HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG HONEYNET PHÂN HỆ: NGHIÊN CỨU KIẾN TRÚC GEN II HONEYNET

Abstract

Kiến trúc mạng Honeynet thế hệ thứ 2 thuộc một dự án được nghiên cứu, cải tiến và công khai đầu năm 2001 bởi dự án Honeynet. Mô hình mạng Honeynet thế hệ thứ 2 được triển khai với mục đích chính là thu thập thông tin từ các mối đe dọa. Tất cả các lưu lượng mạng đi vào và rời khỏi Honeynet đều phải đi qua Honeywall. Vì vậy, Honeywall có thể kiểm soát tất cả các hoạt động bên trong mạng Honeynet qua các cơ chế kiểm soát dữ liệu, bắt dữ liệu và phân tích dữ liệu. Ngoài ra, người quản trị còn có thể giám sát Honeywall bằng giao diện web gọi là Walleye thông qua giao diện quản trị từ xa. Honeywall trong kiến trúc mạng Honeynet thế hệ thứ 2 được cài đặt bằng chương trình Honeywall CDROM phiên bản 1.4. Honeywall CDROM ROO là một hệ điều hành được xây dựng trên nền tảng CentOS 5.0 giúp cài đặt, triển khai và bảo trì dễ dàng hơn và giảm chi phí khi triển khai mạng Honeynet. Honeywall Roo bao gồm các công cụ bảo mật mã nguồn mở như: Snort, Snort_inline, Argus, TCPdump, Pof, Swatch,… Mô hình mạng Honeynet thế hệ thứ 2 được giả lập bằng công cụ GNS3 và VMware workstation pro 14.0. Kết hợp với các kịch bản tấn công như mã độc máy tính Trojan và sử dụng các công cụ tấn công trên Kali Linux để kiểm tra chức năng và cơ chế hoạt động trong mạng Honeynet. Các thông tin thu thập bởi Honeywall được phân tích và hiển thị một cách tổng quan thông qua giao diện web.