ĐẠI HỌC DUY TÂN TRƯỜNG KHOA HỌC MÁY TÍNH KHOA KỸ THUẬT MẠNG MÁY TÍNH & TRUYỀN THƠNG  ĐỜ ÁN CHUYÊN NGÀNH Tên đề tài: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS (INTRUSION DETECTION SYSTEMS) TRÊN NỀN TẢNG ZEEK Chuyên ngành : KỸ THUẬT MẠNG Khóa : 2019 – 2023 Họ tên sinh viên : LƯU MINH TIẾN Lớp môn học : CS 446 A Lớp sinh hoạt : K25 TMT MSSV: 25211103677 Giảng viên hướng dẫn : ThS TRẦN BÀN THẠCH Đà Nẵng, 1/2023 MỤC LỤC LỜI MỞ ĐẦU 1 Lý chọn đề tài Mục đích ý nghĩa của đề tài .2 2.1 Mục đích 2.2 Đối tượng nghiên cứu 2.3 Phạm vi nghiên cứu CHƯƠNG 1: HỆ THỐNG INTRUSION DETECTION SYSTEM (IDS) 1.1.TỔNG QUAN VỀ IDS 1.1.1 Mục Đích Của IDS 1.1.2 Các Hệ Thống Không Phải IDS 1.1.3 Phân Loại Tấn Công Mạng 1.2 KIẾN TRÚC IDS 1.2.1 Nhiệm Vụ Của IDS 1.2.2 Kiến Trúc IDS 1.2.3 Chinh sách của IDS 11 1.3 PHÂN LOẠI IDS .12 1.3.1 Host IDS 12 1.3.2 Network IDS 13 1.3.3 Network Node IDS 15 CHƯƠNG 2: HỆ THỐNG IDS NỀN TẢNG ZEEK 19 2.1 TỔNG QUAN VỀ ZEEK 19 2.1.1 Tổng Quan Về Zeek 19 2.1.2 Các Đặc Trưng Hệ Thống 20 2.1.3 Mục Đích Của ZEEK 20 2.1.4 Nhiệm Vụ Của Zeek 21 2.2 KIẾN TRÚC CỦA ZEEK 21 2.2.1 Kiến Trúc ZEEK 21 2.3 CHỨC NĂNG CỦA ZEEK 23 2.4 ƯU ĐIỂM CỦA ZEEK SO VỚI CÁC PHẦN MỀM IDS KHÁC 26 CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG IDS ZEEK .27 3.1 SƠ ĐỒ TRIỂN KHAI VÀ KIỂM THỬ 27 3.2 TRIỂN KHAI .28 3.2.1 Kịch bản: Kiểm tra kết nối tới địa IP 28 KẾT LUẬN 39 HƯỚNG PHÁT TRIỂN 39 TÀI LIỆU THAM KHẢO 40 LỜI CAM ĐOAN .48 DANH MỤC HÌNH ẢNH Hình 1.1 Các vị trí đặt IDS mạng Hình1.2 Kiến trúc của hệ thống phát xâm nhập Hình 1.3 Giải pháp kiến trúc đa tác nhân 10 Hình 1.4 Sơ đồ HIDS 13 Hình 1.5 Sơ đồ NIDS 15 Hình 1.6 Sơ đồ NNIDS 15 Hình 2.1 Kiến trúc của ZEEK 22 Hình 2.2 Các thành phần chính của ZEEK .23 Hình 2.3 Dns.log 24 Hình 2.4 Bro scripts 25 Hình 3.1 Sơ đồ mạng 27 Hình 3.2 Check service mysql 28 Hình 3.3 Kiểm tra tải Zeek 29 Hình 3.4 Cài đặt mạng giám sát 30 Hình 3.4.1 Cài đặt mạng giám sát 31 Hình 3.5 Check start Zeek 32 Hình 3.6 Triển khai cấu hình zeek .33 Hình 3.7 Kiểm tra trạng thái Zeek .34 Hình 3.8 Kiểm tra nhật ký được tạo 35 Hình 3.8.1 Kiểm tra nhật ký kết nối 36 Hình 3.9 Kiểm tra nhật ký cụm 37 Hình 3.10 Kiểm tra tiến trình .38 DANH MỤC TỪ VIẾT TẮT Từ viết tắt Diễn giải IDS Intrusion Detection System ARP Address Resolution Protocol VNP Virtual Private Network DIDS Distributed Intrusion Detection System DMZ Demilitarized Zone DNS Domain Name System DOS Disk Operating System AAFID HIDS NNIDS Autonomous Agents for Intrusion Detection Host-based Intrusion Detection System Network Nod Intrusion Detection System TCP Transmission Control Protocol SSH Secure Socket Shell SSL Secure Sockets Layer URI Uniform Resource Identifier SQL Structured Query Language HTTPS LAN IP Hypertext Transfer Protocol Secure Local Area Network Internet Protocol LỜI MỞ ĐẦU Lý chọn đề tài Ngày nay, cố gián đoạn hệ thống mạng, máy chủ không hoạt động, dịch vụ ứng dụng gặp vấn đề, hệ thống bị xâm nhập bất hợp pháp,… đều gây ảnh hưởng nghiêm trọng đến hoạt động doanh nghiệp Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet đời được ví cách mạng giới kinh doanh truyền thông Internet thay đổi quan điểm về học tập, kinh doanh đưa đến với thời đại - thời đại công nghệ sớ Internet trở thành mơi trường kinh doanh xố ranh giới quốc gia tạo thị trường lớn lịch sử nhận loại, với phát triển vũ bão của mạng toàn cầu Việt Nam Với khả giải vấn đề trước người dùng nhận ra, sử dụng giải pháp giám sát hệ thống mạng giúp doanh nghiệp nâng cao chất lượng dich vụ cắt giảm đáng kể chi phí quản lý hệ thống Hiện có nhiều cơng cụ giám sát mạng hỗ trợ cho công việc của người quản trị Chức của chúng giám sát trạng thái hoạt động của thiệt bị mạng, dich vụ mạng, thiết bị đâu cuối tham gia vào mạng thơng báo cho người quản trị có cớ khả xảy cớ Trong có hệ thớng giám sát mạng ZEEK, hệ thớng với mã nguồn mở có nhiều tính vượt trội giúp tiệt kiệm chi phí cho doanh nghiệp vừa nhỏ Do em định chọn đề tài xây dựng hệ thống giám sát mạng ZEEK Mục đích ý nghĩa của đề tài 2.1 Mục đích - Tìm hiểu triển khai zeek mơi trường ảo hóa, phân tích liệu nhật ký mà ZEEK thu thập được: - Tìm hiểu chức của hệ thớng monitor - Tìm hiểu chức của hệ thống ZEEK - Triển khai hệ thống môi trường ảo Để tài nhằm hướng đến chính sách nguyên tắc bảo mật cho hệ thống mạng, được áp dụng để chống lại nguy thách thức từ phía tội phạm không gian mạng 2.2 Đối tượng nghiên cứu Ngôn ngữ biên dịch ZEEK Python Hệ điều hành Ubuntu chạy máy ảo Vmware Workstation phiên 20.4 2.3 Phạm vi nghiên cứu Tìm hiểu hệ thống Intrusion Detection Systems (IDS): Tổng quan kiến trúc phân loại sớ mơ hình đấu nới của IDS Tìm hiểu Hệ thớng IDS nền tảng ZEEK: Tổng quan kiến trúc của ZEEK Triển khai IDS ZEEK: Sơ đồ triển khai, triển khai kiểm thử CHƯƠNG 1: HỆ THỐNG INTRUSION DETECTION SYSTEM (IDS) 1.1 TỔNG QUAN VỀ IDS Khái niệm phát xâm nhập xuất qua báo của James Anderson cách khoảng 25 năm Khi người ta cần hệ thống phát xâm nhập – IDS (Intrusion Detection System) với mục đích dị tìm nghiên cứu hành vi bất thường thái độ của người sử dụng mạng, phát việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu về hệ thống phát xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988 trước được sử dụng mạng máy tính của không lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thớng IDS được xuất phịng thí nghiệm viện nghiên cứu Tuy nhiên thời gian này, số công nghệ IDS bắt đầu phát triển dựa bùng nổ của công nghệ thông tin Đến năm 1997 IDS được biết đến rộng rãi thực đem lại lợi nhuận với đầu của cơng ty ISS, năm sau đó, Cisco nhận tầm quan trọng của IDS mua lại công ty cung cấp giải pháp IDS tên Wheel IDS (Intrusion Detection Systems - Hệ thống phát xâm nhập) thiết bị phần mềm có nhiệm vụ giám sát traffic mạng, hành vi đáng ngờ cảnh báo cho admin hệ thống Mục đích của IDS phát ngăn ngừa hành động phá hoại bảo mật hệ thống, hành động tiến trình cơng dị tìm, quét cổng IDS phân biệt cuộ công nội (từ chính nhân viên khách hàng tổ chức) công bên ngồi (từ hacker) Trong sớ trường hợp, IDS phản ứng lại với traffic bất thường/độc hại cách chặn người dùng địa IP nguồn truy cập mạng 1.1.1 Mục Đích Của IDS Hệ thống phát xâm nhập (Intrusion Detection System - IDS) hệ thớng phần cứng phần mềm có chức tự động theo dõi kiện sảy ra, giám sát lưu thông mạng, cảnh báo hoạt động khả thi cho người quản trị Hình sau minh họa vị trí thường cài đặt IDS mạng Hình 1.1 Các vị trí đặt IDS mạng Mục đích của IDS phát ngăn ngừa hành động phá hoại bảo mật hệ thống, hành động tiến trình cơng dị tìm, quét cổng IDS phân biệt công nội (từ chính nhân viên khách hàng tổ chức) công bên ngồi (từ hacker) Trong sớ trường hợp, IDS phản ứng lại với traffic bất thường/độc hại cách chặn người dùng địa IP nguồn truy cập mạng 1.1.2 Các Hệ Thống Không Phải IDS Có nhiều thiết bị, cơng cụ bị nhầm tưởng IDS, Cụ thể, thiết bị bảo mật IDS: Hệ thống ghi nhật ký mạng được sử dụng để phát lỗ hổng đối với công từ chối dịch vụ (DoS) mạng bị tắc nghẽn Đây hệ thống giám sát traffic mạng Các công cụ đánh giá lỗ hổng, dùng để kiểm tra lỗi lỗ hổng hệ điều hành, dịch vụ mạng (các quét bảo mật) Các phần mềm diệt virus được thiết kế để phát phần mềm nguy hiểm virus, Trojan horse, worm, logic bomb Mặc dù tính mặc định giớng hệ thớng phát xâm nhập thường cung cấp công cụ phát vi phạm bảo mật hiệu quả, xét tổng thể chúng IDS Tường lửa: Dù nhiều tưởng lửa đại được tích hợp sẵn IDS, IDS tường lửa Các hệ thống bảo mật/mật mã, ví dụ VPN, SSL, S/MIME, Kerberos, Radius 1.1.3 Phân Loại Tấn Công Mạng Các loại công được phân thành hai loại sau: Bị động (được trang bị để tăng mức truy cập làm cho thâm nhập vào hệ thớng mà khơng cần đến đồng ý của tài nguyên CNTT) Tích cực (các kết gây thay đổi trạng thái không hợp lệ của tài nguyên CNTT).Dưới dạng mối quan hệ nạn nhân người xâm nhập, công được chia thành: Bên trong, công đến từ chính nhân viên của công ty, đối tác làm ăn khách hàng Bên ngồi, cơng đến từ bên ngồi, thường thơng qua Internet Các công được phân biệt hạng mục nguồn, cụ thể nguồn thực từ hệ thống bên (mạng nội bộ, Internet từ nguồn quay số từ xa) Bây xem xét đến loại cơng bị phát công cụ IDS xếp chúng vào chuyên mục đặc biệt Các loại công được phân biệt: Tấn cơng thám (Reconnaissance attack) Nếu kẻ trộm trước đột nhập nhà gia chủ trước hết ta phải thăm dị, quan sát ngơi nhà, đường lới lại, điểm sơ hở Tấn công thám thường để làm bàn đạp cho công truy cập công từ chối dịch vụ về sau Cách thức mà kẻ công tiến hành sau: dùng kỹ thuật ping sweep để kiểm tra