Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ phát hiện tấn công mạng cho mã nguồn mở OSSEC

35 768 3
Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ phát hiện tấn công mạng cho mã nguồn mở OSSEC

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

i MỤC LỤC LỜI CẢM ƠN ĐỀ MỤC ———————— TRANG Để thực luận văn này, nhận nhiều hướng dẫn, giúp đỡ góp ý quý báu từ quý thầy cô, bạn bè đồng nghiệp Trước hết, xin gửi lời cảm ơn chân thành đến thầy TS Đàm Quang Hồng Hải định hướng tận tình hướng dẫn giúp đỡ hoàn thành luận văn DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT iv DANH MỤC CÁC BẢNG v DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ vi Tôi xin chân thành cảm ơn anh Hồng Đình Châu, anh Nguyễn Quốc Vạn, MỞ ĐẦU anh Đinh Nam Long Trung tâm điện toán truyền số liệu khu vực tạo điều Chương .3 kiện cho sử dụng hệ thống máy chủ liệu quý báu đóng góp TỔNG QUAN .3 vào trình phân tích hình thành nghiên cứu 1.1 Lịch sử hệ thống phát xâm nhập Nhân đây, xin tỏ lòng biết ơn sâu sắc tới quý thầy cô Học viện Công nghệ 1.2 Các vấn đề cần giải luận văn .6 Bưu Viễn thông truyền cho kiến thức quý báu năm 1.3 Các phương pháp nghiên cứu luận văn học vừa qua 1.4 Những đóng góp luận văn Đồng thời, xin cảm ơn bạn học viên lớp CH10CNT02, xin cám ơn gia 1.5 Bố cục luận văn đình, bạn bè ủng hộ, góp ý giúp đỡ trình thực đề tài nghiên 1.6 Kết luận chương 10 cứu Chương 11 Mặc dù cố gắng hoàn thành luận văn với tất nỗ lực hạn NGHIÊN CỨU CÔNG CỤ PHÁT HIỆN XÂM NHẬP MÃ NGUỒN MỞ chế thời gian, chắn luận văn thiếu sót, mong nhận OSSEC 11 đóng góp quý báu thầy cô bạn 2.1 Hệ thống phát xâm nhập 11 2.1.1 Phân loại hệ thống phát xâm nhập 11 TP Hồ Chí Minh, tháng năm 2015 2.1.1.1 Một số định nghĩa 11 Người thực 2.1.1.2 Phân loại IDS 14 Đinh Như Khoa 2.1.1.2 So sánh HIDS và NIDS 16 2.1.2 Mô hình kỹ thuật triển khai IDS 20 2.1.2.1 Triển khai Host-based IDS 21 2.1.2.2 Triển khai Netwo rk-based IDS 22 2.1.3 Chính sách IDS 23 2.2 Công cụ phát xâm nhập mã nguồn mở ossec 24 ii iii 2.2.1 Giới thiệu OSSEC 24 THỰC NGHIỆM Error! Bookmark not defined 2.2.2 Các thành phần OSSEC 24 4.1 Giao diện chức quản lý địa truy cập 59 2.2.3 Các luật OSSEC 26 4.1.1 Quản lý cấu hình thông số IAD 59 2.2.4 Kiểm tra tính toàn vẹn hệ thống phát rootkit 32 4.1.2 Bảng danh sách địa truy cập 60 2.2.5 Phản ứng chủ động OSSEC 32 4.2 Biểu đồ kết phân tích phát công DDOS 61 2.2.5.1 Cấu hình dòng lệnh 33 2.2.5.2 Cấu hình phản ứng 34 Chương 36 PHẦN MỀM QUẢN LÝ LUẬT VÀ CHỨC NĂNG PHÁT HIỆN TẤN CÔNG DDOS DỰA TRÊN MÃ NGUỒN MỞ OSSEC 36 3.1 Phần mềm quản lý luật dựa ossec 36 3.1.1 Cơ sở lý luận thực tiễn 36 3.1.2 Cách tiếp cận vấn đề 38 3.1.3 Thiết kế sở liệu 38 3.1.4 Mô hình chức hoạt động 40 3.1.5 Giao diện chương trình quản lý 41 3.2 Chức phát công ddos 44 3.2.1 Cơ sở lý luận thực tiễn 44 3.2.1.1 Các yêu cầu môt hệ thống phát DDos 44 3.2.1.2 Phân tích phát công DDos 45 3.2.1.3 Một số thuật toán phát DDos 45 3.2.2 Các thuật toán áp dụng cho chức phát công DDOS 50 3.2.2.1 Cơ chế kiểm tra địa nguồn 50 3.2.2.2 Kỹ thuật phát công DDOS theo thuật toán CUSUM 52 3.2.3 Hiện thực cá chức chương trình 53 3.2.3.1 Quản lý địa truy cập 53 3.2.3.2 Phân tích công, cảnh báo ngăn chặn địa công 57 Chương 59 TÀI LIỆU THAM KHẢO 62 iv v DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT IDS HIDS Hệ thống phát xâm nhập Hệ thống phát xâm nhập dựa máy chủ NIDS Hệ thống phát xâm nhập dựa mạng máy tính Log Nhật ký truy nhập File Tập tin Registry Bản đăng ký hệ thống Rootkit Chương trình có khả chiếm quyền kiểm soát hệ thống Signatures Dấu hiệu Pattern Mẫu thử TCP Giao thức điều khiển truyền vận UDP Giao thức gửi gói tin cho người dùng Blowfish Thuật toán mã hóa sử dụng khóa đối xứng URL Universal Resource Locator IAD Cơ sở liệu lưu trữ địa IP DANH MỤC CÁC BẢNG Bảng 2.1: Bảng phân tích so sánh HIDS NIDS 17 vi MỞ ĐẦU DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ Cùng với tiến trình phát triển chung kinh tế toàn cầu, Internet đời Hình 1.1: Các dòng sản phẩm IDS Cisco ví cách mạng giới kinh doanh truyền thông Hình 1.2: Các dòng sản phẩm IDS ISS Internet thay đổi quan điểm học tập, kinh doanh đưa Hình 1.3: Các dòng sản phẩm IDS Symatec .9 đến với thời đại - thời đại công nghệ số Internet trở thành môi trường kinh Hình 1.4: Các dòng sản phẩm IDS Enterasys 10 doanh xoá ranh giới quốc gia tạo thị trường lớn lịch sử Hình 2.2: Một số vị trí đặt IDS hệ thống mạng 17 nhận loại, với phát triển vũ bão mạng toàn cầu Việt Nam Bên cạnh thành tựu to lớn mạng Internet mang lại cho nhân loại mà đạt được, nỗi lo an toàn thông tin ngày quan tâm Hàng ngày nghe nhiều thông tin công vào hệ thống thông tin quan trọng với thiệt hại lớn tài chính, thông tin riêng tư cá nhân tổ chức Mục tiêu công mạng đa dạng, từ vấn đề cá nhân, mục đích xấu kinh doanh mục tiêu trị với tầm ảnh hưởng nhiều quốc gia Tội phạm an ninh mạng ngày phát triển số lượng, quy mô mức độ nguy hiểm Do vấn đề bảo mật, an ninh mạng luôn cá nhân, công ty hay tổ chức đặt lên hàng đầu Với khả kết nối nhiều máy tính mạng, bảo mật trở thành vấn đề lớn khó khăn hết môi trường doanh nghiệp Hacker kẻ xâm nhập dễ dàng đạt nhiều mục đích việc phá hủy hệ thống mạng dịch vụ web Rất nhiều hãng có uy tín bảo mật có nhiều giải pháp để hạn chế công mạng phương thức triển khai nỗ lực bảo vệ hạ tầng mạng truyền thông qua mạng internet bao gồm firewall, phương thức mã hóa, mạng riêng ảo,… Phát xâm nhập kỹ thuật liên quan áp dụng Các phương thức phát xâm nhập xuất vài năm gần Với phương pháp người quản trị thu thập sử dụng thông tin từ dạng công chưa biết phát công diễn Những thông tin thu thập giúp người quản trị gia cố an ninh mạng, đưa sách an toàn cho hệ thống Chương nhằm giảm thiểu công bất hợp pháp TỔNG QUAN Hệ thống phát xâm nhập IDS (Intrusion Detection System) sử dụng để tạo bảo mật gói vào mạng IDS thường sử dụng Trong chương luận văn giới thiệu tổng quan hệ thống phát xâm để phát gói mạng việc cung cấp cho người quản trị hiểu biết nhập ứng dụng mã nguồn mở OSSEC Đồng thời luận văn trình bày thực xảy mạng Các hệ thống IDS chia thành các phương pháp nghiên cứu đóng góp luận văn Bố cục loại sau: luận văn giới thiệu cho người đọc nhìn khái quát trước Host-based IDS (HIDS): Sử dụng liệu kiểm tra từ máy trạm đơn để vào chi tiết phát xâm nhập Network-based IDS (NIDS): Sử dụng liệu toàn lưu thông mạng, với liệu kiểm tra từ một vài máy trạm để phát xâm nhập 1.1 Lịch sử hệ thống phát xâm nhập Quá trình đời hệ thống phát xâm nhập gắn liền với bùng nổ Với mục tiêu tìm hiểu xây dựng hệ quản lý luật nhằm phát ngăn internet mạng doanh nghiệp.Việc đảm bảo môi trường doanh nghiệp an chặn công máy chủ đặt Trung tâm điện toán truyền số liệu khu vực toàn thông tin trở nên cấp bách hết, đặc biệt trước công (VDC2), tác giả chọn đề tài “Nghiên cứu xây dựng hệ quản lý luật hỗ trợ hacker-những kẻ xâm nhập phát công mạng cho mã nguồn mở OSSEC” cho luận văn tốt nghiệp Phát xâm nhập tiến trình theo dõi kiện xảy hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm dấu hiệu bất thường không hợp pháp Xâm nhập bất hợp pháp định nghĩa cố gắng tìm cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính tin cậy cố gắng vượt qua chế bảo mật hệ thống máy tính hay mạng Việc xâm nhập xuất phát từ kẻ công mạng Internet nhằm giành quyền truy cập hệ thống, người dùng phép hệ thống muốn chiếm đoạt quyền khác mà họ chưa cấp phát Ý tưởng phát xâm nhập James Anderson nêu lần vào năm 1980 Khi người ta cần IDS với mục đích dò tìm nghiên cứu hành vi bất thường thái độ người sử dụng mạng, phát việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS xuất phòng thí nghiệm viện nghiên cứu Vài năm sau đó, Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS Wheel Group Thị trường IDS bùng nổ mạnh từ sau năm 2000, sau tiếp tục phát triển đến ngày Một số nhà cung cấp sản phẩm IDS Cisco cung cấp dòng sản IDS 4210, 4230 tích hợp Switch Catalyst 6000 HID (Host Intrusion Detection )sử dụng công nghệ Entercept Standard Edition, WEB Edition Hình 1.4 Các dòng sản phẩm IDS Enterasys Tại Việt Nam có nhiều giải pháp bảo mật sử dụng IDS, nhiên hầu hết giải pháp sử dụng sản phẩm appliance sản phẩm phần cứng tích hợp IDS, phổ biến dòng sản phẩm CISCO Đối với hệ thống ngân hàng lớn, thường sử dụng dòng sản phẩm ISS Proventia, IDS xếp loại cao số sản phẩm IDS phần cứng Tuy nhiên đối Hình 1.1 Các dòng sản phẩm IDS Cisco với tổ chức có mô hình mạng nhỏ giải pháp thực kinh tế, chi phí cho sản phẩm cao Bên cạnh dòng IDS dùng phần cứng, có nhiều IDS dùng Internet Security Systems (ISS) cung cấp NID HID có NID với công nghệ Gigabit phần mềm Theo Insecure.org ( http://sectools.org/tag/ids/) OSSEC số hệ thống phát xâm nhập phần mềm có khả mạnh nhà cung cấp dịch vụ Internet hay trung tâm liệu sử dụng OSSEC sản phẩm IDS mã nguồn mở hãng bảo mật TREND Micro mua lại, hoạt động dựa tập luật định nghĩa với 15 mức độ ưu tiên khác nhau, phân tích nhật ký truy nhập (log), tính toàn vẹn tập tin (file) Bản đăng ký hệ thống Hình 1.2 Các dòng sản phẩm IDS ISS Symantec bao gồm sản phẩm ITA NetPower (registry) để theo dõi, thực thi sách, phát rootkit nhằm cảnh báo phản ứng tích cực Thực tế năm gần có xu hướng sử dụng sản phẩm IDS phần mềm thay cho giải pháp phần cứng, điển hình sản phẩm mã nguồn mở OSSEC Bởi vì, có hai yêu cầu triển khai IDS chi phí với khả đáp ứng linh họat trước phát triển nhanh chóng công Hình 1.3 Các dòng sản phẩm IDS Symantec Enterasys với Dragon NID Squire HID system nghệ thông tin OSSEC đáp ứng tốt hai yêu cầu Ngòai OSSEC sản phẩm mã nguồn mở có cộng đồng phát triển đông đảo quản lí chặt chẽ có dạng xâm nhập phát nhà phát triển cảnh báo cập nhật luật cách nhanh chóng doanh nghiệp thay đổi mã nguồn cho phù hợp với yêu Vấn đề thứ hai xây dựng công cụ phát cảnh báo công DDOS cầu Vì OSSEC phần mềm IDS mạnh mẽ dùng nhiều cách tự động nhằm cảnh báo sớm cho người quản trị cách nghiên cứu giới vấn đề phát xâm nhập giải thuật phát công DDOS, cải tiến giải thuật để tối ưu nhằm tăng tỉ lệ Một hướng phát triển xa bảo mật mạng phát triển IDS phát công giảm tỉ lệ cảnh báo giả thành IPS (Intrusion Prevention System) kỹ thuật an ninh mới, kết hợp Từ lý trên, mục tiêu luận văn xây dựng hệ thống ưu điểm kỹ thuật firewall với hệ thống phát xâm nhập IDS có khả ứng dụng quản trị luật tích hợp với hệ thống OSSEC giúp người dùng theo phát xâm nhập, công tự động ngăn chặn công dõi hệ thống nhanh xác Bên cạnh luận văn tìm hiểu số phương pháp để phát công từ chối dịch vụ phân tán cách nhanh chóng Nghĩa là, IPS không đơn giản dò công, chúng có khả ngăn chặn cản trở công Chúng cho phép tổ chức ưu tiên, thực bước để ngăn chặn lại xâm nhập Phần lớn hệ thống IPS đặt vành đai mạng, đủ khả bảo vệ tất thiết bị mạng Công cụ mã nguồn mở OSSEC xây dựng phất triển lâu, mục đích gọn nhẹ hiệu quả, bên cạnh chủ yếu phục vụ cho người quản trị có am để người quản trị sớm có định chống lại công nguy hiểm 1.3 Các phương pháp nghiên cứu luận văn Luận văn nghiên cứu phương pháp phát công từ chối dịch vụ phân tán tác giả trước Ứng dụng phương pháp phù hợp cho hệ thống mình, đề xuất cải tiến trình nghiên cứu Một số phương pháp luận văn sử dụng bao gồm: hiểu hệ thống cao Các giao diện cho người dùng khó dùng thể hiệ n  Phương pháp theo dõi địa nguồn : Lữu trữ địa truy cập để lịch sử truy nhập dạng thô, để cấu hình luật hay chỉnh sửa phải phân tích phân loại nhằm định xem địa truy cập có phải địa dùng lệnh dài để cấu hình hệ điều hành Linux chỉnh sửa tập tin hợp lệ hay không XML định nghĩa sẵn Những khó khăn làm cho hệ thống bớt hiệu người quản trị phải xem lịch sử truy cập phải tự phân tích nhiều, việc chỉnh sửa hay thêm bớt luật không thuận tiện làm cho người quản trị cảm thấy không thoải mái Chính vậy, vấn đề cần thiết việc xây dựng ứng dụng quản lý luật OSSEC cách trực quan giúp cho người quản trị nhiều trình khai thác điểm mạnh OSSEC 1.2 Các vấn đề cần giải luận văn Vấn đề tạo công cụ quản trị cách trực quan cách xây dựng chương trình có giao diện thân thiện, dễ sử dụng với chức cho phép cập nhật tương tác tích hợp với hệ thống OSSEC Hệ thống cho phép Phải hiển thị cảnh báo dạng biểu đồ để người quản trị dễ giám sát hệ thống  Phương pháp CUSUM (phương pháp tổng tích lũy) : Xây dựng ngưỡng giới hạn để xác định công phần mềm mã nguồn mở OSSEC, qua phân tích lý 1.4 Những đóng góp luận văn cần phải hoàn thiện để tận dụng mạnh OSSEC việc Luận văn tìm hiểu xây dựng hệ thống quản trị luật tích hợp phát xâm nhập với hệ thống OSSEC ứng dụng giúp người dùng tương tác với hệ thống OSSEC dễ dàng hơn, cho phép cập nhật, chỉnh sửa luật, theo dõi lịch sử truy cập hệ thống trực quan dạng biểu đồ Luận văn tìm hiểu phương pháp nghiên cứu trước Chọn lọc  Chương 3: Hệ thống Phần mềm quản lý luật chức phát công DDOS dựa tích hợp với mã nguồn mở OSSEC chức phát công DDOS (sửa lại tên chương 3) Đây chương quan trọng luận văn Trong chương ứng dụng giải thuật phù hợp cho nghiên cứu Đồng thời luận văn luận văn trình bày sở lý luận thực tiễn tiền đề cho việc phát đề xuất số phương pháp sau đây:  Dùng giải thuật SIM (Source IP Address Monitoring) để lưu trữ địa triển Hệ thống ứng dụng quản lý luật nhằm mang lại công cụ quản trị truy cập hệ thống Nhưng không cần phải lưu thông số số lần truy cập thuận tiện cho người dùng Bên cạnh luận văn phát triển địa số gói tin địa truy cập chức nhằm phát sớm công DDOS để cảnh báo đến người quản trị đưa hướng giải nhằm ngăn chặn công DDOS  Dựa vào lý thuyết thuật toán CUSUM để xây dựng thông số cần tính toán nhằm đưa định cảnh báo ngăn chặn có công DDOS thông qua cấu hình người quản trị  Chương 4: Đánh giá kết đạt Thực nghiệm (sửa lại tên chương 3) Trong chương luận văn trình bày kết thực nghiệm 1.5 Bố cục luận văn Luận văn gồm phần sau  Mở đầu  Chương 1: Tổng quan Chương luận văn giới thiệu tổng quan hệ thống phát xâm nhập ứng dụng mã nguồn mở OSSEC Đồng thời luận văn trình bày phương pháp nghiên cứu đóng góp luận văn Bố cục luận văn giới thiệu cho người đọc nhìn khái quát trước vào chi tiết áp dụng vào thực tế để phân tích liệu kết đạt ứng dụng quản lý luật đặc biệt kết thực tế trình phân tích công DDOS dựa cải tiến giải thuật CUSUM Luận văn trình bày kết cải tiến so với giải thuật CUSUM  Kết luận Phần tổng quát lại đóng góp luận văn, kết đạt trình nghiên cứu tác giả  Kiến nghị hướng nghiên cứu Phần đề xuất cho nghiên cứu để hoàn thiện  Chương 2: Nghiên cứu công cụ phát xâm nhập mã nguồn mở OSSEC Chương hai luận văn giới thiệu rõ hệ thống phát xâm nhập Bên cạnh giới thiệu chi tiết công cụ phát xâm nhập phần mềm quản lý luật phát công từ chối dịch vụ phân tán 10 11 1.6 Kết luận chương Chương Luận văn giới thiệu tổng quan phát xâm nhập Chương vấn đề luận văn cần quan tâm Trong quan trọng cải tiến tỉ lệ phát công DDOS Điều đòi hỏi cần giảm bớt độ phức tạp thuật giải HỆ THỐNG PHÁT HIỆN XÂM NHẬP MÃ đảm bảo độ xác hệ thống Ngoài Chương trình bày NGUỒN MỞ OSSEC phương pháp thực luận văn Bố cục luận văn giới thiệu cho người đọc nhìn tổng quát trước sâu vào chi tiết Trong chương luận văn giới thiệu rõ hệ thống phát xâm nhập Bên cạnh giới thiệu chi tiết công cụ phát xâm nhập phần mềm mã nguồn mở OSSEC, qua phân tích lý cần phải hoàn thiện để tận dụng mạnh OSSEC việc phát xâm nhập 2.1 Hệ thống phát xâm nhập Hệ thống phát xâm nhập công cụ chủ yếu đóng góp vào bảo mật tường lửa phần mềm chống virus Các công cụ hiệu sử dụng tách biệt Chính cần kết hợp công nghệ tin cậy kiểm tra chặt chẽ, bảo đảm ứng dụng IDS sử dụng cách hiệu [1] Nhiều chuyên gia bảo mật mạng biết tường lửa thành phần kế hoạch bảo mật toàn diện Họ nhận thấy IDS sản phẩm bổ sung hữu hiệu để thực tốt chiến lược bảo mật công ty Vấn đề chọn lựa mô hình để triển khai cho phù hợp với nhu cầu thực tế 2.1.1 Phân loại hệ thống phát xâm nhập 2.1.1.1 Một số định nghĩa Trước vào chi tiết phát xâm nhập, cần có số định nghĩa liên quan đến bảo mật Đây khái niệm thường sử dụng lĩnh vực IDS 12 13 Signatrue(dấu hiệu) mẫu (pattern) nhận dạng tìm thấy IDS Hệ thống phát xâm nhập (Intrusion Detection System - IDS) phần gói tin Một signature dùng để phát nhiều loại công mềm phần cứng kết hợp hai dùng để phát hành vi Ví dụ có mặt “scripts/iisadmin” gói tin gởi đến web server xâm nhập vào mạng Mục đích phát ngăn ngừa hành động phá hành động công hoại vấn đề bảo mật hệ thống, hành động tiến trình Signature diện số phần khác gói tin phụ công sưu tập, quét cổng Tính hệ thống cung cấp thuộc vào ý đồ công Ví dụ tìm thấy signature IP header, transport thông tin nhận biết hành động không bình thường đưa cảnh báo layer header (TCP UDP header), application layer header phần cho quản trị viên mạng khóa kết nối công Thêm vào công cụ payload IDS phân biệt công từ bên tổ chức (từ nhân Thường IDS dựa vào signature để tìm hoạt động người công viên khách hàng) công bên (tấn công từ hacker) OSSEC Một vài nhà cung cấp IDS yêu cầu phải cập nhật signature trực tiếp từ nhà IDS mã nguồn mở phổ biến giới thiệu khóa luận Một IDS có cung cấp có kiểu công tìm Trong số IDS khác, chẳng nhiều chức hay không phụ thuộc vào phức tạp tinh vi thành hạn Snort, ta tự cập nhật signature tự định nghĩa, phần IDS appliances sản phẩm kết hợp phần cứng phần mềm, hầu người dùng linh động sử dụng hết sản phẩm thương mại Như đề cập trên, IDS sử dụng Alerts kỹ thuật signature, anomaly-based hai Network-based IDS (NIDS) Alerts bất kỳ hình thức thông báo cho người dùng hoạt động công Khi IDS phát kẻ công, dùng hình thức alert để NIDS dùng để bắt gói tin từ môi trường mạng (cables wireless) để thông báo cho người quản trị bảo mật Alerts cửa sổ pop-up, hình so sánh liệu thu thập với sở liệu biết dấu hiệu công console, gởi email … Alerts chứa file log database để vào hệ điều hành ứng dụng Khi phát nguy bị công, NIDS có sử dụng công tác phân tích chuyên gia bảo mật thể phản ứng lại cách log gói tin vào sở liệu, cảnh báo cho nhà quản trị Logs đưa vào firewall Host-based IDS (HIDS) HIDS cài đặt agent host cụ thể HIDS phân tích log hệ điều hành ứng dụng so sánh kiện với sở liệu biết vi phạm bảo mật sách đặt Nếu thấy có vi phạm HIDS phản ứng lại cách ghi lại hành động đó, cảnh báo cho nhà quản trị ngừng hành động lại trước xảy Signatures Các thông báo log thường lưu vào file Mặc định OSSEC lưu trữ /var/ossec/log OSSEC có nhiều loại log khác bao gồm log ossec, log alert, log firewall, log active response OSSEC có công cụ ossec-webui dùng để phân tích log False Alarm False Alarm cảnh báo công thực tế hành động công Ví dụ IDS phát công vào IIS server thực tế bên hệ thống mạng bạn IIS 34 The name (A-Za-Z0-9) The command to execute (A-Za-z0-9.-) 35 Time to block Comma separated list of arguments (A-Za-z0-9) yes/no  Thẻ disabled: Vô hiệu hóa phản ứng chủ động thiết lập “yes”  Thẻ name: Dùng để liên kết dòng lệnh với phản ứng  Thẻ executable: Phải tập tin có quyền thực thi thư mục “/var/ossec/active-response/bin” Chúng ta không cần phải cung cấp chi tiết thư mục 2.2.5.2  Thẻ expect: Các đối số lệnh  Thẻ timeout_allowed: Chỉ định lệnh nảy hỗ trợ thời gian chờ Cấu hình phản ứng Trong phần cấu hình phản ứng chủ động, Chúng ta cần kết hợp dòng  Thẻ command: Được dùng để liên kết phản ứng với dòng lệnh  Thẻ location: Nơi dòng lệnh thực thi Ta có chọn lựa: - local: đặt máy khách mà phát sinh kiện - server: đặt máy chủ OSSEC - defined-agent: đặt máy khách đặc biệt (khi sử dụng chọn lựa cần khai báo số định danh máy khách)  Thẻ agent_id: Định danh máy khách thực thi phản ứng  Thẻ level: Phản ứng thực thi kiện với mức cao lệnh tạo với kiện Chúng ta có nhiều phản ứng muốn Mỗi phản ứng khai báo bên thẻ “active-response” Ví dụ :[2] Completely disables active response if "yes" The name of any command already created Location to execute the command ID of an agent (when using a defined agent) The lower level to execute it (0-9) Comma separated list of rules id (0-9) Comma separated list of groups (A-Za-z0-9) all: nơi  Thẻ timeout: Thời gian lệnh thực thi ngược lại (ví dụ gỡ bỏ ngăn cấm địa mạng) 36 37 Chương PHÂN HỆ MỞ RỘNG HỖ TRỢ QUẢN LÝ LUẬT VÀ CHỨC NĂNG PHÁT HIỆN TẤN CÔNG DDOS DỰA TRÊN MÃ NGUỒN MỞ OSSEC Trong chương luận văn trình bày sở lý luận thực tiễn tiền đề cho việc phát triển ứng dụng hệ thống quản lý luật tích hợp với mã nguồn mở OSSEC nhằm mang lại công cụ quản trị thuận tiện cho người dùng Bên cạnh luận văn phát triển chức nhằm phát sớm công DDOS để cảnh báo đến người quản trị đưa hướng giải nhằm ngăn chặn công DDOS Hình Giao diện người dùng OSSEC Hệ thống OSSEC xây dựng ngôn ngữ PHP lưu trữ sở liệu MySQL, lợi nhiều cho việc phát triển thêm chức 3.1 Hệ thống quản lý luật Công cụ mở rộng hỗ trợ quản lý luật cho OSSEC ossec 3.1.1 Cơ sở lý luận thực tiễn Phát sinh từ nhu cầu thực tế việc sử dụng hệ thống OSSEC trình cài đặt hệ thống IDS đòi hỏi phải có nhiều kiến thức hệ thống khả cấu hình lệnh hệ điều hành Linux để cấu hình thông số từ máy cần giám sát đến cấu hình máy chủ, công cụ quản lý theo dõi hệ thống đơn giản thể lịch sử truy nhập qua giao diện thô sơ khó cho người quản trị trình cập nhật, theo dõi hệ thống cần thiết cho hệ thống Bên cạnh đó, OSSEC có khả phản ứng động nhanh hiệu giúp cho việc xử lý tình kịp thời với công có hiệu lực cấp Như biết, việc chống công DDOS phức tạp, có nhiều hãng đưa giải pháp phần cứng phần mềm để giải vấn đề, hiệu ngăn chặn công phải tính toán nhằm ngăn chặn kịp thời giảm thiểu ngăn chặn truy cập với mục đích xấu, ngăn chặn triệt để dường bất khả thi Vì luận văn nghiên cứu để dựa vào luật OSSEC để xây dựng chức phát công DDOS nhằm cảnh báo cho người quản trị tức cách kết hợp với phản ứng nhanh OSSEC thông qua 38 39 giải thuật, cần kiến thức người quản trị để thiết lập thông số phù hợp với hệ thống cần kiểm soát, lúc có kết tốt 3.1.2 Cách tiếp cận vấn đề Để thực mục tiêu trên, kiến thức hệ thống quan trọng, tác giả phải xây dựng mô hình OSSEC thực tế để tìm hiểu rõ hoạt động đặc biệt ưu điểm hệ thống so với hệ thống khác Ngoài tác giả nghiên cứu giải thuật phát công DDOS chọn lựa giải thuật để phát triển chức cho ứng dụng Máy chủ OSSEC - Hệ điều hành Linux - Cơ sở liệu; MySQL - Dịch vụ web; Apache - Địa chỉ: 123.30.109.93 Máy khách cần giám sát (Windows): - Địa chỉ: 123.30.109.94 Máy khách cần giám sát (Linux): - Địa chỉ: 123.30.109.92 ` ` Hình Mô hình triển khai OSSEC 3.1.3 Thiết kế sở liệu Trong sở liệu trên, chức table sau: Mô hình thiết kế sở liệu phần mềm quản lý luật dựa ossec Rule  Table Signature: lưu thông tin chi tiết rule  Table Category : danh mục nhóm rule  Table Signature_Category_Mapping : liên kết Rule nhóm 40 41  Table Server : Lưu trữ thông tin server ossec Quản lý agent  Table Location : thông tin log tương ứng với agent, ví dụ đoạn Quản lý phân quyền người dùng log: (nixagent01) 123.30.109.192->/var/log/secure  Thống kê, báo cáo… Table Data : Thông tin mô tả log, ví dụ: Mar 29 17:44:26 host2 sshd[4464]: Failed password for root from 203.162.100.19 port 1425 ssh2  Table Alert : chi tiết log ossec 3.1.5 Giao diện hệ thống chương trình quản lý luật  Table Agent : danh sách Agent Ossec (chú ý dùng thống cách gọi hệ thống quản lý luật thay cho  Table Admin : lưu thông tin người dùng hệ thống từ “chương trình” “ứng dụng”)  Table IAD : Lưu trữ thông tin IP truy cập  Table Iid_Config : Lưu trữ thông số IP truy cập 3.1.4 Mô hình chức hoạt động Phần mềm quản lý tương tác với Ossec dạng ứng dụng web hoạt động dựa chế tương tác với liệu Ossec server Chương trình viết ngôn ngữ PHP sở liệu My SQL Trang chương trình thống kê thời gian thực cảnh báo hệ thống để người quản trị theo dõi trực quan nhằm phát nhanh chóng lỗi công Tất thông tin log truy cập người dùng ossec agent truyền cho ossec server lưu trữ vào table tương ứng với sở liệu trình bày Ứng dụng web tương tác với sở liệu để phân tích, thống kê, báo cáo… Ngoài ra, ứng dụng quản lý tương tác với tất rules định nghĩa sẵn ossec rules mà người quản trị định nghĩa thêm thông qua giao diện web ứng dụng lưu trữ vào file rules theo định dạng xml mà ossec server lưu trữ Các chức ứng dụng bao gồm: Quản lý log: hiển thị, tìm kiếm, lọc danh sách log theo nhiều tiêu chí khác nhau… Thống kê log dạng đồ thị vòng 15 ngày Quản lý rule: danh mục, danh sách rule, thêm mới, hiệu chỉnh, kiểm tra trùng lắp rules…(để đảm bảo an toàn cho hệ thống, tính xóa rule hạn chế sử dụng) Hình 3.1: Giao diện bảng thông tin ứng dụng 42 43 Để tiện cho người quản trị việc cập nhật, chỉnh sửa theo dõi luật, chương trình có chức liệt kê luật người dùng thêm xóa sửa luật cách nhanh chóng Hình 3.2 : Danh sách luật hệ thống Hình 3.3: Giao diện chỉnh sửa, thêm luật 44 (Cần nói kỹ hệ thống quản lý luật, giao diện cho phép thống kế, quan 45 sát, lựa chọn, tìm sử nhằm nêu bật cần thiết hệ thống quản lý với CSDL Khi công DDos xảy Bước quan trọng phát xác gói tin công Hệ thống phòng thủ luật.) phải đáp ứng thời gian thực, đặc biệt tốc độ phản ứng phải cao 3.2 Chức phát công ddos Tránh trường hợp chặn nhầm gói tin hợp lệ 3.3.1.2 3.2.1 Cơ sở lý luận thực tiễn Những hệ thống phát DDos thường sử dụng nhiều phương thức để dò tìm phát Thông thường công cụ so sánh lưu lượng với lưu lượng chấp nhận Công nghệ có vài thiếu sót Trước tiên, ngưỡng thường đặt tĩnh yêu cầu người sử dụng phải cấu hình để phù hợp với môi trường, nhiên khó thay đổi thích ứng với môi trường Thứ hai, có số ngưỡng thiết lập thống kê chi tiết giao thức giá trị cho người sử dụng Thứ 3, ngưỡng áp dụng mức độ tổng hợp cao Sự thiếu sót dẫn tới đánh giá sai tính rõ ràng tính phủ định hệ thống phát Thậm chí phát xâm hại chặn nhầm địa Phân tích phát công DDos Tổng quan phát công DDos - Phát gần nguồn công Giả sử tổng số lưu lượng để tắt mạng V, lưu lượng công DDos U.Chúng ta dễ dàng phát công V lớn đáng kể lưu lượng bình thường Tuy nhiên, số lượng công gần nguồn không phân biệt từ lưu lượng bình thường, tỷ số V/U nhỏ U đủ lớn Thông thường phương án đặt đánh dấu gói tin truy tìm ngược lại Các phương án thường hiệu cao mà công diễn với quy mô lớn Do việc phát công gần nguồn tránh tắc nghẽn đạt hiệu cao hợp lệ - Phát công Do vậy, để hiệu hệ thống phát xâm nhập phải thêm nhiều tính Như nói phần trước, việc phát công không khó lúc lưu để phát phân biệt công với hoạt động bình lượng mạng trở nên cao tất nhiên dẫn đến tình trạng thường cung cấp dịch vụ Tuy nhiên, thông thường việc phát phản 3.3.1.1 Các yêu cầu môt hệ thống phát DDos Phát nhiều chế Hiện hình thức công Ddos đa dạng phát triển không ngừng Càng ngày có nhiều kiểu công Do vậy, hệ thống phát Ddos thật hiệu phát hầu hết kiểu công Luôn đánh giá hệ thống mạng có dấu hiệu bất thường, phải cập nhật thường xuyên kiểu công để có biện pháp phát nhanh Phản ứng ứng lại thường muộn vào lúc công mức cao Người quản trị lựa chọn tắt server sau liên hệ với ISP Các ISP sau nhận lời đề nghị tiến hành đẩy ngược lại lưu lượng công router Công việc thường tốn nhiều thời gian Ví dụ phát công, thông điệp gửi đến upstream router Thông điệp bao gồm đích lưu lượng công, yêu cầu để lọc lưu lượng công Tuy nhiên, việc gửi thông điệp thời gian ngắn vô quan trọng để ngăn chặn công DDos Bởi vậy, cần có chế phát thật nhanh để gửi thông điệp giai đoạn công 3.3.1.3 Một số thuật toán phát DDos Thực tế chứng minh, công DDos xảy Lập tức phân tích thấy lưu lượng mạng khác thường Do hầu hết thuật 46 toán phân tích phát công DDos dựa tính khác thường lưu lượng mạng Một số công nghệ thống kê áp dụng để tiến hành phân tích, thống kê lưu lượng tải làm việc để phát Từ kỹ thuật phân tích này, có thuật toán phát để đưa tham số công nghệ thống kê, mức độ nguy hiểm công 47 B Source IP Address Monitoring (theo dõi địa IP nguồn) Thuật toán Source IP Address Monitoring (SIM) dựa việc theo dõi đánh giá địa IP Thuật toán chia làm phần Đó off-line training detection and learning Trong phần off-line training, thuật toán tiến hành theo dõi, đánh giá phân tích địa IP khoảng Thông số kiểm tra: Thông số kiểm tra dùng để phân loại thời gian đưa địa IP vào IP address database (IAD) Những thuật toán số lượng lớn lưu lượng, số địa IP tỷ lệ gói địa IAD gọi địa thường xuyên truy cập IAD xóa tin đến mạng IP hết hạn để giảm thiểu nhớ cho hệ thống cập nhật đia - - Công nghệ thống kê: Sử dụng thuật toán thống kê để phân tích mạng Ví dụ ngưỡng giới han phù hợp, phát điểm thay đổi phân tích wavelet - Mức độ phân tích: Khi phân tích chi tiết thông số, mức độ nguy hiểm gán Sau đây, giới thiệu tổng quan thuật toán phát DDos Nếu muốn tìm hiểu kỹ thuật toán nêu tham khảo [4] phần tài liệu tham khảo A Số lượng lớn lưu lượng - Thuật toán Adaptive Threshold (ngưỡng giới hạn khả đáp ứng) Thuật toán nói chung đơn giản dễ hiểu Thuật toán phát không bình thường dựa vị phạm ngưỡng khả đáp ứng lưu lượng mạng thời gian gần Thuật toán đặc biệt có khả phát cao kẻ công tiến hành cuôc công TCP SYN Thuật toán tin tưởng vào việc kiểm tra phép đo lưu lượng có vượt qua ngưỡng giới hạn cụ thể hay không Nếu vượt qua, chứng tỏ có công xảy - Thuật toán CUSUM (tổng tích lũy) Thuật toán tổng tích lũy dựa giá trị trung bình trình xử lý thống kê Sự phát điểm thay đổi cần phải theo dõi khoảng thời gian Một công thức xây dựng để theo dõi thay đổi này, vượt qua ngưỡng giới hạn chứng tỏ xảy công IP IAD xây dựng cập nhật off-line để chắn IAD không bao gồm địa công Còn phần detection and learning, SIM tiến hành thống kê lưu lượng đến khoảng thời gian So khớp địa IP đến IAD để tìm IP Phân tích IP này, có hàm để đánh giá IP (sử dụng thuật toán CUSUM) Khi thay đổi vượt qua ngưỡng giới hạn chứng tỏ có công xảy 48 49 C Ratio of Input/Output Traffic (tỷ lệ lưu lượng đến đi) 50 51 Thuật toán dựa giả định trình hoạt động bình thường Hiên nhiên, Fk  (S1  S2  S3 …  Sk) internet, gói tin theo hướng internet tỷ lệ thuận với gói tin Tiến hành thống kê xây dựng ngưỡng giới hạn để định mức độ theo hướng ngược lại Nếu tỷ lệ lớn chứng tỏ có công từ bên thường xuyên tập F P normal= |F  Sj| /|Sj|: tỷ lệ phần trăm IP flow bình thường ngày 3.2.2 Các thuật toán áp dụng cho chức phát công DDOS j (j>k) Như giới thiệu trên, có nhiều giải thuật để phát triển chức ngăn P DDos = |F  A|/|A|: tỷ lệ phần trăm IP flow công chặn DDOS Riêng luân vặn này, tác giả tập trung nghiên cứu thuật toán Định nghĩa IP address database (IAD) tập hợp địa IP xuất (SIM) nói thường xuyên khoảng thời gian (có thể tháng) 3.2.2.1 Cơ chế kiểm tra địa nguồn Trong IAD, xây dựng quy tắc để định mức độ truy cập thường xuyên Cơ chế kiểm tra địa nguồn việc lưu địa IP thường xuyên truy địa IP cập vào server sở liệu Khi có công xảy ta + Thứ nhất: Số ngày truy cập tiến hành so sánh địa IP thời gian công với IP p1(d): tập hợp địa IP truy cập d ngày sở liệu (IP Address Database) để phát IP Về bản, chế yêu cầu xây dựng quy tắc để phân biệt IP hợp lệ với IP công Công việc tiến hành cách kiểm tra f1(d): tỷ lệ phần trăm lưu lượng tốt sử dụng p1(d) IAD + Thứ hai: số gói tin địa IP p2(u): tập hợp địa IP có u gói tin gói tin đến với IP IAD f2(u): tỷ lệ phần trăm lưu lượng tốt sử dụng p2(u) IAD IP Address Database (IAD) Đầu tiên định nghĩa lưu lượng đia IP IP flow Si={si1 , si2 ,… , sin} tập hợp địa IP hợp lệ truy cập ngày i Như |p1(d)| |p2(u)| nhỏ giảm nhớ yêu cầu để trì IAD, |f1(d)| |f2(u)| lớn có nhiều địa IP cở sở liệu Trong thuật toán trên, có hai tham số đưa Đó số ngày (d) số |Si|=ni Fk={f1 , f2 ,…, fm} tập hợp địa IP truy cập từ ngày đến ngày k |Fk |=m gói tin địa IP (u) Hai tham số tùy chỉnh điều kiện mạng khác Việc kết hợp hai quy tắc làm cho IAD hiệu nhiều A={a1,a2,a3,…,ax} tập hợp địa IP truy cập công Fc=p1(d)  p2 (u) DDos Như có nhóm địa IP thường xuyên truy cập đặn Khi công DDos sử dụng địa IP (random IP address), lưu lượng theo dõi k ngày sau: |S1  S2  S3 …  Sk| < Như địa IP thuộc tập Fc lưu vào IAD Duy trì hoạt động IAD Khi lưu lượng mạng mức bình thường, tính toán địa IP k gói tin đến cập nhật vào IAD Tiến hành xóa địa IP hết hạn i=1 IAD với mục đích không làm IAD lớn Việc xóa địa IP đặt  ni  = cho biết công DDos xảy Trước tiên lựa chọn địa IP khoảng thời gian  n (n=1,2,3,4…) Sau gán  =  2=….=  n Gọi Tn tập địa IP vừa thiết lập Dn địa IP IAD Ở  N N- m)+/N h | a | (1) (2) thời gian phát hiện,  N điểm thay đổi Trong m thời điểm bắt đầu công Để thuật toán CUSUM tối ưu nhất, chọn h=2|a| Theo nghiên cứu thuật toán CUSUM chọn |a|=0.05 thời điểm  n |Tn -Tn  Dn | tập địa IP khoảng thời gian Trong công thức (1) chọn vị trí nhỏ công bắt đầu Do  n  N=m+1 Ta có Xn=|Tn-T  Dn|/Tn: tỷ lệ phần trăm địa IP tổng số địa Vì từ (1) (2) hoàn toàn tính giá trị ngưỡng N IP khoảng thời gian  n Đặt Z={Zn ,n=1,2,3…} cho Zn=Xn-  Với a=  -  a giá trị trung bình {Zn } trình lưu lượng mạng bình thường  giá trị trung bình {Xn} trình lưu lượng bình thường Do đó, lưu lượng mạng bình thường tất giá trị Z n âm Khi có công xảy ra, giá trị Zn tăng có giá trị dương Lúc h+a>0, h giá trị trung bình tăng nhỏ suốt 3.2.3 Hiện thực chức chương trình công Thuật toán CUSUM tiến hành tổng hợp Zn thiết lập công thức 3.2.3.1 Quản lý địa truy cập Việc đầu tiên, ta cần tạo chức lưu địa truy cập, xóa địa sau: yn =(yn-1 + Zn)+ y0=0 hết hạn Việc thực cách lập lịch để chạy tự động khoảng thời gian định phút tạo cách soạn thảo tập tin crontab 54 55 hệ thống máy chủ Linux, máy chủ lưu trữ OSSEC ứng dụng quản lý Chi Hình tiết nội dung tập tin crontab sau: Quá trình xóa địa hạn sở liệu nhằm tránh tình */5 * * * * /user/bin/php /var/www/html/hids/iad_cron.php */5 * * * * /user/bin/php /var/www/html/hids/iad_remove_cron.php Quá trình duyệt thêm địa vào sở liệu IAD mô tả sau: Bắt đầu Chọn tất địa chỉ, thời gian truy cập địa danh sách lưu sở liệu IAD xếp giảm dần theo thứ tự thời gian (để lấy thời gian IAD) Trong sở liệu IAD chưa có lưu => Chọn tất địa truy cập, 0 Chọn tất địa truy cập, thời gian truy cập từ sở liệu OSSEC có thời gian sau thời gian sở liệu IAD Duyệt dòng kết câu lệnh SQL Đã lưu Tìm xem địa lưu sở liệu IAD chưa? Chưa lưu Lưu địa truy cập, thơi gian truy cập vào sở liệu IAD Kết thúc trạng dung lượng lớn: 56 57 3.2.3.2 công Bắt đầu Phân tích công, cảnh báo ngăn chặn địa Để phân tích nhằm phát công, ta lập lịch để chạy tự động Đọc thông tin cấu hình quản trị bảng cấu hình lưu sở liệu khoảng thời gian định phút , chi tiết nội dung tập tin crontab sau: */5 * * * * /user/bin/php /var/www/html/hids/cusum_cron.php Quá trình phân tích công DDOS mô tả sau: Gán biến thời gian lưu giá trị cấu hình Có Đã có liệu cấu hình hay không? Chưa Chọn tất địa truy cập, thời gian truy cập sở liệu IAD Duyệt dòng kết câu lệnh SQL Không thỏa điều kiện Tìm xem địa có thời gian truy cập lớn thời gian quy định cấu hình Thỏa điều kiện Xóa địa truy cập khỏi sở liệu IAD Kết thúc Gán biến thời gian lưu tuần 58 59 Bắt đầu Chương Đọc liệu cấu hình ngưỡng sai số cho phép cấu hình IAD mà người quản trị thiết lập lưu vào table iad_config (đặt X) >0

Ngày đăng: 13/08/2016, 10:21

Từ khóa liên quan

Tài liệu cùng người dùng

  • Đang cập nhật ...

Tài liệu liên quan