KHÓA LUẬN: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP HIDS OSSEC (full file Setup & DEMO). Nhận tin nhắn hỗ trợ về đề tài

ĐÂY BỘ TÀI LIỆU ĐẦY ĐỦ FULL HƯỚNG DẪN CÀI ĐẶT VÀ DEMO CHO CHUYÊN NGÀNH MẠNG ĐANG TÌM HIỂU VÀ NGHIÊN CỨU VỀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP HIDS

LỜI CẢM ƠN

Lời đầu tiên, tôi xin chân thành cảm ơn đến các thầy giáo, cô giáo trường Đạihọc Duy Tân đã tận tình giảng dạy và truyền đạt cho tôi những kiến thức quý báutrong suốt quá trình học tập tại giảng đường …… Đặc biệt là thầy ………, làngười trực tiếp hướng dẫn, giúp đỡ tôi rất nhiều trong quá trình học tập để có thểhoàn thành được bài báo cáo Khóa luận tốt nghiệp này

Tôi cũng xin chân thành cảm ơn gia đình, bạn bè, người thân đã luôn tạo điềukiện tốt nhất để tôi có thể hoàn thiện đề tài

Với kiến thức còn nhiều hạn chế, bài báo cáo không tránh khỏi những sai sót.Rất mong nhận được những lời góp ý của thầy cô, bạn bè để tôi có thêm kiến thức,trau dồi thêm kỹ năng bản thân

Tôi xin chân thành cảm ơn

i

LỜI CAM ĐOAN

Tôi xin cam đoan những nội dung trong Khóa luận này là do tôi thực hiệndưới sự hướng dẫn của thầy ……… Mọi tham khảo dùng trongkhóa luận đều được trích dẫn rõ ràng và trung thực tên tác giả, tên công trình, thờigian, địa điểm công bố Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, haygian trá tôi xin chịu hoàn toàn trách nhiệm

Đà Nẵng, ngày , tháng , năm 2020

TÁC GIẢ KHOÁ LUẬN

ii

DANH MỤC HÌNH ẢNH

Hình 1.1 Các thành phần của IDS

Hình 1.2 Hoạt động của IDS

Hình 1.3 Một số vị trí triển khai IDS

Hình 1.4 Mô hình triển khai HIDS

Hình 1.5 Mô hình triển khai NIDS

Hình 2.1 Các thành phần của OSSEC

Hình 2.2 Quy trình phân tích của OSSEC HIDS

Hình 2.3 Luật phát hiện cài đặt phần mềm

Hình 3.1 Mô hình khảo sát 1

Hình 3.2 Mô hình khảo sát 2

Hình 3.3 Mô hình đề xuất dựa trên mô hình khảo sát 2

Hình 3.4 Mô hình triển khai HIDS OSSEC dựa vào một phần mô hình đề xuất giữa

vùng LAN và vùng Internal Server

Hình 3.5 Cài đặt ngôn ngữ

Hình 3.6 Cài đặt chế độ hoạt động cho server

Hình 3.7 Cấu hình vị trí lưu OSSEC

Hình 3.8 Cấu hình HIDS OSSEC

Hình 3.9 Cài đặt hoàn tất

Hình 3.10 Thêm Agent

Hình 3.11 Khai báo thông tin Agent

Hình 3.12 Lấy key xác thực cho Agent

Hình 3.13 Cài đặt giao diện cho OSSEC

Hình 3.14 Giao diện quản lý OSSEC

Hình 3.15 Kiểm tra trạng thái Agent

Hình 3.16 Chọn chế độ hoạt động Agent

Hình 3.17 Khai báo địa chỉ IP của OSSEC Server

Hình 3.18 Kích hoạt key xác thực đối trên Agent

Hình 3.19 Giao diện cài đặt OSSEC trên Windows

Hình 3.20 Mô hình thực nghiệm dựa trên mô hình triển khai

Hình 3.21 Phần mềm cần giám sát hoạt động

iii

Hình 3.22 Cấu hình OSSEC.conf trên OSSEC_Agent_Windows

Hình 3.23 Tạo local rule trên OSSEC Server

Hình 3.24 Kết quả báo phần mềm giám sát bị tắt

Hình 3.25 Email cảnh báo từ HIDS OSSEC

Hình 3.26 Các tác vụ đã hoạt động trên OSSEC_Agent_Windows

Hình 3.27 Tạo local rule trên OSSEC Server Attacker thu được thông tin cổng khi

OSSEC không hoạt độngHình 3.28 Attacker thu được thông tin cổng khi OSSEC không hoạt động

Hình 3.29 Cảnh báo phát hiện quét cổng và chặn IP

Hình 3.30 Hình 3.30: Email cảnh báo phát hiện dò quét cổng

Hình 3.31 Cấu hình Active-response trên OSSEC Server

Hình 3.32 Cấu hình agent.conf trên OSSEC_Server

Hình 3.33 Attacker lấy được thông tin đăng nhập SSH khi OSSEC không hoạt độngHình 3.34 Cảnh báo phát hiện BurteForce SSH và chặn IP Attacker

Hình 3.35 Email cảnh báo phát hiện bruteforce SSH

Hình 3.36 Kết quả nhận được trên máy Attacker

DANH MỤC TỪ VIẾT TẮT

IDS Intrusion detection system Hệ thống phát hiện xâm nhậpHIDS Host-base Intrusion detection

system

Hệ thống phát hiện xâm nhập host

NIDS Network-base Intrusion

detection system

Hệ thống phát hiện xâm nhập mạng

DMZ Demilitarized Zone Vùng mạng trung lập

LAN Local Area Network Vùng mạng nội bộ

DNS Domain Name System Hệ thống tên miền

HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn bản

FTP File Transfer Protocol Giao thức truyền tập tin

NAC Network Access Control Kiểm soát truy cập mạng

DDoS Distributed Denial of Service Từ chối dịch vụ phân tán

iv

DANH MỤC BẢNG

Bảng 1.1 Bảng so sánh giữ HIDS và NIDS

Bảng 2.1 Bảng quy tắc của OSSEC

Bảng 3.1 Mô tả IP mô hình triển khai

Bảng 3.2 Mô tả IP mô hình thực nghiệm

v

MỤC LỤC

LỜI CẢM ƠN i

LỜI CAM ĐOAN ii

DANH MỤC HÌNH ẢNH iii

DANH MỤC TỪ VIẾT TẮT v

DANH MỤC BẢNG vi

MỞ ĐẦU ix

I Lý do chọn đề tài ix

II Mục tiêu của đề tài ix

III Đối tượng nghiên cứu x

IV Phạm vi nghiên cứu x

V Bố cục khóa luận x

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1

1.1 Hệ thống phát hiện xâm nhập (IDS) 1

1.1.1 Chức năng của hệ thống phát hiện xâm nhập 1

1.1.2 Các thành phần của hệ thống phát hiện xâm nhập 2

1.1.3 Nguyên lý hoạt động của hệ thống phát hiện xâm nhập 3

1.2 Phân loại hệ thống phát hiện xâm nhập 4

1.2.1 Host-base IDS (HIDS) 4

1.2.2 Network-base IDS (NIDS) 5

1.2.3 So sánh HIDS và NIDS 6

1.3 Mô hình triển khai IDS 8

1.3.1 Mô hình HIDS 8

1.3.2 Mô hình NIDS 10

vi

1.4 Các phương pháp nhận diện của hệ thống phát hiện xâm nhập 11

1.4.1 Nhận diện dựa vào dấu hiệu (Signature-base Detection) 11

1.4.2 Nhận diện dựa vào sự bất thường (Abnormaly-base Detection) 11

1.4.3 Phân tích trạng thái của giao thức (Staful Protocol Analysis) 12

CHƯƠNG 2: ỨNG DỤNG HIDS OSSEC TRONG PHÁT HIỆN XÂM NHẬP 13

2.1 Giới thiệu về OSSEC 13

2.2 Các thành phần chính của OSSEC 13

2.3 Các tính năng chính 15

2.4 Quy trình phân tích của OSEC HIDS 17

2.5 Phương thức hoạt động của OSSEC 18

2.5.1 Hệ thống luật của OSSEC 18

2.5.2 Phương thức hoạt động của luật 20

2.6 Các hoạt động kiểm tra và các phản ứng của OSSEC 22

2.6.1 Kiểm tra tính toàn vẹn 22

2.6.2 Quá trình kiểm tra dò quét phát hiện Rootkit 23

2.6.3 Phản ứng chủ động 24

CHƯƠNG 3: TRIỂN KHAI VÀ THỰC NGHIỆM 26

3.1 Khảo sát thực trạng 26

3.2 Mô hình đề xuất 28

3.3 Triển khai hệ thống HIDS OSSEC 29

3.3.1 Mô hình triển khai 29

3.3.2 Triển khai OSSEC Server 30

3.3.3 Triển khai OSSEC agent 34

3.4 Thực nghiệm 36

3.4.1 Phát hiện user tắt chương trình giám sát 38

3.4.2 Phát hiện dò quét cổng (Portscans) 40

vii

3.4.3 Phát hiện và ngăn chặn Bruteforce SSH 43

3.5 Đánh giá kết quả sau thực nghiệm 46

KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 47

TÀI LIỆU THAM KHẢO 49

viii

MỞ ĐẦU

I Lý do chọn đề tài

Với tốc độ phát triển và ứng dụng của CNTT&TT ngày càng nhanh như hiệnnay, hàng ngày có một lượng thông tin lớn được lưu trữ trong các cơ sở, các hệthống dữ liệu và các cách thức tấn công ngày nay cũng càng trở nên đa dạng hơn cóthể xâm nhập vào các hệ thống làm tăng các rủi ro về mất an toàn thông tin nênviệc theo dõi giám sát hệ thống là để đảm bảo an toàn thông tin, phát hiện các tìnhhuống nguy hiểm có thể xảy ra với hệ thống là vô cùng quan trọng

Để giảm thiểu, phòng ngừa và ngăn chặn các cuộc tấn công từ bên ngoài vàochúng ta có thể sử dụng nhiều cách để thưc hiện nhưng điển hình và thông dụngnhất vẫn là sử dụng firewall để đánh chặn thông qua việc lọc gói tin hay qua cácquy tắc được thiết lập, thế nhưng nhược điểm ở đây nếu cuộc tấn công xảy ra phíatrong mạng thì firewall không thể phát hiện và cảnh báo đến người quản trị được,thế nên cần có một hệ thống giám sát và theo dõi, ghi lại các sự kiện đã xảy ra và cóthể phát hiện, đưa ra các cảnh báo về các hành vi có khả năng đe dọa đến an ninh hệ

thống “ NGHIÊN CỨU TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP HIDS VỚI OSSEC” là một giải pháp giúp chúng ta có thể thực hiện được điều

này

II Mục tiêu của đề tài

- Nắm được các kiến thức về hệ thống phát hiện xâm nhập : khái niệm IDS,các thành phần của IDS, nguyên lý hoạt động, các mô hình triển khai IDS, ứng dụngIDS phổ biến hiện nay

- Nắm được các kiến thức, chức năng, nguyên lí hoạt động và quá trình phântích của HIDS OSSEC

- Triển khai và xây dựng được các kịch bản kiểm nghiệm để kiểm thử hoạtđộng của OSSEC HIDS

- Xây dựng thêm các quy tắc để nâng cao khả năng phát hiện các hành vi bấtthường

ix

- Các sự kiện khi xảy ra đều sẽ được thu thập và ghi chép lại vào log hệ thống,các email cảnh báo sẽ được gửi đến quản trị viện khi có bất kì mối đe dọa hoặc hành

vi nào được cho là mất an toàn theo các kịch bản thực nghiệm được đề ra

III Đối tượng nghiên cứu

- Hệ thống phát hiện xâm nhập IDS

- Hệ thống HIDS OSSEC

- Các mô hình triển khai hệ thống mạng thường sử dụng

IV Phạm vi nghiên cứu

- Nghiên cứu các tính năng, thành phần, nhiệm vụ, quá trình hoạt động nhậndạng hành vi xâm nhập và xử lý của IDS

- Nghiên cứu xây dựng, triển khai hệ thống HIDS OSSEC

- Kiểm thử quá trình hoạt động của HIDS OSSEC với các kịch bản đề ra

V Bố cục khóa luận

Bố cục khóa luận gồm có 3 chương:

- Chương 1: Tổng quan về hệ thống phát hiện xâm nhập

- Chương 2: Ứng dụng HIDS OSSEC trong phát hiện xâm nhập

- Chương 3: Triển khai và thực nghiệm

x

CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP1.1 Hệ thống phát hiện xâm nhập (IDS)

Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là hệ thốngphần cứng hoặc phần mềm có chức năng tự động theo dõi các sự kiện sảy ra, giámsát lưu thông mạng, và cảnh báo các hoạt động khả nghi cho người quản trị

Một hệ thống IDS có thể vừa là phần cứng vừa là phần mềm phối hợp mộtcách hợp lí để nhận ra những mối nguy hại có thể tấn công Chúng phát hiện nhữnghoạt động xâm nhập trái phép vào mạng Chúng có thể xác định những hoạt độngxâm nhập bằng việc kiểm tra sự đi lại của mạng, những host log, những system call,

và những khu vực khác khi phát ra những dấu hiệu xâm nhập

IDS cũng có thể phân biệt giữa tấn công từ bên trong hay tấn công từ bênngoài IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết (giống nhưphần mềm diệt virus dựa vào dấu hiệu đặc biệt phát hiện và diệt virus) hay dựa trên

so sánh lưu thông mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống)

để tìm ra các dấu hiệu khác thường

1.1.1 Chức năng của hệ thống phát hiện xâm nhập

Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họkhỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thôngtin Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câuhỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiệnxâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho

họ, bổ sung những điểm yếu của hệ thống khác

Những chức năng quan trọng nhất của IDS chính là:

- Giám sát: Lưu lượng mạng và các hoạt động khả nghi

- Cảnh báo: Báo cáo về tình trạng mạng cho hệ thống và quản trị viên

xi

- Bảo vệ: Dùng những thiết lập mặc định và các cấu hình từ nhà quản trị để cónhững hành động thiết thực chống lại kẻ xâm nhập và phá hoại.

Ngoài ra, có những chức năng mở rộng như:

- Phân biệt: Tấn công từ bên trong và tấn công từ bên ngoài

- Phát hiện: Những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhở.vào sự so sánh thông lượng mạng hiện tái với Baseline

Khi IDS chạy một thời gian sẽ đưa ra được những điểm yếu đó là điều hiểnnhiên Việc đưa ra những điểm yếu đó nhằm đánh giá chất lượng việc thiết kế mạngcũng như cách bố trí bảo vệ phòng thủ của các nhà quản trị mạng

1.1.2 Các thành phần của hệ thống phát hiện xâm nhập

Hình 1.1: Các thành phần của IDS

Kiến trúc của một hệ thống IDS bao gồm các thành phần chính sau: Thànhphần thu thập gói tin (Information Collection), thành phần phân tích gói tin(Detection) và thành phần phản hồi (Respotion) Trong ba thành phần này, thànhphần phân tích gói tin là quan trọng nhất và bộ cảm biến (sensor) đóng vai trò quanquyết định nên cần được phân tích để hiểu rõ hơn về kiến trúc của một hệ thốngphát hiện xâm nhập

xii

Ở thành phần phân tích gói tin này bộ cảm biến đóng vai trò quyết định Bộcảm biến tích hợp với thành phần là sưu tập dữ liệu và một bộ tạo sự kiến Cách sưutập này được xác định bởi chính sách tạo sự kiện để định nghĩa chế độ lọc thông tin

sự kiện Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khôngtương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thểphát hiện được các hành động nghi ngờ Bộ phân tích sử dụng cơ sở dữ liệu chínhsách phát hiện cho mục này Ngoài ra còn có các thành phần: dấu hiệu tấn công,profile hành vi thông thường, các tham số cần thiết Thêm vào đó, cơ sở dữ liệugiữa các tham số cấu hình, gồm các chế độ truyền thông với module đáp trả Bộcảm biến cũng có sơ sở dữ liệu của riêng nó

1.1.3 Nguyên lý hoạt động của hệ thống phát hiện xâm nhập

Quá trình phát hiện có thể được mô tả bởi các yếu tố nền tảng cơ bản sau:

- Thu thập thông tin (Infotmation Source): kiểm tra tất cả các gói tin trên

mạng (Information Monitoring)

- Sự phân tích (Analysis): phân tích tất cả các gói tin đã thu thập để cho biết

hành động nào là tấn công (Intruction Detection)

- Xuất thông tin cảnh báo (Response): hành động cảnh báo cho sự tấn công

được phân tích ở trên nhờ bộ phận thông báo (Notification)

Khi một hành động xâm nhập được phát hiện, IDS đưa ra các cảnh báo đếncác quản trị viên hệ thống về sự việc này Bước tiếp theo được thực hiện bởi cácquản trị hoặc có thể là bản thân IDS bằng cách lợi dụng các tham số đo bổ sung (cácchức năng khóa để giới hạn các session, backup hệ thống, định tuyến các kết nốiđến bẫy hệ thống, cơ sở hạ tầng hợp lệ,…) theo các chính sách bảo mật của các tổchức Một IDS là một thành phần nằm trong chính sách bảo mật

Giữa các nhiệm vụ IDS khác nhau, việc nhận ra kẻ xâm nhập là một trongnhững nhiệm vụ cơ bản Nó cũng hữu dụng trong việc nghiên cứu mang tính pháp

xiii

lý các tình tiết và việc cài đặt các bản vá thích hợp để cho phép phát hiện các cuộctấn công trong tương lai nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.Phát hiện xâm nhập đôi khi có thể đưa ra các cảnh báo sai, ví dụ vấn đề xảy ra dotrục trặc về giao diện mạng hoặc việc gửi phần mô tả các cuộc tấn công hoặc cácchữ ký thông qua email

Hình 1.2: Hoạt động của IDSHầu hết các công cụ phát hiện xâm nhập trái phép là thụ động, khi phát hiệnđược cuộc tấn công tạo ra cảnh báo nhưng không thực hiện biện pháp đối phó Đòihỏi người quản trị trực tiếp kiểm tra cảnh báo và thực hiện hành động phù hợp Điềunày có thể gây chậm trễ trong việc xử lý với các cuộc tấn công

Có một số IDS có khả năng thực hiện hành động như thay đổi trạng thái bảomật để phản ứng lại với những cuộc tấn công Các IDS này có thể thay đổi quyềncủa file, đặt thêm luật của tường lửa, ngừng tiến trình hay ngắt kết nối Những hệnhư vậy có hiệu quả rất lớn, nhưng cũng có thể bị kẻ tấn công lợi dụng để tự gây hạicho hệ, hay gây từ chối dịch vụ

xiv

1.2 Phân loại hệ thống phát hiện xâm nhập

1.2.1 Host-base IDS (HIDS)

Những hệ thống HIDS được cài đặt như là những agent (tác nhân) trên mộthost, kiểm soát lưu lượng vào ra trên một máy tính, có thể được triển khai trênnhiều máy tính trong hệ thống mạng HIDS thường được đặt trên các host xung yếucủa tổ chức, và các server trong vùng DMZ - thường là mục tiêu bị tấn công đầutiên

Bằng cách cài đặt một IDS trên máy tính chủ, ta có thể quan sát tất cả nhữnghoạt động hệ thống, như các file log những thông điệp báo lỗi trên hệ thống máychủ và những lưu lượng mạng thu thập được Trong khi những đầu dò của mạng cóthể phát hiện một cuộc tấn công, thì chỉ có hệ thống dựa trên máy chủ mới có thểxác định xem cuộc tấn công có thành công hay không Thêm nữa là, hệ thống dựatrên máy chủ có thể ghi nhận những việc mà người tấn công đã làm trên máy chủ bịtấn công (compromised host)

Nhiệm vụ chính của HIDS là giám sát các thay đổi trên hệ thống, bao gồm(not all):

Ưu điểm của HIDS:

- Có khả năng xác định người dung liên quan tới một sự kiện

xv

- Hids có khả năng phát hiện các cuộc tấn công diễn ra trên một máy.

- Có thể phân tích các dữ liệu mã hóa

- Cung cấp các thông tin về host trong lúc tấn công diễn ra

Nhược điểm HIDS:

- Thông tin từ HIDS là không đáng tin cậy ngay khi sự tấn công vào host nàythành công

- Khi hệ điều hành bị hạ do tấn công, đồng thời HIDS cũng bị hạ

- Hids phải được thiết lập trên từng host giám sát

- Hids không có khả năng phát hiện các cuộc dò mạng

- Hids cần tài nguyên Host để hoạt động

- Đa số chạy trên hệ điều hành window Tuy nhiên cũng đã có 1 số chạy trênlinux chặng hạng Ubuntu

1.2.2 Network-base IDS (NIDS)

NIDS được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài đểgiám sát toàn bộ lưu lượng vào ra Có thể là một thiết bị phần cứng riêng biệt đượcthiết lập sẵn hay phần mềm cài đặt trên máy tính (Snort)

NIDS sử dụng bộ dò và bộ bộ cảm biến cài đặt trên toàn mạng Những bộ dònày theo dõi trên mạng nhằm tìm kiếm những lưu lượng trùng với những mô tả sơlược được định nghĩa hay là những dấu hiệu Những bộ bộ cảm biến thu nhận vàphân tích lưu lượng trong thời gian thực Khi ghi nhận được một mẫu lưu lượng haydấu hiệu, bộ cảm biến gửi tín hiệu cảnh báo đến trạm quản trị và có thể được cấuhình nhằm tìm ra biện pháp ngăn chặn những xâm nhập xa hơn NIDS là tập nhiềusensor được đặt ở toàn mạng để theo dõi những gói tin trong mạng so sánh với vớimẫu đã được định nghĩa để phát hiện đó là tấn công hay không

xvi

Ưu điểm của NIDS

- Quản lý được một phân đoạn mạng (network segment)

- Trong suốt với người sử dụng và kẻ tấn công

- Cài đặt và bảo trì đơn giản, không làm ảnh hưởng đến mạng

- Tránh được việc bị tấn công dịch vụ đến một host cụ thể

- Có khả năng xác định được lỗi ở tầng network

Một cách mà hacker cố gắng che đậy cho hoạt động của họ khi gặp các hệthống IDS là phân mảnh dữ liệu gói tin Mỗi giao thức có một kích cỡ gói dữ liệu cóhạn, nếu dữ liệu truyền qua mạng truyền qua mạng lớn hơn kích cỡ này thì dữ liệu

bị phân mảnh Phân mảnh đơn giản là quá trình chia nhỏ dữ liệu Thứ tự sắp xếp

xvii

không thành vấn đề miễn là không bị chồng chéo dữ liệu, bộ cảm biến phải tái hợplại chúng.

Hacker cố gắng ngăn chặn phát hiện bằng cách gởi nhiều gói dữ liệu phânmảnh chồng chéo Một bộ cảm biến không phát hiện được các hoạt động xâm nhậpnếu không sắp xếp gói tin lại một cách chính xác

1.2.3 So sánh HIDS và NIDS

Trong phần trước đã nói sơ lược về khái niệm Host-based IDS (HIDS) vàNetwork-based IDS (NIDS) Trong phần này sẽ cho chúng ta cái nhìn cụ thể vềnhững điểm mạnh, yếu của chúng, có một điểm chung của các IDS là bản thân

nó không tự chống các cuộc tấn công hoặc ngăn chặn những khai thác lỗi thànhcông, thực tế thì IDS chỉ cho chúng ta biết mạng đang bị nguy hiểm và giá trịchính của nó là cho biết điều gì sắp xảy ra, giúp cho người quản trị có nhữngchính sách hợp lý cho mạng và cho host

Bảng dưới đây sẽ cho ta cái nhìn trực quan hơn về HIDS và NIDS:

Bảo vệ trong mạng LAN ***** ***** Cả hai đều bảo vệ được mạngLANBảo vệ ngoài mạng LAN ***** Chỉ có HIDS

Dễ dàng cho việc quản trị ***** ***** Tương đương như nhau xét về bốicảnh quản trị chungTính linh hoạt ***** ** HIDS có tính linh hoạt cao hơnGiá thành *** * HIDS là hệ thống ưu tiên tiết kiêmhơn nếu chọn đúng sản phẩm

Dễ dàng trong việc bổ sung **** **** Cả hai tương đương nhau

Đào tạo ngắn hạn cần thiết **** ** HIDS yêu cầu việc đào tạo ít hơn

Băng tần cầu yêu cầu trong

LAN 0 2 NIDS sử dụng băng tần LAN rộngcòn HIDS thì không

xviii

Network overhead 1 2

NIDS cần 2 yêu cầu băng tầnmạng đối với bất kì mạng LANnào

Băng tần yêu cầu Internet ** ** Cả hai đều cần băng tần Internetđể cập nhật kịp thời các file mẫu

Các yêu cầu về cổng mở

NIDS yêu cầu phải kích hoạt mởrộng cổng để đảm bảo lưu lượngLAN được quét

Chu kì nâng cấp cho các

Chế độ quét thanh ghi cục

Bản ghi *** *** Cả hai hệ thống đều có chức năngbản ghi

Chức năng cảnh báo *** *** Cả hau hệ thống đều có chứcnăng cảnh báo cho từng cá nhân

và quảng trị viênLoại bỏ gói tin ***** Chỉ các tính năng NIDS mới cóphương thức nàyKiến thức chuyên môn *** ***** NIDS cần nhiều kiến thức chuyênmôn hơn trong cài đặt và sử dụngQuản lý tập trung ** *** NIDS có chiếm ưu thế hơn

Khả năng vô hiệu hóa các

hệ số rủi ro * **** NIDS có hệ số rủi ro nhiều hơn sovới HIDS

Bảng 1.1 : Bảng so sánh giữa HIDS và NIDS

xix

1.3 Mô hình triển khai IDS

Phụ thuộc vào mô hình mạng, có thể đặt IDS ở một hoặc nhiều vị trí Tùythuộc vào loại xâm nhập muốn phát hiện, có thể là bên trong, bên ngoài, hoặc

cả hai Ví dụ, nếu cần phát hiện một tấn công từ bên ngoài, có một router kếtnối ra Internet, thì nơi tốt nhất cần đặt IDS là nên trong Router hoặc tường lửa.Nếu bạn có nhiều đường ra Internet, bạn có thể cần mỗi IDS tại mỗi điểm kếtnối đó Tuy nhiên nếu cần phát hiện các nguy cơ từ bên trong, tốt nhất cần đặtIDS tại mỗi phân đoạn mạng (network segment)

1.3.1 Mô hình HIDS

HIDS có hai điểm khác biệt khi triển khai so với NIDS HIDS chỉ theo dõiđược host mà nó đang được cài đặt và card mạng hoạt động ở trạng thái bình

thường là non-promiscuous (hay còn gọi là trạng thái active).

Khi triển khai theo mô hình HIDS có một số điểm thuận lợi như sau:

- Card mạng chỉ cần hoạt động ở chế độ bình thường nên không cần phảitrang bị thêm card mạng mới, bởi vì không phải tất cả các card mạng đều cókhả năng chuyển sang trạng thái promiscuos Khi hoạt động ở chế độ bìnhthường sẽ không yêu cầu nhiều xử lý của CPU so với trạng thái promiscuous

- Do chỉ theo dõi cho một host cụ thể nên HIDS có thể theo dõi sâu hơn vềnhững thông tin của hệ thống như system calls, những thay đổi trong file hệthống, system logs

- Người quản trị có thể linh động cấu hình tập hợp các rule cho từng host

cụ thể Ví dụ như không cần phải sử dụng rule để phát hiện tấn côngDNS(Domain Name System) trong khi một máy tính không chạy dịch vụ DNS

Do đó có thể giảm bớt những rule không cần thiết, giúp tăng cường hiệu suất vàgiảm thiểu những xử lý quá tải

xx

Hình 1.4: Mô hình triển khai HIDS

xxi

1.3.2 Mô hình NIDS

Hình 1.5: Mô hình triển khai NIDS

Không giống với HIDS, trong mô hình triển khai NIDS ở hình 1.5, NIDStheo dõi toàn bộ dữ liệu trên từng đoạn mạng mà nó được cài đặt Trong môhình trên sử dụng 4 NIDS để theo dõi luồng dữ liệu trên 4 đoạn mạng khác nhau

là các public server và hệ thống mạng bên trong Như đã nói trong các phầntrước, đặc trưng của NIDS là làm sao để từng NIDS có thể theo dõi được tất cảcác dữ liệu được trao đổi trên từng đoạn mạng Do đó cần phải có một số yêucầu đặc biệt về mặt kỹ thuật để triển khai NIDS:

Card mạng của NIDS cần phải hỗ trợ chế độ promiscuous để NIDS có thểnhận được các gói tin có destination MAC không gửi cho nó Tuy nhiên đây chỉ

xxii

là điều kiện cần để NIDS nhận được dữ liệu trên mạng, vấn đề chính là làm sao

để toàn bộ dữ liệu trên đoạn mạng có thể đổ dồn vào NIDS

Có một số giải pháp để giải quyết vấn đề giúp NIDS có thể bắt được toàn

bộ dữ liệu trên đoạn mạng như: sử dụng Hub, Network Tap và c ông nghệSwitch Port Analyzer (SPAN) của Cisco

1.4 Các phương pháp nhận diện của hệ thống phát hiện xâm nhập

Các hệ thống IDS thường dùng nhiều phương pháp nhận diện khác nhau, riêng

rẽ hoặc tích hợp nhằm mở rộng và tăng cường độ chính xác nhận diện Có thể chialàm ba phương pháp nhận diện chính là: Signature-base Detection, Anormaly-baseDetection và Stateful Protocol Analysis

1.4.1 Nhận diện dựa vào dấu hiệu (Signature-base Detection)

Signature-base Detection sử dụng phương pháp so sánh các dấu hiệu của đốitượng quan sát với các dấu hiệu của các mối nguy hại đã biết Phương pháp này cóhiệu quả với các mối nguy hại đã biết nhưng hầu như không có hiệu quả hoặc hiệuquả rất ít đối với các mối nguy hại chưa biết, các mối nguy hại sử dụng kỹ thuật lẩntránh (evasion techniques), hoặc các biến thể Signature-based Detection không thểtheo vết và nhận diện trạng thái của các truyền thông phức tạp

1.4.2 Nhận diện dựa vào sự bất thường (Abnormaly-base Detection)

Abnormaly-base Detection so sánh định nghĩa của những hoạt động bìnhthường và đối tượng quan sát nhằm xác định các độ lệch Một hệ IDS sử dụngphương pháp Abnormaly-base Detection có các profiles đặc trưng cho các hành viđược coi là bình thường, được phát triển bằng cách giám sát các đặc điểm của hoạtđộng tiêu biểu trong một khoảng thời gian Sau khi đã xây dựng được tập cácprofile này, hệ IDS sử dụng phương pháp thống kê để so sánh các đặc điểm của cáchoạt động hiện tại với các ngưỡng định bởi profile tương ứng để phát hiện ra nhữngbất thường

Profile sử dụng bởi phương pháp này có 2 loại là static và dynamic:

xxiii

- Static profile không thay đổi cho đến khi được tái tạo, chính vì vậy dần dần

nó sẽ trở nên không chính xác, và cần phải được tái tạo định kỳ

- Dynamic profile được tự động điều chỉnh mỗi khi có các sự kiện bổ sungđược quan sát, nhưng chính điều này cũng làm cho nó trở nên dễ bị ảnh hưởng bởicác phép thử dùng kỹ thuật giấu (evasion techniques) Ưu điểm chính của phươngpháp này là nó rất có hiệu quả trong việc phát hiện ra các mối nguy hại chưa đượcbiết đến

1.4.3 Phân tích trạng thái của giao thức (Staful Protocol Analysis)

Phân tích trạng thái protocol là quá trình so sánh các profile định trước củahoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đóxác định độ lệch Khác với phương pháp Anomaly-base Detection, phân tích trạngthái protocol dựa trên tập các profile tổng quát cung cấp bởi nhà sản xuất theo đóquy định 1 protocol nên làm và không nên làm gì "Stateful" trong phân tích trạngthái protocol có nghĩa là IDS có khả năng hiểu và theo dõi tình trạng của mạng, vậnchuyển, và các giao thức ứng dụng có trạng thái Nhược điểm của phương pháp này

là chiếm nhiều tài nguyên do sự phức tạp trong việc phân tích và theo dõi nhiềuphiên đồng thời Một vấn đề nghiêm trọng là phương pháp phân tích trạng tháiprotocol không thể phát hiện các cuộc tấn công khi chúng không vi phạm các đặctính của tập các hành vi chấp nhận của giao thức

xxiv

CHƯƠNG 2: ỨNG DỤNG HIDS OSSEC TRONG PHÁT HIỆN

XÂM NHẬP2.1 Giới thiệu về OSSEC

OSSEC là một hệ thống phát hiện xâm nhập mã nguồn mở, chính xác là mộtHIDS (Host IDS) thực hiện phân tích đăng nhập, kiểm tra tính toàn vẹn file, giámsát chính sách, phát hiện rootkit, thời gian thực cảnh báo và phản ứng tích cực Nóchạy trên hầu hết các hệ điều hành

OSSEC còn là một nền tảng đầy đủ để theo dõi và kiểm soát hệ thống củabạn Nó trộn lẫn với nhau tất cả các khía cạnh của HIDS(dựa trên máy chủ pháthiện xâm nhập), giám sát đăng nhập và SIM/SIEM với nhau trong một giải pháp

mã nguồn đơn giản, mạnh mẽ và cởi mở Nó cũng được hổ trợ và hổ trợ đầy đủbởi Trend Micro OSSEC cho phép khách hàng cấu hình sự cố họ muốn được cảnhbáo theo các mức ưu tiên khác nhau Tích hợp SMTP, chúng ta có thể nhận đượccác thông báo cảnh báo của hệ thống qua email, tin nhắn Ngoài ra, chúng ta có thểcấu hình, tùy chọn hoạt động phản ứng để ngăn chặn một cuộc tấn công có thể xảyra

2.2 Các thành phần chính của OSSEC

OSSEC có 2 thành phần chính: Server và Agent

xxv

Hình 2.1: Các thành phần của OSSEC 2.2.1 Server

Vai trò của máy chủ làm server là sẽ nhận tất cả các thông tin nhật kí (Log),thông tin hệ thống từ các Agent gửi về, sau đó phân tích và triển khai các chínhsách Thư mục cài đặt mặc định ở chế độ máy chủ sẽ được đặt ở thư mục/var/OSSEC và chúng ta hoàn toàn có thể thay đổi mặc định cài đặt này

Cấu trúc thư mục khi cài đặt xong OSSEC với vai trò làm máy chủ như sau:

 var/OSSEC/active-response : Chứa các kịch bản để phản ứng động

 var/OSSEC/agentless : Chứa các kịch bản điều khiển của các thiết bịkhông thể cài làm máy theo dõi như Router,Switch…

 var/OSSEC/bin: Lưu trữ các file thực thi của OSSEC

 var/OSSEC/etc: Lưu trữ các file cấu hình

 var/OSSEC/logs: Lưu trữ log của toàn bộ hệ thống OSSEC

 var/OSSEC/queue: Lưu trữ hàng đợi cho phân tích và xử lý của osse

xxvi

 var/OSSEC/rules: Lưu trữ các rule của OSSEC

 var/OSSEC/stats: Lưu trữ các lịch sử trạng thái của OSSEC

 var/OSSEC/tmp: Lưu trữ xử lý tạm thời của hệ thống

Để xây dựng hết thống OSSEC, trên Server chúng ta cần khai báo rõ ràng cácAgent(Các host được OSSEC theo dõi) Mỗi host được khai báo sẽ được cấp mộtkhóa (Key) xác thực Khóa này được Agent sử dụng để trao đổi thông tin được mãhóa trên đường truyền với máy chủ OSSEC Giao thức dùng để liên lạc giữa Agent

và Server là UDP qua cổng 1514 và thuật toán được mã hóa là Blowfish

 var/OSSEC/bin: Lưu trữ các file thực thi của OSSEC

 var/OSSEC/etc: Lưu trữ các file cấu hình

 var/OSSEC/logs: Lưu trữ lịch sử truy nhập

 var/OSSEC/queue: Lưu trữ hàng đợi cho xử lý lịch sử truy nhập

Đối với máy Windows: Các thư mục được cà đặt trong thư mụcC:/Program Files/OSSEC-agent

2.3 Các tính năng chính

 Theo dõi phân tích các log: OSSEC thu thập log theo thời gian thực từnhiều nguồn khác nhau để phân tích (giải mã, lọc và phân loại) và đưa ra cảnh báodựa trên bộ luật được xây dựng trước OSSEC phát hiện các cuộc tấn công trênmạng, hệ thống hoặc ứng dụng cụ thể bằng cách sử dụng log làm nguồn thông tin

xxvii

chính Log cũng rất hữu ích để phát hiện việc khai thác lổ hổng phần mềm, vi phạmchính sách và các hình thức hoạt động không phù hợp khác Một số loại log màOSSEC có thể phân tích là log proxy, log web, log ghi lại xác thực, system log

 Giám sát đăng nhập: Mỗi hệ điều hành, ứng dụng và thiết bị trên mạngcủa chúng ta sẽ tạo ra các bản ghi (sự kiện) để cho chúng ta biết những gì đang xảy

ra OSSEC sẽ thu thập, phân tích và tương quan các nhật ký này để cho bạn biết nếu

có điều gì đó đáng ngờ đang xảy ra (tấn công, sử dụng sai, lỗi, v.v.) Chúng ta cóthể biệt được ai đã sử dụng máy, thời gian sử dụng, các hoạt động đã diễn ra trongkhi họ sử dụng như cài đặt chương trình, thêm, sửa, xóa một quy tắc nào đó, pháthiện một ai đó đang cố gắng đăng nhập bằng các theo dõi nhật kí OSSEC cũng cóthể thông báo cho chúng ta

 Giám sát Registry: Hệ thống Registry là danh sách thư mục tất cả các càiđặt phần cứng và phần mềm, các cấu hình hệ điều hành, người dùng, nhóm ngườidùng, và các preference trên một hệ thống Microsoft Windows Các thay đổi đượcthực hiện bởi người dùng và quản trị viên đối với hệ thống được ghi lại trong cáckhóa registry để các thay đổi được lưu khi người dùng đăng xuất hoặc hệ thốngđược khởi động lại Registry cũng cho thấy kernel của hệ điều hành tương tác vớiphần cứng và phần mềm máy tính như thế nào HIDS có thể giám sát những thayđổi này đối với các khóa registry quan trọng để đảm bảo rằng người dùng hoặc ứngdụng không cài đặt một chương trình mới hoặc sửa đổi chương trình hiện có vớimục đích xấu

 Giám sát Agent: OSSEC cung cấp tính linh hoạt của giám sát dựa trên tácnhân và không tác nhân của các hệ thống và các thành phần mạng như bộ địnhtuyến và tường lửa Giám sát không có tác nhân cho phép những khách hàng bị hạnchế cài đặt phần mềm trên các hệ thống (như hệ thống hoặc thiết bị được FDA phêchuẩn) đáp ứng nhu cầu bảo mật và tuân thủ

 Phát hiện rookit: OSSEC phát hiên Rootkit dựa trên chữ ký, rootkit làcông cụ cho phép kẻ đột nhập khả năng xâm nhập trở máy tính bị cài rootkit và xóadấu vết về sự tồn tại của nó Kẻ xâm nhập có thể sử dụng rootkit để ăn cắp thông tin

xxviii

và tài nguyên từ máy tính nạn nhân OSSEC có khả năng phát hiện rootkit bằngcách đọc file cơ sở dữ liệu về rootkit và tiến hành quét hệ thống định kỳ, thực hiệncác lời gọi hệ thống để phát hiện các file không bình thường, các tiến trình ấn, cácdấu hiệu vượt quyền, các cổng ẩn và so sánh chúng với cơ sở dữ liệu để phát hiệnrootkit.

Phản ứng chủ động: Phản ứng chủ động cho phép các IDS nói chung vàOSSEC nói riêng tự động thực thi các lệnh hoặc phản ứng khi một sự kiện hoặc tậphợp sự kiện cụ thể được kích hoạt Phản ứng chủ động có thể được xác định bằngluật Các lợi ích của phản ứng chủ động là rất lớn, nhưng cũng rất nguy hiểm, có thểngăn chặn kết nối hợp pháp hoặc là lổ hổng để kẻ tấn công khai thác Ví dụ: quản trịviên hợp pháp có thể tạo ra báo động sai và chặn người dùng/máy chủ hợp pháp

truy cập nếu các luật được thiểt kế kém

 Đa nền tảng: OSSEC cung cấp tính linh hoạt của giám sát dựa trên tácnhân và không tác nhân của các hệ thống và các thành phần mạng như bộ địnhtuyến và tường lửa Giám sát không có tác nhân cho phép những khách hàng bị hạnchế cài đặt phần mềm trên các hệ thống (như hệ thống hoặc thiết bị được FDA phêchuẩn) đáp ứng nhu cầu bảo mật và tuân thủ

 Thời gian thực và cảnh báo: OSSEC cho phép khách hàng định cấu hìnhcác sự cố mà họ muốn được cảnh báo và cho phép họ tập trung vào việc nâng mức

độ ưu tiên của các sự cố quan trọng đối với tiếng ồn thông thường trên bất kỳ hệthống nào Tích hợp với smtp, sms và syslog cho phép khách hàng đứng đầu cáccảnh báo bằng cách gửi chúng đến các thiết bị hỗ trợ e-mail Tùy chọn phản ứngtích cực để chặn một cuộc tấn công ngay lập tức cũng có sẵn

 Quản lý tập trung: OSSEC cung cấp một máy chủ quản lý tập trung đơngiản hóa để quản lý các chính sách trên nhiều hệ điều hành Ngoài ra, nó cũng chophép khách hàng xác định các phần ghi đè cụ thể của máy chủ cho các chính sáchchi tiết hơn

xxix

2.4 Quy trình phân tích của OSEC HIDS

Quy trình phân tích của OSSEC HIDS theo mô hình phân tích (hình 2.2) chitiết quá trình như sau:

- Event: Khi có một sự kiện đến hệ thống bắt đầu quá trình tiền xử lý là

giải mã và trích xuất bất kỳ thông tin liên quan từ nó Sau khi dữ liệu này đượcchiết xuất, các công cụ phù hợp với quy tắc được gọi để kiểm tra nếu một cảnhbáo hệ thống cần cảnh báo

- Pre-decoding: Quá trình của tiền giải mã đơn giản là chỉ trích xuất thông

tin tĩnh từ các cột thông tin Nó thường được sử dụng với những thông điệpđăng nhập theo giao thức phổ dụng như lịch sử truy nhập hệ thống Các thông tinđược trích trong giai đoạn này thường là các thông tin về thời gian, ngày tháng,chương trình, tên máy tên, và thông điệp đăng nhập

- Decoding: Mục tiêu của giải mã để trích xuất thông tin không tĩnh từ các

sự kiện mà chúng ta có thể sử dụng các luật trong quá trình sau này Nói chung,chúng ta sẽ trích xuất thông tin địa chỉ, tên người dùng, và dữ liệu tương tự

- Rule matching: Giai đoạn này sẽ kiểm tra xem có khớp với các luật đã

được định nghĩa hay không để đưa ra quyết định xử lý

- Alerting: Tùy vào kết quả sau khi xem xét, có thể sẽ được lưu vào cơ sở

dữ liệu hoặc cảnh báo qua thư điện tử hoặc phản ứng lại

xxx

Hình 2.2: Quy trình phân tích của OSSEC HIDS

2.5 Phương thức hoạt động của OSSEC

2.5.1 Hệ thống luật của OSSEC

OSSEC làm việc dựa trên các luật được định nghĩa sẵn trong các file Cácfile được đặt trong thư mục /var/OSSEC/rules/ Mỗi rule được định nghĩa trongcác file XML đã được phân loại Ví dụ, tất cả các rule liên quan đến ApacheHTTP Server được lưu trong file có tên là apache_rules.xml, hay tất cả các luậtdành cho Cisco PIX firewall được lưu trong file pix_rules.xml Khi cài đặt mặcđịnh OSSEC chứa 43 file rule

3 attack_rules.xml Quy tắc tấn công phổ biến

4 cisco-ios_rules.xml Quy tắc phần mềm Cisco IOS

5 courier_rules.xml Chuyển phát nhanh quy tắc máy chủ

thư

6 fi rewall_rules.xml Quy tắc tường lửa phổ biến

8 hordeimp_rules.xml Quy tắc chương trình nhắn tin InternetHorde

xxxi

9 ids_rules.xml Quy tắc IDS phổ biến

10 imapd_rules.xml Quy tắc cho daemon imapd

11 local_rules.xml OSSEC HIDS cục bộ, quy tắc ngườidùng xác định

12 mailscanner_rules.xml Quy tắc quét thư phổ biến

13 msauth_rules.xml Quy tắc xác thực của Microsoft

14 ms-exchange_rules.xml Quy tắc máy chủ Microsoft Exchange

15 netscreenfw_rules.xml Quy tắc tường lửa Juniper Netscreen

16 ms_ftpd_rules.xml Quy tắc máy chủ Microsoft FTP

17 mysql_rules.xml Quy tắc cơ sở dữ liệu MySQL

18 named_rules.xml Quy tắc cho daemon được đặt tên

19 OSSEC_rules.xml Các quy tắc HSS OSSEC phổ biến

20 pam_rules.xml Mô đun xác thực có thể cắm (PAM)

22 policy_rules.xml Quy tắc viết lại của Cisco PIX

23 postfi x_rules.xml Chính sách quy tắc sự kiện cụ thể

24 postgresql_rules.xml Postfix quy tắc đại lý chuyển thư

25 proftpd_rules.xml Quy tắc cơ sở dữ liệu PostgerSQL

26 pure-ftpd_rules.xml Quy tắc máy chủ FTP ProFTPd

27 racoon_rules.xml Quy tắc máy chủ FTP thuần FTP

28 rules_confi g.xml Quy tắc thiết bị Racoon VPN

29 sendmail_rules.xml OSSEC HIDS Quy tắc xác nhận quytắc

30 squid_rules.xml Sendmail quy tắc đại lý chuyển thư

31 smbd_rules.xml Quy tắc máy chủ Squidproxy

32 sonicwall_rules.xml Quy tắc cho trình nền smbd

xxxii

33 spamd_rules.xml Quy tắc tường lửa SonicWall

34 sshd_rules.xml Quy tắc giao thức mạng Secure Shell

(SSH)

35 symantec-av_rules.xml Quy tắc cho trình nền trì hoãn thư rác

36 symantec-ws_rules.xml Quy tắc của Symantec Antivirus

37 syslog_rules.xml Quy tắc bảo mật web Symantec

38 telnetd_rules.xml Quy tắc nhật ký hệ thống phổ biến

39 vpn_concentrator_rules.xml Quy tắc cho daemon telnet

40 vpopmail_rules.xml Quy tắc tập trung VPN của Cisco

41 vsftpd_rules.xml Quy tắc cho miền thư ảo vpopmail

Bảng 2.1: Bảng quy tắc của OSSEC

Mỗi file chức nhiều luật được định cho ứng dụng hoặc cho thiết bị Cung cấptrên 600 rule cho các loại từ ProFTPD log cho tới Snort NIDS, Cisco VPN, kiểm tratính toàn vẹn OSSEC HIDS và dò tìm rootkit

Cùng với các rule, chúng ta có các bộ giải mã, được định nghĩa trong filedecoders.xml trong thư mục /var/OSSEC/etc Bộ giải mã được thiết kế đểtrích xuất dữ liệu từ các sự kiện được nhận từ nhiều nguồn

Mỗi một luật được gán 1 chỉ số duy nhất khi nó được tạo ra Đối với mỗi loạiluật, một dãy các chỉ số được gán để đảm bảo OSSEC HIDS bộ giải mã pháthành không bị lỗi ghi đè

Trong hệ thống OSSEC, các rule được người dùng tạo ra được gọi là Localrule Các local rule nằm trong khoảng từ 100.000 đến 119.999 Nếu bạn chọnmột chỉ số khác, sẽ gây ra xung đột với các luật của OSSEC

Quy định cụ thể dãy chỉ số như sau:

xxxiii

- Từ 00000-50799 : các chỉ số được định nghĩa của hệ thống

2.5.2 Phương thức hoạt động của luật

 Phương thức Atomic

Các luật được định nghĩa bằng cách sử dụng thẻ các thẻ <rule> </ rule> vàphải có ít nhất hai thuộc tính, chỉ số và mức độ Chỉ số là một định danh duy nhấtcho chữ ký và mức độ là mức độ nghiêm trọng của cảnh báo Trong hình dưới đâychúng ta có thể thấy được trực quan hơn về các thuộc tính cũng như các chỉ số chỉmức độ

Hình 2.3: Luật phát hiện cài đặt phần mềm

OSSEC HIDS phân làm 15 cấp độ từ 0-15 thể hiện cấp độ nghiêm trọng củacác dữ kiện được cho là nguy hiểm:

xxxiv