LỜI CẢM ƠN ———————— Để thực hiện được luận văn này, tôi đã nhận được rất nhiều sự hướng dẫn, giúp đỡ và góp ý quý báu từ quý thầy cô, bạn bè và đồng nghiệp. Trước hết, tôi xin gửi lời cảm ơn chân thành đến thầy TS. Đàm Quang Hồng Hải đã định hướng và tận tình hướng dẫn giúp đỡ tôi hoàn thành luận văn này. Tôi xin chân thành cảm ơn anh Hồng Đình Châu, anh Nguyễn Quốc Vạn, anh Đinh Nam Long và Trung tâm điện toán truyền số liệu khu vực 2 đã tạo điều kiện cho tôi được sử dụng hệ thống máy chủ và những dữ liệu thực tế quý báu đóng góp vào quá trình phân tích hình thành nghiên cứu của tôi. Nhân đây, tôi xin tỏ lòng biết ơn sâu sắc tới quý thầy cô Học viện Công nghệ Bưu chính Viễn thông đã truyền cho tôi những kiến thức quý báu trong những năm học vừa qua. Đồng thời, tôi xin cảm ơn các bạn học viên lớp CH10CNT02, xin cám ơn gia đình, bạn bè đã ủng hộ, góp ý và giúp đỡ tôi trong quá trình thực hiện đề tài nghiên cứu của mình. Mặc dù đã cố gắng hoàn thành luận văn với tất cả sự nỗ lực nhưng do hạn chế về thời gian, chắc chắn luận văn vẫn còn những thiếu sót, rất mong nhận được những đóng góp quý báu của thầy cô và các bạn. TP. Hồ Chí Minh, tháng 6 năm 2012 Người thực hiện Đinh Như Khoa i MỤC LỤC ĐỀ MỤC TRANG DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT iii DANH MỤC CÁC BẢNG iv DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ v MỞ ĐẦU 1 Chương 1 3 TỔNG QUAN 3 1.1Lịch sử hệ thống phát hiện xâm nhập 3 1.2Các vấn đề giải quyết trong luận văn 7 1.3Các phương pháp nghiên cứu của luận văn 7 1.4Những đóng góp chính của luận văn 8 1.5Bố cục của luận văn 8 1.6Kết luận 9 2.1Hệ thống phát hiện xâm nhập 10 2.1.1Phân loại hệ thống phát hiện xâm nhập 10 2.1.2Mô hình và các kỹ thuật triển khai IDS 18 2.1.3Chính sách IDS 22 2.2Công cụ phát hiện xâm nhập mã nguồn mở OSSEC 23 HỆ QUẢN LÝ LUẬT TÍCH HỢP VỚI MÃ NGUỒN MỞ OSSEC VÀ CHỨC NĂNG PHÁT HIỆN TẤN CÔNG DDoS 35 3.1Hệ quản lý luật cho OSSEC 35 3.1.1Cơ sở lý luận và thực tiễn 35 3.1.2Cách tiếp cận vấn đề 37 3.1.3Thiết kế cơ sở dữ liệu 38 3.1.4Các chức năng chính của hệ quản lý luật 39 3.1.5Giao diện của hệ quản lý luật 40 ii 3.2Chức năng phát hiện tấn công DDoS 42 3.2.1 Phân loại tấn công DDoS 42 43 3.2.1.1Tấn công làm cạn kiệt băng thông 43 3.2.1.2Tấn công làm cạn kiệt tài nguyên 45 3.2.2 Cơ sở lý luận và thực tiễn 47 3.2.3 Các thuật toán áp dụng cho chức năng phát hiện tấn công DDoS 50 3.2.4 Hiện thực các chức năng phát hiện DDoS 54 ĐÁNH GIÁ KẾT QUẢ ĐẠT ĐƯỢC 59 4.1Chức năng hỗ trợ giám sát hệ thống 59 60 4.2Chức năng hỗ trợ phát hiện tấn công DDoS 62 4.2.1 Quản lý cấu hình thông số IAD 62 63 4.2.2 Bảng danh sách địa chỉ truy cập mới nhất 63 64 4.2.3 Biểu đồ kết quả phân tích phát hiện tấn công DDoS 64 65 65 KẾT LUẬN 66 KIẾN NGHỊ CÁC HƯỚNG NGHIÊN CỨU 66 TIẾP THEO 66 TÀI LIỆU THAM KHẢO 67 iii DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT IDS Hệ thống phát hiện xâm nhập HIDS Hệ thống phát hiện xâm nhập dựa trên máy chủ NIDS Hệ thống phát hiện xâm nhập dựa trên mạng máy tính Log Nhật ký truy nhập File Tập tin Registry Bản đăng ký hệ thống Rootkit Chương trình có khả năng chiếm quyền kiểm soát hệ thống Signatures Dấu hiệu Pattern Mẫu thử TCP Giao thức điều khiển truyền vận UDP Giao thức gửi gói tin cho người dùng Blowfish Thuật toán mã hóa sử dụng khóa đối xứng URL Universal Resource Locator IAD Cơ sở dữ liệu lưu trữ địa chỉ IP iv DANH MỤC CÁC BẢNG Bảng 2.1: Bảng phân tích so sánh giữa HIDS và NIDS 17 Bảng 2.2: Các tập tin định nghĩa luật trong OSSEC 33 v DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ Hình 1.1: Các dòng sản phẩm IDS của Cisco 4 Hình 1.2: Các dòng sản phẩm IDS của ISS 4 Hình 1.3: Các dòng sản phẩm IDS của Symatec 4 Hình 1.4: Các dòng sản phẩm IDS của Enterasys 5 Hình 2.1: Một số vị trí đặt IDS trong hệ thống mạng 19 Hình 2.2: Mô hình triển khai Host-based IDS 20 Hình 2.3: Mô hình triển khai Network-based IDS 21 Hình 2.4: Các thành phần hoạt động của OSSEC 25 Hình 2.5: Sơ đồ quá trình xử lý luật trong OSSEC 27 Hình 3.1: Giao diện người dùng OSSEC 36 Hình 3.2: Mô hình triển khai OSSEC 37 Hình 3.3: Cấu trúc cơ sở dữ liệu của hệ quản lý luật 38 Hình 3.4 : Danh sách luật của hệ thống 41 Hình 3.5: Giao diện chỉnh sửa, thêm mới luật 42 Hình 3.6: Phân loại các kiểu tấn công DDOS 43 Hình 3.7: Tiến trình lưu địa chỉ vào cơ sở dữ liệu 55 Hình 3.8: Tiến trình xóa địa chỉ hết hạn khỏi cơ sở dữ liệu 56 Hình 3.9: Quá trình phân tích tấn công DDOS 58 Hình 4.1: Giao diện bảng thông tin chính của hệ thống quản lý luật 60 Hình 4.2: Bảng thống kê các sự kiện 61 Hình 4.3: Danh sách các agent của hệ thống 61 Hình 4.4: Cấu hình thông số IAD 63 Hình 4.5: Bảng thông tin các IP truy cập hệ thống 64 Hình 4.6: Bảng thống kê các IP truy cập hệ thống lúc bình thường 65 Hình 4.7: Bảng thống kê các IP truy cập lúc bị tấn công 65 MỞ ĐẦU Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet ra đời được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông. Internet đã và đang thay đổi mọi quan điểm về học tập, kinh doanh và đưa chúng ta đến với thời đại mới - thời đại công nghệ số. Internet trở thành một môi trường kinh doanh xoá đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử nhận loại, cùng với nó là sự phát triển như vũ bão của mạng toàn cầu tại Việt Nam. Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại mà chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn. Hàng ngày chúng ta được nghe rất nhiều thông tin về các cuộc tấn công vào các hệ thống thông tin quan trọng với những thiệt hại rất lớn về tài chính, thông tin riêng tư của các cá nhân và các tổ chức. Mục tiêu của các cuộc tấn công mạng thì rất đa dạng, từ những vấn đề cá nhân, những mục đích xấu trong kinh doanh cho đến mục tiêu chính trị với tầm ảnh hưởng trên nhiều quốc gia. Tội phạm an ninh mạng ngày càng phát triển cả về số lượng, quy mô và mức độ nguy hiểm. Do vậy vấn đề bảo mật, an ninh mạng luôn luôn được bất cứ cá nhân, công ty hay tổ chức đặt lên hàng đầu. Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn và khó khăn hơn bao giờ hết trong môi trường doanh nghiệp. Hacker và những kẻ xâm nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và dịch vụ web. Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ tầng mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức mã hóa, và các mạng riêng ảo,… Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng. Các phương thức phát hiện xâm nhập xuất hiện vài năm gần đây. Với các phương pháp này người quản trị có thể thu thập và sử dụng thông tin từ các dạng tấn công chưa 2 được biết hoặc phát hiện cuộc tấn công đang diễn ra. Những thông tin thu thập được sẽ giúp người quản trị gia cố an ninh mạng, đưa ra các chính sách an toàn cho hệ thống nhằm giảm thiểu những tấn công bất hợp pháp. Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việc cung cấp cho người quản trị một sự hiểu biết về những gì đang thực sự xảy ra trong mạng. Các hệ thống IDS được chia thành các loại sau: Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để phát hiện xâm nhập. Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập. Với mục tiêu tìm hiểu và xây dựng hệ quản lý luật nhằm phát hiện và ngăn chặn tấn công các máy chủ đặt tại Trung tâm điện toán truyền số liệu khu vực 2 (VDC2), tác giả chọn đề tài “Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ phát hiện tấn công mạng cho mã nguồn mở OSSEC” cho luận văn tốt nghiệp của mình. 3 Chương 1 TỔNG QUAN Trong chương này luận văn giới thiệu tổng quan về hệ thống phát hiện xâm nhập và hệ thống mã nguồn mở OSSEC. Đồng thời luận văn cũng trình bày các phương pháp nghiên cứu và những đóng góp chính của luận văn. Bố cục của luận văn cũng được giới thiệu cho người đọc cái nhìn khái quát trước khi đi vào chi tiết. 1.1 Lịch sử hệ thống phát hiện xâm nhập Quá trình ra đời hệ thống phát hiện xâm nhập gắn liền với sự bùng nổ internet và các mạng doanh nghiệp.Việc đảm bảo môi trường doanh nghiệp về an toàn thông tin trở nên cấp bách hơn bao giờ hết, đặc biệt trước các cuộc tấn công của hacker-những kẻ xâm nhập. Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu bất thường và không hợp pháp. Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó. Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là một người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát. Ý tưởng về phát hiện xâm nhập được James Anderson nêu ra lần đầu tiên vào năm 1980. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Vài năm sau đó, 4 Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS là Wheel Group. Thị trường IDS bùng nổ mạnh từ sau năm 2000, sau đó tiếp tục phát triển đến ngày nay. Một số nhà cung cấp sản phẩm IDS hiện nay là Cisco cung cấp các dòng sản IDS 4210, 4230 và tích hợp trong Switch Catalyst 6000. HID (Host Intrusion Detection )sử dụng công nghệ Entercept trong Standard Edition, WEB Edition Hình 1.1: Các dòng sản phẩm IDS của Cisco Internet Security Systems (ISS) cung cấp cả NID và HID trong đó có NID với công nghệ Gigabit Hình 1.2: Các dòng sản phẩm IDS của ISS Symantec bao gồm các sản phẩm ITA và NetPower Hình 1.3: Các dòng sản phẩm IDS của Symantec [...]... các lý do 9 cần phải hoàn thiện để tận dụng các thế mạnh của OSSEC trong việc phát hiện xâm nhập • Chương 3: Hệ thống quản lý luật tích hợp với mã nguồn mở OSSEC và chức năng phát hiện tấn công DDoS Đây là chương quan trọng nhất của luận văn Trong chương này luận văn trình bày cơ sở lý luận và thực tiễn là tiền đề cho việc phát triển hệ thống quản lý luật nhằm mang lại công cụ quản trị thuận tiện cho. .. sâu vào chi tiết 10 Chương 2 HỆ THỐNG PHÁT HIỆN XÂM NHẬP MÃ NGUỒN MỞ OSSEC Trong chương này luận văn giới thiệu rõ hơn về hệ thống phát hiện xâm nhập Bên cạnh đó cũng giới thiệu chi tiết công cụ phát hiện xâm nhập bằng phần mềm mã nguồn mở OSSEC, qua đó cũng phân tích các lý do cần phải hoàn thiện để tận dụng các thế mạnh của OSSEC trong việc phát hiện xâm nhập 2.1 Hệ thống phát hiện xâm nhập Hệ thống... một cách tự động nhằm cảnh báo sớm cho người quản trị bằng cách nghiên cứu các giải thuật phát hiện tấn công DDoS, cải tiến các giải thuật để tối ưu nhằm tăng tỉ lệ phát hiện tấn công và giảm tỉ lệ cảnh báo giả Từ những lý do trên, mục tiêu chính của luận văn là xây dựng được hệ thống quản trị các luật và tích hợp với hệ thống OSSEC giúp người dùng theo dõi và quản lý chính xác hơn Bên cạnh đó luận... OSSEC 7 1.2 Các vấn đề giải quyết trong luận văn Vấn đề đầu tiên là tạo được công cụ quản trị một cách trực quan bằng cách xây dựng một hệ thống quản lý có giao diện thân thiện, dễ sử dụng với những chức năng cho phép tích hợp với hệ thống OSSEC Hệ thống cho phép hiển thị các cảnh báo dạng biểu đồ để người quản trị dễ giám sát hệ thống Vấn đề thứ hai là xây dựng công cụ phát hiện và cảnh báo tấn công. .. các phương pháp nghiên cứu và những đóng góp chính của luận văn Bố cục của luận văn cũng được giới thiệu cho người đọc cái nhìn khái quát trước khi đi vào chi tiết • Chương 2: Nghiên cứu công cụ phát hiện xâm nhập mã nguồn mở OSSEC Chương hai luận văn giới thiệu rõ hơn về hệ thống phát hiện xâm nhập Bên cạnh đó cũng giới thiệu chi tiết công cụ phát hiện xâm nhập bằng phần mềm mã nguồn mở OSSEC, qua đó... var /ossec/ bin: Lưu trữ các file thực thi của OSSEC / var /ossec/ etc: Lưu trữ các file cấu hình / var /ossec/ logs: Lưu trữ log của toàn bộ hệ thống OSSEC / var /ossec/ queue: Lưu trữ hàng đợi cho phân tích và xử lý của OSSEC / var /ossec/ rules: Lưu trữ các rule của OSSEC / var /ossec/ stats: Lưu trữ các lịch sử trạng thái của OSSEC 24 / var /ossec/ tmp: Lưu trữ xử lý tạm thời của hệ thống Để xây dựng hệ thống OSSEC, ... hơn 23 2.2 Công cụ phát hiện xâm nhập mã nguồn mở OSSEC 2.2.1 Giới thiệu về OSSEC OSSEC là ứng dụng Host-based IDS mã nguồn mở miễn phí và cho phép phát triển các tính năng Là công cụ với nhiều khả năng mạnh như : phân tích log, kiểm tra tính toàn vẹn của tập tin, giám sát registry của Windows, phát hiện rootkit, cảnh báo thời gian thực, và phản ứng tích cực OSSEC chạy trên hầu hết các hệ điều hành,... trình nghiên cứu của tác giả • Kiến nghị các hướng nghiên cứu tiếp theo Phần này đề xuất cho những nghiên cứu tiếp theo để hoàn thiện phần mềm quản lý luật và phát hiện tấn công từ chối dịch vụ phân tán 1.6 Kết luận Luận văn đã giới thiệu tổng quan về phát hiện xâm nhập và các vấn đề luận văn cần quan tâm Chương này trình bày các phương pháp thực hiện của luận văn Bố cục luận văn cũng được giới thiệu cho. .. thuật firewall với hệ thống phát hiện xâm nhập IDS có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó Nghĩa là, IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn hoặc cản trở các cuộc tấn công đó Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng... phát hiện tấn công từ chối dịch vụ phân tán một cách nhanh chóng để người quản trị sớm có những quyết định chống lại các tấn công nguy hiểm này 1.3 Các phương pháp nghiên cứu của luận văn Luận văn nghiên cứu các phương pháp phát hiện tấn công từ chối dịch vụ phân tán của các tác giả trước đó Ứng dụng những phương pháp phù hợp nhất cho hệ thống của mình, đề xuất các cải tiến trong quá trình nghiên cứu . hiện xâm nhập mã nguồn mở OSSEC 23 HỆ QUẢN LÝ LUẬT TÍCH HỢP VỚI MÃ NGUỒN MỞ OSSEC VÀ CHỨC NĂNG PHÁT HIỆN TẤN CÔNG DDoS 35 3. 1Hệ quản lý luật cho OSSEC 35 3.1.1Cơ sở lý luận và thực tiễn 35 3.1.2Cách. hiểu và xây dựng hệ quản lý luật nhằm phát hiện và ngăn chặn tấn công các máy chủ đặt tại Trung tâm điện toán truyền số liệu khu vực 2 (VDC2), tác giả chọn đề tài Nghiên cứu và xây dựng hệ quản. quản lý luật hỗ trợ phát hiện tấn công mạng cho mã nguồn mở OSSEC cho luận văn tốt nghiệp của mình. 3 Chương 1 TỔNG QUAN Trong chương này luận văn giới thiệu tổng quan về hệ thống phát hiện