Phát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ web
1 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Nguyễn Quốc Trung PHÁT HIỆN TRUY NHẬP BẤT THƯỜNG VÀO MÁY CHỦ WEB Chuyên ngành: Khoa học máy tính Mã số: 8.48.01.01 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – NĂM 2018 MỞ ĐẦU Trong bối cảnh khoa học cơng nghệ ngày phát triển, phòng chống tội phạm khủng bố mạng, chiến tranh mạng ứng phó với nguy từ không gian mạng vấn đề toàn cầu nhiều quốc gia xác định nhiệm vụ trọng tâm bảo vệ, phát triển đất nước Việt Nam ngoại lệ [1] Phát truy cập bất thường bước quan trọng để phát công vào máy chủ Web Đây bước sở để thực bước việc đảm bảo an toàn dịch vụ Web, phát hành động xâm nhập trái phép, công vào máy chủ Web Trên sở yêu cầu thực tiễn đặt ra, chọn đề tài: “Phát truy nhập bất thường vào máy chủ Web” Đây đề tài có ý nghĩa lĩnh vực an tồn thơng tin an ninh mạng nói chung bảo đảm an tồn cho máy chủ Web nói riêng Hiện tại, cơng vào hệ thống mạng nói chung hệ thống máy chủ Web nói riêng diễn hàng ngày, hàng giờ, chí hàng phút tồn giới Chính vậy, vấn đề có tính cấp thiết, cần nghiên cứu Bài luận văn gồm chương với nội dung sau: Chương 1: Máy chủ web vấn đề an toàn web Chương 2: Phát truy nhập bất thường vào máy chủ web Chương 3: Thử nghiệm CHƯƠNG MÁY CHỦ WEB VÀ VẤN ĐỀ AN TOÀN WEB 1.1 Máy chủ Web giao thức HTTP 1.1.1 Giới thiệu máy chủ web Máy chủ web (Web server) dùng để phần mềm máy chủ, phần cứng dành riêng để chạy phần mềm máy chủ, cung cấp dịch vụ World Wide Web Một máy chủ web xử lí yêu cầu (request) từ client (trong mơ hình server - client) thơng qua giao thức HTTP số giao thức liên quan khác Các loại máy chủ Web phổ biến bao gồm: - Apache: Đây máy chủ Web thường cài đặt Linux Hầu hết trang web PHP lưu trữ máy chủ Apache - Internet Information Services (IIS): máy chủ Web phát triển Microsoft Hầu hết trang web asp aspx lưu trữ máy chủ IIS - Apache Tomcat: Hầu hết trang web Java (jsp) lưu trữ máy chủ - Các máy chủ web khác: bao gồm Web Server Novell máy chủ Lotus Domino IBM, Nginx, v.v.[8] 1.1.2 Các thành phần máy chủ web Máy trạm Bàn phím/Màn hình Trình duyệt web Người dùng Kết nối HTTP/ HTTPS Máy chủ web Lớp trình bày (Giao diện web) Máy chủ CSDL Cơ sở liệu MySQL TCP / IP Giao diện sở liệu Tệp nhật kí Hình 1.1 Kiến trúc hệ thống máy chủ web Trên hình 1.1 kiến trúc đơn giản cho hệ thống máy chủ Web Web server bao gồm thành phần giao diện Web (Presentation layer hay Web interface), thành phần giao diện CSDL (Database interface) Máy chủ CSDL đặt ngồi máy tính cài Web Server, kết nối với qua giao diện TCP/IP Giao diện máy chủ Web trình duyệt người dùng (Web Browser) thực qua kết nối HTTP HTTPS Toàn hoạt động máy chủ Web ghi vào nhật ký (Log file) phục vụ cho việc theo dõi, giám sát hoạt động tìm lỗi) 1.1.3 Nguyên tắc hoạt động Để trang web hiển thị chế hoạt động máy chủ web thể qua bước tiến trình truyền tải trang web đến hình người dùng sau Các tiến trình Trình tự bước xảy sau: * Trình duyệt web tách địa website làm phần: - Tên giao thức: “http” - Tên miền máy chủ web: “http://maychuvietnam.com.vn” - Tên tệp HTML: “web-server.htm” * Trình duyệt gửi yêu cầu kết nối tới máy chủ Web (bản tin HTTP request) * Máy chủ Web trả lời tin HTTP response * Căn thông tin tin yêu cầu, máy chủ Web liên hệ với máy chủ tên miền (DNS Server) để chuyển đổi tên miền “http://maychuvietnam.com.vn” địa IP tương ứng Hình 1.2 Các bước tiến trình truyền tải web 1.1.4 Ghi nhật ký (Web Log) Web log file tệp nhật ký tự động tạo trì máy chủ web Mỗi lần truy cập vào trang Web, bao gồm lần xem tài liệu HTML, hình ảnh đối tượng website web server ghi nhận Các máy chủ web IIS, Apache hay Nginx có web log file để ghi lại nhật ký hoạt động website[9] 1.1.5 Giao thức HTTP HTTP (HyperText Transfer Protocol) giao thức truyền tải siêu văn Cơ chế hoạt động HTTP Request-Response: Web Client gửi Request đến Web Server, Web Server xử lý trả Response cho Web Client 1.1.6 Một số tảng Apache, IIS, Ngin * Nền tảng Apache Apache Web Server lựa chọn ưu việt để tạo website ổn định tùy chỉnh linh hoạt * Nền tảng IIS IIS viết tắt từ (Internet Information Services ), đính kèm với phiên Windows IIS gồm dịch vụ máy chủ chạy hệ điều hành Window, cung cấp phân phối thông tin lên mạng IIS gồm có nhiều dịch vụ khác Web Server, FTP Server… * Nền tảng Nginx Nginx tảng máy chủ Web sử dụng phổ biến giao thức HTTP, HTTPS, SMTP, POP3, IMAP đồng thời tạo cân tải Nginx tập trung vào việc phục vụ số lượng lớn kết nối đồng thời, hiệu suất cao sử dụng nhớ thấp Nginx có ổn định cao, nhiều tính năng, cấu hình đơn giản tiết kiệm tài nguyên 5 1.2.Các lỗ hổng bảo mật Web 1.2.1 Khái niệm lỗ hổng bảo mật Lỗ hổng bảo mật (Security Vulnerability): Một điểm yếu hệ thống cho phép kẻ công khai tác gây tổn hại đến an ninh, an toàn hệ thống[21] 1.2.2 Các loại lỗ hổng phổ biến Web Có loại lỗ hổng phổ biến nay: + Lỗ hổng loại C + Lỗ hổng loại B + Lỗ hổng loại A Lỗ hổng Web Server - Lỗ hổng HĐH - Không cập nhật vá lỗi IIS,… - Các dịch vụ cài đặt mặc định Tấn công từ chối dịch vụ Firewall Tấn công tiêm mã (XSS, SQLi, Bof,…) Firewall Browser Web Server Thu thập thông tin SQL Server Mã độc: virut trojan… Hình 1.3 Các lỗ hổng mối đe dọa với máy chủ web * Phân loại theo OWASP[18] - Chèn mã (Injection) - Lỗi xác thực, quản lý phiên (Broken Authentication and Session Management) - Lỗi chéo trang-XSS (Cross-Site Scripting) - Tham chiếu trực tiếp đối tượng không an tồn (Insecure Direct Object References) - Cấu hình bảo mật (Security Misconfigtiration) - Lộ liệu nhạy cảm (Sensitive Data Exposure) - Thiếu kiểm soát truy cập mức chức - Giả mạo yêu cầu liên kết trang (Cross-Site Request Forgery - CSRF) - Sử dụng lỗ hổng biết (Using Known Vulnerable Components) - Chuyển hướng không an toàn (Unvalidated Redirects and Forwards) 1.2.3 Phương pháp kiểm thử lỗ hổng * Phương pháp kiểm thử hộp đen Kiểm thử hộp đen (Black Box Testing) phương pháp dựa đầu vào đầu hệ thống để kiểm thử mà không quan tâm tới code bên * Phương pháp kiểm thử hộp trắng Kiểm thử hộp trắng (White Box Testing) phương pháp dựa vào thuật tốn, cấu trúc code bên chương trình với mục đích đảm bảo tất câu lệnh điều kiện thực lần * Phương pháp kiểm thử hộp xám Kiểm thử hộp xám (Grey Box Testing) sử dụng để kiểm thử thông tin biết bên hệ thống mang tính hạn chế Đây phương pháp kết hợp kiểm thử Black Box Testing White Box Testing 6 1.3.Tấn công vào máy chủ Web 1.3.1 Giới thiệu công vào máy chủ Web Tấn cơng vào máy chủ Web hình thức kẻ cơng tìm cách khai thác lỗ hổng biết chưa biết máy chủ Web nhằm đánh cắp thông tin từ máy chủ, phá rối hoạt động gây gián đoạn, ngưng trệ dịch vụ Web Đối tượng bị cơng cá nhân, doanh nghiệp, tổ chức quan nhà nước[12] 1.3.2 Một số loại cơng điển hình vào máy chủ Web - Tấn công chuyển dịch thư mục (Directory traversal attacks) - Tấn công từ chối dịch vụ (Denial of Service Attacks) - Tấn công chiếm giữ hệ thống tên miền (Domain Name System Hijacking) - Tấn công nghe (Sniffing) - Tấn công giả mạo (Phishing) - Tấn công đầu độc (Pharming) - Tấn công thay giao diện (Defacement) * Công cụ công máy chủ Web: Metasploit, Mpack, Zeus, Neosplit… 1.3.3 Thống kê cơng máy chủ Web điển hình * Khảo sát loại công điển hình vào trang tin / cổng TTĐT Báo cáo Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cho biết năm 2016, Việt Nam ghi nhận 134.375 cố công mạng loại hình Phishing (lừa đảo), Malware (mã độc) Deface (thay đổi giao diện), tăng 4,2 lần so với năm 2015[4] 1.3.4 Một số biện pháp điển hình chống cơng vào máy chủ Web Nhìn chung, số biện pháp liệt kê gồm: - Cài đặt vá lỗi thường xuyên để giúp đảm bảo máy chủ - Bảo mật cài đặt cấu hình hệ điều hành - Bảo mật cài đặt cấu hình phần mềm máy chủ web - Sử dụng công cụ Snort, Nmap, Scanner Access Now Easy (SANE) - Sử dụng tường lửa - Phần mềm diệt virus, mã độc - Vơ hiệu hóa quản trị từ xa - Tài khoản mặc định tài khoản không sử dụng phải xóa khỏi hệ thống - Cổng cài đặt mặc định 1.4 Phát truy nhập bất thường vào máy chủ Web Có hai cách để phát truy nhập bất thường vào máy chủ Web Phương pháp truyền thống sử dụng hệ thống phát xâm nhập (IDS – Intrusion Detection Systems) Cách thứ hai phát hành vi bất thường 1.5 Kết luận chương Trong chương luận văn trình bày nội dung: giới thiệu máy chủ Web, thành phần máy chủ Web, nguyên lý hoạt động, việc ghi nhật ký Weblog, giao thức HTTP, tảng máy chủ Web IIS, Apache, Nginx Ngoài luận văn trình bày lỗ hổng bảo mật Web, loại công vào máy chủ Web, vấn đề phát truy nhập bất thường vào máy chủ Web khả phân tích, phát cơng thơng qua phân tích tệp nhật ký hoạt động máy chủ Web (Web Log) 7 CHƯƠNG PHÁT HIỆN TRUY NHẬP BẤT THƯỜNG VÀO MÁY CHỦ WEB 2.1.Phạm vi phân tích, phát truy nhập bất thường vào máy chủ Web Để thực nhiệm vụ phát truy nhập bất thường vào máy chủ Web, cần thu thập liệu từ Weblog Về nguyên tắc, thu thập nhật ký (access log, error log, v.v sau gọi chung Weblog) từ máy chủ Web, trang tin, mạng nói chung log truy cập dịch vụ mạng Tuy nhiên, khuôn khổ bài, luận văn tập trung vào thu thập phân tích Weblog để phát truy nhập bất thường vào máy chủ Web 2.2 Kiến trúc hệ thống phát truy nhập bất thường 2.2.1 Tham khảo số mơ hình kiến trúc hệ thống * IBM QRadar SIEM QRadar SIEM (Security Information and Event Management) hệ thống quản lý thông tin cố an ninh phát triển cung cấp hãng IBM Hình 2.1 Mơ hình kiến trúc hệ thống IBM QRadar SIEM Các tính tiêu biểu QRadar SIEM sau: + Khả phát giả mạo, nguy bên bên ngoài; + Thực việc chuẩn hóa tương quan kiện tức thời; + Khả theo dõi liên kết cố nguy cơ; + Có thể dễ dàng mở rộng tính lưu trữ, xử lý * Splunk Splunk tảng xử lý phân tích log mạnh, cung cấp hãng Splunk Inc, Hoa Kỳ Splunk xử lý, phân tích log phục vụ đảm bảo an tồn thơng tin, trích rút thơng tin hỗ trợ cho hoạt động kinh doanh Splunk cung cấp cơng cụ tìm kiếm biểu đồ cho phép biểu diễn kết qua đầu theo nhiều dạng Hình 2.2 biểu diễn hình thống kê Splunk Hình 2.2 Thống kê Splunk * Sumo Logic Sumo Logic dịch vụ xử lý, phân tích quản lý log tảng điện toán đám mây Ưu điểm Sumo Logic cung cấp nhiều tính có khả xử lý nhiều loại log, đồng thời việc cài đặt tương đối dễ dàng Sumo Logic dựa tảng điện tốn đám mây, khơng đòi hỏi thiết bị chuyên dụng * Hệ thống giám sát Web VNCS VNCS Web monitoring giải pháp cho phép giám sát nhiều Website đồng thời dựa thu thập, xử lý phân tích log truy cập sử dụng tảng Splunk Công ty cổ phần Công nghệ An ninh khơng gian mạng Việt Nam phát triển Hình 2.3 Thống kê thu thập Web log từ máy chủ cần giám sát VNCS * Một số hệ thống mã nguồn mở Hiện có nhiều hệ thống mã nguồn mở cho phép thu thập, xử lý quản lý file log, điển Logtash, Graylog, LOGalyze, Webalizer, FireStats, Open Web Analytics, Go Access, Web Forensik, Weblog Expert,… 2.2.2 Kiến trúc hệ thống phát truy nhập bất thường Sơ đồ thiết kế hệ thống phân tích, phát truy nhập bất thường vào máy chủ Web đề xuất sau: Weblog Parser Khối phân tích log Thống kê, cảnh báo Hình 2.4 Hệ thống phân tích, phát truy nhập bất thường - Weblog: Khối đặc tả ghi weblog, ghi lại thông tin kiện xảy truy nhập máy chủ, bao gồm kiện truy nhập bất thường - Parse: Là khối xử lý sơ bộ, loại bỏ thông tin không liên quan, tạo thành tệp nhật ký gốc, định dạng Weblog truyền trung tâm phân tích Mục đích việc xử lý trước cải thiện chất lượng độ xác liệu - Khối phân tích Log: Phân tích dấu hiệu bất thường Weblog - Khối thống kê, cảnh báo: Đưa thống kê, cảnh báo Sau phân tích filelog đưa thống kê truy nhập bất thường địa IP…từ cảnh báo công máy chủ web[14] 2.3 Cấu trúc Weblog Tệp nhật ký Weblog có định dạng chuẩn CLF (Common Log File), chứa dòng thơng điệp cho gói HTTP request, cấu tạo sau[9,18]: Host Ident Authuser Date Request Status Bytes Trong đó: - Host: Tên miền đầy đủ client IP - Ident: Nếu thị IdentityCheck kích hoạt client chạy identd, thông tin nhận dạng client báo cáo - Authuser: Nếu URL yêu cầu xác thực HTTP tên người dùng giá trị mã thông báo - Date: Ngày yêu cầu - Request: Dòng yêu cầu client, đặt dấu ngoặc kép (“”) - Status: Mã trạng thái (gồm ba chữ số) - Bytes: số bytes đối tượng trả cho client, ngoại trừ HTTP header 2.4.Nguyên tắc hoạt động khối xử lý Parse Về bản, dịch vụ Parse cung cấp cho tác vụ sau: - Core: Đây nơi quản lý liệu upload lên thông qua service Parse - Push: Gửi push notification tới thiết bị đa tảng, lọc tin nhắn theo đối tượng khách hàng - Analytics: Đây nơi quản lý thống kê thông tin việc sử dụng service app: Phân tích việc sử dụng liệu người dùng, phân tích việc hiệu sử dụng push notification, tìm fix lỗi ứng dụng - Settings: Đây nơi lưu keys tất API Ngồi ra, chỉnh setting cho ứng dụng đây, quản lý bảo mật, xuất liệu, - Docs: Đây nơi cung cấp tài liệu API để tham khảo sử dụng ứng dụng 2.5.Thu thập thông tin Weblog cho phát bất thường 2.5.1 Thu thập thông tin từ logfile hệ thống Trong hệ thống mạng lớn VCCorp, quản trị viên thường thu tập lượng lớn liệu log thiết bị, log hệ thống, thông tin cảnh báo, thông điệp điều khiển tạo mạng lưới ứng dụng thiết bị 2.5.2.Thu thập thông tin từ công cụ Các phương pháp phân tích tập tin nhật ký thủ cơng phát công theo dấu hiệu phương pháp hiệu mặt kết quả, nhiên nhiều thời gian cơng sức để phân tích log file, log file thường chứa rất nhiều dòng nhật ký Vì Regular expression lựa chọn phù hợp 10 Regular (Regex) cho phép xử lý chuỗi ký tự linh hoạt, hiệu mạnh mẽ Regex cho phép mơ tả phân tích chuỗi ký tự với mẫu tương tự ngôn ngữ lập trình nho nhỏ Regex có nhiều dạng cơng cụ, sức mạnh thể tối đa phần ngôn ngữ lập trình 2.6 Phương pháp trích chọn đặc trưng liệu Về việc bóc tách thuộc tính đặc trưng bao gồm hai phần xây dựng thuộc tính lựa chọn thuộc tính đặc trưng Lựa chọn thuộc tính xem tổng hợp ba thành phần chính: tìm kiếm, đánh giá, chọn lựa mơ hình * Chiến lược tìm kiếm Lựa chọn thuộc tính xem vấn đề tìm kiếm, bước khơng gian tìm kiếm xác định tập thuộc tính liên quan Một phương pháp tìm kiếm tìm tập tối ưu tập rỗng thuộc tính * Tiêu chuẩn lựa chọn Tất chiến lược tìm kiếm có nhu cầu đánh giá thuộc tính tập thuộc tính để xác định thuộc tính/tập tốt hay không tốt Việc đánh giá thường phức tạp có nhiều chiều đánh giá * Các mơ hình Filter Wrapper - Mơ hình Wrapper - Mơ hình Filter * Một số thuật tốn trích chọn thuộc tính • Tìm kiếm tồn - Phương pháp Focus Phương pháp xem xét tất kết hợp N thuộc tính, tập rỗng thuộc tính: tập thứ nhất, tập thứ hai,… Khi Focus tìm tập thỏa mãn tiêu chí đo lường độ ổn định, giải thuật dừng lại - Phương pháp AAB Giải thuật ABB bắt đầu với tập tất thuộc tính, ABB thực chiến lược tìm kiếm theo chiều rộng Tại bước giải thuật loại bỏ thuộc tính khơng thuộc tính loại bỏ mà thỏa mãn tiêu chí độ ổn định Cuối cùng, tập với số lượng thuộc tính nhỏ chọn lựa thỏa mãn tiêu chí đo lường U[10,13] • Tìm kiếm theo kinh nghiệm Phương pháp đơn giản phương pháp tìm kiếm theo kinh nghiệm “trích” phân lớp thực việc chọn lựa thuộc tính cách sử dụng phân lớp tạo trước • Tìm kiếm xác suất Phương pháp LVF bao gồm thủ tục tạo tạo tập thuộc tính cách ngẫu nhiên thủ tục nhằm đánh giá xem tập tạo có thỏa mãn tiêu chuẩn chọn lựa hay khơng 2.7.Cách thức phân tích Weblog phát bất thường * Kỹ thuật phát công dựa vào dấu hiệu biết trước - Kỹ thuật phân tích bị động Kỹ thuật phân tích cơng bị động dựa dấu hiệu từ danh sách đen (black list rulebase) sách mặc định cho phép thứ Điều có nghĩa request chấp nhận Danh sách đen định nghĩa dấu hiệu bị coi không hợp lệ gắn cờ (dấu hiệu) cơng web - Kỹ thuật phân tích chủ động 11 Kỹ thuật phân tích cơng chủ động ngược lại hồn tồn với kỹ thuật phân tích bị động Chính sách mặc định từ chối tất có danh sách trắng (white list) ký tự hợp lệ cho phép Hầu hết các tường lửa cấu hình theo cách này[7] * Kỹ thuật phát công dựa vào dấu hiệu bất thường Kỹ thuật phát công dựa bất thường request tới website thông qua luật (rules) tự động xây dựng thơng qua q trình tự học (learnmod) 2.8 Phương pháp phân tích, đánh giá kết * Các bước xử lý website bị công: - Khắc phục tạm thời: Bước đầu tiên, quản trị viên cần cách ly / lưu trạng thái máy chủ web để phục vụ công tác điều tra sau - Rà soát, xử lý Để kiểm tra file bị sửa đổi website thực cách so sánh với backup, ta sử dụng câu lệnh sau: # diff –qr Hoặc lệnh # md5sum - Xác định vá lỗ hổng website: Đây bước yêu cầu người thực phải có kiến thức chun mơn tốt kinh nghiệm để tìm khắc phục lỗ hổng, người có nhiệm vụ khơng thể tự thực thuê đơn vị uy tín bên ngồi - Điều tra nguồn cơng Sau phân tích shell mã độc (nếu có), tìm chi tiết thông tin server điều khiển, địa tải mã độc Sau gửi yêu cầu trợ giúp điều tra tới quan chức Gửi cảnh báo tới quan đơn vị khác có liên quan để đề cao cảnh giác - Đưa website trở lại hoạt động Sau rà soát xử lý hồn tất bước cần nhanh chóng đưa website trở lại hoạt động để tránh gián đoạn hoạt động quan, tổ chức lâu Trong trình vận hành, khai thác cần theo dõi thường xuyên, thực backup liệu, kiểm tra bảo mật cho website để tránh cố đáng tiếc xảy ra[9] 2.9 Kết luận chương Trong chương 2, luận văn trình bày phạm vi hệ thống, kiến trúc số hệ thống điển hình cho thu thập, phân tích phát truy nhập bất thường vào máy chủ Web Tiếp đó, trình bày kiến trúc hệ thống phát truy nhập bất thường vào máy chủ Web với thành phần Weblog, khối Parser thu thập xử lý, khối phân tích Log, khối thống kê, cảnh báo Luận văn trình bày chi tiết nội dung cấu trúc Weblog, nguyên lý hoạt động Parser, cách thức thu thập thơng tin Weblog, cách thức trích chọn đặc trưng liệu, phân tích phát truy nhập bất thường, phương pháp phân tích đánh giá kết 12 CHƯƠNG THỬ NGHIỆM 3.1 Mô hình hệ thống máy chủ Web Cơng ty VCCorp VCCORP DNS (GDNSD) Frontend Load Balancer Load Balancer Load Balancer HCM HN1 HN2 CDN HCM CDN HN1 CDN HN2 Backend DANTRI DANTRI Webserver HN1 Webserver HN1 Hình 3.1 Mơ hình hệ thống máy chủ web VCCorp Các thành phần sơ đồ mạng cụ thể sau: - VCCorp DNS (GDNSD): Đây hệ thống tên miền đặt tên, liên kết với trang thiết bị mạng tầng với mục đích định vị địa hóa thiết bị - Frontend: Khối gồm thiết bị cân tải có chức phân phối client requests network load đảm bảo tính khả dụng độ tin cậy cao cách gửi yêu cầu đến máy chủ trực tuyến tầng bên dưới, tầng Backend - Backend: Khối gồm Server Database lưu trữ sở liệu web dantri 3.2 Đặc tả liệu máy chủ ghi nhận Việc ghi nhận dấu bất thường thể qua ví dụ công brute force vào hệ thống ftp thể sau[20] 13 Để thực công, sử dụng cơng cụ Hydra có sẵn Kali linux Tạo danh sách mật kali crunch có sẵn Kali, Mở terminal kali dùng lệnh: crunch 6 123456qacsderewrer –o /root/Desktop/password.txt, Đây file dự đoán mật tạo destop kali Sau mở terminal kali, sử dụng lệnh: hydra -V -l administrator -P /root/Desktop/password.txt ftp://192.168.1.102 Quá trình công brute force vào ftp server thực hiện, lúc mở log activity giao diện giám sát an ninh mạng ta thấy log dịch vụ FTP sau: Hình 3.2 Log dịch vụ FTP Sử dụng công cụ sqlmap công sql injection vào web site 192.168.1.102 Mở terminal kali, sử dụng lệnh[8]: sqlmap -u http://192.168.1.102/irooms.asp?opt=35 dbs Hình 3.3 Sử dụng cơng cụ sqlmap cơng sql injection Có thể vào thư mục chứa log web server, để kiểm tra phân tích trường hợp hệ thống log bị lỗi Với việc xem xét, phân tích log xác định cách cụ thể thông tin thơng tin phân tích hệ thống giám sát an ninh mạng, có thơng tin mà khơng có mức đánh giá khách quan công không tường minh dễ phân tích phân tích hệ thống giám sát an ninh mạng 14 Hình 3.4 File log web server 3.3 Thử nghiệm phân tích, phát bất thường với cơng cụ Weblog Expert WebLog Expert trình phân tích nhật ký truy cập nhanh mạnh mẽ * Tính năng, đặc điểm WebLog Expert[16] - Hỗ trợ ghi Apache, IIS Nginx - Tự động phát định dạng nhật ký - Có thể đọc nhật ký nén GZ ZIP - Tạo báo cáo bao gồm thông tin văn biểu đồ - Nó cung cấp thơng tin hoạt động chung, thống kê hoạt động truy cập - Cung cấp nhiều thơng tin khách truy cập, trình duyệt, lỗi liên kết giới thiệu Chương trình có giao diện trực quan Trình thủ thuật tích hợp giúp ta nhanh chóng dễ dàng tạo tiểu sử cho trang web phân tích 3.4 Một số kết thử nghiệm với Weblog Expert Dữ liệu thu thập từ máy chủ web công ty VCCorp từ ngày tháng 11 năm 2018 đến ngày 11 tháng 11 năm 2018 Sau số kết thử nghiệm phát bất thường với công cụ Weblog Expert[17,25] Thống kê hoạt động cho thấy hoạt động hàng ngày hàng nhật ký tập tin Nếu tệp nhật ký chứa liệu liên quan đến khoảng thời gian hai tháng cơng cụ hiển thị hoạt động hàng tuần hàng tháng khách truy cập Hình 3.5 Các truy cập vào Web theo ngày tuần Hình 3.16 thể lưu lượng truy cập vào trang web khơng đồng đều, có đột biến cao ngày cuối tuần Từ ta khoanh vùng, đưa 15 kiểm tra cụ thể ngày đột biến: Các trang web truy cập ngày, thời gian truy cập… Hình 3.7 Các hành vi truy nhập thống kê theo ngày Biểu đồ cho thấy thời gian truy cập tăng dần, buổi sáng thường 10h, buổi tối khoảng 20h thời điểm có lượng truy cập cao ngày * Hoạt động truy cập (Access Activity) Hoạt động truy cập cung cấp thông tin phổ biến trang, tệp tải xuống nhiều hầu hết hình ảnh yêu cầu Hình 3.18 Các truy cập vào Web theo ngày Hình 3.18 mô tả truy cập vào Web theo ngày, đường minh họa màu xanh nước biển có lưu lượng truy nhập PhP có độ tăng đột biến thể cơng Web Hình 3.8 Các trang phổ biến Biểu đồ thể rõ truy nhập bất thường vào trang phpmyadmin/index 16 * Khách truy cập (Visitors) Thống kê theo địa IP cho phép nhà quản trị khoanh vùng địa điểm truy cập Từ phát lãnh thổ truy cập: Truy cập bắt nguồn từ nước nào, nhà mạng nào… * Liên kết giới thiệu (Referrer) Cho thấy cơng cụ tìm kiếm sử dụng để tìm trang web * Trình duyệt (Browsers) Giai đoạn phân tích cung cấp thơng tin trình duyệt hệ điều hành khách truy cập trang web sử dụng * Thống kê lỗi (Errors) Hình 3.22 cho thấy loại xảy lỗi truy cập trang web Lỗi “404” xảy khơng tìm thấy liên kết lỗi thứ hai 400 Bad Request thường gây bạn nhập dán URL sai cửa sổ địa Hình 3.9 Các loại lỗi xảy Từ thông tin này, thay đổi bắt buộc thực mã trang web, để tỷ lệ lỗi tương lai giảm * Kiểm tra filelog Hình 3.10 File log phát truy nhập bất thường Sau thống kê bất thường dựa báo cáo biểu đồ, bảng biểu phần mềm Weblog Expert ta phát truy nhập bất thường (ngày, giờ, địa 17 IP…) Từ kiểm tra filelog thấy rõ địa IP, ngày giờ, lệnh truy cập… Hình 3.33 cho thấy truy cập lệnh: "GET /phpmyadmin/index.php?pma_username=root&pma_password=p@ssword1&server= HTTP/1.0" … Đây lệnh dự đoán tên đăng nhập mật để thực truy nhập bất thường Từ đưa phương án ngăn chặn kịp thời bất thường xảy Nhà quản trị cần kiểm tra filelog hàng ngày 3.5 Kết luận chương Trong chương 3, luận văn trình bày số kết thử nghiệm phân tích Weblog phát truy nhập bất thường vào máy chủ Web Công ty VCCorp Luận văn trình bày cụ thể số đặc tả liệu Weblog máy chủ ghi nhận được, trình bày tóm tắt cơng cụ Weblog Expert dùng để thu thập, phân tích dấu hiệu Weblog Tiếp đó, trình bày số kết thử nghiệm 18 KẾT LUẬN Phân tích logfile, phát truy nhập bất thường vào máy chủ Web nhu cầu thực tế đặt giúp phán đoán nguy xảy công vào máy chủ Web Phát truy cập bất thường bước quan trọng để phát công vào máy chủ Web Trên sở thực bước việc đảm bảo an toàn dịch vụ Web, phát hành động xâm nhập trái phép, cơng vào máy chủ Web Ngày có nhiều biện pháp phát truy cập bất thường dựa nguyên lý chung xây dựng tập dấu hiệu bình thường hệ thống, tiếp thu thập hành vi truy nhập vào máy chủ, so sánh với tập dấu hiệu bình thường lưu sẵn Nếu có khác biệt có nghĩa có hành vi truy nhập bất thường Một khả khác để thu thập thông tin hành vi sử dụng công cụ thu thập thông tin máy chủ Web thực phân tích, phát dấu hiệu truy nhập bất thường vào máy chủ Web Điển hình cơng cụ WLELite Mục đích nghiên cứu vấn đề truy nhập bất thường vào máy chủ Web, phương pháp thu thập liệu Weblog phân tích, phát dấu hiệu bất thường Các kết nghiên cứu đạt gồm: - Nghiên cứu tổng quan máy chủ web, logfile, truy cập bất thường - Nghiên cứu phương pháp phát truy cập bất thường vào máy chủ web thông qua thu thập phân tích Weblog - Ứng dụng thử nghiệm phần mềm WLELite việc thu thập, phân tích thơng tin từ máy chủ web VCCorp Hướng phát triển tiếp: Luận văn toán sở để phát dấu hiệu bất thường truy cập máy chủ web bất kì, trung tâm liệu Kết thực đề tài có ý nghĩa thiết thực triển khai ứng dụng nhà cung cấp dịch vụ Hosting VCCorp 19 TÀI LIỆU THAM KHẢO Tiếng việt [1] Hồng Đăng Hải (2014), Tài liệu mơn An ninh mạng, Học viện Cơng nghệ Bưu Viễn thơng, Hà Nội [2] Phạm Duy Lộc, Hoàng Xuân Dậu, Khảo sát tảng kỹ thuật xử lý Log truy cập dịch vụ mạng cho phát nguy an tồn thơng tin, Tạp chí KH Đại học Đà Lạt, Tập 8, Số 2, 2018 [3] Trịnh Nhật Tiến (2008), An tồn an tồn thơng tin, Nhà xuất quốc gia [4] Võ Đỗ Thắng (2013), Tấn công phòng thủ cho ứng dụng Web, Trung tâm An ninh mạng Athena [5] Nghị định Chính phủ, Quản lý, cung cấp, sử dụng dịch vụ internet thông tin mạng, số 72/2013/NĐ-CP [6] Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (2009), TCVN ISO/IEC 27001:2009, Bộ Thơng tin Truyền thông, Hà Nội Tiếng Anh [7] Christopher Kruegel, Giovanni Vigna Anomaly Detection of Webbased Attacks CCS '03 Proceedings of the 10th ACM conference on Computer and communications security Pp 251-261 [8] Hongxin Hu, Gail-Joon Ahn and Ketan Kulkarni Anomaly Discovery and Resolution in Web Access Control Policies SACMAT’11 Proceedings of the 16th ACM symposium on Access control models and technologies Pp 165-174 [9] Juan M Est_evez-Tapiador, Pedro Garc_ıa-Teodoro, Jes_us E D_ıaz-Verdejo Measuring normality in HTTP traffic for anomaly-based intrusion detection Computer Networks 45 (2004) 175–193 [10] Juan M Estévez-Tapiador Pedro García-Teodoro Jesús E Díaz-Verdejo Detection of Web-based Attacks through Markovian Protocol Parsing ISCC 2005 Proceedings 10th IEEE Symposium on Computers and Communications, 2005 [11] Sipola, Tuomo; Juvonen, Antti; Lehtonen, Joel Anomaly detection from network logs using diffusion maps Engineering Applications of Neural Networks (pp 172181) IFIP Advances in Information and Communication Technology (363) 20 [12] Shilin He, Jieming Zhu, Pinjia He, and Michael R Lyu Experience Report: System Log Analysis for Anomaly Detection IEEE 27th International Symposium on Software Reliability Engineering (ISSRE), 2016 [13] Shaimaa Ezzat Salama Web Server Logs Preprocessing for Web Intrusion Detection Computer and Information Science, Vol 4, No 4; July 2011 Pp 123134 [14] Yi Xie and Shun-Zheng Yu Monitoring the Application-Layer DDoS Attacks for Popular Websites IEEE/ACM TRANSACTIONS ON NETWORKING, VOL 17, NO 1, FEBRUARY 2009 Pp 15-26 Website [15] https://www.weblogexpert.com/ [16] https://www.weblogexpert.com/lite.htm [17] https://www.weblogexpert.com/download.htm [18] https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project [19] https://research.ijcaonline.org/volume110/number4/pxc3900759.pdf [20] https://www.sans.org/reading-room/whitepapers/logging/detecting-attacks-webapplications-log-files2074 [21] https://vi.wikipedia.org/wiki/Hypertext_Transfer_Protocol [22] https://www.hostinger.vn/huong-dan/apache-la-gi-giai-thich-cho-nguoi-moi-batdau-hieu-ve-apache-web-server/#gref [23] https://securitydaily.net/tim-hieu-ve-internet-information-services-iis/ [24] https://blog-xtraffic.pep.vn/nginx-la-gi/ [25] https://vccorp.vn/ ... động máy chủ Web (Web Log) 7 CHƯƠNG PHÁT HIỆN TRUY NHẬP BẤT THƯỜNG VÀO MÁY CHỦ WEB 2.1.Phạm vi phân tích, phát truy nhập bất thường vào máy chủ Web Để thực nhiệm vụ phát truy nhập bất thường vào. .. toàn web Chương 2: Phát truy nhập bất thường vào máy chủ web Chương 3: Thử nghiệm CHƯƠNG MÁY CHỦ WEB VÀ VẤN ĐỀ AN TOÀN WEB 1.1 Máy chủ Web giao thức HTTP 1.1.1 Giới thiệu máy chủ web Máy chủ web. .. cài đặt mặc định 1.4 Phát truy nhập bất thường vào máy chủ Web Có hai cách để phát truy nhập bất thường vào máy chủ Web Phương pháp truy n thống sử dụng hệ thống phát xâm nhập (IDS – Intrusion