Đồ án Xây dựng hệ thống phát hiện xâm nhập với Snort cho một hệ thống thông tin

LỜI CẢM ƠN Trước hết, chúng tôi xin chân thành cảm ơn sự giúp đỡ nhiệt tình của các thầy cô giáo trường Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội đã tận tình dạy dỗ chỉ bảo chúng tôi trong suốt khóa học, cảm ơn tập thể lớp K47CA và đặc biệt là thầy giáo, Thạc sỹ Nguyễn Hoàng Anh, người đã nhiệt tình hướng dẫn, giúp đỡ chúng tôi trong suôt quá trình học tập và nghiên cứu. Cuối cùng chúng tôi muốn gửi lời cảm ơn tới gia đình và người thân đã quan tâm, động viên, chăm lo chúng tôi trong suốt quá trình học tập. Do thời gian và điều kiện thiết bị có hạn nên bản khóa luận này không tránh khỏi những thiếu sót, chúng tôi rất mong muốn nhận được những ý kién đóng góp của các thầy cô và các bạn. Hà nội, tháng 5 năm 2006 Tóm tắt khóa luận Khóa luận được chia thành hai phần. Phần I giới thiệu về hệ thống phát hiện xâm nhập (Intrusion detecsion system). Phần II trình bày cụ thể về hệ thống phát hiện xâm nhập Snort. Phần I trình bày những khái niệm căn bản nhất của hệ thống phát hiện xâm nhập (IDS), các loại IDS, các thành phần và nguyên lý hoạt động của hệ thống IDS. Phần I cũng giới thiệu một số kiểu tấn công phổ biến trên Internet. Phần II trình bày các bộ phận cấu thành Snort, nguyên lý hoạt động và sự phối hợp của các bộ phận cấu thành Snort. Phần II đặc biệt đi sâu về cách xây dựng, quản lý, thực thi và cập nhật các tập luật. Mục lục: Mở đầu Theo Mạng An toàn thông tin VSEC (The VietNamese security network), 70% website tại Việt Nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bị hacker kiểm soát. Điều này cho thấy chính sách về bảo mật của các hệ thống thông tin của Việt Nam chưa được quan tâm và đầu tư đúng mức. Khi một hệ thống thông tin bị hacker kiểm soát thì hậu quả không thể lường trước được. Đặc biệt, nếu hệ thống đó là một trong những hệ thống xung yếu của đất nước như hệ thống chính phủ, hệ thống ngân hàng, hệ thống viễn thông, hệ thống thương mại điện tử thì những thiệt hại về uy tín, kinh tế là rất lớn. Trong bối cảnh đó, hệ thống phát hiện xâm nhập ngày càng trở nên phổ biến và đóng vai trò quan trọng không thể thiếu trong bất kỳ chính sách bảo mật và an toàn thông tin của bất kỳ hệ thống thông tin nào. Các sản phẩm phát hiện xâm nhập hiện nay rất đa dạng và phong phú. Nó có thể là phần cứng hoặc phần mềm. Trong số các sản phẩm phát hiện xâm nhập mềm thì Snort luôn là lựa chọn hàng đầu của những người làm về an toàn thông tin. Với những lý do kể trên chúng tôi quyết định chọn khóa luận tốt nghiệp của mình là “Xây dựng hệ thống phát hiện xâm nhập với Snort cho một hệ thống thông tin”. Phần I: Hệ thống phát hiện xâm nhập (Intrusion detecsion system) 1. Tổng quan hệ thống phát hiện xâm nhập: 1.1. Định nghĩa hệ thống phát hiện xâm nhập 1.1.1. Khái niệm hệ thống phát hiện xâm nhập: Instrusion: là sự xâm nhập vào hệ thống một cách trái phép. Ví dụ một user truy cập vào hệ thống và thao tác như tài khoản root trong khi không được phép. Hệ thống IDS (Intrusion detection system): Là các công cụ, phương thức để giúp nhận biết, đánh giá, và báo cáo những hành động trái phép trên mạng. Chúng ta có thể so sánh firewalls với khoá cửa, intrusion detection với hệ thống cảnh báo trong một ngôi nhà và intrusion prevention với những chú chó gác cửa. Giả sử rằng chúng ta có một kho hàng với rất nhiều tài liệu bí mật và chúng ta muốn bảo vệ với một hệ thống cảnh báo, cửa khoá, và hệ thống camera theo rõi. Cửa có khoá sẽ ngăn chặn cá nhân trái phép xâm nhập vào trong kho hàng này. Bản thân chúng không cảnh báo chúng ta về một sự xâm nhập, nhưng chúng ngăn cản không cho những truy nhập trái phép. Hệ thống cảnh báo sẽ cảnh báo chúng ta trong trường hợp người xâm nhập tìm cách vào trong kho. Hệ thống cảnh báo không làm gì để ngăn chặn sự xâm nhập này, nhưng chúng thông báo cho biết khả năng có xâm nhập. Trong một số trường hợp, Những chú chó bảo vệ có khả năng ngăn chặn sự xâm nhập bằng việc tấn công người xâm nhập. Khoá cửa, hệ thống cảnh báo, và chó gác cửa hoạt động hoạt động độc lập và bổ sung cho nhau nhằm mục đích bảo vệ kho hàng này. Thực tế Firewall, IDS và IPS có công nghệ khác nhau nhưng chúng cùng phối hợp hoạt động để đưa ra cảnh báo và ngăn chặn xâm nhập trái phép vào trong hệ thống mạng. Hơn nữa, Thực thi các biện pháp trên làm tăng mức độ toàn cho nhà kho. Trong ví dụ về nhà kho, hiệu quả nhất là đặt các chuông cảnh báo và khoá tất cả cửa chính và cửa sổ, tốt hơn nữa là đặt máy phát hiện xâm nhập bên trong ngôi nhà. Tốt hơn có chú chó ở bên ngoài để theo dõi và tấn công kẻ xâm nhập. IDS là phương pháp thực hiện một lớp các chương trình an ninh. Sử dụng cách tiếp cận lớp, hoặc phòng thủ theo độ sâu, dựa trên phân tích rủi ro là phương pháp được sử dụng rộng rãi trong hầu hết các chương trình bảo vệ thông tin. Có nghĩa là một mạng lên có nhiều lớp bảo vệ, với mỗi một lớp riêng đó có những chức năng riêng biệt, để bổ sung cho tất cả chiến lược bảo vệ của một tổ chức. Hình sau miêu tả cách tiếp cận bảo mật theo độ sâu, bảo vệ trên nhiều mức. Hình 1.1 Bảo mật theo độ sâu IDS bao gồm sensor đặt ở các nút mạng. Chúng phân tích gói tin tìm các đặc điểm bất thường. Nếu phát hiện điểm bất thường này trùng với một đặc điểm trong một tập các kiểu tấn công đã biết, thì đưa ra cảnh báo, và ghi lại tấn công đó. IDS tương tự như phần mềm chống virus, sử dụng dấu hiệu đã biết để nhận ra traffic có mục đích tấn công. 1.1.2. Các khái niệm thường dùng trong hệ thống phát hiện xâm nhập: 1.1.2.1. Signature Là một thành phần bên trong các gói dữ liệu. Một signature dùng để phát hiện một hoặc nhiều dạng tấn công. Ví dụ như, khi một gói dữ liệu gởi đến webserver mà trong đó có thành phần “scripts/iisadmin” thì sẽ cảnh báo rằng “Có thể Web Server đang bị tấn công”. Signature có thể hiện diện trong các gói tin theo những định dạng khác nhau tùy vào các kiểu tấn công khác nhau. Ví dụ, nó có thể ở trong IP header, transport layer header (TCP hay UDP header), application header, payload,… IDS sẽ dựa vào các signature để phát hiện sự tấn công. Các nhà cung cấp IDS sẽ phải cập nhập Signature khi một kiểu tấn công mới nào đó được phát hiện. Đối với Snort ta có thể tự cập nhập signature. 1.1.2.2. Alert Khi IDS nhận thấy sự tấn công, nó sẽ cảnh báo cho người quản trị bằng nhiều cách khác nhau gọi là alert. 1.1.2.3. Log “Log message” thông thường được lưu trữ trong file. Ví dụ trong Snort, thư mục mặc định chứa file này là: /var/log/snort, nhưng cũng có thể thay đổi thư mục mặc định này. File này có thể ở dạng text hay binary. Nếu ở dạng binary thì dùng công cụ để xem như tcpdump. 1.1.2.4. False Alarm Là một cảnh báo được tạo ra bởi một dấu hiệu không phải là một hành động xâm nhập (ngoài ý muốn). Ví dụ, nếu một host bên trong hệ thống bị cấu hình sai đôi khi sẽ dẫn đến việc tạo ra các cảnh báo sai. Để tránh nó, chúng ta cần phải thay đổi và sử dụng một luật mặc định khác. Trong một vài trường hợp, chúng ta phải disable một số luật để có thể tránh cảnh báo sai. 1.1.2.5. Sensor Bất kỳ thiết bị nào trên đó IDS đang chạy gọi là sensor. Ví dụ một máy tính hay một thiết bị nào đó có Snort đang chạy. 1.2. Phân loại hệ thống IDS 1.2.1. Phân loại IDS Hệ thống phát hiện xâm nhập bao gồm hai loại: Signature –based intrusion Detection system: Mỗi kẻ xâm nhập bất hợp pháp vào hệ thống đều có một chữ ký xác nhận (signature) như virus máy tính và sẽ bị phát hiện bởi các phần mềm. Bằng cách sử dụng tập hợp các signatures và các luật định trước, IDS có khả năng tìm thấy và ghi nhận những dấu hiệu khả nghi và đưa ra lời cảnh báo cần thiết. Anomaly-based intrusion detection system: Kỹ thuật này dựa vào header của các gói khả nghi. Trong một số trường hợp phương pháp này tỏ ra hiệu quả hơn so với signature-based IDS. 1.2.2. Các hình thức của IDS IDS chia làm 3 loại: host-based intrusion-detection system (HIDS), network-based intrusion-detection system (NIDS), và lai của hai hệ thống trên là distributed intrusion detection system (DIDS). Tùy vào mỗi loại mà chúng có cách làm việc khác nhau. Một hệ thống HIDS sẽ yêu cầu một số phần mềm chúng được cài đặt ngay trên hệ thống đó và có thể quét tất cả tài nguyên; Quét log hệ thống (sys log) và log sự kiện (event log). Ghi những hành động tấn công mà nó phát hiện ra vào trong cơ sở dữ liệu được bảo vệ, và kiểm tra xem khi nào có những hành động so sánh giống với những bản ghi hành động tấn công được lưu trong cơ sở tri thức, thì chúng đưa ra cảnh báo. HIDS khác với NIDS ở 2 điểm chính: Một HIDS chỉ có thể bảo vệ cho duy nhất hệ thống chứa nó mà thôi chứ không phải là toàn bộ phân đoạn mạng như NIDS. Card giao tiếp mạng (NIC) của HIDS thường họat động ở chế độ nonpromiscuous. Điều này đem lại nhiều thuận lợi bởi không phải card giao tiếp mạng nào cũng có thể hoạt động ở chế độ promiscuous. Ưu điểm của HIDS là cho phép cấu hình riêng biệt chặt chẽ cho từng host khác nhau. Ví dụ chúng ta không cần phải cấu hình cho việc phát hiện Network File System (NFS) cho host không sử dụng NFS. Hình sau cho ta thấy hệ thống HIDS: Hình 1.2 Host Intrusion Detection System Hệ thống NIDS thì thường thường là hệ thống nội tuyến trên mạng, và phân tích gói tin mạng để tìm những cuộc tấn công. NIDS nhận tất cả gói tin trên phân đoạn mạng riêng biệt, bao gồm mạng chuyển mạch thông qua một vài phương thức, như taps hoặc giám sát cổng (port mirroring). Nó xây dựng luồng traffic để phân tích tìm ra hành động có tính phá hoại. Hầu hết NIDS được trang bị những chức năng để ghi lại những hành động và báo cáo những cảnh báo. Hơn nữa, một số router có khả năng là NIDS. Hình 1.3 Network Intrusion Detection System Trong hình thức này việc giám sát các hoạt động mạng được tiến hành trên toàn bộ các phân đoạn mạng hay mạng con của toàn bộ hệ thống. Điều này thực hiện bằng cách thay đổi chế độ hoạt động của card giao tiếp mạng NIDS. Như ta biết, thông thường card giao tiếp mạng (NIC) ở chế độ nonpromiscuos, nó chỉ cho phép các gói tin có địa chỉ MAC (Medium Access Control) đích là địa chỉ MAC của nó đi qua, còn các gói tin khác sẽ bị loại bỏ. Vì thế để có thể quan sát toàn bộ các hoạt động trên mạng, NIDS NIC phải đặt ở chế độ promiscuous nhờ vậy tất cả các gói tin có thể đi qua. DIDS ( Distributed Intrusion Detection System) Là sự kết hợp các NIDS sensors với nhau hoặc NIDS và HIDS sonsor. Mỗi sensor tạo ra các attack log và uppload cho máy trung tâm nơi có chứa database server để xử lý . Hình 1.4 Distributed Intrusion Detection System Để thấy sự khác biệt giữa NIDS và HIDS ta xem bảng sau: Bảng 1.1 So sánh NIDS và HIDS: NIDS HIDS Hoạt động trong phạm vi rộng (theo dõi các traffic trong mạng) Hoạt động trong phạm vi hẹp ( theo dõi hoạt động của host) Dễ cài đặt Khó cài đặt Khả năng phát hiện tấn công từ bên ngoài vào. Khả năng phát hiện tấn công từ bên trong. Chi phí cài đặt thấp Chi phí cài đặt lớn Phát hiện xâm nhập dựa trên những bản ghi trên phạm vi toàn mạng Phát hiện xâm nhập dựa trên những bản ghi trên phạm vi host đơn lẻ Phân tích header gói tin Không lấy được thông tin header gói tin Tương tác gần như là thời gian thực Chỉ tương tác khi những file log đáng nghi được tạo Độc lập hệ điều hành Phụ thuộc vào hệ điều hành Phát hiện tấn công mạng khi phân tích gói tin. Phát hiện tấn công nội mạng trước khi chúng tấn công mạng Xử lý nền tảng cho IDS là cách NIDS hoặc HIDS tập hợp dữ liệu và tiền xử lý và phân loại chúng. Thực thi những phân tích thống kê để xác định khi nào xảy ra hành động không bình thường, và nếu phù hợp với cơ sở tri thức tức là phát hiện một dấu hiệu tấn công thì cảnh báo được gửi đi. 1.3. Hoạt động của IDS Hoạt động của IDS nói chung như sau: Hình 1.5 Sơ đồ hoạt động IDS Như ta đã biết IDS làm việc như sau: Collect data -> analyze(Thu thập dữ liệu ->Phân tích). Nhưng có nhiều cách khác nhau để làm được điều này, mỗi cách có ưu nhược điểm riêng và tùy vào từng trừơng hợp cụ thể mà ta áp dụng cho phù hợp. 1.3.1. Các phương thức để thu thập dữ liệu 1.3.1.1. Bắt gói tin Là một cách thức cổ điển của IDS. Như ta biết NIDS thiết lập interface của chúng ở trạng thái chế độ promiscuous, và thực hiện thu thập gói tin trên giao diện đó. Bằng cách này, nó có thể chụp lấy gói tin trong cùng subnet. 1.3.1.2. Phân tích log Rất nhiều IDS sử dụng thông tin của file log và cảnh báo nếu chúng phát hiện bất kỳ một sự bất thường nào. 1.3.1.3. Giám sát lời gọi hệ thống Lời gọi hệ thống là một yêu cầu mà chương trình gởi cho nhân hệ điều hành thực hiện. Nếu HIDS phát hiện thấy một lời gọi hệ thống nào là dị thường ví dụ như thay đổi USER ID của tài khoản root, chúng sẽ tạo ra một cảnh báo hay như trong trường hợp chạy trên Linux nó sẽ không cho phép thực thi lời gọi hệ thống đó. 1.3.1.4. Theo dõi file hệ thống HIDS còn có một phương án khác là theo dõi kích thước và thuộc tính của các file cốt lõi (crucial files) trong hệ thống. Nếu đột nhiên nhân hệ điều hành thay đổi kích cỡ mà người quản trị không hề hay biết hay thuộc tính của file bị thay đổi điều đó có nghĩa là có sự xâm nhập nào đó. 1.3.2. Phân tích dữ liệu Có nhiều chiến lược phân tích dữ liệu cho một hệ thống. Xét quá trình phân tích xâm nhập có thể chia làm 4 pha: Tiền xử lý. Phân tích. Phản ứng lại. Cải tiến. Tiền xử lý (Preprocessing ) là chức năng chính thực hiện tập hợp dữ liệu từ IDS senser. Trong bước này, Tổ chức dữ liệu theo một kiểu nào đó nhằm mục đích phân loại được tốt hơn. Tiền xử lý xác định định dạng cho dữ liệu vào, định dạng này là hợp với quy tắc tiểu chuẩn hoặc là hợp với một cấu trúc cơ sở dữ liệu. Khi dữ liệu được định dạng, ta lại phân loại dữ liệu tiếp. Phân loại trên phụ thuộc vào chiến lược phân tích, ví dụ nếu sử dụng phát hiện xâm nhập dựa trên cơ sở luật thì quá trình phân loại phải bao gồm các miêu tả luật và mô hình. Nếu sử dụng phương pháp phát hiện dị thường thì phải có những mô tả thống kê. Cả hai phương pháp này đều được xét đến ở phần sau. Sau khi quá trình phân loại hoàn thành, dữ liệu được ràng buộc với nhau và đưa ra những định nghĩa phiên bản hoặc mẫu phát hiện của một số cuộc tấn công bằng thay thế biến bởi những giá trị xác định, Mẫu phát hiện được lưu ở cơ sở tri thức (knowledgebase) lưu trên máy phân tích trung tâm: Phát hiện sửa đổi file log hệ thống. Phát hiện những thay đổi quyền không mong muốn Phát hiện đường mạng cửa sau Phát hiện SubSeven cửa sau Quyền ORACLE Khi hoàn thành quá trình tiền xử lý, tiếp theo sau đó là quá trình phân tích. Các bản ghi dữ liệu so sánh với cơ sở tri thức, và bản ghi dữ liệu hoặc là được ghi lại khi đây là một cuộc tấn công hoặc là bị xóa. Sau đó bản ghi dữ liệu tiếp theo được phân tích. Bước tiếp theo, phản ứng lại, IDS không có thể ngăn chặn tấn công trái phép mà chúng chỉ đưa ra thông báo. Có một số cách thể hiện thông báo thứ nhất là đưa ra thông báo bản chất của cuộc tấn công hoặc đưa ra phân tích âm mưu của cuộc tấn công. Thông báo phản ứng lại tấn công có thể tự động được thiết lập hoặc có thể cấu hình bình thường bởi người dùng. Ví dụ, Network Flight Recoder ( một loại IDS thương mại) gửi gói tin TCPRST và loại bỏ session. Bước cuối cùng là bước cải tiến. Thực hiện điều chỉnh IDS sao cho phù hợp nhất, bước này phụ thuộc vào bước trước và việc phát hiện xâm nhập. Đưa ra nhận định bảo mật đúng nhất và làm giảm mức độ lỗi và đưa ra mức độ bảo mật đúng đắn nhất. Có một công cụ, như Cisco Threat Response (CTR), cho phép cải tiến phủ hợp đảm bảo một thông báo đưa ra là đúng bị tấn công hoặc không bị tấn công Để làm việc hiệu quả, IDS cần phải có một hoặc thậm chí nhiều chiến thuật để đánh giá. Có hai chiến thuật cớ bản: 1.3.2.1. Biết hành động tốt (know good) và biết hành động xấu (know bad) Tùy theo nhu cầu công việc hay đặc điểm cụ thể, người quản trị có thể thiết lập policy cho mạng hoặc theo kiểu “Chỉ cho phép traffic nào được xem là good –Known Good” hoặc “Chỉ ngăn cấm những traffic nào được xem là bad-Known Bad”. Và yêu cầu đặt ra cho một IDS là làm thế nào để có thể định danh được các lọai traffic khác nhau. Mỗi hướng tiếp cận đều có những ưu nhược điểm riêng Biết hành động tốt (Known Good): Ưu: Quản lý được tòan bộ giao thông trên mạng. Có policy ở cấp độ cao hơn Nhược: Không thích hợp trong trường hợp mạng thường xuyên có sự thay đổi Biết hành động xấu (Know Bad): Ưu: Quản lý dễ dàng. nhược: Khó nắm bắt được tất cả các trường hợp: Nếu có một attack traffic nào đò không được bắt bởi bất cứ một luật nào ->?? Nói chung cách tốt nhất là tiếp cận cả hai cách thiết lập policy trên 1.3.2.2. Phân tích xâm nhập: 1.3.2.2.1. Tổng quan: Signature Detection là cách tiếp cận thường dùng nhất hiện nay bởi chúng dễ kiểm sóat, tiện lợi đồng thời rất tốt trong trường hợp ít kinh nghiệm hay thời gian đào tạo ít. Khi một kiểu tấn công mới xuất hiện, một signature được đánh dấu và tạo ra một hình thức cảnh báo mới tương ứng với signature đó. Một cách tiếp cận phức tạp hơn của cơ sở luật là phân tích luật: Thay vì đề ra các luật để nắm băt các trường hợp cụ thể, phân tích luật tạo ra các mô tả cho các loại hành động cụ thể, ví dụ như: Khi máy tính ta muốn tạo một kết nối TCP, chúng sẽ gửi một gói tin SYN, các gói tin phúc đáp sẽ là RST/ACK hay SYN/ACK, các trường hợp còn lại là vi phạm giao thức trên. Cách này sẽ tạo sự linh động hơn so với Known-Bad. Thay vì đưa ra một luật:“ Nếu có một chuỗi lớn hơn 500 bytes, với các ký tự cụ thể, thì đó là một tấn công”, ta có thể nói “Tại điểm này của kết nối, nếu một chuỗi lớn hơn 500 bytes, thì nó là tấn công. Nhưng tại các điểm khác, nó không là attack”. Tuy nhiên nhược điểm của phương pháp này là : Trong khi các giao thức được định nghĩa một cách rõ ràng và chặt chẽ thì các nhà sản xuất khác nhau lại có khuynh hướng mô tả các giao thức theo các kiểu khác nhau điều đó dẫn đến việc có thể một phân tích giao thức nào đó không phù hợp với RFC nhưng là điều bình thường của một nhà sản xuât nào đó. Hơn nữa để có thể tạo ra một giao thức cụ thể cần rất nhiều thời gian để viết và hiện thực chúng, cũng như việc xem xét phải được thực hiện trên hệ thống có tốc độ cao. Cách tiếp cận khác nữa là anomaly detection: Trong kỹ thuật này, việc quan trọng định danh hai lọai traffic trong mạng “bình thường” và “dị thường” để có thể cảnh báo hay khóa các lọai traffic bất bình thường qua hệ thống. Một số hệ thống IDS sử dụng anomaly detection định dạng chuẩn loại traffic nào là “bình thường”, số khác theo dõi toàn bộ traffic trên hệ thống và sử dụng một giải thuật để phân loại. 1.3.2.2.2. Phát hiện xâm nhập dựa trên luật Phát hiện xâm nhập dựa trên luật, hay còn gọi là phát hiện xâm nhập dựa trên chữ ký, mô hình đối chiếu mẫu, và phát hiện xâm nhập trái phép, là chiến lược đầu tiên được đưa ra trong giai đoạn đầu của hệ thống phát hiện xâm nhập. Phát hiện xâm nhập dựa trên luật sử dụng so sanh mẫu để phát hiện ra mẫu tấn công đã biết. Xem xét cách thức xử lý của bốn bước phân tích đối với hệ thống phát hiện xâm nhập dựa trên luật: 1. Tiền xử lý: bước này tập hợp dữ liệu về cuộc xâm nhập, cuộc tấn công và kế hoạch phân loại hoặc miêu tả mẫu này. Từ kế hoạch phân loại, đưa ra mô hình và đưa ra định dạng chung: Tên chữ ký: đưa ra tên chữ ký. ID chữ ký: một số ID duy nhất chữ ký Miêu tả chữ ký: miêu tả chữ ký và những cái nó làm. Miêu tả khả năng khẳng định sai: giải thích cho những khẳng định sai mà chúng có thể xảy ra. Khi mà một hoạt động mạng bình thường nhưng bị coi là một cuộc tấn công. Thông tin liên quan đến tổn thương: trường này đưa ra thông tin liên quan đến tổn thương. Chú ý sử dụng: trường này cho phép chuyên gia bảo mật thêm chú ý đặc biệt liên quan đến hệ thống mạng của họ Chú ý rằng miêu tả mẫu có thể là miêu tả đơn hoặc miêu tả phức tạp. Miêu tả đơn yêu cầu chỉ cần xem xét một gói tin là có thể nhận biết cảnh báo, trong khi đó miêu tả phức tạp thì cần xem xét nhiều gói tin thì mới nhận biết được cảnh báo. Những miêu tả mẫu này được lưu trong cơ sở tri thức. 2. Phân tích dữ liệu cuộc tấn công được định dạng và so sánh với cơ sở tri thức sử dụng dụng cụ phân tích so sánh mẫu. Dụng cụ này tìm trong những mẫu đã được định nghĩa (chính là các kiểu tấn công) 3. Phản ứng lại: Nếu trùng với mấu tấn công, Dụng cụ phân tích gửi cảnh báo. Nếu chỉ