Đang tải... (xem toàn văn)
MỤC LỤC LỜI CAM ĐOAN .............................................................................................................. 1 MỤC LỤC ........................................................................................................................ ii DANH MỤC TỪ VIẾT TẮT ........................................................................................... iv DANH SÁCH HÌNH VẼ .................................................................................................. vi DANH SÁCH CÁC BẢNG .............................................................................................. vi MỞ ĐẦU .......................................................................................................................... 1 CHƯƠNG I: TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP MẠNG .................................. 2 1.1. Khái niệm tấn công đột nhập mạng...................................................................... 2 1.2. Các dạng tấn công ............................................................................................... 2 1.2.1. Tấn công bằng mã độc ................................................................................. 2 1.2.2. Tấn công vào mật khẩu ................................................................................ 2 1.2.3. Tấn công từ chối dịch vụ .............................................................................. 3 1.2.4. Tấn công giả mạo địa chỉ, nghe trộm ........................................................... 3 1.2.5. Tấn công kiểu phát lại và người đứng giữa................................................... 3 1.2.6. Tấn công bằng bom thư và thư rác ............................................................... 3 1.2.7. Tấn công sử dụng cổng hậu .......................................................................... 4 1.2.8. Tấn công kiểu Social Engineering ................................................................ 4 1.2.9. Tấn công Pharming ...................................................................................... 4 1.3. Các phương pháp phát hiện tấn công đột nhập mạng ........................................... 5 1.3.1. Phát hiện tấn công đột nhập dựa trên dấu hiệu ............................................ 5 1.3.2. Phương pháp phát hiện dựa trên bất thường ................................................ 6 1.3.3. Phương pháp phát hiện dựa trên phân tích trạng thái giao thức ................... 7 1.4. Các hệ thống phát hiện tấn công đột nhập mạng .................................................. 8 1.4.1. Khái niệm hệ thống phát hiện xâm nhập ....................................................... 8 1.4.2. Chức năng của IDS ...................................................................................... 8 1.4.3. Phân loại IDS.............................................................................................. 9 1.4.4. Giới thiệu một số hệ thống IDS................................................................... 13 1.5. Kết chương........................................................................................................ 15 CHƯƠNG 2: KIẾN TRÚC HỆ THỐNG VÀ CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP MẠNG ............................................................................................................................ 17 2.1. Kiến trúc hệ thống phát hiện đột nhập mạng ...................................................... 17 2.1.1. Thành phần thu thập gói tin (Information collection) ................................. 17 iii 2.1.2. Thành phần phân tích gói tin (Detection) ................................................... 17 2.1.3. Thành phần phản hồi (Response) ............................................................... 18 2.2. Các kỹ thuật thu thập dữ liệu ............................................................................. 18 2.2.1. Giới thiệu chung về thu thập dữ liệu ........................................................... 18 2.2.2. Thu thập dữ liệu cho HIDS ......................................................................... 18 2.2.3. Thu thập dữ liệu cho NIDS ......................................................................... 20 2.2.4. Thu thập dữ liệu dựa trên ứng dụng ........................................................... 22 2.2.5. Thu thập dữ liệu cho IDS tích hợp với ứng dụng ......................................... 22 2.2.6. Thu thập dữ liệu lai .................................................................................... 23 2.3. Tiền xử lý dữ liệu .............................................................................................. 23 2.4. Các kỹ thuật phát hiện đột nhập mạng ............................................................... 24 2.4.1. Các kỹ thuật dựa trên phương pháp phát hiện sự lạm dụng ........................ 24 2.4.2. Các kỹ thuật dựa trên phương pháp phát hiện sự bất thường ...................... 27 2.4.3. Kỹ thuật phát hiện dựa trên đặc trưng ........................................................ 30 2.4.4. Kỹ thuật phát hiện lai ................................................................................. 31 2.5. Kết chương........................................................................................................ 31 CHƯƠNG 3: XÂY DỰNG MÔ HÌNH ỨNG DỤNG DỰA TRÊN SNORT .................... 32 3.1. Giới thiệu hệ thống phát hiện xâm nhập mạng Snort .......................................... 32 3.1.1. Giới thiệu chung về Snort ........................................................................... 32 3.1.2. Kiến trúc và cơ chế hoạt động của Snort .................................................... 32 3.1.3. Bộ luật của Snort........................................................................................ 37 3.2. Xây dựng mô hình phát hiện xâm nhập Snort cho công ty PAMA ..................... 48 3.2.1. Yêu cầu của hệ thống ................................................................................. 48 3.2.2. Giải pháp đề xuất cho hệ thống phát hiện xâm nhập ................................... 48 3.2.3. Mô hình hệ thống ....................................................................................... 49 3.2.4. Các công cụ sử dụng trong hệ thống Snort ................................................. 51 3.3. Thử nghiệm một số kịch bản phát hiện xâm nhập .............................................. 54 3.3.1. Mô hình thử nghiệm ................................................................................... 54 3.3.2. Kịch bản 1 .................................................................................................. 55 3.3.3. Kịch bản 2 .................................................................................................. 56 3.4. Kết chương........................................................................................................ 59 KẾT LUẬN ..................................................................................................................... 60 TÀI LIỆU THAM KHẢO ................................................................................................ 61
TRẦN TUẤN ANH HỆ THỐNG THÔNG TIN 2012 – 2013 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TRẦN TUẤN ANH NGHIÊN CỨU CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP MẠNG VÀ XÂY DỰNG MÔ HÌNH ỨNG DỤNG DỰA TRÊN SNORT LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI 2014 HÀ NỘI - 2014 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG TRẦN TUẤN ANH NGHIÊN CỨU CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP MẠNG VÀ XÂY DỰNG MÔ HÌNH ỨNG DỤNG DỰA TRÊN SNORT CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC TS. HOÀNG XUÂN DẬU HÀ NỘI - 2014 i LỜI CAM ĐOAN Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi dưới sự hướng dẫn của TS. Hoàng Xuân Dậu, kết quả đạt được trong luận văn là sản phẩm của riêng cá nhân, không sao chép lại của người khác. Trong toàn bộ nội dung của luận văn, những điều được trình bày hoặc là của cá nhân hoặc là được tổng hợp từ nhiều nguồn tài liệu. Tất cả các tài liệu tham khảo đều có xuất xứ rõ ràng và được trích dẫn hợp pháp. Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác. Hà Nội, tháng 11 năm 2013 Tác giả luận văn Trần Tuấn Anh 1 MỤC LỤC LỜI CAM ĐOAN 1 MỤC LỤC ii DANH MỤC TỪ VIẾT TẮT iv DANH SÁCH HÌNH VẼ vi DANH SÁCH CÁC BẢNG vi MỞ ĐẦU 1 CHƯƠNG I: TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP MẠNG 2 1.1. Khái niệm tấn công đột nhập mạng 2 1.2. Các dạng tấn công 2 1.2.1. Tấn công bằng mã độc 2 1.2.2. Tấn công vào mật khẩu 2 1.2.3. Tấn công từ chối dịch vụ 3 1.2.4. Tấn công giả mạo địa chỉ, nghe trộm 3 1.2.5. Tấn công kiểu phát lại và người đứng giữa 3 1.2.6. Tấn công bằng bom thư và thư rác 3 1.2.7. Tấn công sử dụng cổng hậu 4 1.2.8. Tấn công kiểu Social Engineering 4 1.2.9. Tấn công Pharming 4 1.3. Các phương pháp phát hiện tấn công đột nhập mạng 5 1.3.1. Phát hiện tấn công đột nhập dựa trên dấu hiệu 5 1.3.2. Phương pháp phát hiện dựa trên bất thường 6 1.3.3. Phương pháp phát hiện dựa trên phân tích trạng thái giao thức 7 1.4. Các hệ thống phát hiện tấn công đột nhập mạng 8 1.4.1. Khái niệm hệ thống phát hiện xâm nhập 8 1.4.2. Chức năng của IDS 8 1.4.3. Phân loại IDS 9 1.4.4. Giới thiệu một số hệ thống IDS 13 1.5. Kết chương 15 CHƯƠNG 2: KIẾN TRÚC HỆ THỐNG VÀ CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP MẠNG 17 2.1. Kiến trúc hệ thống phát hiện đột nhập mạng 17 2.1.1. Thành phần thu thập gói tin (Information collection) 17 iii 2.1.2. Thành phần phân tích gói tin (Detection) 17 2.1.3. Thành phần phản hồi (Response) 18 2.2. Các kỹ thuật thu thập dữ liệu 18 2.2.1. Giới thiệu chung về thu thập dữ liệu 18 2.2.2. Thu thập dữ liệu cho HIDS 18 2.2.3. Thu thập dữ liệu cho NIDS 20 2.2.4. Thu thập dữ liệu dựa trên ứng dụng 22 2.2.5. Thu thập dữ liệu cho IDS tích hợp với ứng dụng 22 2.2.6. Thu thập dữ liệu lai 23 2.3. Tiền xử lý dữ liệu 23 2.4. Các kỹ thuật phát hiện đột nhập mạng 24 2.4.1. Các kỹ thuật dựa trên phương pháp phát hiện sự lạm dụng 24 2.4.2. Các kỹ thuật dựa trên phương pháp phát hiện sự bất thường 27 2.4.3. Kỹ thuật phát hiện dựa trên đặc trưng 30 2.4.4. Kỹ thuật phát hiện lai 31 2.5. Kết chương 31 CHƯƠNG 3: XÂY DỰNG MÔ HÌNH ỨNG DỤNG DỰA TRÊN SNORT 32 3.1. Giới thiệu hệ thống phát hiện xâm nhập mạng Snort 32 3.1.1. Giới thiệu chung về Snort 32 3.1.2. Kiến trúc và cơ chế hoạt động của Snort 32 3.1.3. Bộ luật của Snort 37 3.2. Xây dựng mô hình phát hiện xâm nhập Snort cho công ty PAMA 48 3.2.1. Yêu cầu của hệ thống 48 3.2.2. Giải pháp đề xuất cho hệ thống phát hiện xâm nhập 48 3.2.3. Mô hình hệ thống 49 3.2.4. Các công cụ sử dụng trong hệ thống Snort 51 3.3. Thử nghiệm một số kịch bản phát hiện xâm nhập 54 3.3.1. Mô hình thử nghiệm 54 3.3.2. Kịch bản 1 55 3.3.3. Kịch bản 2 56 3.4. Kết chương 59 KẾT LUẬN 60 TÀI LIỆU THAM KHẢO 61 iv DANH MỤC TỪ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt IDS Intrusion Detection System Hệ thống phát hiện xâm nhập NIDS Network Intrusion Detection System Hệ thống phát hiện xâm nhập cho mạng HIDS Host Intrusion Detection System Hệ thống phát hiện xâm nhập cho máy trạm SMTP Simple Network Management Protocol Giao thức quản lý mạng đơn giản DNS Domain Name System Hệ thống tên miền FPT File Transfer Protocol Giao thức truyền tải file IP Internet Protocol Giao thức mạng Internet TCP/IP Transmission Control Protocol/ Internet Protocol Bộ giao thức Internet TCP/IP ICMP Internet Control Message Protocol Giao thức thông điệp điều khiển Internet UDP User Datagram Protocol Giao thức gói dữ liệu người dùng MIB Management Information Base Thông tin quản lý cơ sở MIDAS Multics Intrusion Detection and Alerting System Hệ thống đa phát hiện xâm nhập và c ảnh báo IDES Intrusion Detection Expert System Hệ chuyên gia phát hiện xâm nhập AAFID Autonomous Agents For Intrusion Detection Tác nhân tự trị phát hiện xâm nhập NIDES Next-Generation Intrusion Detection Expert System Hệ chuyên gia phát hi ện xâm nhập thế hệ tiếp theo FDDI Fiber Distributed Data Interface Giao diện phân tán dữ liệu quang v HDLC High-Level Data Link Control Giao thức điều khiển liên kết dữ liệu SLIP Serial Line Internet Protocol Giao thức Internet qua đường moderm PPP Point to Point Protocol Giao thức điểm điểm PF Packet Filter Lọc gói tin RB Reserved Bit Bít dự phòng DF Don’t Fragment Bit Bit không bị phân mảnh MF More Fragments Bit Bít bị phân mảnh MTU Maximum Transmission Unit Đơn vị truyền tối đa TTL Time To Live Thời gian sống vi DANH SÁCH HÌNH VẼ Hình 1.1: Mô hình chức năng IDS 9 Hình 1.2: Các HIDS trong hệ thống mạng 12 Hình 1.3: Các NIDS trong hệ thống mạng 13 Hình 1.5: Các bước xử lý của Cisco IDS 14 Hình 2.1: Kiến trúc IDS 17 Hình 2.2: Một mô hình phát hiện lạm dụng điển hình 24 Hình 2.3:Mô hình phát hiện bất thường 27 Hình 3.1: Kiến trúc của Snort 33 Hình 3.2: Giải mã gói tin Ethernet 34 Hình 3.3: Cấu trúc luật của Snort 38 Hình 3.4: Header luật của Snort 38 Hình 3.5: Mô hình hệ thống phát hiện xâm nhập Snort công ty PAMA 49 Hình 3.6: Khởi động Snort làm việc với MySQL 53 Hình 3.7: Mô hình thử nghiệm 54 Hình 3.8: Cảnh báo ScanPort trên Base 55 Hình 3.9: Chi tiết các cảnh báo ScanPort 56 Hình 3.10: Mail gửi về cảnh báo ScanPort 56 Hình 3.11: Cảnh báo Alert từ Snort thông qua BASE 57 Hình 3.12: Cảnh báo có tấn công UDP FLOOD 57 Hình 3.13: Chi tiết cảnh báo UDP FLOOD 58 Hình 3.14: Các cảnh báo được gửi về email 58 Hình 3.15: Cảnh báo về UDP FLOOD được gửi về email 59 DANH SÁCH CÁC BẢNG Bảng 3.2: Các cờ sử dụng với từ khoá Flags 46 1 MỞ ĐẦU Hiện nay cùng với sự phát triển mạnh mẽ của mạng internet, đảm bảo an toàn thông tin đang trở thành một yêu cầu quan trọng, thiết yếu đối với lĩnh vực phát triển công nghệ thông tin cũng như trong mọi hoạt động kinh tế xã hội. Để đảm bảo an toàn cho thông tin, hệ thống và mạng, phát hiện đột nhập mạng là một trong các khâu quan trọng trong lớp các giải pháp. Khác với phát hiện đột nhập cho host, phát hiện đột nhập mạng thường sử dụng nguồn thông tin từ mạng, chẳng hạn chặn bắt các gói tin truyền qua nút mạng, như bộ định tuyến hoặc cầu nối. Do lưu lượng mạng thường lớn và tính phức tạp của các dạng tấn công, đột nhập nên các hệ thống phát hiện đột nhập mạng gặp nhiều thách thức. Đề tài luận văn "Nghiên cứu các kỹ thuật phát hiện đột nhập mạng và xây dựng mô hình ứng dụng dựa trên Snort" tập trung nghiên cứu về các các kỹ thuật phát hiện đột nhập mạng và xây dựng mô hình ứng dụng phát hiện đột nhập cho hệ thống mạng của công ty PAMA dựa trên hệ thống Snort. Snort là một hệ thống phát hiện và ngăn chặn đột nhập mạng mã mở được sử dụng rộng rãi. Do Snort được cung cấp theo dạng mã mở nên người sử dụng có thể tự do sửa đổi và cải tiến theo yêu cầu. Ngoài ra, Snort hoàn toàn miễn phí nên sẽ tiết kiệm được chi phí triển khai ban đầu. Luận văn gồm 3 chương chính với các nội dung sau: Chương 1 – Tổng quan về phát hiện đột nhập mạng giới thiệu khái quát tấn công đột nhập mạng, các phương pháp phát hiện tấn công đột nhập mạng và hệ thống phát hiện đột nhập mạng. Chương 2 – Kiến trúc hệ thống và kỹ thuật phát hiện đột nhập mạng trình bày kiến trúc hệ thống phát hiện đột nhập mạng, các kỹ thuật thu thập dữ liệu và các kỹ thuật phát hiện đột nhập mạng. Chương 3 – Xây dựng mô hình ứng dụng dựa trên Snort sẽ giới thiệu về hệ thống phát hiện xâm nhập mạng Snort, phân tích các yêu cầu xây dựng hệ thống từ đó đó xuất mô hình hệ thống phát hiện xâm nhập mạng dựa trên Snort cho công ty Pama. Luận văn cũng tiến hành cài mô hình phát hiện xâm nhập Snort và xây dựng thử nghiệm một số kịch bản phát hiện tấn công sử dụng Snort. 2 CHƯƠNG I: TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP MẠNG 1.1. Khái niệm tấn công đột nhập mạng Tấn công, đột nhập mạng là hành vi tấn công xâm nhập vào mạng để truy cập trái phép vào thông tin và hệ thống, hoặc lạm dụng các tài nguyên trên mạng. Việc lạm dụng có thể dẫn đến hậu quả có thể khiến cho tài nguyên mạng trở nên không đáng tin cậy hoặc không sử dụng được. Hầu hết các cuộc tấn công xâm nhập mạng máy tính vượt qua các lớp bảo mật của hệ thống theo những phương thức cụ thể nhằm phá vỡ các thuộc tính bảo mật của thông tin và hệ thống. Ví dụ một số cuộc tấn công nhằm đọc, đánh cắp các thông tin nhưng không thay đổi thành phần nào trong hệ thống; Một số cuộc tấn công lại tắt hoặc làm ngừng hoạt động thành phần nào đó trong hệ thống; Hoặc những cuộc tấn công khác lại có khả năng chiếm toàn quyền điều khiển hoặc phá huỷ hệ thống. Chung quy lại chúng thường gây nên tổn thương đến các thuộc tính bảo mật thông tin và hệ thống: tính bí mật, tính toàn vẹn và tính khả dụng. 1.2. Các dạng tấn công 1.2.1. Tấn công bằng mã độc Tấn công bằng mã độc có thể gồm một số định dạng như lợi dụng các lỗ hổng về lập trình, lỗ hổng cấu hình hệ thống để chèn và thực hiện mã độc trên hệ thống nạn nhân hoặc lừa người sử dụng tải, cài đặt và thực hiện các phần mềm độc hạị như các phần mềm Spyware, Virus hoặc Trojan. Mã độc là tập mã thực thi tự chủ không đòi hỏi sự can thiệp của Hacker. Khi được thực hiện, mã độc có thể giúp tin tặc đánh cắp các thông tin nhạy cảm, truy nhập trái phép vào các tài nguyên hệ thống, hoặc làm hệ thống hỏng hóc hoặc ngừng hoạt động. 1.2.2. Tấn công vào mật khẩu Các hacker tấn công vào mật khẩu (password) bằng một số phương pháp như: tấn công brute-force, sử dụng chương trình Trojan Horse, IP spoofing, và packet sniffer. Tấn công brute-force có thể được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server băng phương pháp “thử và sai” password. [...]... xâm nhập như thế nào, và các hệ thống phát hiện xâm nhập sử 16 dụng các kỹ thuật nào để phát hiện và cảnh báo xâm nhập Để trả lời câu hỏi này này, Chương 2 đi sâu nghiên cứu kiến trúc và các thành phần hệ thống phát hiện xâm nhập mạng và các kỹ thuật thu thập ,tiền xử lý dữ liệu và các kỹ thuật phát hiện tấn công xâm nhập mạng 17 CHƯƠNG 2: KIẾN TRÚC HỆ THỐNG VÀ CÁC KỸ THUẬT PHÁT HIỆN ĐỘT NHẬP MẠNG... phát hiện các cuộc tấn công tàng hình, là một kiểu tấn công mà các hành vi tấn công ẩn trong số lượng lớn các hành vi bình thường Phương pháp phát hiện dựa trên sự bất thường được chia thành các kỹ thuật chính như sau: kỹ thuật mô hình thống kê mở rộng, kỹ thuật dựa trên mô hình luật, kỹ thuật dựa trên mô hình sinh học và kỹ thuật dựa trên mô hình học 2.4.2.1 Kỹ thuật phát hiện dựa trên mô hình thống... trên ứng dụng Các hệ thống phát hiện xâm nhập dựa trên ứng dụng kiểm tra và phân tích các file log của một ứng dụng cụ thể để phát hiện các cuộc tấn công nhằm vào ứng dụng đó Một ví dụ điển hình của phát hiện xâm nhập dựa trên ứng dụng là hệ thống đề xuất bởi Kruegel, trong đó họ sử dụng các bản ghi web logs là nguồn dữ liệu và chỉ tập trung vào các cuộc tấn công dựa trên web vào các máy chủ web Việc phát. .. 1.3 Các phương pháp phát hiện tấn công đột nhập mạng Phát hiện tấn công, đột nhập là quá trình giám sát và phân tích các sự kiện xảy ra trên mạng hoặc hệ thống để tìm các dấu hiệu của các tấn công, đột nhập Dựa trên kỹ thuật phát hiện, có thể chia các phương pháp phát hiện tấn công, đột nhập thành các loại: phát hiện dựa trên các dấu hiệu hoặc chữ ký (Signature-based Intrusion Detection [2]), phát hiện. .. chuyên gia phát hiện xâm nhập thế hệ tiếp theo NIDES 26 2.4.1.3 Kỹ thuật dựa trên trạng thái Kỹ thuật dựa trên trạng thái phát [1] hiện xâm nhập bằng cách sử dụng các trạng thái và sử chuyển đổi giữa các trạng thái trong không gian trạng thái Mô hình trạng thái giúp đơn giản hóa các đặc điểm kỹ thuật của mô hình phát hiện và có thể được sử dụng để mô tả các tình huống tấn công dễ dàng hơn dựa trên các nguyên... trong mạng Nơron sử dụng định dạng dữ liệu số, trong khi trong cây quyết định thường sử dụng dạng dữ liệu kết hợp của số và các biểu tượng Quá trình chuyển đổi dữ liệu phải đảm bảo không bị mất thông tin 2.4 Các kỹ thuật phát hiện đột nhập mạng 2.4.1 Các kỹ thuật dựa trên phương pháp phát hiện sự lạm dụng Những nghiên cứu về phát hiện xâm nhập dựa trên phương pháp phát hiện sự lạm dụng bắt đầu vào năm... tưởng của mô hình phát hiện của Denning được cài đặt trong hệ thống phát hiện xâm nhập Haystack và NIDES 2.4.2.2 Kỹ thuật phát hiện dựa trên tập luật Các mô hình phát hiện điển hình sử dụng kỹ thuật phát hiện bất thường dựa trên tập luật là Wisdom & Sense [1] và NSM (Network System Monitor) [1] Wisdom & Sensor gồm hai thành phần: kho tri thức và bộ cảm biến Kho tri thức là tập hợp các luật mô tả hành... tập luật, kỹ thuật dựa trên trạng thái, và kỹ thuật dựa trên khai phá dữ liệu 2.4.1.1 Kỹ thuật đối sánh mẫu (Pattern Matching) Trong phương pháp phát hiện xâm nhập mạng dựa trên đối sánh mẫu [1], các mẫu tấn công và đột nhập được mô hình hoá, sau đó chúng được đối sánh các thông tin trên tiêu đề gói tin và nội dung gói tin để xác định tấn công, đột nhập Phương pháp này cũng có thể được sử dụng trong... thực hiện thủ công tốn nhiều thời gian và công sức 27 2.4.2 Các kỹ thuật dựa trên phương pháp phát hiện sự bất thường Khác với phát hiện dựa trên sự lạm dụng, phương pháp phát hiện dựa trên sự bất thường [1] là dựa vào việc thiết lập hồ sơ hoạt động bình thường cho hệ thống Phương pháp này dựa trên giả định các hành vi tấn công, xâm nhập có quan hệ mật thiết với các hành vi bất thường Các nghiên cứu phát. .. kiếm, đối sánh các dấu hiệu, chữ ký đột nhập, hoặc hồ sơ các hành vi bình thường trên các gói cần kiểm tra 18 • Đối với mô hình phát hiện đột nhập dựa trên dấu hiệu: so sánh hành vi hiện tại thu được với tập CSDL các dấu hiệu, nếu có sự trùng hợp thì chứng tỏ hành vi hiện tại là một vụ đột nhập • Đối với mô hình phát hiện đột nhập dựa trên bất thường: so sánh hành vi hiện tại thu được với tập huấn luyện, . dữ liệu 18 2. 2.1. Giới thiệu chung về thu thập dữ liệu 18 2. 2 .2. Thu thập dữ liệu cho HIDS 18 2. 2.3. Thu thập dữ liệu cho NIDS 20 2. 2.4. Thu thập dữ liệu dựa trên ứng dụng 22 2. 2.5. Thu thập. dụng 22 2. 2.6. Thu thập dữ liệu lai 23 2. 3. Tiền xử lý dữ liệu 23 2. 4. Các kỹ thuật phát hiện đột nhập mạng 24 2. 4.1. Các kỹ thuật dựa trên phương pháp phát hiện sự lạm dụng 24 2. 4 .2. Các. NHẬP MẠNG 2 1.1. Khái niệm tấn công đột nhập mạng 2 1 .2. Các dạng tấn công 2 1 .2. 1. Tấn công bằng mã độc 2 1 .2. 2. Tấn công vào mật khẩu 2 1 .2. 3. Tấn công từ chối dịch vụ 3 1 .2. 4. Tấn công