Đăng ký
  1. Trang chủ
  2. » Tất cả

(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web

82 2 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web(Luận văn thạc sĩ) Phát hiện truy nhập bất thường vào máy chủ web

i HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Quốc Trung PHÁT HIỆN TRUY NHẬP BẤT THƯỜNG VÀO MÁY CHỦ WEB Chuyên ngành: Khoa học máy tính Mã số: 8.48.01.01 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TSKH HOÀNG ĐĂNG HẢI HÀ NỘI - 2018 ii LỜI CAM ĐOAN Tôi cam đoan cơng trình nghiên cứu tơi hướng dẫn PGS.TSKH Hoàng Đăng Hải Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình khác Học viên Nguyễn Quốc Trung iii LỜI CẢM ƠN Với tất lịng kính trọng biết ơn sâu sắc, em xin gửi lời cảm ơn tới Thầy giáo PGS.TSKH Hoàng Đăng Hải, người tận tình dạy dỗ hướng dẫn em trình hồn thành luận văn Em xin gửi lời cảm ơn chân thành tới Thầy giáo, Cô giáo cơng tác Học viện Cơng nghệ bưu viễn thơng, người tận tình giảng dạy, truyền thụ cho em kiến thức khoa học trình học tập trường Cuối cùng, em xin gửi lời cảm ơn chân thành đến gia đình, bạn bè, đồng nghiệp động viên, sát cánh em trình học tập thực đề tài Hà Nội, ngày 19 tháng 11 năm 2018 Học viên Nguyễn Quốc Trung iv MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN iii MỤC LỤC iv DANH MỤC CÁC TỪ VIẾT TẮT vi DANH MỤC BẢNG viii DANH MỤC HÌNH ix MỞ ĐẦU .1 CHƯƠNG MÁY CHỦ WEB VÀ VẤN ĐỀ AN TOÀN WEB 1.1 Máy chủ Web giao thức HTTP 1.1.1 Giới thiệu máy chủ web 1.1.2 Các thành phần máy chủ web 1.1.3 Nguyên tắc hoạt động .5 1.1.4 Ghi nhật ký (Web Log) 1.1.5 Giao thức HTTP .9 1.1.6 Một số tảng Apache, IIS, Ngin 12 1.2 Các lỗ hổng bảo mật Web 14 1.2.1 Khái niệm lỗ hổng bảo mật .14 1.2.2 Các loại lỗ hổng phổ biến Web 15 1.2.3 Phương pháp kiểm thử lỗ hổng .17 1.3 Tấn công vào máy chủ Web .19 1.3.1 Giới thiệu công vào máy chủ Web 19 1.3.2 Một số loại cơng điển hình vào máy chủ Web 20 1.3.3 Thống kê cơng máy chủ Web điển hình 21 1.3.4 Một số biện pháp điển hình chống cơng vào máy chủ Web 23 1.4 Phát truy nhập bất thường vào máy chủ Web 24 1.5 Kết luận chương 25 CHƯƠNG PHÁT HIỆN TRUY NHẬP BẤT THƯỜNG VÀO MÁY CHỦ WEB 26 v 2.1 Phạm vi phân tích, phát truy nhập bất thường vào máy chủ Web 26 2.2 Kiến trúc hệ thống phát truy nhập bất thường 26 2.2.1 Tham khảo số mơ hình kiến trúc hệ thống 26 2.2.2 Kiến trúc hệ thống phát truy nhập bất thường 30 2.3 Cấu trúc Weblog 30 2.4 Nguyên tắc hoạt động khối xử lý Parse .32 2.5 Thu thập thông tin Weblog cho phát bất thường 35 2.5.1 Thu thập thông tin từ logfile hệ thống 35 2.5.2.Thu thập thông tin từ công cụ 36 2.6 Phương pháp trích chọn đặc trưng liệu 38 2.7 Cách thức phân tích Weblog phát bất thường 45 2.8 Phương pháp phân tích, đánh giá kết 47 2.9 Kết luận chương 52 CHƯƠNG THỬ NGHIỆM 53 3.1 Mơ hình hệ thống máy chủ Web Công ty VCCorp .53 3.2 Đặc tả liệu máy chủ ghi nhận .55 3.3 Thử nghiệm phân tích, phát bất thường với cơng cụ Weblog Expert .60 3.4 Một số kết thử nghiệm với Weblog Expert 61 3.5 Kết luận chương 69 KẾT LUẬN .70 TÀI LIỆU THAM KHẢO vi DANH MỤC CÁC TỪ VIẾT TẮT TT Từ viết tắt CPU Nghĩa tiếng anh Nghĩa tiếng việt Central Processing Unit Bộ xử lý trung tâm CSDL Database Cơ sở liệu DDR Double Data Rate Tốc độ liệu đôi DNS Domain Name System DoS Denial of Services ECC HDD HTML HTTP Error Checking and Correction Hard Disk Drive HyperText Markup Language HyperText Transfer Protocol hệ thống cho phép thiết lập tương ứng địa IP tên miền Từ chối dịch vụ Kiểm tra sửa lỗi Ổ cứng Ngôn ngữ Đánh dấu Siêu văn Giao thức truyền tải siêu văn Giao thức kết hợp HTTP 10 HTTPS Hypertext Transfer giao thức bảo mật SSL hay Protocol Secure TLS cho phép trao đổi thông tin cách bảo mật Internet 11 IIS 12 IMAP 13 IPSec 14 JS 15 LVF Internet Information Services Internet Message Access Protocol Dịch vụ thông tin Internet Giao thức truy cập thông báo Internet Protocol Security Bảo mật Giao thức Internet JavaScript Ngơn ngữ lập trình thơng dịch Las Vegas algorithm for Thuật toán Las Vegas cho lựa chọn Filter feature selection tính Lọc vii 16 MDAC 17 NTFS 18 ORM Microsoft Data Access Thành phần truy cập liệu Components Microsoft New Technology File System Object-Relational Mapping Hệ thống tập tin công nghệ Bản đồ quan hệ đối tượng Là giao thức tầng ứng dụng 19 POP3 Post Office Protocol dùng để lấy thư điện tử từ server mail 20 RAID Redundant Arrays of Inexpensive Disks Là hình thức ghép nhiều ổ đĩa cứng vật lý thành hệ thống ổ đĩa cứng 21 RAM Random Access Memory Bộ nhớ truy cập ngẫu nhiên 22 SDR Single Data Rate Tốc độ liệu đơn 23 SMTP Simple Mail Transfer Giao thức truyền tải thư tín đơn Protocol giản 24 SSL Secure Sockets Layer Chuẩn để thiết lập bảo mật Vietnam Computer 25 VNCERT Emergency Response Team 26 WWW World Wide Web Trung tâm ứng cứu khẩn cấp máy tính Việt Nam Mạng lưới tồn cầu viii DANH MỤC BẢNG Bảng 1.1 Ưu nhược điểm phương pháp kiểm thử hộp đen 17 Bảng 1.2 Ưu nhược điểm phương pháp kiểm thử hộp trắng 18 Bảng 1.3 Ưu nhược điểm phương pháp kiểm thử hộp xám 19 Bảng 2.1 Giải thích trường Weblog 31 Bảng 2.2 Các trường bổ sung dòng định dạng log kết hợp 32 Bảng 3.1 Thống kê hoạt động chung việc sử dụng trang web 62 Bảng 3.2 Thống kê hoạt động hàng ngày việc sử dụng trang web 63 Bảng 3.3 Thống kê hoạt động theo ngày 64 Bảng 3.4 Các trang phổ biến 65 Bảng 3.5 Bảng thống kê lượng khách truy cập theo địa IP 66 ix DANH MỤC HÌNH Hình 1.1 Kiến trúc hệ thống máy chủ web Hình 1.2 Các bước tiến trình truyền tải web Hình 1.3 Phương thức GET HTTP 11 Hình 1.4 Phản hồi request từ Web Client 11 Hình 1.5 Các lỗ hổng mối đe dọa với máy chủ web 16 Hình 1.6 Các lỗ hổng bảo mật có nguy cơng cao 17 Hình 1.7 Mơ hình công mạng theo phương pháp truy cập trực tiếp 20 Hình 1.8 Các biện pháp bảo vệ theo chiều sâu 24 Hình 2.1 Mơ hình kiến trúc hệ thống IBM QRadar SIEM 27 Hình 2.2 Thống kê Splunk 28 Hình 2.3 Thống kê thu thập Web log từ máy chủ cần giám sát VNCS 29 Hình 2.4 Hệ thống phân tích, phát truy nhập bất thường 30 Hình 2.5 Cấu trúc Log Parser Microsoft cung cấp 33 Hình 2.6 Log Parser 2.2 Microsoft Windows 34 Hình 2.7 Định dạng File log dạng text 35 Hình 2.8 Định dạng File log dạng Excel 35 Hình 2.9 Access.log từ máy Metasploitable 37 Hình 2.10 Kết sau ứng dụng Regex 38 Hình 2.11 Các thành phần việc lựa chọn thuộc tính 40 Hình 2.12 Mơ Hình Wrappe 41 Hình 2.13 Mơ hình Filter 42 Hình 2.14 Tìm kiếm theo phương pháp Focus 43 Hình 2.15 Tìm kiếm theo phương pháp AAB 43 Hình 2.16 Tìm kiếm theo kinh nghiệm Wrap1 44 Hình 2.17 Tìm kiếm theo phương pháp LVF 45 Hình 2.18 Trình duyệt cảnh báo dấu hiệu bất thường 47 Hình 2.19 Các IP có lượng truy cập lớn có dấu hiệu quậy phá .48 Hình 3.1 Mơ hình Mastrer – Slave Database Replication 53 x Hình 3.2 Mơ hình hệ thống máy chủ web VCCorp 54 Hình 3.3 File dự đoán mật tạo destop kali 55 Hình 3.4 Log dịch vụ FTP 56 Hình 3.5 Sử dụng cơng cụ sqlmap công sql injection 56 Hình 3.6 Cảnh báo cơng vào dịch vụ FTP 56 Hình 3.7 Thông tin chung cảnh báo 57 Hình 3.8 Danh sách kiện 57 Hình 3.9 Thơng tin chi tiết cảnh báo .58 Hình 3.10 Lỗi HTTP 500 58 Hình 3.11 Chi tiết lỗi HTTP 500 59 Hình 3.12 Payload request vào web server .59 Hình 3.13 Một số thơng tin khác IP nguồn, IP đích, thời gian, cổng .59 Hình 3.14 File log web server 60 Hình 3.15 Giao diện WebLog Expert 61 Hình 3.16 Các truy cập vào Web theo ngày tuần 63 Hình 3.17 Các hành vi truy nhập thống kê theo ngày 63 Hình 3.18 Các truy cập vào Web theo ngày 64 Hình 3.19 Các trang phổ biến 65 Hình 3.20 Cơng cụ tìm kiếm sử dụng 67 Hình 3.21 Các trình duyệt sử dụng nhiều .67 Hình 3.22 Các loại lỗi xảy 68 Hình 3.23 File log phát truy nhập bất thường 68 58 Để xem thông tin chi tiết kiện cảnh báo, double click vào kiện, hệ thống cung cấp chi tiết thông tin Hình 3.9 Thơng tin chi tiết cảnh báo Phân tích log khơng có chứa thành phần cảnh báo offenses, log log cần phân tích kỹ thuật nhận biết dựa payload thu từ log, công sql injection chưa có cảnh báo Vào tab Log activity giao diện web, search log source ip 192.168.1.200 destination 192.168.1.102 Xuất số lỗi HTTP 500 Hình 3.10 Lỗi HTTP 500 Có thể click vào lỗi để phân tích 59 Hình 3.11 Chi tiết lỗi HTTP 500 Kiểm tra payload request vào web server Hình 3.12 Payload request vào web server Quan sát log, ta thấy xuất dấu hiệu cho thấy công sql injection vào web site phân tích xem xét payload web server IIS Ngồi cịn cho phép xác định thơng tin khác IP nguồn, IP đích, thời gian, cổng,… Ta xác định thơng tin máy công thời gian công, cách thức cơng đưa giải pháp ngăn chặn Ngồi thông tin mức độ ảnh hưởng, mức độ liên quan hệ thống sau Hình 3.13 Một số thông tin khác IP nguồn, IP đích, thời gian, cổng 60 Ngồi ra, vào thư mục chứa log web server, để kiểm tra phân tích trường hợp hệ thống log bị lỗi Với việc xem xét, phân tích log xác định cách cụ thể thông tin thơng tin phân tích hệ thống giám sát an ninh mạng, có thơng tin mà khơng có mức đánh giá khách quan công không tường minh dễ phân tích phân tích hệ thống giám sát an ninh mạng Hình 3.14 File log web server Với đặc tả liệu Weblog ghi nhận trên, ta xác định phân tích cơng tab offenses đưa ra, ngồi có khả phân tích xác định dạng công dựa log thu thập Từ cảnh báo, xác định thông cần thiết liên quan tới công chứng giải pháp ngăn chặn công[8] 3.3 Thử nghiệm phân tích, phát bất thường với cơng cụ Weblog Expert Một số công cụ thu thập thông tin logflie hệ thống phổ biến mã nguồn mở như: FireStats, Open Web Analytics, Weblog Expert, Go Access, Web Forensik Tuy nhiên luận văn này, tác giả lựa chọn phần mềm Weblog Expert Web log Expert phần mềm miễn phí Trong luận văn nghiên cứu kết phiên Web Log Expert Lite 8.6[17] WebLog Expert trình phân tích nhật ký truy cập nhanh mạnh mẽ Nó cung cấp thơng tin khách truy cập trang web: thống kê hoạt động, tệp 61 truy cập, đường dẫn thông qua trang web, thơng tin trang giới thiệu, cơng cụ tìm kiếm, trình duyệt, hệ điều hành Chương trình tạo báo cáo dễ đọc bao gồm thông tin văn (bảng) biểu đồ[15,16] * Tính năng, đặc điểm WebLog Expert[16] - Hỗ trợ ghi Apache, IIS Nginx - Tự động phát định dạng nhật ký - Có thể đọc nhật ký nén GZ ZIP - Tạo báo cáo bao gồm thông tin văn biểu đồ - Nó cung cấp thơng tin hoạt động chung, hoạt động thống kê hoạt động truy cập - Cung cấp nhiều thơng tin khách truy cập, trình duyệt, lỗi liên kết giới thiệu Chương trình có giao diện trực quan Trình thủ thuật tích hợp giúp ta nhanh chóng dễ dàng tạo tiểu sử cho trang web phân tích Hình 3.15 Giao diện WebLog Expert 3.4 Một số kết thử nghiệm với Weblog Expert Trong luận văn, liệu nhật ký web chứa thông tin tuần từ ngày tháng 11 năm 2018 đến ngày 11 tháng 11 năm 2018 Dữ liệu thu thập từ máy chủ web công ty VCCorp Sau số kết thử nghiệm phát bất thường với công cụ Weblog Expert[17,25] 62 * Hoạt động chung (General Activity) Thống kê hoạt động chung trang web hiển thị bảng 3.1 Kết thống kê chung cho thấy có 8,843,251 lượt truy cập, 8,618,495 khách truy cập, có 1,393,931 lượt xem trang, 70,339 u cầu khơng thành công… Bảng 3.1 Thống kê hoạt động chung việc sử dụng trang web Summary Hits Total Hits 8,843,251 Visitor Hits 8,618,495 Spider Hits 224,756 Failed Requests 70,339 Page Views Total Page Views 1,393,931 Visitors Total Visitors 74,215 Bandwidth Total Bandwidth 724.26 GB Visitor Bandwidth 663.64 GB Spider Bandwidth 60.61 GB view full report Bảng hiển thị thông tin phần: Số lần truy cập, lượt xem trang, khách truy cập băng thông… * Thống kê hoạt động (Activity Statistics) Thống kê hoạt động cho thấy hoạt động hàng ngày hàng nhật ký tập tin Nếu tệp nhật ký chứa liệu liên quan đến khoảng thời gian hai tháng cơng cụ hiển thị hoạt động hàng tuần hàng tháng khách truy cập Bảng 3.2 cho thấy tổng số lượt truy cập 8,843,251; lượt xem trang 1,393,931; khách truy cập 74,215, thời lượng truy cập trung bình 04:39 băng thông 759,437,978 kilobyte 63 Bảng 3.2 Thống kê hoạt động hàng ngày việc sử dụng trang web Date Hits Page Views Visitors Average Visit Length Bandwidth (KB) Sun 11/4/2018 810,494 150,002 6,210 05:09 69,283,739 Mon 11/5/2018 821,508 136,201 7,145 04:50 68,496,224 Tue 11/6/2018 792,994 121,360 6,974 04:24 65,835,771 Wed 11/7/2018 822,261 129,711 7,230 04:11 68,906,463 Thu 11/8/2018 870,251 126,924 7,588 04:45 73,914,218 Fri 11/9/2018 846,169 129,687 7,136 04:27 69,664,127 Sat 11/10/2018 870,747 138,839 7,230 04:39 70,950,083 Sun 11/11/2018 929,948 146,888 7,331 05:03 82,008,347 Mon 11/12/2018 855,378 118,829 7,018 04:46 78,468,119 Tue 11/13/2018 865,730 138,150 7,381 04:21 77,058,503 Wed 11/14/2018 357,771 57,340 2,972 04:26 34,852,380 Total 1,393,931 74,215 04:39 759,437,978 8,843,251 Hình 3.16 Các truy cập vào Web theo ngày tuần Hình 3.16 thể lưu lượng truy cập vào trang web khơng đồng đều, có đột biến cao ngày cuối tuần Từ ta khoanh vùng, đưa kiểm tra cụ thể ngày đột biến: Các trang web truy cập ngày, thời gian truy cập… Hình 3.17 Các hành vi truy nhập thống kê theo ngày Biểu đồ cho thấy thời gian truy cập tăng dần, buổi sáng thường 10h, buổi tối khoảng 20h thời điểm có lượng truy cập cao ngày 64 Bảng 3.3 hiển thị tổng số lượt truy cập 8,843,251; lượt xem trang 1,393,931; khách truy cập74,215 băng thông 759,437,978KB Bảng 3.3 Thống kê hoạt động theo ngày Hour Hits Page Views Visitors Bandwidth (KB) 00:00 - 00:59 227,253 47,515 1,672 22,276,068 01:00 - 01:59 140,680 36,099 1,081 16,378,963 02:00 - 02:59 112,910 41,894 828 14,917,631 03:00 - 03:59 92,103 38,119 636 13,589,387 04:00 - 04:59 99,830 36,744 787 14,096,825 05:00 - 05:59 145,783 41,138 1,334 17,086,153 06:00 - 06:59 216,313 51,315 1,898 22,584,196 07:00 - 07:59 299,226 48,086 2,883 27,007,222 08:00 - 08:59 422,638 56,822 3,903 35,338,257 09:00 - 09:59 478,716 58,921 4,406 38,750,847 10:00 - 10:59 511,355 74,270 4,466 41,880,138 11:00 - 11:59 470,061 64,445 4,028 38,966,118 12:00 - 12:59 417,520 55,088 3,741 35,407,668 13:00 - 13:59 422,666 65,537 3,700 34,746,103 14:00 - 14:59 416,861 71,745 3,642 35,172,915 15:00 - 15:59 437,768 62,348 3,838 35,917,491 16:00 - 16:59 422,186 49,025 3,913 34,722,392 17:00 - 17:59 425,880 58,603 3,604 34,675,685 18:00 - 18:59 484,828 69,325 3,844 39,061,101 19:00 - 19:59 537,749 73,164 4,293 42,194,114 20:00 - 20:59 637,435 78,434 4,866 48,050,784 21:00 - 21:59 617,940 83,837 4,748 47,502,267 22:00 - 22:59 486,126 80,370 3,548 40,233,761 23:00 - 23:59 319,424 51,087 2,556 28,881,880 Total 8,843,251 1,393,931 74,215 759,437,978 * Hoạt động truy cập (Access Activity) Hoạt động truy cập cung cấp thông tin phổ biến trang, tệp tải xuống nhiều hầu hết hình ảnh yêu cầu Hình 3.18 Các truy cập vào Web theo ngày 65 Hình 3.18 mơ tả truy cập vào Web theo ngày, đường minh họa màu xanh nước biển có lưu lượng truy nhập PhP có độ tăng đột biến thể cơng Web Hình 3.19 Các trang phổ biến Biểu đồ thể rõ truy nhập bất thường vào trang phpmyadmin/index Bảng 3.4 Các trang phổ biến Page Hits Incomplete Requests Visitors Bandwidth (KB) https://vccorp.vn/phpmyadmin/ index.php 262,890 262,815 262,815 6,701,276 https://vccorp.vn/ 276 276 276 4,899,084 https://vccorp.vn/wp-cron.php 1,357 1,357 1,357 228,723 https://vccorp.vn/mod_pagespeed_beacon/ 184 184 184 413,581 https://vccorp.vn/wp-content/ plugins/onesignal-free-web-pushnotifications/ sdk_files/manifest.json.php 169 169 169 1,306,753 https://vccorp.vn/cac-phuong-phap-datcam-co-dau.html 416 416 416 2,733,411 https://vccorp.vn/mua/ dau-phat-sieu-lamsach-ultrasonic-transducer/ 546 546 546 96,362 https://vccorp.vn/mua/ vong-lap-xec-mangpiston-jtc-1736/ 223 223 223 3,46,968 https://vccorp.vn/wp-content/ plugins/onesignal-free-web-pushnotifications/ 323 323 323 3,02,069 10 https://vccorp.vn/thanh-toan/ 238 238 238 2,41,689 https://vccorp.vn/mua/ bo+-kha+u-thao11 mm/ 263 263 263 1,97,703 12 https://vccorp.vn/gio-hang/ 436 436 436 1,47,171 13 https://vccorp.vn/cach-dat-cam-khong-dautren-dong-co-oto html 213 213 213 1,85,769 14 https://vccorp.vn/mua/ bo-dong-ho-apsuat-buong-dot-dong-co/ 293 293 293 2,88,647 15 https://vccorp.vn/mua/ dau-ep-gia-nhiet-/ 461 461 461 60,444 16 https://vccorp.vn/mua/ cao-su-non-va-lop/ 231 231 231 50,388 66 Khi thống kê theo trang web có lưu lượng truy cập nhiều Weblog Expert cho phép ta nhìn thấy số lượng truy cập bất thường, đường dẫn đầy đủ trang web truy cập * Khách truy cập (Visitors) Bảng 3.5 Bảng thống kê lượng khách truy cập theo địa IP Country Host 10 11 12 13 14 15 16 17 18 19 20 185.224.248.171 193.201.225.12 45.58.127.226 66.249.82.112 66.249.82.116 66.249.82.114 185.244.25.218 94.177.228.31 52.200.221.20 203.113.152.5 203.113.152.3 203.113.152.4 203.113.152.6 80.211.107.172 185.244.25.154 Hits Visitors Bandwidth (KB) Russian Federation 292 245 101,735 Ukraine 350 175 679 United States 563 148 45,050 United States 1,360 112 385 United States 1,344 109 381 United States 1,397 104 394 Netherlands 133 103 46,338 Germany 156 82 54,351 United States 81 80 13,971 Vietnam 188 74 83,611 Vietnam 159 74 71,285 Vietnam 183 72 82,860 Vietnam 154 71 69,605 Italy 170 70 58,880 Netherlands 83 70 28,917 Subtotal 383,593 3,831 36,689,987 Total 8,618,495 74,215 695,880,416 Show items: Page of 812 Thống kê theo địa IP cho phép nhà quản trị khoanh vùng địa điểm truy cập Từ phát lãnh thổ truy cập: Truy cập bắt nguồn từ nước nào, nhà mạng nào… * Liên kết giới thiệu (Referrer) Hình 3.20 cho thấy cơng cụ tìm kiếm sử dụng để tìm trang web Ở google sử dụng nhiều số tìm kiếm khác 67 Hình 3.20 Cơng cụ tìm kiếm sử dụng * Trình duyệt (Browsers) Giai đoạn phân tích cung cấp thơng tin trình duyệt hệ điều hành khách truy cập trang web sử dụng Hình 3.21 cho thấy trình duyệt sử dụng để truy cập trang web Hình 3.21 Các trình duyệt sử dụng nhiều Đơi trang web, hình ảnh khơng xuất hiện, menu khơng phù hợp văn lộn xộn với Điều vấn đề tương thích trình duyệt trang web Thơng tin cung cấp cơng cụ phân tích hiển thị trình duyệt hệ điều hành hoạt động mà khách truy cập 68 sử dụng truy cập trang web Vì vậy, vấn đề tương thích giải trang web cập nhật * Thống kê lỗi (Errors) Hình 3.22 cho thấy loại xảy lỗi truy cập trang web Lỗi “404” xảy khơng tìm thấy liên kết lỗi thứ hai 400 Bad Request thường gây bạn nhập dán URL sai cửa sổ địa Hình 3.22 Các loại lỗi xảy Từ thông tin này, thay đổi bắt buộc thực mã trang web, để tỷ lệ lỗi tương lai giảm * Kiểm tra filelog Hình 3.23 File log phát truy nhập bất thường Sau thống kê bất thường dựa báo cáo biểu đồ, bảng biểu phần mềm Weblog Expert ta phát truy nhập bất thường 69 (ngày, giờ, địa IP…) Từ kiểm tra filelog thấy rõ địa IP, ngày giờ, lệnh truy cập… Hình 3.33 cho thấy truy cập lệnh: "GET /phpmyadmin/index.php?pma_username=root&pma_password=p@ssword1&serve r=1 HTTP/1.0" … Đây lệnh dự đoán tên đăng nhập mật để thực truy nhập bất thường Từ đưa phương án ngăn chặn kịp thời bất thường xảy Nhà quản trị cần kiểm tra filelog hàng ngày Đọc filelog lực cần có nhà quản trị webserver 3.5 Kết luận chương Trong chương 3, luận văn trình bày số kết thử nghiệm phân tích Weblog phát truy nhập bất thường vào máy chủ Web Cơng ty VCCorp Luận văn trình bày cụ thể số đặc tả liệu Weblog máy chủ ghi nhận được, trình bày tóm tắt cơng cụ Weblog Expert dùng để thu thập, phân tích dấu hiệu Weblog Tiếp đó, trình bày số kết thử nghiệm 70 KẾT LUẬN Phân tích logfile, phát truy nhập bất thường vào máy chủ Web nhu cầu thực tế đặt giúp phán đoán nguy xảy công vào máy chủ Web Phát truy cập bất thường bước quan trọng để phát cơng vào máy chủ Web Trên sở thực bước việc đảm bảo an toàn dịch vụ Web, phát hành động xâm nhập trái phép, công vào máy chủ Web Ngày có nhiều biện pháp phát truy cập bất thường dựa nguyên lý chung xây dựng tập dấu hiệu bình thường hệ thống, tiếp thu thập hành vi truy nhập vào máy chủ, so sánh với tập dấu hiệu bình thường lưu sẵn Nếu có khác biệt có nghĩa có hành vi truy nhập bất thường Một khả khác để thu thập thông tin hành vi sử dụng công cụ thu thập thông tin máy chủ Web thực phân tích, phát dấu hiệu truy nhập bất thường vào máy chủ Web Điển hình cơng cụ WLELite Mục đích nghiên cứu vấn đề truy nhập bất thường vào máy chủ Web, phương pháp thu thập liệu Weblog phân tích, phát dấu hiệu bất thường Các kết nghiên cứu đạt gồm: - Nghiên cứu tổng quan máy chủ web, logfile, truy cập bất thường - Nghiên cứu phương pháp phát truy cập bất thường vào máy chủ web thơng qua thu thập phân tích Weblog - Ứng dụng thử nghiệm phần mềm WLELite việc thu thập, phân tích thơng tin từ máy chủ web VCCorp Hướng phát triển tiếp: Luận văn toán sở để phát dấu hiệu bất thường truy cập máy chủ web bất kì, trung tâm liệu Kết thực đề tài có ý nghĩa thiết thực triển khai ứng dụng nhà cung cấp dịch vụ Hosting VCCorp TÀI LIỆU THAM KHẢO Tiếng việt [1] Hoàng Đăng Hải (2014), Tài liệu môn An ninh mạng, Học viện Công nghệ Bưu Viễn thơng, Hà Nội [2] Phạm Duy Lộc, Hồng Xuân Dậu, Khảo sát tảng kỹ thuật xử lý Log truy cập dịch vụ mạng cho phát nguy an tồn thơng tin, Tạp chí KH Đại học Đà Lạt, Tập 8, Số 2, 2018 [3] Trịnh Nhật Tiến (2008), An toàn an toàn thông tin, Nhà xuất quốc gia [4] Võ Đỗ Thắng (2013), Tấn cơng phịng thủ cho ứng dụng Web, Trung tâm An ninh mạng Athena [5] Nghị định Chính phủ, Quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng, số 72/2013/NĐ-CP [6] Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (2009), TCVN ISO/IEC 27001:2009, Bộ Thông tin Truyền thông, Hà Nội Tiếng Anh [7] Christopher Kruegel, Giovanni Vigna Anomaly Detection of Webbased Attacks CCS '03 Proceedings of the 10th ACM conference on Computer and communications security Pp 251-261 [8] Hongxin Hu, Gail-Joon Ahn and Ketan Kulkarni Anomaly Discovery and Resolution in Web Access Control Policies SACMAT’11 Proceedings of the 16th ACM symposium on Access control models and technologies Pp 165-174 [9] Juan M Est_evez-Tapiador, Pedro Garc_ıa-Teodoro, Jes_us E D_ıazVerdejo Measuring normality in HTTP traffic for anomaly-based intrusion detection Computer Networks 45 (2004) 175–193 [10] Juan M Estévez-Tapiador Pedro García-Teodoro Jesús E Díaz-Verdejo Detection of Web-based Attacks through Markovian Protocol Parsing ISCC 2005 Proceedings Communications, 2005 10th IEEE Symposium on Computers and [11] Sipola, Tuomo; Juvonen, Antti; Lehtonen, Joel Anomaly detection from network logs using diffusion maps Engineering Applications of Neural Networks (pp 172-181) IFIP Advances in Information and Communication Technology (363) [12] Shilin He, Jieming Zhu, Pinjia He, and Michael R Lyu Experience Report: System Log Analysis for Anomaly Detection IEEE 27th International Symposium on Software Reliability Engineering (ISSRE), 2016 [13] Shaimaa Ezzat Salama Web Server Logs Preprocessing for Web Intrusion Detection Computer and Information Science, Vol 4, No 4; July 2011 Pp 123- 134 [14] Yi Xie and Shun-Zheng Yu Monitoring the Application-Layer DDoS Attacks for Popular Websites IEEE/ACM TRANSACTIONS ON NETWORKING, VOL 17, NO 1, FEBRUARY 2009 Pp 15-26 Website [15] https://www.weblogexpert.com/ [16] https://www.weblogexpert.com/lite.htm [17] https://www.weblogexpert.com/download.htm [18] https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project [19] https://research.ijcaonline.org/volume110/number4/pxc3900759.pdf [20] https://www.sans.org/reading-room/whitepapers/logging/detecting-attacksweb-applications-log-files2074 [21] https://vi.wikipedia.org/wiki/Hypertext_Transfer_Protocol [22] https://www.hostinger.vn/huong-dan/apache-la-gi-giai-thich-cho-nguoi-moibat-dau-hieu-ve-apache-web-server/#gref [23] https://securitydaily.net/tim-hieu-ve-internet-information-services-iis/ [24] https://blog-xtraffic.pep.vn/nginx-la-gi/ [25] https://vccorp.vn/ ... Phát truy nhập bất thường vào máy chủ Web Các truy nhập bất thường vào máy chủ Web tiềm ẩn nguy công, việc phát truy nhập bất thường vào máy chủ Web có vai trị quan trọng việc phát sớm công vào. .. nhập bất thường vào máy chủ Web Như trình bày chương 1, việc phân tích Weblog máy chủ Web giải pháp hiệu cho phát truy nhập bất thường vào máy chủ Web Để thực nhiệm vụ phát truy nhập bất thường vào. .. CHƯƠNG PHÁT HIỆN TRUY NHẬP BẤT THƯỜNG VÀO MÁY CHỦ WEB 26 v 2.1 Phạm vi phân tích, phát truy nhập bất thường vào máy chủ Web 26 2.2 Kiến trúc hệ thống phát truy nhập bất thường

Ngày đăng: 01/02/2023, 17:18

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w