Đang tải... (xem toàn văn)
NGHIÊN CỨU VÀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ───────────*─────────── ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGÀNH CÔNG NGHỆ THÔNG TIN TÊN ĐỀ TÀI: NGHIÊN CỨU VÀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính – K50 Giảng viên hướng dẫn: GV. Lương Ánh Hoàng Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng HÀ NỘI 6-2010 MỤC LỤC PHIẾU GIAO NHIỆM VỤ ĐỒ ÁN TỐT NGHIỆP 1. Thông tin về sinh viên Họ và tên sinh viên: Hoàng Thanh Tùng Điện thoại liên lạc: 0975672044 Email: hoangtungcntt@gmail.com Lớp: Truyền thông mạng – K50 Hệ đào tạo: Chính quy Đồ án tốt nghiệp được thực hiện tại: Thời gian làm đồ án: Từ 01/02/2010 đến 02/06/2010 2. Mục đích nội dung của ĐATN Với mục tiêu xây dựng được một giải pháp an toàn mạng cho các nhà quản trị mạng, đồ án tập trung vào nghiên cứu và triển khai hệ thống phát hiện các xâm nhập vào mạng, từ đó đảm bảo cho hệ thống mạng hoạt động liên tục và an toàn. 3. Các nhiệm vụ cụ thể của ĐATN - Nghiên cứu, tìm hiểu về hệ thống phát hiện xâm nhập mạng – IDS. - Triển khai hệ thống phát hiện xâm nhập mạng với Snort. - Phát hiện một số xâm nhập phổ biến hiện nay. 4. Lời cam đoan của sinh viên: Tôi – Hoàng Thanh Tùng – cam kết ĐATN là công trình nghiên cứu của bản thân tôi dưới sự hướng dẫn của GV Lương Ánh Hoàng. Các kết quả trong ĐATN là trung thực, không phải sao chép toàn văn của bất kỳ công trình nào khác. Hà Nội, ngày 25 tháng 5 năm 2010 Tác giả ĐATN Hoàng Thanh Tùng 5. Xác nhận của giảng viên hướng dẫn về mức độ hoàn thành của ĐATN và cho phép bảo vệ: Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 2 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng Hà Nội, ngày tháng 6 năm 2010 Giảng viên hướng dẫn GV Lương Ánh Hoàng TÓM TẮT NỘI DUNG ĐỒ ÁN TỐT NGHIỆP Phát hiện xâm nhập mạng là một công nghệ nhằm kiểm soát các quá trình, lưu lượng mạng vào ra trên một mạng máy tính. Khả năng áp dụng của hệ thống phát hiện xâm nhập mạng là rất lớn trong một môi trường internet nhiều rủi ro như hiện nay. Chính vì thế đồ án được thực hiện với mục đích tìm hiểu và triển khai một hệ thống phát hiện xâm nhập mạng để bảo vệ an toàn cho một mạng máy tính với những nội dung chính như sau: Chương I: Tổng quan về hệ thống phát hiện xâm nhập mạng • Nghiên cứu, tìm hiểu các khái niệm, chức năng, kiến trúc, phương thức hoạt động…của IDS. • Xác định vai trò của IDS trong hệ thống mạng • Các cách vượt qua IDS. • Tương lai, hướng phát triển của IDS Chương II: Triển khai hệ thống phát hiện xâm nhập mạng • Tìm hiểu tổng quan về Snort – một hệ thống phát hiện xâm nhập được đánh giá cao. • Cài đặt Snort trên nền hệ điều hành Windows XP • Nghiên cứu tập luật của Snort • Xây dựng tập luật để phát hiện một số xâm nhập phổ biến • Phát triển Snort phát hiện port scan và phát hiện Directory Traversal của Snort. Chương III: Kết luận • Những kết quả đạt được và hạn chế của đồ án. • Hướng phát triển của đồ án trong tương lai. Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 3 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng LỜI CẢM ƠN Để hoàn thành đồ án này, em xin cảm ơn thầy giáo, KS Lương Ánh Hoàng, giảng viên bộ môn Kỹ thuật máy tính - Viện Công nghệ thông tin và truyền thông – trường Đại học Bách Khoa Hà Nội đã tận tình chỉ dẫn, tạo điều kiện cho em trong quá trình xây dựng đồ án. Em xin chân thành cảm ơn các thầy, cô phụ trách giảng dạy đã tận tâm dạy dỗ em trong suốt những năm học vừa qua. Cuối cùng, xin chân thành cảm ơn các giảng viên của Công ty Cổ phần CNTT iPMAC đã giúp đỡ tôi về mặt tài liệu cũng như kinh nghiệm khi nghiên cứu về IDS trong thời gian tôi làm đồ án. Cảm ơn các bạn trong lớp đã trao đổi kinh nghiệm, kiến thức, giúp đồ án hoàn thành được như ý. Hà Nội, ngày 25 tháng 5 năm 2010 Người thực hiện Hoàng Thanh Tùng Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 4 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng DANH MỤC HÌNH ẢNH Hình 1.1: Vị trí của IDS trong mạng 13 Hình 1.2: Quá trình của IDS 14 Hình 1.3: Cơ sở hạ tầng IDS 15 Hình 1.4: Một IDS mẫu 15 Hình 1.5: Các thành phần của IDS 16 Hình 1.6: Các tác nhân tự trị cho việc phát hiện xâm nhập 17 Hình 1.7: Mô hình NIDS 19 Hình 1.8: Mô hình HIDS 20 Hình 2.1: Cơ chế hoạt động của IDS 27 Hình 2.2: Xác định số hiệu card mạng 39 Hình 2.3: Kiểm tra cài đặt Snort 40 Hình 2.4: Kiểm tra cài đặt Apache 42 Hình 2.5: Giao diện web BASE 48 Hình 2.6: Xác định số hiệu card mạng 51 Hình 2.7: Các options của lệnh snort 52 Hình 2.8: Snort ở chế độ sniff packet 53 Hình 2.9: Snort bắt các gói tin ICMP 54 Hình 2.10: Bảng tổng kết của packet sniffing 55 Hình 2.11: Câu lệnh snort ở NIDS mode 56 Hình 2.12 a: Ping www.yahoo.com 56 Hình 2.12 b: Snort hiển thị các xâm nhập 56 Hình 2.12 c: Kết quả ping www.yahoo.com 57 Hình 2.13: Phân mức tấn công 59 Hình 2.14: Snort phát hiện port scan 66 Hình 2.15 a: Thử nghiệm tấn công Directory Traversal 67 Hình 2.15 b: Thử nghiệm tấn công Directory Traversal 67 Hình 2.16: Snort phát hiện Directory Traversal 69 Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 5 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng DANH MỤC THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT AAFID Autonomous Agent for Intrusion Detection System BASE Basic Analysis and Security Engine CGI Common Gateway Interface DoS Daniel of Services DDoS Distributed Daniel of Services DIDS Distributed Intrusion Detection System DMZ Demilitarized Zone DNS Domain Name Services FTP File Transfer Protocol HIDS Host – base Intrusion Detection System HTTP Hypertext Markup Language ICMP Internet Control Message Protocol IDS Intrusion Detection System IETF Internet Engineering Task Force IP Internet Protocol IPS Intrusion Prevention System IPSEC Internet Protocol Security MAC Media Access Controllers MTU Maximum Transmission Unit NIDS Networks Intrusion Detection System OS Operating System SMB Server Message Block SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SSH Secure Shell SSL Secure Sockets Layer TCP Transmission Control Protocol UDP User Datagram Protocol URI Uniform Resource Identifier VPN Virtual Private Network XML eXtensible Markup Language Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 6 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng LỜI NÓI ĐẦU Sự phát triển chóng mặt của Công nghệ thông tin nói chung và ngành Mạng máy tính nói riêng đã đem lại những thay đổi to lớn cho mọi lĩnh vực của đời sống con người. Ngày nay, trong nền kinh tế tri thức, không có một hoạt động nào có thể tách rời khỏi hạ tầng mạng máy tính. Chính vì vậy, việc áp dụng Công nghệ thông tin đã trở thành một yêu cầu không thể thiếu cho tất cả các tổ chức, doanh nghiệp. Với tầm quan trọng như thế, việc sở hữu một hệ thống mạng doanh nghiệp ổn định, hoạt động liên tục, đảm bảo an toàn…để luôn sẵn sàng cho mọi hoạt động trở nên cấp thiết hơn bao giờ hết. Tuy nhiên, với tầm quan trọng như vậy, hệ thống mạng cũng phải đối diện với rất nhiều nguy cơ. Mỗi sự riêng tư, mỗi tài liệu quan trọng, đều cần được bảo đảm một cách an toàn. Trong khi đó, các xâm nhập, tấn công từ phía bên ngoài luôn luôn có thể xảy ra và với mức độ ngày càng nguy hiểm, phức tạp hơn. Do đó, chúng ta cần có một hệ thống phát hiện ra những sự "viếng thăm" không cần thiết đó. Ở đây, tôi không đề cập đến việc tạo ra hay phát triển một hệ thống phát hiện xâm nhập mà chỉ đề cập đến vấn đề tìm hiểu và triển khai một hệ thống như vậy. Nhiệm vụ của đồ án Với mục tiêu xây dựng được một giải pháp an toàn mạng cho các nhà quản trị mạng, đồ án tập trung vào nghiên cứu và triển khai hệ thống phát hiện các xâm nhập vào mạng, từ đó đảm bảo cho hệ thống mạng hoạt động liên tục và an toàn. Bố cục của đồ án Đồ án được chia làm 3 chương: + Chương I: Tổng quan về hệ thống phát hiện xâm nhập mạng + Chương II: Triển khai hệ thống phát hiện xâm nhập mạng + Chương III: Kết luận Hà Nội, ngày 25 tháng 5 năm 2010 Tác giả: Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 7 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng Hoàng Thanh Tùng CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP I. Định nghĩa và chức năng của IDS 1. Định nghĩa Xâm nhập là một thuật ngữ dùng để chỉ các hành động đột nhập hoặc làm ảnh hưởng tới hệ thống của bạn. Phát hiện xâm nhập là một tập hợp các kỹ thuật và phương pháp được sử dụng để phát hiện các hành vi đáng ngờ ở cả trên mạng cũng như ở mức độ host. Hệ thống phát hiện xâm nhập (Intrusion detection system) là một hệ thống giám sát các lưu thông trên mạng và các dấu hiệu khả nghi, từ đó thông báo cho người quản trị mạng. Trong một vài trường hợp, IDS có thể hoạt động một cách tích cực khi block user hoặc chặn IP của nguồn tin mà nó nghi ngờ. Đây không phải là một dịch vụ bảo mật hệ thống, nó chỉ là một công cụ để giúp chúng ta giám sát mạng. IDS cung cấp thêm cho việc bảo vệ an toàn thông tin mạng một mức độ cao hơn. Nó được đánh giá giá trị không giống như firewall và VPN (Virtual Private Network) là ngăn ngừa các cuộc tấn công mà IDS cung cấp sự bảo vệ bằng cách trang bị cho bạn thông tin về cuộc tấn công. Bởi vậy, 1 IDS có thể thoả mãn nhu cầu về an toàn hệ thống của bạn bằng cách cảnh báo cho bạn về khả năng các cuộc tấn công (và thỉnh thoảng thì ngoài những thông báo chính xác thì chúng cũng đưa ra một số cảnh báo chưa đúng. Nhìn chung, IDS không tự động cấm các cuộc tấn công hoặc là ngăn chặn những kẻ khai thác 1 cách thành công, tuy nhiên, một sự phát triển mới nhất của IDS đó là hệ thống ngăn chặn xâm nhập ( IPS - The intrusion prevention systems) đã có để thực hiện nhiều vai trò hơn và có thể ngăn chặn các cuộc tấn công khi nó xảy ra. Định nghĩa 1 IDS khó hơn là chúng ta tưởng. Đầu tiên, IDS được nhìn nhận như là một cái chuông báo trộm mà có thể thông báo cho bạn biết khi nào thì bạn bị tấn công. Tuy nhiên, những hệ thống IDS hiện đại thì phức tạp hơn nhiều và quan điểm này được cho là chưa đầy đủ. Hệ thống IDS hiện đại trông giống như những Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 8 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng chiếc camera chống trộm hơn là 1 cái chuông, những người có trách nhiệm có thể quan sát chúng và đáp trả cho những xâm nhập. Thực tế thì dường như IDS chỉ thông báo cho chúng ta những biết rằng mạng đang bị nguy hiểm. Theo tôi, giá trị chính mà một hệ thống IDS mang lại đó là nó biết được chuyện gì sẽ xảy ra. Một hệ thống IDS có thể giúp chúng ta ngăn ngừa các sự kiện khi nó chưa xảy ra, cung cấp các giải pháp cho mạng và host. Tuy nhiên, chức năng chính của nó là thông báo cho bạn biết về các sự kiện có liên quan đến an ninh hệ thống đang sắp sửa xảy ra bên trong mạng và hệ thống mà bạn đang kiểm soát. 2. Phân biệt những hệ thống không phải là IDS Trái ngược với những thuật ngữ được sử dụng trong các bài giảng về hệ thống phát hiện xâm nhập, không phải mọi thứ đều được qui vào mục này. Theo một cách riêng biệt nào đó, các thiết bị bảo mật dưới đây không phải là IDS: • Hệ thống đăng nhập mạng được sử dụng để phát hiện lỗ hổng đối với vấn đề tấn công từ chối dịch vụ (DoS) trên một mạng nào đó. Ở đó sẽ có hệ thống kiểm tra lưu lượng mạng. • Các công cụ đánh giá lỗ hổng kiểm tra lỗi và lỗ hổng trong hệ điều hành, dịch vụ mạng (các bộ quét bảo mật). • Các sản phẩm chống virus được thiết kế để phát hiện các phần mềm mã nguy hiểm như virus, trojan horse, worm, Mặc dù những tính năng mặc định có thể giống IDS và thường cung cấp một công cụ phát hiện lỗ hổng bảo mật hiệu quả. • Tường lửa – firewall • Các hệ thống bảo mật, mật mã như: SSL, Kerberos, VPN, 3. Chức năng của IDS Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác IDS có được chấp nhận là một thành phần thêm vào cho mọi hệ thống an toàn hay không vẫn là một câu hỏi của nhiều nhà quản trị hệ thống. Có nhiều tài liệu giới thiệu những chức năng mà IDS đã làm được nhưng có thể đưa ra vài lý do tại sao nên sử dụng IDS: • Bảo vệ tính toàn vẹn (integrity) của dữ liệu, đảm bảo sự nhất quán của dữ liệu trong hệ thống. Các biện pháp đưa ra ngăn chặn được việc thay đổi bất hợp pháp hoặc phá hoại dữ liệu. • Bảo vệ tính bí mật, giữ cho thông tin không bị lộ ra ngoài. Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 9 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng • Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu truy nhập thông tin của người dùng hợp pháp. • Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài nguyên hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn chặn được sự truy cập thông tin bất hợp pháp. • Cung cấp thông tin về sự xâm nhập, đưa ra những chính sách đối phó, khôi phục, sửa chữa. Nói tóm lại, ta có thể nói IDS có 3 chức năng chính là: • Giám sát: Giám sát lưu lượng mạng và các hoạt động khả nghi • Cảnh báo: Báo cáo tình trạng mạng cho hệ thống và nhà quản trị. • Bảo vệ: Dùng những thiết lập mặc định và những cấu hình từ phía nhà quản trị để có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại. Ngoài ra, hệ thống phát hiện xâm nhập còn có chức năng: • Ngăn chặn sự gia tăng của các tấn công • Bổ sung những điểm yếu mà các hệ thống khác chưa làm được. • Đánh giá chất lượng của việc thiết kế hệ thống. Khi IDS chạy một thời gian, nó sẽ đưa ra những điểm yếu của hệ thống. Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng mạng cũng như cách bố trí phòng thủ của các nhà quản trị mạng. 4. Một vài khái niệm liên quan Signature Là những dấu hiệu. Signature là phần mà ta có thể thấy được trọng một gói dữ liệu. Nó được sử dụng để phát hiện ra một hay nhiều kiểu tấn công. Signature có thể có ở các phần khác nhau của gói dữ liệu. Ví dụ ta có thể tìm thấy tín hiệu trong header IP, header của tầng giao vận, hoặc header của tầng ứng dụng. Thông thường, IDS đưa ra quyết định dựa trên những dấu hiệu tìm thấy ở hành động xâm nhập. Các nhà cung cấp IDS cũng thường xuyên cập nhật các dấu hiệu mới để đảm bảo tính tối ưu của hệ thống. Tôi sẽ tiếp tục trình bày về Signature trong phần sau. Logfile. Chúng ta có thể hình dung logfile là những bản nhật ký lưu lại quá trình hoạt động của hệ thống. Thông thường, những thông tin mà IDS thu được sẽ được lưu trong logfile. Chúng có thể lưu dưới dạng file text hoặc dạng nhị phân. Với máy tính cá nhân, việc đọc logfile dường như không quan trọng nhưng để cho một hệ thống (client - server) hoạt động bình thường, ổn định thì một việc rất quan trọng là thường xuyên đọc logfile hệ thống. Việc đọc logfile giúp cho người quản trị có thể lưu bug/exploit, lưu lại lịch sử quá trình dùng máy - cài đặt phần mềm, theo dõi tình trạng hệ thống Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 10 [...]... nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 13 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng 2 Kiến trúc của hệ thống phát hiện xâm nhập Hình 1.4: Một IDS mẫu Kiến trúc của IDS bao gồm 3 thành phần chính: Thành phần thu thập gói tin (information collection), thành phần phân tích gói tin và phát hiện xâm nhập. .. cho việc phát hiện xâm nhập và phạm vi hoạt động, ta có thể chia các hệ thống phát hiện xâm nhập thành 2 dạng là: Hệ thống phát hiện xâm nhập hoạt động trên toàn mạng (NIDS – Network Intrusion Detection System) và hệ thống phát hiện xâm nhập hoạt động trên các Host ( HIDS – Host Intrusion Detection System) 1 Network intrusion detection system (NIDS) NIDS thường được đặt trong các hệ thống mạng để giám... bảo mật hệ thống II Kiến trúc hệ thống IDS 1 Các nhiệm vụ thực hiện Nhiệm vụ chính của hệ thống phát hiện xâm nhập là bảo vệ cho một hệ thống máy tính bằng cách phát hiện các dấu hiệu tấn công Việc phát hiện các tấn công phụ thuộc vào số lượng và kiểu hành động thích hợp Toàn bộ hệ thống cần phải được kiểm tra một cách liên tục Thông tin được các hệ thống phát hiện xâm nhập được kiểm tra một cách cẩn... trọng cho mỗi IDS) để phát hiện ra các dấu hiệu tấn công Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 12 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng Hình 1.2: Quá trình của IDS Hình 1.3: Cơ sở hạ tầng IDS Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đến quản trị viên hệ thống về sự việc này Bước tiếp theo được thực hiện bởi các quản trị... hoặc có thể làm cho hệ thống nhầm lẫn giữa những công việc kiểm tra tính toàn vẹn Đồng thời một số chương trình tấn công vào nhân cũng có thể bị IDS bỏ qua vì chúng có thể tự làm đúng đối với hệ thống và lừa IDS thành công Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 22 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng VII Tương lai của IDS 1 Hệ thống IDS nhúng - Embedded... Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 20 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng có thể cập nhật hồ sơ của mình, nhưng khi phát hiện ra tín hiệu tấn công, thì chế độ tự học phải ngừng lại cho tới khi cuộc tấn công kết thúc + Phát hiện sự không bình thường của giao thức: Kỹ thuật này căn cứ vào hoạt động của giao thức, các dịch vụ của hệ thống để tìm... nhân tự trị cho việc phát hiện xâm phạm) – Xem Hình 1.6 Nó sử dụng các tác nhân để kiểm tra một khía cạnh nào đó về các hành vi hệ thống ở một thời điểm nào đó Ví dụ: Một tác nhân có thể Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 15 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng cho biết một số không bình thường các telnet session bên trong hệ thống nó kiểm tra... liên quan một chút nào đó đến các gói mạng Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 14 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng Hình 1.5: Các thành phần của IDS Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ Bộ... NFR HID, Intruder Alert Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 18 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng Hình 1.8: Mô hình HIDS 3 Hybrid IDS Sự khác nhau chủ yếu giữa NIDS và HIDS đó là dữ liệu mà nó tìm kiếm NIDS nhìn vào toàn cảnh các chuyển dịch trên mạng, trong khi host IDS thì quan sát các host, hệ điều hành và các ứng dụng Vậy những thuận tiện... đường truyền, những mạng ảo và những sự rắc rối khác Thêm vào đó là sự mã hoá, phân tích dữ liệu cũng làm cho quá trình hoạt động của IDS bị cản trở Bởi vậy, như trên đã nói, IDS hiện nay và trong tương lai thường được giám sát dựa trên một host cố định Sinh viên thực hiện: Hoàng Thanh Tùng Lớp: Truyền thông và mạng máy tính 23 Nghiên cứu và triển khai hệ thống phát hiện xâm nhập mạng 4 Hiển thị dữ