SlideShare une entreprise Scribd logo

Ossec – host based intrusion detection system

Hai Dinh Tuan
Hai Dinh Tuan
1  sur  22
OSSEC – HOST-BASED INTRUSION DETECTION SYSTEM Internship Report – Hai Dinh Tuan
Types of Rootkit Rootkit là những công cụ bằng phần mềm do kẻ xâm nhập cài đặt vào máy tính của nạn nhân nhằm mục đích:  Ẩn giấu một số file và tiến trình chạy ngầm trong hệ thống  Cho phép quay lại xâm nhập máy tính đó để thực hiện các mục đích sau.
Types of Rootkit  Kernel-level Rootkit  Application-level Rootkit
Kernel-level Rootkits  Thay đổi cấu trúc từ kernel để che đậy dấu vết của rootkit  Các rootkit loại này rất khó bị phát hiện, bởi tất cả các process tra cứu thông tin của rootkit trên kernel đếu bị đánh lừa  Cần kiểm tra phần ổ cứng đã bị cài rootkit bằng một hệ điều hành khác và tiến hành kiểm tra hệ thống
Application-level Rootkits  Thay thế môt số các file hệ thống bằng các file giả mạo  Dễ dàng cài đặt hơn, và cũng dễ dàng bị phát hiện hơn so với các rootkit ở mức kernel
Detection technique  Application-level Rootkits Dựa vào signature của rootkit  Kernel-level Rootkits Dựa vào cách kiểm tra và so sánh với trạng thái hoạt động bình thường của hệ thống để phát hiện rootkit
OSSEC Rootkit Detection  Process và Port không hợp lệ Scan port và so sánh với các lệnh kiểm tra hệ thống để phát hiện các port được mở trái phép  Theo dõi những file có permission bất thường  Tìm kiếm những file có dấu vết của rootkit
OSSEC Rootkit Detection  Phát hiện sự thay đổi trên các file quan trọng Tương tự như tính năng syscheck  Theo dõi card mạng Theo dõi các card mạng có mode hoạt động là promiscuous  Users có uid = 0  Phát hiện những hành vi bất thường trong hệ thống
Configuration  Frequency  Disabled  Rootkit_files  Rootkit_Trojans  system_audit  Windows_audit  windows_apps  windows_malware
Configuration Example <rule id=“100703” level=“0”> <if_group>rootcheck</if_group> <hostname>web1</hostname> <description>Ignoring rootcheck alerts from agent “web1”</description> </rule>
Policy Monitoring Nhờ vào tính năng này, OSSEC HIDS có thể từ 1 server và quản lý từ xa toàn bộ các Agent, quản lý các cấu hình cụ thể trên từng Agent, những ứng dụng và dịch vụ nào có thể được cài đặt trên các Agent đó.  Linux: system_audit  Windows: windows_audit, windows_apps, windows_malware
Policy Monitoring Rules Hệ thống Rules mặc định:  512—Windows Audit  513—Windows Malware  514—Windows Application  516—Unix Audit
Configuration Example <rule id=“100712” level=“2”> <if_sid>514</if_sid> <options>alert_by_email</options> <description>Windows application monitor event.</description> <group>rootcheck,</group> </rule>
Active Response Hệ thông sẽ tự động đưa ra các phản ứng đối với những hành vi có nguy cơ gây hại nhằm tăng hiệu quả bảo mật cho hệ thống
Automated Actions  Block/Drop Firewall  Cách ly  Hạ bandwidth  Khóa account
Demo – Normal Active Response <command> <name>mail-notify</name> <executable>mail-notify.sh</executable> <expect>user,srcip</expect> <timeout_allowed>yes</timeout_allowed> </command> <active-response> <disabled>no</disabled> <command>mail-notify</command> <location>server</location> <rules_group>sshd</rules_group> <level>6</level> </active-response>
Demo – Timeout Active Respone <active-response> <disabled>no</disabled> <command>host-deny</command> <location>server</location> <level>10</level> <timeout>600</timeout> </active-response> <active-response> <disabled>no</disabled> <command>firewall-drop</command> <location>server</location> <level>10</level> <timeout>600</timeout> </active-response>
OSSEC – Pros and Cons / Pros  Có thể phát hiện và ngăn chặn các cuộc xâm nhập từ sớm  Kiểm soát sâu được cả các hệ thống đầu cuối  Quản lý các thiết bị của người dùng cuối dễ dàng hơn, đặc biệt là các thiết bị truy cập vào hệ thống mạng từ xa  Theo dõi và quy định các chính sách của doanh nghiệp đối với từng thiết bị  Tính năng theo dõi các lưu lượng mạng ra vào trên các network interface trên hệ thống nhằm phát hiện các hành vi tấn công thông qua các kết nối mạng  Quản lý tập trung
OSSEC – Pros and Cons / Cons  Khi triển khai các giải pháp IDS quản lý tập trung, cần phải lưu ý đến vấn đề lưu trữ và xử lý một khối lượng rất lớn các loại log hệ thống từ các Agent gửi lên OSSEC server.  Trong quá trình vận hành, việc xây dựng thêm các cấu hình, rules, active response configurations đều rất tiềm tang nguy cơ ảnh hưởng đến hệ thống  Tiêu tốn tài nguyên hệ thống
OSSEC – Summary  Host-based Intrusion Detection  Đa nền tảng, mã nguồn mở, khả năng tùy biến cao  Log Analysis, Rootkit Detection, Active Response, Integrity checking  Mô hình hoạt động.  Quá trình phân tích Log (Pre-decoding, Decoding Rule Matching)
OSSEC – Summary Các tính năng chính:  Kiểm tra tính toàn vẹn tập tin  Atomic Rules & Composite Rules  Rootkit Detection  Active Response
Ossec – host based intrusion detection system

Recommandé

Bài giảng kiến trúc máy tính
Bài giảng kiến trúc máy tínhBài giảng kiến trúc máy tính
Bài giảng kiến trúc máy tính
Cao Toa
 
Giáo trình bảo mật thông tin
Giáo trình bảo mật thông tinGiáo trình bảo mật thông tin
Giáo trình bảo mật thông tin
jackjohn45
 
GIỚI THIỆU VỀ DIGITAL FORENSICS
GIỚI THIỆU VỀ DIGITAL FORENSICSGIỚI THIỆU VỀ DIGITAL FORENSICS
GIỚI THIỆU VỀ DIGITAL FORENSICS
Trần Nguyên
 
Tìm hiểu MongoDB
Tìm hiểu MongoDBTìm hiểu MongoDB
Tìm hiểu MongoDB
Trung Hiếu Trần
 
An ninh trong he thong tong tin
An ninh trong he thong tong tinAn ninh trong he thong tong tin
An ninh trong he thong tong tin
Huynh MVT
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Linh Hoang
 
SMOne ManageEngine PAM360- Giải pháp quản lý tài khoản đặc quyền
SMOne ManageEngine PAM360- Giải pháp quản lý tài khoản đặc quyềnSMOne ManageEngine PAM360- Giải pháp quản lý tài khoản đặc quyền
SMOne ManageEngine PAM360- Giải pháp quản lý tài khoản đặc quyền
Phuong Nghiem Sy Tam
 
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
Dịch vụ viết thuê Khóa Luận - ZALO 0932091562
 

Recommandé

Bài giảng kiến trúc máy tính
Bài giảng kiến trúc máy tínhBài giảng kiến trúc máy tính
Bài giảng kiến trúc máy tính
Cao Toa
 
Giáo trình bảo mật thông tin
Giáo trình bảo mật thông tinGiáo trình bảo mật thông tin
Giáo trình bảo mật thông tin
jackjohn45
 
GIỚI THIỆU VỀ DIGITAL FORENSICS
GIỚI THIỆU VỀ DIGITAL FORENSICSGIỚI THIỆU VỀ DIGITAL FORENSICS
GIỚI THIỆU VỀ DIGITAL FORENSICS
Trần Nguyên
 
Tìm hiểu MongoDB
Tìm hiểu MongoDBTìm hiểu MongoDB
Tìm hiểu MongoDB
Trung Hiếu Trần
 
An ninh trong he thong tong tin
An ninh trong he thong tong tinAn ninh trong he thong tong tin
An ninh trong he thong tong tin
Huynh MVT
 
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort idsKịch bản demo phát hiện xâm nhập sử dụng snort ids
Kịch bản demo phát hiện xâm nhập sử dụng snort ids
Linh Hoang
 
SMOne ManageEngine PAM360- Giải pháp quản lý tài khoản đặc quyền
SMOne ManageEngine PAM360- Giải pháp quản lý tài khoản đặc quyềnSMOne ManageEngine PAM360- Giải pháp quản lý tài khoản đặc quyền
SMOne ManageEngine PAM360- Giải pháp quản lý tài khoản đặc quyền
Phuong Nghiem Sy Tam
 
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY200 đề tài luận văn thạc sĩ an ninh mạng. HAY
200 đề tài luận văn thạc sĩ an ninh mạng. HAY
Dịch vụ viết thuê Khóa Luận - ZALO 0932091562
 
MATMA - Chuong2
MATMA - Chuong2MATMA - Chuong2
MATMA - Chuong2
Sai Lemovom
 
Bài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTITBài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTIT
NguynMinh294
 
Slide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITSlide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTIT
NguynMinh294
 
Bài Giảng Cơ Sở Dữ Liệu Hướng Đối Tượng (Object-Oriented Data Base).pdf
Bài Giảng Cơ Sở Dữ Liệu Hướng Đối Tượng (Object-Oriented Data Base).pdfBài Giảng Cơ Sở Dữ Liệu Hướng Đối Tượng (Object-Oriented Data Base).pdf
Bài Giảng Cơ Sở Dữ Liệu Hướng Đối Tượng (Object-Oriented Data Base).pdf
NuioKila
 
Báo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngBáo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạng
jackjohn45
 
Luận văn: Hệ thống phát hiện xâm nhập mạng, HAY
Luận văn: Hệ thống phát hiện xâm nhập mạng, HAYLuận văn: Hệ thống phát hiện xâm nhập mạng, HAY
Luận văn: Hệ thống phát hiện xâm nhập mạng, HAY
Viết thuê trọn gói ZALO 0934573149
 
Chuong 4 - CSDL phân tán
Chuong 4 - CSDL phân tánChuong 4 - CSDL phân tán
Chuong 4 - CSDL phân tán
duysu
 
Bài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinBài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tin
Tran Tien
 
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đĐề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Dịch vụ viết bài trọn gói ZALO 0917193864
 
Chuong 3- CSDL phân tán
Chuong 3- CSDL phân tánChuong 3- CSDL phân tán
Chuong 3- CSDL phân tán
duysu
 
Báo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệpBáo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệp
Le Trung Hieu
 
Metasploit
MetasploitMetasploit
Metasploit
NgcHng148
 
ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...
ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...
ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...
nataliej4
 
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đĐề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Dịch vụ viết bài trọn gói ZALO: 0909232620
 
Kiến trúc máy tính và hợp ngữ bài 04
Kiến trúc máy tính và hợp ngữ bài 04Kiến trúc máy tính và hợp ngữ bài 04
Kiến trúc máy tính và hợp ngữ bài 04
Nhóc Nhóc
 
Chia subnetmask
Chia subnetmaskChia subnetmask
Chia subnetmask
ptquang160492
 
Trắc nghiệm
Trắc nghiệmTrắc nghiệm
Trắc nghiệm
nh0xpooh
 
Phuong phap chia subnet nhanh nhat
Phuong phap chia subnet nhanh nhatPhuong phap chia subnet nhanh nhat
Phuong phap chia subnet nhanh nhat
np_thanh
 
Cơ sở dữ liệu PTIT đại số quan hệ
Cơ sở dữ liệu PTIT đại số quan hệCơ sở dữ liệu PTIT đại số quan hệ
Cơ sở dữ liệu PTIT đại số quan hệ
NguynMinh294
 
Báo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thông
Báo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thôngBáo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thông
Báo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thông
https://www.facebook.com/garmentspace
 
VDC Introduction Feb 2014
VDC Introduction Feb 2014VDC Introduction Feb 2014
VDC Introduction Feb 2014
Cùi Bắp
 
VDC Sercurity 2012
VDC Sercurity 2012VDC Sercurity 2012
VDC Sercurity 2012
Cùi Bắp
 

Contenu connexe

Tendances

Chuong 4 - CSDL phân tán
Chuong 4 - CSDL phân tánChuong 4 - CSDL phân tán
Chuong 4 - CSDL phân tán
duysu
 
Bài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinBài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tin
Tran Tien
 
Chuong 3- CSDL phân tán
Chuong 3- CSDL phân tánChuong 3- CSDL phân tán
Chuong 3- CSDL phân tán
duysu
 
Báo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệpBáo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệp
Le Trung Hieu
 
Kiến trúc máy tính và hợp ngữ bài 04
Kiến trúc máy tính và hợp ngữ bài 04Kiến trúc máy tính và hợp ngữ bài 04
Kiến trúc máy tính và hợp ngữ bài 04
Nhóc Nhóc
 
Trắc nghiệm
Trắc nghiệmTrắc nghiệm
Trắc nghiệm
nh0xpooh
 
Phuong phap chia subnet nhanh nhat
Phuong phap chia subnet nhanh nhatPhuong phap chia subnet nhanh nhat
Phuong phap chia subnet nhanh nhat
np_thanh
 
Báo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thông
Báo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thôngBáo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thông
Báo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thông
https://www.facebook.com/garmentspace
 

Tendances (20)

MATMA - Chuong2
MATMA - Chuong2MATMA - Chuong2
MATMA - Chuong2
 
Bài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTITBài gảng cơ sở an toàn thông tin PTIT
Bài gảng cơ sở an toàn thông tin PTIT
 
Slide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTITSlide An toàn mạng nâng cao PTIT
Slide An toàn mạng nâng cao PTIT
 
Bài Giảng Cơ Sở Dữ Liệu Hướng Đối Tượng (Object-Oriented Data Base).pdf
Bài Giảng Cơ Sở Dữ Liệu Hướng Đối Tượng (Object-Oriented Data Base).pdfBài Giảng Cơ Sở Dữ Liệu Hướng Đối Tượng (Object-Oriented Data Base).pdf
Bài Giảng Cơ Sở Dữ Liệu Hướng Đối Tượng (Object-Oriented Data Base).pdf
 
Báo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạngBáo cáo phân tích thiết kế mạng
Báo cáo phân tích thiết kế mạng
 
Luận văn: Hệ thống phát hiện xâm nhập mạng, HAY
Luận văn: Hệ thống phát hiện xâm nhập mạng, HAYLuận văn: Hệ thống phát hiện xâm nhập mạng, HAY
Luận văn: Hệ thống phát hiện xâm nhập mạng, HAY
 
Chuong 4 - CSDL phân tán
Chuong 4 - CSDL phân tánChuong 4 - CSDL phân tán
Chuong 4 - CSDL phân tán
 
Bài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinBài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tin
 
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đĐề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
Đề tài: Tìm hiểu giải pháp an ninh mạng với firewall, HAY, 9đ
 
Chuong 3- CSDL phân tán
Chuong 3- CSDL phân tánChuong 3- CSDL phân tán
Chuong 3- CSDL phân tán
 
Báo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệpBáo cáo t hiết kế mạng doanh nghiệp
Báo cáo t hiết kế mạng doanh nghiệp
 
Metasploit
MetasploitMetasploit
Metasploit
 
ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...
ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...
ĐỀ TÀI : ĐIỂM DANH BẰNG NHẬN DIỆN KHUÔN MẶT. Giảng viên : PGS.TS. HUỲNH CÔNG ...
 
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đĐề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
Đề tài: Tìm hiểu hệ thống phát hiện xâm nhập IDS-SNORT, 9đ
 
Kiến trúc máy tính và hợp ngữ bài 04
Kiến trúc máy tính và hợp ngữ bài 04Kiến trúc máy tính và hợp ngữ bài 04
Kiến trúc máy tính và hợp ngữ bài 04
 
Chia subnetmask
Chia subnetmaskChia subnetmask
Chia subnetmask
 
Trắc nghiệm
Trắc nghiệmTrắc nghiệm
Trắc nghiệm
 
Phuong phap chia subnet nhanh nhat
Phuong phap chia subnet nhanh nhatPhuong phap chia subnet nhanh nhat
Phuong phap chia subnet nhanh nhat
 
Cơ sở dữ liệu PTIT đại số quan hệ
Cơ sở dữ liệu PTIT đại số quan hệCơ sở dữ liệu PTIT đại số quan hệ
Cơ sở dữ liệu PTIT đại số quan hệ
 
Báo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thông
Báo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thôngBáo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thông
Báo cáo tiểu luận hệ thống tên miền dns - học viện bưu chính viễn thông
 

En vedette

Blackhat Workshop
Blackhat WorkshopBlackhat Workshop
Blackhat Workshop
wremes
 
Securing Hadoop with OSSEC
Securing Hadoop with OSSECSecuring Hadoop with OSSEC
Securing Hadoop with OSSEC
Vic Hargrave
 
IDS+Honeypots Making Security Simple
IDS+Honeypots Making Security SimpleIDS+Honeypots Making Security Simple
IDS+Honeypots Making Security Simple
Gregory Hanis
 
Improve Threat Detection with OSSEC and AlienVault USM
Improve Threat Detection with OSSEC and AlienVault USMImprove Threat Detection with OSSEC and AlienVault USM
Improve Threat Detection with OSSEC and AlienVault USM
AlienVault
 
Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014
Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014
Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014
Santiago Bassett
 

En vedette (20)

VDC Introduction Feb 2014
VDC Introduction Feb 2014VDC Introduction Feb 2014
VDC Introduction Feb 2014
 
VDC Sercurity 2012
VDC Sercurity 2012VDC Sercurity 2012
VDC Sercurity 2012
 
Blackhat Workshop
Blackhat WorkshopBlackhat Workshop
Blackhat Workshop
 
Workshop ssh (OSSEC)
Workshop ssh (OSSEC)Workshop ssh (OSSEC)
Workshop ssh (OSSEC)
 
Poem Codes
Poem CodesPoem Codes
Poem Codes
 
Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012Introducao WAF Tchelinux 2012
Introducao WAF Tchelinux 2012
 
Báo cáo Luận Văn Tốt Nghiệp
Báo cáo Luận Văn Tốt NghiệpBáo cáo Luận Văn Tốt Nghiệp
Báo cáo Luận Văn Tốt Nghiệp
 
Securing Hadoop with OSSEC
Securing Hadoop with OSSECSecuring Hadoop with OSSEC
Securing Hadoop with OSSEC
 
IDS+Honeypots Making Security Simple
IDS+Honeypots Making Security SimpleIDS+Honeypots Making Security Simple
IDS+Honeypots Making Security Simple
 
Managing Your Security Logs with Elasticsearch
Managing Your Security Logs with ElasticsearchManaging Your Security Logs with Elasticsearch
Managing Your Security Logs with Elasticsearch
 
Security Onion Conference - 2015
Security Onion Conference - 2015Security Onion Conference - 2015
Security Onion Conference - 2015
 
Aws security with HIDS, OSSEC
Aws security with HIDS, OSSECAws security with HIDS, OSSEC
Aws security with HIDS, OSSEC
 
Open Source IDS Tools: A Beginner's Guide
Open Source IDS Tools: A Beginner's GuideOpen Source IDS Tools: A Beginner's Guide
Open Source IDS Tools: A Beginner's Guide
 
Improve Threat Detection with OSSEC and AlienVault USM
Improve Threat Detection with OSSEC and AlienVault USMImprove Threat Detection with OSSEC and AlienVault USM
Improve Threat Detection with OSSEC and AlienVault USM
 
Malware Detection with OSSEC HIDS - OSSECCON 2014
Malware Detection with OSSEC HIDS - OSSECCON 2014Malware Detection with OSSEC HIDS - OSSECCON 2014
Malware Detection with OSSEC HIDS - OSSECCON 2014
 
Advanced OSSEC Training: Integration Strategies for Open Source Security
Advanced OSSEC Training: Integration Strategies for Open Source SecurityAdvanced OSSEC Training: Integration Strategies for Open Source Security
Advanced OSSEC Training: Integration Strategies for Open Source Security
 
Implementing ossec
Implementing ossecImplementing ossec
Implementing ossec
 
Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014
Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014
Threat Intelligence with Open Source Tools - Cornerstones of Trust 2014
 
Chuyên đề phương pháp giải bảng tuần hoàn hóa học-g.m.g
Chuyên đề phương pháp giải bảng tuần hoàn hóa học-g.m.gChuyên đề phương pháp giải bảng tuần hoàn hóa học-g.m.g
Chuyên đề phương pháp giải bảng tuần hoàn hóa học-g.m.g
 
SIEM for Beginners: Everything You Wanted to Know About Log Management but We...
SIEM for Beginners: Everything You Wanted to Know About Log Management but We...SIEM for Beginners: Everything You Wanted to Know About Log Management but We...
SIEM for Beginners: Everything You Wanted to Know About Log Management but We...
 

Similaire à Ossec – host based intrusion detection system

Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
Vũ Anh
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2
Con Ranh
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
Vũ Anh
 
Bao cao tttn an ninh web
Bao cao tttn an ninh webBao cao tttn an ninh web
Bao cao tttn an ninh web
Nhóc Mèo
 
He thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSHe thong phat hien xam nhap IDS
He thong phat hien xam nhap IDS
Bui Loc
 
pentest là gì
pentest là gì pentest là gì
pentest là gì
laonap166
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
Long Prồ
 
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Luc Cao
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
An Pham
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
An Pham
 

Similaire à Ossec – host based intrusion detection system (20)

Rà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal SuiteRà soát Malware bằng SysInternal Suite
Rà soát Malware bằng SysInternal Suite
 
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
 
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
 
Bao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucBao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chuc
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
 
Dacs snort
Dacs snortDacs snort
Dacs snort
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananh
 
Bao cao tttn an ninh web
Bao cao tttn an ninh webBao cao tttn an ninh web
Bao cao tttn an ninh web
 
Threat hunting.pptx
Threat hunting.pptxThreat hunting.pptx
Threat hunting.pptx
 
He thong phat hien xam nhap IDS
He thong phat hien xam nhap IDSHe thong phat hien xam nhap IDS
He thong phat hien xam nhap IDS
 
pentest là gì
pentest là gì pentest là gì
pentest là gì
 
Khoa.pptx
Khoa.pptxKhoa.pptx
Khoa.pptx
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
 
Bảo mật ứng dụng web
Bảo mật ứng dụng webBảo mật ứng dụng web
Bảo mật ứng dụng web
 
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
Báo cáo thực tập hàng tuần - Các chuẩn bảo mật web (OWASP)
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
 
Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)Linux web hosting (Thuyet trinh)
Linux web hosting (Thuyet trinh)
 

Plus de Hai Dinh Tuan

Ultra Wideband Technology
Ultra Wideband TechnologyUltra Wideband Technology
Ultra Wideband Technology
Hai Dinh Tuan
 
Effective presentation
Effective presentationEffective presentation
Effective presentation
Hai Dinh Tuan
 
Apache mod security 3.1
Apache mod security 3.1Apache mod security 3.1
Apache mod security 3.1
Hai Dinh Tuan
 
Apache http server 2
Apache http server 2Apache http server 2
Apache http server 2
Hai Dinh Tuan
 

Plus de Hai Dinh Tuan (9)

Equal Cost Multipath Routing in FOKUS OpenSDNCore
Equal Cost Multipath Routing in FOKUS OpenSDNCoreEqual Cost Multipath Routing in FOKUS OpenSDNCore
Equal Cost Multipath Routing in FOKUS OpenSDNCore
 
Traffic Engineering in Software-Defined Networks
Traffic Engineering in Software-Defined NetworksTraffic Engineering in Software-Defined Networks
Traffic Engineering in Software-Defined Networks
 
Inicio - Uncover Your Passion
Inicio - Uncover Your PassionInicio - Uncover Your Passion
Inicio - Uncover Your Passion
 
Ultra Wideband Technology
Ultra Wideband TechnologyUltra Wideband Technology
Ultra Wideband Technology
 
Effective presentation
Effective presentationEffective presentation
Effective presentation
 
Apache mod security 3.1
Apache mod security 3.1Apache mod security 3.1
Apache mod security 3.1
 
Apache http server
Apache http serverApache http server
Apache http server
 
Apache http server 2
Apache http server 2Apache http server 2
Apache http server 2
 
Resource space
Resource spaceResource space
Resource space
 

Ossec – host based intrusion detection system

  • 1. OSSEC – HOST-BASED INTRUSION DETECTION SYSTEM Internship Report – Hai Dinh Tuan
  • 2. Types of Rootkit Rootkit là những công cụ bằng phần mềm do kẻ xâm nhập cài đặt vào máy tính của nạn nhân nhằm mục đích:  Ẩn giấu một số file và tiến trình chạy ngầm trong hệ thống  Cho phép quay lại xâm nhập máy tính đó để thực hiện các mục đích sau.
  • 3. Types of Rootkit  Kernel-level Rootkit  Application-level Rootkit
  • 4. Kernel-level Rootkits  Thay đổi cấu trúc từ kernel để che đậy dấu vết của rootkit  Các rootkit loại này rất khó bị phát hiện, bởi tất cả các process tra cứu thông tin của rootkit trên kernel đếu bị đánh lừa  Cần kiểm tra phần ổ cứng đã bị cài rootkit bằng một hệ điều hành khác và tiến hành kiểm tra hệ thống
  • 5. Application-level Rootkits  Thay thế môt số các file hệ thống bằng các file giả mạo  Dễ dàng cài đặt hơn, và cũng dễ dàng bị phát hiện hơn so với các rootkit ở mức kernel
  • 6. Detection technique  Application-level Rootkits Dựa vào signature của rootkit  Kernel-level Rootkits Dựa vào cách kiểm tra và so sánh với trạng thái hoạt động bình thường của hệ thống để phát hiện rootkit
  • 7. OSSEC Rootkit Detection  Process và Port không hợp lệ Scan port và so sánh với các lệnh kiểm tra hệ thống để phát hiện các port được mở trái phép  Theo dõi những file có permission bất thường  Tìm kiếm những file có dấu vết của rootkit
  • 8. OSSEC Rootkit Detection  Phát hiện sự thay đổi trên các file quan trọng Tương tự như tính năng syscheck  Theo dõi card mạng Theo dõi các card mạng có mode hoạt động là promiscuous  Users có uid = 0  Phát hiện những hành vi bất thường trong hệ thống
  • 9. Configuration  Frequency  Disabled  Rootkit_files  Rootkit_Trojans  system_audit  Windows_audit  windows_apps  windows_malware
  • 10. Configuration Example <rule id=“100703” level=“0”> <if_group>rootcheck</if_group> <hostname>web1</hostname> <description>Ignoring rootcheck alerts from agent “web1”</description> </rule>
  • 11. Policy Monitoring Nhờ vào tính năng này, OSSEC HIDS có thể từ 1 server và quản lý từ xa toàn bộ các Agent, quản lý các cấu hình cụ thể trên từng Agent, những ứng dụng và dịch vụ nào có thể được cài đặt trên các Agent đó.  Linux: system_audit  Windows: windows_audit, windows_apps, windows_malware
  • 12. Policy Monitoring Rules Hệ thống Rules mặc định:  512—Windows Audit  513—Windows Malware  514—Windows Application  516—Unix Audit
  • 13. Configuration Example <rule id=“100712” level=“2”> <if_sid>514</if_sid> <options>alert_by_email</options> <description>Windows application monitor event.</description> <group>rootcheck,</group> </rule>
  • 14. Active Response Hệ thông sẽ tự động đưa ra các phản ứng đối với những hành vi có nguy cơ gây hại nhằm tăng hiệu quả bảo mật cho hệ thống
  • 15. Automated Actions  Block/Drop Firewall  Cách ly  Hạ bandwidth  Khóa account
  • 16. Demo – Normal Active Response <command> <name>mail-notify</name> <executable>mail-notify.sh</executable> <expect>user,srcip</expect> <timeout_allowed>yes</timeout_allowed> </command> <active-response> <disabled>no</disabled> <command>mail-notify</command> <location>server</location> <rules_group>sshd</rules_group> <level>6</level> </active-response>
  • 17. Demo – Timeout Active Respone <active-response> <disabled>no</disabled> <command>host-deny</command> <location>server</location> <level>10</level> <timeout>600</timeout> </active-response> <active-response> <disabled>no</disabled> <command>firewall-drop</command> <location>server</location> <level>10</level> <timeout>600</timeout> </active-response>
  • 18. OSSEC – Pros and Cons / Pros  Có thể phát hiện và ngăn chặn các cuộc xâm nhập từ sớm  Kiểm soát sâu được cả các hệ thống đầu cuối  Quản lý các thiết bị của người dùng cuối dễ dàng hơn, đặc biệt là các thiết bị truy cập vào hệ thống mạng từ xa  Theo dõi và quy định các chính sách của doanh nghiệp đối với từng thiết bị  Tính năng theo dõi các lưu lượng mạng ra vào trên các network interface trên hệ thống nhằm phát hiện các hành vi tấn công thông qua các kết nối mạng  Quản lý tập trung
  • 19. OSSEC – Pros and Cons / Cons  Khi triển khai các giải pháp IDS quản lý tập trung, cần phải lưu ý đến vấn đề lưu trữ và xử lý một khối lượng rất lớn các loại log hệ thống từ các Agent gửi lên OSSEC server.  Trong quá trình vận hành, việc xây dựng thêm các cấu hình, rules, active response configurations đều rất tiềm tang nguy cơ ảnh hưởng đến hệ thống  Tiêu tốn tài nguyên hệ thống
  • 20. OSSEC – Summary  Host-based Intrusion Detection  Đa nền tảng, mã nguồn mở, khả năng tùy biến cao  Log Analysis, Rootkit Detection, Active Response, Integrity checking  Mô hình hoạt động.  Quá trình phân tích Log (Pre-decoding, Decoding Rule Matching)
  • 21. OSSEC – Summary Các tính năng chính:  Kiểm tra tính toàn vẹn tập tin  Atomic Rules & Composite Rules  Rootkit Detection  Active Response