Xem mẫu
CHƯƠNG 3
PHÁT HIỆN XÂM NHẬP
NỘI DUNG
1. Các kỹ thuật phát hiện xâm nhập, dấu hiệu tấn công và chữ ký
2. Phát hiện xâm nhập dựa trên danh tiếng
3. Phát hiện xâm nhập dựa trên chữ ký với Snort và Suricata
4. Phát hiện xâm nhập dựa trên bất thường với dữ liệu thống kê
1. CÁC KỸ THUẬT PHÁT HIỆN
XÂM NHẬP, DẤU HIỆU TẤN
CÔNG VÀ CHỮ KÝ
Kỹ thuật phát hiện xâm nhập
Dấu hiệu xâm nhập và chữ ký
Quản lý dấu hiệu tấn công và chữ ký
Các khung làm việc cho dấu hiệu tấn công và chữ ký
KỸ THUẬT PHÁT HIỆN XÂM
NHẬP
Phát hiện xâm nhập: là một chức năng của phần mềm
thực hiện phân tích các dữ liệu thu thập được để tạo ra dữ
liệu cảnh báo
Cơ chế phát hiện xâm nhập gồm hai loại chính là:
Dựa trên chữ ký
Dựa trên bất thường
KỸ THUẬT PHÁT HIỆN XÂM
NHẬP
Cơ chế phát hiện dựa trên chữ ký
Là hình thức lâu đời nhất của phát hiện xâm nhập
Bằng cách duyệt qua dữ liệu để tìm các ra các kết quả khớp với
các mẫu đã biết
Ví dụ: một địa chỉ IP hoặc một chuỗi văn bản, hoặc số lượng byte null (byte
rỗng) xuất hiện sau một chuỗi xác định khi sử dụng một giao thức nào đó
Các mẫu được chia thành các mẩu nhỏ độc lập với nền tảng hoạt
động
là dấu hiệu của tấn công
Mẫu được mô tả bằng ngôn ngữ cụ thể trong nền tảng của một cơ
chế phát hiện xâm nhập, chúng trở thành chữ ký
Có hai cơ chế phát hiện dựa trên chữ ký phổ biến là Snort và
Suricata
nguon tai.lieu . vn
PHÁT HIỆN XÂM NHẬP
NỘI DUNG
1. Các kỹ thuật phát hiện xâm nhập, dấu hiệu tấn công và chữ ký
2. Phát hiện xâm nhập dựa trên danh tiếng
3. Phát hiện xâm nhập dựa trên chữ ký với Snort và Suricata
4. Phát hiện xâm nhập dựa trên bất thường với dữ liệu thống kê
1. CÁC KỸ THUẬT PHÁT HIỆN
XÂM NHẬP, DẤU HIỆU TẤN
CÔNG VÀ CHỮ KÝ
Kỹ thuật phát hiện xâm nhập
Dấu hiệu xâm nhập và chữ ký
Quản lý dấu hiệu tấn công và chữ ký
Các khung làm việc cho dấu hiệu tấn công và chữ ký
KỸ THUẬT PHÁT HIỆN XÂM
NHẬP
Phát hiện xâm nhập: là một chức năng của phần mềm
thực hiện phân tích các dữ liệu thu thập được để tạo ra dữ
liệu cảnh báo
Cơ chế phát hiện xâm nhập gồm hai loại chính là:
Dựa trên chữ ký
Dựa trên bất thường
KỸ THUẬT PHÁT HIỆN XÂM
NHẬP
Cơ chế phát hiện dựa trên chữ ký
Là hình thức lâu đời nhất của phát hiện xâm nhập
Bằng cách duyệt qua dữ liệu để tìm các ra các kết quả khớp với
các mẫu đã biết
Ví dụ: một địa chỉ IP hoặc một chuỗi văn bản, hoặc số lượng byte null (byte
rỗng) xuất hiện sau một chuỗi xác định khi sử dụng một giao thức nào đó
Các mẫu được chia thành các mẩu nhỏ độc lập với nền tảng hoạt
động
là dấu hiệu của tấn công
Mẫu được mô tả bằng ngôn ngữ cụ thể trong nền tảng của một cơ
chế phát hiện xâm nhập, chúng trở thành chữ ký
Có hai cơ chế phát hiện dựa trên chữ ký phổ biến là Snort và
Suricata