Đang tải... (xem toàn văn)
Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng - Chương 3: Phát hiện xâm nhập cung cấp cho người học các kiến thức: Các kỹ thuật phát hiện xâm nhập, dấu hiệu tấn công và chữ ký; phát hiện xâm nhập dựa trên danh tiếng; phát hiện xâm nhập dựa trên chữ ký với Snort và Suricata; phát hiện xâm nhập dựa trên bất thường với dữ liệu thống kê,... Mời các bạn cùng tham khảo.
CHƯƠNG PHÁT HIỆN XÂM NHẬP NỘI DUNG Các kỹ thuật phát xâm nhập, dấu hiệu công chữ ký Phát xâm nhập dựa danh tiếng Phát xâm nhập dựa chữ ký với Snort Suricata Phát xâm nhập dựa bất thường với liệu thống kê CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP, DẤU HIỆU TẤN CÔNG VÀ CHỮ KÝ Kỹ thuật phát xâm nhập Dấu hiệu xâm nhập chữ ký Quản lý dấu hiệu công chữ ký Các khung làm việc cho dấu hiệu công chữ ký KỸ THUẬT PHÁT HIỆN XÂM NHẬP Phát xâm nhập: chức phần mềm thực phân tích liệu thu thập để tạo liệu cảnh báo Cơ chế phát xâm nhập gồm hai loại là: Dựa chữ ký Dựa bất thường KỸ THUẬT PHÁT HIỆN XÂM NHẬP Cơ chế phát dựa chữ ký Là hình thức lâu đời phát xâm nhập Bằng cách duyệt qua liệu để tìm kết khớp với mẫu biết Ví dụ: địa IP chuỗi văn bản, số lượng byte null (byte rỗng) xuất sau chuỗi xác định sử dụng giao thức Các mẫu chia thành mẩu nhỏ độc lập với tảng hoạt động dấu hiệu công Mẫu mô tả ngôn ngữ cụ thể tảng chế phát xâm nhập, chúng trở thành chữ ký Có hai chế phát dựa chữ ký phổ biến Snort Suricata KỸ THUẬT PHÁT HIỆN XÂM NHẬP Phát dựa danh tiếng Là tập phát dựa chữ ký Phát thông tin liên lạc máy tính bảo vệ mạng máy tính Internet bị nhiễm độc tham gia vào hành động độc hại trước Kết phát dựa chữ ký đơn giản địa IP tên miền KỸ THUẬT PHÁT HIỆN XÂM NHẬP Phát dựa bất thường Là hình thức phát xâm nhập o Phổ biến với công cụ Bro Dựa vào quan sát cố mạng nhận biết lưu lượng bất thường thơng qua chẩn đốn thống kê Có khả nhận mẫu cơng khác biệt với hành vi mạng thông thường Đây chế phát tốt khó thực o Bro chế phát bất thường, thực phát bất thường dựa thống kê KỸ THUẬT PHÁT HIỆN XÂM NHẬP Phát dựa Honeypot Là tập phát triển phát dựa bất thường Honeypot sử dụng nhiều năm để thu thập phần mềm độc hại mẫu cơng cho mục đích nghiên cứu Honeypot ứng dụng tốt phát xâm nhập cách cấu hình hệ thống o Được cấu hình cho việc ghi lại liệu, thường kết hợp với loại khác NIDS HIDS DẤU HIỆU XÂM NHẬP - IOC Indicators of Compromise – IOC: thông tin sử dụng để mô tả khách quan xâm nhập mạng, độc lập tảng Ví dụ: địa IP máy chủ C&C, hay tập hành vi cho thấy email server SMTP relay độc hại Được trình bày theo nhiều cách thức định dạng khác để sử dụng chế phát khác Nếu sử dụng ngôn ngữ định dạng cụ thể trở thành phần chữ ký Một chữ ký chứa nhiều IOC IOC CHO MẠNG VÀ MÁY TÍNH IOC cho mạng: o Là mẫu thơng tin bắt kết nối mạng máy chủ, mô tả khách quan xâm nhập o Ví dụ: địa IPv4, địa IPv6, tên miền, chuỗi văn bản, giao thức truyền thông,… IOC cho máy tính: o Là mẫu thơng tin tìm thấy máy tính, mơ tả khách quan xâm nhập o Ví dụ: tài khoản người dùng, đường dẫn thư mục, tên tiến trình, tên tệp tin, khóa đăng ký (registry), … TẠO DANH SÁCH THỐNG KÊ VỚI SILK Dữ liệu thống kê: Ví dụ: danh sách máy tính giao tiếp mạng nội có lưu lượng liệu liên lạc lớn Xác định thiết bị có lưu lượng gửi đến máy chủ bên ngồi lớn đáng ngờ, máy tính bảo vệ bị nhiễm phần mềm độc hại kết nối với số lượng lớn địa IP bên đáng ngờ Đây bất thường thật mạng, phát chữ ký Sử dụng cơng cụ phân tích liệu phiên SiLK Argus TẠO DANH SÁCH THỐNG KÊ VỚI SILK SiLK công cụ sử dụng hiệu cho việc thu thập, lưu trữ phân tích liệu luồng Đồng thời tạo số liệu thống kê số liệu cho nhiều tình rwstats rwcount dùng để tạo danh sách thống kê lưu lượng TẠO DANH SÁCH THỐNG KÊ VỚI SILK rwfilter tập hợp tất ghi lưu lượng thu thập 1400 ngày tháng 8, kiểm tra lưu lượng phạm vi IP 102.123.0.0/16 Dữ liệu chuyển tới rwstats, để tạo danh sách top 20 ( count = 20) kết hợp địa IP nguồn đích (-fields = sip, dip) cho liệu lọc, xếp theo byte ( value = bytes) rwfilter start-date = 2013/08/26:14 anyaddress = 102.123.0.0/16 type = all -pass = stdout | rwstats top count = 20 -fields = sip,dip value = bytes TẠO DANH SÁCH THỐNG KÊ VỚI SILK TẠO DANH SÁCH THỐNG KÊ VỚI SILK rwfilter start-date = 2013/08/26:14 anyaddress = 102.123.222.245 type = all pass = stdout | rwstats top count = fields = sip,dip value = bytes Tập trung vào nhóm đối tác liên lạc thường xuyên máy tính đơn lẻ TẠO DANH SÁCH THỐNG KÊ VỚI SILK rwfilter start-date = 2013/08/26:14 anyaddress = 102.123.222.245 type = all pass = stdout | rwstats top count = fields = sip,sport,dip value = bytes Sử dụng thống kê để xác định lượng sử dụng dịch vụ TẠO DANH SÁCH THỐNG KÊ VỚI SILK rwfilter start-date = 2013/08/26:14 anyaddress = 102.123.222.245 sport = 22 type = all pass = stdout | rwcount bin-size = 600 rwcount để xác định khoảng thời gian giao tiếp diễn TẠO DANH SÁCH THỐNG KÊ VỚI SILK Nhận xét: Việc truyền liệu tương đối quán theo thời gian Đường hầm SSH sử dụng để chuyển lượng lớn liệu Đây nguy rò rỉ liệu, đơn giản người sử dụng cơng cụ SCP để chuyển tới hệ thống khác với mục đích lưu KHÁM PHÁ DỊCH VỤ VỚI SILK Tạo rwfilter để thu thập tập liệu để từ tạo số liệu thống kê rwfilter start-date = 2013/08/28:00 enddate = 2013/08/28:23 type = all -protocol = 0- pass = sample.rw Các thiết bị mạng nội trao đổi nhiều cổng phổ biến, 1-1024? rwfilter sample.rw type = out,outweb sport = 1-1024 pass = stdout | rwstats fields = sip,sport count = 20 value = dip-distinct TÌM HIỂU THÊM VỀ PHÁT HIỆN XÂM NHẬP DỰA TRÊN THỐNG KÊ Xem xét cảnh báo Zeus tạo Snort TÌM HIỂU THÊM VỀ PHÁT HIỆN XÂM NHẬP DỰA TRÊN THỐNG KÊ Dễ nhầm với lưu lương NTP kết nối giống lưu lượng UDP qua cổng 123 Cần phải xem thêm liên lạc khác máy tính, xác định xem máy tính liên lạc với "các máy chủ NTP" khác mà có dấu hiệu đáng ngờ nhờ trường mã quốc gia rwfilter start-date = 2013/09/02 enddate = 2013/09/02 any-address = 192.168.1.17 -aport = 123 proto = 17 type = all pass = stdout | rwstats top fields = dip,dcc,dport count = 20 Máy tính bảo vệ giao tiếp với nhiều máy tính khác cổng 123 Hiển thị nhiều thiết bị có mẫu liên lạc tương tự rwfilter start-date = 2013/09/02 enddate = 2013/09/02 not-dipset = local.set -dport = 123 proto = 17 type = all -pass = stdout | rwstats top fields = sip -count = 20 value = dip-distinct MỘT SỐ CÔNG CỤ HIỂN THỊ THỐNG KÊ Gnuplot Google Chart Afterglow ... ký: • VB-1 (VA -3 / VA-4) VB-2 (VA-6) VB-4 (VA-8) VB-5 (VA-8): Luật Snort/Suricata để phát liên lạc với danh tiếng xấu theo địa IP tên miền • VB-1 (VA-5/VC-1) VB-2 (VA-7/VC-2): Bro script để kéo tệp... • • • • • • VB-1: Một người dùng nhận e-mail với tệp tin đính kèm độc hại VA-1: Địa e-mail VA-2: Tiêu đề e-mail VA -3 : Tên miền nguồn e-mail độc hại VA-4: Địa IP nguồn e-mail VA-5: Tên tệp tin... phần mềm độc hại sơ • VB-2 (VA-6/VA-7/VC-2): chữ ký HIDS để phát trình duyệt gọi từ tài liệu • VB -3 : chữ ký HIDS để phát tệp tin hệ thống bị ghi đè • VB-4 (VA-9/VA-10) VB-5: Bro script để phát