Nối tiếp phần 1, Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 tiếp tục trình bày những nội dung về phát hiện xâm nhập; các kỹ thuật phát hiện xâm nhập, dấu hiệu tấn công và chữ ký; phân tích dữ liệu; tri thức về nguy cơ bảo mật và tài nguyên cần bảo vệ; phát hiện xâm nhập dựa trên bất thường với dữ liệu thống kê; các phương pháp quy chuẩn thực tiễn tốt nhất cho phân tích; . Mời các bạn cùng tham khảo! | HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN NGỌC ĐIỆP BÀI GIẢNG KỸ THUẬT THEO DÕI GIÁM SÁT AN TOÀN MẠNG HÀ NỘI 2015 CHƯƠNG 3 PHÁT HIỆN XÂM NHẬP Chương này trình bày các vấn đề liên quan đến bước phát hiện xâm nhập trong chu trình giám sát an toàn mạng bao gồm một số nội dung sau các kỹ thuật phát hiện xâm nhập dấu hiệu tấn công và chữ ký các phương pháp phát hiện xâm nhập như phương pháp phát hiện xâm nhập dựa trên danh tiếng phương pháp phát hiện xâm nhập dựa trên chữ ký và phương pháp phát hiện xâm nhập dựa trên dữ liệu bất thường thống kê và các công cụ thực hành cụ thể là Snort Suricata và SiLK. CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP DẤU HIỆU TẤN CÔNG VÀ CHỮ KÝ Kỹ thuật phát hiện xâm nhập Phát hiện xâm nhập là một chức năng của phần mềm thực hiện phân tích các dữ liệu thu thập được để tạo ra dữ liệu cảnh báo. Dữ liệu cảnh báo được tạo ra bởi các cơ chế phát hiện được chuyển tới chuyên gia phân tích và đó là khi việc phân tích bắt đầu. Để thực hiện phát hiện thành công cần chú ý đến việc lựa chọn cơ chế phát hiện và đầu vào thích hợp. Phần lớn các cơ chế phát hiện xâm nhập được thảo luận trong tài liệu này là những hệ thống phát hiện xâm nhập dựa trên mạng NIDS bao gồm hai loại chính là dựa trên chữ ký và dựa trên phát hiện bất thường. Phát hiện dựa trên chữ ký là hình thức lâu đời nhất của phát hiện xâm nhập. Phương pháp này thực hiện bằng cách duyệt qua dữ liệu để tìm các ra các kết quả khớp với các mẫu đã biết. Ví dụ đơn giản của mô hình này là một địa chỉ IP hoặc một chuỗi văn bản ví dụ về mô hình phức tạp hơn là số lượng byte null byte rỗng xuất hiện sau một chuỗi xác định khi sử dụng một giao thức nào đó. Khi các mẫu được chia thành các mẩu nhỏ độc lập với nền tảng hoạt động chúng trở thành dấu hiệu của tấn công. Khi được mô tả bằng ngôn ngữ cụ thể trong nền tảng của một cơ chế phát hiện xâm nhập chúng trở thành chữ ký. Có hai cơ chế phát hiện dựa trên chữ ký phổ biến là Snort và Suricata sẽ được giới thiệu trong phần sau . Một tập con các phát .
