện xâm nhập kiểm tra hoạt động của mạng hay của hệ thống để tìm ra các cuộc tấn công hay xâm nhập có thể xảy ra. Các hệ thống dò tìm xâm nhập có thể là network-based hay host-based. Các nhà cung cấp mới chỉ bắt đầu chuyện tích hợp hai công nghệ này.
Hệ thống dò tìm xâm phạm dựa trên mạng khá thông dụng hơn, nó thực hiện kiểm tra thông qua giao thông mạng để tìm ra dấu hiệu xâm nhập. Các hệ thống host-based xem xét các user và quả trình hoạt động ngay trên máy cục bộ để xác định dấu hiệu xâm nhập. Mỗi một loại đều có một điểm mạnh riêng của mình. Chúng ta sẽ xem xét tất cả loại đó.
Các hệ thống IDS thường dùng 3 loại công cụ phân tích có giá trị, đó là:
Phân tích dựa trên dấu hiệu hay sự kiện.
Phân tích thống kê
Các hệ thống có khả năng tương thích
Dựa trên dấu hiệu hay sự kiện, chức năng các hệ thống phải tương tự như một phần mềm phòng chống virus mà hầu hết tất cả người đều rất quen thuộc. Những nhà cung cấp đưa ra một danh sách các mẫu mà nó cho rằng đáng nghi hay có dấu hiệu của một cuộc tấn công; IDS chỉ đơn thuần quét trong môi trường để tìm ra một dấu hiệu cho các mẫu vừa được biết đến. Sau đó IDS sẽ trả lời bằng cách thực hiện một thao tác xác định người dùng, gửi một thông báo hay thực hiện logging phụ. Đây là loại hình thông dụng nhất của hệ thống phát hiện xâm nhập.
Một hệ thống phân tích thống kê xây dựng các mô hình thống kê của môi trường coi như độ dài trung bình của một phiên telnet.. sau đó tìm kiếm sự chênh lệch với các giá trị thông thường.
Các hệ thống có khả năng tương thích khởi đầu với các quy tắc được tổng quát hoá cho môi trường, sau đó học hay làm thích nghi, các điều kiện cục bộ mà về phương diện khác có thể không thông dụng. Sau khi bắt đầu quá trình học hệ thống hiểu được cách mà tất cả người tương tác với môi trường sau đó thông báo cho người điề hành về các hoạt động bất thường.
Tuy nhiên bạn vẫn cần chú ý rằng IDS sẽ không có cả các hành động nghi ngờ và các dấu hiệu thông báo khi không có điều gì sai xảy ra. Đó là lý do vì sao các tổ chức vẫn luôn có một qui trình của con người tương tác với IDS để ước lượng môi trường điều hành.
Sau đây sẽ xem xét tổng quan, ưu điểm, nhược điểm các loại IDS vừa kể ra ở trên:
Network-based IDS (NIDS)
NIDS thường có hai thành phần logic là bộ cảm biến và trạm quản lý. Bộ cảm bến đặt tại một đoạn mạng, kiểm soát các cuộc giao vận nghi ngờ trên đoạn mạng đó. Trạm quản lý nhận các tín hiệu thông báo từ bộ cảm biến và trình bày nó cho một điều hành viên.
Bộ cảm biến thường được dành cho các hệ thống chỉ tồn tại để giảm sát hoạt động của mạng. Một số sự hiển thị thường là một giao diện tới một công cụ quản trị mạng ví dụ như HP Overview, tuy nhiên một số trường hợp đó lại là một cách được thiết kế để giúp người điều hành phân tích vấn đề.
Hình 3: Sơ đồ miêu tả sự bố trí của một network based IDS truyền thống với hai bộ cảm biến trên các đoạn mạng khác nhau cùng giao tiếp với một trạm kiểm soát trong một mạng internal.
Ưu điểm
Các hệ thống phát hiện xâm nhập có thể dò được một số loại tấn công dùng mạng. Chúng rất tốt trong chuyện dò các truy cập trái phép hay một số loại truy cập vượt quá sự cho phép.
Một hệ thống network-based IDS không yêu cầu thay đổi các server hay host đưa ra. Đây chính là một điểm thuận lợi vì các server đưa ra thông thường có các dung sai hoạt động đóng đối với CPU, các thiết bị vào ra và dung lượng đĩa; cài đặt các phần mềm phụ có thể gây vượt quá dung lượng của hệ thống.
IDS không khó thực hiện đối với bất cứ một dịch vụ hay một tiến trình nào được đưa ra vì một network-based IDS không hoạt động như một router hay các thiết bị khó tính khác. Lỗi hệ thống không có một ảnh hưởng đáng kể nào đối với công việc. Một khía cạnh của lợi ích đó là bạn có thể gặp ít sự chống cự hơn từ các người khác trong tổ chức. Sự rủi ro trong chuyện tồn tại các chu trình nguy cấp với một hệ thống mạng thấp hơn với một hệ thống host.
Các hệ thống network-based IDS hướng về tính độc lập nhiều hơn các hệ thống host-based. Chúng chạy trên một hê thống chuyên dụng dễ dàng cài đặt; đơn thuần chỉ mở thiết bị ra, thực hiện một vài sự thay đổi cấu hình và cắm chúng vào trong mạng của bạn tại một vị trí cho phép nó kiểm soát các cuộc giao vận nhạy cảm.
Nhược điểm
Một hệ thống network-based IDS mặt khác cũng có những hạn chế của nó. Nó chỉ kiểm tra mạng trên đoạn mà nó trực tiếp kết nối tới, nó không thể phát hiện một cuộc tấn công xảy ra trên các đoạn mạng khác. Vấn đề này dẫn tới yêu cầu tổ chức cần mua một lượng các ssensor để có thể bao phủ hết toàn mạng, và đây là một nhược điểm lớn về chi phí và mỗi sensor đều rất đắt.
Các hệ thống phát hiện xâm nhập mạng hướng tới dùng phân tích tín hiệu để đáp ứng các yêu cầu hiệu năng. Nó sẽ dò các cuộc tấn công các chương trình thông dụng từ các nguồn bên ngoài, nhưng nó không đầy đủ để dò các luồn thông tin phức tạp hơn. Nó yêu cầu khả năng mạnh hơn để kiểm tra môi trường.
Một hệ thống phát hiện xâm nhập có thể cần truyền một dung lượng dữ liệu lớn hơn trở về hệ thống phân tích trung tâm. Thỉnh thoảng điều đó có nghĩa là một gói được kiểm soát sẽ sinh ra một lượng lớn hơn tải phân tích. Rất nhiều các hệ thống như vậy dùng các tiến trình giảm dữ liệu linh hoạt để giảm bớt số lượng các giao vận được truyền tải. Họ cũng thường thêm các chu trình tự ra các quyết định vào các bộ cảm biến và dùng các trạm trung tâm như một thiết bị hiển thị trạng thái hay trung tâm truyền thông hơn là thực hiện các phân tích thực tế. Điểm bất lợi lànó sẽ cung cấp rất ít các điều phối viên giữa các bộ cảm ứng; bất kỳ một sensor nào cũng không ...
Link download cho anh em
You must be registered for see links
xem thêm
XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ THÔNG BÁO XÂM NHẬP MẠNG
Ai cần download tài liệu gì mà không tìm thấy ở đây, , đăng yêu cầu down tại đây nhé:
Nhận download tài liệu miễn phí