Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 86 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
86
Dung lượng
7,15 MB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH LUẬN VĂN THẠC SĨ NGUYỄN HỒNG LÂN NHẬN DIỆN VÀ QUẢN LÝ CÁC LƯU LƯỢNG BẤT THƯỜNG TRÊN MẠNG NGÀNH: KHOA HỌC MÁY TÍNH Tp Hồ Chí Minh, tháng 11/2022 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH LUẬN VĂN THẠC SĨ NGUYỄN HỒNG LÂN NHẬN DIỆN VÀ QUẢN LÝ CÁC LƯU LƯỢNG BẤT THƯỜNG TRÊN MẠNG NGÀNH: KHOA HỌC MÁY TÍNH – 8480101 Hướng dẫn khoa học: TS HUỲNH NGUYÊN CHÍNH Tp Hồ Chí Minh, tháng 07/2022 i ii iii iv v vi LÝ LỊCH KHOA HỌC I LÝ LỊCH SƠ LƯỢC: Họ & tên: Nguyễn Hồng Lân Giới tính: Nam Ngày, tháng, năm sinh: 05/05/1986 Nơi sinh: Ninh Bình Quê quán: Ninh Bình Dân tộc: Kinh Chỗ riêng địa liên lạc: Số 10, Đường N5, KDC Lê Phong, P.Tân Bình, Dĩ An, Bình Dương Điện thoại quan: 028.22158645 Điện thoại nhà riêng: 0935484872 Fax: E-mail: lanit2008@gmail.com II QUÁ TRÌNH ĐÀO TẠO: Đại học: Hệ đào tạo: Liên thông Thời gian đào tạo từ 8/2008 đến 10/2010 Nơi học (trường, thành phố): Đại học Sư phạm Hà Nội Ngành học: Công nghệ thông tin Tên đồ án, luận án môn thi tốt nghiệp: Cơ sở liệu, mạng máy tính Luận án: Ngày & nơi bảo vệ đồ án, luận án thi tốt nghiệp: Người hướng dẫn: III Q TRÌNH CƠNG TÁC CHUN MƠN KỂ TỪ KHI TỐT NGHIỆP ĐẠI HỌC: Thời gian 9/2011 – Nay Nơi công tác Công việc đảm nhiệm Trường Cao Đẳng Công Nghệ Thủ Đức vii Nhân viên giáo vụ khoa LỜI CAM ĐOAN Tôi cam đoan công trình nghiên cứu tơi Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Tp Hồ Chí Minh, ngày … tháng … năm 2022 viii ` Console.WriteLine(); Console.WriteLine("The following devices are available on this machine:"); Console.WriteLine(" -"); Console.WriteLine(); int i = 0; // Print out the devices foreach (var dev in devices) { /* Description */ Console.WriteLine("{0}) {1} {2} {3}", i, dev.Name, dev.MacAddress, dev.Description); i++; } Console.WriteLine(); Console.Write(" Choose Interface: - : "); i = int.Parse(Console.ReadLine()); Console.Write("My IP: "); MyIP = Console.ReadLine().Trim(); using var device = devices[i]; // Register our handler function to the 'packet arrival' event device.OnPacketArrival += new PacketArrivalEventHandler(device_OnPacketArrival); // Open the device for capturing int readTimeoutMilliseconds = 1000; device.Open(mode: DeviceModes.Promiscuous | DeviceModes.DataTransferUdp | DeviceModes.NoCaptureLocal, read_timeout: readTimeoutMilliseconds); Console.WriteLine(); Console.WriteLine(" Monitoring {0} {1} {2}, 'Enter' for exit ", device.Name, device.MacAddress, device.Description); // Start the capturing process device.StartCapture(); // Wait for 'Enter' from the user Console.ReadLine(); // Stop the capturing process device.StopCapture(); 54 ` Console.WriteLine(" Stopped."); // Print out the device statistics Console.WriteLine(device.Statistics.ToString()); } /// /// Prints the time and length of each received packet /// private static void device_OnPacketArrival(object sender, PacketCapture e) { var time = e.Header.Timeval.Date; var len = e.Data.Length; var rawPacket = e.GetPacket(); var packet = PacketDotNet.Packet.ParsePacket(rawPacket.LinkLayerType, rawPacket.Data); var tcpPacket = packet.Extract(); if (tcpPacket != null) { var ipPacket = (PacketDotNet.IPPacket)tcpPacket.ParentPacket; System.Net.IPAddress srcIp = ipPacket.SourceAddress; System.Net.IPAddress dstIp = ipPacket.DestinationAddress; int srcPort = tcpPacket.SourcePort; int dstPort = tcpPacket.DestinationPort; //Console.WriteLine("{0}:{1}:{2},{3} Len={4} {5}:{6} -> {7}:{8}", // time.Hour, time.Minute, time.Second, time.Millisecond, len, // srcIp, srcPort, dstIp, dstPort); try { if (MyIP == dstIp.ToString()) { // Task.Run(() => // { Console.WriteLine("{0}:{1}:{2},{3} Len={4} {5} -> {7}", 55 ` time.Hour, time.Minute, time.Second, time.Millisecond, len, srcIp, srcPort, dstIp, dstPort); AddPackage(new Package() { dst = dstIp.ToString(), src = srcIp.ToString(), size = len }); // // }); } } catch { } } } public static void AddPackage(params Package[] packages) { var request = new AddPackageRequest(); request.Package.AddRange(packages.Select(package => new PackageModel() { Dst = package.dst, Src = package.src, Size = package.size })); try { var reply = client.AddPackage(request); } catch (Exception ex) { Console.WriteLine($" -> grpc cmd error: {ex.Message}"); } } } } D Nội dung code Module WorkService using System; using System.Collections.Generic; using System.Linq; 56 ` using using using using using System.Threading.Tasks; Microsoft.AspNetCore.Hosting; Microsoft.Extensions.Configuration; Microsoft.Extensions.Hosting; Microsoft.Extensions.Logging; namespace WorkService { public class Program { public static void Main(string[] args) { CreateHostBuilder(args).Build().Run(); } public static IHostBuilder CreateHostBuilder(string[] args) => Host.CreateDefaultBuilder(args) ConfigureAppConfiguration((hostingContext, config) => { // config.Sources.Clear(); var env = hostingContext.HostingEnvironment; config.AddJsonFile("appsettings.json", optional: true, reloadOnChange: true) AddJsonFile($"appsettings.{env.Envir onmentName}.json", optional: true, reloadOnChange: true); // nhung gi xai chung config.AddJsonFile("appsettings.common.js on", optional: true, reloadOnChange: true); }) ConfigureWebHostDefaults(webBuilder => { webBuilder.UseStartup(); }); } } E Module CoreService using using using using System; System.Collections.Generic; System.Linq; System.Threading.Tasks; 57 ` using using using using Microsoft.AspNetCore.Hosting; Microsoft.Extensions.Configuration; Microsoft.Extensions.Hosting; Microsoft.Extensions.Logging; namespace CoreService { public class Program { public static void Main(string[] args) { CreateHostBuilder(args).Build().Run(); } public static IHostBuilder CreateHostBuilder(string[] args) => Host.CreateDefaultBuilder(args) ConfigureAppConfiguration((hostingContext, config) => { // config.Sources.Clear(); var env = hostingContext.HostingEnvironment; config.AddJsonFile("appsettings.json", optional: true, reloadOnChange: true) AddJsonFile($"appsettings.{env.Envir onmentName}.json", optional: true, reloadOnChange: true); // nhung gi xai chung config.AddJsonFile("appsettings.common.js on", optional: true, reloadOnChange: true); }) ConfigureWebHostDefaults(webBuilder => { webBuilder.UseStartup(); }); } } 58 ` NHẬN DIỆN VÀ QUẢN LÝ CÁC LƯU LƯỢNG BẤT THƯỜNG TRÊN MẠNG IDENTIFYING AND MANAGING ANOMALOUS TRAFFIC ON THE NETWORK Nguyễn Hồng Lân Trường đại học Sư phạm Kỹ thuật TP.HCM TÓM TẮT Trong kỷ nguyên số 4.0 nay, ngành cơng nghệ thơng tin có phát triển vượt bậc dẫn đến tiến mạng máy tính Ngày có nhiều cách thức tiên tiến để kết nối hệ thống người dùng lại với như: sử dụng công nghệ người dùng từ xa, khơng dây, đám mây, IoT, VPN… Chính vấn đề giám sát mạng trở nên quan trọng Hệ thống máy chủ nơi lưu trữ, cung cấp, xử lý liệu chuyển đến máy trạm liên tục 24/7 cho người dùng Do việc đảm bảo an tồn tính liên tục cho hệ thống máy chủ cấp thiết Đề tài “Nhận Diện Và Quản Lý Các Lưu Lượng Bất Thường Trên Mạng” nghiên cứu thuật toán phát Hot-IP phép thử nhóm cải tiến Qua xây dựng ứng dụng phát cảnh báo bất thường dạng HIDS máy chủ Web server Từ khóa: Hot-Ip; IDS; HIDS; Identifying and Managing Anomalous Traffic on the Network; group test and delimited D-matrix ABSTRACT In the current digital era of 4.0, the information technology industry has had a great development leading to advancements in computer networks There are more and more new and advanced ways to connect user systems together such as: using remote user technology, wireless, cloud, IoT, VPN Therefore, the problem of network monitoring becomes very important The server system is a place to store, provide, process data and then transfer to workstations 24/7 for users Therefore, it is imperative to ensure the safety and continuity of the server system The topic "Identifying and Managing Anomalous Traffic on the Network" studies on the Hot IP detection algorithm by group test and delimited D-matrix Thereby building a HIDS abnormality detection and warning application at the Web server The system is built on the Windows platform, performs the task of Monitoring network traffic at the web server host location, giving the necessary warnings for the administrator to take 59 ` appropriate actions respond to system abnormalities at the host in order to minimize possible risks to the system Keywords: Hot-Ip; IDS; HIDS; Identifying and Managing Anomalous Traffic on the Network; group test and delimited D-matrix GIỚI THIỆU địa IP đích, cơng DoS Do đó, để sớm xác định nguồn gốc nguy công cách phát sớm Hot-IP Kỷ nguyên cách mạng công nghiệp 4.0 mở phát triển ngày mạnh mẽ công nghệ thông tin Các ứng dụng công nghệ thông tin len lỏi vào ngõ ngách sống góp phần thúc đẩy phát triển xã hội, trình độ dân trí người dân khơng ngừng nâng cao Tuy nhiên với phát triển vũ bão công nghệ thông tin gia tăng không ngừng nghỉ loại tội phạm mạng ngày trở thành mối đe dọa ám ảnh người dùng máy tính Vậy ta hiểu toán phát Hot-IP mạng sau: Thơng qua ứng dụng bắt gói tin, xác định dòng IP lớn vào mạng, giá trị xác định ngưỡng, tần số xuất IP vượt giá trị ngưỡng ngày xác định Hot-IP Thơng qua giải pháp xác định nhanh đối tượng Hot-IP giúp người quản trị hệ thống sớm ngăn chặn nguy gây thiệt hại cho hệ thống mạng sớm có phương án đối phó kịp thời để bảo vệ cho hệ thống an toàn Các mạng mà đặc biệt loại hình theo kiểu cơng từ chối dịch vụ gây hậu nghiêm trọng cho hệ thống mạng Chúng làm cho người dùng sử dụng dịch vụ, cá nhân, công ty nạn nhân công bị ảnh hưởng nhiều công việc, thời gian, bên canh cịn phải khoản phí để sửa chữa cố nhằm cho hệ thống hoạt động trở lại bình thường Một số trường hợp nghiêm trọng bị mát tiền bạc, liệu quan trọng công ty, tổ chức, cá nhân TẤN CÔNG TỪ CHỐI DỊCH VỤ 2.1 Các dạng công từ chối dịch vụ Tấn công DoS diễn với nhiều loại hình đa dạng khác tất thiết bị mạng dễ bị tổn thương theo cách Tùy theo cách mà kẻ công sử dụng để thực hiện, công DoS biết đến với dạng khác công: Smurf, Buffer Overflow Attack, Ping of Death, Teardrop, SYN Attack Vấn đề làm để phát nhanh kẻ cơng, đích đến công từ chối dịch vụ hay nguồn gốc lây nhiễm sâu Internet Từ kết này, người quản trị nhanh chóng có giải pháp để ngăn chặn chúng chuyển hướng công Tấn công Smurf Dựa lượng IP qua thiết bị mạng, gói IP với địa IP nguồn địa IP đích giám sát để xuất với tần suất cao (Hot-IP), dẫn đến khả máy chủ bị công Trong trường hợp công từ chối dịch vụ quét mạng, kẻ công gửi lượng tin lớn đến đối tượng đích khoảng thời gian ngắn Thiết bị định tuyến nhận xử lý nhiều gói tin mạng, có nhiều gói tin qua định tuyến với Hình 2.1: Tấn cơng Smurf 60 ` Trong công Smurf [7] kẻ Máy client yêu cầu kết nối cách gửi công phát số lượng lớn gói ICMP với thơng báo SYN đến máy chủ, Máy chủ xác IP nguồn giả mạo nạn nhân tới mạng nhận yêu cầu cách gửi lại SYN- máy tính cách sử dụng địa IP broadcast ACK cho máy khách, Máy khách phản hồi Theo mặc định nhận gói ICMP, ACK xác nhận kết nối thiết lập máy tính mạng phản hồi cách gửi trả lời đến địa IP nguồn Nếu số lượng máy tính mạng nhận phản hồi gói tin lớn, máy tính nạn nhận bị ngập lưu lượng truy cập Điều khiến máy tính nạn nhân chậm đến mức khơng thể hoạt động [8] Hình 2.3: Tấn cơng SYN/ACK Tấn công Buffer overflow Trong công SYN/ACK, kẻ Tấn công Buffer Overflow kiểu công mà kẻ cơng mà tràn vùng nhớ đệm liệu Do dẫn đến tình trạng liệu sau ghi đè lên liệu trước cơng gửi đến máy chủ loạt gói SYN với địa IP nguồn ảo Theo tiến trình bắt tay bước, sau máy chủ nhận gói SYN Tấn cơng Ping of Death gởi trở lại gói SYN/ACK Là kiểu cơng mà kẻ cơng tiến hành gửi gói tin ICMP không với định dạng giao thức gây nên tình trạng tràn ngập gói tin ICMP Qua làm đối tượng bị cơng bị không hoạt động được, ổn định hoạt động mong chờ nhận ACK messages từ địa IP Vì địa IP khơng có thực nên chờ đợi máy chủ ngày nối đuôi dài nhớ gây ngập lụt nhớ máy máy chủ Tấn công SYN/ACK Khi client khởi tạo kết nối TCP đến server, client server thực loạt trao đổi để thực kết nối Thiết lập kết nối gọi tiến trình bắt tay ba bước TCP [7] 2.2 Tấn công từ chối dịch vụ phân tán Tấn công từ chối dịch vụ phân tán (DdoS) loại công nguy hiểm, mối đe dọa thường trực cho hệ thống công nghệ thông tin Có ba loại cơng DDoS sau: Volume-based Là kiểu cơng mà kẻ công tập trung vào việc làm tắc nghẽn băng thông Hình 2.2: Tiến trình bắt tay bước máy chủ Các công thường 61 ` tạo từ số lượng lớn request có Protocol Các cơng giao thức làm kích thước nhỏ, làm máy chủ q tải cạn kệt tài nguyên nạn nhân Các găp cố công giao thức thường diễn Land Attack: giao thức thuộc lớp 3, lớp TCP, UDP, Là loại công vào giao thức truyền IP… tin lớp mơ hình tham chiếu OSI Trong đó, kẻ công thiết lập Application phân đoạn TCP nguồn IP đích Kiểu công tận dụng lỗ hổng Port Cuộc công thực thành công phần mềm ứng dụng để làm tràn ngập cách buộc máy tính gửi phản hồi đến mạng với lượng lớn request khơng máy chủ mục tiêu để gửi phản hồi gói cho máy tính nạn nhân có hội phản hồi SYN/ACK Kết vòng lặp vô tận lại lưu lượng truy cập hợp pháp Các kiểu tạo nên máy tính nạn nhân với công DDoS thường nhắm mục tiêu các máy chủ mục tiêu gây sập treo máy trang web sở liệu Các kiểu chủ công phổ biến như: HTTP flood, DNS UDP flood amplification… Là loại công DDoS mà kẻ cơng gửi nhiều gói tin UDP đến mục tiêu 2.3 Bài toán phát Hot-IP sử dụng nhóm thử bất ứng biến cơng Điều khiến cho máy bị cơng Có hai phương pháp nghiệm thử nhóm: xử lý u cầu thử nghiệm nhóm ứng biến (Adaptive group gửi lưu lượng khác testing) thử nghiệm nhóm bất ứng biến nữa, đồng thời máy nạn nhân không (non-adaptive group testing – NAGT) Trong thể phát yêu cầu đến từ đâu , chúng thử nhóm ứng biến, phép thử sau thiết lọc gói Do đặc thù kế phải dựa vào kết thử nghiệm phương thức truyền gói UDP khơng trước Trong thử nghiệm bất ứng biến, tất thiết lập kết nối trước truyền gói nên kẻ thử nghiệm định trước mà cơng cần tương đối tài nguyên để thực không cần biết kết thử nghiệm việc gửi gói tin nên kiểu công khác phổ biến 2.3.1 Mô tả tốn Cho luồng t gói tin đánh địa tương ứng A = (a1, a2,…,at), với t lớn Mỗi gói tin a có địa IP tập [N], N 62 ` lớn (N=232 với IPv4, N=2128 với Một dòng IP a1,a2,…,am thu thập, với IPv6) Gọi gi =|{j|ai=aj, ai, aj A| gói IP ai, có địa IP nguồn si Giả sử Hot-IP = {aiA|gj x m, 1} có tổng cộng N địa IP phân biệt Giả thiết có nhiều d Hot-IP ánh xạ thành ma trận, t nhóm thử luồng gói tin A Bài tốn đặt thiết lập dòng ma trận, phần tử xác định Hot-IP A ma trận xác định sau: Để dị tìm Hot-IP luồng liệu Mij = { ta giải phương pháp thử nhóm bất ứng biến mơ hình hóa sau: 𝑛ế𝑢 𝐼𝑃𝑗 𝑡ℎ𝑢ộ𝑐 𝑛ℎó𝑚 𝑡ℎử 𝑖 𝑛𝑔ượ𝑐 𝑙ạ𝑖 Cài đặt thuật toán cho trước ma trận nhị phân TmxN với m Để giải toán tìm Hot-IP hàm phụ thuộc giá trị d N Trong đó, m phương pháp thử nhóm, cần phải xây số hàng ma trận tương ứng với dựng ma trận D-phân cách có t dịng N nhóm thử thử nhóm bất ứng biến, N cột: MtxN = (mij) số cột ma trận tương ứng với N địa IP Trong đó: d số lượng host lớn phân biệt T ma trận nhị phân d-phâncách phát sinh phương pháp nối mã Hot-IP [1] Gọi tij phần tử hàng i, cột j ma t: số nhóm thử trận; phần tử ma trận có giá trị N: số lượng IP sau: mij = IP thứ j nằm nhóm thử thứ i, cịn lại mij=0 𝑐1 𝑚11 𝑚21 … 𝑚1𝑛 𝑟1 𝑐2 𝑚21 𝑚22 … 𝑚2𝑛 𝑟2 […] [ … … … … ] [ …] 𝑐𝑡 𝑚𝑡1 𝑚𝑡2 … 𝑚𝑡𝑛 𝑟𝑡 𝑛ế𝑢 𝐼𝑃𝑗 𝑡ℎ𝑢ộ𝑐 𝑛ℎó𝑚 𝑡ℎử 𝑖 tij = { 𝑛𝑔ượ𝑐 𝑙ạ𝑖 Giả sử ta có vector kết rtx1 sau cập nhật địa IP gói tin từ Chúng ta sử dụng đếm tương ứng với dòng ma trận c1,c2,…ct, (ci t), phần tử thứ j [n] đến tăng tất đếm ci mij=1 Từ giá trị đếm này, tính tốn vector kết r {0,1}t sau: ri = ci m/(d+1) ri = cho trường hợp ngược lại Kết thuật tốn dương tính (+) có chứa Hot-IP dịng liệu xét giá trị ngưỡng cho trước, giá trị ri có giá trị sau: ri = { 𝑛ế𝑢 𝐼𝑃𝑗 𝑡ℎ𝑢ộ𝑐 𝑛ℎó𝑚 𝑡ℎử 𝑖 𝑛𝑔ượ𝑐 𝑙ạ𝑖 Chúng ta cần xác định IP dòng liệu Hot-IP 2.3.2 Sử dụng ma trận D-phân cách giải pháp phát Hot-IP Cách xác định x tóm tắt sau: với liệu đầu vào dịng liệu với địa IP trích đó, ma trận d-phân-cách M 63 ` vector kết tính tốn r {0,1}t, xj = 1, j [ N] Hệ thống IDS phân thành loại phổ biến NIDS, HIDS DIDS Với NIDS, hệ thống triển khai để giám sát hoạt động hệ thống mạng, xác định hoạt động bất thường độc hại xuất hệ thống Với HIDS, hệ thống cài đặt host với mục đích giám sát kết nối mạng máy tính để đảm bảo khơng có truy cập trái phép vào máy tính DIDS Là kết hợp NIDS với NIDS với HIDS Các hệ thống IDS tạo lịch sử nhật ký công gửi đến cho máy trung tâm nơi có chứa sở liệu để xử lý DIDS có khả xử lý tập trung, giúp cho người quản trị có khả theo dõi tồn hệ thống Hình 2.9: Minh họa phép thử nhóm Thuật tốn xác định Hot-IP luồng gói IP mơ tả thuật tốn Xét nhóm thử cho kết “âm tính” (ri=0), nhóm thử khơng chứa HotIP, loại bỏ IP thuộc nhóm Sau xem xét IP tương ứng nhóm này, địa IP lại Hot-IP 3.2 ứng dụng phát cảnh báo bất thường dạng HIDS tảng Windows ỨNG DỤNG PHÉP THỬ NHÓM VÀ MA TRẬN D PHÂN CÁCH ĐỂ XÂY DỰNG HỆ THỐNG PHÁT HIỆN VÀ CẢNH BÁO BẤT THƯỜNG DẠNG HIDS TRÊN NỀN TẢNG WINDOWS 3.2.1 Các module ứng dụng Module BasicCap: thực chức bắt gói tin server chạy ứng dụng Module WorkService: có chức chính: Hàng đợi nhận liệu, Xử lý liệu theo thuật toán, Sau xử lý liệu đưa kết như: cảnh báo Hot-IP, thống kê liệu, 3.1 Hệ thống IDS Hệ thống phát xâm nhập (Intrusion Detection System - IDS) [11] hệ thống phần cứng phần mềm sử dụng để giám sát lưu lượng mạng để tìm hoạt động đán ngờ cảnh báo hoạt động phát IDS thực rà quét tất gói tin trước sau vào mạng, đọc nội dung, phát dấu hiệu cơng cảnh báo gửi đến người quản trị hệ thống IDS công cụ giám sát động bổ sung cho khả giám sát tĩnh tường lửa Các gói liệu mạng thu thập phân tích để phát dấu hiệu xâm nhập Các hệ thống IDS có đặc điểm khác so với với tường lửa chúng không thực hành động ngăn chặn truy cập mà giám sát hoạt động hệ thống mạng để từ tìm dấu hiệu công cảnh báo để giúp cho người quản trị có phương án thực thi để bảo vệ hệ thống mạng Module CoreService: Là backend website nơi trung gian truyền nhận liệu, nhận thông tin kết từ Workerservice, Api cho Website thông tin, cảnh báo kết cho Telegram Module Webiste: Giao diện để theo dõi cấu hình hệ thống, chức kết nối với backend (core service) Telegram: để nhận thông báo từ hệ thống phát hot-IP … 64 ` Mơ hình thực nghiệm gồm 01 máy server cài đặt ứng dụng HIDS, 02 máy phát công 3.2.2 Mô tả hoạt động hệ thống: Server Wincap Trích thơng tin IP header - Source Address - Destionation Address - Packet Length Module BasicCap Website Monitor API Module Worker Hot IP Chạy thuật toán Group test - Ip đầu vào - Khung ma trận - Hot IP Module CoreServices API Telegram Hình 3.2: Tiến trình hoạt động hệ thống Các máy cơng thực phát số lượng gói tin lớn đến nạn nhân máy chủ sử dụng công cụ ByteDOS v3.2 giả lập công DDOS Hệ thống cảnh báo cài đặt máy chủ web thực thi cơng cụ bắt gói tin so sánh với ngưỡng người quản trị thiết lập Nếu số lượng cho ta biết IP xuất nhiều số lượng gói tin gửi đến địa card mạng máy server lớn gửi cảnh báo cho người quản trị đồng thời đưa IP vào danh sách Hot-IP Sau gói tin qua interface server cài đặt hệ thống, phần mềm WinCap thực việc xử lý thơng tin, phân tích liệu gói tin (thông tin IP header) Tại module BasicCap tạo thông tin IP Header (Destination address, Source Address, Packet Length) đưa vào Module Worker Tại module Worker: với đầu vào danh sách IP qua interface để vào host đầu IP qua phép thử nhóm Khi giá trị băm xác định Hot-IP ánh xạ ngược lại thành IP ban đầu chuyển sang module Coreservices Hình 3.4: Ma trận sử dụng hệ thống Ở ta sử dụng ma trận M có kích thước dịng cột M9x7 3.2.4 Tại module CoreService: Hiển thị cảnh báo Hot-IP gửi thông tin đến quản trị hệ thống, lưu trữ thông tin cảnh báo, TopIPs, lưu lượng gói tin vào hệ thống… Kết sau chạy thuật toán 3.2.3 Thực nghiệm Attacker 172.16.6.1 Web server 172.16.6.15 Switch Router Hình 3.5: Kết sau chạy thuật toán Internet Normal user Attacker Hình 3.3: Mơ hình thực nghiệm 65 ` KẾT LUẬN Phát cảnh báo sớm nguy bất thường hoạt động độc hại giúp cho người quản trị viên hạn chế nguy xẩy công cho thống Thơng qua tốn phát HotIP phương phát thử nhóm bất ứng biến, chúng tơi ứng dụng xây dựng hệ thống phát cảnh báo IP có tần suất lượng gói tin truyền đến máy tính cao bất thường qua giúp người quản trị hệ thống có phương án cách ly, ngăn chặn kịp thời nguy gây hại cho máy tính chạy dịch vụ Hình 3.6: Kết sau chạy thuật toán Sau chạy thuật toán, hệ thống thực giám sát lưu lượng – vào máy chủ Các IP có tần suất xuất cao có mang lượng gói tin lớn đưa vào list Hot-IP sau tiến hành gửi cảnh báo cho người quản trị hệ thống qua ứng dụng telegram Công cụ xậy dựng tảng Windows với giao diện quản trị dạng Web thân thiện dễ sử dụng Hiện nghiên cứu dừng lại mức độ phát mối nguy hiểm có khả cơng vào máy chủ, sau cảnh báo mối nguy hiểm cho người quản trị thông qua công cụ ứng dụng telegram, Website quản trị Để ứng dụng vào mơ hình thực tế ứng dụng cần tích hợp thêm cơng cụ cách ly, ngăn chặn, hạn chế phát Hot-IP Bên cạnh đó, ứng dụng hướng đến phát triển ứng dụng trền tảng mobile nhằm đa dạng hóa giao diện người dùng cho ứng dụng Hình 3.7: Cảnh báo qua hệ thống telegram 66 ` TÀI LIỆU THAM KHẢO [1] Huỳnh Nguyên Chính, “Giải Pháp Phát Hiện Nhanh Các Hot-Ip Trong Hệ Thống Mạng Và Ứng Dụng”, Luận Án Tiến Sĩ Kỹ Thuật – năm 2017 [2] Tam T Huynh, Chinh N Huynh and Thuc D Nguyen, “A Novel Security Solution for Decentralized Web Systems with Real Time Hot-Ips Detection.” International Conference on Green Technology and Sustainable Development, 2020, Trang 39 – 48 [3] Huynh Nguyen Chinh, Nguyen Dinh Thuc, Tan Hanh (2013), “Finding Hot-IPs in network using group testing method – A review.” Journal of Engineering Technology and Education – Kuas,Taiwan, pp.374-379 [4] Huynh Nguyen Chinh, Tan Hanh, and Nguyen Dinh Thuc (2013) “Fast detection of DDoS attacks using Non-Adaptive group testing.” International Journal of Network Security and Its Applications (IJNSA), Vol.5 (5), pp 63–71, India [5] Graham Cormode · Marios Hadjieleftheriou, “Methods for finding frequent items in data streams,” The VLDB Journal (2010) [6] "A Cisco Guide to Defending Against Distributed Denial of Service Attacks" Cisco Retrieved 2019-09-26 [7] S Kumar (5 July 2007) Kumar, Sanjeev (2007) “Smurf-based Distributed Denial of Service (DDoS) Attack Amplification in Internet.” IEEE Xplore [8] “Denial-of-service_attack” https://en.wikipedia.org/wiki/Denial-of-service_attack [9]"What is a DDoS Attack? - DDoS Meaning" usa.kaspersky.com 2021-01-13 Retrieved 2021-09-05 [10] What is an intrusion detection system (IDS) ?: https://www.techtarget.com/searchsecurity/definition/intrusion-detectionsystem/23/11/2021 [11] Tìm hiểu chế, cách hoạt động IDS: https://viblo.asia/p/network-tim-hieu-coche-cach-hoat-dong-cua-ids-phan-1/23/11/2021 Tác giả chịu trách nhiệm viết: Họ tên: Nguyễn Hồng Lân Đơn vị: Trường Cao đẳng Công nghệ Thủ Đức Điện thoại: 0935.4848.72 Email: lanit2008@gmail.com 67 S K L 0 ... nhập mạng Hệ điều hành ` Chương GIỚI THIỆU Tính cấp thiết đề tài Đề tài ? ?Nhận diện quản lý lưu lượng bất thường mạng? ?? đề tài nghiên cứu giải pháp nhận diện phát sớm bất thường hệ thống mạng, ...BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT THÀNH PHỐ HỒ CHÍ MINH LUẬN VĂN THẠC SĨ NGUYỄN HỒNG LÂN NHẬN DIỆN VÀ QUẢN LÝ CÁC LƯU LƯỢNG BẤT THƯỜNG TRÊN MẠNG NGÀNH: KHOA HỌC... lưu trữ, cung cấp, xử lý liệu chuyển đến máy trạm liên tục 24/7 cho người dùng Do việc đảm bảo an tồn tính liên tục cho hệ thống máy chủ cấp thiết Đề tài ? ?Nhận Diện Và Quản Lý Các Lưu Lượng Bất