Đang tải... (xem toàn văn)
Các nhà quản lý của các trang web thương mại điện tử có thể không quan tâm đến việc phát hiện và phân tích một tia quét hoặc giám sát các cuộc tấn công mà được sử dụng để xác định máy ch
MỤC LỤC LỜI MỞ ĐẦU DANH MỤC VIẾT TẮT .4 PHÂN CÔNG CÔNG VIỆC CHƯƠNG I TỔNG QUAN VỀ ĐÁNH GIÁ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1 Giới thiệu 1.2 Đặc điểm đánh giá hệ thống phát xâm nhập .6 1.2.1 Độ bao phủ 1.2.2 Xác suất báo động giả .8 1.2.3 Xác suất phát 10 1.2.4 Khả chống công trực tiếp IDS 11 1.2.5 Khả điều khiển lưu lượng băng thông cao 12 1.2.6 Khả tương quan kiện 12 1.2.7 Khả phát công chưa xảy 12 Tiểu luận môn học 1.2.8 Khả định danh công 13 1.2.9 Khả phát công thành công 13 1.2.10 Công suất kiểm chứng cho NIDS 13 1.2.11 Các độ đo khác 14 1.3 Nỗ lực đánh giá IDS có 14 1.3.1 Đại học California Davis (UCD) 16 1.3.2 Phịng thí nghiệm Lincoln MIT (MIT/LL) 16 1.3.3 Phòng thí nghiệm nghiên cứu khơng qn (AFRL) 17 1.3.4 MITRE 18 1.3.5 Neohapsis/ Network-Computing 18 1.3.6 Nhóm NSS 19 1.3.7 Network World Fusion 19 1.4 Những thách thức Testing IDS 20 1.4.1 Những khó khăn việc thu thập Scripts công phần mềm Victim 20 1.4.2 Yêu cầu cho đánh giá IDS dạng Signature Based Anomaly Based 21 1.4.3 Những yêu cầu khác biệt cho đánh giá IDS Network Based với Host Based 22 1.4.4 phương pháp tiếp cận tới việc sử dụng Background Traffic đánh giá IDS 22 1.5 Giải pháp nghiên cứu đánh giá IDS 23 1|Page 1.5.1 Chia sẻ liệu 23 1.5.2 Về dấu vết công 24 1.5.3 Dọn dẹp liệu thực 24 1.5.4 Bộ liệu báo động cảm biến 25 1.5.5 Sử dụng công nghệ 25 CHƯƠNG II KHÁI QUÁT VỀ FTESTER 26 2.1 Giới thiệu Ftester 26 2.2 Thành phần 26 2.3 Hoạt động 26 CHƯƠNG III ỨNG DỤNG CỦA FTESTER TRONG ĐÁNH GIÁ IDS CỤ THỂ 30 KẾT LUẬN 31 TÀI LIỆU THAM KHẢO 32 Tiểu luận môn học 2|Page LỜI MỞ ĐẦU Ngày nay, công nghệ thông tin phát triển cách mạnh mẽ đem lại lợi ích ứng dụng vơ to lớn cho người đặc biệt lĩnh vực Internet Thương Mại Điện Tử Mạng máy tính đời, mở rộng phát triển không ngừng tạo nên hệ thống mạng Internet tồn cầu Ngày có nhiều người nhận lợi ích việc nối mạng (để chia sẻ tài ngun, trao đổi tìm kiếm thơng tin hiệu quả, nhanh chóng, tiết kiệm thời gian chi phí, ), Internet thực trở thành phần thiếu sống người Tuy nhiên, việc truyền thông mạng phải qua nhiều trạm trung gian, nhiều nút với nhiều người sử dụng khác không dám thông tin đến tay người nhận không bị thay đổi không bị chép Chúng ta nghe nhiều vấn đề thông tin bị đánh cắp gây thiệt hại nghiêm trọng hay kẻ thường xun trộm thơng tin người khác, chí ăn trộm mật giả mạo nhằm phá hoại việc giao dịch Thực tế cho thấy số vụ công vào mạng ngày tăng, kỹ thuật cơng ngày đa dạng Chính mà vấn đề an tồn đặt lên hàng đầu nói đến việc truyền thơng mạng Tiểu luận mơn học Có nhiều cách để thực an tồn mạng như: phương pháp kiểm sốt lối vào, ngăn cản xâm nhập trái phép vào hệ thống kiểm sốt tất thơng tin gửi bên hệ thống, hay sử dụng phương pháp mã hoá liệu trước truyền, ký trước truyền, Ngồi ra, cơng nghệ phát ngăn chặn xâm nhập ứng dụng hiệu Và đánh giá hệ thống phát xâm nhập xem đắn hay chưa việc quan trọng Bởi nhóm em chọn đề tài “ Tìm hiểu tổng quan đánh giá hệ thống phát xâm nhập tìm hiểu Ftester qua ứng dụng hệ thống cụ thể ” Do kiến thức thời gian hạn chế nên khơng tránh khỏi thiếu sót mặt nội dung hình thức, mong bạn tham khảo bổ sung cho nhóm, để nhóm hồn thiện báo cáo Chúng em xin trân thành cảm ơn!!! 3|Page DANH MỤC VIẾT TẮT Ký hiệu Từ viết tắt IDS Intrusion Detection System CVE Common Vulnerabilities and Exposures NIDS Network Intrusion Detection System ROC Receiver Operating Characteristic NSM Network Security Monitor AFRL Air Force Research Laboratory Tiểu luận mơn học 4|Page PHÂN CƠNG CƠNG VIỆC STT HỌ VÀ TÊN LÊ THỊ LINH CƠNG VIỆC Tìm hiểu tổng quan đánh giá hệ thống phát xâm nhập VŨ HỒNG ĐẠT Tìm hiểu Ftester LÊ VĂN PHƯƠNG Thực Demo ứng dụng Ftester đánh giá hệ thống phát xâm nhập cụ thể Tiểu luận môn học 5|Page 1.1 CHƯƠNG I TỔNG QUAN VỀ ĐÁNH GIÁ HỆ THỐNG PHÁT HIỆN XÂM NHẬP Giới thiệu Trong năm qua việc sử dụng hệ thống phát xâm nhập (IDS) thương mại phát triển mạnh mẽ, IDS thiết bị tiêu chuẩn cho doanh nghiêp mạng lớn Mặc dù có đầu tư lớn phương pháp có sẵn lại khơng tồn diện nghiêm ngặt để kiểm tra tính hiệu hệ thống Một số đổ lỗi cho người tiêu dùng khơng địi hỏi biện pháp hiệu trước mua IDS Một số đổ lỗi cho đơn vị nghiên cứu tài trợ không đầu tư nhiều tiền lĩnh vực Nhưng phương pháp đo lường ngoại lệ Tuy nhiên, định lượng đo hiệu IDS khơng có sẵn có nhiều rào cản nghiên cứu cần phải vượt qua trước tạo kiểm tra Bài viết nêu phép đo định lượng mà cần, trở ngại Tiểu luận môn học cứu phương pháp đo lường hiệu hệ thống phát xâm nhập để vượt qua cản trở tiến để phát triển phép đo, ý tưởng cho nghiên trở ngại 1.2 Đặc điểm đánh giá hệ thống phát xâm nhập Trong phần liệt kê phép đo mà thực hệ thống phát xâm nhập – IDS 1.2.1 Độ bao phủ Số đo xác định cơng mà IDS phát điều kiện lý tưởng Đối với hệ thống dựa chữ ký, điều đơn giản bao gồm việc đếm số lượng chữ ký lập đồ chúng vào sơ đồ đặt tên tiêu chuẩn Đối với hệ thống phi chữ ký, người ta cần phải xác định cơng bên ngồi tập công biết thông qua phương pháp đặc biệt Mỗi cơng có mục tiêu cụ thể (ví dụ từ chối dịch vụ, thâm nhập, quét,…); phần mềm chống đặc biệt chạy phiên hệ điều hành cụ thể giao 6|Page thức chống lại cụ thể; chứng hay dấu vết để lại địa điểm khác Các công phụ thuộc vào phần cứng hệ thống bị công, phiên giao thức sử dụng, phương thức hoạt động sử dụng Các nhà nghiên cứu nhấn mạnh loạt tính khác nghiên cứu đo lường họ bao gồm: mục tiêu công; kiểu liệu nạn nhân mà phải thu thập để có chứng công; công sử dụng kỹ thuật trốn tàng hình IDS kết hợp tính Kết số nhà nghiên cứu thừa nhận cơng có nhiều mục tiêu phương thức hoạt động, người khác xác định cơng có cấu hình mục tiêu phương thức hoạt động cụ thể Chênh lệch có liên quan đến mức xác độ chi tiết để quan sát cơng làm cho khó khăn việc đếm số lượng công mà IDS phát khó khăn để so Tiểu luận mơn học sánh độ bao phủ IDS Vấn đề làm dịu bớt phần nhờ danh sách Common Vulnerabilities and Exposures (CVE), danh sách chứa tất lỗ hổng biết đến Tuy nhiên, cách tiếp cận CVE không giải vấn đề mà công phức tạp sử dụng để khai thác lỗ hổng tương tự cách sử dụng phương pháp tiếp cận khác để tránh hệ thống IDS Để giải vấn đề này, nhóm tiêu chuẩn CVE bắt đầu dự án đặt tên cho công, công việc giai đoạn nghiên cứu Một vấn đề khác với việc đánh giá độ bao phủ cơng xác định tầm quan trọng kiểu công khác Các trang web khác gán giá trị chi phí quản lý thay đổi rộng tầm quan trọng việc phát kiểu công khác Các nhà quản lý trang web thương mại điện tử khơng quan tâm đến việc phát phân tích tia quét giám sát công mà sử dụng để xác định máy chủ nguồn tài nguyên khác mạng Thường cơng khơng có ảnh hưởng đến việc kinh doanh 7|Page họ thường ngăn chặn Tuy nhiên, quản lý thương mại điện tử quan tâm việc phát phân tán công từ chối dịch vụ (DDoS), việc phát thành công thỏa hiệp máy chủ ẩn trang web Điều nhấn mạnh khác với phương pháp tiếp cận đa số đánh giá thương mại bao gồm dị giám sát cơng Các trang web quân tập trung nhiều ý đến nỗ lực giám sát công thực nghiệm để xác định tiền thân mối đe dọa nghiêm trọng Ngoài ra, hầu hết trang web phát cơng tìm kiếm lỗ hổng thất bại chúng khơng cịn tồn trang web Các cơng thất bại hoạt động hệ thống vá không cịn dễ bị cơng; hệ thống với hệ điều hành u cầu khơng tồn tại, tường lửa khối thiết bị bảo vệ công quan trọng khác Một số trang web cụ thể có Tiểu luận mơn học thể giám sát vài số hàng ngàn lỗi bảo mật biết đến CVE, chúng thay đổi tương ứng với hệ thống thay thế, vá lỗ hổng, cấu hình lại lỗ hổng phát 1.2.2 Xác suất báo động giả Số đo xác định tỷ lệ dương tính với phát sai tạo IDS môi trường mang đến khung thời gian cụ thể Một báo động giả hay sai cảnh báo gây lưu lượng tin bình thường khơng độc hại Một số ngun nhân cho Network IDS (NIDS) có chữ ký yếu rằng: cảnh báo tất lưu lượng truy cập đến số hiệu cổng cao sử dụng backdoor; tìm kiếm cho xuất từ phổ biến chẳng hạn "help" 100 byte SNMP kết nối TCP khác; phát hành vi vi phạm phổ biến giao thức TCP Chúng gây mạng lưới giám sát bình thường bảo vệ lưu lượng tin tạo công cụ quản lý mạng Khó khăn việc đo lường báo động sai IDS có tỷ lệ dương tính với báo động giả khác 8|Page mơi trường mạng lại khơng có điều "tiêu chuẩn mạng" Ngoài ra, khó để xác định khía cạnh lưu lượng mạng hoạt động máy chủ gây báo động giả Kết là, khó khăn để đảm bảo chúng tơi tạo số lượng kiểu báo động sai kiểm thử IDS giống tìm thấy mạng thực Cuối cùng, IDS cấu hình điều chỉnh theo nhiều cách khác để làm giảm tỷ lệ dương tính giả Điều làm khó khăn việc xác định cấu hình IDS sử dụng cho kiểm thử dương tính giả đặc biệt Một đường cong ROC tổng hợp xác suất báo động giả xác suất phép đo phát Chúng tơi đề cập đến tầm quan trọng cộng đồng thử nghiệm IDS Đường cong tóm tắt mối quan hệ hai số đặc điểm IDS quan trọng là: dương tính sai xác suất phát Tiểu luận mơn học Trong hình 1, chúng tơi hiển thị đường cong hoạt động đặc trưng thu (ROC) tạo hai hệ thống thử nghiệm IDS Hình Đường cong ROC- Độ xác tỷ lệ phần trăm công bị phát với tỷ lệ phần trăm báo động sai 9|Page Trục x cho thấy tỷ lệ báo động sai tạo kiểm tra trục y cho thấy tỷ lệ phần trăm công phát tỷ lệ phần trăm báo động giả Lưu ý IDS hoạt động điểm đường cong Trong ví dụ này, hệ thống điều chỉnh đến loạt điểm hoạt động, hệ thống khó khăn để cấu hình có điểm hoạt động thực tế Theo định nghĩa, đường cong ROC cho thấy xác suất trục x trục y, đơn vị đo lường cho lưu lượng bình thường khó khăn để xác định Kết là, nhà nghiên cứu sử dụng báo động sai theo đơn vị thời gian trục x Một đơn vị đo cần thiết để xác định số lượng tối đa báo động sai xảy khoảng thời gian định Đơn vị đo lường phụ thuộc nhiều vào cách mà tính tách xuất IDS từ liệu Tiểu luận môn học đầu vào sử dụng khó để xác định cho hệ thống phát xâm nhập thương mại hệ thống hộp đen khác Đối với mục đích đánh giá, có lẽ tốt để vẽ tỷ lệ phát so với báo động giả đơn vị thời gian Những đường cong không thực đường cong ROC, chúng truyền đạt thông tin quan trọng phân tích so sánh IDS Trong hình1, hai hệ thống dựa NIDS, đơn vị đo tổng số gói tin truyền qua mạng Các phân tích cho rằng, lúc tồi tệ nhất, IDS phát hành cảnh báo cho gói tin, số lượng tối đa cảnh báo tổng số gói tin truyền 1.2.3 Xác suất phát Số đo xác định tỷ lệ cơng phát cách xác IDS môi trường mang lại khung thời gian cụ thể Khó khăn việc đo lường tỷ lệ phát thành công IDS phần lớn phụ thuộc vào thiết lập công sử dụng lần đánh giá Ngoài ra, khả phát thay đổi theo tỷ lệ dương tính giả, IDS 10 | P a g e GOTS, phát cơng tổng thể có độ xác cịn khoảng 25% mức báo động giả chấp nhận 1.3.4 MITRE Tổng công ty MITRE tổ chức Intrusion Detection Fly-Off, đánh giá hệ thống phát xâm nhập thương mại phủ Hoạt động điều tra đặc trưng khả mạng dựa IDS Bảy IDS thử nghiệm cách sử dụng phương pháp hai giai đoạn Giai đoạn I bao gồm công tương đối đơn giản cách sử dụng công cụ SATAN Giai đoạn cho IDS khai thác hội để làm quen với IDS khác, cho kẻ công hội để thực hành công hệ thống Giai đoạn II thiết kế để mô công xác định, liên Tiểu luận môn học quan đến cơng tàng hình đơn giản phức tạp Kết tính tạo khả thời gian cảnh báo; báo cáo lực; phân tích khả offline; khả phản ứng; hệ thống quản lý từ xa Những phân tích điểm yếu tiết lộ việc thực ổn định số hệ thống kiểm thử Hai số hệ thống thương mại thử nghiệm phát nhiều công cấp độ thấp so với ba hệ thống quyền phát triển, có lẽ họ có nhiều chữ ký cho cơng Tuy nhiên hệ thống phủ phát triển phù hợp để phát phân tích công cấp cao thực phiên tương tác Những kẻ công với kiến thức định chữ ký sử dụng IDS, tạo cơng tàng hình khơng phát 1.3.5 Neohapsis/ Network-Computing 18 | P a g e Từ năm 1999, tạp chí Network Computing tài trợ đánh giá sản phẩm phát xâm nhập thương mại Neohapsis Laboratories Các đánh giá gần bao gồm 13 IDS thương mại mã nguồn mở Snort IDS Kết định tính tập trung vào đặc điểm thực tế bao gồm tính dễ sử dụng khung quản lý, ổn định, chi phí hiệu quả, chất lượng chữ ký / chiều sâu, dễ dàng tùy biến Kết định lượng bao gồm số lượng công phát mức độ dung lượng tối đa xử lý trước IDS bắt đầu bỏ gói liệu, khơng thực việc kiểm tra chữ ký, phân mảnh gói liệu bị thất bại 1.3.6 Nhóm NSS Nhóm NSS đánh giá IDS quét lỗ hổng năm 2000 2001 Các báo cáo năm 2001 đánh giá IDS bao gồm 15 sản phẩm IDS thương mại mã nguồn Tiểu luận môn học mở Snort IDS Phần lớn báo cáo trình bày chi tiết thơng tin cho IDS kiến trúc nó, dễ dàng cài đặt cấu hình Mười hai IDS so sánh cách sử dụng 18 66 lỗ hỗng phổ biến có sẵn bao gồm quét cổng, DoS, Distributed DoS, Trojans, Web, FTP, SMTP, POP3, ICMP, công Finger Các công tính phát họ báo cáo "càng đơn giản rõ ràng tốt." Tỷ lệ phát công đo 100 M bit / s , mạng với khơng có lưu lượng tin lưu lượng nhỏ (64 byte) giới thực, lưu lượng lớn (1514 byte) gói tin tiêu thụ giá trị 0%, 25%, 50%, 75% 100% băng thông mạng 1.3.7 Network World Fusion Một xem xét hạn chế năm IDS thương mại báo cáo Tạp chí Network World Fusion Đánh giá thảo luận tính dễ dàng thiết lập sử dụng, đánh giá độ phát xác sử dụng 27 19 | P a g e công phổ biến đưa ba máy tính nạn nhân Những cơng web tàng hình tạo cách sử dụng công cụ công “whisker” 1.4 Những thách thức Testing IDS Có số khía cạnh IDS khiến cho việc đánh giá IDS trở nên nhiều thách thức Cụ thể trình bày 1.4.1 Những khó khăn việc thu thập Scripts công phần mềm Victim Một vấn đề mà kìm hãm tiến lĩnh vực khó khăn việc thu thập kịch công phần mềm nạn nhân Để thu thập lượng lớn số kịch công việc khó khăn tốn Trong kịch phổ biến rộng rãi Internet, phải thời gian để tìm thấy kịch có liên Tiểu luận môn học quan đến môi trường thử nghiệm cụ thể Khi kịch xác định, với người có kinh nghiệm vững phải khoảng tuần để xem xét mã, kiểm tra khai thác, xác định nơi cơng bỏ sót chứng, tự động hóa cơng, tích hợp vào mơi trường thử nghiệm Như thể Bảng 1, số lượng kiểu công sử dụng đánh giá thực thi năm 2001 phạm vi từ đến 66 Một vấn đề liên quan khó khăn (nhưng dường cần thiết) để thu thập phần mềm nạn nhân phù hợp có liên kết với kịch cơng Thường kịch khác làm việc với số phiên cụ thể phần mềm điều khó khăn để đạt Bản thân phần mềm khó khăn để có chi phí đắt phần mềm khơng thực cơng khai Ngoài ra, phiên phần mềm cũ dễ bị tổn thương khơng dễ dàng có từ nhà cung cấp Phần mềm dễ bị tổn thương cần thiết cho đánh giá gói tin cơng khơng đơn giản đưa vào IDS Nếu khơng có thơng tin tính sử 20 | P a g e