Đang tải... (xem toàn văn)
Phát hiện tấn công, xâm nhập trái phép vào các hệ thống máy tính và mạng thường được sử dụng như lớp phòng vệ thứ 2 trong mô hình “Phòng vệ nhiều lớp có chiều sâu” trong việc đảm bảo an toàn cho các hệ thống máy tính và mạng. Nhiều kỹ thuật đã được nghiên cứu và triển khai trong hiện tấn công, xâm nhập mạng, như phát hiện dựa trên phân tích lưu lượng mạng, phát hiện dựa trên phân tích header gói tin và phát hiện dựa trên phân tích sâu gói tin (Deep Packet Inspection).
Đồ án tốt nghiệp Đại học Lời cảm ơn LỜI CẢM ƠN Với lòng kính trọng biết ơn sâu sắc, em xin chân thành cảm ơn thầy cô giáo trường Học viện kỹ thuật Mật mã dạy bảo thầy q trình em học trường Em xin đặc biệt cảm ơn Giảng viên TS Hồng Xn Dậu, Khoa Cơng nghệ thơng tin I, Học viện Cơng nghệ Bưu Chính Viễn Thơng, người hướng dẫn trực tiếp, bảo tận tình cho em Đồ án khó hồn thành thiếu giúp đỡ, khuyến khích ý kiến đóng góp quý báu thầy Cảm ơn bố mẹ, em gái, bạn bè bạn lớp ATTT8C bên cạnh cổ vũ, động viên tinh thần để em vượt qua khó khăn Đồ án thực thời gian ngắn, cố gắng tìm hiểu kiến thức có hạn nên chắn nhiều thiếu sót Rất mong thầy góp ý để đồ án hồn Cuối cùng, em xin kính chúc thầy, gia đình ln ln mạnh khỏe thành công nghiệp cao quý Xin chân thành cảm ơn Hà Nội, tháng năm 2016 Sinh viên thực 1 Đồ án tốt nghiệp Đại học Mục lục MỤC LỤC 2 Đồ án tốt nghiệp Đại học DANH MỤC KÝ HIỆU VÀ VIẾT TẮT CSDL ISP CERT CSRF DDoS DoS DPI HIDS IDES IDS IPS LAN NIDS NSM SQL TCP XSS Cơ sở liệu Internet Service Provider Computer Emergency Response Team Cross Site Request Forgery Distributed Denial of Service Denial of Service Deep Packet Inspectio Host Based Intrusion Detection System Intrusion Detection Expert System Intrusion Detection System Intrusion Prevention System Local Area Network Network-Based intrusion detection system Network System Monitor Structured Query Language Transmission Control Protocol Cross Site Scripting Đồ án tốt nghiệp Đại học DANH MỤC HÌNH VẼ, BẢNG Đồ án tốt nghiệp Đại học đầu Lời nói LỜI NĨI ĐẦU Phát công, xâm nhập trái phép vào hệ thống máy tính mạng thường sử dụng lớp phòng vệ thứ mơ hình “Phòng vệ nhiều lớp có chiều sâu” việc đảm bảo an tồn cho hệ thống máy tính mạng Nhiều kỹ thuật nghiên cứu triển khai công, xâm nhập mạng, phát dựa phân tích lưu lượng mạng, phát dựa phân tích header gói tin phát dựa phân tích sâu gói tin (Deep Packet Inspection) Kỹ thuật phát dựa phân tích sâu gói tin có nhiều ưu điểm, đặc biệt phát lây lan phần mềm độc hại, sâu mạng Do vậy, việc tiếp tục nghiên cứu triển khai mơ hình phát xâm nhập mạng dựa phân tích sâu gói tin cần thiết Vì em chọn đề tài “Phát xâm nhập mạng dựa phân tích sâu gói tin” Trên sở phân tích gói tin TCP/IP truyền mạng, dạng công, xâm nhập mạng, đồ án thực với nội dung sau: Chương Tổng quan phát hiện, xâm nhập mạng: Chương trình bày cách tổng quan loại công, xâm nhập mạng thường gặp; Khái quát phát xâm nhập, hệ thống phát xâm nhập: phân loại, kỹ thuật phát xâm nhập Từ đó, đồ án đưa hướng tiếp cận giải toán xây dựng hệ thống phát xâm nhập Chương Phân tích sâu gói tin dựa n-gram ứng dụng phát xâm nhập mạng: Nội dung chương trình bày sở lý thuyết áp dụng vào q trình xây dựng mơ hình bao gồm: sở lý thuyết phân tích sâu gói tin, thuật tốn Mahalanobis ứng dụng thuật tốn học máy tăng dần Chương Cài đặt thử nghiệm: Chương tập trung vào phương pháp kết hợp sở lý thuyết nghiên cứu chương áp dụng vào q trình xây dựng mơ hình phát mơ hình đột nhập Dựa kết cài đặt thử nghiệm, đồ án đưa đánh giá, nhận xét cho mơ hình Mặc dù em nỗ lực hồn thành đề tài hạn chế thời gian hiểu biết thân nên không tránh khỏi thiếu Đồ án tốt nghiệp Đại học đầu Lời nói sót Vì vậy, em mong nhận góp ý thầy cô bạn để phục vụ thêm cho công tác học tập nghiên cứu tương lai Đồ án tốt nghiệp Đại học mạng Chương 1:Tổng quan phát xâm nhập CHƯƠNG 1: TỔNG QUAN VỀ PHÁT HIỆN XÂM NHẬP MẠNG Chương trình bày khái quát công, xâm nhập mạng, biện pháp phòng chống kỹ thuật phát xâm nhập mạng Cụ thể, phần đầu đồ án đưa số khái niệm mối đe dọa, điểm yếu, công, công cụ hỗ trợ công, dạng công phá hoại, dạng phần mềm độc hại Từ đưa biện pháp chung phòng chống cơng mạng Phần chương trình bày kỹ thuật phát công, xâm nhập mạng, phân loại hệ thống phát đột nhập áp dụng thực tế Cuối phần đặt vấn đề đưa hướng giải toán đồ án 1.1 Khái quát công mạng biện pháp phòng chống 1.1.1 Khái quát mối đe dọa, điểm yếu công 1.1.1.1 Mối đe dọa Mối đe dọa (Threat) hành động gây hư hại đến tài nguyên hệ thống (gồm phần cứng, phần mềm, CSDL, file, liệu,hoặc hạ tầng mạng vật lý, …) Các mối đe dọa thường gặp bao gồm : + Phần mềm độc hại + Hư hỏng phần cứng phần mềm + Kẻ công bên + Mất trộm thiết bị + Kẻ công bên ngồi + Tai họa thiên nhiên + Gián điệp cơng nghiệp + Khủng bố phá hoại Trên thực tế, tất mối đe dọa độc hại Một số mối đe dọa cố ý, số khác ngẫu nhiên, vơ tình Đồ án tốt nghiệp Đại học mạng Chương 1:Tổng quan phát xâm nhập 1.1.1.2 Điểm yếu Điểm yếu (Weakness) lỗi khiếm khuyết tồn hệ thống Nói chung, hệ thống tồn điểm yếu 1.1.1.3 Lỗ hổng Lỗ hổng (Vulnerability) điểm yếu hệ thống cho phép mối đe dọa gây tác hại Các lỗ hổng tồn hệ điều hành phần mềm ứng dụng bao gồm: + Lỗi tràn đệm (buffer overflows) + Không kiểm tra đầu vào (unvalidated input) + Các vấn đề với điều khiển truy cập (access-control problems) + Các điểm yếu xác thực, trao quyền (weaknesses in authentication, authorization) + Các điểm yếu hệ mật mã (weaknesses in cryptographic practices) 1.1.1.4 Quan hệ mối đe dọa lỗ hổng Các mối đe dọa thường khai thác lỗ hổng biết để thực công phá hoại Nếu tồn lỗ hổng hệ thống, có khả mối đe dọa trở thành thực Không thể triệt tiêu hết mối đe dọa, giảm thiểu lỗ hổng, qua giảm thiểu khả bị tận dụng để công Một công (attack) vào hệ thống máy tính tài nguyên mạng thực cách khai thác lỗ hổng tồn hệ thống Có thể kết luận sau: Tấn công = Mối đe dọa + Lỗ hổng 1.1.2 Phân loại công, xâm nhập Dựa hình thức cơng, có hai kiểu cơng là: Tấn công chủ động công thụ động Tấn công chủ động (Active attacks) liên quan đến việc sửa đổi liệu đường truyền, sửa đổi liệu file, giành quyền truy nhập trái phép vào máy tính hệ thống mạng Tấn cơng chủ động Đồ án tốt nghiệp Đại học mạng Chương 1:Tổng quan phát xâm nhập đột nhập (intrusion) mặt vật lý Ngược lại, công thụ động (Passive attacks) thường không gây thay đổi hệ thống, mà thực dạng nghe trộm giám sát lưu lượng đường truyền Có thể chia dạng cơng, xâm nhập thành loại sau : • Giả mạo (Fabrications): Giả mạo thơng tin thường để đánh lừa người dùng thơng thường • Chặn bắt (Interceptions): Liên quan đến việc nghe trộm đường truyền chuyển hướng thông tin để sử dụng trái phép • Gây ngắt quãng (Interruptions): Gây ngắt kênh truyền thông ngăn cản việc truyền liệu • Sửa đổi (Modifications): Liên quan đến việc sửa đổi thông tin đường truyền sửa đổi liệu file 1.1.3 Các dạng cơng điển hình 1.1.3.1 Tấn cơng vào mật Tấn công vào mật dạng công nhằm đánh cắp mật thông tin tài khoản nhằm vượt qua bước xác thực hệ thống, giả mạo lợi dụng đặc quyền nạn nhân Tên người dùng đặc biệt mật không mã hóa bị đánh cắp đường truyền từ máy khách đến máy chủ, bị đánh cắp thông qua dạng công XSS Social Engineering (lừa đảo, bẫy người dùng cung cấp thơng tin) Nếu kẻ cơng có tên người dùng mật khẩu, đăng nhập vào tài khoản thực thao tác người dùng bình thường Các dạng cơng vào mật khẩu: • Tấn công dựa từ điển (Dictionary attack): Là dạng cơng vào thói quen người dùng thường có xu hướng sử dụng mật từ có nghĩa, đơn giản thường có sẵn từ điển cho dễ nhớ Kẻ công thử tất trường hợp có từ điển để nhanh chóng tìm mật xác.[2] • Tấn cơng vét cạn (Brute force attacks): Là dạng công sử dụng tổ hợp ký tự thử tự động Phương pháp thường sử dụng với Đồ án tốt nghiệp Đại học mạng Chương 1:Tổng quan phát xâm nhập mật mã hóa Kẻ cơng sử dụng tổ hợp ký tự, sau mã hóa với thuật toán hệ thống sử dụng, so sánh chuỗi mã hóa với chuỗi mà mật thu thập Nếu hai mã trùng tổ hợp ký tự mật đúng.[1] • Tấn cơng kết hợp: Là phương pháp sử dụng công từ điển công vét cạn Kẻ công thường sử dụng phương pháp biết số thông tin nạn nhân như: Tên, ngày sinh thành viên gia đình, tên vật nuôi, biển số xe,… nhằm tiết kiệm thời gian 1.1.3.2 Tấn công chèn mã độc Tấn công chèn mã độc (Malicious Code Injection) dạng công phổ biến, lợi dụng lỗ hổng lập trình cấu hình hệ thống khơng kiểm tra (hoặc kiểm tra yếu) liệu đầu vào Kẻ cơng chèn mã độc vào liệu nhập thực thi chúng hệ thống nạn nhân Các dạng công chèn mã độc gồm cơng tràn đệm, công lợi dụng lỗi không kiểm tra đầu số dạng công chèn mã khác a) Tấn công tràn đệm (Buffer Overflow) điều kiện bất thường tiến trình lưu liệu vượt ngồi biên nhớ đệm có chiều dài cố định Kết liệu ghi đè lên vị trí nhớ liền kề [1] Các lỗi tràn đệm lỗi lập trình gây ngoại lệ truy nhập nhớ máy tính chương trình bị kết thúc, người dùng có ý phá hoại, họ lợi dụng lỗi để phá vỡ an ninh hệ thống Tuy nhiên, tất lỗi tràn đệm bị khai thác kẻ công b) Tấn công lợi dụng lỗi không kiểm tra đầu vào có dạng : Tấn công chèn mã SQL (SQL Injection) công script kiểu XSS, CSRF Tấn công chèn mã SQL kỹ thuật cho phép kẻ công chèn mã SQL vào liệu gửi đến máy chủ đoạn mã thực thi máy chủ sở liệu SQL Injection cho phép kẻ cơng vượt qua bước xác thực người dùng, đánh cắp thay đổi thơng tin sở liệu, chí chiếm quyền điều khiển hệ thống 10 Đồ án tốt nghiệp Đại học Chương 2: Phân tích sâu gói tin gói tin, thuật tốn tính độ lệch Mahalanobis ứng dụng học máy hệ thống phát đột nhập Trên sở lý thuyết nêu chương 2, chương đồ án mô tả chi tiết mơ hình phát đột nhập dựa phân tích sâu gói tin sử dụng kỹ thuật thống kê n-gram kết hợp học máy 42 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử CHƯƠNG 3: CÀI ĐẶT VÀ THỬ NGHIỆM Phần đầu chương giới thiệu tập liệu sử dụng mơ hình thử nghiệm tập liệu DARPA Intrusion Detection Evaluation 1999, sau đồ án trình bày chi tiết khâu xử lý liệu, huấn luyện kiểm thử Cuối kết thử nghiệm mơ hình nhận xét mơ hình xây dựng 3.1 Cài đặt 3.1.1 Giới thiệu tập liệu thử nghiệm Mơ hình phát đột nhập xây dựng đồ án mô hình phân loại liệu dựa phân tích sâu nội dung gói tin Do đó, liệu xử lý gói tin (packet) truyền mạng gói tin lưu dạng tập liệu gói tin file tcpdump, pcap, … với đầy đủ thành phần gói tin gồm header phần nội dung payload Trong mô hình thử nghiệm, đồ án sử dụng tập liệu 1999 DARPA Intrusion Detection Evaluation Bộ liệu 1999 DARPA IDS thu thập MIT Lincoln Lab dùng để đánh giá hệ thống phát đột nhập Tất lưu lượng mạng bao gồm payload gói tin ghi lại file tcpdump Thêm vào đó, tập liệu có bổ sung thêm file audit log, file dump hệ thống ngày BSM log.[10] Bộ liệu sử dụng để đánh giá đo lường khả hệ thống phát đột nhập xác định công vào hệ thống máy tính mạng, gồm dạng công, xâm nhập: - Tấn công từ chối dịch vụ (DoS): Hành động trái phép nhằm làm gián đoạn hoạt động bình thường máy tính hay mạng nạn nhân - Truy nhập từ xa (Remote to Local – r2l): Truy cập trái phép từ xa mà khơng có đặc quyền (không phép truy cập) - User to Root (u2r): Truy cập trái phép vào superuser quyền quản trị người dùng khơng có đặc quyền - Giám sát, thăm dò: Thăm dò trái phép máy tính mạng nhằm tìm kiếm lỗ hổng, cấu hình sơ đồ mơ hình mạng… 43 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử - Thỏa hiệp liệu: Truy nhập trái phép sửa đổi liệu host cục host từ xa Bộ liệu bao gồm tuần liệu dùng để huấn luyện tuần liệu dùng để kiểm tra Trong liệu huấn luyện có tuần liệu liệu tự thông thường (tuần thứ tuần thứ 3) dành cho hệ thống phát bất thường tuần đữ liệu công dán nhãn (tuần thứ 2) dành cho hệ thống phát đột nhập dựa dấu hiệu, đối sánh hay dựa luật.[10] 3.1.1.1 Dữ liệu huấn luyện Trước đánh giá, tập liệu huấn luyện cung cấp đến vùng tham gia (site) Dữ liệu dùng để cấu hình hệ thống phát đột nhập huấn luyện tham số tự Các loại liệu cung cấp liệu sử dụng hầu hết hệ thống phát đột nhập thương mại nghiên cứu ngày Những liệu tạo mạng mô bao gồm liệu sử dụng bình thường phiên cơng Dữ liệu huấn luyện tuần khơng có công để tạo thuận lợi cho việc huấn luyện hệ thống phát bất thường, gồm phiên hoạt động bình thường nội dung phổ biến Các phiên công dành cho huấn luyện gồm công gần loại hành vi theo dõi, giám sát hoạt động máy tính bất hợp pháp Dữ liệu huấn luyện bao gồm yếu tố sau : - Dữ liệu tcpdump bên (outside) lưu lượng mạng tháng thu thập tcpdump packet sniffer Dữ liệu chứa nội dung tất gói tin truyền tải máy tính bên bên mạng - Dữ liệu tcpdump bên (inside) lưu lượng mạng thu thập từ tất gói tin truyền tải máy tính bên mạng - Sun Basic Security Module (BSM) liệu ghi lại từ máy chủ UNIX Solaris Dữ liệu chứa thông tin mô tả lời gọi hệ thống Solaris kernel Raw BSM tập tin đầu nhị phân cung cấp với tập tin cấu hình BSM vá shell script dùng để khởi tạo BSM ghi lại kiện xử lý dịch vụ TCP/IP quan trọng 44 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử - Windows NT audit log tập liệu gồm file: AppEvent.Evt, SysEvent.Evt, SecEvent.Evt - File danh sách phát Danh sách chứa tất thông tin công - File danh sách nhận dạng công - Một bảng HTML liệt kê mô tả tất công liệu huấn luyện 3.1.1.2 Dữ liệu kiểm thử Dữ liệu kiểm thử gồm thành phần tương tự liệu huấn luyện, ngoại trừ câu trả lời cho cơng Ngồi ra, liệu kiểm thử chứa công khơng có liệu huấn luyện Nhiệm vụ hệ thống phát xâm nhập phải phát công mới, chưa gặp trước Bộ liệu dùng để kiểm thử bao gồm tất lưu lượng mạng thu thập tuần thứ (4 ngày) tuần thứ (5 ngày) 3.1.2 Huấn luyện kiểm thử Trong mơ hình thử nghiệm, sử dụng lưu lượng liệu mạng bên (inside) bắt đường truyền router mục tiêu công máy tính mạng Vì hầu hết ứng dụng công khai Internet sử dụng TCP (web, email, telnet, ftp, …) để giảm phức tạp đồ án xử lý liệu TCP inbound đến port đến 1023 host 172.16.xxx.xxx Với tập liệu DARPA 1999, packet xử lý đơn vị liệu kết nối đơn vị liệu, tcptrace sử dụng để xây dựng lại kết nối TCP từ gói tin file tcpdump Quá trình huấn luyện hệ thống phát đột nhập làm việc với liệu tuần tuần tập liệu DARPA 1999, gói tin thu thập hệ thống mạng hoạt động bình thường (khơng có cơng nào) Sau trình huấn luyện kết thúc, liệu tuần thứ tuần đưa vào q trình phát Tại đây, gói tin phân tích, so sánh với sở liệu (là sản phẩm trình huấn 45 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử luyện) để đưa kết luận gói tin có bình thường hay bất thường Mơ hình phát đột nhập đồ án mơ tả Hình 3.1 Hình 3.1 Mơ hình phát đột nhập đồ án 3.1.2.1 Giai đoạn huấn luyện Dữ liệu ban đầu lấy từ tập DARPA 1999 file tcpdump dạng file lưu trữ gói tin truyền mạng bao gồm đầy đủ thơng tin header nội dung gói tin (payload) Nhưng tất nhiên, chương trình khơng thể đưa liệu vào trình học máy mà phải qua q trình tiền xử lý: phân loại, chuẩn hóa thơng tin Q trình huấn luyện thực qua bước sau: Bước 1: Chuẩn bị Chương trình kiểm tra xem có liệu huấn luyện trước hay chưa Cụ thể, chương trình kiểm tra tồn file csdl.huanluyen, nơi lưu trữ kết huấn luyện mặc định chương trình Trong file csdl.huanluyen chứa đối tượng centroid huấn luyện trước Các đối tượng centroid đọc để sử dụng cho trình học máy tăng dần nối tiếp vào liệu có Nếu file khơng tồn 46 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử file rỗng, chương trình thực học máy từ ban đầu Nếu bước khơng thực hiện, chương trình hay hệ thống phải khởi động lại, tất kết huấn luyện từ trước khơng sử dụng chương trình buộc phải huấn luyện lại từ đầu Điều làm hệ thống nhiều thời gian cho giai đoạn huấn luyện, lãng phí tài nguyên với liệu lớn Bước 2: Xử lý liệu Trong bước này, gói tin trích xuất từ liệu đầu vào file tcpdump sử dụng thư viện libpcap Tập liệu chứa lưu lượng mạng nhiều host dịch vụ khác chương trình lọc gói tin TCP host có địa IP dạng 172.16.xxx.xxx, cổng dịch vụ từ đến 1023 độ dài payload lớn Lúc này, phần payload gói tin dạng tự do, chương trình sử dụng phương pháp thống kê 1-gram để tính tần suất xuất byte xuất payload Phương pháp thống kê n-gram đưa phần nội dung dạng chuẩn thống tạo thuận lợi cho việc tính tốn sau Mỗi gói tin sau xử lý đưa đến bước Bước 3: Học máy Chúng ta xây dựng model cho độ dài payload nhận từ liệu huấn luyện, cho port (0-1023) cho host Với packet model vừa tạo, chương trình tìm kiếm tất centroid sở liệu huấn luyện dựa vào độ dài payload, port có trường hợp xảy Nếu khơng có centroid phù hợp sở liệu, centroid khởi tạo thêm vào sở liệu Ngược lại, tồn centroid phù hợp với model, chương trình thực ghép model với centroid thuật toán học máy tăng dần để tạo centroid phiên lưu vào sở huấn luyện Kết thúc bước học máy, chương trình quay trở lại Bước 2, chương trình huấn luyện xong tất gói tin Dữ liệu huấn luyện đưa vào nhiều, đa dạng sở liệu huấn luyện đầy đủ, nhiên dung lượng lưu trữ tăng lên nhiều thời gian huấn luyện Bước 4: Lưu kết kết thúc Sau bước học máy kết thúc hồn tồn qua nhiều vòng lặp, sở liệu huấn luyện xây dựng Mặc định, chương trình lưu kết học máy dạng đối tượng (object) file csdl.huanluyen Các đối tượng file sử dụng cho trình phát huấn luyện sau 47 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử Sơ đồ khối trình huấn luyện mơ tả Hình 3.2 Hình 3.2 Sơ đồ khối trình huyến luyện 3.1.2.2 Giai đoạn phát Dữ liệu đầu vào giai đoạn phát giống với liệu giai đoạn huấn luyện file tcpdump chứa gói tin truyền tải mạng, lại có vai trò hồn tồn khác Trong giai đoạn huấn luyện, tất gói tin bình thường, giai đoạn liệu chứa công chưa xác định, nhiệm vụ chương trình phải xác định gói tin bình thường, gói tin dạng cơng Tất nhiên, chương trình khơng thể phát gói tin mà cần phải qua bước xử lý, phân loại chuẩn hóa gói tin để dễ dàng tính tốn đem lại hiệu cao Giai đoạn phát gồm bước sau: Bước 1: Chuẩn bị Chương trình kiểm tra tồn file csdl.huanluyen, file mặc định chứa đối tượng centroid tạo 48 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử giai đoạn huấn luyện trước Chương trình đọc đối tượng file để tạo thành danh sách centroid, danh sách dùng để đối sánh với packet model tới Nếu file csdl.huanluyen không tồn file rỗng chương trình báo lỗi ngoại lệ (exception) buộc phải dừng lại, q trình phát khơng thể thực mà khơng có sở liệu huấn luyện Đây bước thiếu giai đoạn phát Bước 2: Xử lý liệu Dữ liệu đọc từ file tcpdump dạng gói tin nguyên thủy liệu chứa nhiều gói tin khác Chương trình lọc để sử dụng gói tin TCP host có địa IP dạng 172.16.xxx.xxx, cổng dịch vụ từ đến 1023 độ dài payload lớn Payload gói tin chuẩn hóa kỹ thuật thống kê 1-gram Mỗi gói tin sau xử lý tạo thành packet model đưa đến bước giai đoạn phát Bước 3: Phát Chương trình xây dựng model cho độ dài payload nhận từ liệu huấn luyện, cho port (0-1023) cho host Với packet model vừa tạo, chương trình tìm kiếm tất centroid sở liệu huấn luyện dựa vào độ dài payload, port Khi xác định centroid phù hợp với payload model tại, chương trình dùng tính độ lệch Mahalanobis packet model centroid Hệ số làm mềm α (bôi trơn/làm mượt) 0.001 cho kết tốt với tập liệu Như trình bày mục 2.2.2, hệ số giúp tránh over-fitting, không đủ liệu huấn luyện giảm tỉ lệ false positive Một giá trị ngưỡng (threshold) thiết lập với khoảng cách Mahalanobis, khoảng cách Mahalanobis lớn giá trị ngưỡng gói tin coi bất thường, ngược lại, khoảng cách nhỏ giá trị ngưỡng gói tin coi bình thường Một trường hợp khơng thể tránh khỏi khơng có centroid sở liệu phù hợp với gói tin liệu huấn luyện khơng đầy đủ Khi đó, chương trình xử lý với centroid có độ dài liền kề Nếu khơng có centroid liền kề, chương trình tìm kiếm “hàng xóm” xa phương pháp làm giảm độ xác chương trình Bước 4: Đánh giá kết Mỗi gói tin sau đánh giá, chương trình ghi lại thống kê kết phát Chương trình so sánh kết trình phát với liệu dán nhãn, từ đưa đánh giá 49 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử chia thành loại: true positive, true negative, false positive, false negative Đánh giá chi tiết kết hệ thống nêu mục 3.2 đồ án Sơ đồ khối giai đoạn phát mơ tả Hình 3.3 Hình 3.3 Sơ đồ khối giai đoạn phát 3.2 Kết nhận xét Đồ án sử dụng độ đo sau để đánh giá kết thử nghiệm: - True Positive: Các gói tin bất thường chương trình phát bất thường - True Negative: Các gói tin bình thường chương trình đánh giá bình thường - False Positive: Các gói tin bình thường lại bị chương trình xác định bất thường Giá trị không gây nguy hiểm ảnh hưởng đến 50 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử chất lượng dịch vụ cung cấp đến người dùng Người dùng bình thường bị chặn truy cập đến hệ thống bị phát nhầm - False Negative: Các gói tin bất thường chương trình lại xác định sai gói tin thơng thường Nếu giá trị lớn, nghĩa nhiều cơng vượt qua hệ thống phát đột nhập mà không bị phát Chương trình cài đặt đồ án thử nghiệm với trường hợp liệu huấn luyện khác nhau: Trường hợp 1: Dữ liệu huấn luyện đưa vào Ban đầu liệu đưa vào giai đoạn huấn luyện liệu ngày (ngày Thứ tuần thứ nhất) Sau hệ thống dùng để đánh giá liệu tuần thứ thứ Trường hợp 2: Toàn liệu huấn luyện sử dụng Dữ liệu huấn luyện tất ngày tuần thứ thứ Sau hệ thống tiếp tục dùng để đánh giá liệu tuần thứ tuần thứ Với trường hợp trên, giá trị ngưỡng để so sánh khoảng cách Mahalanobis đặt 128 Kết thử nghiệm chương trình trình bày chi tiết Bảng 51 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử Bảng Kết kiểm thử chương trình day Monday – Week TN TP FN FP Week Week week Week & Week TN TP FN FP Mon 164399 10 164400 10 Tue _ _ _ _ _ _ _ Wed 150434 0 150436 0 Thu 182400 0 182402 0 Fri 145081 12 145085 Mon 220076 267 223 220077 267 222 Tue 811542 39 54095 1794 811543 39 54095 1793 Wed 171004 0 1792 171004 0 1792 Thu 337647 0 3601 337647 0 3601 Fri 0 249 199935 0 246 _ 199932 3.3 Nhận xét Trong tập liệu tuần thứ có tất 2,444,615 gói tin thỏa mãn Độ xác chương trình tính theo cơng thức : Trong : • AC (accuracy) độ xác chương trình thử nghiệm (%) • TD (true detected) tổng số tất phát • S (summary) tổng số tất gói tin phát Từ liệu Bảng 1, tính độ phát xác hệ thống trường hợp thể Bảng 52 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử Bảng Đánh giá độ xác chương trình Trường hợp 1Trường TD FD S AC (%) 2,382,554 62,061 2,444,615 97.46132 2,382,568 62,047 2,444,615 97.46189 hợp Có thể nhận thấy khác biệt trường hợp, trường hợp liệu đưa vào ngày thứ tuần chường hợp liệu tuần (lên đến ngày liệu training) Nhưng độ xác trường hợp lại không cao trường hợp khoảng 0,057% có lẽ liệu ngày tuần tuần không khác biệt nhiều Ngồi trương trình số tồn cần khắc phục : • Tốc độ xử lý hệ thống chậm Thời gian trung bình thử nghiệm ngày khoảng 45 phút Thời gian thử nghiệm nhanh khoảng 25 phút lâu 85 phút • Chương trình khơng thể phát cơng tầng thấp mơ hình TCP/IP công từ chối dịch vụ DoS/DDoS, Ping of Death, Smurf hay loại công thăm dò port scan, Nguyên nhân hệ thống phát đột nhập dựa phân tích payload gói tin mà nhiều dạng cơng khơng sử dụng đến phần payload gói tin (độ dài payload 0) • Tỷ lệ phát true positive thấp, đồng nghĩa với tỷ lệ false negative cao, đặc biệt thử nghiệm ngày thứ ba tuần thứ Tỷ lệ false negative cao nguy hiểm tỷ lệ cao, nghĩa có nhiều cơng vượt qua hệ thống phát đột nhập mà không nhận biết, cảnh báo Từ nhược điểm, khó khăn mà hệ thống thử nghiệm gặp phải, đồ án nêu số kỹ thuật áp dụng nhằm cải thiện hiệu năng, chất lượng phát hệ thống sau: • Huấn luyện hệ thống với nhiều liệu đa dạng nhằm nâng cao tính đầy đủ sở liệu huấn luyện Cơ sở liệu huấn luyện lớn giúp hệ thống định nhanh chống, dễ dàng hơn, giảm đáng kể tỷ lệ false positive 53 Đồ án tốt nghiệp Đại học nghiệm Chương 3: Cài đặt thử • Phân loại gói tin theo giao thức, dịch vụ riêng biệt Điều giúp tốc độ tìm kiếm chương trình nhanh hơn, cải thiện tốc độ, hiệu hệ thống • Xác định giá trị ngưỡng phù hợp cho giao thức, dịch vụ riêng biệt Không sử dụng giá trị ngưỡng chung cho tất gói tin Tiến hành thử nghiệm nhiều lần để tìm giá trị ngưỡng phù hợp nhất, xác Giá trị ngưỡng hồn tồn xác định tiến trình tự động • Kết hợp với kỹ thuật phát đột nhập khác Mỗi kỹ thuật có ưu điểm, nhược điểm khác việc kết hợp nhiều kỹ thuật phát đột nhập cải thiện tối đa tỷ lệ phát • Sử dụng tối đa sức mạnh phần cứng: Xử lý đa nhân, đa luồng, sử dụng GPU, … Với máy chủ có cấu hình cao, việc tận dụng tối đa hiệu phần cứng cải thiện tốc độ hệ thống phát đột nhập lên nhiều lần, giảm thời gian trễ, tránh tượng nút cổ chai với hệ thống phát thời gian thực 3.4 Kết chương Chương kết hợp lý thuyết chương chương để xây dựng thử nghiệm mơ hình phát xâm nhập phương pháp phân tích sâu nội dung gói tin Mơ hình phát áp dụng mơ hình n-gram kết hợp với học máy tăng dần để đánh giá gói tin thử nghiệm tập tin DARPA 1999 đem lại số kết khả quan Tuy số nhược điểm cần khắc phục việc nghiên cứu phương pháp phát xâm nhập dựa phân tích sâu gói tin có nhiều tiềm ứng dụng thực tế 54 Đồ án tốt nghiệp Đại học KẾT LUẬN Kết đạt Đồ án đạt số kết sau: • Trình bày cách tổng quan dạng công mạng biện pháp phòng chống; trình bày khái qt phát xâm nhập mạng, kỹ thuật phát xâm nhập mạng • Đưa sở lý thuyết kỹ thuật phát xâm nhập mạng dựa phân tích sâu gói tin (Deep Packet Inspection) Kỹ thuật phát dựa phân tích sâu gói tin có nhiều ưu điểm, đặc biệt phát lây lan phần mềm độc hại, sâu mạng, Đồ án trình bày mơ hình phát đột nhập xây dựng dựa kỹ thuật phân tích sâu gói tin cách áp dụng phương pháp thống kê n-gram kết hợp với kỹ thuật học máy tăng dần thuật tốn tính khoảng cách Mahalanobis • Xây dựng thử nghiệm thành cơng mơ hình phát đột nhập tập liệu DARPA 1999 Từ kết thử nghiệm thu được, đồ án rút ưu điểm, nhược điểm mơ hình có hướng phát triển, cải thiện mơ hình tương lai Hướng nghiên cứu tương lai Một số hướng nghiên cứu, phát triển tương lai: • Tiếp tục thử nghiệm mơ hình với nhiều tập liệu đa dạng để có đánh giá xác hệ thống Từ đó, tinh chỉnh, cấu hình hệ thống nhằm đạt hiệu phát cao Chương trình cần tối ưu hóa để sử dụng tối đa hiệu hệ thống phần cứng máy tính mạng Điều có ý nghĩa quan trọng việc nâng cao tốc độ xử lý hệ thống áp dụng vào thực tế, đặc biệt áp dụng vào hệ thống phát thời gian thực • Kết hợp mơ hình với kỹ thuật phát đột nhập khác biết nhằm khắc phục nhược điểm mơ hình nâng cao tỉ lệ phát xác 55 Đồ án tốt nghiệp Đại học TÀI LIỆU THAM KHẢO [1] Michael E Whitman & Herbert J Mattord, Principles of Information Security 4th Edition, Course Technology Cengage Learning, 2011 [2] David Kim, Micheal G Solomon, Fundamentals of Information Systems Security, Jones & Bartlett Learning, 2012 [3] Karen Scarfone, Peter Mell, Guide to Intrusion Detection and Prevention Systems (IDPS), National Institute of Standards and Technology NIST, 2007 [4] Grant Kirkwood, Introduction to Deep Packet Inspection [5] Ralf Bendrath, Global technology trends and national regulation: Explaining Variation in the Governance of Deep Packet Inspection, International Studies Annual Convention, 2009 [6] Ke Wang, Salvatore J Stolfo, Anomalous Payload-based Network Intrusion Detection [7] Dr.Thomas Porter, The Perils of Deep Packet Inspection, Security Focus, 2010 [8] Andrew D Ker, Stability of the Mahalanobis Distance: A Technical Note [9] Peter Harrington, Machine Learning in Action, Manning Publications Co., 2012 [10] Lincoln Laboratory MIT, http://www.ll.mit.edu/mission/communications/cyber/CSTcorpora/ideval/d ata/1999dat a.html , 11/2014 [11] Ali A.Ghorbani, Wei Lu and Mahbod Tavallaee, Network Intrusion Detection and Prevention: Concepts and Techniques, Springer Publishing, Canada, 2010 56 ... hình phát xâm nhập mạng dựa phân tích sâu gói tin cần thiết Vì em chọn đề tài Phát xâm nhập mạng dựa phân tích sâu gói tin Trên sở phân tích gói tin TCP/IP truyền mạng, dạng công, xâm nhập mạng, ... phân tích sâu gói tin chia thành dạng chính: Phân tích dựa đối sánh mẫu (Pattern Matching) phân tích dựa bất thường 2.1.3.1 Phân tích sâu gói tin dựa đối sánh mẫu Kỹ thuật phân tích sâu gói tin. .. 1.2.2 Phân loại phát công, xâm nhập mạng Có thể phân loại phát cơng, xâm nhập mạng theo cách: Phân loại dựa nguồn liệu phân loại dựa kỹ thuật phát Dựa nguồn liệu, chia hệ thống phát xâm nhập thành