Page 6 - Hướng Dẫn Cách Phòng Thủ Và Khắc Phục Sự Cố Máy Tính
P. 6
nhau, chẳng hạn như host IDS ngăn chặn các truy cập có
hại cho mạng, còn NIDS thì cố gắng đoán xem cái gì xảy ra
bên trong host. Có một vài giói hạn không rõ nét lắm như
công nghệ để phát triển tiếp theo. Vậy những thuận tiện
của Host-base IDS là gì? Sự khác nhau cơ bản giữa chúng
đó là trong khi NIDS phát hiện ra các cuộc tấn công tiềm
năng (những thứ sẽ được chuyển tới đích) thì host IDS lại
phát hiện ra những cuộc tấn công mà đã thành công, có
kết quả. Bởi vậy có thể nói rằng NIDS mang tính tiền
phong hơn. Tuy nhiên, một host IDS sẽ hiệu quả hơn đôi
với trong các môi trường có tốc độ chuyển dịch lớn, mã hoá
và có chuyển mạch - đây là những môi trường mà NIDS
rất khó hoạt động. HIDS được thử thách bởi rất nhiều
những hành động có mức độ phơi bày cao của kẻ tấn công
và đã thực sự nâng tầm xử lý của chúng. Mặt khác thì
NIDS lại là một phần rất tuyệt cho môi trường tổng hỢp
như toàn bộ mạng. Vì thế, NIDS có thể tạo nên một sự
quan sát có ý nghĩa đến các phần của vụ tấn công có liên
quan đến nhiều host. Nó được thử thách trong môi trường
mạng có chuyển mạch tốc độ cao, môi trường mã hoá và
các giao thức ứng dụng hiện đại phức tạp, bởi vậy nên các
kết quả báo sai cũng hất có khả năng xảy ra. Bởi vậy,
chúng tôi khuyên các bạn nên lựa chọn công nghệ IDS và
bởi vậy cung cấp cho chúng ta lựa chọn bổ sung chúng vào
mạng của bạn như phân tích Bayesian. Chúng tôi cũng
quan tâm đến việc những thay đổi tương lai trong công
nghệ IDS có thể mang lại. Cuối cùng chúng tôi sẽ miêu tả
một cách đầy đủ việc bô sung mã nguồn trên Linux.
Ví dụ vê' IDS
Phần này sẽ miêu tả một vài hệ thống IDS bao gồm
giám sát logíĩle, quét các dấu hiệu và phát hiện các dấu
hiệu bất thường.
