Huỳnh Hoàng Tân MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Phương pháp huấn luyện HMM Phương pháp 1: Sử dụng thuật toán huấn luyện từ nhiều chuỗi quan sát bằng cách sử dụng k chuỗi quan sát tạ
Trang 1BÁO CÁO LUẬN VĂN THẠC SỸ
HỆ THỐNG TƯỜNG LỬA THÔNG MINH CHO CÁC ỨNG DỤNG WEB - IWAF
Trình bày: Huỳnh Hoàng Tân
TRƯỜNG ĐẠI HỌC LẠC HỒNG
Trang 2Trình bày: Huỳnh Hoàng Tân
NỘI DUNG TRÌNH BÀY
GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB
NHẬN DẠNG BẤT THƯỜNG ĐỐI VỚI ỨNG DỤNG WEB
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
DEMO HOẠT ĐỘNG CỦA IWAF
ỨNG DỤNG TỔ HỢP MARKOV ẨN ĐỂ NHẬN DẠNG BẤT THƯỜNG TRONG IWAF
Trang 3Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB
Trang 4Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB
Trang 5Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
IP Firewall
Ports 80 & 443 open to both Good and Malicious HTTP Traffic
Application
Application
Database Server
WAF
Network Firewall
IDS/IPS
Trang 6Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB
Trang 7Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Kỹ thuật nhận dạng tấn công ứng dụng web
Kỹ thuật nhận
dạng tĩnh
(Log-base detection)
Kỹ thuật nhận dạng tấn công dạng động(Real-time detection)
Nhận dạng tấn công trên mạng (Network-based)
Nhận dạng tấn công trên máy chủ (Webserver-based)
Trang 8Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG
chính
Trang 9Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
WAF có thể được xem là một hệ thống phát hiện/ngăn chặn xâm nhập được thiết kế đặc biệt để bảo vệ các ứng dụng web WAF là một thiết bị hoặc máy chủ ứng dụng giam sát trao đổi thông tin của giao thức http/https giữa một trình duyệt máy trạm và máy chủ web ở tầng ứng dụng WAF sử dụng phương pháp nhận dạng động để phát hiện tấn công
Trang 10Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG
Trang 11Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Xác định sai trong chức năng kiểm tra của WAF
False positives là trường hợp một giao dịch HTTP hợp
pháp được xem là độc hại Khi lỗi False positives xảy ra, giao dịch HTTP hợp pháp của người sử dụng có thể bị WAF ngăn chặn
False negatives là trường hợp một giao dịch HTTP độc
hại được coi là hợp pháp Khi lỗi False negatives xảy ra, một cuộc tấn công khai thác lỗ hổng trong các ứng dụng web có thể đi qua WAF
Trang 12Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Phân tích dữ liệu phản hồi
Chức Năng Kiểm Tra Kết Nối
Phân tích dữ liệu truy vấn Kiểm tra việc upload file
Kiểm tra tỉ lệ truy cập và dòng lưu chuyển dữ liệu của ứng dụng
Phân tích dữ liệu xác thực
Phân tích trạng thái phiên làm việc
Nhận dạng tấn công trên một số kỹ thuật tấn công mạng thông dụng
Máy chủ ứng dụng Web
Mô hình Markov ẩn Các mô hình nhận dạng khác
Phương pháp nhận dạng bất thường Anomaly-based
Máy học - Machine learning
Phương pháp nhận dạng bất thường Rule-based
Anomaly-number
Chức Năng Xử Lý
Passing (Cho phép qua) Threshold
Blocking (Khóa kết nối)
Error Processing (Xử lý lỗi)
Rewriting (thay đổi nội dung )
Phản hồi lỗi, khóa kết nối, nội dung
đã bị thay đổi
Ứng dụng web phản hồi thông tin với các truy vấn hợp pháp Thông tin phản hồi sau
khi được kiểm tra
Trang 13Huỳnh Hoàng Tân
NHẬN DẠNG SỰ BẤT THƯỜNG VỚI WEB APP
Nhận dạng sự bất thường theo phương
pháp phân tích dữ liệu đầu vào
Nhận dạng sự bất thường theo phương
pháp phân tích dữ liệu đầu ra
Nhận dạng sự bất thường theo hành vi
duyệt web của người dùng
Bất
Thường
Một yêu cầu đầu vào Dãy yêu cầu đầu vào
Cấu trúc header kích thước trang web thay đổi
Trang 14Huỳnh Hoàng Tân
ỨNG DỤNG TỔ HỢP MARKOV TRONG NHẬN DẠNG BẤT THƯỜNG
Phân tích chuỗi các thuộc tính, giá trị các thuộc
Khai thác
dữ liệu
Phân Tích
Đánh Giá
Trang 15Huỳnh Hoàng Tân
ỨNG DỤNG TỔ HỢP MARKOV TRONG NHẬN DẠNG BẤT THƯỜNG
{action, wpnonce}
Tổ hợp HMM giá trị thuộc tính
action
Tổ hợp HMM giá trị thuộc tính
wpnonce
Tổ hợp HMM giá trị thuộc tính
Trang 16Huỳnh Hoàng Tân
ỨNG DỤNG TỔ HỢP MARKOV TRONG NHẬN DẠNG BẤT THƯỜNG
Huấn luyện nhiều HMM từ nhiều chuỗi dữ liệu quan sát Trong đó các HMM được huấn luyện tương ứng với nhiều chuỗi dữ liệu quan sát
Trang 17Huỳnh Hoàng Tân
ỨNG DỤNG TỔ HỢP MARKOV TRONG NHẬN DẠNG BẤT THƯỜNG
HMM
S1 S2
Sn
S1 S2
Sn
HMM1 HMM2
HMMn
MH1
Trang 18Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
Phương pháp huấn luyện HMM
Phương pháp 1: Sử dụng thuật toán huấn luyện từ nhiều chuỗi quan sát bằng cách sử dụng k chuỗi quan sát tại mỗi thủ tục ước lượng lại của Baum-Welch để lập đi lập lại việc cập nhật các tham số của một HMM
Phương pháp 2: Sử dụng thuật toán huấn luyện cho một tổ hợp các HMM Sử dụng một loạt các kỹ thuật tính trung bình đơn giản các tham số được ước lượng độc lập để tìm ra mô hình hiệu quả với trọng số Wk = 1
Trang 19Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Phương án huấn luyện HMM
HMM
S1 S2
Sn Phương
pháp 2
Trang 20Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Phương án huấn luyện HMM
PA2
Phương
S1 S2
Sn
HMMs.1 HMMs.2
HMMs.n
Trang 21Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Phương án thử nghiệm HMM
Trang 22Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
So sánh chiều dài chuỗi huấn luyện sử dụng Effective và Standard
Trang 23Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
So sánh chiều dài chuỗi huấn luyện sử dụng Effective và Standard
Trang 24Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng số lượng tổ hợp khác nhau phương pháp huấn luyện 1
Trang 25Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng số lượng tổ hợp khác nhau phương pháp huấn luyện 1
Trang 26Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng số lượng tổ hợp khác nhau phương pháp huấn luyện 2
Trang 27Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng số lượng tổ hợp khác nhau phương pháp huấn luyện 1
Trang 28Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng
số lượng tổ hợp khác nhau với 02 phương pháp huấn luyện
Trang 29Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng
số lượng tổ hợp khác nhau với 02 phương pháp huấn luyện
Trang 30Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Xác suất của chuỗi các giá trị thuộc tính thường thấp hơn so với xác suất giá trị các thuộc tính
Trang 31Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Thuật toán Baum-Welch huấn luyện từ nhiều chuỗi quan sát cho kết quả xác suất tốt hơn so với phương pháp sử dụng thuật toán huấn luyện cho một tổ hợp các HMM Sử dụng một loạt các
kỹ thuật tính trung bình đơn giản các tham số được ước lượng độc lập để tìm ra mô hình hiệu
quả với trọng số Wk = 1
Trong quá trình huấn luyện, nếu sử dụng càng nhiều HMM, HMMs trong tổ hợp thì hệ thống càng khó hội tụ và thời gian huấn luyện càng lâu
Đánh giá mô hình tổ hợp HMM
Trang 32Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Mẫu dữ liệu thử nghiệm, các phương án thử nghiệm và phân tích các tấn công
Trang 33Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Mẫu dữ liệu thử nghiệm, các phương án thử nghiệm và phân tích các tấn công
Trường hợp 1: với mô hình HMM được huấn luyện bằng
phương pháp 1, chiều dài chuỗi là Effective, số lượng HMM
trong tổ hợp tăng từ 1, 2, 3, 5, 7, 9
Cách 1: đối với một truy vấn chỉ có một giá trị xác suất làm đại diện được lấy từ xác xuất nhỏ nhất của chuỗi thuộc tính và các giá trị thuộc tính đầu vào
Cách 2: đối với một truy vấn chỉ có 02 giá trị xác suất làm đại diện được lấy từ xác xuất nhỏ nhất của các giá trị thuộc tính và xác suất chuỗi thuộc tính đầu vào
TH1
Trang 34Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Trường hợp 1, cách 1
Trang 35Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Trường hợp 1, cách 2
Trang 36Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Trường hợp 1, cách 2
Trang 37Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Mẫu dữ liệu thử nghiệm, các phương án thử nghiệm và phân tích các tấn công
Trường hợp 2: với mô hình HMM được huấn luyện bằng
phương pháp 2, chiều dài chuỗi là Effective, số lượng HMM
trong tổ hợp tăng từ 1, 2, 3, 5, 7, 9
Cách 1: đối với một truy vấn chỉ có một giá trị xác suất làm đại diện được lấy từ xác xuất nhỏ nhất của chuỗi thuộc tính và các giá trị thuộc tính đầu vào
Cách 2: đối với một truy vấn chỉ có 02 giá trị xác suất làm đại diện được lấy từ xác xuất nhỏ nhất của các giá trị thuộc tính và xác suất chuỗi thuộc tính đầu vào
TH2
Trang 38Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Trường hợp 2
Cách 1
Trang 39Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Trường hợp 2,
cách 2
Trang 40Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Đánh giá khả năng phát hiện các truy vấn tấn công
Các tấn công dạng SQL Injection, XSS, thêm các thuộc tính mới, chèn các ký tự đặc biệt vào giá trị thuộc tính đều bị các mô hình phát hiện đầy đủ
Thuật toán Baum-Welch huấn luyện từ nhiều chuỗi quan sát cho kết quả nhận dạng tấn công tốt hơn so với phương pháp sử dụng thuật toán huấn luyện cho một tổ hợp các HMM Sử dụng một loạt các kỹ thuật tính trung bình đơn giản các tham số được ước lượng độc lập để tìm ra
mô hình hiệu quả với trọng số Wk = 1
Trang 41Huỳnh Hoàng Tân
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
Đánh giá khả năng phát hiện các truy vấn tấn công
Các nhận dạng sai chủ yếu liên quan đến việc phân bố các thuộc tính của truy vấn như giảm bớt thuộc tính, trùng thuộc tính, sai vị trí thuộc tính
Đối với một truy vấn nếu chọn 02 giá trị xác suất làm đại diện 01 được lấy từ xác xuất nhỏ nhất của các giá trị thuộc tính và 01 xác suất chuỗi thuộc tính đầu vào sẽ tăng hiệu quả nhận dạng rất nhiều, rõ ràng so với việc chỉ chọn 01 giá trị xác suất nhỏ nhất làm đại diện cho một truy vấn
Trang 42Huỳnh Hoàng Tân
HƯỚNG PHÁT TRIỂN TIẾP THEO CỦA IWAF
4
• Bổ sung thêm các thuật toán nhận dạng thông minh bằng phương pháp Anomaly-based dựa trên nền
tảng máy học
Trang 43Huỳnh Hoàng Tân
