Header Page of 126 BỘ GIÁO DỤC VÀ ĐÀO TẠO ĐẠI HỌC ĐÀ NẴNG NGUYỄN ĐĂNG BẢO PHÚC XÂY DỰNG HỆ THỐNG HỖ TRỢ GIÁM SÁT VÀ BẢO VỆ MẠNG MÁY TÍNH Chuyên ngành : KHOA HỌC MÁY TÍNH Mã số : 60.48.01 TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT Đà Nẵng - Năm 2012 Footer Page of 126 Header Page of 126 Công trình hoàn thành ĐẠI HỌC ĐÀ NẴNG Người hướng dẫn khoa học: TS NGUYỄN TẤN KHÔI Phản biện 1: PGS.TS PHAN HUY KHÁNH Phản biện 2: TS TRƯƠNG CÔNG TUẤN Luận văn bảo vệ Hội đồng chấm Luận văn tốt nghiệp thạc sĩ kỹ thuật họp Đại học Đà Nẵng vào ngày 03 tháng 03 năm 2012 Có thể tìm hiểu luận văn tại: • Trung tâm Thông tin - Học liệu, Đại học Đà Nẵng • Trung tâm Học liệu, Đại học Đà Nẵng Footer Page of 126 Header Page of 126 MỞ ĐẦU Lý chọn đề tài: Internet đời mang lại nhiều lợi ích cho người, bên cạnh ưu điểm mang đến cho xã hội phát triển vượt bậc, thông tin cập nhật phổ biến rộng rãi, xóa khoảng cách địa lý, v.v Nhưng tồn song song nguy cơ, yếu điểm internet, yếu điểm vấn đề an toàn bảo mật Internet Sự mở rộng mặt địa lý ứng dụng mạng Internet mở rộng cửa kẻ công mạng Hơn nữa, thủ đoạn công mạng ngày tinh vi Bài toán an ninh, an toàn mạng công mạng song hành Khi có kiểu công giải pháp an ninh, an toàn cần phải nâng cấp, cải tiến tức thời để chống lại công Có thể nói rằng, đua an ninh, an toàn mạng kẻ công chiến đầy phức tạp hồi kết Không giới mà ngày Việt Nam, công hacker1 nhằm vào website, máy chủ doanh nghiệp ngày tăng Từ website giáo dục, tổ chức tài chính, tổ chức phủ website cá nhân công ty, xí nghiệp máy chủ tập đoàn lớn nước hàng ngày có thăm dò công Mọi tài nguyên tổ chức, cá nhân tham gia vào Internet có nhiều nguy tiềm ẩn khả ATTT Tài nguyên thông tin Hacker: kẻ công vào hệ thống mạng nhằm mục đích phá hoại Footer Page of 126 Header Page of 126 mang tính bí mật định cho thành công doanh nghiệp Vấn đề cấp thiết đảm bảo ATTT cho tài nguyên thông tin doanh nghiệp tham gia vào môi trường Internet Hiện nay, chương trình bảo mật, phòng chống virus, giám sát bảo vệ hệ thống có giá thành cao phát triển nước Ngoài ra, chương trình giám sát hầu hết tích hợp thiết bị phần cứng nên việc khai thác chức năng, người dùng tự phát triển mở rộng thêm chức chương trình nhằm phục vụ cho công việc quản trị mạng bị hạn chế Vì thế, nhu cầu có hệ thống hỗ trợ giám sát bảo vệ hệ thống mạng trực quan nhằm giúp cho công việc quản trị mạng tập trung đạt hiệu cao cần thiết Đó lý mà chọn nghiên cứu thực đề tài: “Xây dựng hệ thống hỗ trợ giám sát bảo vệ mạng máy tính” hướng dẫn TS Nguyễn Tấn Khôi Mục tiêu nhiệm vụ nghiên cứu: Mục tiêu mà đề tài hướng đến nghiên cứu áp dụng chương trình hỗ trợ phát xâm nhập mạng mã nguồn mở Snort công cụ mã nguồn mở phát triển hỗ trợ cho hệ thống giao diện trực quan để bảo vệ hệ thống mạng máy tính Tìm hiểu, phân tích cấu trúc hệ thống phát xâm nhập đề giải pháp hợp lý việc xây dựng triển khai hệ thống Footer Page of 126 Header Page of 126 Nghiên cứu giải thuật lan truyền ngược ứng dụng mạng nơ ron truyền thẳng nhiều lớp để ứng dụng hệ thống phát xâm nhập Áp dụng sở lý thuyết tảng để xây dựng triển khai hệ thống Đối tượng phạm vi nghiên cứu: Từ yêu cầu đề tài, ta xác định đối tượng phạm vi nghiên cứu đề tài cụ thể sau: Đối tượng nghiên cứu: - Các kỹ thuật phương pháp giám sát hệ thống mạng; - Các kỹ thuật xâm nhập trái phép vào mạng máy tính; - Cơ sở, kiến trúc hệ thống phát xâm nhập; - Mạng nơ ron thuật toán lan truyền ngược; - Hệ thống phát xâm nhập Snort Phạm vi nghiên cứu: - Phạm vi nghiên cứu nằm lĩnh vực lập trình hệ thống kỹ thuật giám sát mạng - Khả phát xâm nhập hệ thống phát xâm nhập mã nguồn mở Snort Phương pháp nghiên cứu: Footer Page of 126 Header Page of 126 - Thu thập phân tích tài liệu thông tin liên quan đến đề tài: - Phân tích hệ thống phát xâm nhập; - Triển khai xây dựng chương trình ứng dụng; - Kiểm tra, thử nghiệm đánh giá kết Kết đạt được: Đề xuất giải pháp, xây dựng đánh giá thành công hệ thống hỗ trợ giám sát bảo vệ mạng máy tính Ý nghĩa khoa học thực tiễn: Về mặt khoa học: Đề tài đưa nhìn tổng quát hệ thống hỗ trợ giám sát mạng máy tính giải pháp giám sát bảo vệ hệ thống máy tính Đồng thời, đưa phương thức ứng dụng mạng nơ ron thuật toán lan truyền ngược hệ thống phát xâm nhập Về mặt thực tiễn: Đề tài ứng dụng công cụ mã nguồn mở, công cụ, ngôn ngữ lập trình phục vụ cho đảm bảo hệ thống để xây dựng hệ thống hỗ trợ giám sát bảo vệ mạng máy tính Kết đề tài cung cấp thêm giải pháp an toàn thông tin cho tổ chức doanh nghiệp Cung cấp hệ thống hỗ trợ cho nhà quản trị mạng Footer Page of 126 Header Page of 126 khai thác phục vụ công việc quan Bố cục luận văn: Sau phần mở đầu, giới thiệu , nội dung luận văn vào tìm hiểu phương pháp công mạng, tổng quát hệ thống phát xâm nhập, giới thiệu mạng nơ ron nghiên cứu ứng dụng để phát xâm nhập mạng Luận văn gồm chương sau: Chương 1: Tổng quan an toàn thông tin: Cho ta nhìn tổng quát phương pháp công mạng đưa số thống kê tình hình an ninh mạng giới Việt Nam Chương 2: Tổng quan hệ thống phát xâm nhập: Chương chủ yếu sâu vào tìm hiểu hệ thống phát xâm nhập, sâu vào hệ thống phát xâm nhập IDS Snort với thành phần, cấu tạo luật Snort Chương 3: Mạng nơ ron: Chương mô tả tổng quát, mô hình hóa mạng nơ ron thuật toán lan truyền ngược áp dụng mạng nơ ron truyền thẳng nhiều lớp Chương 4: Hệ thống IDS ứng dụng mạng nơ ron: Đưa mô hình hệ thống, cài đặt giải thuật lan truyền ngược ứng dụng mạng nơ ron tìm hiểu chương vào hệ thống phát xâm nhập nhằm giảm bớt cảnh báo thừa Cuối phần đánh giá, kết luận hướng phát triển đề tài Footer Page of 126 Header Page of 126 CHƯƠNG 1: AN TOÀN THÔNG TIN MẠNG 1 An toàn thông tin tính thiết yếu An toàn thông tin bao gồm hoạt động quản lý, nghiệp vụ kỹ thuật hệ thống thông tin nhằm bảo vệ, khôi phục hệ thống, dịch vụ nội dung thông tin nguy tự nhiên người gây Việc bảo vệ thông tin, tài sản người hệ thống thông tin nhằm bảo đảm cho hệ thống thực chức năng, phục vụ đối tượng cách sẵn sàng, xác tin cậy An toàn thông tin bao hàm nội dung bảo vệ bảo mật thông tin, an toàn liệu, an toàn máy tính an toàn mạng An toàn thông tin thể qua tính chất sau: a) Tính tin cậy (confidentiality): đảm bảo thông tin truy cập truy cập cho phép b) Tính toàn vẹn (integrity): bảo vệ tính xác, đầy đủ thông tin phương pháp xử lý; c) Tính sẵn sàng (availability): đảm bảo người dùng hợp pháp truy cập thông tin tài sản liên quan có yêu cầu d) Tính từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp Các phương pháp công mạng Tấn công trực tiếp 2 Nghe trộm Footer Page of 126 Header Page of 126 Giả mạo địa Vô hiệu chức hệ thống Lỗi hệ thống Tấn công vào yếu tố người Các giai đoạn công mạng Xác định đối tượng công Thăm dò Thăm dò thông tin công cộng 2 Thăm dò điện tử 3 Những công cụ thăm dò 3 Tấn công Hiện trạng an toàn thông tin Theo thống kê công ty an toàn mạng BKAV, tình hình virus an ninh mạng tháng năm 2011 Việt Nam sau: + Đã có 88 website quan, doanh nghiệp Việt Nam bị hacker xâm nhập, có trường hợp gây hacker nước, 79 trường hợp hacker nước + Trong tháng có 3.068 dòng virus máy tính xuất Việt Nam Các virus lây nhiễm 5.627.000 lượt máy tính Virus lây nhiều tháng qua W32.Sality.PE lây nhiễm 415.000 lượt máy tính Footer Page of 126 Header Page 10 of 126 10 CHƯƠNG 2: HỆ THỐNG IDS2 SNORT HỖ TRỢ PHÁT HIỆN XÂM NHẬP Hệ thống phát xâm nhập Phát xâm nhập tiến trình theo dõi kiện xảy hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm dấu hiệu xâm nhập bất hợp pháp Mục đích hệ thống IDS nhằm cảnh báo cho nhân viên quản trị hệ thống phát xâm nhập Trong thực tế, hệ thống báo trộm phát tín hiệu dựa chuyển động đầu dò, cửa sổ bị vỡ, cánh cửa bị mở, tương tự hệ thống IDS có hai dạng chế khởi phát3: - Phát dựa dấu hiệu - Phát dựa bất thường 1 Phát dựa dấu hiệu Phát dựa dấu hiệu đòi hỏi cần phải có file dấu hiệu để nhận dạng hành động xâm nhập Những file dấu hiệu sử dụng phương pháp phát tương tự file dấu hiệu phần mềm diệt virus 1 Ưu điểm phát dựa dấu hiệu 1 Những hạn chế phát dựa dấu hiệu: 2 Phát dựa bất thường IDS viết tắt Instrusion detection system hệ thống phát xâm nhập Tiếng anh : triggering mechanism Footer Page 10 of 126 Header Page 12 of 126 12 Snort hệ thống phát xâm nhập mạng (NIDS) mã nguồn mở miễn phí Mặc dù tất phương pháp phát xâm nhập Snort đánh giá hệ thống tốt 2 Các thành phần Snort Hình 1: Các thành phần Snort 2 1 Packet Decoder 2 Preprocessor 2 Dectection Engine 2 Logging Alerting System 2 Output Modules Tập luật Snort Rule Header Rule Options Hình 2: Cấu trúc chung luật Rule Header Footer Page 12 of 126 Header Page 13 of 126 13 Cấu trúc chung rule header sau: Action Protocol Address Port Direction Address Port Hình 3: Cấu trúc chung rule header 2 Rule Options Rule option sau rule header đặt cặp dấu ngoặc đơn Có thể option hay nhiều option truyền vào dấu Nếu có nhiều option option phân cách dấu “;” Hành động rule header gọi tất tiêu chuẩn option Thường option có phần: từ khóa đối số Những đối số truyền vào từ từ khóa dấu “:” Chẳng hạn như: cong"; Cài đặt Snort Chuẩn bị 2 Cài đặt cấu hình Footer Page 13 of 126 msg: "Bi quet Header Page 14 of 126 14 CHƯƠNG 3: MẠNG NƠ RON Giới thiệu Bộ não người chứa khoảng 10 tỷ tế báo thần kinh (nơ ron) Trung bình, nơ ron nối với nơ ron khác qua 10.000 khớp nối thần kinh (synapses) (Con số thực tế khác phụ thuộc vào số nơ ron cá thể) Mạng lưới nơ ron thần kinh não hình thành hệ thống xử lí song song - Não học ( tự tổ chức lại nó) từ kinh nghiệm - Điều có nghĩa phục hồi phần từ thương tổn đơn vị khỏe mạnh khác học qua hàm mà trước thực đơn vị thương tổn - Não thực tính toán song song hiệu Ví dụ, nhận thức hình ảnh phức tạp xuất 100ms, - Não hỗ trợ cho thông minh khả tự nhận thức ( Không biết điều xảy nào) 1 Mạng nơ ron não Nơ ron Synapses (khớp nối) 3 Mô hình nơ ron nhân tạo 3 Nơ ron nhân tạo đơn giản Phần tử tính toán mô hình nơ ron thường gọi nút hay đơn vị xử lí Hàm f tổng trọng lượng đầu vào nó: Footer Page 14 of 126 Header Page 15 of 126 15 yi = f (∑ wi j y j ) j Đầu nó, lần lượt, phục vụ đầu vào cho đơn vị khác Hình 5: Một nơ ron nhân tạo đơn giản 3 Phân loại đơn vị xử lí Hàm xử lí Hàm kết hợp 2 Hàm kích hoạt (hàm truyền) Các hàm kích hoạt hay sử dụng là: 1 0 - Hàm bước y =  - Hàm giới hạn chặt x≥0 x0 3 Phân loại mạng nơ ron 3 Mạng nơron lớp 3 Mạng nơron truyền thẳng nhiều lớp Hình 7: Mạng truyền thẳng nhiều lớp 3 Mạng nơron phản hồi 3 Mạng nơron hồi quy 3 Mạng Hopfield Footer Page 16 of 126 Header Page 17 of 126 17 3 Mạng BAM Các luật học Học có giám sát Hình 14: Học có giám sát Học củng cố Học giám sát Hàm mục tiêu Footer Page 17 of 126 Header Page 18 of 126 18 Mạng truyền thẳng thuật toán lan truyền ngược Mạng truyền thẳng: Hình 17: Sơ đồ lớp mạng nơ ron truyền thẳng nhiều lớp Xét trường hợp mạng có hai lớp hình vẽ, công thức tính toán cho đầu sau: a2 = f2(W2(f1(W1P + b1))+ b2) Thuật toán lan truyền ngược (BP – Back Propagation) Mô tả thuật toán Ta sử dụng dạng tổng quát mạng nơron truyền thẳng nhiều lớp hình 26 Khi đó, đầu lớp trở thành đầu vào lớp Phương trình thể hoạt động sau: am+1 = fm+1 (Wm+1am + bm+1) với m = 0, 1, , M – 1, Trong M số lớp mạng Các nơron lớp thứ nhận tín hiệu từ bên ngoài: a0 = p điểm bắt đầu phương trình phía Đầu lớp cuối xem đầu mạng a = aM Footer Page 18 of 126 Header Page 19 of 126 19 2 Thuật toán BP Đầu vào: cặp huấn luyện {x(k), d(k) | k=1,2, ,p}, giá trị đầu vào phần tử cuối -1, tức x m( k+)1 = −1 Bước (Đặt giá trị ban đầu) Bước (Vòng lặp huấn luyện) Bước (Lan truyền thẳng) Bước (Đo lường sai số đầu ra) Bước (Lan truyền ngược sai số) Bước (Sau vòng lặp) Bước (Kiểm tra tổng sai số) Biến thể thuật toán lan truyền ngược Footer Page 19 of 126 Header Page 20 of 126 20 CHƯƠNG 4: HỆ THỐNG IDS ỨNG DỤNG MẠNG NƠ RON Hình 1: Mô hình hệ thống tích hợp SnortAI Phân tích thiết kế hệ thống phát xâm nhập 1 Sơ đồ hoạt động hệ thống: Sơ đồ hệ thống: Footer Page 20 of 126 Header Page 21 of 126 21 Sơ đồ khởi tạo IDS: Hình 3: Sơ đồ khởi tạo IDS Footer Page 21 of 126 Header Page 22 of 126 22 4 Sơ đồ cho phân tích cú pháp luật Sơ đồ cho khởi tạo máy dò tìm nhanh gói tin (fast packet detection engine) Sơ đồ packet đến Sơ đồ gói cho tiền xử lí AI Hình 16: Sơ đồ gói AI Thiết kế xây dựng mạng nơ ron Khối thu thập, phân tích liệu Như vậy, liệu thô thu thập bao gồm: unsigned hits_as_src; unsigned hits_as_dst; unsigned ack_rst_resp; unsigned rst_resp; ABS_TIME last_rcv_time ABS_TIME last_snd_time; AVG_TIME av_rcv_time; AVG_TIME av_snd_time; Footer Page 22 of 126 Header Page 23 of 126 23 2 Khối Tiền xử lí Xây dựng mạng nơ ron Qua trình nghiên cứu, thử sai, ta xây dựng mô hình mạng bao gồm lớp Lớp đầu vào gồm neuron tương ứng với liệu đầu vào trên, lớp ẩn gồm neuron, lớp đầu gồm neuron Hàm kích hoạt (hàm chuyển): Sử dụng hàm sigmoid, hàm đặc biệt thuận lợi ta sử dụng thuật toán huấn luyện lan truyền ngược, đồng thời phù hợp với chương trình xây dựng có đầu mong muốn rơi vào khoảng [0,1] Công thức hàm sigmoid: G(x) = Thử nghiệm với giá trị α = phù hợp 4 Huấn luyện mạng Cài đật thuật toán BP: Kết thực Footer Page 23 of 126 1 + e −α x Header Page 24 of 126 24 TCP SYN4: Hình 20: TCP SYN máy portscan nmap –sS –P0 192.168.1.6 Hình 21: TCP SYN PortscanAI Decoy scan5: SYN gói tin TCP có flag “SYN” Đây gói tin tạo phía máy đến dịch vụ dùng giao thức TCP máy chủ Decoy scan kỹ thuật quét cổng ẩn địa IP thực máy quét Footer Page 24 of 126 Header Page 25 of 126 25 KẾT LUẬN Ngày nay, trí tuệ nhân tạo xem lĩnh vực có bước đột phá ngành khoa học máy tính Mạng nơ ron nhân tạo mô hình toán học xây dựng dựa hoạt động nơ ron sinh học, tự thích ứng với thay đổi thông tin bên Đó ưu điểm bật mạng nơ ron so với mô hình khác Luận văn sâu vào nghiên cứu vấn đề mạng nơ ron nhân tạo, giải thuật lan truyền ngược, mô hình xử lí gói tin hệ thống phát xâm nhập dựa dấu hiệu Bên cạnh đó, luận văn trình bày đầy đủ cấu trúc luật hệ thống hỗ trợ phát xâm nhập mạng ứng dụng kiến thức nghiên cứu xây dựng chương trình hỗ trợ giám sát mạng máy tính Thông qua việc tìm hiểu mạng nơ ron truyền thẳng nhiều lớp, trình tính toán đầu vào cho mạng nơ ron, mô hình kiến trúc mạng, từ đó, xây dựng mô hình hệ thống phát xâm nhập mạng Vấn đề hệ thống phát xâm nhập khả cảnh báo sớm nguy cho người quản trị Mục tiêu nhằm khắc phục vấn đề tồn hệ thống nay, cảnh báo dư thừa hay mắc lỗi cảnh bảo Áp dụng mạng nơ ron truyền thẳng thuật toán lan truyền ngược với tập huấn luyện tốt, đầy đủ thông tin tham số lựa chọn cẩn thận đắn kết cho thấy độ xác cảnh báo cao Hệ thống hỗ trợ phát xâm nhập mạng kết hợp với mạng nơ ron qua trình thử nghiệm thực tế với công cụ hỗ trợ kiểm tra hệ thống mạng cho thấy ưu điểm khả phát lỗi, Footer Page 25 of 126 Header Page 26 of 126 26 hỗ trợ nhà quản trị mạng lĩnh vực an toàn thông tin Tuy nhiên vấn đề tồn mạng nơ ron cấu trúc mạng nơ ron ảnh hưởng nhiều đến khả hệ thống Nếu mạng có nhiều lớp khả hội tụ mạng chậm Nên để có mạng tốt phải trải qua thực nghiệm nhiều với tham số khác để xây dựng mô hình phù hợp Hướng phát triển đề tài nghiên cứu, cải tiến thử nghiệm thuật toán tối ưu khác để nâng cao khả hệ thống phát xâm nhập IDS dựa Snort Đồng thời xây dựng phát triển công cụ hiển thị kết trình thu thập thông tin chi tiết hơn, trực quan Đồng thời, hỗ trợ gởi cảnh báo cho người dùng qua tin nhắn SMS hay email giúp quản lí hệ thống lúc nơi An toàn thông tin lĩnh vực rộng, đòi hỏi nhiều kiến thức chuyên sâu kinh nghiệm thực tiễn Mặc dù cố gắng để hoàn thiện luân văn, chắn luận văn thiếu sót, mong nhận ý kiến đóng góp nhằm hoàn thiện triển khai thực tế kết nghiên cứu luận văn.` Footer Page 26 of 126 ... trợ giám sát bảo vệ mạng máy tính Ý nghĩa khoa học thực tiễn: Về mặt khoa học: Đề tài đưa nhìn tổng quát hệ thống hỗ trợ giám sát mạng máy tính giải pháp giám sát bảo vệ hệ thống máy tính Đồng thời,... luật hệ thống hỗ trợ phát xâm nhập mạng ứng dụng kiến thức nghiên cứu xây dựng chương trình hỗ trợ giám sát mạng máy tính Thông qua việc tìm hiểu mạng nơ ron truyền thẳng nhiều lớp, trình tính. .. tài: Xây dựng hệ thống hỗ trợ giám sát bảo vệ mạng máy tính hướng dẫn TS Nguyễn Tấn Khôi Mục tiêu nhiệm vụ nghiên cứu: Mục tiêu mà đề tài hướng đến nghiên cứu áp dụng chương trình hỗ trợ phát