BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG LÊ HỒNG TUẤN XÂY DỰNG CƠNG CỤ PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH LUẬN VĂN THẠC SĨ CƠNG NGHỆ THÔNG TIN Đồng Nai, Năm 2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG LÊ HOÀNG TUẤN XÂY DỰNG CÔNG CỤ PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH Chun ngành: Cơng nghệ thơng tin Mã số: 8480201 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN ĐỨC THÁI Đồng Nai, Năm 2018 i LỜI CẢM ƠN Để hoàn thành luận văn này, xin chân thành cảm ơn Thầy, Cô Khoa Sau Đại học trường Đại học Lạc Hồng tận tình dạy dỗ, truyền đạt cho tơi nhiều kiến thức kỹ quý báu Xin tỏ lòng biết ơn sâu sắc đến thầy TS Nguyễn Đức Thái, người tận tình giúp đỡ truyền đạt nhiều kinh nghiệm để đề tài thực hoàn thành Xin chân thành cảm ơn bạn bè, đồng nghiệp hỗ trợ, giúp đỡ, động viên nhiều trình thực đề tài Tuy nhiên kiến thức thời gian có giới hạn nên đề tài khó tránh khỏi thiếu sót, kính mong quý thầy bạn đóng góp thêm để đề tài hồn chỉnh hơn! Tơi xin chân thành cảm ơn! Đồng Nai, Ngày tháng năm 2018 Học viên Lê Hồng Tuấn ii LỜI CAM ĐOAN Tơi cam đoan cơng trình nghiên cứu riêng tơi Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình khác Các nội dung tơi tham khảo từ tài liệu trích dẫn thích đầy đủ Tôi xin chịu trách nhiệm luận văn Đồng Nai, Ngày tháng năm 2018 Học viên Lê Hồng Tuấn iii TĨM TẮT LUẬN VĂN Đề tài: Xây dựng công cụ phát xâm nhập mạng máy tính Ngành: Cơng nghệ thơng tin Mã số: 8480201 Học viên: Lê Hoàng Tuấn Người hướng dẫn: TS Nguyễn Đức Thái NỘI DUNG TÓM TẮT Nội dung giao kết mong đợi người hướng dẫn Nội dung: • Luận văn nghiên cứu phương pháp phát phịng chống xâm nhập mạng máy tính xây dựng công cụ phát xâm nhập mạng máy tính • Mục đích đề tài nhằm nhằm xây dựng hệ thống phát xâm nhập phòng chống công từ internet áp dụng giải pháp vào thực tiễn công việc Trung tâm Công nghệ Thông tin Truyền thông Kết quả: • Xây dựng hệ thống phát xâm nhập theo thời gian thực • Có chức nhận dạng phân tích xâm nhập trái phép vào hệ thống • Kết xuất liệu báo cáo file để tổng hợp • Viết báo cáo tổng kết luận văn Cách thức giải vấn đề • Tìm hiểu phương pháp, kỹ thuật phục vụ cho việc phát xâm nhập trái phép mạng máy tính • Nghiên cứu lý thuyết khả cơng mạng • Tìm hiểu chương trình phần mềm mở phát xâm nhập mạng • Tìm hiểu phân tích khả phát xâm nhập phịng chống cơng iv • Tiến hành thực nghiệm Trung tâm công nghệ thông tin Truyền thông Đánh giá mặt khoa học kết • Đề tài nghiên cứu đưa cách nhìn tổng quan hệ thống phát xâm nhập mạng máy tính, phương thức cơng mạng giải pháp bảo mật hệ thống mạng Bên cạnh xây dựng hệ thống giám sát cảnh báo email đến quản trị viên, giúp cho việc quản trị hệ thống mạng trở nên động an tồn • Đề tài ứng dụng Trung tâm Công nghệ Thông tin Truyền thơng tác giả mở rộng tồn ngành nơi mà tác giả cơng tác dựa mã nguồn mở hồn tồn miễn phí đáp ứng nhu cầu quan Những vấn đề tồn so với nội dung giao • Chưa kết nối tập trung nhiều thiết bị giám sát (monitor) đến hệ thống Security Onion • Hệ thống không hoạt động IPS thật sự, cần phải tự phát triển tạo thêm quy tắt để cấu hình trở thành hệ thống IDPS • Một lỗ hổng nghiêm trọng hệ thống Security Onion hệ thống khơng có lưu đầy đủ tệp cấu hình Nó tự động lưu quy tắc Do đó, để thực lưu nào, cần phải sử dụng phần mềm lưu bên Ngày tháng NGƯỜI HƯỚNG DẪN HỌC VIÊN TS Nguyễn Đức Thái Lê Hoàng Tuấn năm 2018 v MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii TÓM TẮT LUẬN VĂN iii MỤC LỤC v DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT viii DANH MỤC HÌNH ẢNH ix CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 1.1 Tổng quan đề tài 1.2 Mục tiêu đề tài 1.3 Phương pháp thực đề tài 1.4 Bố cục luận văn 1.5 Các cơng trình liên quan CHƯƠNG 2: TỔNG QUAN CÁC PHƯƠNG PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG 2.1 Các biện pháp phát hệ thống bị công 2.2 Giải pháp phát phòng chống xâm nhập CHƯƠNG 3: HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP 3.1 Vai trò, chức hệ thống phát phòng chống xâm nhập 3.1.1 Lịch sử phát triển 3.1.2 Vai trò, chức hệ thống phát phòng chống xâm nhập 3.2 Đặc điểm, kiến trúc hệ thống IDS/IPS 10 vi 3.2.1 Cơ sở hạ tầng hệ thống IDS/IPS 10 3.2.2 Kiến trúc hệ thống phát xâm nhập 11 3.2.2.1 Cấu trúc 11 3.2.2.2 Kiến trúc hệ thống IDS/IPS 12 3.3 Phân loại IDS/IPS 14 3.3.1 Host-based IDS/IPS (HIDS) 15 3.3.2 Network Based IDS/IPS (NIDS/IPS) 17 3.3.3 Triển khai hệ thống IDS/IPS 18 3.3.4 Cách thức hoạt động việc phát phòng chống xâm nhập IDS/IPS 21 3.4 Hệ thống giám sát lưu lượng mạng 22 3.5 Hệ thống báo động 23 3.6 SNMP hệ thống giám sát mạng 24 CHƯƠNG 4: PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG DỰA VÀO HỌC MÁY 25 4.1 Phương pháp máy Véc-tơ hỗ trợ (SVM) 25 4.1.1 Bài tốn tìm siêu phẳng tối ưu cho liệu tuyến tính khơng có nhiễu 26 4.1.2 Bài tốn tìm siêu phẳng tối ưu cho liệu khơng tuyến tính: 27 4.2 Mạng nơron nhân tạo 27 4.2.1 Mơ hình mạng nơron nhân tạo 27 4.2.2 Phát xâm nhập dựa vào mạng nơron 28 4.2.2.1 Giới thiệu hệ thống NNID 28 4.2.2.2 Triển khai hệ thống NNID 29 vii CHƯƠNG 5: PHÁT TRIỂN ỨNG DỤNG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP TRONG HỆ THỐNG MẠNG DỰA TRÊN MÃ NGUỒN MỞ 31 5.1 Kiến trúc hoạt động Security Onion 34 5.2 Thử nghiệm ứng dụng 35 5.3 Đánh giá ứng dụng 46 5.3.1 Ưu điểm 46 5.3.2 Nhược điểm 47 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 48 viii DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT STT Ký hiệu Thuật ngữ ANN Artificial Neural Network DOS Denial of Service DDOS Distributed Denial of Service HIDS Host-based Intrusion Detection System IP ADDRESS IDPS IDS Intrusion Detection System IPS Intrusion Prevention System NIDS Network-based Intrusion Detection System 10 NNID Neural Network Intrusion Detector 11 NN Neural Networks 12 SO Security Onion 13 SVM Internet Protocol Address Intrusion Detection and Prevention System Support Vector Machine Chọn vị trí đồ Cuối cùng, điền vào thông tin liệu tên máy, tên người dùng mật Thiết lập thông tin cá nhân Bây tất bước cài đặt hoàn thành cần đợi để giải nén cài đặt sau ta Khởi động lại hệ thống Khởi động lại hệ thống Cấu hình thiết bị mạng Ở thiết bị mạng Switch tác giả sử dụng Switch Cisco 3048, tiến hành cấu sau: N1.SW3048(config)# N1.SW3048(config)# N1.SW3048(config)# N1.SW3048(config)# monitor session monitor session source interface vlan 210 monitor session destination interface E1/45 end Hiển thị lại thông tin cấu hình: N1.SW3048.01# show monitor session session type : local state : up acl-name : acl-name not specified source intf : rx : tx : both : source VLANs : filter VLANs : filter not specified rx : 210 destination ports : Eth1/45 Legend: f = forwarding enabled, l = learning enabled Cấu hình máy chủ phát xâm nhập Security Onion Lời khuyên: Trước cấu hình nên cập nhật Security Onion trước để đảm bảo tập quy tắt hoạt động tốt Cập nhật hệ thống Cài đặt bắt đầu cách nhấp vào biểu tượng Setup hình Cài đặt hệ thống Tại đây, chương trình hỏi người dùng mật root sau cửa sổ giới thiệu xuất Tiếp theo cấu hình card mạng cho hệ thống Cấu hình giao diện mạng, chọn Yes Trong thử nghiệm hệ thống phát có cổng interface, cấu hình cổng để quản lý cổng lại làm nhiệm vụ giám sát (Sniffing) Đầu tiên cấu hình cổng quản lý Chọn cổng eth0 Cấu hình IP động cổng quản lý Chọn DHCP Tiếp theo chọn cổng giám sát Chọn Yes để cấu hình cổng giám sát Chọn cổng cịn lại làm giám sát hệ thống cổng eth1 Chọn cạc mạng Hiển thị thông tin cổng chọn làm cổng giám sát cổng quản lý Thông tin cổng chọn Sau hoàn tất bước cấu hình cạc mạng tiến hành khởi động lại hệ thống Nếu cần chỉnh sửa lại thơng tin chọn No cấu hình lại bước ban đầu (ở Hình 5.17) Khởi động lại hệ thống Đăng nhập vào hệ thống với tài khoản username: onion password: 123456 Đăng nhập tài khoản Bước vào lại Thiết lập (setup) hình Desktop bỏ qua bước cấu hình mạng thực số thay đổi khác có Chọn Yes để bỏ qua cài đặt lại mạng Bây tùy chọn cách cài đặt (thiết lập nhanh nâng cao), ta chọn thiết lập nhanh Chọn Evaluation Mode Thiết lập tên tài khoản tên người dùng mật để dùng cho Kibana, Squert Sguil Ở tài khoản onion mật 123456 Tạo tài khoản đăng nhập Sguil Tạo mật Nhập lại mật Đây thông báo hiển thị lại thông tin cấu hình Hiển thị lại thơng tin cấu hình Đợi vài phút ứng dụng cài đặt vào hệ thống Quá trình cài đặt Các thơng báo cài đặt hồn tất Bây Security Onion cài đặt xong, trước bắt đầu vào cấu hình bước ta cần phải cập nhật quy tắc Snort cách sử dụng lệnh sau: Sudo rule-update Lệnh nên thực với quyền root để cập nhật quy tắc Lệnh cập nhật quy tắc Snort ... văn nghiên cứu phương pháp phát phòng chống xâm nhập mạng máy tính xây dựng cơng cụ phát xâm nhập mạng máy tính • Mục đích đề tài nhằm nhằm xây dựng hệ thống phát xâm nhập phịng chống cơng từ... phục vụ cho việc phát xâm nhập trái phép mạng máy tính • Nghiên cứu lý thuyết khả cơng mạng • Tìm hiểu chương trình phần mềm mở phát xâm nhập mạng • Tìm hiểu phân tích khả phát xâm nhập phịng chống... nguy công tội phạm công nghệ Do đề tài ? ?Xây dựng cơng cụ phát xâm nhập mạng máy tính? ?? phát triển nhằm giúp phần yêu cầu quan, tổ chức, doanh nghiệp đảm bảo an tồn thơng tin bảo mật hệ thống mạng