Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Chương 3 - Nguyễn Ngọc Điệp

CHƯƠNG 3<br /> PHÁT HIỆN XÂM NHẬP<br /> <br /> NỘI DUNG<br /> 1. Các kỹ thuật phát hiện xâm nhập, dấu hiệu tấn công và chữ ký<br /> 2. Phát hiện xâm nhập dựa trên danh tiếng<br /> 3. Phát hiện xâm nhập dựa trên chữ ký với Snort và Suricata<br /> 4. Phát hiện xâm nhập dựa trên bất thường với dữ liệu thống kê<br /> <br /> 1. CÁC KỸ THUẬT PHÁT HIỆN<br /> XÂM NHẬP, DẤU HIỆU TẤN<br /> CÔNG VÀ CHỮ KÝ<br /> Kỹ thuật phát hiện xâm nhập<br /> Dấu hiệu xâm nhập và chữ ký<br /> Quản lý dấu hiệu tấn công và chữ ký<br /> Các khung làm việc cho dấu hiệu tấn công và chữ ký<br /> <br /> KỸ THUẬT PHÁT HIỆN XÂM<br /> NHẬP<br /> Phát hiện xâm nhập: là một chức năng của phần mềm<br /> thực hiện phân tích các dữ liệu thu thập được để tạo ra dữ<br /> liệu cảnh báo<br /> Cơ chế phát hiện xâm nhập gồm hai loại chính là:<br /> Dựa trên chữ ký<br /> Dựa trên bất thường<br /> <br /> KỸ THUẬT PHÁT HIỆN XÂM<br /> NHẬP<br /> Cơ chế phát hiện dựa trên chữ ký<br /> Là hình thức lâu đời nhất của phát hiện xâm nhập<br /> Bằng cách duyệt qua dữ liệu để tìm các ra các kết quả khớp với<br /> các mẫu đã biết<br /> Ví dụ: một địa chỉ IP hoặc một chuỗi văn bản, hoặc số lượng byte null (byte<br /> rỗng) xuất hiện sau một chuỗi xác định khi sử dụng một giao thức nào đó<br /> <br /> Các mẫu được chia thành các mẩu nhỏ độc lập với nền tảng hoạt<br /> động<br /> là dấu hiệu của tấn công<br /> Mẫu được mô tả bằng ngôn ngữ cụ thể trong nền tảng của một cơ<br /> chế phát hiện xâm nhập, chúng trở thành chữ ký<br /> Có hai cơ chế phát hiện dựa trên chữ ký phổ biến là Snort và<br /> Suricata<br /> <br />