LỜI CẢM ƠN Sau khoảng thời gian học tập rèn luyện Trường Công nghệ thông tin truyền thông đến em kết thúc khóa học Em xin bày tỏ lòng cảm ơn sâu sắc tới Ban chủ nhiệm khoa, thầy cô giáo tận tình giảng dạy, trang bị cho chúng em vốn kiến thức kinh nghiệm quý báu, cung cấp cho chúng em điều kiện môi trường học tập tốt Để hoàn thành đồ án tốt nghiệp, em xin gửi lời cảm ơn chân thành đến thầy giáo Thạc Sỹ Lê Tuấn Anh - giảng viên Trường Công nghệ thông tin trực tiếp hướng dẫn tạo điều kiện giúp đỡ em thời gian thực đồ án Cảm ơn thầy giáo, cô giáo bạn Trường Công nghệ thông tin giúp đỡ em thời gian qua, tạo điều kiện tốt để em hoàn thành đồ án tốt nghiệp Nhưng thời gian có hạn, kinh nghiệm kiến thức thực tế hạn chế, nên đồ án tốt nghiệp em chắn không tránh khỏi thiếu sót Em mong nhận góp ý bảo nhiệt tình từ phía thầy cô bạn để nâng cao khả chuyên môn hoàn thiện kiến thức Thái Nguyên, tháng năm 2013 Sinh viên Phạm Đức Thọ LỜI CAM ĐOAN Để hoàn thành đồ án tốt nghiệp thời gian quy định đáp ứng yêu cầu đề ra, thân em cố gắng nghiên cứu, học tập làm việc thời gian dài Em tham khảo số tài liệu nêu phần “Tài liệu tham khảo” không chép nội dung từ đồ án khác Toàn đồ án thân nghiên cứu, xây dựng nên Em xin cam đoan lời đúng, thông tin sai lệch em xin hoàn toàn chịu trách nhiệm trước thầy giáo hướng dẫn môn Thái Nguyên, tháng năm 2013 Sinh viên Phạm Đức Thọ DANH MỤC TỪ VIẾT TẮT Tên đầy đủ Từ viết tắt KPDL Khai phá liệu BTTM Bất thường mạng PTTB Phần tử tách biệt SOM Seft Organized Map HIDS Host-based Intrusion Detection System NIDS Network-based Intrusion Detection System IDS Intrusion Detection System DoS Denial of Service SNMP Simple Network Management Protocol HTTPS Hypertext Transfer Protocol CSDL Cơ sở liệu ICMP Internet Control Message Protocol TTL Time To Live MIB Management Information Base DANH MỤC HÌNH VẼ Hình Nội dung Hình 1.1 Số lượng máy bị công ngày tăng Hình 1.2 Thời gian lây nhiễm 10.000 máy rút ngắn Hình 1.3 Hệ thống phòng thủ theo chiều sâu Hình 1.4 Thành phần hệ thống IDS Hình 1.5 Hoạt động IDS Hình 1.6 Hoạt động HIDS Hình 1.7 Hoạt động NIDS Hình 1.8 Knowledge-based IDS Hình 1.9 Nguyên lý hoạt động hệ thống IDS Hình 1.10 IDS gửi TCP Reset Hình 1.11 IDS yêu cầu Firewall tạm dừng dịch vụ Hình 2.1 IDS dựa phát bất thường Hình 2.2 Hoạt động IDS dựa phát bất thường Hình 2.3 IDS dựa SOM Hình 2.4 Hệ thống phát bất thường sử dụng Kỹ thuật KPDL Hình 2.5 Ví dụ tổng hợp luật Hình 2.6 Hoạt động module Tổng hợp Hình 2.7 Tập hợp tri thức công Hình 3.1 Quan hệ thành phần Snort Hình 3.2 Sơ đồ giải mã gói tin MỤC LỤC Trang MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1 Bảo mật hệ thống thông tin 1.1.1 Các nguy đe dọa 1.1.2 Các nguyên tắc bảo vệ thông tin 1.1.3 Các biện pháp bảo vệ 1.2 Kỹ thuật phát xâm nhập trái phép 10 1.2.1 Thành phần 10 1.2.2 Phân loại 12 1.2.3 Nguyên lý hoạt động 17 1.3 Kết chương 20 CHƯƠNG HỆ THỐNG IDS DỰA TRÊN PHÁT HIỆN BẤT THƯỜNG 22 2.1 Định nghĩa bất thường mạng 23 2.2 Kỹ thuật phát bất thường 24 2.3 Ưu nhược điểm phát bất thường 25 2.4 Dữ liệu phát bất thường 26 2.5 Các phương pháp phát bất thường 28 2.5.1 Phát bất thường mạng Nơ-ron 29 2.5.2 Phát bất thường kỹ thuật khai phá liệu 30 2.5.3 Phát bất thường Hệ chuyên gia 37 2.6 Kết chương 38 CHƯƠNG XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP BẤT THƯỜNG VỚI PHẦN MỀM Snort 40 3.1 Tổng quan Snort 40 3.1.1 Bộ giải mã gói tin 41 3.1.2 Các tiền xử lý 42 3.1.3 Máy phát 43 3.1.4 Hệ thống cảnh báo ghi dấu 44 3.1.5 Môđun xuất 44 3.2 Hướng dẫn cài đặt sử dụng 45 3.2.1 Cài Đặt Snort 45 3.2.2 Sử dụng Snort 48 3.3 Kết chương 59 KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI 60 Kết luận đề tài 60 Hướng nghiên cứu 61 TÀI LIỆU THAM KHẢO PHỤ LỤC MỞ ĐẦU Bối cảnh nghiên cứu Theo Mạng An toàn thông tin VSEC (The VietNamese security network), 70% website Việt Nam bị xâm nhập, 80% hệ thống mạng bị hacker kiểm soát Điều cho thấy sách bảo mật hệ thống thông tin Việt Nam chưa quan tâm đầu tư mức Khi hệ thống thông tin bị hacker kiểm soát hậu lường trước Đặc biệt, hệ thống hệ thống xung yếu đất nước hệ thống phủ, hệ thống ngân hàng, hệ thống viễn thông, hệ thống thương mại điện tử thiệt hại uy tín, kinh tế lớn Trong bối cảnh đó, việc phát triển sử dụng hệ thống phát xâm nhập - IDS ngày trở nên phổ biến đóng vai trò quan trọng thiếu sách bảo mật an toàn thông tin hệ thống thông tin Nhiệm vụ IDS thu thập liệu Mạng, tiến hành phân tích, đánh giá, từ xác định xem có dấu hiệu công hay không IDS cảnh báo cho chuyên gia trước thủ phạm thực hành vi đánh cắp hay phá hoại thông tin, giảm thiểu nguy an ninh hệ thống Hệ thống phát xâm nhập có hướng tiếp cận Tiếp cận dựa phát bất thường Tiếp cận dựa dấu hiệu Nếu dựa dấu hiệu, hệ thống sử dụng mẫu công có từ trước, tiến hành so sánh để xác định liệu xét có phải bất thường hay không Hướng sử dụng rộng rãi nhiên điểm yếu phát công có dấu hiệu biết trước Kỹ thuật phát bất thường khắc phục đặc điểm này, cách tiến hành xây dựng hồ sơ mô tả “trạng thái bình thường” Một hành vi hệ thống coi “bất thường” thông số đo có độ khác biệt đáng kể với mức “bình thường”, từ suy luận “bất thường” dấu hiệu hành vi công Rõ ràng hướng tiếp cận dựa hành vi bất thường có tính “trí tuệ” cao hoàn toàn nhận diện công mà chưa có dấu hiệu cụ thể Nội dung nghiên cứu Trong thời gian thực đề tài, tác giả tiến hành nghiên cứu vấn đề sau: • Phân tích vai trò, chức Hệ thống xâm nhập trái phép, tìm hiểu thành phần, cách phân loại hoạt động hệ thống Đưa tiêu chi đánh giá hệ thống IDS • Tìm hiểu Hệ thống IDS dựa phát bất thường Phân tích ưu nhược điểm hướng tiếp cận Nghiên cứu kỹ thuật sử dụng để phát bất thường: Xác xuất thống kê, Máy trạng thái hữu hạn, Khai phá liệu, mạng Nơ-ron, Hệ chuyên gia Đưa đánh giá hiệu kỹ thuật • Xây dựng hệ thống phát bất thường cách sử dụng phần mềm phát xâm nhập Snort Cấu trúc đề tài Chương 1: Giới thiệu tổng quan Hệ thống Phát xâm nhập trái phép Trong chương trình bày cách khái quát vai trò IDS hệ thống thông tin, hình thức phân loại, cấu trúc nguyên lý hoạt động Hệ thống IDS Chương 2: Mô tả nguyên tắc phát công dựa theo dõi dấu hiệu bất thường hệ thống, so sánh đánh giá ưu, nhược điểm Hệ thống phát xâm nhập trái phép dựa phát bất thường Chương đưa đánh giá số hướng nghiên cứu thực Chương 3: Xây dựng hệ thống phát xâm nhập với Snort cho hệ thống thông tin Đưa cách xây dụng tập luật ứng dụng để phát xâm nhập trái phép Cuối kết luận hướng nghiên cứu đề tài CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1 Bảo mật hệ thống thông tin Thông tin cho có giá trị cao đảm bảo tính xác kịp thời, hệ thống cung cấp thông tin có giá trị thực chức hệ thống đảm bảo hoạt động đắn Mục tiêu việc đảm bảo an toàn an ninh cho hệ thống thông tin đưa giải pháp ứng dụng giải pháp vào hệ thống để loại trừ giảm bớt nguy hiểm Hiện công ngày tinh vi, gây mối đe dọa tới an toàn thông tin Các công đến từ nhiều hướng theo cách khác nhau, cần phải đưa sách biện pháp đề phòng cần thiết Mục đích cuối an toàn bảo mật hệ thống thông tin tài nguyên theo yêu cầu sau: • Đảm bảo tính tin cậy (Confidentiality): Thông tin bị truy nhập trái phép người thẩm quyền • Đảm bảo tính nguyên vẹn (integrity ): Thông tin bị sửa đổi, bị làm giả người thẩm quyền • Đảm bảo tính sẵn sàng (Availability): Thông tin sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền • Đảm bảo tính từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp Cần nhấn mạnh thực tế hệ thống an toàn tuyệt đối Bởi hệ thống bảo vệ dù đại chắn đến đâu có lúc bị vô hiệu hóa kẻ phá hoại có trình độ cao có đủ thời gian Chưa kể tính an toàn hệ thống thông tin phụ thuộc nhiều vào việc sử dụng người Từ thấy vấn đề an toàn mạng thực tế chạy tiếp sức không ngừng không dám khẳng định có đích cuối hay không 1.1.1 Các nguy đe dọa Có nhiều nguy ảnh hưởng đến an toàn hệ thống thông tin Các nguy xuất phát từ hành vi công trái phép bên từ thân lỗ hổng bên hệ thống Tất hệ thống mang lỗ hổng hay điểm yếu Nhìn cách khái quát, ta phân thành loại điểm yếu sau: • Phần mềm: Việc lập trình phần mềm ẩn chứa sẵn lỗ hổng Theo ước tính 1000 dòng mã có trung bình từ 5-15 lỗi, Hệ điều hành xấy dựng từ hàng triệu dòng mã(Windows: 50 triệu dòng mã) • Phần cứng: Lỗi thiết bị phần cứng Firewall, Router, • Chính sách: Đề quy định không phù hợp, không đảm bảo an ninh, ví dụ sách xác thực, qui định nghĩa vụ trách nhiệm người dùng hệ thống • Sử dụng: Cho dù hệ thống trang bị đại đến đâu người sử dụng quản lý, sai sót bất cẩn người dùng gây lỗ hổng nghiêm trọng Đối với hành vi công từ bên ngoài, ta chia thành hai loại là: công thụ động công chủ động “Thụ động” “chủ động” hiểu theo nghĩa có can thiệp vào nội dung vào luồng thông tin trao đổi hay không Tấn công “thụ động” nhằm đạt mục tiêu cuối nắm bắt thông tin, nội dung dò người gửi, người nhận nhờ vào thông tin điều khiển giao thức chứa phần đầu gói tin Hơn nữa, kẻ xấu kiểm tra số lượng, độ dài tần số trao đổi để biết đặc tính trao đổi liệu Sau số hình thức công điển hình: a) Các hành vi dò quét: Bất xâm nhập vào môi trường mạng bắt đầu cách thăm dò để tập hợp thông tin người dùng, cấu trúc hệ thống bên điểm • Rule header: nơi chứa action (hành động), protocol (giao thức truyền thông), Source IP address Destination IP Address với giá trị subnet mask số hiệu port địa IP nguồn đích • Rule option: nơi khai báo đặc tả tình trạng trùng khớp gói tin với rule, cảnh báo alert messenger ví dụ sau đây: alert tcp any any -> any 80 (content: "adult"; msg: "Adult Site Access";) Dòng lệnh cho ta thấy phần rule header alert tcp any any -> any 80 phần content: ("adult"; msg: "Adult Site Access";) rule option, rule option không bắt buộc phải có tất snort rule cho biết thông tin cần thiết lý để tạo rule hay hành động tương ứng Và kết dòng lệnh tạo cảnh báo (alert) TCP trafic từ địa IP port gởi đến địa IP Port 80 mà phần nội dung (payload) có chứa từ khóa Adult Nếu tình xảy ra, nghĩa có user LAN truy cập vào site có chứa từ Adult record Adult Site Access ghi vào log file 3.2.2.3.1 Rule Header Tiếp theo, ta sâu rule header, ví dụ alert tcp any any -> any 80, với phần alert rule action định nghĩa hành động mà snort thực packet trùng khớp với quy tắc mà ta tạo Có loại rule action sau: Rule Action Mô tả Alert Tạo cảnh báo ghi log file Log Ghi Log packet Pass Bỏ qua gói tin Activate Tạo cảnh báo bật chức dynamic rule 52 Dynamic Chưa sử dụng, trừ có rule khác tương thích Khi action định nghĩa, ta cần phải xác định giao thức ví dụ TCP, Snort hổ trợ giao thức truyền thông sau TCP, UDP, ICMP, IP Sau bổ sung địa IP cho snort rule mình, ví dụ any xác định địa IP nào, ngòai snort sử dụng định dạng netmask để khai báo mặt nạ mạng lớp A /8, địa lớp B /16 địa lớp C /24 Nếu muốn khai báo host sử dụng /32 Bên cạnh ta dãy máy tính sau: Alert tcp 10.10.10.0/24] any any any => -> [10.0.10.0/24, (content: "Password"; msg:"Password Transfer Possible!";) Lưu ý: trường hợp dòng lệnh chia thành dòng thực bạn phải nhập dòng Còn muốn chia làm nhiều dòng khác cho dòng lệnh phải sử dụng dấu “\”, nhiên nên sử dụng dòng đơn Sau action, protocol ip address định nghĩa ta cần xác định số hiệu port dịch vụ, 80 cho dịch vụ truy cập Web hay port 21, 23 …Cũng áp dụng từ khóa any để áp dụng cho tất port, hay dùng dấu “;” để định dãy port đó: - Để ghi log truyền thông từ tất địa IP address tất port đến port 23 lớp mạng 10.0.10.0/24 sử dụng lệnh sau: Log tcp any any -> 10.0.10.0/24 23 - Ghi log tất truyền thông từ địa IP đến port nằm khỏang đến 1024 máy thuộc lớp mạng 10.0.10.0/24 sử dụng lệnh sau: Log tcp any any -> 10.0.10.0/24 1:1024 53 Ghi log tất truyền thông từ địa IP có số hiệu port thấp - 1024 đến máy thuộc lớp mạng 10.0.10.0/24 destination port lớn 1024 sử dụng cú pháo sau: Log tcp any :1024 -> 10.0.10.0/24 1024 Ngoài ra, ta sử dụng tham số phủ định “!” trường hợp ghi log truyền thông giao thức TCP từ máy tính ngọai trừ 172.16.40.50 áp dụng cho tất port đến 10.0.10.0/24 sử dụng tất port : Log tcp ! 172.16.40.50/32 any -> 10.0.10.0/24 any Hay trường hợp ghi log tất truyền thông đến máy tính thuộc lớp mạng 10.0.10.0/24 ngọai trừ port 23 sau: Log tcp any any -> 10.0.10.0/24 !23 Đến lúc ta duyệt qua số snort rule nhận thấy rule có lệnh điều hướng ->, xác định chiều truyền thông từ phải qua trái Trong trường hợp muốn áp dụng snort rule cho truyền thông theo chiều sử dụng cú pháp thay cho -> trường hợp ghi log chiều tenlet session sau Log tcp 10.0.10.0/24 any 172.16.30.0/24 23 3.2.2.3.2 Rule Option Một snort rule có nhiều option khác phân cách giấu “;” rule option làm cho snort rule áp dụng linh động, mạnh mẽ Danh sách sau trình bày rule option thông dụng thường áp dụng snort rule: Rule Option Mô tả Msg Hiển thị thông báo alert packet log file Ttl Dùng để so sánh giái trị Time To Live IP header 54 Id Dùng để so sánh giá trị IP header fragment Flags Dùng để so sánh tcp flag với giá trị định nghĩa Ack So sánh TCP ack cho giá trị định nghĩa Content So sánh nội dung packet với giá trị định nghĩa Khi từ khóa msg áp dụng rule yêu cầu ghi nhật ký cảnh báo snort chèn thêm thông điệp định nghĩa vào log file hay cảnh báo ví dụ msg: "text here"; Khi ttl sử dụng rule yêu cầu snort so sánh với giá trị Time To Live, trường hợp thường áp dụng để dò tìm tuyến đường.Ví dụ đơn giản sau dùng để khai báo ttl: ttl: "time-value"; Còn trường hợp rule sử dụng từ khóa id yêu cầu Snort so sánh với IP header fragment theo id định như: id: "id-value"; Đối với trường hợp flags option có nhiều tình khác tùy theo flag yêu cầu so sánh, tùy chọn flag khai báo sau: - F: dùng cho cờ FIN - S: dùng cho cờ SYN - R: dùng cho cờ RST - P: dùng cho cờ PSH - A: dùng cho cờ ACK - U: dùng cho cờ URG - 2: dùng cho Reserved bit - 1: dùng cho Reserved bit - 0: dùng cho no tcp flags set Các toán tử logic áp dụng cho tùy chọn flag + dùng để so khớp với tất flag, * dùng để xác định có trùng lắp với flag 55 ! dùng để so sánh trùng lắp mang tính chất loại trừ Các reserved bit áp dụng tình phát trường hợp scan hay IP stack fingerprinting Sau ví dụ tùy chọn flags snort rule dùng để xác định dò tìm SYNFIN scans: Ví dụ sử dụng flags: Alert any any -> 10.0.10.0/24 any (flags: SF; msg: "SYN FIN => Scan Possible";) Tùy chọn ack áp dụng để so khớp với giá trị ACK tương ứng TCP header packet, ứng dụng Nmap dùng ACK flag để xác định tồn host Trong số từ khóa content từ khóa quan trọng nhất, content áp dụng snort kiểm tra nội dung gói tin so sánh với giá trị khai báo content, có trùng lắp hành động tương ứng tiến hành Lưu ý giá trị áp dụng với content có tính chất case sensitive (phân biệt chữ hoa chữ thường) để tăng hiệu cho trình so sánh Snort sử dụng chế pattern-match gọi Boyer-Moore, với chế trình so sánh diễn hiệu máy có cấu hình yếu Cú pháp đơn giản từ khóa content là: content:"content value"; 3.2.2.3.3 Cách xây dựng luật Snort Ở phần ta thấy rõ ràng luật Snort bao gồm thành phần: phần Header phần Rule Option Như để xây dựng luật Snort ta phải bước xây dựng thành phần Sau ta xây dựng luật, luật có cho phép cảnh báo đến chuyên gia xảy trường hợp có lệnh ping sử dụng, đồng thời đưa cảnh báo có sử dụng mật mã password Tiến hành sau: Sử dụng trình sọan thảo Notepad nhập vào nội dung: log tcp any any -> any any (msg: "TCP Traffic Logged";) 56 alert icmp any any -> any any (msg: "ICMP Traffic Alerted";) alert tcp "password"; any any msg: -> => any any "Possible (content: Password Transmitted";) Lưu tập tin thành c:\Snort\rules\security365.rule ,lưu ý chọn chế độ lưu trữ All file Notepad để không bị gắn thêm phần mở rộng Để kiểm tra lại quy tắc vừa tạo ra, xóa tập tin thư mục C:\Snort\log mở cửa sổ dòng lệnh chạy lệnh sau cửa sổ thứ nhất: C:\Snort\bin\snort -c \Snort\rules\security365.rule -l \Snort\log Sau chạy lệnh cũa sổ lại: C:\ping www.dantri.vn C:\net send [ip_address] Here is my password Nhấn Ctrl-C hình thực thi Snort thấy gói tin lưu giữ quan sát log file thấy xuất cảnh báo 57 Bên cạnh việc tạo snort rule riêng ta áp dụng quy tắc tạo sẵn Hình sau trình bày nội dung pre-defined rule scan.rules thư mục C:\Snort\rules cách thiết lập quy tắc để phát FIN/SYN scan Nếu muốn áp dụng rule pre-defined tiến hành tương tự trường hợp rule ta thiết lập Trong trưòng hợp hệ thống có nhiều card mạng ta nên xác định rõ ràng số hiệu chúng để snort sử dụng Ngoài ra, thiết lập quy tắc cho giao thức ICMP phần Port ta đặt any 58 3.2.2.3.4 Các Ví Dụ Về Snort Rule Sau số snort rule với mô tả chúng Ta sử dụng chúng làm mẫu cho trình tạo snort rule - Để log tất truyền thông kết nối đến port 23 dịch vụ telnet: Log tcp any any -> 10.0.10.0/24 23 - Để log ICMP traffic đến lớp mạng 10.0.10.0: Log icmp any any -> 10.0.10.0/24 any - Cho phép tất trình duyệt Web mà không cần ghi log: Pass tcp any 80 -> any 80 - Tạo cảnh báo với thông điệp kèm theo: Alert tcp any any -> any 23 (msg: "Telnet Connection => Attempt";) - Dò tìm tình quét mạng với SYN/FIN : Alert tcp any any -> 10.0.10.0/24 any (msg: "SYN-FIN => scan detected"; flags: SF;) - Dò tìm tiến trình quét mạng TCP NULL: Alert tcp any any -> 10.0.10.0/24 any (msg: "NULL scan - detected"; flags: 0;) Dò tìm tiến trình OS fingerprinting: Alert tcp any any -> 10.0.10.0/24 (msg: "O/S Fingerprint => detected"; flags: S12;) - Tiến hành lọc nội dung: alert tcp any $HOME_NET -> !$HOME_NET (content: => "Hello"; msg:"Hello Packet";) 3.3 Kết chương 59 any Chương giới thiệu cách tổng quan phần mềm Snort Các thành phần chế độ làm việc Đồng thời đưa cách xây dựng luật đưa luật vào ứng dụng Các thành phần bao gồm thành phần: Bộ giải mã gói tin, Các tiền xử lý, Máy phát hiện, Hệ thống cảnh báo ghi dấu Môđun xuất Các chế độ làm việc bao gồm: Sniffer Packet, Packer Logger, Network IDS Cuối cách xây dựng luật với thành phần bao gồm Header Rule Option KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI Kết luận đề tài Trong thời gian làm đề tài, tác giả tìm hiểu hệ thống bảo mật, đặc biệt Hệ thống phát xâm nhập trái phép IDS thành phần quan trọng chiến lược phòng thủ theo chiều sâu Hệ thống thông tin Hệ thống phát xâm nhập trái phép có chức phát cảnh báo sớm dấu hiệu công, giúp chuyên gia chủ động đối phó với nguy xâm phạm Đề tài trình bày cách tổng quan nguyên lý hoạt động, hình thức phân loại, phương pháp phát xâm nhập cách sử dụng Snort để xây dựng Hệ thống phát xâm nhập Hệ thống IDS hoạt động dựa thành phần Cảm ứng, Giao diện Bộ phân tích Xét chức IDS phân thành loại NIDS HIDS NIDS thường đặt ngõ mạng để giám sát lưu thông toàn mạng, HIDS cài đặt máy trạm để phân tích hành vi liệu đến máy trạm Xét cách thức hoạt động hệ thống IDS chia thành giai đoạn là: Giám sát, Phân tích, Liên lạc, Cảnh báo Phản ứng 60 Hệ thống IDS phát công dựa dấu hiệu dựa tượng bất thường Ý tưởng phương pháp Phát bất thường lấy sở nhận định: công thường gây dấu hiệu khác thường hệ thống, ví dụ tăng đột biến loại gói tin xuất phát từ Tấn công từ chối dịch vụ, hay xuất kết nối lạ thủ phạm dò quét điểm yếu Do đó, để cảnh báo công, hệ thống phân loại phát dấu hiệu “bất thường” tập thông số quan sát Với tiếp cận vậy, lợi Phương pháp khả phát kiểu công chưa có dấu hiệu hay biến thể công có mà Hệ thống IDS khác nhận Ngoài ra, phương pháp Phát bất thường giải vấn đề tải tính toán, tính tự động vận hành Hệ thống phát xâm nhập trái phép Hệ thống IDS dựa phát bất thường sử dụng kỹ thuật khác Đề tài giới thiệu hệ thống Phát bất thường dựa Xác xuất thống kê, Máy trạng thái hữu hạn, Khai phá liệu, mạng Nơ-ron, Hệ chuyên gia Mỗi kỹ thuật có chế hoạt động riêng, đồng thời có ưu nhược điểm khác Đề tài giới thiệu số hướng nghiên cứu lĩnh vực đưa đánh giá hướng Chương đề tài tác giả xây dựng Hệ thống phát xâm nhập với Snort cho hệ thống thông tin Đồng thời trình bày phận cấu thành Snort, nguyên lý hoạt động phối hợp phận cấu thành Snort Chương đặc biệt sâu cách xây dựng, quản lý, thực thi cập nhật tập luật Hướng nghiên cứu Lĩnh vực Phát bất thường lĩnh vực nghiên cứu mới, đã, quan tâm vai trò Hệ thống thông tin Sau số hướng nghiên cứu mà tác giả dự định phát triển thêm: Xây dựng phần mềm Phát bất thường dựa Hệ chuyên gia 61 Tìm hiểu kỹ thuật Phát bất thường khác để tăng khả phòng thủ hệ thống TÀI LIỆU THAM KHẢO [1] Marina Thottan, Chuanyi Ji, Anomaly Detection in IP Networks, IEEE transactions on Signal processing, August 2003 [2] Nguyễn Linh Giang, Anomaly Detection by statistucal analysis and neutral network, Department of Communcation and Computer Networks, Ha Noi University of Technology [3] Stefan Alexsson, Research in Intrusion-Detection System: A Survey, Chalmers University of Technology, Sweden 1998 [4] James A.Hoagland, Practical automated detetion of stealthy portscans, Journal of Computer Security 10 (2002) [5] Matthew Vincent Mahoney, A Machine Learning Approach to Detecting Attacks by Indentifying Anomalies in Network Traffic, Florida Institude of Technology 2003 [6] Christopher Kruegel, Bayesian Event Classification for Intrusion Detection, University of California, Santa Barbara, 2003 62 [7] Intrusion Prevention Fundamental, Cisco Press 2006 [8] Matthew Tanase, One of These Things is not Like the Other: The State of Anomaly Detection [9] Network Security Architectures, Cisco Press 2004 [10] Network Intrusion detection, Third Edition, SANS 2006 [11] F.Feather and R.Maxion, Fault detection in an ethernet network using anomaly signature matching [12] M.M.Breuning, H.P.Kriegel, R.T.Ng, J.Sander, LOF: Identifying densityBased Local Outliers, Proceedings of the ACM SIGMOD Conference, 2000 [13] Hawkins D.M, Indentification of Outliers, Chapman and Hall, London 1980 63 PHỤ LỤC Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ DoS mô tả hành động ngăn cản người dùng hợp pháp truy cập sử dụng vào dịch vụ Nó bao gồm làm tràn ngập mạng, kết nối với dịch vụ mà mục đích cuối máy chủ đáp ứng yêu cầu sử dụng dịch vụ từ máy trạm DoS làm ngưng hoạt động máy tính, mạng nội bộ, chí hệ thống mạng lớn Về chất thực DoS, kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ làm khả xử lý yêu cầu dịch vụ từ máy trạm khác Các cách thức công DoS Tấn công kiểu SYN flood Lợi dụng cách thức hoạt động kết nối TCP/IP, hacker bắt đầu trình thiết lập kết nối TCP/IP tới mục tiêu muốn công mà không gửi trả gói tin ACK, khiến cho mục tiêu rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) liên tục gửi gói tin SYN ACK để thiết lập kết nối Một cách khác giả mạo địa IP nguồn gói tin yêu cầu thiết lập kết nối SYN trường hợp trên, máy tính đích rơi vào trạng thái chờ gói tin SYN ACK đến đích địa IP nguồn thật Kiểu công SYN flood hacker áp dụng để công hệ thống mạng có băng thông lớn hệ thống hacker Client sends SYN segment to Server Server returns ACK and its own SYN Client Client returns SYN to server Instead of a ACK Server Kiểu công Land Attack Kiểu công Land Attack tương tự SYN flood, hacker sử dụng IP mục tiêu cần công để dùng làm địa IP nguồn gói tin, đẩy mục tiêu vào vòng lặp vô tận cố gắng thiết lập kết nối với Kiểu công UDP flood Hacker gửi gói tin UDP echo với địa IP nguồn cổng loopback mục tiêu cần công máy tính mạng Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi nhận gói tin echo máy tính (hoặc mục tiêu với mục tiêu có cấu hình cổng loopback), khiến cho máy tính sử dụng hết băng thông chúng, cản trở hoạt động chia sẻ tài nguyên mạng máy tính khác mạng Tấn công kiểu DDoS (Distributed Denial of Service) Đây cách thức công nguy hiểm Hacker xâm nhập vào hệ thống máy tính, cài đặt chương trình điều khiển từ xa, kích hoạt đồng thời chương trình vào thời điểm để đồng loạt công vào mục tiêu Với DDoS, hacker huy động tới trăm chí hàng ngàn máy tính tham gia công thời điểm (tùy vào chuẩn bị trước hacker) “ngốn” hết băng thông mục tiêu nháy mắt Kiểu công Smurf Attack Kẻ công lợi dụng nguồn tài nguyên mà nạn nhân cần sử dụng để công Những kẻ công thay đổi liệu tự chép liệu mà nạn nhân cần nên nhiều lần, làm CPU bị tải trình xử lý liệu bị đình trệ Kiểu công cần hệ thống quan trọng, mạng khuyếch đại Hacker dùng địa máy tính cần công cách gửi gói tin ICMP echo cho toàn mạng (broadcast) Các máy tính mạng đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn công Kết máy tính xử lý kịp thời lượng lớn thông tin dẫn tới bị treo máy Tấn công kiểu Tear Drop Trong mạng chuyển mạch gói, liệu chia thành nhiều gói tin nhỏ, gói tin có giá trị offset riêng truyền theo nhiều đường khác để tới đích Tại đích, nhờ vào giá trị offset gói tin mà liệu lại kết hợp ban đầu Lợi dụng diều này, hacker tạo nhiều gói tin có giá trị offset trùng lặo gửi đến mục tiêu muốn công Kết máy tính đích xếp gói tin dẫn tới bị treo máy bị “vắt kiệt” khả xử lý