ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC BÁCH KHOA VÕ BẢO HÙNG HIỆN THỰC HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG BẰNG SỰ KẾT HỢP LINH ĐỘNG GIỮA PHẦN CỨNG VÀ PHẦN MỀM Chuyên ngành: Khoa học máy tính LUẬN VĂN THẠC SĨ         TP Hồ Chí Minh, Tháng năm 2012 ĐẠI HỌC QUỐC GIA TP.HCM  TRƯỜNG ĐẠI HỌC BÁCH KHOA                    CỘNG HÒA XàHỘI CHỦ NGHĨA VIỆT NAM  Độc lập ‐ Tự do ‐ Hạnh phúc  NHIỆM VỤ LUẬN VĂN THẠC SĨ   Họ tên học viên: Võ Bảo Hùng MSHV: 09070441 Ngày, tháng, năm sinh: 28/07/1983 Nơi sinh: Huế Chuyên ngành: Khoa học máy tính Mã số:   I TÊN ĐỀ TÀI: Hiện thực hệ thống phát xâm nhập mạng kết hợp linh động phần cứng phần mềm II NHIỆM VỤ VÀ NỘI DUNG: ‐ Tìm hiểu giải pháp phát xâm nhập mạng phần cứng phần mềm ‐ Tìm hiểu chức phần mềm Snort ‐ Tìm hiểu sử dụng NetThread NetFPGA board ‐ Hiện thực phần mềm Snort chạy NetFPGA board III NGÀY GIAO NHIỆM VỤ : 25/01/2011 IV NGÀY HOÀN THÀNH NHIỆM VỤ: 30/12/2011 V CÁN BỘ HƯỚNG DẪN (Ghi rõ học hàm, học vị, họ, tên): ‐ Hướng dẫn 1: TS Trần Ngọc Thịnh ‐ Hướng dẫn 2: TS Đinh Đức Anh Vũ CÁN BỘ HƯỚNG DẪN (Họ tên chữ ký)  Tp HCM, ngày tháng năm 20 CHỦ NHIỆM BỘ MÔN ĐÀO TẠO (Họ tên chữ ký)  TRƯỞNG KHOA (Họ tên chữ ký) Lời cảm ơn Đầu tiên, cho gởi lời cảm ơn chân thành đến TS.Trần Ngọc Thịnh TS.Đinh Đức Anh Vũ, người Thầy tận tình hướng dẫn tơi suốt trình Cao học tạo điều kiện để tơi hồn thành luận văn Bên cạnh đó, tơi xin cảm ơn giúp đỡ nhiệt tình bạn bè đồng nghiệp phịng máy tính C5, cơng ty thiết kế Renesas nhóm tác giả nghiên cứu NetThread trường đại học Toronto Sự hỗ trợ bạn tạo nguồn động lực lớn cho tơi q trình thực đề tài Thành phố Hồ Chí Minh, tháng 11 năm 2011 Lời cam đoan Tơi cam đoan rằng, ngồi tài liệu tham khảo tài liệu khác thích đính kèm tồn nội dung báo cáo tự soạn thảo chưa xuất tài liệu khác tính đến thời điểm trước công bố luận văn Thành phố Hồ Chí Minh, tháng năm 2012 TĨM TẮT LUẬN VĂN Cùng với phát triển mạnh mẽ tốc độ đường truyền Internet, vấn đề bảo mật hệ thống mạng ngày trở nên quan trọng số lượng gói tin vào hệ thống tăng lên đáng kể Qua trình nghiên cứu phát xâm nhập mạng phần cứng phần mềm, đề tài đề nghị kết hợp hai giải pháp nhằm đảm bảo gói tin xử lí tốc độ cao giữ vững tính linh hoạt, uyển chuyển hệ thống trước yêu cầu thay đổi người dùng Trong trình thực, đề tài lựa chọn NetFPGA board, multithread softprocessor NetThread, thực chức phần mềm Snort nhằm phát xâm nhập vào hệ thống ii    Mục Lục nội dung ‐‐‐W X‐‐‐  Chuyên ngành: Khoa học máy tính i LUẬN VĂN THẠC SĨ i Phần 1 GIỚI THIỆU ĐỀ TÀI Tổng quan 2 Mục tiêu của đề tài 3 Giới hạn của đề tài 4 Cấu trúc luận văn Phần 2 Giải pháp cho hệ thống IDS và các nghiên cứu liên quan Giải pháp phần mềm 1.1 OSSEC 1.1.1 Giới thiệu 1.1.2 Đặc điểm 1.2 SNORT 1.2.1 Giới thiệu 1.2.2 Đặc điểm 1.2.3 Phân loại 2.1 Giải pháp phần cứng 10 Network Processor 10 Các nghiên cứu về sự kết hợp giữa phần mềm và phần cứng 12 3.1 Hardware/Software cooperation 12 3.2 Hardware header 13 Phần 3 Mơ hình đề nghị và các thành phần chính của hệ thống 15 Mơ hình đề nghị 15 SNORT 17 2.1 Packet decoder 18 2.2 Tiền xử lí (Preprocessor) 19 2.3 Detection Engine 21 2.4 Loging và Alerting system 21 iii    2.5 Output modules 21 NetFPGA 22 3.1 Giới thiệu 22 3.2 Thành phần chính 23 NetThread 23 4.1 MIPS architecture 24 4.2 Soft‐processor in FPGA 26 4.3 Đặc điểm của NetThread 26 Phần 4 HIỆN THỰC HỆ THỐNG 28 Giới thiệu hệ thống 28 a Sniffer mode 29 b Filter mode 30 c NIDS mode 32 Flow chart của hệ thống 33 Cấu trúc thư mục của hệ thống 34 Cách nạp chương trình snort_netthred 34 Một số hàm chính của hệ thống 35 a Hàm giao tiếp trên đường truyền mạng 35 b Hàm xử lí gói tin trong hệ thống 38 Mơ hình mở rộng của hệ thống 40 Phần 5 Kết quả thực nghiệm và đánh giá hệ thống 42 Kết quả thực nghiệm 42 a Sniffer mode 43 b Filter mode 43 c NIDS mode 45 Đánh giá hệ thống 45 a Thay đổi số lượng threads trong quá trình hoạt động 45 b Thay đổi số lượng gói tin vào hệ thống 46 Phần 6 KẾT LUẬN 48 Tổng kết 48 Những đóng góp của đề tài 48 Hướng phát triển 48 iv    TÀI LIỆU THAM KHẢO 49 v    Mục lục hình -o0o Hình  1. OSSEC – Host‐based Instrusion Detection System (HIDS) Hình  2. SNORT – Network Instrusion Detection System (NIDS) Hình  3. Mơ hình Hardware/Software cooperation 13 Hình  4. Mơ hình Hardware header 14 Hình  5. Mơ hình điều khiển hệ thống NIDS 15 Hình  6. Snort – Packet Decoder 18 Hình  7. Snort – Preprocessor 19 Hình  8. NetFPGA 22 Hình  9. Thành phần của NetFPGA 23 Hình  10. MIPS architecture 25 Hình  11. Đánh giá soft‐processor trên FPGA 26 Hình  12. NetThread 27 Hình  13. Hiện thực hệ thống 28 Hình  14. Hoạt động cơ bản của hệ thống 28 Hình  15. Chế độ hoạt động ở Sniffer mode 29 Hình  16. Chế độ hoạt động ở Filter mode 30 Hình  17. Chế độ hoạt động ở NIDS mode 32 Hình  18. Flow chart của hệ thống 33 Hình  19. Mơ hình mở rộng 1 40 Hình  20. Mơ hình mở rộng 2 41 Hình  21. Kết quả chương trình ở hệ thống Sniffer mode 43 Hình  22. Hệ thống ở chế độ Filter mode (IP nguồn = 10.0.0.1) 44 Hình  23. Hệ thống ở chế độ Filter mode (UDP protocol) 44 Hình  24. Hệ thống ở chế độ NIDS mode trong tấn cơng ARP 45 Hình  25. Thời gian thực thi của hệ thống ở 3 chế độ hoạt động 47 vi    Mục lục bảng -o0o Bảng 1. Cấu trúc thư mục của hệ thống 34  Bảng 2. Hàm xử lí gói tin trong hệ thống  38  Bảng 3. Gói tin kiểm tra chức năng hệ thống  42  Bảng 4. Hệ thống với sự thay đổi số thread thực thi chương trình  46  Bảng 5. Hệ thống với sự thay đổi số lượng gói tin đầu vào 46  vii    ... TÀI: Hiện thực hệ thống phát xâm nhập mạng kết hợp linh động phần cứng phần mềm II NHIỆM VỤ VÀ NỘI DUNG: ‐ Tìm hiểu giải pháp phát xâm nhập mạng phần cứng phần mềm ‐ Tìm hiểu chức phần mềm Snort... sau: Phần mô tả nghiên cứu phát xâm nhập mạng phần cứng phần mềm Bên cạnh đó, số mơ hình kết hợp phần cứng phần mềm đưa thảo luận phân tích   4  Ở phần 3, luận văn xây dựng mơ hình cho hệ thống, ... mật phần cứng lẫn phần mềm Snort đánh giá hệ thống tốt với hàng triệu lượt download gần 400,000 thành viên đăng kí sử dụng Bằng kết hợp phát xâm nhập dựa tín hiệu xâm nhập mạng phát bất thường hệ