Đang tải... (xem toàn văn)
NGHIÊN CỨU XÂY DỰNG MÔ HÌNH PHÁT HIỆN TẤN CÔNG, ĐỘT NHẬP MẠNG DỰA TRÊN ĐỐI SÁNH CHUỖI MỞ ĐẦU Trong lĩnh vực an ninh mạng, việc phát hiện và ngăn chặn tấn công, đột nhập là vấn đề quan trọng, thu hút nhiều sự chú ý của các nhà nghiên cứu và cộng đồng do các dạng tấn công, đột nhập trái phép ngày càng phát triển mạnh và gây nhiều thiệt hại. Phát hiện tấn công đột nhập mạng thường gặp nhiều khó khăn, thách thức do yêu cầu phải thu thập, xử lý và phân tích một lượng rất lớn dữ liệu các gói tin thu thập trên mạng. Vấn đề nâng cao hiệu năng xử lý và tính chính xác của phát hiện tấn công, đột nhập đã và đang được nghiên cứu. Một trong những hướng giải quyết có hiệu quả cho vấn đề này là ứng dụng kỹ thuật phân tích sâu gói tin nhằm phát hiện sớm những dấu hiệu tấn công, đột nhập vào hệ thống mạng. Trong kỹ thuật phân tích sâu gói tin, các giải thuật đối sánh chuỗi là yếu tố đóng vai trò quyết định tới tính chính xác và tốc độ xử lý của hệ phát hiện tấn công, đột nhập mạng. Đặc biệt, với những mạng có lưu lượng gói tin lớn, tính tối ưu của thuật toán đối sánh chuỗi càng trở nên quan trọng, được ví như chìa khóa để giải quyết bài toán phát hiện đột nhập. Hiện nay, nhiều hệ thống phát hiện tấn công, đột nhập đã được phát triển và triển khai. Bên cạnh đó, các giải thuật đối sánh chuỗi tiên tiến cũng được nghiên cứu và phát triển và tích hợp vào hệ thống phát hiện đột nhập. Mỗi thuật toán đều có những ưu-nhược điểm riêng và phát huy hiệu quả trong một miền ứng dụng cụ thể. Trong phạm vi kiến thức đại học, đồ án này sẽ tập trung nghiên cứu xây dựng mô hình phát hiện tấn công, đột nhập mạng dựa trên đối sánh chuỗi. Trên cơ sở nghiên cứu, phân tích hiệu năng , đồ án sẽ lựa chọn giải thuật đối sánh chuỗi phù hợp để tích hợp vào hệ thống phát hiện đột nhập mạng đang khảo sát. Đồ án gồm ba chương với nội dung như sau: Chương I: Tổng quan về phát hiện đột nhập mạng Giới thiệu tổng quan về an toàn thông tin, các dạng tấn công, đột nhập và biện phát phát hiện tấn công, đột nhập mạng. Chương II: Các giải thuật đối sánh chuỗi và ứng dụng trong phát hiện đột nhập mạng Giới thiệu tổng quan về kỹ thuật đối sánh chuỗi, nghiên cứu các giải thuật đối sánh chuỗi thông dụng và ứng dụng của đối sánh chuỗi trong phát hiện tấn công, đột nhập mạng. ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỞ ĐẦU VŨ DUY KHÁNH – D09HTTT3 II Chương III: Xây dựng mô hình phát hiện đột nhập mạng dựa trên đối sánh chuỗi Trình bày việc xây dựng mô hình phát hiện đột nhập mạng dựa trên kỹ thuật đối sánh chuỗi đã nghiên cứu ở chương II, tiến hành cài đặt thử nghiệm mô hình và cung cấp một số kết quả thử nghiệm ban đầu. Nhìn chung, đồ án đã trình bày tổng quan về phát hiện đột nhập mạng và ứng dụng của thuật toán đối sánh chuỗi trong phát hiện tấn công, đột nhập mạng. Đồng thời, đồ án cũng nêu chi tiết một số giải thuật đối sánh chuỗi và so sánh hiệu năng của các thuật toán. Cuối cùng, đồ án đã nghiên cứu xây dựng mô hình phát hiện đột nhập dựa trên đối sánh chuỗi và tiến hành một vài thử nghiệm ban đầu. Tuy nhiên, do thời gian hạn hẹp và kiến thức còn nhiều hạn chế, đồ án không tránh khỏi thiếu sót. Rất mong thầy cô và các bạn quan tâm tới vấn đề này góp ý, chia sẻ để em có thể hoàn thiện kiến thức của mình.
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC ĐỀ TÀI: NGHIÊN CỨU XÂY DỰNG MƠ HÌNH PHÁT HIỆN TẤN CÔNG, ĐỘT NHẬP MẠNG DỰA TRÊN ĐỐI SÁNH CHUỖI Giảng viên hướng dẫn : TS HOÀNG XUÂN DẬU Sinh viên thực hiện: VŨ DUY KHÁNH Lớp : D09HTTT3 Khoá : 2009-2014 Hệ : Chính quy Hà Nội, tháng … /2013 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỞ ĐẦU MỞ ĐẦU Trong lĩnh vực an ninh mạng, việc phát ngăn chặn công, đột nhập vấn đề quan trọng, thu hút nhiều ý nhà nghiên cứu cộng đồng dạng công, đột nhập trái phép ngày phát triển mạnh gây nhiều thiệt hại Phát công đột nhập mạng thường gặp nhiều khó khăn, thách thức yêu cầu phải thu thập, xử lý phân tích lượng lớn liệu gói tin thu thập mạng Vấn đề nâng cao hiệu xử lý tính xác phát cơng, đột nhập nghiên cứu Một hướng giải có hiệu cho vấn đề ứng dụng kỹ thuật phân tích sâu gói tin nhằm phát sớm dấu hiệu công, đột nhập vào hệ thống mạng Trong kỹ thuật phân tích sâu gói tin, giải thuật đối sánh chuỗi yếu tố đóng vai trị định tới tính xác tốc độ xử lý hệ phát công, đột nhập mạng Đặc biệt, với mạng có lưu lượng gói tin lớn, tính tối ưu thuật toán đối sánh chuỗi trở nên quan trọng, ví chìa khóa để giải toán phát đột nhập Hiện nay, nhiều hệ thống phát công, đột nhập phát triển triển khai Bên cạnh đó, giải thuật đối sánh chuỗi tiên tiến nghiên cứu phát triển tích hợp vào hệ thống phát đột nhập Mỗi thuật tốn có ưu-nhược điểm riêng phát huy hiệu miền ứng dụng cụ thể Trong phạm vi kiến thức đại học, đồ án tập trung nghiên cứu xây dựng mô hình phát cơng, đột nhập mạng dựa đối sánh chuỗi Trên sở nghiên cứu, phân tích hiệu , đồ án lựa chọn giải thuật đối sánh chuỗi phù hợp để tích hợp vào hệ thống phát đột nhập mạng khảo sát Đồ án gồm ba chương với nội dung sau: Chương I: Tổng quan phát đột nhập mạng Giới thiệu tổng quan an tồn thơng tin, dạng công, đột nhập biện phát phát công, đột nhập mạng Chương II: Các giải thuật đối sánh chuỗi ứng dụng phát đột nhập mạng Giới thiệu tổng quan kỹ thuật đối sánh chuỗi, nghiên cứu giải thuật đối sánh chuỗi thông dụng ứng dụng đối sánh chuỗi phát công, đột nhập mạng VŨ DUY KHÁNH – D09HTTT3 I ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỞ ĐẦU Chương III: Xây dựng mơ hình phát đột nhập mạng dựa đối sánh chuỗi Trình bày việc xây dựng mơ hình phát đột nhập mạng dựa kỹ thuật đối sánh chuỗi nghiên cứu chương II, tiến hành cài đặt thử nghiệm mơ hình cung cấp số kết thử nghiệm ban đầu Nhìn chung, đồ án trình bày tổng quan phát đột nhập mạng ứng dụng thuật toán đối sánh chuỗi phát công, đột nhập mạng Đồng thời, đồ án nêu chi tiết số giải thuật đối sánh chuỗi so sánh hiệu thuật toán Cuối cùng, đồ án nghiên cứu xây dựng mơ hình phát đột nhập dựa đối sánh chuỗi tiến hành vài thử nghiệm ban đầu Tuy nhiên, thời gian hạn hẹp kiến thức nhiều hạn chế, đồ án khơng tránh khỏi thiếu sót Rất mong thầy cô bạn quan tâm tới vấn đề góp ý, chia sẻ để em hồn thiện kiến thức VŨ DUY KHÁNH – D09HTTT3 II ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC LỜI CẢM ƠN LỜI CẢM ƠN Lời đầu tiên, em xin gửi lời cảm ơn chân thành tới Tiến sĩ Hoàng Xuân Dậu, người thầy nhiệt tình hướng dẫn, bảo em suốt trình thực đồ án Nhờ định hướng quan tâm thầy, em có thêm nhiều động lực để hồn thành tốt đồ án Điều quan trọng nhất, quãng thời gian làm việc thầy giúp em hiểu thêm nhiều điều, đặt viên gạch cho tương lai em sau Em cảm ơn thầy cô khoa Cơ bản, khoa Viễn thông, đặc biệt thầy cô khoa Công nghệ thông tin dạy dỗ em năm tháng vừa qua Bên cạnh việc truyền đạt kiến thức quý báu, thầy cịn cho em học làm người đầy ý nghĩa Tôi xin gửi lời cảm ơn tới đơn vị thực tập, nơi tạo điều kiện cho tiếp cận kiến thức thực tế, giúp tơi hình thành khả nghiên cứu độc lập trưởng thành suy nghĩ Con cảm ơn bố mẹ, gia đình - người tin tưởng, động viên suốt quãng thời gian học tập Sự chăm sóc lịng tin bố mẹ động lực lớn giúp vượt qua giới hạn thân để có ngày hơm Sau cùng, muốn gửi lời cảm ơn tới người bạn, người cạnh tơi lúc khó khăn Tơi không quên giúp đỡ chân thành bạn bè dành cho năm tháng qua Xin chân thành cảm ơn! VŨ DUY KHÁNH – D09HTTT3 III ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NHẬN XÉT, ĐÁNH GIÁ, CHO ĐIỂM NHẬN XÉT, ĐÁNH GIÁ, CHO ĐIỂM (Của Người hướng dẫn) ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… ………………………………………………………………………………………… Điểm: …………………….………(bằng chữ: … …………… ….) Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp? …………, ngày tháng năm 20 CÁN BỘ- GIẢNG VIÊN HƯỚNG DẪN (ký, họ tên) VŨ DUY KHÁNH – D09HTTT3 IV ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC MỤC LỤC MỞ ĐẦU I LỜI CẢM ƠN III NHẬN XÉT, ĐÁNH GIÁ, CHO ĐIỂM IV DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH VIII KÍ HIỆU CÁC CỤM TỪ VIẾT TẮT IX CHƯƠNG 1: TỔNG QUAN VỀ PHÁT HIỆN ĐỘT NHẬP MẠNG 1.1 Các vấn đề an tồn thơng tin biện pháp đảm bảo an toàn cho hệ thống mạng 1.1.1 Các yêu cầu đảm bảo an toàn cho hệ thống mạng 1.1.2 Các dạng công đột nhập mạng thường gặp 1.1.2.1 Các kiểu công phần mềm phá hoại 1.1.2.2 Các kiểu công tài nguyên mạng 1.1.3 Các biện pháp phịng chống cơng đột nhập 1.1.3.1 Các nguyên tắc an toàn hệ thống 1.1.3.2 Các biện pháp ngăn chặn công, đột nhập 1.1.3.3 Các biện pháp phát công, đột nhập 10 1.2 Phân loại biện pháp phát đột nhập 10 1.2.1 Phân loại dựa nguồn liệu 10 1.2.2 Phân loại dựa kỹ thuật phát 12 1.3 Phát công, đột nhập mạng 12 1.3.1 Khái quát phát công, đột nhập mạng 12 1.3.1.1 Mơ hình phát đột nhập mạng 12 1.3.1.2 Các kỹ thuật sử dụng phát công, đột nhập mạng 13 1.3.2 Giới thiệu số hệ thống phát công, đột nhập mạng 14 1.4 Hướng tiếp cận đồ án 15 1.5 Kết chương 15 VŨ DUY KHÁNH – D09HTTT3 V ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC MỤC LỤC CHƯƠNG 2: CÁC GIẢI THUẬT ĐỐI SÁNH CHUỖI VÀ ỨNG DỤNG TRONG PHÁT HIỆN ĐỘT NHẬP MẠNG 16 2.1 Giới thiệu đối sánh chuỗi ứng dụng 16 2.1.1 Khái quát đối sánh chuỗi 16 2.1.1.1 Khái niệm đối sánh chuỗi 16 2.1.1.2 Các cách tiếp cận 17 2.1.1.3 Phân loại kỹ thuật đối sánh chuỗi 17 2.1.2 2.2 Ứng dụng đối sánh chuỗi 18 Các giải thuật đối sánh chuỗi 19 2.2.1 Các giải thuật đối sánh chuỗi thông dụng 19 2.2.1.1 Thuật toán đối sánh chuỗi sơ khai – Naïve string matching 19 2.2.1.2 Thuật toán Knuth-Morris-Pratt (KMP) 24 2.2.1.3 Thuật toán Boyer-Moore (BM) 29 2.2.1.4 Thuật toán Boyer-Moore-Horspool (BMH) 36 2.2.2 2.3 Đánh giá ưu nhược điểm giải thuật đối sánh chuỗi 40 Ứng dụng đối sánh chuỗi phát đột nhập mạng 42 2.3.1 Phát ngăn chặn công, đột nhập 42 2.3.2 Phát ngăn lây lan virus phần mềm độc hại 44 2.3.3 Lọc URL 44 2.4 Kết chương 45 CHƯƠNG 3: XÂY DỰNG MÔ HÌNH PHÁT HIỆN ĐỘT NHẬP MẠNG DỰA TRÊN ĐỐI SÁNH CHUỖI 46 3.1 Mơ hình phát đột nhập mạng dựa đối sánh chuỗi 46 3.1.1 Kiến trúc chung hệ thống phát đột nhập 46 3.1.2 Mơ hình phát đột nhập mạng dựa đối sánh chuỗi 47 3.1.3 Ứng dụng giải thuật đối sánh chuỗi tiên tiến 48 3.2 Cài đặt thử nghiệm mơ hình 48 3.2.1 3.2.1.1 Giới thiệu hệ thống phát đột nhập Snort 48 Tổng quan Snort 48 VŨ DUY KHÁNH – D09HTTT3 VI ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC 3.2.1.2 3.2.2 gói tin 3.3 MỤC LỤC Các thành phần Snort 49 Tích hợp giải thuật đối sánh chuỗi tiên tiến vào Snort phục vụ phân tích sâu 52 Một số kết thử nghiệm 53 3.3.1 Kết thử nghiệm hiệu giải thuật đối sánh chuỗi 53 3.3.1.1 Tập liệu thử nghiệm 53 3.3.1.2 Tiền xử lý liệu 54 3.3.1.3 Kết thử nghiệm 54 3.3.1.4 Đánh giá kết 57 3.3.2 Một số kịch thử nghiệm phát công, đột nhập với Snort 57 3.3.2.1 Kịch thử nghiệm 57 3.3.2.2 Kết thử nghiệm 58 3.4 Kết chương 60 KẾT LUẬN 61 DANH MỤC TÀI LIỆU THAM KHẢO 62 VŨ DUY KHÁNH – D09HTTT3 VII ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH DANH MỤC CÁC BẢNG, SƠ ĐỒ, HÌNH Bảng 2.1 Tổng hợp đặc điểm thuật toán đối sánh chuỗi 41 Bảng 3.1 Tập liệu thử nghiệm hiệu thuật toán đối sánh chuỗi 54 Bảng 3.2 Kết so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 5866 gói tin TCP 55 Bảng 3.3 Kết so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 11214 gói tin TCP 55 Bảng 3.4 Kết so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 20981 gói tin TCP 56 Hình 1.1 Các chương trình phá hoại Hình 1.2 Quá trình trao đổi thông tin mạng Hình 1.3 Tấn cơng gián đoạn Hình 1.4 Tấn cơng nghe trộm Hình 1.5 Tấn cơng thay đổi Hình 1.6 Tấn cơng giả mạo Hình 1.7 Các lớp bảo vệ ngăn chặn công, đột nhập Hình 1.8 Tường lửa Hình 1.9 Hệ thống Host Based IDS 11 Hình 1.10 Triển khai NIDS hệ thống thực tế 12 Hình 1.11 Mơ hình phát đột nhập mạng tổng quát 13 Hình 2.1 Mismatch Boyer-Moore 30 Hình 2.2 Good-Suffic shift (u xuất lại P) 31 Hình 2.3 Good-Suffix shift (u không xuất P) 32 Hình 2.4 Bad-Character shift (T[s+j] xuất P) 32 Hình 2.5 Bad-Character shift (T[s+j] không xuất P) 32 Hình 2.6 Thuật tốn Boyer-Moore-Horpool (T[s+m-1] xuất P) 36 Hình 2.7 Thuật tốn Boyer-Moore-Horpool (T[s+m-1] không xuất P) 37 Hình 2.8 So sánh Boyer-Moore Boyer-Moore-Horspool 42 Hình 2.9 Giai đoạn kiểm tra phương pháp phát đột nhập dựa dấu hiệu 43 Hình 2.10 Giai đoạn kiểm tra phương pháp phát đột nhập dựa bất thường 43 Hình 3.1 Kiến trúc chung hệ thống phát đột nhập 46 Hình 3.2 Cấu trúc hệ NIDS dựa đối sánh chuỗi 47 Hình 3.3 Hệ thống phát đột nhập mạng với Snort 49 Hình 3.4 Các thành phần Snort 49 Hình 3.5 Biểu đồ so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 5866 gói tin TCP 55 Hình 3.6 Biểu đồ so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 11214 gói tin TCP 56 Hình 3.7 Biểu đồ so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 20981 gói tin TCP 56 Hình 3.8 Snort phát công UDP flood 59 Hình 3.9 Snort phát công Ping flood 59 Hình 3.10 Snort phát cơng Port Scan 60 VŨ DUY KHÁNH – D09HTTT3 VIII ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC KÍ HIỆU CÁC CỤM TỪ VIẾT TẮT KÍ HIỆU CÁC CỤM TỪ VIẾT TẮT Từ viết tắt Nghĩa tiếng Anh Nghĩa tiếng Việt BM Boyer-Moore algorithm Thuật toán Boyer-Moore BMH Boyer-Moore-Horspool algorithm Thuật toán Boyer-MooreHorspool DPI Deep Packet Inspection Sự phân tích sâu gói tin HIDS Host Based Intrusion Detection System Hệ thống phát đột nhập dựa host IDS Intrusion Detection System Hệ thống phát đột nhập KMP Knuth – Morris – Pratt algorithm Thuật toán Knuth - Morris - Pratt NIDS Network Based Intrusion Detection System Hệ thống phát đột nhập dựa mạng P Pattern Chuỗi mẫu T Text Chuỗi văn TCP Transmission Control Protocol Một giao thức truyền thông tin cậy tầng giao vận UDP User Datagram Protocol URL Uniform Resource Locator VŨ DUY KHÁNH – D09HTTT3 Một giao thức truyền thông không tin cậy tầng giao vận Chuỗi ký tự tham chiếu tới nguồn tài nguyên mạng (thường địa trang Web) IX ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG Hình 3.3 Hệ thống phát đột nhập mạng với Snort 3.2.1.2 Các thành phần Snort Snort cấu tạo nhiều thành phần phối hợp với để phát đột nhập trái phép tạo liệu đầu theo định dạng định Một IDS dựa Snort (Snort-based IDS) bao gồm thành phần chủ yếu thể hình 3.4.[3] Packet Decoder Internet Preprocessor Detection Engine Logging and Alerting System Packet is dropped Log to a file or output alert Output Modules Hình 3.4 Các thành phần Snort VŨ DUY KHÁNH – D09HTTT3 49 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG a Bộ phận giải mã gói tin (Packet Decoder) Bộ giải mã gói tin nhận gói tin từ giao diện mạng khác nhau, tiến hành phân tích nội dung gói tin Dựa vào cấu trúc gói tin, giải mã thiết lập trỏ truy cập tới thành phần gói tin, chuẩn bị cho giai đoạn tiền xử lý Snort cung cấp khả giải mã gói tin cho giao diện Ethernet, SLIP, PPP… [2] b Bộ phận tiền xử lý (Preprocessor) Bộ phận tiền xử lý thành phần quan trọng Snort Nó thực ba nhiệm vụ chống phân mảnh gói tin, chuẩn hóa liệu cho giao thức phát bất thường Chống phân mảnh gói tin (defragmentation): Khi đoạn liệu lớn gửi đi, thông tin khơng đóng gói tồn vào gói tin Nó bị phân mảnh gói tin riêng biệt có đánh số thứ tự Bộ phận tiền xử lý có tác dụng thu thập ghép nối gói tin để có liệu ngun gốc ban đầu Ngồi ra, phận cịn có tính xếp gói tin TCP luồng truyền thơng TCP (TCP stream re-assembly), giúp nhìn nhận gói tin ngữ cảnh cụ thể.[4] Chuẩn hóa liệu cho giao thức (normalization): Việc phát xâm nhập dựa dấu hiệu nhận dạng gặp khó khăn thất bại số giao thức chấp nhận nhiều dạng khác Chẳng hạn, giao thức HTTP chấp nhận URL dạng khác như: “http://dantri.com.vn/xa-hoi.htm” “http://dantri.com.vn/.\xa-hoi.htm” “http://dantri.com.vn\xa-hoi.htm” “http://dantri.com.vn//////\\\\\\\xa-hoi.htm” Nếu IDS tìm kiếm xác chuỗi liệu, thao tác tìm kiếm dễ dàng bị vơ hiệu hóa tin tặc thay đổi ‘/’ thành ‘\’ thêm số ký tự vào Bởi vậy, phận tiền xử lý có nhiệm vụ chuẩn hóa liệu đầu vào để thông tin đưa tới phận phát không bị bỏ sót Hiện nay, Snort hỗ trợ việc giải mã chuẩn hóa cho giao thức: telnet, http, rpc, arp.[4] Phát bất thường (anomalies detection): Bộ phận tiền xử lý kiểm tra liệu phần tiêu đề gói tin tạo cảnh báo phát thấy bất thường.[4] c Bộ phận phát (Detection Engine) Đây thành phần quan trọng Snort Nó chịu trách nhiệm phát hoạt động xâm nhập tồn gói tin Để thực chức này, VŨ DUY KHÁNH – D09HTTT3 50 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG phận phát sử dụng luật (rules) Nếu gói tin phù hợp với một vài luật đó, hành động thích hợp thực Nếu gói tin khơng trùng khớp với luật nào, bỏ qua Hành động thích hợp phát trùng khớp luật ghi nhật ký hệ thống (logging) sinh cảnh báo Quá trình phận phát so khớp gói tin với tập luật định nghĩa trước chiếm phần lớn thời gian xử lý Snort Nếu lưu lượng mạng hệ thống cao Snort làm việc chế độ NIDS, hệ thống rơi vào tình trạng nghẽn cổ chai Tải (load) phận phát phụ thuộc vào số yếu tố số lượng quy tắc, tốc độ xử lý máy tính cài đặt Snort, tốc độ bus nội (internal bus), tải mạng Bộ phận phát phân tích gói tin áp dụng luật lên phần khác gói tin Các phần là: tiêu đề tầng Internet (IP header), tiêu đề tầng Transport (TCP header, UDP header…), tiêu đề tầng Application (DNS header, FTP header, SNMP header, SMTP header), thành phần payload gói tin Trong phiên Snort 1.x, luật khớp với gói tin, phận phát ngừng trình xử lý gói tin Như vậy, giả sử gói tin khớp với nhiều luật, có luật áp dụng, so khớp bị bỏ qua Điểm yếu khắc phục phiên Snort sau Ở phiên 2.x sau này, tất luật so khớp với gói tin Sau kết thúc q trình so khớp, luật có độ ưu tiên cao chọn để đưa cảnh báo.[4] d Bộ phận ghi nhận cảnh báo (Logging and alerting system) Bộ phận có chức ghi nhật ký (logging) thơng tin liên quan tới gói tin xâm phạm sách an ninh đưa cảnh báo cho người dùng Hiện có ba tùy chọn ghi logs năm tùy chọn cảnh báo Các tùy chọn ghi log thiết lập để ghi gói định dạng giải mã (dạng cấu trúc liệu dựa IP)- định dạng người đọc ghi định dạng nhị phân tcpdump Trong tùy chọn trên, phương án ghi log định dạng tcpdump cho tốc độ nhanh nên thường sử dụng trường hợp trọng tới hiệu suất Snort.[2] Tất ghi nhật ký lưu trữ mặc định thư mục /var/log/snort (đối với hệ thống LINUX).[4] Tùy chọn cuối tắt tính ghi nhật ký (chỉ thực cảnh báo), để cải thiện hiệu suất Các cảnh báo gửi tới syslog, ghi lại vào file liệu hai định dạng khác nhau, gửi dạng thông điệp Win-Popup sử dụng chương trình Samba (smbclient) Các cảnh báo WinPopup chí cho phép thơng báo VŨ DUY KHÁNH – D09HTTT3 51 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG gửi tới danh sách máy tính dùng hệ điều hành Microsof Windows chạy phần mềm WinPopup Tiếp đến, có hai lựa chọn cho việc gửi cảnh báo vào tập tin văn túy (cảnh báo đầy đủ cảnh báo nhanh) Tùy chọn cảnh báo đầy đủ ghi lại thông điệp cảnh báo thơng tin tiêu đề gói tin Trong đó, tùy chọn cảnh báo nhanh ghi một cách cô đọng thông tin tiêu đề vào file cảnh báo, cho phép hiệu cao ghi chế độ đầy đủ Lựa chọn thứ năm, vơ hiệu hóa cảnh báo trường hợp không cần thiết (chẳng hạn thực thử nghiệm xâm nhập mạng).[2] e Bộ phận kiểm soát đầu (Output Modules) Bộ phận kiểm soát đầu xử lý cảnh báo, ghi nhật ký (logs) xuất đầu sau Tùy thuộc vào cách thức cấu hình, phận kiểm sốt đầu làm việc sau: Ghi nhật ký cách đơn giản vào file /var/log/snort/alerts vài file khác Gửi bẫy SNMP (SNPM traps) Gửi thơng điệp đến tiện ích syslog Ghi nhật ký vào sở liệu dạng MySQL Oracle Sinh đầu tài liệu XML (eXtensible Markup Language) Thay đổi cấu hình router tường lửa Gửi thông điệp SMB (Server Message Block) tới máy tính cài đặt Microsoft Windows [4] 3.2.2 Tích hợp giải thuật đối sánh chuỗi tiên tiến vào Snort phục vụ phân tích sâu gói tin Với đặc thù hệ thống NIDS lớn, Snort trang bị sẵn nhiều thành phần hỗ trợ trình phát xâm nhập Một số thuật toán đối sánh chuỗi đơn mẫu đa mẫu tích hợp sẵn Snort Dựa kết so sánh hiệu thuật tốn trình bày chương 2, đồ án thực tích hợp thuật tốn đối sánh chuỗi đơn mẫu Boyer-Moore-Horspool thay cho thuật toán đối sánh chuỗi đơn mẫu Boyer-Moore cài đặt sẵn Snort Trong mã nguồn Snort phiên 2.9.4.6 (phiên thời điểm thực đồ án), thuật toán Boyer-Moore cài đặt tập tin mstring.c Thuật tốn áp dụng cho tìm kiếm đơn mẫu với hai trường hợp: tìm kiếm chuỗi phân biệt ký tự hoa-thường tìm kiếm chuỗi khơng phân biệt ký tự hoa-thường Trường hợp tìm kiếm với biểu thức quy khai báo bị vô hiệu hóa cặp /*…*/ tập tin sp_pattern_match.c nên đồ án không xét tới.[9] VŨ DUY KHÁNH – D09HTTT3 52 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG Tính tìm kiếm chuỗi mẫu phân biệt ký tự hoa-thường không phân biệt ký tự hoa-thường Snort cài đặt hàm mSearch() mSearchCI() với nguyên mẫu sau: int mSearch(const char *, int, const char *, int, int *, int *); int mSearchCI(const char *, int, const char *, int, int *, int *); Các đối số hai hàm mô tả sau: const char *buf: Mảng liệu ta cần tìm kiếm chuỗi mẫu int blen: Chiều dài mảng liệu const char *ptrn: Chuỗi mẫu ta cần tìm kiếm int plen: Chiều dài chuỗi mẫu int *skip: Mảng Skip Boyer-Moore (ứng với luật Bad-Character Shift) int *shift: Mảng Shift Boyer-Moore (ứng với luật Good-Suffix Shift) Các hàm mSearch() mSearchCI() gọi từ tập tin sp_pattern_match.c Dựa vào giá trị biến nocase, chương trình định chọn hàm để thực việc tìm kiếm Trong trường hợp tìm kiếm khơng phân biệt ký tự hoa-thường, chuỗi buf chuỗi ptrn chuyển đổi sang dạng in hoa trước tìm kiếm với hàm toupper() Do thuật tốn Boyer-Moore-Horspool sử dụng luật Bad-Character Shift thuật toán Boyer-Moore nên ta sử dụng lại mảng Skip Boyer-Moore áp dụng luật Bad-Character Shift cho ký tự cuối cửa sổ tìm kiếm (thay áp dụng vị trí xảy so khớp thất bại thuật toán BM) Sau cài đặt thuật toán Boyer-Moore-Horspool hay cho Boyer-Moore, ta hàm mhSearch() mhSearchCI() có nguyên mẫu: int mhSearch(const char *, int, const char *, int, int *); int mhSearchCI(const char *, int, const char *, int, int *); 3.3 Một số kết thử nghiệm 3.3.1 Kết thử nghiệm hiệu giải thuật đối sánh chuỗi 3.3.1.1 Tập liệu thử nghiệm Để đánh giá hiệu giải thuật đối sánh chuỗi đơn mẫu trình bày chương 2, đồ án sử dụng tập liệu DEFCON 10, tập liệu ghi lại hội nghị DEFCON 10 tổ chức vào tháng năm 2002 Las Vegas, Nevada, Hoa Kỳ.[8] Do tập liệu DEFCON8 lớn, đồ án khảo sát tập tin đại diện orange2.4.cap, orange2.8.cap orange3.1.cap.[7] Đồng thời, với mục đích thử nghiệm hiệu thuật tốn ứng dụng phân tích sâu gói tin, đồ án tập trung vào phần liệu (payload) gói tin TCP Thơng số cụ thể tập gói tin thử nghiệm sau: VŨ DUY KHÁNH – D09HTTT3 53 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG Tổng số gói tin Tổng số gói tin TCP Orange2.4.cap 6869 5866 Orange2.8.cap 17784 11214 Orange3.1.cap 29974 20981 Bảng 3.1 Tập liệu thử nghiệm hiệu thuật toán đối sánh chuỗi Với liệu mẫu, đồ án lựa chọn tập liệu có độ dài khác nhau, chia làm nhóm: ngắn (chuỗi mẫu nhỏ ký tự), trung bình (chuỗi mẫu từ 20 tới 70 ký tự) dài (chuỗi mẫu lớn 70 ký tự) Mỗi tập liệu mẫu bao gồm 50 chuỗi mẫu trích chọn từ nội dung gói tin tập DEFCON8 3.3.1.2 Tiền xử lý liệu Trên thực tế, để phát công/ đột nhập mạng, hệ thống phát xâm nhập thường phân tích liệu tập gói tin kiểm tra cách riêng rẽ Do đó, trước thử nghiệm hiệu thuật toán đối sánh chuỗi, đồ án thực thao tác tiền xử lý gói tin tập kiểm thử Trước tiên, đồ án lọc gói tin TCP để tiến hành xử lý Với gói tin TCP, đồ án trích chọn phần liệu (payload) ghi nối tiếp phần liệu vào đệm Như vậy, sau giai đoạn tiền xử lý, ta thu đệm chứa nội dung gói tin TCP 3.3.1.3 Kết thử nghiệm Đồ án tiến hành thử nghiệm hiệu thuật toán đối sánh chuỗi hệ thống máy tính cấu sau: - Bộ xử lý: Intel(R) Pentium(R) Dual CPU E2200 @ 2.20GHz - Bộ nhớ trong: 2GB RAM - Hệ điều hành: Ubuntu Server 12.04.3 LTS 32-bit Đồ án đo thời gian thuật tốn tìm kiếm tất trường hợp xuất chuỗi mẫu đệm chứa liệu tập gói tin Độ dài chuỗi mẫu số lượng gói tin dần thay đổi để so sánh hiệu thuật toán VŨ DUY KHÁNH – D09HTTT3 54 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG Trường hợp 1: Xét tập gói tin orange2.4.cap với 5866 gói tin TCP Chiều dài mẫu Ngắn Trung bình Dài Nạve 29.05 29 29.05 KMP 29.51 29.48 29.53 BM 28.08 27.44 27.3 BMH 27.93 27.4 27.29 Thuật toán Bảng 3.2 Kết so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 5866 gói tin TCP Hình 3.5 Biểu đồ so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 5866 gói tin TCP Trường hợp 2: Xét tập gói tin orange2.8.cap với 11214 gói tin TCP Chiều dài mẫu Ngắn Trung bình Dài Nạve 31.58 31.59 31.59 KMP 31.83 31.84 31.86 BM 31.07 30.8 30.69 BMH 30.99 30.77 30.69 Thuật toán Bảng 3.3 Kết so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 11214 gói tin TCP VŨ DUY KHÁNH – D09HTTT3 55 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG Hình 3.6 Biểu đồ so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 11214 gói tin TCP Trường hợp 3: Xét tập gói tin orange3.1.cap với 20981 gói tin TCP Chiều dài mẫu Ngắn Trung bình Dài Nạve 73.14 73.1 73.09 KMP 73.43 73.41 73.39 BM 72.52 72.05 71.96 BMH 72.41 72.01 71.96 Thuật toán Bảng 3.4 Kết so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 20981 gói tin TCP Hình 3.7 Biểu đồ so sánh hiệu thuật toán đối sánh chuỗi với tập liệu 20981 gói tin TCP VŨ DUY KHÁNH – D09HTTT3 56 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG 3.3.1.4 Đánh giá kết Dựa vào kết thu trình thử nghiệm, ta nhận thấy độ phức tạp thời gian thuật toán chủ yếu phụ thuộc vào yếu tố kích thước chuỗi mẫu Thuật tốn Nạve: Với chuỗi mẫu có kích thước ngắn, thuật tốn Nạve cho hiệu tốt Mặc dù thuật toán sơ khai chênh lệch thời gian tìm kiếm Nạve so với thuật tốn hiệu cao BM BMH không lớn Nhưng tăng kích thước chuỗi mẫu lên, thuật tốn Nạve bộc lộ rõ nhược điểm khơng có chế tiền xử lý liệu mẫu Thuật toán KMP: Trong kết thống kê độ phức tạp thuật toán (thực chương 2), thuật tốn KMP đánh giá khơng có ưu điểm trội nhiều thời gian tiền xử lý liệu mẫu độ phức tạp thuật tốn khơng có nhiều cải thiện so với Nạve Trong thử nghiệm hiệu đồ án thực hiện, ta nhận thấy thuật tốn KMP ln cho kết Thuật toán Boyer-Moore: Đây thuật toán đối sánh chuỗi hiệu cao Trong tất trường hợp thử nghiệm, hiệu BM vượt trội so với thuật tốn Nạve KMP Do q trình tiền xử lý liệu mẫu BM phải tạo bảng bmBc[] BmGs[] nên với tập liệu ngắn trung bình, thuật tốn BM có hiệu so với thuật toán Boyer-Moore-Horspool Chỉ chiều dài liệu mẫu tăng lên mức lớn (lớn 700 ký tự), thuật toán BM cho hiệu tương đương với BMH Tuy nhiên, đánh giá tồn q trình thử nghiệm, ta nhận thấy hiệu BM cải thiện dần gia tăng kích thước chuỗi mẫu Do vậy, với chuỗi mẫu có kích thước lớn, thuật tốn BM mang lại hiệu khác biệt Thuật toán Boyer-Moore-Horspool: Thuật toán Boyer-Moore-Horspool thuật toán đối sánh chuỗi hiệu cao, đời sau thuật toán Boyer-Moore Trong giai đoạn tiền xử lý liệu mẫu, thuật toán BMH tạo bảng bmBc[] Điều giúp BMH tiết kiệm nhiều thời gian so với thuật toán BM Kết thử nghiệm cho thấy với liệu mẫu thơng thường, thuật tốn BMH tỏ rõ ưu thuật toán BM Mặc dù khoảng cách BMH BM ngày thu hẹp chiều dài chuỗi mẫu tăng lên, BMH đánh giá thuật toán tốt, áp dụng phát đột nhập phân tích sâu gói tin 3.3.2 Một số kịch thử nghiệm phát công, đột nhập với Snort 3.3.2.1 Kịch thử nghiệm Các hình thức cơng, đột nhập mạng đa dạng phức tạp Do thời gian có hạn, đồ án xây dựng thử nghiệm số kịch công, đột nhập sử VŨ DUY KHÁNH – D09HTTT3 57 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG dụng Snort để phát xâm nhập Các dạng công khảo sát đồ án bao gồm: UDP flood: Đây dạng công DoS (Denial-of-Service) Cuộc công UDP sinh nhiều gói tin UDP gửi tới máy tính đích, làm tiêu tốn tài nguyên hệ thống Trong phạm vi thử nghiệm, đồ án sử dụng công cụ UDP Flooder để thực công UDP flood vào cổng 80 (http) 23 (telnet) máy tính có cài Snort.[14] Ping flood: Đây dạng công DoS Bản chất dạng công nhày nhiều gói tin ICMP sinh hướng tới máy tính đích Máy tính đích nhận tin ICMP gửi gói tin ICMP trả lời Với hình thức cơng này, băng thơng mạng nhanh chóng bị tràn ngập gói tin ICMP Để thử nghiệm, đồ án sử dụng cơng cụ UDP Flooder để gửi lượng lớn gói tin ICMP tới máy tính đích có cài đặt Snort.[14] Port Scan: Đây dạng cơng nhằm thăm dị hoạt động dịch vụ hệ thống, tìm lỗ hổng trước tiến hành công thực tương lai Để mô dạng công này, đồ án sử dụng công cụ Nmap Linux để tiến hành quét cổng máy tính có cài hệ điều hành Snort 3.3.2.2 Kết thử nghiệm Với công thử nghiệm theo dạng UDP flood, Ping flood Port Scan, hệ thống máy tính cài đặt Snort khơng nhận biết công Để phát dạng công kể trên, đồ án bổ sung thêm luật (tương ứng với hình thức công) vào tập luật Snort.[32] alert tcp any any -> any any (msg:"PORT SCAN ATTACK"; flow:stateless; ack:0; flags:S; classtype:attempted-recon; sid:1000000; rev:1;) alert udp any any -> any any (msg:"UDP FLOOD ATTACK"; flow:stateless; threshold: type threshold, track by_src, count 50, seconds 1; priority:3; sid:1000006; rev:1;) alert icmp any any -> any any (msg:"PING FLOOD ATTACK"; threshold: type threshold, track by_src, count 50, seconds 1; priority:3; sid:1000007; rev:1;) Sau bổ sung luật, Snort có khả phát dạng công thử nghiệm VŨ DUY KHÁNH – D09HTTT3 58 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG Hình 3.8 Snort phát cơng UDP flood Hình 3.9 Snort phát cơng Ping flood VŨ DUY KHÁNH – D09HTTT3 59 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC CHƯƠNG Hình 3.10 Snort phát công Port Scan 3.4 Kết chương Trong chương 3, đồ án nghiên cứu trình tiền xử lý liệu ứng dụng giải thuật đối sánh chuỗi tiên tiến vào mơ hình phát đột nhập mạng Trong phần cài đặt thử nghiệm mơ hình, đồ án tích hợp giải thuật đối sánh chuỗi tiên tiến vào hệ thống phát đột nhập Snort để phục vụ phân tích sâu gói tin Sau cùng, đồ án tiến hành thử nghiệm hiệu giải thuật đối sánh chuỗi triển khai số kịch phát công, đột nhập với Snort VŨ DUY KHÁNH – D09HTTT3 60 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC KẾT LUẬN KẾT LUẬN Đồ án sâu vào nghiên cứu xây dựng mơ hình phát cơng, đột nhập mạng dựa đối sánh chuỗi Cụ thể, đồ án thực nội dung sau: Nghiên cứu tổng quan phát đột nhập mạng, từ sâu tìm hiểu hình thức công, đột nhập mạng biện pháp phát xâm nhập Nghiên cứu tổng quan đối sánh chuỗi, cách phân loại thuật toán đối sánh chuỗi Đồ án vào nghiên cứu giải thuật đối sánh chuỗi đơn mẫu thông dụng, so sánh hiệu lý thuyết thuật tốn Qua đó, đồ án nghiên cứu ứng dụng đối sánh chuỗi phát đột nhập mạng, phát lây lan mã độc lọc URL Xây dựng mô hình phát đột nhập mạng dựa đối sánh chuỗi Trong đó, đồ án trọng vào việc ứng dụng giải thuật đối sánh chuỗi tiên tiến giai đoạn phát đột nhập Cài đặt thử nghiệm mơ hình có sử dụng giải thuật đối sánh chuỗi tiên tiến, thử nghiệm hiệu thuật toán đối sánh chuỗi thử nghiệm khả phát xâm nhập hệ thống Snort Trong tương lai, đồ án phát triển theo hướng sau: Tìm hiểu sâu thuật tốn đối sánh chuỗi đa mẫu có hiệu cao Dạng thuật toán cho phép so sánh nhiều mẫu lúc, phù hợp để triển khai hệ thống mạng có lưu lượng lớn Tối ưu hóa mã nguồn để cài đặt hệ thống phát đột nhập trực tiếp thiết bị mạng router, switch Các hệ thống phát đột nhập phù hợp chạy máy tính, vấn đề chiếm dụng nhớ gây nhiều khó khăn việc nhúng ứng dụng vào thiết bị mạng VŨ DUY KHÁNH – D09HTTT3 61 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC DANH MỤC TÀI LIỆU THAM KHẢO DANH MỤC TÀI LIỆU THAM KHẢO Tiếng Anh: Christian Charras, Thierry Lecroq, Handbook of exact string-matching algorithm, King's College Publications, 2004 Martin Roesch, Snort-Lightweight Intrusion Detection for Networks 13th Systems Administration Conference, Seattle, Washington, USA, November 7–12, 1999 Pritika Mehra, A brief study and comparison of Snort and Bro Open Source Network Intrusion Detection Systems, International Journal of Advanced Research in Computer and Communication Engineering, Khalsa College for Women, Amritsar, Punjab, India, August 2012 Rafeeq Ur Rehman, Intrusion Detection Systems with Snort, Prentice Hall PTR Upper Saddle River, New Jersey, 1st, 2003 William Stallings, Lawrie Brown, Computer Security: Principles and Practice, Prentice Hall, Aug 2, 2007 Danh mục Website tham khảo: Boyer-Moore Algorithm, http://www-igm.univ-mlv.fr/~lecroq/string/node14.html, tham khảo tháng 10.2013 CCTF-DEFCON 10 Data, http://cctf.shmoo.com/data/cctf-defcon10/, tham khảo tháng 10.2013 DEFCON 10, http://www.defcon.org/html/defcon-10/defcon-10-post.html, tham khảo tháng 11.2013 Downloads of Snort 2.9.4.6, http://sourceforge.net/projects/snort.mirror/files/Snort%202.9.4.6/, tham khảo tháng 10.2013 10 Horspool algorithm, http://www.iti.fhflensburg.de/lang/algorithmen/pattern/horsen.htm, tham khảo tháng 11.2013 11 Naive String Matching algorithm, http://www.personal.kent.edu/~rmuhamma/Algorithms/MyAlgorithms/StringMatch/na iveStringMatch.htm, tham khảo tháng 10.2013 12 RJ String matching, http://rjstringmatching.webs.com/, tham khảo tháng 11.2013 13 Suricata IDS, http://suricata-ids.org/, tham khảo tháng 11.2013 14 UDP Flooder Tool, http://sourceforge.net/projects/udpflooder/, tham khảo tháng 10.2013 15 Vi-Wikipedia – Botnet, http://vi.wikipedia.org/wiki/Botnet, tham khảo tháng 11.2013 VŨ DUY KHÁNH – D09HTTT3 62 ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC DANH MỤC TÀI LIỆU THAM KHẢO 16 Vi-Wikipedia – Học máy, http://vi.wikipedia.org/wiki/Học_máy , tham khảo tháng 11.2013 17 Vi-Wikipedia – Mã hóa, http://vi.wikipedia.org/wiki/Mã_hóa , tham khảo tháng 11.2013 18 Vi-Wikipedia – Mạng Nơ-ron nhân tạo, http://vi.wikipedia.org/wiki/Mạng_nơron_nhân_tạo , tham khảo tháng 11.2013 19 Vi-Wikipedia – Phần mềm ác ý, http://vi.wikipedia.org/wiki/Phần_mềm_ác_ý , tham khảo tháng 11.2013 20 Vi-Wikipedia – Trojan Horse, http://vi.wikipedia.org/wiki/Trojan, tham khảo tháng 11.2013 21 Vi-Wikipedia – Tường lửa, http://vi.wikipedia.org/wiki/Tường_lửa , tham khảo tháng 11.2013 22 Vi-Wikipedia – Virus máy tính, http://vi.wikipedia.org/wiki/Virus_(máy_tính) , tham khảo tháng 11.2013 23 Wikipedia Backdoor (Computing), http://en.wikipedia.org/wiki/Backdoor_(computing), tham khảo tháng 11.2013 24 Wikipedia Boyer-Moore algorithm, http://en.wikipedia.org/wiki/Boyer– Moore_string_search_algorithm, tham khảo tháng 10.2013 25 Wikipedia Boyer-Moore-Horspool algorithm, http://en.wikipedia.org/wiki/Boyer– Moore–Horspool_algorithm, tham khảo tháng 10.2013 26 Wikipedia KMP algorithm, http://en.wikipedia.org/wiki/Knuth–Morris– Pratt_algorithm, tham khảo tháng 9.2013 27 Wikipedia Logic Bomb, http://en.wikipedia.org/wiki/Logic_bomb, tham khảo tháng 11.2013 28 Wikipedia String Searching Algorithm, http://en.wikipedia.org/wiki/String_searching_algorithm, tham khảo tháng 10.2013 29 Wikipedia URL, http://en.wikipedia.org/wiki/Uniform_resource_locator, tham khảo tháng 11.2013 30 Wikipedia Worm (Computing), http://en.wikipedia.org/wiki/Computer_worm, tham khảo tháng 11.2013 31.WindowsSecurity IDS tutorials, http://www.windowsecurity.com/articlestutorials/intrusion_detection/Intrusion_Detection_Systems_IDS_Part_I network_intr usions_attack_symptoms_IDS_tasks_and_IDS_architecture.html, tham khảo tháng 11.2013 32 Writing Snort Rule, http://manual.snort.org/node27.html, tham khảo tháng 9.2013 VŨ DUY KHÁNH – D09HTTT3 63 ... III: Xây dựng mơ hình phát đột nhập mạng dựa đối sánh chuỗi Trình bày việc xây dựng mơ hình phát đột nhập mạng dựa kỹ thuật đối sánh chuỗi nghiên cứu chương II, tiến hành cài đặt thử nghiệm mô hình. .. CHƯƠNG 3: XÂY DỰNG MƠ HÌNH PHÁT HIỆN ĐỘT NHẬP MẠNG DỰA TRÊN ĐỐI SÁNH CHUỖI 46 3.1 Mơ hình phát đột nhập mạng dựa đối sánh chuỗi 46 3.1.1 Kiến trúc chung hệ thống phát đột nhập ... thuật đối sánh chuỗi ứng dụng phát đột nhập mạng Giới thiệu tổng quan kỹ thuật đối sánh chuỗi, nghiên cứu giải thuật đối sánh chuỗi thông dụng ứng dụng đối sánh chuỗi phát công, đột nhập mạng