TRƯỜNG ĐẠI HỌC GIA ĐỊNH KHOA CÔNG NGHỆ THÔNG TIN MÔN: GIÁM SÁT MẠNG GVHD: NGUYỄN NGỌC ĐẠI SVTH: NGUYỄN NGỌC XUÂN TRINH MSSV: 2008110243 Mã lớp học: K14DCATTT Thành phố Hồ Chí Minh, Tháng 10 năm 2022 MỤC LỤC I IDS viết dòng lệnh?  Cải tiến .3 ĐỀ XUẤT VỀ IDS II Log sinh khó đọc? Phương pháp vào dễ? Biểu thức quy? .7 III Snort snort 3? 11 IV Tiêu chí đánh giá Firewall mạnh hay yếu? 11 Tường lửa có vai trị nào? 11 Các loại tường lửa 12 V Truy vấn Database?  Cloud 13 Các kỹ thuật phát xâm nhập CSDL 13 I IDS viết dòng lệnh?  Cải tiến Ngày nay, công đa dạng, doanh nghiệp thường sử dụng hệ thống phát xâm nhập (IDS) để phát công Có hai cách tiếp cận để thực IDS: cách phát công dựa chữ ký cách dựa hành vi Hệ thống phát xâm nhập (IDS) thiết bị ứng dụng phần mềm giám sát hoạt động mạng hệ thống hoạt động gây hại vi phạm sách đưa báo cáo cho trạm quản lý Hai cách tiếp cận IDS là: I) IDS dựa dấu hiệu vi phạm: phát công thông qua đặc điểm dấu hiệu vi phạm có sẵn Những đặc điểm lưu trữ tập sở liệu IDS II) IDS dựa hành vi: phát thông qua hành vi bất thường IDS phát hành vi bất thường học liệu mẫu trước Những hành vi bình thường mơ tả thơng qua hai vectơ: Activity vector: mô tả hoạt động luồng thời gian thực Status vector: mô tả trạng thái hệ thống Bản đồ tự tổ chức (SOM) loại mạng nơron nhân tạo (artificial neural network - ANN) tạo cách sử dụng học không giám sát (unsupervised learning) để tạo đồ hai chiều không gian đầu vào mẫu đào tạo SOM khác với mạng nơron nhân tạo khác nghĩa sử dụng hàm lân cận để bảo tồn thuộc tính ban đầu không gian đầu vào Giống hầu hết mạng nơron khác, SOM hoạt động theo hai chế độ: I) Đào tạo: xây dựng đồ liệu đầu vào (một q trình cạnh tranh, cịn gọi lượng tử hóa vectơ), II) Ánh xạ: tự động phân loại vectơ đầu vào Mục tiêu việc học SOM làm cho phần khác mạng phản ứng tương tự với mẫu đầu vào định ĐỀ XUẤT VỀ IDS Khi phát triển IDS dựa hành vi, phải đối mặt với số khó khăn sai âm sai dương Trong hệ thống máy tính, Sai dương: báo động khơng có cơng Vấn đề khơng nghiêm trọng, hệ thống IDS không nên đưa báo động khơng có cơng IDS dựa hành vi hồn tồn khơng thể tránh vấn đề Nhưng học hỏi thêm kiến thức để loại bỏ dần sai dương giả Âm tính giả: khơng có báo động bị cơng Vấn đề nghiêm trọng nguy hiểm IDS trở nên vơ dụng khơng đưa báo động bị công Những lỗi có liên quan đến việc có nhiều kiến thức hiểu biết mà IDS học trình vận hành bình thường hệ thống mức độ lớn hay nhỏ để xem xét hai trạng thái vận hành giống khác True positive Sự tích cực thực trạng thái tốt trẻ phát cơng trẻ tìm cách trú ẩn người lạ trước  True Negative Tiêu cực thực trạng thái bình thường học mà vô hại với trẻ  False positive Việc dương tính giả khơng gây tác động đến trẻ, xảy lần Sau trẻ học hoạt động người lạ  False negative Âm tính giả coi trạng thái bình thường Trạng thái báo động sai nghiêm trọng Kết luận: Sai tiêu cực tác động gây ảnh hưởng nhiều sai tích cực Sai tích cực loại bỏ IDS có nhiều kiến thức về trạng thái bình thường Đối mặt với khó khăn đề cập trên, phát triển thuật toán để giải vấn đề sai âm sai dương Đồng thời, làm cho đồ trở nên xác cách loại bỏ chồng chéo nhóm đồ cũ đồ Các quy trình mà SOM sử dụng để học quản lý kiến thức Bao gồm bước sau:  Giai đoạn Zero knowledge - Khơng có kiến thức Lúc đầu, hệ thống IDS khơng có kiến thức trạng thái bình thường trạng thái bất thường  Giai đoạn Tạo tế bào nơ ron ngẫu nhiên Một mảng S (n x m) k-dimensional-vector tạo lệnh  randinit Mỗi vectơ gọi nơ ron để phân biệt chúng với vectơ huấn luyện Mỗi nơ ron có trung tâm k-dimension tạo ngẫu nhiên  Giai đoạn Thu thập trạng thái Vector Khi kiện bình thường xảy ra, kiện hoạt động theo số hoạt động làm cho hệ thống mạng tạo trạng thái Các hoạt động mơ hình hóa Vector hoạt động Activity Vector, vector hoạt động có kích thước x-dimension (Đại diện cho x thơng tin) Các trạng thái hệ thống mơ hình hóa vector trạng thái Status Vector, có kích thước k-dimension (Đại diện cho k thông tin)  Giai đoạn Huấn luyện Sau trình training dựa phương pháp SOM, vị trí nơron mảng S thiết lập để có tính tốt nhất, gần với phân bố Vector training Hoạt động bình thường hệ thống đại diện cụm vectơ huấn luyện cụm vectơ huấn luyện đặc trưng nơron Mỗi tế bào thần kinh có trung tâm đại diện cho chiều kdimension thơng tin bán kính biểu thị lỗi lượng tử hóa (Lỗi lượng tử hóa tính lệnh lỗi)  Giai đoạn IDS Trong giai đoạn phát hiện, IDS xác định trạng thái bất thường hệ thống cách so sánh với tế bào nơron đồ SOM Nếu khoảng cách đến tế bào nơron nhỏ ngưỡng, hệ thống IDS xử lý cách ngẫu nhiên khơng có cảnh báo nêu Ngược lại, khoảng cách đến nơron mảng S lớn ngưỡng, gọi bán kính IDS, hệ thống IDS coi trạng thái bất thường tạo báo động Bán kính IDS đóng vai trị độ nhạy nơron hệ thống IDS Bán kính nhỏ khiến hệ thống IDS trở nên dễ bị ảnh hưởng hơn, gọi IDS dương tính giả IDS tạo báo động sai Ngược lại, bán kính lớn làm cho IDS tạo cảnh báo, điều gây âm tính giả Hình 2: Tiến trình hoạt động SOM Trong trình thực hiện, hệ thống IDS cập nhật liên tục với liệu đầu vào thực lại giai đoạn (giai đoạn training), tạo đồ SOM cần kết hợp so sánh đồ cũ đồ thành Sự kết hợp gây số tế bào nơron chồng chéo với Vì chèn bước sau giai đoạn đào tạo, bước có trách nhiệm thu hẹp nơron Quá trình thu hẹp phải đảm bảo chất lượng IDS Chất lượng trình thể thơng qua việc giảm sai âm sai dương Hình 3: Cải tiến trình SOM Thuật tốn thu nhỏ chúng tơi có hai giai đoạn: giai đoạn nhóm cụm (cluster) giai đoạn phân chia Giai đoạn nhóm cụm lại giai đoạn tùy chọn để tăng tốc độ thu hẹp Nếu tế bào nơron riêng biệt, giai đoạn nhóm cụm trở nên vơ ích Nhưng, nơ-ron nhóm lại với nhau, giai đoạn nhóm cụm tạo thuận tiện cho việc tính tốn khoảng cách Euclide cách tính khoảng cách Euclide nơ-ron cụm Bước làm tăng tốc độ thu nhỏ nơron lại nơron nhóm liền kề với tạo thành cụm Nó làm cho thời gian để tính khoảng cách Euclide cặp nơ ron giảm đáng kể Bước bước tùy chọn Nếu tế bào thần kinh riêng biệt, giai đoạn phân chia cụm ý nghĩa Nhưng, tế bào thần kinh gần tạo thành nhiều cụm Việc phân chia cụm làm giảm số lượng tính tốn khoảng cách Euclide Các nơron cụm không cần phải so sánh khoảng cách với nơron cụm khác Sau phân cụm (tùy chọn), tiếp tục thu nhỏ bán kính nơron để làm cho nơron đồ tạo chồng chéo với Nơron lớn co lại nhiều nơron nhỏ Thơng tin đưa vào chương trình hệ thống để quan sát trạng thái bất thường trực quan Sau đó, chúng tơi xóa thơng tin hệ thống khơng tốt Ví dụ, CPU giữ mức 100% khoảng thời gian II.Log sinh khó đọc? Phương pháp vào dễ? Biểu thức quy? Biểu thức quy (regular expression, viết tắt regexp, regex hay regxp) chuỗi miêu tả chuỗi khác, theo quy tắc cú pháp định Biểu thức quy thường dùng trình biên tập văn tiện ích tìm kiếm xử lý văn dựa mẫu quy định Trong ngơn ngữ lập trình dược sử dụng biểu thức quy cách rộng rãi để chuẩn hóa liệu đầu vào tìm kiếm theo định dạng mẫu cho trước Phần mà cần học sâu vào cách viết chuổi mẫu biểu thức quy để thực yêu cầu thực tế Một phần ứng dụng biểu thức quy Validation Form làm việc với Htaccess lập trình website Log ghi lại liên tục thông báo hoạt động hệ thống dịch vụ triển khai hệ thống file tương ứng Log file thường file văn thông thường dạng “clear text” tức bạn dễ dàng đọc nó, sử dụng trình soạn thảo văn (vi, vim, nano…) trình xem văn thơng thường (cat, tailf, head…) xem file log  Các file log nói cho bạn thứ bạn cần biết, để giải rắc rối mà bạn gặp phải miễn bạn biết ứng dụng Mỗi ứng dụng cài đặt hệ thống có chế tạo log file riêng để bạn cần thông tin cụ thể log file nơi tốt để tìm  Các tập tin log đặt thư mục /var/log Bất kỳ ứng dụng khác mà sau bạn cài đặt hệ thống bạn tạo tập tin log chúng /var/log Dùng lệnh ls -l /var/log để xem nội dung thư mục VD: Ý nghĩa số file log thơng dụng có mặc định /var/log  /var/log/messages – Chứa liệu log hầu hết thông báo hệ thống nói chung, bao gồm thơng báo trình khởi động hệ thống  /var/log/cron – Chứa liệu log cron deamon Bắt đầu dừng cron cronjob thất bại  /var/log/maillog /var/log/mail.log – Thông tin log từ máy chủ mail chạy máy chủ  /var/log/wtmp – Chứa tất đăng nhập đăng xuất lịch sử  /var/log/btmp – Thông tin đăng nhập không thành công  /var/run/utmp – Thông tin log trạng thái đăng nhập người dùng  /var/log/dmesg – Thư mục có chứa thơng điệp quan trọng kernel ring buffer Lệnh dmesg sử dụng để xem tin nhắn tập tin  /var/log/secure – Thông điệp an ninh liên quan lưu trữ Điều bao gồm thông điệp từ SSH daemon, mật thất bại, người dùng không tồn  III Snort snort 3? Snort ứng dụng sử dụng rộng rãi hệ thống phát xâm nhập (IDS) hệ thống ngăn chặn xâm nhập (IPS) kết hợp với Suricata ngày hôm Snort IDS / IPS mạng miễn phí miễn phí, cung cấp khả kiểm tra thời gian thực tất lưu lượng mạng, giao diện (WAN hay LAN) nơi đặt mục tiêu phát loại lưu lượng độc hại chặn thơng qua tường lửa Rất nhanh, thấy phiên cuối ổn định Snort 3, phiên tích hợp số lượng lớn cải tiến so với Snort 2, phiên thường sử dụng - Sự khác biệt snort với snort 2: Snort 3.0 phát triển vượt bậc phiên Snort 2.X, phiên hiệu hơn, cung cấp hiệu suất tốt hơn, khả mở rộng, khả sử dụng cho phép khả mở rộng lớn Một số cải tiến tích hợp phiên sau:          Hỗ trợ nhiều luồng xử lý gói, điều cho phép Snort tiêu thụ tài nguyên hơn, đặc biệt RAM Truy cập vào 200 plugin Hỗ trợ Hyperscan, tính quan trọng dẫn đến mẫu, ký tự nội dung nhanh tương thích với PCRE trình đánh giá chữ ký khác mà đăng ký Snort Việc xử lý giao thức lớp truyền tải TCP viết lại hồn tồn, để có hiệu suất tốt Một trình phân tích cú pháp quy tắc cú pháp quy tắc thêm vào Ngoài ra, nhận xét quy tắc Các quy tắc đối tượng chia sẻ cải tiến kết hợp, ngồi ra, thêm quy tắc cho lỗ hổng 0day Màn hình hiệu suất mới, cấu hình thời gian khơng gian Nếu CPU bạn có nhiều lõi, khả mở rộng quy mô đơn giản nhiều để tận dụng tốt phần cứng Giờ đây, cho phép bạn xử lý tải trọng thô kết hợp hai ổ cắm để kiểm tra Trong hình ảnh sau, bạn thấy so sánh Snort Snort lấy trực tiếp từ blog thức Snort: IV Tiêu chí đánh giá Firewall mạnh hay yếu? Tường lửa có vai trị nào? Firewall giúp kiểm sốt luồng thơng tin Intranet Internet, chúng phát phán xét hành vi truy cập không truy cập vào bên hệ thống, đảm bảo tối đa an tồn thơng tin Tính dịng thiết bị tóm tắt gạch đầu dịng đây: - Cho phép vơ hiệu hóa dịch vụ truy cập bên ngoài, đảm bảo thơng tin có mạng nội - Cho phép vơ hiệu hóa dịch vụ bên ngồi truy cập vào - Phát ngăn chặn cơng từ bên ngồi - Hỗ trợ kiểm sốt địa truy cập (bạn đặt lệnh cấm cho phép) - Kiểm soát truy cập người dùng - Quản lý kiểm soát luồng liệu mạng - Xác thực quyền truy cập - Hỗ trợ kiểm sốt nội dung thơng tin gói tin lưu chuyển hệ thống mạng - Lọc gói tin dựa vào địa nguồn, địa đích số Port (hay cịn cổng), giao thức mạng - Người quản trị biết kẻ cố gắng để truy cập vào hệ thống mạng - Firewall hoạt động Proxy trung gian - Bảo vệ tài nguyên hệ thống mối đe dọa bảo mật 10 - Cân tải: Bạn sử dụng nhiều đường truyền internet lúc, việc chia tải giúp đường truyền internet ổn định nhiều Các loại tường lửa Dựa nhu cầu sử dụng hệ thống mà Firewall phân thành loại bao gồm: Personal Firewall Network Firewall  Personal Firewall: Loại thiết kế để bảo vệ máy tính trước truy cập trái phép từ bên Bên cạnh Personal Firewall cịn tích hợp thêm tính theo dõi phần mềm chống virus, phần mềm chống xâm nhập để bảo vệ liệu Một số Personal Firewall thông dụng như: Microsoft Internet connection firewall, Symantec personal firewall, Cisco Security Agent… Loại Firewall thích hợp với cá nhân thơng thường họ cần bảo vệ máy tính họ, thường tích hợp sẵn máy tính Laptop, máy tính PC…  Network Firewalls: Được thiết kế để bảo vệ host mạng trước công từ bên ngồi Chúng ta có Appliance-Based network Firewalls Cisco PIX, Cisco ASA, Juniper NetScreen firewall, Nokia firewalls, Symantec’s Enterprise Firewall Hoặc số ví dụ Software-Base firewalls include Check Point’s Firewall, Microsoft ISA Server, Linux-based IPTables => Điểm khác loại Firewall số lượng host Firewall bảo vệ Bạn nhớ điều Personal firewall bảo vệ cho máy cịn Network firewall lại khác, bảo vệ cho hệ thống mạng máy tính V.Truy vấn Database?  Cloud Thơng thường, cơng CSDL phân loại thành công bên cơng bên ngồi Phát cơng bên thường khó nhiều so với cơng bên ngồi, cơng bên thực người có đặc quyền truy cập vào hệ thống lại thực hành vi độc hại Do đó, phát công bên thách thức IDS nói chung, đặc biệt IDS CSDL 11 Các kỹ thuật phát xâm nhập CSDL Có hai kỹ thuật phát xâm nhập CSDL gồm: kỹ thuật phát dựa vào mẫu kỹ thuật khai phá liệu Với kỹ thuật phát dựa vào mẫu, IDS mô tả đặc điểm cách thức xâm nhập vào hệ thống biết Mỗi kiểu xâm nhập mô tả mẫu lưu hệ thống Hệ thống phát thực so khớp điển hình, để liên tục so sánh hành động hệ thống với tập kịch xâm nhập, nhằm tìm kịch tiến hành Cách tiếp cận phát kiểu công biết Vấn đề cách tiếp cận khả phát cơng mới, khơng có mẫu CSDL Kỹ thuật khai phá liệu dựa định nghĩa mô tả đặc điểm hành vi chấp nhận hệ thống, phân biệt với hành vi không mong muốn, bất thường tìm thay đổi, hành vi bất hợp pháp, thế, phương pháp có khả phát công Tuy nhiên, ranh giới hành vi hợp lệ hành vi bất thường, thường khó xác định so với việc xác định ranh giới dạng thức chấp nhận dạng thức bất thường đoạn mã, liệu lưu trữ định nghĩa rõ ràng (chỉ cần bit khác phát hiện) Phát xâm nhập lớp phòng vệ thứ hai, kỹ thuật ngăn chặn trước bị vượt qua có xâm nhập tiềm tác động vào hệ thống Các IDS thiết kế cho mạng hệ điều hành không đủ để bảo vệ CSDL khỏi mối đe dọa nội bộ, vấn đề quan trọng an toàn CSDL Các mối đe dọa người dùng hợp pháp hệ thống (có quyền truy cập vào liệu tài nguyên) gây Vì thế, việc phát ngăn chặn khó khăn nhiều so với mối đe dọa khác Để đảm bảo an toàn cho CSDL, ứng dụng IDS cho hệ quản trị CSDL cần thiết 12 ...MỤC LỤC I IDS viết dòng lệnh?  Cải tiến .3 ĐỀ XUẤT VỀ IDS II Log sinh khó đọc? Phương pháp vào dễ? Biểu thức quy? .7 III Snort snort 3?... khó đọc? Phương pháp vào dễ? Biểu thức quy? Biểu thức quy (regular expression, viết tắt regexp, regex hay regxp) chuỗi miêu tả chuỗi khác, theo quy tắc cú pháp định Biểu thức quy thường dùng trình... giao thức lớp truyền tải TCP viết lại hồn tồn, để có hiệu suất tốt Một trình phân tích cú pháp quy tắc cú pháp quy tắc thêm vào Ngoài ra, nhận xét quy tắc Các quy tắc đối tượng chia sẻ cải tiến