1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu hệ thống phát hiện xâm nhập và ứng dụng triển khai tại Sở giáo dục và Đào tạo Hà Nội

20 0 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Nghiên cứu hệ thống phát hiện xâm nhập và ứng dụng triển khai tại Sở giáo dục và Đào tạo Hà Nội
Chuyên ngành An ninh mạng
Thể loại Luận văn
Thành phố Hà Nội
Định dạng
Số trang 20
Dung lượng 5,55 MB

Nội dung

Việc đảm bảo an toàn thông tin trở thành một yêu cầu quan trọng, đã có nhiều phương pháp được phát triển dé đảm bảo cho hạ tang mạng và giao tiếp trên Internet như: sử dung firewall, enc

Trang 1

MO DAU

An ninh thông tin nói chung và an ninh mang nói riêng đang là van

đề được quan tâm hiện nay Việc đảm bảo an toàn thông tin trở thành một

yêu cầu quan trọng, đã có nhiều phương pháp được phát triển dé đảm bảo cho hạ tang mạng và giao tiếp trên Internet như: sử dung firewall, encryption (mã hóa), VPN (mạng riêng ảo) trong đó có hệ thống phát

hiện xâm nhập Sử dụng phương thức phát hiện xâm nhập, có thé thu thập,

sử dụng thông tin từ những loại tan công đã biết dé tìm ra một ai đó cố gắng tấn công vào mạng hay máy cá nhân

Đề tài luận văn “Nghiên cứu hệ thống phát hiện xâm nhập và ứng

dụng triển khai tại Sở giáo dục và Đào tạo Hà Nội” sẽ tập trung nghiên

cứu về hệ thống phát hiện xâm nhập và xây dựng mô hình ứng dụng cho

hệ thống mạng của Sở giáo dục Đảo tạo Hà Nội dựa trên hệ thống Snort

Do Snort được cung cấp theo dang mã mở nên người dùng có thé tự do sửa đối, cải tiến theo yêu cầu ngoài ra Snort hoàn toàn miễn phí nên sẽ giảm được đáng kể chi phí triển khai ban đầu

Luận văn bao gôm 3 chương với nội dung như sau:

Chương 1 - Tổng quan về hệ thống phát hiện và phòng chống xâm nhập.

Giới thiệu về hệ thống phát hiện và phòng chống xâm nhập, chức

năng cũng như phân loại hệ thống, trình bảy về kiến trúc của hệ thống phát hiện xâm nhập, cơ chế hoạt động, và một số sản phẩm phát hiện và phòng chống xâm nhập IDS.

Chương 2 - Các kỹ thuật phát hiện xâm nhập hệ thống

Chương nảy trình bày một số phương thức xâm nhập, tan công hệ

thống mạng điển hình hiện nay, sau đó đưa các kỹ thuật nhằm phát hiện

xâm nhập hệ thống bao gồm các phương thức phát hiện, cách thức thu

thập, xử lí dữ liệu của hệ thống phát nhằm phát hiện ra xâm nhập

Trang 2

Chương 3 - Xây dựng mô hình ứng dụng cho Sở giáo dục và Đào tạo

Hà Nội

Luận văn giới thiệu về Snort, tìm hiểu các rule của Snort, phân tích

các yêu cầu xây dựng hệ thống từ đó đề xuất mô hình hệ thống phát hiện

xâm nhập mạng dựa trên Snort cho Sở giáo dục Hà Nội Luận văn cũng

tiên hành cài mô hình phát hiện xâm nhập Snort và xây dựng thử nghiệm

một số kịch bản phát hiện xâm nhập sử dụng Snort với các rule tương ứng.

CHUONG 1: TONG QUAN VE HỆ THONG PHAT HIỆN VÀ PHONG CHONG XAM NHAP

Khai niệm phát hiện xâm nhập xuất hiện qua một bài báo của James Anderson vào năm 1980 [5] Các nghiên cứu về hệ thống phát hiện xâm

nhập được nghiên cứu chính thức từ năm 1983 đến năm 1989 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ Đến năm 1997

IDS mới được biết đến rộng rãi và thực sự đem lại lợi nhuận với sự đi đầu của công ty ISS, một năm sau đó, Cisco nhận ra tầm quan trọng cua IDS

và đã mua lại một công ty cung cấp giải pháp IDS Wheel Hiện tại, các

thống kê cho thấy IDS/IPS đang là một trong các công nghệ an ninh được

sử dụng nhiều nhất và vẫn còn phát trién

1.1 Khái niệm về IDS/IPS

Hệ thống phát hiện xâm nhập IDS là hệ thống phần cứng hoặc phần

mềm có chức năng tự động theo dõi các sự kiện xảy ra trên hệ thông máy

tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật Mục đích của nó là phát hiện và ngăn ngừa các hành động phá hoại đối với

vẫn đề bảo mật hệ thống, hoặc những hành động trong tiến trình tắn công như sưu tập, quét các cổng

1.2 Sự khác nhau giữa IDS/IPS

Có thể nhận thấy sự khác biệt giữa hai khái niệm ở tên gọi: “phát hiện” và “ngăn chặn” Các hệ thống IDS được thiết kế với mục đích chủ

Trang 3

yếu là phát hiện và cảnh báo các nguy cơ xâm nhập đối với mạng máy tính

nó đang bảo vệ trong khi đó, một hệ thống IPS ngoài khả năng phát hiện còn có thé tự hành động chống lại các nguy cơ theo các quy định được người quản trị thiết lập sẵn

1.3 Chức năng của IDS/IPS

Chức năng quan trọng nhất là: Giám sát - cảnh báo - bảo vệ Chức năng mở rộng:

e Phân biệt: tấn công bên trong và tấn công bên ngoài

e Phát hiện: những dấu hiệu bất thường dựa trên những gì đã biết hoặc

nhờ vảo sự so sánh thông lượng mạng hiện tại với Baseline.

e Ngăn chặn sự gia tăng của những tan công

e Bồ sung những điểm yếu mà các hệ thống khác chưa làm được

e Đánh giá chất lượng của việc thiết kế hệ thống

1.4 Nơi đặt IDS

External Network 1

—_

=Z VPN External Network 2

= 3

Ea Server FIP Seren Mail Serverl

=2 IDRAI

g2 IDS

AI 5 củ,Internal Network:

Hinh 1.1: Noi dat IDS

1.5 Phan loai IDS/IPS

Cac hé thong IDS được chia thành các loại sau:

e Network-based IDS (NIDS): Sử dung dữ liệu trên toàn bộ lưu thông

mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm dé phat

hiện xâm nhập.

Trang 4

¢ Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm

đơn dé phát hiện xâm nhập

1.5.1 Nehwork based IDS (NIDS)

NIDS[1] là hệ thống IDS được đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài dé giám sát tat cả lưu lượng vao ra Loại IDS nay

có thé là một thiết bị phần cứng riêng biệt được thiết lập san hoặc phần mềm cài đặt trên máy tính, chủ yếu dùng dé đo lưu lượng mạng được sử dụng.

1.5.1.1 Ưu điểm của NIDS

1.5.1.2 Nhược điểm của NIDS

1.5.2 Host based IDS — HIDS

Loại IDS này được cai đặt cục bộ trên một máy tính lam cho nó trở

nên linh hoạt hơn nhiều so với NIDS Chức năng chính của HIDS là kiểm

soát lưu lượng vào ra trên một máy tính, có thê được triển khai trên nhiều

máy this trong hệ thống mạng.

1.5.2.1 Ưu điểm của HIDS

1.5.2.2 Nhược điểm của HIDS

1.5.3 So sánh giữa NIDS và HIDS.

1.6 Kiến trúc của hệ thống IDS

Hệ thống IDS [8] bao gồm các thành phan chính: thành phan thu thập gói tin (information collection), thành phần phân tích gói tin(Dectection),

thành phần phản hồi (respontion) nếu gói tin đó được phát hiện là một tan

công của tin tặc Trong ba thành phần này thì thành phần phân tích gói tin

là quan trọng nhất và ở thành phần này bộ cảm biến đóng vai trò quyết

định.

Trang 5

Analyzer (Sensor) :

Set of Events (Syslogs, System status, Network Packet)

Informationi

Collection ;

System) Detection Response

Informationi Policy: Policy,

-Information Colletion Response

Hình 1.2: Thanh phan của IDS

1.7 Một số sản phẩm của IDS

Phần này giới thiệu một số sản phẩm IDS, IPS thương mại cũng như miễn phí phô biến, những sản phẩm điền hình trong lĩnh vực phát hiện va phòng chống xâm nhập.

1.7.1 Cisco IDS-4250

Cisco IDS (con có tên là NetRanger) là một hệ thống NIDS, có kha

năng theo dõi toàn bộ lưu thông mạng và đối sánh từng gói tin để phát hiện

các dau hiệu xâm nhập

1.7.2 ISS Proventia A201

Proventia A201 1a san pham cua hang Internet Security Systems Vé mặt bản chat, Proventia không chi là một hệ thống phan mềm hay phan

cứng mà nó là một hệ thống các thiết bị được triển khai phân tán trong mạng được bảo vệ.

1.7.3 NFR NID-310 NFR

NFR NID-310 NFR là sản pham của NFR Security Inc Cũng giống như Proventia, NFR NID là một hệ thống hướng thiết bi (appliance-based).

1.7.4 Snort IDS

Snort là phần mềm IDS mã nguồn mở, được phat triển bởi Martin Roesh Snort đầu tiên được xây dựng trên nền Unix sau đó phát triển sang

Trang 6

các nền tảng khác Snort được đánh giá là IDS mã nguồn mở đáng chú ý nhất với những tính năng rất mạnh Chi tiết về Snort sẽ được trình bay

trong phần chương 3 của đề tài.

1.8 Kết chương

Chương 1 đã trình bày tổng quan về hệ thống phát hiện và phòng chống xâm nhập bao gồm giới thiệu về hệ thống, các khái niệm, chức năng cũng như phân loại hệ thống IDS, so sánh sự khác nhau giữa 2 hệ thống

Trình bày nguyên lí hoạt động của hệ thống phát hiện xâm nhập cũng như

cơ chế hoạt động của hệ thống Dua ra một số sản phẩm IDS/IPS thương

mại cũng như miên phí hiện nay.

Trang 7

CHƯƠNG2: CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP HỆ

THÓNG MẠNG

Phát hiện xâm nhập có thê hiểu là tiến trình theo dõi các sự kiện xảy

ra trên một hệ thống máy tính hay hệ thống mạng, phân tích chúng dé tìm

ra các dấu hiệu “xâm nhập bất hợp pháp” Chương 2 sẽ đưa ra một số phương thức tan công hệ thống mạng hiện nay cũng như các biện pháp đối phó, sau đó sẽ đưa ra các phương pháp nhận diện, kỹ thuật phát hiện xâm

nhập bất hợp pháp vào hệ thống dựa trên hệ thống phát hiện và phòng chống xâm nhập IDS đã trình bày ở chương 1.

2.1 Một số phương thức tan công hệ thống mang

2.1.1.Tan công từ chối dịch vu (Denial of Service Attack)

Cho dù da dạng về kích cỡ và hình dang, tir subtle malformed packet đến full-blown packet storm, Denial of Service (DoS) attack có mục đích chung là dong băng hay chan đứng tai nguyên của hệ thống đích Cuối cùng, mục tiêu trở nên không thê tiếp cận và không thê trả lời

2.1.2 Quét và thăm dò (Scanning and Probe)

Bộ quét và thăm dò tự động tìm kiếm hệ thống trên mạng để xác định

điểm yếu Tuy các công cu này được thiết kế cho mục đích phân tích dé

phòng ngừa, nhưng chúng có thé được sử dụng dé gây hại cho hệ thống.

Các công cụ quét và thăm dò bao gồm SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, và AXENT NetRecon.

2.1.3 Tấn công vào mật mã (Password attack)

Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack Kiểu dễ nhận thấy nhất là ăn trộm mật mã, mang lại quyền hành và tính

linh động cao nhất cho kẻ tấn công có thể truy nhập tới mọi thông tin tại

mọi thành phần trong mạng Đoán hay bẻ khóa mật mã là phương thức tiếp cận được gọi la brute force bang cach thir nhiéu mat ma dé mong tim được mat ma dung

Trang 8

2.1.4 Chiém đặc quyền (Privilege-grabbing)

Khi kẻ tan công đã xâm nhập được vào hệ thống, chúng sẽ cô chiếm

quyên truy nhập Khi thành công, chúng đã chiếm được hệ thống Trong hệ

điều hành UNIX, điều này nghĩa là trở thành “root”, ở Windows NT là

“Admimistrator”, trên NetWare la “Supervisor”.

2.1.5 Cai đặt mã nguy hiểm (Hostile code insertion)

Một số loại tấn công có thể cài đặt mã nguy hiểm vào hệ thống Mã này có thể lay trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor

cho lần truy nhập trái phép tiếp theo.

2.1.6 Hanh động phá hoại trên may móc (Cyber vandalism)

Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block khởi động và chương trình hệ điều hành, format 6 đĩa

2.1.7 An trom dữ liệu quan trọng (Proprietary data theft)

Mặc dù hon 80% các cuộc tấn công liên quan đến thông tin quan

trọng đều xảy ra ngay trong tô chức đó, số các cuộc tấn công từ bên ngoài

đã liên tục tang trong một vai năm qua.

2.1.8 Gian lận, lãng phí và lạm dung (Fraud, waste, abuse)

Gian lận, lãng phí và lạm dụng tài nguyên máy tính và vấn đề liên

quan đến kinh tế trong thời kỳ hiện nay Gian lận liên quan đến việc chuyên tiền bất hợp pháp, trộm số credit card, can thiệp vào tài khoản nhà

băng, và thao túng chương trình kiểm tra viết (check writing) Lãng phí và

lạm dụng xảy ra khi tài nguyên được sử dụng (tình cờ hay chủ đích) cho

các công việc đi ngược lại với mục đích của tổ chức.

2.1.9 Can thiệp vào biên ban (Audit trail tampering)

Như đã nói đến ở trên, hầu hết các thông tin tạo nên từ các hành động của người dùng được ghi trong các audit trail riêng của hệ thống Can thiệp

vào biên bản là cách được ưa thích dé loại bỏ hay che dấu vết.

Trang 9

2.1.10 Tan công hạ tang bảo mật (Security infrastructure attack)

Có nhiều loại tan công can thiệp vào việc điều khiển cơ bản của cơ

sở hạ tầng bảo mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dùng hay router, hay thay đổi quyền của file Tan công vào cơ sở hạ

tầng cho phép kẻ xâm nhập có thêm quyền truy nhập hay tạo thêm nhiều

đường xâm nhập vào hệ thống hay mạng

2.2 Các phương pháp nhận diện

Có thể chia làm ba phương pháp nhận diện là:

2.2.1 Nhận diện dựa vào dấu hiệu (Signature-base Detection)

Nhận diện dựa trên dấu hiệu [7] là quá trình so sánh các sự kiện giám sat với các dau hiệu dé xác định các nguy cơ có thé là một tan công

Trong đó dấu hiệu là các sự kiện, hành động tương ứng với các mối đe dọa

được biết đến

2.2.2 Nhận diện sự bất thường (Abnormaly-base Detection)

Nhận diện sự bất thường là so sánh định nghĩa của những hoạt động

bình thường và đối tượng quan sát nhằm xác định các độ lệch Một hệ IDS

sử dụng phương pháp Anormaly-base detection có các profiles đặc trưng cho các hành vi được coi là bình thường, được phát triển bằng cách giám sát các đặc điểm của hoạt động tiêu biểu trong một khoảng thời gian Sau khi đã xây dung được tập các profile này, hệ IDS sử dụng phương pháp thống kê để so sánh các đặc điểm của các hoạt động hiện tại với các ngưỡng định bởi profile tương ứng dé phát hiện ra những bat thường

2.2.3 Phan tích trạng thai giao thức (Stateful Protocol Analysis)

Phân tích trang thai protocol [7] là quá trình so sánh các profile định trước của hoạt động của mỗi giao thức được coi là bình thường với đối tượng quan sát từ đó xác định độ lệch.

Trang 10

2.3 Các phương pháp thu thập, xử lí dữ liệu của IDS

2.3.I Các phương pháp thu thập dữ liệu

Thu thập dữ liệu là một trong bước quan trọng khi thiết kế một hệ

thống phát hiện xâm nhập, nó ảnh hưởng đến toàn bộ quá trình thiết kế, cài đặt và kết quả phát hiện

2.3.1.1 Phương pháp thu thập dữ liệu cho HIDS

2.3.1.2 Phương thức thu thập dữ liệu cho NIDS

2.3.1.3 Phương thức thu thập dữ liệu cho IDS tích hợp với ứng dụng

2.3.2 Tiền xử lí dữ liệu

Tiền xử lý dữ liệu [2] đóng vai trò quan trọng trong phát hiện xâm

nhập, giúp giảm thời gian phân tích, xử lý đữ liệu ở các bước tiếp theo Kỹ

thuật tiền xử lý đữ liệu bao gồm bốn bước chính như sau:

e Làm gọn dữ liệu

e Tích hợp dữ liệu

e Lựa chọn dữ liệu

e Chuyên đổi dữ liệu

2.3.3 Các phương pháp xử lí dữ liệu

Phụ thuộc vào kiểu phương pháp được sử dụng để phát hiện xâm

nhập, các cơ chế xử lý khác nhau (kỹ thuật) cũng được sử dụng cho dữ liệu

đối với một IDS Dưới đây là một số hệ thống được mô tả van tắt:

2.3.3.1 Phương pháp phân tích thống kê

2.3.3.2 Phương thức mạng Neural networks

2.3.3.3 Phân biệt ý định người dùng

2.4 Các kỹ thuật phát hiện xâm nhập

2.4.1 Kỹ thuật phát hiện dựa trên sự lạm dụng

Các nghiên cứu về phát hiện xâm nhập dựa trên phương pháp phát

hiện sự lạm dụng bắt đầu vào năm 1980 với báo cáo của James Anderson

[5] Trong đó hành vi xâm nhập được phát hiện bằng cách so sánh những

Trang 11

hành vi được giám sat với các hành vi tan công mẫu đã biết Do đó phương pháp này chỉ có hiệu quả trong việc phát hiện các dạng tấn công, xâm nhập

đã biết

2.4.1.1 Kỹ thuật đối sánh mẫu (Pattern Matching)

2.4.1.2 Kỹ thuật dựa trên tập luật

2.4.1.3 Kỹ thuật dựa trên trạng thái

2.4.1.4 Kỹ thuật dựa trên khai phá dữ liệu.

2.4.2 Kỹ thuật phát hiện dựa trên sự bat thường

Kỹ thuật phát hiện dựa trên sự bat thuong [2] la dua vao viéc thiét

lập hồ sơ hoạt động bình thường cho hệ thống Phuong pháp này dựa trên giả định các hành vi tấn công, xâm nhập có quan hệ mật thiết với các hành

vi bất thường Các nghiên cứu phát hiện bất thường bắt đầu bằng cách định

nghĩa những hành động như thế nào được coi là bình thường, và sau đó

xác định những hoạt động nao là xâm nhập và phương pháp phân biệt từng

hành động xâm nhập cụ thể.

2.4.2.1 Kỹ thuật phát hiện dựa trên mô hình thống kê mở rộng

2.4.2.2 Kỹ thuật phát hiện dựa trên tập luật

2.4.2.3 Kỹ thuật dựa trên mô hình sinh học

2.4.2.3 Kỹ thuật dựa trên mô hình học tập.

2.4.3 Kỹ thuật phát hiện dựa trên đặc trưng

Phương pháp phát hiện dựa trên đặc trưng [2] không sử dụng phương pháp phát hiện dựa trên sự lạm dụng hoặc dị thường mà sử dụng hệ thống

hành vi đặc trưng dé phat hién cac cudc tan cong Thay vi hoc hanh vi hé thống, trong hệ thống dựa trên đặc trưng kiến thức của các chuyên gia sẽ

xác định các giới hạn hoạt động (ngưỡng) của một hệ thống Khi một

hành vi hệ thống là chuẩn được xác định, các sự kiện sai lệch so với đặc

trưng hệ thống chuẩn sẽ tao ra một cảnh báo

Ngày đăng: 07/04/2024, 12:14

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w