Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Chương 3 - Nguyễn Ngọc Điệp

Bài giảng "Kỹ thuật theo dõi, giám sát an toàn mạng - Chương 3: Phát hiện xâm nhập" cung cấp cho người học các kiến thức: Các kỹ thuật phát hiện xâm nhập, dấu hiệu tấn công và chữ ký; phát hiện xâm nhập dựa trên danh tiếng; phát hiện xâm nhập dựa trên chữ ký với Snort và Suricata; phát hiện xâm nhập dựa trên bất thường với dữ liệu thống kê,... Mời các bạn cùng tham khảo.
Nội dung trích xuất từ tài liệu:
Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Chương 3 - Nguyễn Ngọc Điệp CHƯƠNG 3 PHÁT HIỆN XÂM NHẬP NỘI DUNG 1. Các kỹ thuật phát hiện xâm nhập, dấu hiệu tấn công và chữ ký 2. Phát hiện xâm nhập dựa trên danh tiếng 3. Phát hiện xâm nhập dựa trên chữ ký với Snort và Suricata 4. Phát hiện xâm nhập dựa trên bất thường với dữ liệu thống kê 1. CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP, DẤU HIỆU TẤN CÔNG VÀ CHỮ KÝ Kỹ thuật phát hiện xâm nhập Dấu hiệu xâm nhập và chữ ký Quản lý dấu hiệu tấn công và chữ ký Các khung làm việc cho dấu hiệu tấn công và chữ ký KỸ THUẬT PHÁT HIỆN XÂM NHẬP Phát hiện xâm nhập: là một chức năng của phần mềm thực hiện phân tích các dữ liệu thu thập được để tạo ra dữ liệu cảnh báo Cơ chế phát hiện xâm nhập gồm hai loại chính là: Dựa trên chữ ký Dựa trên bất thường KỸ THUẬT PHÁT HIỆN XÂM NHẬP Cơ chế phát hiện dựa trên chữ ký Là hình thức lâu đời nhất của phát hiện xâm nhập Bằng cách duyệt qua dữ liệu để tìm các ra các kết quả khớp với các mẫu đã biết Ví dụ: một địa chỉ IP hoặc một chuỗi văn bản, hoặc số lượng byte null (byte rỗng) xuất hiện sau một chuỗi xác định khi sử dụng một giao thức nào đó Các mẫu được chia thành các mẩu nhỏ độc lập với nền tảng hoạt động là dấu hiệu của tấn công Mẫu được mô tả bằng ngôn ngữ cụ thể trong nền tảng của một cơ chế phát hiện xâm nhập, chúng trở thành chữ ký Có hai cơ chế phát hiện dựa trên chữ ký phổ biến là Snort và Suricata