Bài 5: Host-based IDPS (HIDPS)

Môn học: NT204 – Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập
Tài liệu tham khảo: NIST, Chương 7

1. Tổng quan Endpoint Security

Trong mạng LAN, có 2 thành phần chính cần được bảo vệ:

  • Endpoint – Các hosts thường là laptop, máy bàn, máy in, server, điện thoại IP, …
  • Hạ tầng mạng – Các thiết bị kết nối endpoint trong LAN: switch, thiết bị không dây, thiết bị thoại IP, …

Làm sao để bảo vệ các endpoint?

Discover → Inventory → Monitor → Protect

Bộ giải pháp Host-based Security gồm:

  • Antivirus
  • Anti-phishing
  • Safe browsing
  • Host-based Intrusion Prevention System (HIDPS)
  • Firewall
  • Ghi log (logging)

2. Host-based Malware Protection

Các phần mềm Antimalware/Antivirus hoạt động theo 3 phương pháp:

Phương phápMô tả
Signature-basedPhát hiện các đặc điểm khác nhau của những file malware đã biết
Heuristics-basedPhát hiện các tính năng chung thường được sử dụng bởi các loại malware
Behavior-basedDựa trên việc phân tích các hành vi đáng ngờ

3. Host-based Firewall

Host-based firewall là các chương trình phần mềm kiểm soát traffic đi vào và đi ra một máy tính/thiết bị.

Các loại host-based firewall phổ biến:

  • Windows Firewall – Sử dụng hướng tiếp cận profile-based để cấu hình hoạt động của firewall
  • Iptables – Cho phép cấu hình các rule kiểm soát truy cập trên các hệ thống Linux
  • Nftables – Kế thừa từ iptables, sử dụng 1 máy ảo đơn giản trong kernel Linux
  • TCP Wrapper (Linux) – Hệ thống kiểm soát truy cập và ghi log dựa trên rule

4. Host-based IDPS (HIDPS)

Định nghĩa

Host-based IDPS theo dõi các đặc điểm của 1 host và các sự kiện xảy ra trong host đó (trong mạng LAN) để nhận biết các hành vi đáng ngờ.

Những gì HIDPS theo dõi:

  • Traffic mạng có dây và không dây (chỉ cho host/server đó)
  • Log hệ thống, tiến trình đang chạy, các file, các hoạt động truy cập và thay đổi file
  • Thay đổi trong cấu hình hệ thống và ứng dụng, registry (Windows)
  • Traffic do host đó tạo ra

5. Các thành phần của HIDPS

Agent

Agent là phần mềm hoặc phần cứng chuyên dụng, thực hiện theo dõi các hoạt động trên 1 host và gửi dữ liệu đến các server quản lý.

Mỗi agent thường được thiết kế cụ thể để bảo vệ:

Theo dõi hệ điều hành của server, một số ứng dụng phổ biến
Theo dõi hệ điều hành và các ứng dụng client phổ biến như e-mail client, trình duyệt web, …
Theo dõi một dịch vụ ứng dụng như Web server hoặc server CSDL
(còn được gọi là application-based IDPS)

6. Kiến trúc mạng HIDPS

graph TD Internet --> Router Router --> Switch Switch --> Firewall Firewall --> DMZ_Switch[DMZ Switch] Firewall --> Switch2[Switch] DMZ_Switch --> WebServer[Web Server + IDPS Agent] DMZ_Switch --> MailServer[Mail Server + IDPS Agent] DMZ_Switch --> DNSServer[DNS Server + IDPS Agent] Switch2 --> Switch3[Switch] Switch3 --> MailServer2[Mail Server + IDPS Agent] Switch3 --> HostAppliance[Host IDPS Appliance] Switch3 --> MgmtServer[IDPS Management Server] Switch2 --> InternalNetwork[Internal Network] InternalNetwork --> IDPSConsoles[IDPS Consoles] InternalNetwork --> DBServer[Database Server]

7. Vị trí triển khai Agent

  • Có thể triển khai agent trên hầu hết các server và máy bàn/laptop.
  • Thường dùng để phân tích các hoạt động mà các biện pháp kiểm soát an ninh khác không theo dõi được.

Các yếu tố cần xem xét khi lựa chọn vị trí agent:

  • Chi phí triển khai, vận hành và theo dõi các agent
  • Các hệ điều hànhứng dụng được agent hỗ trợ
  • Tầm quan trọng của dữ liệu hoặc dịch vụ trên các host
  • Khả năng hỗ trợ các agent của hạ tầng

8. Các kiến trúc Host

8.1 Cấu hình tập trung (Centralized)

flowchart TD Host -->|1. Event| Console Console -->|2. Analysis| Analysis[Analysis Engine] Analysis -->|3. Log| Log Analysis -->|4. Alert| Alert Alert -->|5. Response| Response Response -->|6. Store| DB[(Database - Long-term)]

Đặc điểm:

  • Các agent gửi tất cả dữ liệu đến 1 vị trí trung tâm
  • Hiệu suất của host không bị ảnh hưởng bởi IDPS
  • Các cảnh báo có thể không theo thời gian thực

8.2 Cấu hình phân tán (Distributed)

flowchart LR subgraph Host E[1. Event] --> A[2. Analysis] A --> R[4. Response] end subgraph Console AL[3. Alert] LT[5. Long-term Analysis] end E --> AL AL --> LT

Đặc điểm:

  • Việc xử lý các sự kiện được phân tán giữa host và console
  • Host tạo và phân tích sự kiện theo thời gian thực
  • Giảm hiệu suất trên các host

9. Hoạt động của HIDPS

HIDPS có khả năng ngăn chặn tấn công do sử dụng các kỹ thuật phát hiện sau:

flowchart TD DS[Data Source] --> SB[Signature-based] DS --> AB[Anomaly-based] SB --> MP[Match Pattern] AB --> GAP[Generate Activity Profile] MP --> SR[Security Rules] GAP --> DA[Detect Anomalies] SR --> GAR[Generate Alerts / Reports] DA --> GAR
Kỹ thuậtMô tả
Signature-basedHành vi bình thường được định nghĩa bằng các rule; phát hiện hành vi vi phạm rule đã định nghĩa trước
Anomaly-basedHành vi của host được so sánh với một mô hình baseline đã được học trước (các ngưỡng)

10. Khả năng bảo mật của HIDPS

10.1 Khả năng phát hiện tấn công

Các kỹ thuật phát hiện:

Độ chính xác

Tuỳ chỉnh

Kết nối tự động HIDPS với các hệ thống quản lý thay đổi là không khả thi.

Quản trị viên cần thường xuyên:

  • Xem các record quản lý các thay đổi
  • Thay đổi các cấu hình host và các policy trên HIDPS để ngăn false positive

Hỗ trợ tuỳ chỉnh:

  • Các policies có thể linh hoạt được cài đặt trên một hoặc nhóm các host
  • Hỗ trợ whitelistblacklist
  • Tuỳ chỉnh các cảnh báo, xác định hành động phản ứng cần được thực hiện với mỗi cảnh báo

10.2 Khả năng ngăn chặn tấn công

Kỹ thuậtKhả năng ngăn chặn
Phân tích codeNgăn việc code được thực thi (malware, ứng dụng không có quyền); ngăn ứng dụng mạng gọi shell
Phân tích lưu lượng mạngNgăn việc xử lý lưu lượng mạng đi vào/ra host
Lọc lưu lượng mạngNgăn các truy cập trái phép và vi phạm chính sách
Theo dõi hệ thống fileNgăn việc truy cập, thay đổi, ghi đè, hoặc xoá file; ngăn cài đặt malware

10.3 Các khả năng khác

  • Giới hạn thiết bị removable: Giới hạn sử dụng USB và các thiết bị lưu trữ truyền thống.
  • Giám sát thiết bị nghe nhìn: Giám sát khi host kích hoạt/sử dụng microphone, camera, điện thoại IP, …
  • Host Hardening: Gỡ bỏ app không cần thiết; khóa port/dịch vụ không cần thiết; khóa/thay đổi tài khoản/mật khẩu mặc định.
  • Theo dõi trạng thái tiến trình: Theo dõi tiến trình/dịch vụ đang chạy; tự động khởi chạy lại nếu phát hiện tiến trình đã dừng.
  • Làm sạch (sanitize) lưu lượng mạng: Một số agent (thường là loại phần cứng) có thể làm sạch lưu lượng mạng theo dõi được.

11. Quản lý HIDPS

Triển khai

Vận hành

  • Tương tự như các công nghệ IDPS điển hình.
  • Một số agent có khả năng định kỳ kiểm tra cập nhật trên server quản lý và tự động lấy về để cài đặt/áp dụng.

12. Hạn chế của HIDPS

13. Ưu điểm và Nhược điểm

mindmap root((HIDPS)) Ưu điểm Phát hiện sự kiện trên host Phát hiện thay đổi file, bộ nhớ, ứng dụng Xử lý được lưu lượng mã hoá So sánh được log theo dõi Nhược điểm Thêm vấn đề quản lý Cần deploy agent từng host Dễ bị tấn công DoS Cần không gian ổ đĩa lớn Ảnh hưởng hiệu suất host

14. Một số nền tảng HIDPS phổ biến

Hầu hết HIDPS sử dụng phần mềm trên host và một số chức năng quản lý bảo mật tập trung cho phép tích hợp với các dịch vụ theo dõi an ninh mạng và threat intelligence.

Nền tảngMô tả
Cisco AMPAdvanced Malware Protection for Endpoints
AlienVault USMUnified Security Management
TripwireFile Integrity Monitoring & Security Configuration Management
WazuhNền tảng bảo mật mã nguồn mở toàn diện
OSSECOpen Source HIDS SECurity

Wazuh – Nền tảng bảo mật mã nguồn mở toàn diện

flowchart LR subgraph WazuhAgent["Wazuh Agent"] AD[Agent Daemon] AD --> IM[Integrity Monitoring] AD --> LC[Log Collection] AD --> MM[Modules Manager] AD --> CA[Configuration Assessment] AD --> INV[Inventory] IM --> CF[Configuration files] IM --> BIN[Binaries] LC --> SE[System events] LC --> LF[Log files] MM --> SCAP[Open-SCAP] CA --> CIS[CIS baseline checks] CA --> HC[Hardening checks] end subgraph WazuhServer["Wazuh Server"] DEC[Decoders] --> ADAEMON[Analysis Daemon] RULES[Rules] --> ADAEMON ADAEMON --> ALERTS[alerts.json] ADAEMON --> ARCHIVES[archives.json] ADAEMON --> FIMD[(FIM Database)] ADAEMON --> RDB[(Rootcheck DB)] ADAEMON --> STATS[(Stats Data)] ADAEMON --> RD[Remote Daemon] RD --> AK[Agent keys] RD --> CB[Control binaries] ADAEMON --> API[RESTful API] end WazuhAgent -->|Data| WazuhServer

Các chức năng của Wazuh:

  • Security Analytics
  • Intrusion Detection
  • Log Data Analysis
  • File Integrity Monitoring
  • Vulnerability Detection
  • Configuration Assessment
  • Incident Response
  • Regulatory Compliance
  • Cloud Security
  • Containers Security

Câu hỏi Trắc nghiệm

Câu 1. Host-based IDPS (HIDPS) theo dõi những gì để nhận biết hành vi đáng ngờ?

  • A. Toàn bộ lưu lượng mạng trong LAN
  • B. Các đặc điểm của host và các sự kiện xảy ra trong host đó
  • C. Chỉ các gói tin đến từ internet
  • D. Chỉ các tiến trình hệ thống đang chạy

Câu 2. Đâu là điểm khác biệt quan trọng của HIDPS so với Network-based IDPS?

  • A. HIDPS không thể phát hiện tấn công
  • B. HIDPS không lắng nghe các gói tin khi chúng đi vào mạng LAN
  • C. HIDPS chỉ hoạt động trên Windows
  • D. HIDPS không có khả năng ghi log

Câu 3. Trong Host-based Security, 4 bước bảo vệ endpoint theo thứ tự đúng là?

  • A. Monitor → Discover → Inventory → Protect
  • B. Discover → Monitor → Inventory → Protect
  • C. Discover → Inventory → Monitor → Protect
  • D. Inventory → Discover → Protect → Monitor

Câu 4. Phương pháp phát hiện malware nào dựa trên việc nhận diện các đặc điểm của file malware đã biết?

  • A. Behavior-based
  • B. Heuristics-based
  • C. Signature-based
  • D. Anomaly-based

Câu 5. Phương pháp phát hiện malware nào dựa trên phân tích hành vi đáng ngờ?

  • A. Signature-based
  • B. Behavior-based
  • C. Heuristics-based
  • D. Rule-based

Câu 6. Nftables là gì?

  • A. Một loại firewall phần cứng
  • B. Một firewall cho Windows sử dụng profile-based
  • C. Kế thừa từ iptables, là ứng dụng firewall Linux sử dụng máy ảo đơn giản trong kernel
  • D. Một hệ thống kiểm soát truy cập dựa trên rule cho Unix

Câu 7. TCP Wrapper được sử dụng trên hệ điều hành nào?

  • A. Windows
  • B. macOS
  • C. Linux
  • D. FreeBSD

Câu 8. Agent trong HIDPS là gì?

  • A. Một thiết bị phần cứng đặt tại gateway
  • B. Phần mềm hoặc phần cứng chuyên dụng theo dõi hoạt động trên 1 host và gửi dữ liệu đến server quản lý
  • C. Một server quản lý trung tâm
  • D. Một loại firewall đặc biệt

Câu 9. HIDPS thường được triển khai ưu tiên trên loại host nào?

  • A. Tất cả các máy tính trong mạng
  • B. Chỉ các máy bàn của nhân viên
  • C. Các server có thể truy cập từ internet và server chứa thông tin quan trọng
  • D. Chỉ các router và switch

Câu 10. Loại agent nào theo dõi một dịch vụ ứng dụng cụ thể như Web server hoặc server cơ sở dữ liệu?

  • A. Server agent
  • B. Client agent
  • C. Application-based IDPS agent
  • D. Network agent

Câu 11. Ưu điểm của HIDPS so với NIDPS khi xử lý kết nối mã hoá là gì?

  • A. HIDPS không thể xử lý kết nối mã hoá
  • B. HIDPS có thể theo dõi hoạt động sau khi giải mã ở endpoint
  • C. HIDPS giải mã trực tiếp trên đường truyền
  • D. HIDPS bỏ qua các kết nối mã hoá

Câu 12. Trong cấu hình tập trung (Centralized) của HIDPS, điều gì xảy ra với hiệu suất của host?

  • A. Hiệu suất bị giảm đáng kể
  • B. Hiệu suất không bị ảnh hưởng bởi IDPS
  • C. Hiệu suất tăng lên
  • D. Host không thể hoạt động bình thường

Câu 13. Nhược điểm nào của cấu hình tập trung so với phân tán?

  • A. Tốn nhiều tài nguyên trên host hơn
  • B. Cảnh báo có thể không theo thời gian thực
  • C. Không hỗ trợ nhiều host
  • D. Không thể ghi log

Câu 14. Trong cấu hình phân tán (Distributed), host thực hiện chức năng gì?

  • A. Chỉ thu thập dữ liệu và gửi về server
  • B. Tạo và phân tích sự kiện theo thời gian thực
  • C. Không thực hiện bất kỳ phân tích nào
  • D. Chỉ lưu log dài hạn

Câu 15. Kỹ thuật phát hiện nào trong HIDPS thực thi code trong sandbox để phân tích hành vi?

  • A. Signature-based detection
  • B. Buffer overflow detection
  • C. Phân tích hoạt động của code (Dynamic code analysis)
  • D. System call monitoring

Câu 16. Phát hiện buffer overflow trong HIDPS hoạt động như thế nào?

  • A. So sánh checksum của file
  • B. Phân tích nội dung email
  • C. Tìm các đặc điểm đặc trưng như chuỗi instruction hoặc hành vi truy cập vùng nhớ không được cấp phát
  • D. Theo dõi kết nối mạng

Câu 17. Agent trong HIDPS có thể giới hạn driver nào được load để ngăn chặn điều gì?

  • A. Ngăn chặn truy cập internet
  • B. Ngăn việc cài đặt rootkit hoặc các tấn công khác
  • C. Ngăn chặn cập nhật hệ thống
  • D. Ngăn chặn kết nối USB

Câu 18. Chức năng “Lọc lưu lượng mạng” trong HIDPS thường bao gồm gì?

  • A. Một proxy server
  • B. Một tường lửa host-based có thể giới hạn lưu lượng ra/vào cho mỗi ứng dụng
  • C. Một IDS network sensor
  • D. Một VPN gateway

Câu 19. Theo dõi File System trong HIDPS thực hiện những gì?

  • A. Chỉ kiểm tra dung lượng ổ đĩa
  • B. Kiểm tra tính toàn vẹn của file, kiểm tra đặc điểm file, theo dõi các truy cập file
  • C. Chỉ theo dõi file được tạo mới
  • D. Chỉ theo dõi file bị xoá

Câu 20. Tại sao độ chính xác là thách thức lớn hơn đối với HIDPS?

  • A. HIDPS có quá nhiều dữ liệu để xử lý
  • B. Nhiều kỹ thuật phát hiện không có kiến thức về ngữ cảnh các sự kiện diễn ra
  • C. HIDPS không hỗ trợ machine learning
  • D. HIDPS chỉ có 1 kỹ thuật phát hiện

Câu 21. Giải pháp để cải thiện độ chính xác của HIDPS là gì?

  • A. Chỉ sử dụng signature-based detection
  • B. Sử dụng kết hợp nhiều kỹ thuật phát hiện
  • C. Tăng số lượng agent
  • D. Giảm số lượng rule

Câu 22. Tại sao kết nối tự động HIDPS với hệ thống quản lý thay đổi là không khả thi?

  • A. Vì HIDPS không hỗ trợ API
  • B. Đây là nhận định từ bài giảng, do sự phức tạp trong việc đồng bộ thay đổi cấu hình
  • C. Vì HIDPS không có console quản lý
  • D. Vì chi phí quá cao

Câu 23. HIDPS hỗ trợ cơ chế nào để kiểm soát danh sách ứng dụng được phép?

  • A. Chỉ blacklist
  • B. Chỉ whitelist
  • C. Cả whitelist và blacklist
  • D. Không hỗ trợ cả hai

Câu 24. Kỹ thuật ngăn chặn nào trong HIDPS có thể ngăn ứng dụng mạng gọi shell?

  • A. Lọc lưu lượng mạng
  • B. Phân tích code
  • C. Theo dõi file system
  • D. Phân tích log

Câu 25. Theo dõi hệ thống file trong HIDPS có thể ngăn chặn điều gì?

  • A. Chỉ ngăn việc xoá file
  • B. Ngăn việc truy cập, thay đổi, ghi đè, xoá file và ngăn cài đặt malware
  • C. Chỉ ngăn việc copy file
  • D. Không có khả năng ngăn chặn

Câu 26. Chức năng “Host Hardening” trong HIDPS bao gồm gì?

  • A. Cài đặt thêm phần mềm bảo mật
  • B. Gỡ bỏ app không cần thiết; khóa port/dịch vụ không cần thiết; khóa/thay đổi tài khoản/mật khẩu mặc định
  • C. Chỉ cập nhật hệ điều hành
  • D. Chỉ thay đổi mật khẩu

Câu 27. Chức năng “Theo dõi trạng thái tiến trình” của HIDPS hoạt động như thế nào khi phát hiện một tiến trình/dịch vụ đã dừng?

  • A. Gửi cảnh báo và chờ admin xử lý
  • B. Tự động khởi chạy lại tiến trình đó
  • C. Tắt host để bảo vệ
  • D. Chặn toàn bộ kết nối mạng

Câu 28. Loại agent nào thường thực hiện chức năng “Làm sạch (sanitize) lưu lượng mạng”?

  • A. Agent phần mềm
  • B. Agent dựa trên phần cứng
  • C. Agent ảo
  • D. Agent cloud

Câu 29. Khi triển khai HIDPS, sau khi đánh giá trên môi trường thử nghiệm, bước tiếp theo nên là gì?

  • A. Triển khai ngay trên toàn bộ mạng sản xuất
  • B. Triển khai trên một vùng thí điểm nhỏ trong mạng sản xuất
  • C. Đánh giá thêm trong môi trường thử nghiệm
  • D. Chờ đến khi có sự cố mới triển khai

Câu 30. Một số agent HIDPS có thể tự động làm gì liên quan đến cập nhật?

  • A. Cập nhật hệ điều hành của host
  • B. Định kỳ kiểm tra cập nhật trên server quản lý và tự động lấy về cài đặt
  • C. Gửi email thông báo cho admin khi có cập nhật
  • D. Chặn mọi cập nhật để đảm bảo ổn định

Câu 31. Đâu là hạn chế về mặt thời gian của HIDPS trong cấu hình tập trung?

  • A. HIDPS không thể tạo cảnh báo
  • B. Cảnh báo có thể bị trễ do được chuyển định kỳ chứ không theo thời gian thực
  • C. HIDPS chỉ hoạt động theo lịch định sẵn
  • D. HIDPS không hỗ trợ cảnh báo tự động

Câu 32. HIDPS có thể xung đột với loại cơ chế bảo mật nào?

  • A. Antivirus
  • B. Personal firewall nếu có chức năng bị trùng lặp
  • C. VPN
  • D. Proxy server

Câu 33. Ưu điểm nào của HIDPS so với NIDPS trong việc phát hiện thay đổi hệ thống?

  • A. HIDPS phát hiện tấn công mạng nhanh hơn
  • B. HIDPS phát hiện được thay đổi trong các file, bộ nhớ và ứng dụng trên host
  • C. HIDPS có thể giám sát toàn bộ mạng
  • D. HIDPS không cần cập nhật signature

Câu 34. Nhược điểm nào liên quan đến quản lý khi triển khai HIDPS trên nhiều host?

  • A. Phải mua license cho từng host
  • B. Cần triển khai agent trên mỗi host muốn giám sát → thêm gánh nặng quản lý
  • C. Không thể quản lý tập trung
  • D. Agent không tương thích với nhau

Câu 35. HIDPS dễ bị tấn công loại nào nhất?

  • A. Man-in-the-middle
  • B. SQL Injection
  • C. Denial of Service (DoS)
  • D. Phishing

Câu 36. Wazuh OSSEC sử dụng kiến trúc gì?

  • A. Chỉ agent, không có server
  • B. Server quản lý trung tâm và các agents cài đặt trên các host riêng biệt
  • C. Peer-to-peer giữa các agent
  • D. Chỉ cloud-based

Câu 37. Wazuh hỗ trợ những chức năng bảo mật nào? (Chọn tất cả đúng nhất)

  • A. Chỉ Intrusion Detection
  • B. Security Analytics, Intrusion Detection, Log Data Analysis, File Integrity Monitoring, Vulnerability Detection, …
  • C. Chỉ File Integrity Monitoring và Log Analysis
  • D. Chỉ Cloud Security và Container Security

Câu 38. Trong Wazuh, thành phần nào chịu trách nhiệm phân tích dữ liệu nhận từ agents?

  • A. Agent Daemon
  • B. RESTful API
  • C. Analysis Daemon (trên Wazuh Server)
  • D. Remote Daemon

Câu 39. Trong Wazuh Agent, thành phần nào thu thập log hệ thống và log file?

  • A. Modules Manager
  • B. Log Collection
  • C. Configuration Assessment
  • D. Inventory

Câu 40. Heuristics-based detection trong antimalware khác gì so với signature-based?

  • A. Heuristics-based nhận diện đặc điểm của malware đã biết
  • B. Heuristics-based phát hiện các tính năng chung thường được sử dụng bởi các loại malware (không cần biết trước)
  • C. Heuristics-based chỉ hoạt động trên Windows
  • D. Heuristics-based không thể phát hiện malware mới

Câu 41. Kỹ thuật “Phân tích lưu lượng mạng” trong HIDPS bao gồm gì?

  • A. Chỉ phân tích header gói tin
  • B. Phân tích ứng dụng thông dụng, client email, trích xuất file gửi bởi email, web và peer-to-peer
  • C. Chỉ phân tích lưu lượng HTTP
  • D. Chỉ theo dõi DNS queries

Câu 42. Tại sao hầu hết các sản phẩm HIDPS mã hoá giao tiếp giữa agent và server quản lý?

  • A. Để tăng tốc độ truyền dữ liệu
  • B. Để tránh việc bị nghe lén khi truy cập các thông tin quan trọng
  • C. Yêu cầu bắt buộc của pháp luật
  • D. Để giảm tải cho server

Câu 43. Agent dựa trên phần cứng trong HIDPS thường được triển khai ở đâu?

  • A. Trong DMZ zone
  • B. Inline ngay phía trước host cần được bảo vệ
  • C. Trên router biên
  • D. Trong cloud

Câu 44. Các yếu tố nào cần xem xét khi lựa chọn vị trí triển khai agent? (Đâu KHÔNG phải là yếu tố cần xem xét?)

  • A. Chi phí triển khai, vận hành và theo dõi agent
  • B. Màu sắc của thiết bị phần cứng
  • C. Hệ điều hành và ứng dụng được agent hỗ trợ
  • D. Tầm quan trọng của dữ liệu hoặc dịch vụ trên các host

Câu 45. Chức năng “Giám sát thiết bị nghe nhìn” của HIDPS theo dõi những gì?

  • A. Chỉ webcam
  • B. Các host khi kích hoạt hoặc sử dụng microphone, camera, điện thoại IP, …
  • C. Chỉ microphone
  • D. Chỉ loa ngoài

Câu 46. HIDPS sử dụng kỹ thuật phát hiện nào kết hợp để phát hiện các xâm nhập qua mặt được signature-based?

  • A. Packet inspection
  • B. Anomaly-based detection
  • C. Deep packet inspection
  • D. Port scanning

Câu 47. Trong cấu hình phân tán của HIDPS, việc xử lý sự kiện được phân tán như thế nào?

  • A. Chỉ trên server quản lý
  • B. Giữa host và console
  • C. Chỉ trên host
  • D. Trên các agent khác nhau trong mạng

Câu 48. Cấu hình phân tán của HIDPS yêu cầu gì về tài nguyên phần cứng của host?

  • A. Ít CPU, RAM, ổ cứng
  • B. Tối đa CPU, RAM, ổ cứng
  • C. Chỉ cần nhiều RAM
  • D. Chỉ cần nhiều ổ cứng

Câu 49. Kỹ thuật “Theo dõi cấu hình mạng” trong HIDPS thực hiện gì?

  • A. Theo dõi băng thông mạng
  • B. Theo dõi các cấu hình mạng hiện tại và phát hiện các thay đổi trên các cấu hình này
  • C. Chỉ theo dõi địa chỉ IP
  • D. Chỉ theo dõi các kết nối đang hoạt động

Câu 50. Đâu là các nền tảng HIDPS phổ biến được đề cập trong bài?

  • A. Snort, Suricata, Zeek
  • B. Cisco AMP, AlienVault USM, Tripwire, Wazuh, OSSEC
  • C. Wireshark, tcpdump, nmap
  • D. pfSense, OPNsense, Fortinet