HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN BÁO CÁO THỰC TẬP CƠ SỞ Nghiên cứu phương pháp phát sâu mạng Giáo viên phụ trách:Nguyễn Phương Anh Nhóm thực gồm thành viên: Mai Thị Hồng Hường Nguyễn Thị Liên Vũ Thanh Nam Hà Nội :20/8/2016 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN ĐỀ TÀI THỰC TẬP CƠ SỞ NGHIÊN CỨU PHƯƠNG PHÁP MỚI TRONG PHÁT HIỆN SÂU MẠNG Nhận xét cán bộ hướng dẫn: Điểm chuyên cần: Điểm báo cáo: Xác nhận của cán bộ hướng dẫn MỤC LỤC: Giáo viên phụ trách:Nguyễn Phương Anh Giáo viên phụ trách:Nguyễn Phương Anh Giáo viên phụ trách:Nguyễn Phương Anh Giáo viên phụ trách:Nguyễn Phương Anh Mở đầu .1 Chương Tổng quan 1.Đặt vấn đề Worm – sâu máy tính ( gọi tắt sâu) hiểu loại virus đặc biệt hay chương trình độc hại Phương thức lây lan qua mạng khác biệt virus sâu Hơn nữa, sâu có khả lan truyền chương trình độc lập mà không cần lây nhiễm qua tập tin Ngoài ra, nhiều loại sâu chiếm quyền kiểm soát hệ thống từ xa thông qua “lỗ hổng” mà không cần có “giúp sức” từ người dùng.Tuy nhiên, có trường hợp ngoại lệ sâu Happy99, Melissa, LoveLetter, Nimda Phát biểu toán Cliff C.Zou phát kịp thời việc đề xuất phương hướng tìm tiêu diệt “worm” thay để chúng bùng nổ, lây lan qua mạng cách sử dụng thuật toán lọc Kalman Thuật toán lọc nhiễu tồn liệu bị kiểm tra, giám sát để cảnh báo nguy thông báo sai lệch Hơn nữa, đề xuất coi biện pháp chống trả ngăn chặn phát tán “worm” Tuy nhiên, đề xuất thảo luận chủ quan nên cấu trúc phân tầng tạo lỗi đơn lẻ định gây thiệt hại ngầm cho hệ thống thông tin.Những điều khiếm khuyết cản trở phát triển môi trường sản xuất Do đó, Nguyễn Dương Minh ghé thăm lại nơi Zou làm việc.Minh hoàn toàn tiếp cận dường lỗi đơn lẻ xảy Hơn nữa, hệ thống phân phối, tiếp cận kiểm tra liệu giám sát cho trạm gửi xử lí trình trước Tuy nhiên, vấn đề liệu bị kiểm tra không lọc nhiễu trước gửi đến trạm khác Do điều gây thông báo sai lệch, khiến cho việc phát “worm” chậm chạp Chúng mong muốn đề xuất thuật toán dựa hệ thống phân cấp cảnh báo Nguyễn Dương Minh kết nghiên cứu Zou ,đề xuất cho phép liệu quan sát hình lọc nhiễu trước gửi đến hình khác để khắc phục vấn đề hệ thống Nguyễn Dương Minh Do hạn chế mô hệ thống Nguyễn Dương Minh nên mô mô hình mạng nhỏ với số lượng hình hạn chế Dựa hệ thống Nguyễn Dương Minh, phát triển hệ thống tự động mô mô hình mạng lớn Điều làm cho phù hợp với hệ thống mạng lưới phân phối , mô cho thấy hệ thống phát sâu nhanh ba lần Nguyễn Dương Minh Hơn nữa, so sánh trình tự quét sâu ngẫu nhiên quét sâu Kết là, trình quét địa IP kỹ thuật thành công so với máy quét ngẫu nhiên .6 3.Qúa trình lây lan sâu mạng .7 Một sâu (worm) muốn lây nhiễm vào máy trước tiên phải tìm hiểu xem máy tồn mạng hay không.Quá trình lan truyền thực sâu Internet trình phức tạp Vậy sâu mạng lây lan qua giai đoạn : Chương 2.Giải vấn đề 1.Thuật toán Kalman Filter .7 2.Sâu máy tính(Worm) 12 3.Phương pháp phát ngăn chặn sâu mạng giai đoạn đầu 16 4.Thuật toán .21 Chương Mô Kết 27 Mô 27 2.Demo 29 Kết 33 36 36 Kết luận 36 Hầu hết sâu mạng hiện xác định máy dễ bị lây nhiễm qua sự thăm dò ngẫu nhiên của miền địa chỉ, cũng internet càng ngày càng trở nên phổ biến với máy móc, hay sâu mạng sẽ có khả lan rộng nhanh và nhanh nữa.vì vậy, chúng ta cần diệt sâu mạng sớm Trong đề tài này, chúng xem lại những vấn đề của tìm hiểu worm đề cập tài liệu của Nguyen Duong Minh, bối cảnh mô hình mạng lứơi máy chủ lớn Mô phỏng của chúng chỉ triển khai hợp tác với liệu quan sát lọc nhiễu trước xử lí để phát dấu hiệu có sâu nhanh khoảng ba lần so với không lọc nhiễu .36 Mở đầu Công nghệ thông tin ngành phát triển trọng điểm nhiều Quốc gia Thế giới ứng dụng Cùng với công nghệ thông tin; mạng Internet đã, đóng góp nhiều công phát triển xã hội loài người Ngày hoạt động người thực qua mạng Internet Internet đem lại lợi ích cho nhiều người sử dụng, khai thác Cùng với lợi ích to lớn mà Internet đem lại; nảy sinh vấn đề phức tạp Các thông tin cá nhân, thông tin kinh tế, trị quân quan trọng tổ chức, Quốc gia có nguy bị lộ bị đánh cắp Tài khoản ngân hàng, hệ thống lưu trữ, sở liệu quan trọng bị công, phá hoại… nhiều công tin tặc gây thiệt hại hàng tỷ đô la Một cách thức công nguy hiểm tin tặc mạng Internet dùng loại sâu máy tính - Worm Không giống với virus thời "nguyên thủy", worm không cần đến tập tin "mồi" để lây nhiễm Chúng tự phát tán thời gian ngắn bắt đầu tàn phá Internet tích tắc vậy, ngăn chặn loại bỏ “ worm” vấn đề nhức nhối cộng đồng mạng Internet.”Worm kết hợp với số kỹ thuật công khác tạo công cụ công mạnh tin tặc.Làm để phát máy tính có bị worm xâm nhập hay không? Để làm rõ điều hướng dẫn cô Nguyễn Phương Anh góp ý từ thầy cô khoa chúng em xin phép đề xuất đề tài: ”Nghiên cứu phương pháp phát sâu mạng” Mặc dù cố gắng hoàn thành đề tài lĩnh vực lạ phát triển mạnh nên nhiều thiếu sót Chúng em mong tiếp nhận ý kiến, nhận xét từ quý thầy cô Chúng em xin chân thành cảm ơn! Sinh viên thực hiện: Mai Thị Hồng Hường : SĐT : 0977784080 Email: maihuong95nd@gmail.com Nguyễn Thị Liên : SĐT :01629717786 Email: phudung94@gmail.com Vũ Thanh Nam : SĐT : 01669808033 Email: Namthanhvu105@gmail.com Chương Tổng quan 1.Đặt vấn đề Worm – sâu máy tính ( gọi tắt sâu) hiểu loại virus đặc biệt hay chương trình độc hại Phương thức lây lan qua mạng khác biệt virus sâu Hơn nữa, sâu có khả lan truyền chương trình độc lập mà không cần lây nhiễm qua tập tin Ngoài ra, nhiều loại sâu chiếm quyền kiểm soát hệ thống từ xa thông qua “lỗ hổng” mà không cần có “giúp sức” từ người dùng.Tuy nhiên, có trường hợp ngoại lệ sâu Happy99, Melissa, LoveLetter, Nimda Trên thực tế khái niệm worm máy tính lần nhắc tới vào năm 1975 tiểu thuyết John Brunner,The Shockwave Rider.Trong tiểu thuyết này,tác giả Nichias mô tả thiết kế đặt worm có chức thu thập liệu (data-gathering) ,những người vận hành trang web thông tin điện tử quốc gia:”Bạn có worm lớn tàng hình mạng ,và tự động phá hoại nỗ lực để thu thập,giám sát nó.” Vào ngày 2/11/1988,ông Robert Tappan Moris ,ở trường đại học khoa học máy tính Cornell,đã tung worm gọi sâu Morris.Nó thâm nhập lây lan số lượng lớn máy tính sau Internet Người ta thống kê có khoảng 6.000 máy tính chạy Unix bị nhiễm sâu Morris Mỹ ước tính thiệt hại vào khoảng từ 10 đến 100 triệu đô la Vì ảnh hưởng hậu mà worm để lại mà có biện pháp ngăn chặn chiến lược loại bỏ “worm” cổ điển nhiên thường không hiệu mạng diện rộng Một giải pháp không hữu hiệu sửa chữa vấn đề mà “Worm” gây việc tự nhân Tuy nhiên, giải pháp lúc thực thi mở rộng lỗ hổng thông tin kèm với gia tăng phần mềm độc hại mà người dùng không hay biết tự động cài đặt máy tính Tường lửa, hệ thống phát xâm hại phần mềm diệt virus giải pháp áp dụng Phần mềm diệt virus tự phát loại bỏ “worm” cách hiệu dựa tín hiệu thông báo phần mềm độc hại Tường lửa sử dụng để ngăn chặn phát tán virus host bị xâm hại host chưa bị ảnh hưởng cách thiết lập giới hạn định Hệ thống phát xâm hại cung cấp giám sát gửi hành động bất thường đến trạm quản lý Do đó, tường lửa, hệ thống phát xâm hại phần mềm diệt virus phát loại bỏ thành công phần mềm virus phát tán máy tính ban đầu Cho nên, việc phát triển, nâng cấp hệ thống tự động tiêu diệt virut sau chúng vừa phát tán quan trọng Các giai đoạn phát triển sâu máy tính: • Giai đoạn 1: ( năm 1979 đến đầu năm 1990) • Giai đoạn 2: (đầu năm 1990 đến năm 1998) • Giai đoạn 3: (từ năm 1999 đến năm 2000) • Giai đoạn 4: (từ năm 2001 đến nay) Phát biểu toán = (1 + αΔ) yt-1 - + Các trạng thái hệ thống : = Mô hình hệ thống : Trạng thái thời điểm t [7]: = (I = + ( - ) (12) Sau tính toán Xt từ (12), ta có: t = Sử dụng AR mũ mô hình (7) cho thuật toán lọc Kalman Từ (7) (11), có fomula [7]: Hệ thống trạng thái: = [1 + Δα] Mô hình hệ thống: Trạng thái thời điểm t [7]: 25 = (1 = + ( - ) (13) Sau tính toán Xt từ (13), ta có: t = Sử dụng mô hình tuyến tính biến đổi (8) cho thuật toán lọc Kalman Từ (8) (11), có fomula [7]: ln( )= (t-t0) αΔ + K + Hệ thống trạng thái: = Mô hình hệ thống: Trạng Thái thời điểm t [7]: = (I = + Sau tính toán Xt từ (14), ta có: 26 ( - ) (14) t = nhiễm sâu thường khác nhau, ý nghĩa chung, giai đoạn đầu, tỷ lệ nhiễm ổn định giá trị số dương Từ đó, dựa Kalman Filter, ước tính tỷ lệ nhiễm quan sát tỷ lệ nhiễm tụ tới giá trị không đổi Sau đó, phát diện sâu liệu Corretted từ (3), y’t+1 = Gửi liệu lọc nhiễu đến máy lân cận trực tiếp Kalman lọc vòng lặp Từ (9) (11): Nếu sử dụng quét theo dõi số liệu quan sát, δ = η Δ p Từ (10) (11): Nếu host nhiễm theo dõi quan sát, δ = Chương Mô Kết Việc thực cuối phát quét thử nghiệm Các thiết lập mô kết đưa chương Mô Trong phần này, trình bày mô phỏng, sử dụng để nghiên cứu: mô tuyên truyền sâu hiệu suất hệ thống phát sớm dựa lọc Kalman dựa mô [7] 1.1 Mô sâu Chúng mô ngẫu nhiên sâu Code Red Code Red sâu mô phỏng: Về mô hình chủ yếu : máy tính nạn nhân hệ thống quét sâu, chẳng hạn sâu Code Red có phân phối không đồng dạng Nó có nghĩa phân phối máy chủ dễ bị lây nhiễm Internet không ảnh hưởng đến công tác tuyên truyền sâu Vì mà, vấn đề phân phối chủ yếu phân phối danh sách IP giám sát Hầu hết sâu sử dụng chức quét ngẫu nhiên Code Red để chọn địa IP Kể từ 27 mật độ vật chủ yếu thấp, quét ngẫu nhiên trúng máy dễ bị lây nhiễm với xác suất nhỏ Ví dụ, sâu Code Red có khả lây nhiễm cho 360.000 máy số 232 địa IP [9] Như vậy, xác suất mà quét ngẫu nhiên đạt mục tiêu dễ bị lây nhiễm 360.000 / 232 = 8.38 *10-5 Đầu tiên, sử dụng xác suất để thực mô Có 10 host nhiễm sâu lúc đầu Chúng mô 100 hình phân phối 360.000 host dễ bị lây nhiễm Hệ thống giám sát Nguyễn Dương Minh bị hạn chế số lượng nhỏ hình Chúng phát triển hệ thống hình cho phép để mô mô hình mạng lớn Cấu trúc liên kết mạng tạo máy phát điện Brite topo Số lượng hình 100 Chúng lựa chọn thông số mô có 359,000 Code Red nhiễm host ngày 19 Tháng Bảy 2001 [7] Về mô hình sâu mạng : Một mô hình sâu mạng định nghĩa sâu quét chiến lược lây nhiễm Một chế độ quét đồng bộ-quét sâu Code Red lây lan cách sử dụng chế quét ngẫu nhiên, chọn địa IP mục tiêu cách ngẫu nhiên Các mô sâu lây lan thủ tục thời gian rời rạc Khoảng thời gian giám sát thiết lập để phút, máy chủ bị nhiễm tạo danh sách địa mục tiêu gửi quét họ Vào cuối đơn vị thời gian, sâu Code Red gửi quét μ trung bình Như trình bày trước đó, giai đoạn đầu lan truyền sâu, số lượng máy chủ bị nhiễm nhiều so với tổng số máy có khả bị nhiễm sâu N (hoặc N-It ~ N) Từ đó, xác suất sâu quét đánh mục tiêu μN / 232 cho đơn vị thời gian Nếu máy chủ dễ bị tổn thương quét, bị lây nhiễm Nếu hình quét xâm nhập bao gồm địa IP m, sau quét sâu có khả p = m / 232 để đạt hệ thống giám sát Nếu hình bị quét máy quét sâu, ghi lại số quét nhận nguồn địa IP máy tính quét gửi đến Hình cho thấy công tác tuyên truyền sâu: 28 Hình Số lượng host bị nhiễm tuyên truyền sâu CodeRed giống 1.2 Mô Kalman Filter Đối với Phát Worm Từ liệu quan sát (Ct, Zt) tuyên truyền sâu, mô lọc Kalman ba mô hình: mô hình dịch đơn giản, AR mô hình mũ chuyển đổi mô hình tuyến tính để phát sâu Để xác định Kalman lọc nên kích hoạt, thiết lập ngưỡng có giống [14]: Threshold = = giá trị tiếng nhiễu hình * (giá trị hình+ 1) * 2.Demo Đầu tiên, sử dụng CodeBlocks để thực mô Có 10 host nhiễm sâu lúc đầu Chúng mô 100 hình phân phối 360.000 host dễ bị lây nhiễm Hệ thống giám sát Nguyễn Dương Minh bị hạn chế số lượng nhỏ hình Chúng phát triển hệ thống hình cho phép để mô mô hình mạng lớn Số lượng hình 100 29 Hình 6: Qúa trình mô chạy thử nghiệm 30 Hình :Kết nhận thử nghiệm 100 hình Hình cho thấy kết thí nghiệm 100 hình chưa xử dụng thuật toán Kalman để lọc nhiễu 31 Hình : Qúa trình chạy sử dụng thuật toán Kalman 32 Hình : Kết chưa lọc nhiễu Hình 10: Kết dung thuật toán Kalman để lọc nhiễu Kết Trong hệ thống phân phối để phát sâu Code Red, liệu quan sát lọc nhiễu trước gửi đến localhost trực tiếp, tỷ lệ nhiễm đo hình ổn định trước Như thấy hình 9, mô liệu quan sát liệu sửa hình để ước tính tỷ lệ nhiễm sâu cách sử dụng thuật toán lọc Kalman mô hình tuyến tính biến đổi Kết xuất phát từ hệ thống Nguyễn Dương Minh có ổn định rõ ràng xảy sau 200 phút sau 55 phút 33 Hình 11 Dự toán lọc Kalman tỷ lệ nhiễm Code Red Hơn nữa, sử dụng số lượng máy chủ bị nhiễm theo dõi để mô sâu Code Red để ước tính tỷ lệ nhiễm dựa mô hình dịch bệnh mô hình hàm mũ Dựa mô hình mũ phút 306 mô hình dịch bệnh 309 hình Kết thể hình 12 bên Dựa mô hình dịch Dựa mô hình mũ AR Hình 12 Tỷ lệ hình phát sâu (Code Red) 34 Hình rằng, dựa chế độ dịch, sâu Code Red cần chưa đến 309 để kết thúc nhiễm Thảo luận Chúng ta vừa sử dụng mô hình: mô hình bệnh đơn giản, mô hình hàm số mũ và mô hình chuyển đổi tuyến tính Trong những mô hình này chỉ sự phá hủy sâu mạng hiệu quả, chúng ta cần phát triển nhiều mô hình chi tiết với sự chuyển tiếp khác giữa các trạng thái Lọc nhiễu từ những dữ liệu quan sát được trước gửi đến máy chủ khác và diệt sâu hiệu quả là không lọc nhiễu Điều này đã được chứng minh những mô phỏng của chúng Chúng cũng mô hình hóa công cụ quét: quét worm ngẫu nhiên và quét worm trình tự Về bản, cả hai đều sử dụng ý tưởng của danh sách địa IP định tuyến được ghi sở điểm đến nơi đối tượng quét được chọn Những mô phỏng của chúng chỉ rằng việc quét trình tự của địa chỉ ip thường là công cụ kém hiệu quả quét ngẫu nhiên 35 Kết luận Hầu hết sâu mạng hiện xác định máy dễ bị lây nhiễm qua sự thăm dò ngẫu nhiên của miền địa chỉ, cũng internet càng ngày càng trở nên phổ biến với máy móc, hay sâu mạng sẽ có khả lan rộng nhanh và nhanh nữa.vì vậy, chúng ta cần diệt sâu mạng sớm Trong đề tài này, chúng xem lại những vấn đề của tìm hiểu worm đề cập tài liệu của Nguyen Duong Minh, bối cảnh mô hình mạng lứơi máy chủ lớn Mô phỏng của chúng chỉ triển khai hợp tác với liệu quan sát lọc nhiễu trước xử lí để phát dấu hiệu có sâu nhanh khoảng ba lần so với không lọc nhiễu Tuy nhiên, hệ thống chỉ phát hiện sâu mạng trực tiếp (sâu mạng lây lan không qua email và sử dụng lỗi hệ thống) Công việc của chúng đã được chứng minh qua mô phỏng của zou, nó ko phải là dữ liệu thật Chúng ta quá trình thi hành tác dụng của nó với những thí nghiệm lây lan sâu mạng thật điều kiện mạng lưới thật Để xử lý mối đe dọa lớn đặt ngày hôm nay, có kế hoạch để phát triển mô hình mạng Peer to Peer để phối hợp hoạt động phát bảo vệ phân phối Chúng em xin cảm ơn giáo viên hướng dẫn cô Nguyễn Phương Anh giúp đỡ tạo điều kiện cho chúng em trình làm báo cáo thực tập sở Trong trình nghiên cứu không tránh khỏi thiếu xót sai lầm, chúng em mong nhận đóng góp dạy đánh giá từ phía thầy cô hội đồng để chúng em rút học, kinh nghiệm kiến thức tốt phục vụ cho nhu cầu học tập rèn luyện sau Chúng em xin cảm ơn! 36 TÀI LIỆU THAM KHẢO An Introduction to Kalman Filter: Greg Welch and Gary Bíhop, July-2006 37 38 39 [...]... hằng số (ở giai đoạn này quá trình lây lan là rất ít) Chương 2.Giải quyết vấn đề 1 .Thuật toán Kalman Filter Có ba yêu cầu đối với bất kỳ thuật toán phát hiện sâu: tốc độ, độ chính xác và tỷ lệ dương tính giả phải được giữ ở mức tối thiểu Trong phần này, chúng tôi sẽ giải thích chi tiết về thuật toán Kalman Filter như một thuật toán phát hiện sâu 1.1 Giới thiệu Trước tiên tên Kalman là tên của người nghĩ... filtering) Tên đầy đủ của bài báo là "A New Approach to Linear Filtering and Prediction Problems" Từ đó đến nay cùng với sự phát triển của tính tóan kỹ thuật số, bộ lọc Kalman đã trở thành chủ đề nghiên cứu sôi nổi 7 và được ứng dụng trong nhiều ngành kỹ thuật công nghệ khác nhau: trong tự động hóa, trong định vị cũng như trong viễn thông (và nhiều lĩnh vực khác nữa) Một cách khái quát, bộ lọc Kalman... trong vector trạng thái không thể đo trực tiếp để chúng tôi cần phải ước lượng "tối ưu" từ dữ liệu đo lường Các bộ lọc Kalman có nhiều ứng dụng trong kỹ thuật và hàng không về lĩnh vực dự toán 1.3 Thuật toán Kalman Filter Các bộ lọc Kalman bao gồm hai bước sau: dự đoán là bước đầu tiên của bộ lọc Kalman và bước điều chỉnh, tình trạng dự đoán được cải thiện dựa trên các dữ liệu đo lường Điều này được thể... thành công và lan rộng Quét ngẫu nhiên: tìm kiếm địa chỉ IP dễ bị lây nhiễm Trình tự các địa chỉ IP quét là ngẫu nhiên Worms sử dụng kỹ thuật này là thành công đáng kể và đã lây lan rất nhanh Quét tuần tự: Các chức năng quét tuần tự của địa chỉ IP thông thường là một kỹ thuật ít thành công hơn so với một máy quét ngẫu nhiên Mỗi máy chủ bị nhiễm quét toàn bộ IP không gian theo tuần tự từ một điểm khởi... mỗi khoảng thời gian theo dõi, sau đó phần mềm độc hại cảnh báo Trung tâm có được các dữ liệu quan sát sau đối với mỗi rời rạc thời gian epotch t, t = 1,2,3 19 Theo [7], ta có: Zt = It-1 + Ît = t (9) (10) Phát hiện sớm của sâu mạng dựa trên Kalman Lọc Algorithm Tại Malware Trung tâm cảnh báo, chúng ta có được những dữ liệu quan sát Sau đó, chúng tôi sử dụng Kalman lọc thuật toán [7] tại đó để phát... "billy tại sao bạn có thể làm điều này? Hãy dừng việc kiếm tiền và sửa chữa phần mềm của bạn!! "Sau vài giờ, sâu MSBlast đạt gần 7000 máy tính Sáu tháng sau, con số này là thực sự khủng khiếp, 25 triệu máy tính bị nhiễm Đặc biệt đối với Code Red, Code Red đã được phát hành vào Thứ Sáu, Tháng bảy 13, năm 2001 Sau một tháng, máy bị nhiễm sẽ cố gắng để khởi động từ chối dịch vụ trên nhiều địa chỉ IP, bao... đoán nó sau đó Vn được giảm thiểu Từ đó, Xk được tính bằng: Xk = Kk * (Zk - Hk * ) Kk= Pk- HT (H Pk-HT + R)-1 10 Uk= (Zk - Hk * ): đo lường dư Dữ liệu sau đó, chúng tôi đã khắc vào thời gian k: Z’k= Zk – Uk= Hk * (3) Cuối cùng các trạng thái điều chỉnh thu được bằng = + Kk*(Zk - Hk * ) Các ma trận hiệp phương sai của trạng thái điều chỉnh được cho bởi: Pk= (I-Kk * Hk) * PkTóm lại, mô hình thuật toán... Nó