Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 79 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
79
Dung lượng
2,15 MB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Nguyễn Thị ThuHiềnNGHIÊNCỨU,THỬNGHIỆMCÁC PHƢƠNG PHÁPPHÁTHIỆNXÂMNHẬPTRÁIPHÉPDỰATRÊNPHÁTHIỆNBẤT THƢỜNG Chuyên ngành: Công nghệ Thông tin LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS Nguyễn Linh Giang Hà Nội – 2015 MỤC LỤC Lời cam đoan Danh mục ký hiệu, chữ viết tắt Danh mục bảng Danh mục hình vẽ, đồ thị MỞ ĐẦU Chƣơng - TỔNG QUAN VỀ HỆ THỐNG PHÁTHIỆNXÂMNHẬP 12 1.1 Giới thiệu hệ thống phátxâmnhập 12 1.1.1 Khái niệm phátxâmnhập 12 1.1.2 Hệ thống phátxâmnhập 12 1.1.3 Vị trí IDS mô hình mạng .13 1.2 Chức IDS 14 1.3 Kiến trúc IDS 14 1.4 Phân loại IDS 16 1.4.1 NIDS 16 1.4.2 HIDS 18 1.4.3 So sánh NIDS HIDS 20 1.5 Kỹ thuật phátxâmnhập 20 1.5.1 Phátxâmnhậpdựa sử dụng sai 21 1.5.2 Phátxâmnhậpdựabất thƣờng .22 1.5.3 So sánh hai phƣơng pháp [3] [11] 23 1.6 Hệ thống phátxâmnhập với Snort 24 1.6.1 Giới thiệu Snort 24 1.6.2 Kiến trúc Snort 25 1.6.3 Chức Snort 26 1.6.4 Một số minh hoạ khả phátxâmnhập Snort 30 Chƣơng - CÁC PHƢƠNG PHÁPPHÁTHIỆNXÂMNHẬPDỰATRÊNBẤT THƢỜNG 36 2.1 Giới thiệu 36 2.2 Các phƣơng pháp kỹ thuật phátxâmnhậpdựabất thƣờng 36 2.2.1 Phƣơng phápphátxâmnhậpbất thƣờng dựa thống kê 37 2.2.2 Phƣơng phápphátbất thƣờng dựa khai phá liệu .41 2.2.3 Phƣơng phápphátdựa tri thức 45 2.2.4 Phƣơng phápphátdựa học máy 48 Chƣơng - THỬNGHIỆM THUẬT TOÁN CUSUM TRONG PHÁTHIỆN TẤN CÔNG SYN FLOODING 51 3.1 Các dạng công tràn ngập mạng 51 3.1.1 TCP SYN flood 52 3.1.2 UDP flood 53 3.1.3 ICMP flood 54 3.2 Giới thiệu thuật toán CUSUM đề xuất thực 54 3.3 Thửnghiệm CUSUM 58 3.3.1 Mô hình thửnghiệm .58 3.3.2 Kịch thửnghiệm 60 3.3.3 Đánh giá kết thửnghiệm .64 3.4 Khả tích hợp CUSUM vào Snort 73 KẾT LUẬN 75 TÀI LIỆU THAM KHẢO 76 PHỤ LỤC .78 Lời cam đoan Trƣớc tiên, xin chân thành cảm ơn bày tỏ lòng biết ơn sâu sắc tới thầy giáo PGS.TS Nguyễn Linh Giang, Bộ môn Truyền thông Mạng máy tính, Viện Công nghệ Thông tin Truyền thông, Trƣờng Đại học Bách Khoa Hà Nội, ngƣời tận tình hƣớng dẫn, giúp đỡ suốt trình hoàn thiện luận văn Tôi xin chân thành cảm ơn thầy cô giáo Viện Công nghệ Thông tin Truyền thông nói riêng Đại học Bách Khoa Hà Nội nói chung dạy, cung cấp kiến thức quý báu cho suốt trình học tập nghiên cứu trƣờng Cuối xin gửi lời cảm ơn sâu sắc tới gia đình, bạn bè đồng nghiệp, ngƣời cổ vũ, quan tâm giúp đỡ suốt thời gian học tập làm luận văn Tôi cam đoan công trình nghiên cứu riêng Các số liệu kết nêu luận văn trung thực chƣa đƣợc công bố công trình khác Tác giả Nguyễn Thị ThuHiền Danh mục ký hiệu, chữ viết tắt Từ Tiếng Anh viết tắt ID Intrusion Detection Phátxâmnhập IDS Intrusion Detection System Hệ thống phátxâmnhập NIDS Network-based IDS Hệ thống phátxâmnhậpdựa STT Tiếng Việt mạng HIDS Host-based IDS Hệ thống phátxâmnhậpdựa host DoS Denial Of Service Tấn công từ chối dịch vụ DDoS Distributed Denial Of Service Tấn công từ chối dịch vụ phân tán SBIDS Signature Based IDS Hệ thống phátxâmnhậpdựa dấu hiệu ABIDS Anomaly Based IDS Hệ thống phátxâmnhậpdựabất thƣờng CUSUM Cumulative SUM 10 KPDL Thuật toán cộng tích luỹ Data mining Khai phá liệu 11 ADAM Audit Data Analysis and Mining Khai phá phân tích liệu kiểm toán 12 SOM Self-Organizing Maps 13 ICMP Internet 14 TCP Control Bản đồ tự tổ chức Message Giao thức thông điệp điều khiển Protocol Internet Transmission Comunication Giao thức điều khiển truyền vận Protocol 15 UDP User Datagram Protocol Giao thức không liên kết 16 SFD SYN Flooding detection Phát công SYN flooding Danh mục bảng Bảng 3.1 Số lƣợng gói tin SYN, FIN Y trạng thái hoạt động bình thƣờng với N=0.5 64 Bảng 3.2 Số lƣợng gói tin Y trạng thái bình thƣờng với N=1 .64 Bảng 3.3 Số lƣợng gói tin Y trạng thái bình thƣờng với N=2 .65 Bảng 3.4 Số lƣợng gói tin trạng thái có công SYN Flood với N=0.5 67 Bảng 3.5 Giá trị Y trạng thái có công SYN Flood với N = 0.5 67 Bảng 3.6 Số lƣợng gói tin trạng thái có công SYN Flood với N=1 68 Bảng 3.7 Giá trị Y trạng thái có công SYN Flood 69 Bảng 3.8 Số lƣợng gói tin trạng thái có công .69 Bảng 3.9 Giá trị Y trạng thái có công SYN Flood 70 Bảng 3.10 Số lƣợng gói tin trạng thái có công 70 Bảng 3.11 Giá trị Y trạng thái có công SYN Flood với N=2 71 Danh mục hình vẽ, đồ thị Hình 1.1 Các vị trí điển hình IDS [15] .13 Hình 1.2 Kiến trúc IDS 15 Hình 1.3 NIDS Network 17 Hình 1.4 HIDS Network 19 Hình 1.5 Kiến trúc Snort [5] 25 Hình 1.6 Mô-đun tiền xử lý 27 Hình 1.7 Môđun phát .28 Hình 1.8 Mô hình thửnghiệm Snort 30 Hình 1.9 Phát gói tin kích thƣớc bất thƣờng 31 Hình 1.10 Phát Ping of Death 32 Hình 1.11 Ping -t đến máy nạn nhân 32 Hình 1.12 Kết phát ping -t 33 Hình 1.13 Thử công web với từ khóa "hacker" 33 Hình 1.14 Phát công web Ví dụ 33 Hình 1.15 Thử công web với từ khóa "sql" .34 Hình 1.16 Phát công web Ví dụ 34 Hình 1.17 Thử công SYN flooding 35 Hình 1.18 Kết phát SYN flooding Snort 35 Hình 2.1 Phân loại hệ thống IDS dựabất thƣờng .37 Hình 3.1 Quá trình thiết lập kết nối TCP 52 Hình 3.2 Tấn công SYN Flood 53 Hình 3.3 Sơ đồ thuật toán phátbất thƣờng dựa CUSUM 57 Hình 3.4 Mô hình thửnghiệm CUSUM 59 Hình 3.5 Bắt gói tin máy web server 61 Hình 3.6 Ghi kết bắt gói tin file 61 Hình 3.7 Giả lập ngƣời dùng thông thƣờng gửi yêu cầu đến server 62 Hình 3.8 Kết chạy thuật toán CUSUM lƣu lƣợng mạng bình thƣờng 62 Hình 3.9 Tấn công máy Web server 63 Hình 3.10 Kết thuật toán CUSUM lúc công với Y N 63 Hình 3.12 Đồ thị thuật toán CUSUM trạng thái lƣu lƣợng mạng bình thƣờng biến động số gói tin SYN-FIN hợp lệ với N=0.5 64 Hình 3.13 Đồ thị thuật toán CUSUM trạng thái lƣu lƣợng mạng bình thƣờng gói tin SYN-FIN hợp lệ với N = 65 Hình 3.14 Đồ thị thuật toán CUSUM trạng thái lƣu lƣợng mạng bình thƣờng gói SYN-FIN hợp lệ với N=2 66 Hình 3.15 Sự biến động số gói SYN-FIN lúc có công SYN Flood với N=0.5 67 Hình 3.16 Đồ thị thuật toán CUSUM có công với N = 0.5 68 Hình 3.17 Sự biến đổi gói SYN FIN lúc có công SYN Flood với N = 168 Hình 3.18 Đồ thị thuật toán CUSUM có công với N = 69 Hình 3.19 Sự biến đổi gói SYN FIN lúc có công SYN Flood với N=1 70 Hình 3.20 Đồ thị thuật toán CUSUM có công với N = 70 Hình 3.21 Sự biến động gói SYN FIN lúc có công SYN Flood với N=2 71 Hình 3.22 Đồ thị thuật toán CUSUM có công với N = 71 Hình 3.23 Đồ thị phát SYN flooding phƣơng pháp SFD với N=0.6 72 Hình 3.24 Vị trí CUSUM Snort .73 MỞ ĐẦU - Lý chọn đề tài An ninh thông tin nói chung an ninh mạng nói riêng vấn đề đƣợc quan tâm không Việt Nam mà toàn giới Thời gian gần đây, quan, tổ chức tăng cƣờng triển khai đào tạo, đầu tƣ mua sắm trang thiết bị nghiên cứu biện pháp nhằm đảm bảo an toàn thông tin cho máy tính cá nhân nhƣ mạng nội Tuy nhiên, tình hình công mạng thƣờng xuyên xảy ra, có nhiều quan, tổ chức bị đánh cắp thông tin… gây nên hậu vô nghiêm trọng, thủ đoạn kẻ phá hoại ngày tinh vi Vì thế, bên cạnh việc phát triển dịch vụ ứng dụng mạng, việc làm để phát máy tính mạng máy tính bị xâmnhậptráiphép góp phần bảo đảm an toàn, bảo mật mạng vấn đề quan trọng cần đƣợc quan tâm nghiên cứu thƣờng xuyên Hiện nay, nghiên cứu Việt Nam nhƣ giới xây dựng hệ thống phátxâmnhập mạng tráiphépdựa mã nguồn mở phát triển mạnh, nhiên Việt Nam nghiên cứu có mức độ triển khai vào thực tế chƣa cao Ngoài ra, chƣơng trình phátxâmnhập hầu hết đƣợc tích hợp thiết bị phần cứng nên việc khai thác chức năng, ngƣời dùng tự phát triển mở rộng thêm chức chƣơng trình bị hạn chế Vì vậy, lựa chọn đề tài "Nghiên cứu,thửnghiệm phƣơng phápphátxâmnhậptráiphépdựaphátbất thƣờng" nhằm phát hành động công mạng, nâng cao khả bảo đảm an toàn thông tin yêu cầu khách quan cần thiết giai đoạn - Mục tiêu nghiên cứu + Nghiên cứu phƣơng phápphátxâmnhậptráiphépdựaphátbất thƣờng; + Thửnghiệmphátxâmnhậpdựabất thƣờng sử dụng phân tích thống kê lƣu lƣợng nhằm áp dụng quản trị mạng phátxâmnhậptráiphép vào hệ thống mạng - Đối tƣợng, phạm vi nghiên cứu + Phƣơng phápphátxâmnhậptráiphépdựabất thƣờng; + Thuật toán phátxâmnhậpbất thƣờng thống kê; + Thửnghiệm giải phápphátxâmnhập sử dụng phần mềm mã nguồn mở Snort; + Thửnghiệm thuật toán CUSUM phát công SYN flooding Trong khuôn khổ đề tài, tìm hiểu hệ thống phátxâm nhập, thửnghiệm hệ thống Snort để phátxâmnhậpdựa dấu hiệu, đặc biệt tập trung nghiên cứu phƣơng phápphátxâmnhậpdựabất thƣờng lựa chọn thuật toán Tổng tích luỹ (CUSUM) để triển khai thửnghiệm Đề tài đề xuất mô hình phátxâmnhậptráiphépdựa phƣơng phápphátbất thƣờng thống kê việc thửnghiệm thuật toán CUSUM để phát công SYN flooding - Ý nghĩa khoa học thực tiễn đề tài + Ý nghĩa khoa học Quá trình xây dựng đề tài tạo sở nghiên cứu phƣơng pháp kỹ thuật phátxâmnhậptráiphépdựabất thƣờng, đƣa nhìn tổng quát hệ thống hỗ trợ giám sát, bảo vệ mạng máy tính; góp phần nâng cao kiến thức bảo mật an toàn thông tin + Ý nghĩa thực tiễn Kết nghiên cứu đề tài nhằm bổ sung thêm giải pháp kỹ thuật phátxâmnhập mạng, góp phần bảo đảm an ninh an toàn thông tin; sở để tiếp tục nghiên cứu phát triển giải pháp - Phƣơng phápnghiên cứu + Nghiên cứu lý thuyết; + Khảo sát thực nghiệm; + Phân tích, tổng hợp; + Kiểm nghiệm thực tế Nội dung luận văn đƣợc kết cấu thành chƣơng nhƣ sau: 10 t SYN FIN Y 84 82 12 119 118 18 142 142 24 166 165 30 190 189 36 225 224 42 260 260 48 284 283 54 308 306 60 320 318 Hình 3.13 Đồ thị thuật toán CUSUM trạng thái lƣu lƣợng mạng bình thƣờng gói tin SYN-FIN hợp lệ với N = Với trƣờng hợp giá trị ngƣỡng đƣợc đặt 1, trạng thái công, đồ thị Hình 3.13 đồng quán gói SYN FIN hợp lệ, giá trị Y luôn nhỏ ngƣỡng cảnh báo Trƣờng hợp N = tƣơng tự nhƣ hai trƣờng hợp c) Trƣờng hợp N = Bảng 3.3 Số lƣợng gói tin Y trạng thái hoạt động bình thƣờng với N=2 t SYN FIN Y 226 224 12 250 248 18 261 260 24 284 284 30 308 307 36 344 342 65 42 356 354 48 379 378 54 390 390 60 414 413 Hình 3.14 Đồ thị thuật toán CUSUM trạng thái lƣu lƣợng mạng bình thƣờng gói SYN-FIN hợp lệ với N=2 Tóm lại, ta phân tích gói SYN FIN trƣờng hợp thử nghiệm, kết từ đồ thị Hình 3.12, 3.13 3.14 cho ta thấy rằng, trạng thái công, giá trị SYN FIN tƣơng đƣơng nhau, phù hợp với trạng thái lƣu lƣợng vốn có Thuật toán CUSUM đƣợc áp dụng trƣờng hợp công, với giá trị ngƣỡng đƣợc đặt để thử nghiệm: N = 0.5, N = N = Đối với tất trƣờng hợp thử nghiệm, giá trị Y luôn nhỏ ngƣỡng Vì vậy, trƣờng hợp sinh cảnh báo sai 3.3.3.2 Phát SYN Flooding Trong thí nghiệmphát SYN flooding, máy Attacker gửi số lƣợng lớn gói SYN đến máy Web server Hình 3.15, 3.17, 3.19 3.21 cho thấy số lƣợng gói SYN tăng lên nhiều so với gói FIN Bên cạnh đó, giá trị Y tăng lên Hình 3.16, 3.18, 3.20 3.22 biểu thị kết thửnghiệm thuật toán CUSUM để phátxâmnhập Từ kết cho thấy, giá trị tổng tích luỹ Y vƣợt ngƣỡng khoảng thời gian ngắn Cụ thể, từ đồ thị Hình 3.16 với N=0.5 chƣơng trình 30 giây để phát flood Với N = (Hình 3.18 Hình 3.20), thuật toán phát công SYN flooding khoảng 32 giây Còn với N = (Hình 3.22), thuật toán phát SYN flooding 38 giây Cụ thể nhƣ sau 66 a) Trƣờng hợp N = 0.5 Bảng 3.4 Số lƣợng gói tin trạng thái có công SYN Flood với N=0.5 t SIN FIN 541 480 12 18 24 783 1049 1351 474 470 474 30 1626 472 36 1867 466 42 2143 466 48 2404 452 54 2685 462 60 2914 444 Hình 3.15 Sự biến động số gói SYN-FIN lúc có công SYN Flood với N=0.5 Nhìn vào đồ thị Hình 3.15, ta thấy rằng, bắt đầu có công SYN flood, số gói SYN tăng lên nhiều theo thời gian, số gói FIN biến động không nhiều Vì số lƣợng gói SYN tăng, nên giá trị Y, δ, X, x tăng lên Khi giá trị Y vƣợt ngƣỡng thiết đặt thông báo có công Sau đồ thị biểu thị giá trị tổng tích luỹ có công Bảng 3.5 Giá trị Y trạng thái có công SYN Flood với N = 0.5 t Y 12 18 24 30 0.43975 36 1.42377 67 42 3.00902 48 5.25365 54 8.07643 Hình 3.16 Đồ thị thuật toán CUSUM có công với N = 0.5 Đồ thị Hình 3.16 cho ta thấy, có công giá trị Y tăng dần, với giá trị ngƣỡng N = 0.5 hệ thống 30,5 giây để phát SYN flood b) Trƣờng hợp N = Thử lần 1: 21h, ngày 02/10/2015 Bảng 3.6 Số lƣợng gói tin trạng thái có công SYN Flood với N=1 t SIN FIN 464 444 12 687 436 18 24 957 1227 442 436 30 1555 440 36 1813 456 42 2117 466 48 2355 452 54 2625 453 60 2865 448 Hình 3.17 Sự biến đổi gói SYN FIN lúc có công SYN Flood với N = 68 Đồ thị Hình 3.17 cho thấy, với giá trị ngƣỡng đặt 1, có công SYN flood, gói SYN tăng lên nhiều so với gói SYN Bảng 3.7 Giá trị Y trạng thái có công SYN Flood t Y 12 18 24 30 36 42 48 54 60 0 0 0.53914 1.571119 3.185541 5.373567 8.160921 11.521934 Hình 3.18 Đồ thị thuật toán CUSUM có công với N = Hình 3.18 cho thấy, với ngƣỡng đặt 1, hệ thống 32,5 giây để phát công Thử lần 2: 23h05, ngày 05/10/2015 Tƣơng tự nhƣ trên, có công SYN flood, attacker gửi số lƣợng lớn gói SYN đến máy nạn nhân, xem số liệu Bảng 3.8 Hình 3.19 minh hoạ số gói tin SYN tăng lên nhiều so với số gói FIN Bảng 3.8 Số lƣợng gói tin trạng thái có công t SIN FIN 514 434 12 18 24 30 36 42 48 54 60 790 1074 1349 1602 1862 2140 2410 2659 2920 438 452 438 444 438 436 440 432 446 69 Hình 3.19 Sự biến đổi gói SYN FIN lúc có công SYN Flood với N=1 Bảng 3.9 Giá trị Y trạng thái có công SYN Flood t Y 12 18 24 30 36 42 48 54 60 0.0663 0.683664 1.91842 3.807859 6.294772 9.408113 13.021099 Hình 3.20 Đồ thị thuật toán CUSUM có công với N = Trong thửnghiệm lần thứ hai với N = 1, đồ thị Hình 3.20 cho thấy hệ thống 32 giây để phát SYN flood c) Trƣờng hợp N = Bảng 3.10 Số lƣợng gói tin trạng thái có công t SIN FIN 406 405 12 468 420 18 731 434 24 990 424 30 1276 440 36 1535 435 70 42 1805 436 48 2091 448 54 2379 464 60 2647 460 Hình 3.21 Sự biến động gói SYN FIN lúc có công SYN Flood với N=2 Bảng 3.11 Giá trị Y trạng thái có công SYN Flood với N=2 t Y 12 18 24 30 36 42 48 54 60 0.538034 1.68731 3.409966 5.640367 8.432868 11.801603 Hình 3.22 Đồ thị thuật toán CUSUM có công với N = Với ngƣỡng đƣợc đặt 2, từ đồ thị Hình 3.22 cho thấy hệ thống khoảng 38 giây để phát công 3.3.3.3 Đánh giá chung Trong phần trên, thửnghiệm phƣơng phápphátxâmnhậpbất thƣờng dựa kỹ thuật thống kê, cụ thể triển khai sử dụng thuật toán CUSUM phát công SYN Flooding Để đánh giá kết phát hiện, thửnghiệm thuật toán với giá trị ngƣỡng khác nhau, thời điểm vị trí khác Từ lựa chọn giá trị ngƣỡng tối ƣu để phát nhanh, hạn chế cảnh báo sai Kết cụ thể nhƣ sau: 71 - Trạng thái công (lƣu lƣợng bình thƣờng): Số lƣợng gói SYN FIN tƣơng đƣơng nhau; giá trị tổng tích luỹ Y thấp ngƣỡng (Y = 0), không xảy báo động giả - Trong trạng thái có công SYN flooding: + N = 0.5, hệ thống gần 30,5 giây để phát Syn flood + N = 1, hệ thống 32 giây để phát Syn flood + N = 2, hệ thống 38 giây để phát Syn flood Qua kết thửnghiệm nêu trên, thấy phƣơng pháp triển khai có thời gian đáp ứng nhanh, giá trị tổng tích lỹ Y vƣợt ngƣỡng khoảng thời gian ngắn, lựa chọn giá trị ngƣỡng N = cho phƣơng phápphát Vì đặt thấp có khả sinh báo động sai, đặt cao kết phát chậm bỏ sót công thực Bình luận kết với phƣơng pháp [10] sử dụng CUSUM: 35 SYN/giây 80 SYN/giây Hình 3.23 Đồ thị phát SYN flooding phƣơng pháp SFD với N=0.6 Hình 3.23 minh hoạ kết thửnghiệm phƣơng phápphát công SYN flooding (có thể đặt tên SFD (SYN flooding detection)) [13] Haining Wang, Đại học Michigan Ngƣời ta đặt khoảng thời gian thửnghiệm 10 phút, thời gian bắt đầu công flooding đƣợc chọn ngẫu nhiên phút Kịch mô phƣơng pháp có hai trƣờng hợp: Trƣờng hợp N = 0.6 N = 1, fi số SYN/giây Từ đồ thị Hình 3.23 (a) (b) cho ta thấy, với N = 0.6, kết mô fi đặt 35 80 SYN/giây Trong trƣờng hợp 80 72 SYN/giây, phƣơng phápphát SYN flooding 40 giây Tuy nhiên, trƣờng hợp 35 SYN/giây, phƣơng pháp phải khoảng phút để vƣợt giá trị ngƣỡng 0.6, kịch SFD phát chậm Còn với N = 1, SFD 60 giây để phát flood Đối với Snort, để phát kiểu công cần phải viết luật cho Hình 1.18 kết phát SYN flood sử dụng Snort, thời gian phát SYN flooding từ 25 đến 30 giây tuỳ thời điểm thửnghiệm Tuy nhiên, Snort phát đƣợc công biết dấu hiệu, công biến thể công biết Snort không phát đƣợc 3.4 Khả tích hợp CUSUM vào Snort Hình 3.24 Vị trí CUSUM Snort 3.4.1 Kỹ thuật nhúng CUSUM vào Snort Các plug-in Snort đƣợc tích hợp với theo cách tĩnh Các hàm đƣợc viết preprocessor ngƣời dùng tích hợp vào Snort qua file plugbase.c theo dẫn snort/doc/README.PLUGINS Preprocessor đƣợc biên dịch dễ dàng vào Snort qua file snort/src/preprocessors/Makefile.am Ngƣời dùng kiểm tra trình cách sử dụng mô-đun tiền xử lý Snort Telnet, plug-in có sẵn Snort Về bản, ta cần làm theo bƣớc sau để kết nối plug-in vào Snort: [17] Đặt điều hƣớng include plugbase.c đầu file plug-in ngƣời dùng Ví dụ: #include "preprocessors/spp_cusum.h" Chèn hàm Setup() vào InitPreprocessors() plugbase.c 73 Thêm mã plug-in ngƣời dùng file tiêu đề (header) vào preprocessors/Makefile.am Để kích hoạt CUSUM với Snort, ta cần đƣa CUSUM vào file cấu hình Snort (thƣờng file snort.conf), cách thêm dòng sau: preprocessor cusum: { = } Trong đó, tuỳ chọn (option) [17] cách dấu cách 3.4.2 Đánh giá Snort với CUSUM Nhƣ giới thiệu phần 1.6, kiến trúc Snort có phần, môđun tiền xử lý (preprocessor) [5] đƣợc viết nhƣ plug-in làm cho Snort linh hoạt hơn, mở rộng khả Snort để phátbất thƣờng mạng, phát công (không cần dựa vào luật) cách tìm dấu hiệu bất thƣờng tiêu đề (header) gói tin tạo cảnh báo Khi CUSUM đƣợc tích hợp vào Snort, Snort có khả phátxâmnhậpbất thƣờng, phát đƣợc công nhƣ SYN flooding mà xây dựng luật Thời gian phátxâmnhập CUSUM nhanh so với Snort phát loại công Vậy để Snort phátxâmnhậpdựabất thƣờng, ta xây dựng môđun sử dụng thuật toán CUSUM, sau tích hợp CUSUM vào mô-đun Preprocessor Snort 74 KẾT LUẬN Luận văn nghiên cứu trình bày tổng quan hệ thống phátxâm nhập, kỹ thuật phátxâm nhập, nghiên cứu thửnghiệm hệ thống Snort đƣa số kết minh họa khả phátxâmnhập Snort dựa dấu hiệu; nghiên cứu phƣơng phápphátxâmnhậpdựabất thƣờng nhƣ phƣơng pháp thống kê, khai phá liệu, phƣơng phápphátdựa tri thức phƣơng phápphátdựa học máy; đặc biệt tập trung nghiên cứu thuật toán phátxâmnhậpdựabất thƣờng thống kê CUSUM triển khai thử nghiệm, đánh giá thuật toán áp dụng để phát công TCP SYN flooding với thời gian phát nhanh Tuy có cố gắng, nhƣng thời gian có hạn nên tác giả triển khai thửnghiệm phƣơng phápphátbất thƣờng thửnghiệm Snort hệ thống phátxâmnhậpdựa dấu hiệu Kết nghiên cứu đề tài áp dụng để phát nguy xâmnhậptráiphép vào hệ thống mạng; hỗ trợ giám sát, bảo vệ mạng máy tính, góp phần đảm bảo an ninh an toàn thông tin * Hƣớng phát triển luận văn - Tiếp tục nghiêncứu,thửnghiệm phƣơng phápphátxâmnhậpdựabất thƣờng lại để nâng cao khả phátxâmnhập hệ thống mạng; - Nghiên cứu kết hợp hai phƣơng pháp: phátxâmnhậpdựabất thƣờng phátxâmnhậpdựa sử dụng sai để kết hợp ƣu điểm hai phƣơng pháp khắc phục khuyết nhƣợc điểm chúng; - Xây dựng hệ thống để ứng dụng môi trƣờng điện toán đám mây, môi trƣờng Việt Nam giới 75 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Nguyễn Văn Phú (2013), Giải phápphát ngăn chặn xâmnhập mạng máy tính, Luận văn Thạc sĩ Kĩ thuật, Học viện Công nghệ Bƣu Viễn thông [2] Ngô Chánh Tính, Huỳnh Hoàng Tuấn (2010), Hệ thống phátxâmnhập IDS, Đồ án chuyên ngành, Trƣờng Đại học Kỹ thuật Công nghệ Tp.HCM [3] http://doc.edu.vn/tai-lieu/khoa-luan-he-thong-phat-hien-xam-nhap-ids-snort- 55147/ Tiếng Anh [4] Animesh Patcha, Jung-Min Park (2007), “An overview of anomaly detection techniques: Existing solutions and latest technological trends”, Elsevier, Science Direct, Computer Networks, 51, pp 3448-3470 [5] Andrew R Baker, Joel Esler (2007), Snort IDS and IPS Toolkit, Syngress Publishing [6] Angela Orebaugh, Simon Biles, Jacob Babbin (2005), Snort Cookbook, O’Reilly Media [7] B Brodsky and B Darkhovsky (1993), Nonparametric Methods in ChangePoint Problems, Kluwer Academic Publishers [8] Changhua Sun, Jindou Fan, Bin Liu (2007), "A Robust Scheme to Detect SYN Flooding Attacks", CHINACOM '07 Second International Conference on Communications and Networking in China, pp 397 – 401 [9] CERT Advisory CA-1996-21, "TCP SYN flooding and IP spoofing attacks" [Online] - http://www.cert.org/historical/advisories/ca-1996-21.cfm [10] V Jyothsna, V V Rama Prasad (2011), "A Review of Anomaly based Intrusion Detection Systems", International Journal of Computer Applications (0975 – 8887) Volume 28– No.7 76 [11] Manasi Gyanchandani, J.L.Rana, R.N.Yadav (2012), "Taxonomy of Anomaly Based Intrusion Detection System: A Review", International Journal of Scientific and Research Publications, Volume 2, Issue 12 [12] Vasilios A Siris(2006), "Application of anomaly detection algorithms for detecting SYN flooding attacks", Elsevier, pp 1433–1442 [13] H Wang, D Zhang, and K G Shin (2002), “Detecting SYN flooding attacks” in Proc IEEE INFOCOM, pp 1530 - 1539 [14] A.Qayyum, M.H Islam, and M Jamil (2005), “Taxonomy of Statistical Based Anomaly Detection Techniques for Intrusion Detection”, IEEE, pp 270-276 [15] Rafeeq Ur Rehman (2003), Intrusion Detection Systems with Snort, Prentice Hall PTR [17] Andrew R Baker, Brian Caswell, Mike Poor (2004), Snort 2.1 Intrusion Detection Second Edition, Syngress Publishing, United States of America [18] http://searchmidmarketsecurity.techtarget.com/definition/intrusion-detection 77 PHỤ LỤC Các bƣớc cài đặt, cấu hình mô hình thửnghiệm CUSUM Các thành phần triển khai gồm: Máy chủ web, máy công máy ngƣời dùng thông thƣờng, cụ thể nhƣ sau: a) Web server Vai trò: Là hệ thống cần đƣợc bảo vệ Bƣớc 1: Cài web server apache: sudo apt-get install apache2 - Chạy apache: service apache2 start Bƣớc 2: Cấu hình mạng cho web server nhƣ sau: - Chọn địa cho mạng LAN tạo: Ví dụ: 192.168.5.0/24 - Cấu hình IP tĩnh 192.168.5.2 file cấu hình card mạng: sudo gedit /etc/network/interfaces Bƣớc 3: Khởi động lại máy khởi động lại dịch vụ mạng để lấy cấu hình mới: sudo reboot sudo /etc/init.d/networking restart Bƣớc 4: Copy file html vào thƣ mục web /var/www/html Bƣớc 5: Tạo thƣ mục synflood Desktop, copy file kịch chạy thuật toán vào thƣ mục synflood cd ~/Desktop mkdir synflood copy file synflood.py vào thƣ mục synflood - Thêm quyền run cho file synflood.py chmod +x synflood.py Bƣớc 6: Chạy tcpdump để capture gói tin SYN + FIN, lƣu kết vào file tcpdump.log: cd synflood 78 sudo tcpdump -i any -nntttts 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0' >> tcpdump.log - Tùy chọn tcp[tcpflags] & (tcp-syn|tcp-fin): Lọc gói tin TCP có cờ SYN FIN đƣợc bật -tttt: Sử dụng tùy chọn này, thời gian hiển thị thời gian chênh lệch lúc tcpdump bắt gói tin gói tin đến trƣớc nó, hiển thị thị ngày vào dòng lệnh - Hiển thị thay đổi phần cuối file tcpdump.log: tail –f tcpdump.log -f: Hiển thị liệu đƣợc ghi vào file lên hình Bƣớc 7: Chạy script phátxâmnhậpbất thƣờng: synflood.py b) Máy Client Vai trò: Giả lập yêu cầu (request) user thông thƣờng Bƣớc 1: Cấu hình mạng để máy thông nhau: - Thêm card mạng, chọn Switch ảo VMnet5 nhƣ máy server - Chỉnh sửa file cấu hình card mạng: sudo gedit /etc/network/interfaces - Tạo eth0 eth4 với IP 192.168.5.x (x = 10÷14) Bƣớc 2: - Copy file httpsim.sh vào thƣ mục Desktop - Chuyển đến thƣ mục Desktop thêm quyền run cho file httpsim.sh chmod +x httpsim.sh Bƣớc 3: Giả lập user thông thƣờng /httpsim.sh c) Máy Attacker Vai trò: Giả lập công SYN flooding Bƣớc 1: Cài công cụ hping3 để thực công SYN flood (gửi gói tin SYN) sudo apt-get install hping3 Bƣớc 2: Tấn công SYN Flood: dùng hping3 Ubuntu hping3 -i u100000 -S -p 80 192.168.5.2 79 ... + Nghiên cứu phƣơng pháp phát xâm nhập trái phép dựa phát bất thƣờng; + Thử nghiệm phát xâm nhập dựa bất thƣờng sử dụng phân tích thống kê lƣu lƣợng nhằm áp dụng quản trị mạng phát xâm nhập trái. .. Snort thử nghiệm đƣa số kết phát xâm nhập dựa dấu hiệu Chƣơng 2: Các phƣơng pháp phát xâm nhập dựa bất thƣờng Chƣơng nghiên cứu phƣơng pháp phát xâm nhập dựa bất thƣờng, ƣu nhƣợc điểm phƣơng pháp. .. trái phép vào hệ thống mạng - Đối tƣợng, phạm vi nghiên cứu + Phƣơng pháp phát xâm nhập trái phép dựa bất thƣờng; + Thuật toán phát xâm nhập bất thƣờng thống kê; + Thử nghiệm giải pháp phát xâm nhập