Đề tài Hệ thống phát hiện xâm nhập IDS

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN CHUYÊN NGÀNH HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS GVHD: Lư Huệ Thu SVTH: Ngô Chánh Tính-107102245 Huỳnh Hoàng Tuấn-107102235 TPHCM, Tháng 11 Năm 2010 MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP Những mối đe dọa về bảo mật Mối đe dọa không có Cấu Trúc (Untructured threat) Mối đe dọa có Cấu Trúc (Structured threat) Mối đe dọa từ Bên Ngoài (External threat) Mối đe dọa từ Bên Trong (Internal threat) Khái niệm về bảo mật Khái Niệm Kiến Trúc Về Bảo Mật Các Phương Pháp Xâm Nhập Hệ Thống Và Phòng Chống Các Phương Pháp Xâm Nhập Hệ Thống Phương thức ăn cắp thống tin bằng Packet Sniffers Phương thức tấn công mật khẩu Password attack Phương thức tấn công bằng Mail Relay Phương thức tấn công hệ thống DNS Phương thức tấn công Man-in-the-middle attack Phương thức tấn công để thăm dò mạng Phương thức tấn công Trust exploitation Phương thức tấn công Port redirection Phương thức tấn công Port redirection Phương thức tấn Virus và Trojan Horse Các Biện Pháp Phát Hiện Và Ngăn Ngừa Xâm Nhập Phương thức ăn cắp thống tin bằng Packet Sniffers Phương thức tấn công mật khẩu Password attack Phương thức tấn công bằng Mail Relay Phương thức tấn công hệ thống DNS Phương thức tấn công Man-in-the-middle attack Phương thức tấn công để thăm dò mạng Phương thức tấn công Trust exploitation Phương thức tấn công Port redirection Phương thức tấn công Port redirection Phương thức tấn Virus và Trojan Horse Sự Cần Thiết Của IDS Sự giới hạn của các biện pháp đối phó Những cố gắng trong việc hạn chế xâm nhập trái phép CHƯƠNG 2: PHÁT HIỆN XÂM NHẬP IDS Tổng Quan Về IDS Giới Thiệu Về IDS Khái niệm “Phát hiện xâm nhập” IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) Phân biệt những hệ thống không phải là IDS Lợi Ích Của IDS: IDS (Intrusion Detection System) IPS (Phát hiện và ngăn chặn xâm nhập) Nguyên lý hoạt động của hệ thống Các kiểu hệ thống IPS Chức Năng của IDS Phân Loại Network-Based IDSs. Lợi thế của Network-Based IDSs. Hạn chế của Network-Based IDSs. Host Based IDS (HIDS). Lợi Thế của HIDS. Hạn chế của HIDS. DIDS. Kiến Trúc Của IDS. Các nhiệm vụ thực hiện. Kiến trúc của hệ thống phát hiện xâm nhập IDS. Phương Thức Thực Hiện. Misuse – based system Anomaly – based system Phân loại các dấu hiệu Phát hiện dấu hiệu không bình thường Các mẫu hành vi thông thường- phát hiện bất thường Các dấu hiệu có hành vi xấu – phát hiện dấu hiệu Tương quan các mẫu tham số CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS Denial of Service attack (Tấn công từ chối dịch vụ) Scanning và Probe (Quét và thăm dò) Password attack (Tấn công vào mật mã) Privilege-grabbing (Chiếm đặc quyền) Hostile code insertion (Cài đặt mã nguy hiểm) Cyber vandalism (Hành động phá hoại trên máy móc) Proprietary data theft (Ăn trộm dữ liệu quan trọng) Fraud, waste, abuse (Gian lận, lãng phí và lạm dụng) Audit trail tampering (Can thiệp vào biên bản) Security infrastructure attack (Tấn công hạ tầng bảo mật) CHƯƠNG III THỰC NGHIỆM Giới thiệu về Snort IDS Giới Thiệu Các thành phần của Snort Tập luật (rulesets) trong Snort Triển Khai IDS Mô hình Thực hiện CHƯƠNG IV KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN I.Kết luận II.Hướng phát triển CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP Hiện nay mạng Internet đã trở thành một phần không thể thiếu của con người. Việc học tập, vui chơi giải trí, kinh doanh, liên lạc trao đổi thông tin trên mạng đã trở thành những hành động thường ngày của mọi người. Khả năng kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người, nhưng nó cũng tiềm ẩn những nguy cơ khó lường đe dọa tới mọi mặt của đời sống xã hội. Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty và gây phiền toái cho người sử dụng Internet… làm cho vấn đề bảo mật trên mạng luôn là một vấn đề nóng và được quan tâm đến trong mọi thời điểm. Cho đến nay, các giải pháp bảo mật luôn được chú trọng và đã có những đóng góp lớn trong việc hạn chế và ngăn chặn những vấn đề về bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật về những loại virus mới nhất. Tuy nhiên hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn cùng với sự gia tăng những vụ lạm dụng, dùng sai xuất phát từ trong hệ thống mà những phương pháp bảo mật truyền thống không chống được. Những điều đó dẫn đến yêu cầu phải có một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền thống. Hệ thống phát hiện xâm nhập trái phép IDS là một phương pháp bảo mật có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống. Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và đã thể hiện vai trò quan trọng trong các chính sách bảo mật. Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập trái phép vẫn mới đang được nghiên cứu, vẫn chưa được ứng dụng vào trong thực tế. Nguyên nhân của việc này có thể do các hệ thống IDS hiện nay quá phức tạp, tốn thời gian đào tạo để sử dụng, cũng có thể do nó là những hệ thống lớn, yêu cầu nhiều trang thiết bị, nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện của các hệ thống ở Việt Nam hiện nay. Từ những vấn đề nêu trên, tôi thực hiện đồ án này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống phát hiện xâm nhập trái phép với vai trò là phương pháp bảo mật mới bổ sung cho những phương pháp bảo mật hiện tại, mà còn có thể xây dựng được một phần mềm IDS phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống và chất lượng dịch vụ cho người dùng. I.NHỮNG MỐI ĐE DỌA VỚI BẢO MẬT 1. Mối đe dọa không có cấu trúc ( Untructured threat) Công cụ hack và script có rất nhiều trên Internet, vì thế bất cứ ai tò mò có thể tải chúng về và sử dụng thử trên mạng nội bộ và các mạng ở xa. Cũng có những người thích thú với việc xâm nhập vào máy tính và các hành động vượt khỏi tầm bảo vệ. Hầu hết tấn công không có cấu trúc đều được gây ra bởi Script Kiddies (những kẻ tấn công chỉ sử dụng các công cụ được cung cấp, không có hoặc có ít khả năng lập trình) hay những người có trình độ vừa phải. Hầu hết các cuộc tấn công đó vì sở thích cá nhân, nhưng cũng có nhiều cuộc tấn công có ý đồ xấu. Những trường hợp đó có ảnh hưởng xấu đến hệ thống và hình ảnh của công ty. Mặc dù tính chuyên môn của các cuộc tấn công dạng này không cao nhưng nó vẫn có thể phá hoại hoạt động của công ty và là một mối nguy hại lớn. Đôi khi chỉ cần chạy một đoạn mã là có thể phá hủy chức năng mạng của công ty. Một Script Kiddies có thể không nhận ra và sử dụng đoạn mã tấn công vào tất cả các host của hệ thống với mục đích truy nhập vào mạng, nhưng kẻ tấn công đã tình cờ gây hỏng hóc cho vùng rộng của hệ thống. Hay trường hợp khác, chỉ vì ai đó có ý định thử nghiệm khả năng, cho dù không có mục đích xấu nhưng đã gây hại nghiêm trọng cho hệ thống. 2. Mối đe dọa có cấu trúc ( Structured threat) Structured threat là các hành động cố ý, có động cơ và kỹ thuật cao. Không như Script Kiddes, những kẻ tấn công này có đủ kỹ năng để hiểu các công cụ, có thể chỉnh sửa các công cụ hiện tại cũng như tạo ra các công cụ mới. Những kẻ tấn công này hoạt động độc lập hoặc theo nhóm, họ hiểu, phát triển và sử dụng các kỹ thuật hack phức tạp nhằm xâm nhập vào mục tiêu. Động cơ của các cuộc tấn công này thì có rất nhiều. Một số yếu tố thường thấy có thể vì tiền, hoạt động chính trị, tức giận hay báo thù. Các tổ chức tội phạm, các đối thủ cạnh tranh hay các tổ chức sắc tộc có thể thuê các chuyên gia để thực hiện các cuộc tấn công dạng structured threat. Các cuộc tấn công này thường có mục đích từ trước, như để lấy được mã nguồn của đối thủ cạnh tranh. Cho dù động cơ là gì, thì các cuộc tấn công như vậy có thể gây hậu quả nghiêm trọng cho hệ thống. Một cuộc tấn công structured thành công có thể gây nên sự phá hủy cho toàn hệ thống. 3. Mối đe dọa từ bên ngoài (External threat) External threat là các cuộc tấn công được tạo ra khi không có một quyền nào trong hệ thống. Người dùng trên toàn thế giới thông qua Internet đều có thể thực hiện các cuộc tấn công như vậy. Các hệ thống bảo vệ vành đai là tuyến bảo vệ đầu tiên chống lại external threat. Bằng cách gia tăng hệ thống bảo vệ vành đai, ta có thể giảm tác động của kiểu tấn công này xuống tối thiểu. Mối đe dọa từ bên ngoài là mối đe dọa mà các công ty thường phải bỏ nhiều tiền và thời gian để ngăn ngừa. 4. Mối đe dọa từ bên trong ( Internal threat ) Thuật ngữ “Mối đe dọa từ bên trong” được sử dụng để mô tả một kiểu tấn công được thực hiện từ một người hoặc một tổ chức có một vài quyền truy cập mạng của bạn. Các cách tấn công từ bên trong được thực hiện từ một khu vực được tin cậy trong mạng. Mối đe dọa này có thể khó phòng chống hơn vì các nhân viên có thể truy cập mạng và dữ liệu bí mật của công ty. Hầu hết các công ty chỉ có các tường lửa ở đường biên của mạng, và họ tin tưởng hoàn toàn vào các ACL (Access Control Lists) và quyền truy cập server để quy định cho sự bảo mật bên trong. Quyền truy cập server thường bảo vệ tài nguyên trên server nhưng không cung cấp bất kì sự bảo vệ nào cho mạng. Mối đe dọa ở bên trong thường được thực hiện bởi các nhân viên bất bình, muốn “quay mặt” lại với công ty. Nhiều phương pháp bảo mật liên quan đến vành đai của mạng, bảo vệ mạng bên trong khỏi các kết nối bên ngoài, như là Internet. Khi vành đai của mạng được bảo mật, các phần tin cậy bên trong có khuynh hướng bị bớt nghiêm ngặt hơn. Khi một kẻ xâm nhập vượt qua vỏ bọc bảo mật cứng cáp đó của mạng, mọi chuyện còn lại thường là rất đơn giản. Đôi khi các cuộc tấn công dạng structured vào hệ thống được thực hiện với sự giúp đỡ của người bên trong hệ thống. Trong trường hợp đó, kẻ tấn công trở thành structured internal threat, kẻ tấn công có thể gây hại nghiên trọng cho hệ thống và ăn trộm tài nguyên quan trọng của công ty. Structured internel threat là kiểu tấn công nguy hiểm nhất cho mọi hệ thống. II.KHÁI NIỆM VỀ BẢO MẬT Khái Niệm Để bảo vệ hệ thống cũng như đề ra các chính sách bảo mật ta cần hiểu sâu các khái niệm về bảo mật. Khi hiểu sâu các khái niệm về bảo mật, phân tích chính xác các cuộc tấn công, phân tích các điểm yếu của hệ thống và tăng cường bảo mật những vùng cần thiết có thể làm giảm thiệt hại gây nên từ các cuộc tấn công vào hệ thống. Kiến Trúc Về Bảo Mật Sau đây là khía cạnh quan trọng của bảo mật mà ta cần phải quan tâm đến nhằm gia tăng độ an toàn cho hệ thống: Xác thực (Authentication): chỉ các tiến trình xử lý nhằm xác định nhận dạng của thực thể liên kết. Thực thể đó có thể là người dùng độc lập hay tiến trình của phần mềm. Ủy quyền (Authorization): chỉ các luật xác định ai có quyền truy nhập vào các tài nguyên của hệ thống. Tính cẩn mật (Confidentiality): nhằm đảm bảo dữ liệu được bảo vệ khỏi những nhóm không được phép truy nhập. Tính cẩn mật yêu cầu dữ liệu trên máy và dữ liệu truyền trên mạng chỉ có thể được đọc bởi những nhóm được phép. Tính toàn vẹn (Integrity): hệ thống đảm bảo tính toàn vẹn của dữ liệu nếu nó ngăn sự thay đổi dữ liệu trái phép. Sự thay đổi bao gồm tạo, ghi, sửa đổi, xóa và xem lại thông điệp đã được truyền. Tính sẵn sàng (Availability): yêu cầu tài sản hệ máy tính là sẵn sàng đối với nhóm được phép. Mục tiêu của kiểu tấn công từ chối dịch vụ DoS là phá hoại tính sẵn sàng của tài nguyên hệ thống, bao gồm tạm thời và lâu dài. III.Các phương pháp xâm nhập hệ thống và phòng chống A.Các phương pháp xâm nhập hệ thống: 1.Phương thức ăn cắp thống tin bằng Packet Sniffers Đây là một chương trình ứng dụng bắt giữ được tất cả các các gói lưu chuyển trên mạng (trên một collision domain). Sniffer thường được dùng cho troubleshooting network hoặc để phân tích traffic. Tuy nhiên, do một số ứng dụng gởi dữ liệu qua mạng dưới dạng clear text (telnet, FTP, SMTP, POP3,...) nên sniffer cũng là một công cụ cho hacker để bắt các thông tin nhạy cảm như là username, password, và từ đó có thể truy xuất vào các thành phần khác của mạng. 2. Phương thức tấn công mật khẩu Password attack Các hacker tấn công password bằng một số phương pháp như: brute-force attack, chương trình Trojan Horse, IP spoofing, và packet sniffer. Mặc dù dùng packet sniffer và IP spoofing có thể lấy được user account và password, như hacker lại thường sử dụng brute-force để lấy user account hơn. Tấn công brute-force được thực hiện bằng cách dùng một chương trình chạy trên mạng, cố gắng login vào các phần share trên server băng phương pháp “thử và sai” passwork. 3.Phương thức tấn công bằng Mail Relay Đây là phương pháp phổ biến hiện nay. Email server nếu cấu hình không chuẩn hoặc Username/ password của user sử dụng mail bị lộ. Hacker có thể lợi dụng email server để gửi mail gây ngập mạng , phá hoại hệ thống email khác. Ngoài ra với hình thức gắn thêm các đoạn script trong mail hacker có thể gây ra các cuộc tấn công Spam cùng lúc với khả năng tấn công gián tiếp đến các máy chủ Database nội bộ hoặc các cuộc tấn công D.o.S vào một mục tiêu nào đó. 4.Phương thức tấn công hệ thống DNS DNS Server là điểm yếu nhất trong toàn bộ các loại máy chủ ứng dụng và cũng là hệ thống quan trọng nhất trong hệ thống máy chủ. Việc tấn công và chiếm quyền điều khiển máy chủ phục vụ DNS là một sự phá hoại nguy hiểm liên quan đến toàn bộ hoạt động của hệ thống truyền thông trên mạng. Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS Cài đặt hệ thống IDS Host cho hệ thống DNS Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS. 5.Phương thức tấn công Man-in-the-middle attack Dạng tấn công này đòi hỏi hacker phải truy nhập được các gói mạng của mạng. Một ví dụ về tấn công này là một người làm việc tại ISP, có thể bắt được tấc cả các gói mạng của công ty khách hàng cũng như tất cả các gói mạng của các công ty khác thuê Leased line đến ISP đó để ăn cắp thông tin hoặc tiếp tục session truy nhập vào mạng riên của công ty khách hàng. Tấn công dạng này được thực hiện nhờ một packet sniffer. 6.Phương thức tấn công để thăm dò mạng Thăm dò mạng là tất cả các hoạt động nhằm mục đích lấy các thông tin về mạng. khi một hacker cố gắng chọc thủng một mạng, thường thì họ phải thu thập được thông tin về mạng càng nhiều càng tốt trước khi tấn công. Điều này có thể thực hiện bởi các công cụ như DNS queries, ping sweep, hay port scan. 7.Phương thức tấn công Trust exploitation Loại tấn công kiểu này được thực hiện bằng cách tận dụng mối quan hệ tin cậy đối với mạng. Một ví dụ cho tấn công kiểu này là bên ngoài firewall có một quan hệ tin cậy với hệ thống bên trong firewall. Khi bên ngoài hệ thống bị xâm hại, các hacker có thể lần theo quan hệ đó để tấn công vào bên trong firewall. 8.Phương thức tấn công Port redirection Tấn công này là một loại của tấn công trust exploitation, lợi dụng một host đã đã bị đột nhập đi qua firewall. Ví dụ, một firewall có 3 inerface, một host ở outside có thể truy nhập được một host trên DMZ, nhưng không thể vào được host ở inside. Host ở DMZ có thể vào được host ở inside, cũng như outside. Nếu hacker chọc thủng được host trên DMZ, họ có thể cài phần mềm trêm host của DMZ để bẻ hướng traffic từ host outside đến host inside. 9.Phương thức tấn công lớp ứng dụng Tấn công lớp ứng dụng được thực hiện bằng nhiều cách khác nhau. Một trong những cách thông dụng nhất là tấn công vào các điểm yếu của phân mềm như sendmail, HTTP, hay FTP. Nguyên nhân chủ yếu của các tấn công lớp ứng dụng này là chúng sử dụng những port cho qua bởi firewall. Ví dụ các hacker tấn công Web server bằng cách sử dụng TCP port 80, mail server bằng TCP port 25. 10.Phương thức tấn Virus và Trojan Horse Các nguy hiểm chính cho các workstation và end user là các tấn công virus và ngựa thành Trojan (Trojan horse). Virus là một phần mềm có hại, được đính kèm vào một chương trình thực thi khác để thực hiện một chức năng phá hại nào đó. Trojan horse thì hoạt động khác hơn. Một ví dụ về Trojan horse là một phần mềm ứng dụng để chạy một game đơn giản ở máy workstation. Trong khi người dùng đang mãi mê chơi game, Trojan horse sẽ gởi một bản copy đến tất cả các user trong address book. Khi user khác nhận và chơi trò chơi, thì nó lại tiếp tục làm như vậy, gởi đến tất cả các địa chỉ mail có trong address book của user đó. B. Các phương pháp phát hiện và ngăn ngừa xâm nhập: 1.Phương thức ăn cắp thống tin bằng Packet Sniffers Khả năng thực hiện Packet Sniffers có thể xảy ra từ trong các Segment của mạng nội bộ, các kết nối RAS hoặc phát sinh trong WAN. Ta có thể cấm packet sniffer bằng một số cách như sau: Authentication Kỹ thuật xác thực này được thực hiện phổ biến như one-type password (OTPs). Kỹ thuật này được thực hiện bao gôm hai yếu tố: personal identification number ( PIN ) và token card để xác thực một thiết bị hoặc một phần mềm ứng dụng. Token card là thiết bị phần cứng hoặc phần mềm sản sinh ra thông tin một cách ngẫu nhiên ( password ) tai một thời điểm, thường là 60 giây. Khách hàng sẽ kết nối password đó với một PIN để tạo ra một password duy nhất. Giả sử một hacker học được password đó bằng kỹ thuật packet sniffers, thông tin đó cũng không có giá trị vì nó đã hết hạn. Dùng switch thay vì Bridge hay hub: hạn chế được các gói broadcast trong mạng. Kỹ thuật này có thể dùng để ngăn chặn packet sniffers trong môi trường mạng. Vd: nếu toàn bộ hệ thống sử dụng switch ethernet, hacker chỉ có thể xâm nhập vào luồng traffic đang lưu thông tại 1 host mà hacker kết nối đến. Kỹ thuật này không làm ngăn chặn hoàn toàn packet sniffer nhưng nó có thể giảm được tầm ảnh hưởng của nó. Các công cụ Anti-sniffer: công cụ này phát hiện sự có mặt của packet siffer trên mạng. Mã hóa: Tất cả các thông tin lưu chuyển trên mạng đều được mã hóa. Khi đó, nếu hacker dùng packet sniffer thì chỉ bắt được các gói dữ liệu đã được mã hóa. Cisco dùng giao thức IPSec để mã hoá dữ liệu. 2. Phương thức tấn công mật khẩu Password attack Phương pháp giảm thiểu tấn công password: Giới han số lần login sai Đặt password dài Cấm truy cập vào các thiết bị, serever từ xa thông qua các giao thức không an toàn như FTP, Telnet, rlogin, rtelnet… ứng dung SSL,SSH vào quản lý từ xa 3.Phương thức tấn công bằng Mail Relay Phương pháp giảm thiểu : Giới hạn dung lương Mail box Sử dụng các phương thức chống Relay Spam bằng các công cụ bảo mật cho SMTP server, đặt password cho SMTP. Sử dụng gateway SMTP riêng 4.Phương thức tấn công hệ thống DNS Phương pháp hạn chế: Hạn chế tối đa các dịch vụ khác trên hệ thống máy chủ DNS Cài đặt hệ thống IDS Host cho hệ thống DNS Luôn cập nhật phiên bản mới có sửa lỗi của hệ thống phần mềm DNS. 5.Phương thức tấn công Man-in-the-middle attack Tấn công dạng này có thể hạn chế bằng cách mã hoá dữ liệu được gởi ra. Nếu các hacker có bắt được các gói dữ liệu thì là các dữ liệu đã được mã hóa. 6.Phương thức tấn công để thăm dò mạng Ta không thể ngăn chặn được hoàn toàn các hoạt độ thăm dò kiểu như vậy. Ví dụ ta có thể tắt đi ICMP echo và echo-reply, khi đó có thể chăn được ping sweep, nhưng lại khó cho ta khi mạng có sự cố, cần phải chẩn đoan lỗi do đâu. NIDS và HIDS giúp nhắc nhở (notify) khi có các hoạt động thăm dò xảy ra trong mạng. 7.Phương thức tấn công Trust exploitation Có thể giới hạn các tấn công kiểu này bằng cách tạo ra các mức truy xuất khác nhau vào mạng và quy định chặt chẽ mức truy xuất nào sẽ được truy xuất vào các tài nguyên nào của mạng. 8.Phương thức tấn công Port redirection Ta ngăn chặn tấn công loại này bằng cách sử dụng HIDS cài trên mỗi server. HIDS có thể giúp phát hiện được các chường trình lạ hoạt động trên server đó. 9.Phương thức tấn công lớp ứng dụng Một số phương cách để hạn chế tấn công lớp ứng dụng: Lưu lại log file, và thường xuên phân tích log file Luôn cập nhật các patch cho OS v