Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 159 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
159
Dung lượng
3,85 MB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Hoàng Văn Hải NGHIÊN CỨU THỬ NGHIỆM CÁC PHƯƠNG PHÁP PHÁT HIỆN XÂM NHẬP MẠNG Chuyên ngành : Truyền thơng mạng máy tính LUẬN VĂN THẠC SĨ KỸ THUẬT Truyền thơng mạng máy tính NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TS Nguyễn Linh Giang Hà Nội – 2014 LỜI CẢM ƠN Tôi xin chân thành cảm ơn quý thầy cô giáo dạy dỗ tôi, Ban giám hiệu nhà trường, thầy cô Viện Công nghệ Thông tin Truyền Thông, Viện đào tạo Sau đại học trang bị cho kiến thức tảng suốt thời gian học trường Đặc biệt tơi xin bày tỏ lịng biết ơn sâu sắc tới PGS.TS Nguyễn Linh Giang – Trưởng mơn Truyền thơng Mạng máy tính – Viện CNTT-TT ln tận tình hướng dẫn, cho tơi kiến thức tài liệu quý giá, định hướng tạo điều kiện tốt cho trình nghiên cứu thực luận văn Nhờ giúp đỡ bảo tận tâm thầy, hồn thành luận văn Cuối c ng, xin g i lời ghi ơn sâu sắc đến cha m , người sinh thành hết lòng thương yêu dạy bảo trưởng thành Cảm ơn bạn b , người thân yêu sát cánh, ủng hộ động viên suốt thời gian học tập nghiên cứu Mặc d nghiêm túc cố gắng hoàn tất đề tài luận văn thạc sỹ chắn chắn không tránh khỏi thiếu sót, kính mong thơng cảm góp ý giúp đỡ q thầy bạn Ngày 22 tháng 09 năm 2014 Học viên thực Hồng Văn Hải LỜI C M O N Tơi cam đoan luận văn cơng trình nghiên cứu riêng tham khảo tài liệu có Kết đạt luận văn sản ph m riêng cá nhân, không ch p lại nguyên văn người khác Các số liệu, kết nêu luận văn trung thực Luận văn chưa công bố cơng trình khác Nếu sai tơi xin chịu hoàn toàn trách nhiệm Tác giả luận văn Hoàng Văn Hải D NH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Chữ viết tắt Nghĩa tiếng nh Nghĩa tiếng Việt IDS Intrusion Detection System Hệ thống phát xâm nhập IPS Intrusion Prevention System Hệ thống ngăn chặn xâm nhập ISS Internet Security Systems Hệ thống bảo mật mạng DMZ Demilitarized Zone V ng phi quân ISP Internet Service Provider Nhà cung cấp dịch vụ Internet LAN Local Area Network Mạng cục TCP Transmission Control Protocol Giao thức kiểm soát truyền tin D NH MỤC CÁC BẢNG BIỂU Bảng 1: Các bảng liệu hệ thống bắt gói tin tiền x lý 106 Bảng 2: Bảng thông tin kiện 106 Bảng 3: Bảng thông tin liệu 107 Bảng 4: Bảng thông tin header ICMP 107 Bảng 5: Bảng thông tin header TCP 108 Bảng 6: Bảng thông tin header UDP 108 Bảng 7: Bảng thông tin header IP 109 Bảng 8: Bảng thơng tin chữ kí dấu hiệu bất thường 109 Bảng 9: Bảng thông tin điểm theo dõi 110 Bảng 10: Bảng thông tin kiểu liệu 110 Bảng 11: Các bảng liệu hệ thống phát lạm dụng 110 Bảng 12: Bảng thông tin báo hiệu bất thường 111 Bảng 13: Bảng thông tin cache địa Ip 112 Bảng 14: Bảng thông nhóm quyền hệ thống 112 Bảng 15: Bảng thông người d ng 113 Bảng 16: Các bảng liệu hệ thống phát bất thường 113 Bảng 17: Bảng thơng tin cấu hình 113 Bảng 18: Bảng thông tin trạng thái mạng 114 D NH MỤC CÁC HÌNH VẼ, Ồ THỊ Hình 1: Sự phát triển kỹ thuật công mạng 18 Hình 2: Hệ thống phát xâm nhập 29 Hình 3: Kiến trúc hệ thống IDS tập trung 33 Hình 4: Kiến trúc hệ thống IDS đa tác nhân 34 Hình 5: Các thành phần hệ thống IDS 34 Hình 6: Ðánh giá hệ thống phát xâm nhập 37 Hình 7: Các tiêu chí phân loại hệ phát xâm nhập 38 Hình 8: IDS phát theo dấu hiệu – Signatures Detection 39 Hình 9: IDS phát theo dấu hiệu – Anomaly Detection 40 Hình 10: Hệ thống NIDS 41 Hình 11: Hệ thống HIDS 42 Hình 12: Hệ thống DIDS kết hợp nhiều NIDS 45 Hình 13: Hệ thống DIDS kết hợp NIDS với HIDS 45 Hình 14: IDS chủ động 46 Hình 15: Một hệ thống phát lạm dụng điển hình 49 Hình 16: Knowledge – based IDS 51 Hình 17: Stateful IDS phát dựa kiện khứ 52 Hình 18: Một hệ thống phát bất thƣờng điển hình 53 Hình 19: Xảy bất thƣờng 54 Hình 20: Anomaly-based IDS 58 Hình 21: Hê thống kết hợp hai phƣơng pháp phát xậm nhập 78 Hình 22: NIDS với ctive Response 80 Hình 23: Inline network IPS 81 Hình 24: Hệ thống chuẩn IPS 83 Hình 25: Quá trình IDS 85 Hình 26: Cơ sở hạ tầng IDS 85 Hình 27: Mơ hình hệ thống chế hoạt động 87 Hình 28: Cơ chế thu thập thông tin 87 Hình 29: Cơ chế phát xâm nhập 88 Hình 30: Microsoft Network Monitor 88 Hình 31: Biểu đồ bất thƣờng mạng 89 Hình 32: Bộ phân loại Nơron 91 Hình 33: Mơ hình phản ứng ngăn chặn xâm nhập 91 Hình 33: Mơ hình bảo mật mạng 92 Hình 34: Sơ đồ phân cấp chức 93 Hình 35: Biểu đồ luồng liệu mức khung cảnh 96 Hình 36: Biểu đồ luồng liệu mức đỉnh 96 Hình 37: Cấu trúc thiết bị mạng 97 Hình 38: Giới thiệu hệ thống BC IDS 98 Hình 39: Sơ đồ thuật toán 100 Hình 40: Sơ đồ pha huấn luyện phát bất thƣờng 101 Hình 41: Sơ đồ phân cấp chức 103 Hình 42: Biểu đồ luồng liệu mức khung cảnh hệ thống 104 Hình 43: Sơ đồ luồng liệu mức đỉnh 105 Hình 44: Mơ hình quan hệ 115 Hình 45: Mơ hình Module bắt gói tin 116 Hình 46: Mơ hình bắt gói tin 116 Hình 47: Thơng tin gói tin 118 Hình 48: Mơ hình hệ thống phát lạm dụng 119 Hình 49: Trang quản trị luật 121 Hình 50: Trang theo dõi cảnh báo 122 Hình 51: mơ hình hoạt động hệ thống phát bất thƣờng 122 Hình 52: Biểu đồ thống kê thuật tốn CuSum 124 Hình 53: Biểu đồ thống kê thuật toán Entropi 125 Hình 54: chức cấu hình phát bất thƣờng 126 Hình 55: Chức theo dõi bất thƣờng 126 Hình 56: Tƣờng lửa - Firewall 126 Hình 57: Sơ đồ hoạt động hệ thống BC IDS 127 Hình 58: Cài đặt Snort 129 Hình 59: Chạy Snort dƣới Service 131 Hình 60: Cài đặt pache 132 Hình 61: Cài đặt MySQL 132 Hình 62: Mơ hình thử nghiệm 134 Hình 63: Sơ đồ thử nghiệm 134 Hình 64: Sơ đồ luồng thử nghiệm 135 Hình 65: Kết thử nghiệm 136 Hình 66: Kết thử nghiệm 136 Hình 67: Sơ đồ thử nghiệm 137 Hình 68: Sơ đồ luông thử nghiệm 138 Hình 69: Kết thử nghiệm 138 Hình 70: Kết thử nghiệm - thông tin trạng thái mạng 140 Hình 71: Kết thử nghiệm – Biểu đồ CuSUm 140 Hình 72: Thêm luật cho Firewall 140 Hình 73: Trang chủ BC IDS 142 Hình 74: Cấu hình bắt gói tin 142 Hình 75: Trang giám sát hệ thống phát hiệm lạm dụng 142 Hình 76: Trang số loại cảnh báo giao thức 143 Hình 77: Trang danh sách gói tin 143 Hình 79: Trang chi tiết thơng tin gói tin 144 Hình 80: Trang giám sát phát bất thƣờng 144 MỤC LỤC TRANG BÌA LỜI CẢM ƠN LỜI C M O N D NH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT D NH MỤC CÁC BẢNG BIỂU D NH MỤC CÁC HÌNH VẼ, Ồ THỊ MỞ ẦU 1 Lý chọn đề tài Mục đích nghiên cứu - Phạm vi, đối tƣợng nghiên cứu - Phƣơng pháp nghiên cứu Kết cần đạt đƣợc - CHƢƠNG 1: SƠ LƢỢC VỀ BẢO MẬT VÀ TẤN CÔNG XÂM NHẬP - 10 1.1 Các khái niệm bảo mật công xâm nhập 10 1.2 Những mối đe dọa bảo mật 12 1.3 1.2.1 Mối đe dọa khơng có cấu trúc (Untructured threat) 13 1.2.2 Mối đe dọa có cấu trúc (Structured threat) 13 1.2.3 Mối đe dọa từ bên (External threat) 13 1.2.4 Mối đe dọa từ bên (Internal threat) 14 Các phƣơng pháp công xâm nhập 14 1.4 1.3.1 Các phương pháp công xâm nhập hệ thống 14 1.3.2 Các kỹ thuật xâm nhập mạng máy tính 18 Các biện pháp phòng chống xâm nhập 22 1.4.1 Các biện pháp phòng chống phương thức công hệ thống 22 1.4.2 Các biện pháp phịng chống xâm nhập mạng điển hình 26 CHƢƠNG 2: TÓM LƢỢC HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS) - 29 2.1 Khái niệm hệ thống phát xâm nhập 29 2.2 Lịch sử phát triển hệ thống phát xâm nhập 31 2.3 Kiến trúc thành phần hệ thống 33 2.4 ặc điểm hệ thống phát xâm nhập 36 2.5 Phân loại hệ thống phát xâm nhập 38 2.6 Cơ chế phát 47 CHƢƠNG 3: CÁC PHƢƠNG PHÁP PHÁT HIỆN XÂM NHẬP - 49 3.1 Các phƣơng pháp dò lạm dụng (Misuse Detection Method) 49 3.2 Các phƣơng pháp phát bất thƣờng ( nomaly Detection Method) 53 3.3 3.2.1 Giới thiệu phương pháp 53 3.2.2 Ưu nhược điểm phương pháp 56 3.2.3 Phân loại phát bất thường 57 3.2.4 Các phương pháp phát bất thường 58 Phƣơng pháp phát kết hợp (Hybrid Intrusion Detection) 78 CHƢƠNG 4: HỆ THỐNG NGĂN CHẶN XÂM NHẬP IPS 80 4.1 Giới thiệu hệ thống ngăn chặn xâm nhập 80 4.2 Kiến trúc hoạt động IPS 81 CHƢƠNG 5: YÊU CẦU HỆ THỐNG - 84 5.1 Yêu cầu hệ thống 84 5.2 Nhiệm vụ hệ thống 85 5.3 Mơ hình hệ thống chế hoạt động 86 5.4 5.3.1 Thu thập thông tin 87 5.3.2 Phát xâm nhập 88 5.3.3 Phản ứng – Xử lý cảnh báo 91 Chức hệ thống 92 5.5 5.4.1 Hệ thống giám sát 93 5.4.2 Hệ thống phân tích 94 5.4.3 Hệ thống phản ứng 95 Sơ đồ luồng liệu 96 5.6 5.5.1 Biểu đồ luồng liệu mức khung cảnh 96 5.5.2 Biểu đồ luồng liệu mức đỉnh 96 Cấu trúc hệ thống 97 CHƢƠNG 6: PHÂN TÍCH THIẾT KẾ HỆ THỐNG BC IDS - 98 6.1 Giới thiệu hệ thống BC IDS 98 6.2 6.1.1 Mục đích yêu cầu hệ thống 98 6.1.2 Phương pháp xây dựng hệ thống 99 6.1.3 Quy trình phát triển hệ thống 101 Phân tích thiết kê hệ thống 103 6.3 6.2.1 Sơ đồ phân cấp chức 103 6.2.2 Sơ đồ luồng liệu mức khung cảnh 104 6.2.3 Sơ đồ luồng liệu mức đỉnh 105 Thiết kế sở liệu cho hệ thống 105 6.3.1 Các bảng liệu hệ thống bắt gói tin tiền xử lý 106 6.4 6.3.2 Các bảng liệu hệ thống phát lạm dụng 110 6.3.3 Các bảng liệu hệ thống phát bất thường 113 Mơ hình quan hệ 115 CHƢƠNG 7: GIẢI PHÁP HỆ THỐNG BC IDS - 116 7.1 Hệ thống bắt gói tin tiền xử lý 116 7.2 7.1.1 Mơ hình hệ thống 116 7.1.2 Giải pháp 118 Hệ thống phát lạm dụng 119 7.3 7.2.1 Mơ hình hệ thống 119 7.2.2 Giải pháp 120 7.2.3 Chức 121 Hệ thống phát bất thƣờng 122 7.3.1 Mơ hình hệ thống 122 7.3.2 Giải pháp 123 7.3.3 Chức 125 CHƢƠNG 8: XÂY DỰNG VÀ THỬ NGHIỆM HỆ THỐNG BC IDS 127 8.1 Xây dựng cài đặt hệ thống 127 8.2 8.1.1 Nền tảng công nghệ 127 8.1.2 Cài đặt hệ thống 128 Thử nghiệm đánh giá hệ thống 133 8.3 8.2.1 Môi trường thử nghiệm 133 8.2.2 Mơ hình hoạt động: 134 8.2.3 Kịch thử nghiệm 134 Hoạt động hệ thống 141 8.4 Trang chủ: 141 Giám sát phát lạm dụng : 142 Trang số loại cảnh báo giao thức: 143 Trang danh sách gói tin: 143 Trang chi tiết thơng tin gói tin: 143 Trang giám sát phát bất thường: 144 ánh giá hệ thống 144 KẾT LUẬN - 146 Những kết thu đƣợc - 146 Những mặt hạn chế 146 Hƣớng phát triển hệ thống - 147 TÀI LIỆU TH M KHẢO 149 Máy khách – Client: Tấn cơng hình thức SQL Injection vào địa http://192.168.1.1/login.asp?user= „ or 1=convert(int,@@version)-Đây câu lệnh công xác định Version SQL Server Máy chủ – Server: Cài đặt luật xác định câu lệnh công SQL Injection định nghĩa thư mục rules/sql.rules alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"SQL Injection get version"; flow:established,to_server; content:"convert(int,@@version)"; classtype:web-application-attack; sid:13512; rev:1;) Luồng thuật toán thử nghiệm: Hình 64: Sơ đồ luồng thử nghiệm Kết thử nghiệm: Máy khách – Client: khai thác lỗi SQL Injection 135 Lỗi ghi nhận : Microsoft OLE DB Provider for ODBC Driverserror '80040e07' [Microsoft][ODBC SQL Server Driver][SQL Server]Conversion failed when converting the nvarchar value 'Microsoft SQL Server 2005 9.00.3068.00 (Intel X86) Feb 26 2008 18:15:01 Copyright (c) 19882005 Microsoft Corporation Express Edition on Windows NT 5.2 (Build 3790: Service Pack 2) ' to data type int /shopproductsubs.asp, line 443 Hình 65: Kết thử nghiệm Máy chủ – Server: Hệ thống phát lạm dụng phát công ghi lại cảnh báo: SQL Injection get version IP: 192.168.1.2 truy cập vào Port 80 Server Hình 66: Kết thử nghiệm Nhận xét thử nghiệm: ộ xác: Về việc bắt gói tin kiểm tra theo luật hệ thống phát lạm dụng xác đến 100% thơng báo có dấu vết bất thường gói tin với luật cài đặt Tỷ lệ phát lỗi sai: Vì phát công dựa luật đưa có trường hợp hacker s dụng lỗi cũ t y biến 136 thêm cấu trúc mà hệ thống phát dựa dấu hiệu cố định nên có khả bị bỏ qua Do việc xây dựng luật chặt chẽ liên tục nhiệm vụ người quản tri Thời gian cảnh báo: thời gian thực gói tin vào hệ thống hệ thống kiểm tra ghi lại có cơng , thời gian phản ứng hệ thống thường từ 200ms – 1000ms 8.2.3.2 Kịch 2: Thử nghiệm xác định công DoS chống DoS Sơ đồ thử nghiệm: Hình 67: Sơ đồ thử nghiệm Máy khách – Client: Tấn công vào máy chủ thông qua Webserver với việc giả lập số lượng người truy cập thông qua phần mềm Microsoft Web Application Stress Tool: phần mềm giả lập số người kết nối công vào máy chủ để đánh giá sức mạnh hệ thống Tại thời điểm 22:33:48 ta tiến hành công DOS từ máy Client cách giả lập số người công quy mô lớn c ng truy cập vào máy chủ Máy chủ – Server: bao gồm - Firewall: tường l a - Hệ thống phát bất thƣờng BCA.IDS - Máy chủ Web Server 137 Ta tiến hành theo dõi hệ thống qua chức giám sát bất thường từ 22:03:25 đến 22:47:56 Luồng thuật toán thử nghiệm: Hình 68: Sơ đồ lng thử nghiệm Kết thử nghiệm: Hình vẽ thống kê số lượng gói tin mạng theo thời gian Hình 69: Kết thử nghiệm 138 Dựa vào bảng thống kê ta xác định thời điểm mạng xảy bất thường tất gói tin vào hệ thống dạng cơng qua hệ thống firewall công trực tiếp vào máy chủ STT Bất đầu Kết thúc Gói tin Trạng thái Gn h Entropi 22:03:25 22:05:25 641 Bình thường 0= 0.550 17 22:35:50 22:37:50 6755 Bất thường 1.617 >= 0.303 18 22:37:51 22:39:51 8137 Bất thường 1.698 >= 0.985 19 22:39:52 22:41:52 3348 Bất thường 1.312 >= 0.890 139 20 22:41:53 22:43:52 2682 21 22:43:54 22:45:54 Bất thường 1.216 >= 0.890 685 Bình thường 0.623 < 0.264 22 22:45:55 22:47:54 1490 Bình thường 0.96 < 0.779 23 22:47:56 22:49:56 462 Bình thường 0.451 < 0.270 Hình 70: Kết thử nghiệm - thông tin trạng thái mạng Việc theo dõi hệ thống ta xác định thời điểm cơng 22:33:49 có 1720 gói tin vượt ngưỡng gn=1.024> h=1 Hệ thống xác định bất thường, thời điểm tiếp sau có đến 6755 gói tin Hình 71: Kết thử nghiệm – Biểu đồ CuSUm Sau xác định bất thường , ta theo dõi Ip xuất phát công nhận thấy ip: 192.168.1.12 , đồng thời bật firewall config Deny địa 192.168.1.2 truy cập vào Port 80 Nên thời điểm 22:43:55 hệ thống hoạt động bình thường Hình 72: Thêm luật cho Firewall 140 Nhận xét thử nghiệm : ộ xác: Với thuật toán phát xâm nhập CuSUM dựa vào ngưỡng huấn luyện hệ thống bình thường, ta thấy hệ thống phát bất thường tổng tích lũy Gn > h có trường hợp nhầm lẫn bất thường bình thường huấn luyện ngưỡng khơng xác Tỷ lệ phát sai: với việc th nghiệm hệ thống tỉ lệ phát lỗi sai 5%, hệ thống nhầm lần việc bị cơng Dos,DDos,Virus thời điểm việc truy cập mạng tải Thời gian phản ứng: việc phát công hệ thống thời gian thực theo thời gian qu t, hệ thống qu t phút lần phát bất thường 8.3 Hoạt động hệ thống Giao diện chương trình gồm Menu : Trang chủ Cấu hình bắt gói tin Phát bất thường Theo dõi Cấu hình Phát lạm dụng Theo dõi Thiết lập luật Trang chủ: 141 Hình 73: Trang chủ BCA.IDS Cấu hình bắt gói tin: Hình 74: Cấu hình bắt gói tin Giám sát phát lạm dụng : Hình 75: Trang giám sát hệ thống phát hiệm lạm dụng 142 Trang số loại cảnh báo giao thức: Hình 76: Trang số loại cảnh báo giao thức Trang danh sách gói tin: Hình 77: Trang danh sách gói tin Trang chi tiết thơng tin gói tin: 143 Hình 79: Trang chi tiết thơng tin gói tin Trang giám sát phát bất thƣờng: Hình 80: Trang giám sát phát bất thường 8.4 ánh giá hệ thống Các chức hệ thống phần thiết kế thực đầy đủ Các chức thực xác đồng với mơ đun lớp Chương trình thực tương đối tốt chức giám sát hệ thống, giám sát chi tiết hệ thống theo trường,… Từng module thực chức cách hiệu Module bắt gói tin: thực thu thập liệu tiền x lý liệu cho mô đun thống kê Mô đun thực lắng nghe giao diện giao tiếp 144 mạng thực bắt tất gói tin giao diện giao tiếp mạng Vì vậy, hiệu mơ đun phụ thuộc vào môi trường mạng khả x lý toàn hệ thống Module phát lạm dụng: thu thập xác thơng tin cảnh báo dấu hiệu bất thường dựa luật định nghĩa, đồng thời hệ thống theo dõi triển khai môi trường web nên dễ s dụng quản trị từ xa Tuy nhiên hiệu module phụ thuộc nhiều vào môi trường mạng khả x lý triển khai hệ thống mạng lớn dẫn đến trễ thời gian gói tin vào hệ thống lọc giám sát Module phát bất thường: hoạt động xác dựa thuật tốn phát xâm nhập Tuy nhiên để xác định xác hiệu hệ thống phải chạy chế độ huấn luyện với mạng hoạt động bình thường khoảng thời gian định Việc xác định loại công Dos, DDoS, Virus, phải dựa người quản trị theo dõi tham số vào thời điểm mạng xảy bất thường Về hiệu x lý chương trình: Khi triển khai th nghiệm mạng quy mô nhỏ hệ thống hoạt động bình thường o Cpu: 5-15% o Ram: 400 Mb Khi th nghiệm công DoS với kịch ta thu o Cpu: 15-35% o Ram: 500Mb Nhận xét: Về hiệu – Performance hệ thống ảnh hưởng lớn từ việc bắt lưu toàn gói tin sở liệu MySQL, mà hệ quản trị x lý liệu lớn thường tốn tài nghiên khơng hiệu Ta chuyển sang s dụng SQL Server Oracle để tăng hiệu tốc độ hệ thống 145 KẾT LUẬN Những kết thu đƣợc Trong trình thực luận văn, nghiên cứu tìm hiểu phương pháp phát xâm nhập mạng mang lại cho số kết sau: Thông qua việc nghiên cứu phương pháp phát xâm nhập mạng, từ lựa chọn giải pháp xây dựng hệ thống phát xâm nhập để th nghiệm ph hợp Tìm hiểu cấu trúc mơ hình hoạt động hệ thống phát xâm nhập mạng, hệ thống ngăn chặn xâm nhập Từ đề giải pháp thích hợp cho mơ hình mạng TCAN I - BCA Xây dựng thành công hệ thống bắt gói tin, hệ thống phát lạm dụng hệ thống phát bất thường Tiến hành bước đầu xây dựng thuật toán phát bất thường dựa thuật toán CuSUM Entropi Xây dựng giải pháp BCA.IDS tảng Windows với chi phí thấp hiệu Bước đầu th nghiệm thành công hệ thống BCA.IDS với kịch công công SQL Injection công từ chối dịch vụ DoS Bước đầu xây dựng hệ thống IPS gồm: Content Filtering Firewall Những mặt hạn chế Do kiến thức thời gian chưa đủ nên bên cạnh số kết đạt hệ thống cịn nhiều mặt hạn chế: Do có nhiều phương pháp phát xâm nhập nên chưa làm cụ thể tất phương pháp giới hạn số trang Quá trình th nghiêm thực môi trường mạng LAN nhỏ h p, dẫn đến việc thu thập liệu chu n q trình học chưa 146 Mới giả lập công từ chối dịch vụ , chưa áp dụng th nghiệm công từ chối dịch vụ thật Do hệ thống cần hoàn thiện chế phát ngăn chặn Chưa th nghiệm phát bất thường mạng không dây Vẫn chưa lọc tín hiệu gây lỗi cách hiệu dẫn đến tỷ lệ cảnh báo sai lớn Chủ yếu cảnh báo từ trạng thái hệ thống bình thường thành bất thường Chỉ xây dựng hệ thống th nghiệm dựa hai phương pháp phát lạm dụng phát bất thường nên chưa làm bật hết tất phương pháp phát xâm nhập mạng Hƣớng phát triển hệ thống Từ kết nghiên cứu đạt hạn chế tồn tại, nhằm nâng cao tính thực tiễn đề tài cần phát triển tương lai: Xây dựng hoàn thiện hệ thống phát hệ thống x lý xâm nhập mạng Nâng cao tốc độ x lý, độ xác khả hoạt động thời gian thực hệ thống Phát triển phân loại thông minh, giải tình cơng tinh vi phức tạp có khả gợi ý cho nhà quản trị tham số ngưỡng để nhà quản trị tham khảo đặt ngưỡng cho hệ thống Nghiên cứu phát triển để hệ thống làm việc ổn định mạng tốc độ cao mạng khơng dây Tích hợp thêm chức cho hệ thống quản lý qua Webbase gồm thiết lập sách lọc tin, quản trị luật phát hiện, quản trị luật x lý, chế x lý thông minh, quản lý tốc độ đường truyền mạng theo thời gian thực Tích hợp thêm số hệ thống phát xâm nhập mạng vào mơ hình quản trị an ninh mạng tổng thể, có phối hợp hoạt động công 147 cụ an ninh mạng công cụ giám sát mạng, cơng cụ lần vết, dị qt mạng, phân tích an ninh mạng,… Nghiên cứu xây dựng phương pháp phát xâm nhập nhằm chống lại công vào mạng nguy hiểm công DDoS, công Botnet,… Phát triển hồn thiện luật cơng SQL Injection, XSS, Tích hợp Firewall mềm dẻo với hệ thống Tiếp tục nghiên cứu thêm để hoàn thiện việc kết hợp hệ thống IPS với hệ thống IDS để tạo thành hệ thống phát hiện-cảnh báo-ngăn chặn hoàn chỉnh 148 TÀI LIỆU TH M KHẢO [1] Andrés Felipe Arboleda, Charles Edward Bedón (April, 2005), Snort Model, Universidad del Cauca – Colombia [2] Caswell, Beale, Baker (2007), Snort IDS and IPS Toolkit [3] PGS.TS Nguyễn Linh Giang, Phạm Minh Tuấn, Trần Xuân Tân, Ngô Quỳnh Thu (2008), “Ứng dụng kiểm chứng giả thiết phát mạng dựa bất thường”, FAIR07, tr 361-372 [4] PGS.TS Nguyễn Linh Giang, Lê Tuấn Anh, Phạm Duy, Trần Đức Quý (2007), “Anomaly Detection by statistical analysis and neural network”, RIFV2007, pp 137-141 [5] Kerry J Cox, Christopher Gerg (2004), Managing Security with Snort and IDS Tools [6] Nguyễn Anh Tuấn (2009), Hệ thống phát xâm nhập dựa bất thường, ĐHBKHN [7] Rafeeq Ur Rehman, Intrusion Detection Systems with Snort, Publishing as Prentice Hall PTR [8] Vasilios A.Siris, Fotini Papagalou (2006), “Application of Anomaly detection algorithms for detecting flooding attack” , Sciencedirect.com [9] Wiley (1998), Intrusion Detection Network Security beyond the Firewall [10] http://www.windowsecurity.com/articles_tutorials/intrusion_detection [11] http://snort.org 149 ... giải pháp phát chống xâm nhập mạng, mạnh dạn đăng ký đề tài nghiên cứu phương pháp phát xâm nhập mạng Lịch sử nghiên cứu Trong bối cảnh đó, IDS/IPS (hệ thống phát xâm nhập/ phịng thủ an ninh mạng) ... nguy Mục tiêu luận văn nghiên cứu tìm hiểu lĩnh vực phát xâm nhập mạng, lựa chọn giải pháp xây dựng hệ thống phát xâm nhập mạng ph hợp, th nghiệm phương pháp phát xâm nhập mạng hệ thống lựa chọn... nhập IDS, Kiến trúc đặc điểm, Phân loại, Cơ chế phát hiện, Phương pháp phát xâm nhập mạng Chƣơng - CÁC PHƢƠNG PHÁP PHÁT HIỆN XÂM NHẬP Giới thiệu tổng quan hệ thống phát bất thường dạng phát xâm