Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 79 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
79
Dung lượng
2,31 MB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Nguyễn Thị Thu Hiền NGHIÊN CỨU, THỬ NGHIỆM CÁC PHƢƠNG PHÁP PHÁT HIỆN XÂM NHẬP TRÁI PHÉP DỰA TRÊN PHÁT HIỆN BẤT THƢỜNG Chuyên ngành: Công nghệ Thơng tin LUẬN VĂN THẠC SĨ KỸ THUẬT CƠNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS Nguyễn Linh Giang Hà Nội – 2015 MỤC LỤC Lời cam đoan Danh mục ký hiệu, chữ viết tắt Danh mục bảng Danh mục hình vẽ, đồ thị MỞ ĐẦU Chƣơng - TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 12 1.1 Giới thiệu hệ thống phát xâm nhập 12 1.1.1 Khái niệm phát xâm nhập 12 1.1.2 Hệ thống phát xâm nhập 12 1.1.3 Vị trí IDS mơ hình mạng .13 1.2 Chức IDS 14 1.3 Kiến trúc IDS 14 1.4 Phân loại IDS 16 1.4.1 NIDS 16 1.4.2 HIDS 18 1.4.3 So sánh NIDS HIDS 20 1.5 Kỹ thuật phát xâm nhập 20 1.5.1 Phát xâm nhập dựa sử dụng sai 21 1.5.2 Phát xâm nhập dựa bất thƣờng .22 1.5.3 So sánh hai phƣơng pháp [3] [11] 23 1.6 Hệ thống phát xâm nhập với Snort 24 1.6.1 Giới thiệu Snort 24 1.6.2 Kiến trúc Snort 25 1.6.3 Chức Snort 26 1.6.4 Một số minh hoạ khả phát xâm nhập Snort 30 Chƣơng - CÁC PHƢƠNG PHÁP PHÁT HIỆN XÂM NHẬP DỰA TRÊN BẤT THƢỜNG 36 2.1 Giới thiệu 36 2.2 Các phƣơng pháp kỹ thuật phát xâm nhập dựa bất thƣờng 36 2.2.1 Phƣơng pháp phát xâm nhập bất thƣờng dựa thống kê 37 2.2.2 Phƣơng pháp phát bất thƣờng dựa khai phá liệu .41 2.2.3 Phƣơng pháp phát dựa tri thức 45 2.2.4 Phƣơng pháp phát dựa học máy 48 Chƣơng - THỬ NGHIỆM THUẬT TOÁN CUSUM TRONG PHÁT HIỆN TẤN CÔNG SYN FLOODING 51 3.1 Các dạng công tràn ngập mạng 51 3.1.1 TCP SYN flood 52 3.1.2 UDP flood 53 3.1.3 ICMP flood 54 3.2 Giới thiệu thuật toán CUSUM đề xuất thực 54 3.3 Thử nghiệm CUSUM 58 3.3.1 Mơ hình thử nghiệm .58 3.3.2 Kịch thử nghiệm 60 3.3.3 Đánh giá kết thử nghiệm .64 3.4 Khả tích hợp CUSUM vào Snort 73 KẾT LUẬN 75 TÀI LIỆU THAM KHẢO 76 PHỤ LỤC .78 Lời cam đoan Trƣớc tiên, xin chân thành cảm ơn bày tỏ lòng biết ơn sâu sắc tới thầy giáo PGS.TS Nguyễn Linh Giang, Bộ môn Truyền thông Mạng máy tính, Viện Cơng nghệ Thơng tin Truyền thơng, Trƣờng Đại học Bách Khoa Hà Nội, ngƣời tận tình hƣớng dẫn, giúp đỡ tơi suốt q trình hồn thiện luận văn Tơi xin chân thành cảm ơn thầy cô giáo Viện Công nghệ Thông tin Truyền thơng nói riêng Đại học Bách Khoa Hà Nội nói chung dạy, cung cấp kiến thức quý báu cho suốt trình học tập nghiên cứu trƣờng Cuối xin gửi lời cảm ơn sâu sắc tới gia đình, bạn bè đồng nghiệp, ngƣời ln cổ vũ, quan tâm giúp đỡ suốt thời gian học tập làm luận văn Tôi cam đoan cơng trình nghiên cứu riêng tơi Các số liệu kết nêu luận văn trung thực chƣa đƣợc công bố cơng trình khác Tác giả Nguyễn Thị Thu Hiền Danh mục ký hiệu, chữ viết tắt Từ Tiếng Anh viết tắt ID Intrusion Detection Phát xâm nhập IDS Intrusion Detection System Hệ thống phát xâm nhập NIDS Network-based IDS Hệ thống phát xâm nhập dựa STT Tiếng Việt mạng HIDS Host-based IDS Hệ thống phát xâm nhập dựa host DoS Denial Of Service Tấn công từ chối dịch vụ DDoS Distributed Denial Of Service Tấn công từ chối dịch vụ phân tán SBIDS Signature Based IDS Hệ thống phát xâm nhập dựa dấu hiệu ABIDS Anomaly Based IDS Hệ thống phát xâm nhập dựa bất thƣờng CUSUM Cumulative SUM 10 KPDL Thuật tốn cộng tích luỹ Data mining Khai phá liệu 11 ADAM Audit Data Analysis and Mining Khai phá phân tích liệu kiểm toán 12 SOM Self-Organizing Maps 13 ICMP Internet 14 TCP Control Bản đồ tự tổ chức Message Giao thức thông điệp điều khiển Protocol Internet Transmission Comunication Giao thức điều khiển truyền vận Protocol 15 UDP User Datagram Protocol Giao thức không liên kết 16 SFD SYN Flooding detection Phát công SYN flooding Danh mục bảng Bảng 3.1 Số lƣợng gói tin SYN, FIN Y trạng thái hoạt động bình thƣờng với N=0.5 64 Bảng 3.2 Số lƣợng gói tin Y trạng thái bình thƣờng với N=1 .64 Bảng 3.3 Số lƣợng gói tin Y trạng thái bình thƣờng với N=2 .65 Bảng 3.4 Số lƣợng gói tin trạng thái có cơng SYN Flood với N=0.5 67 Bảng 3.5 Giá trị Y trạng thái có công SYN Flood với N = 0.5 67 Bảng 3.6 Số lƣợng gói tin trạng thái có cơng SYN Flood với N=1 68 Bảng 3.7 Giá trị Y trạng thái có cơng SYN Flood 69 Bảng 3.8 Số lƣợng gói tin trạng thái có cơng .69 Bảng 3.9 Giá trị Y trạng thái có cơng SYN Flood 70 Bảng 3.10 Số lƣợng gói tin trạng thái có cơng 70 Bảng 3.11 Giá trị Y trạng thái có công SYN Flood với N=2 71 Danh mục hình vẽ, đồ thị Hình 1.1 Các vị trí điển hình IDS [15] .13 Hình 1.2 Kiến trúc IDS 15 Hình 1.3 NIDS Network 17 Hình 1.4 HIDS Network 19 Hình 1.5 Kiến trúc Snort [5] 25 Hình 1.6 Mơ-đun tiền xử lý 27 Hình 1.7 Mơđun phát .28 Hình 1.8 Mơ hình thử nghiệm Snort 30 Hình 1.9 Phát gói tin kích thƣớc bất thƣờng 31 Hình 1.10 Phát Ping of Death 32 Hình 1.11 Ping -t đến máy nạn nhân 32 Hình 1.12 Kết phát ping -t 33 Hình 1.13 Thử cơng web với từ khóa "hacker" 33 Hình 1.14 Phát cơng web Ví dụ 33 Hình 1.15 Thử cơng web với từ khóa "sql" .34 Hình 1.16 Phát cơng web Ví dụ 34 Hình 1.17 Thử cơng SYN flooding 35 Hình 1.18 Kết phát SYN flooding Snort 35 Hình 2.1 Phân loại hệ thống IDS dựa bất thƣờng .37 Hình 3.1 Quá trình thiết lập kết nối TCP 52 Hình 3.2 Tấn công SYN Flood 53 Hình 3.3 Sơ đồ thuật toán phát bất thƣờng dựa CUSUM 57 Hình 3.4 Mơ hình thử nghiệm CUSUM 59 Hình 3.5 Bắt gói tin máy web server 61 Hình 3.6 Ghi kết bắt gói tin file 61 Hình 3.7 Giả lập ngƣời dùng thông thƣờng gửi yêu cầu đến server 62 Hình 3.8 Kết chạy thuật tốn CUSUM lƣu lƣợng mạng bình thƣờng 62 Hình 3.9 Tấn công máy Web server 63 Hình 3.10 Kết thuật tốn CUSUM lúc cơng với Y N 63 Hình 3.12 Đồ thị thuật tốn CUSUM trạng thái lƣu lƣợng mạng bình thƣờng biến động số gói tin SYN-FIN hợp lệ với N=0.5 64 Hình 3.13 Đồ thị thuật tốn CUSUM trạng thái lƣu lƣợng mạng bình thƣờng gói tin SYN-FIN hợp lệ với N = 65 Hình 3.14 Đồ thị thuật tốn CUSUM trạng thái lƣu lƣợng mạng bình thƣờng gói SYN-FIN hợp lệ với N=2 66 Hình 3.15 Sự biến động số gói SYN-FIN lúc có cơng SYN Flood với N=0.5 67 Hình 3.16 Đồ thị thuật tốn CUSUM có cơng với N = 0.5 68 Hình 3.17 Sự biến đổi gói SYN FIN lúc có cơng SYN Flood với N = 168 Hình 3.18 Đồ thị thuật tốn CUSUM có cơng với N = 69 Hình 3.19 Sự biến đổi gói SYN FIN lúc có cơng SYN Flood với N=1 70 Hình 3.20 Đồ thị thuật tốn CUSUM có cơng với N = 70 Hình 3.21 Sự biến động gói SYN FIN lúc có cơng SYN Flood với N=2 71 Hình 3.22 Đồ thị thuật tốn CUSUM có cơng với N = 71 Hình 3.23 Đồ thị phát SYN flooding phƣơng pháp SFD với N=0.6 72 Hình 3.24 Vị trí CUSUM Snort .73 MỞ ĐẦU - Lý chọn đề tài An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề đƣợc quan tâm không Việt Nam mà toàn giới Thời gian gần đây, quan, tổ chức tăng cƣờng triển khai đào tạo, đầu tƣ mua sắm trang thiết bị nghiên cứu biện pháp nhằm đảm bảo an tồn thơng tin cho máy tính cá nhân nhƣ mạng nội Tuy nhiên, tình hình cơng mạng thƣờng xuyên xảy ra, có nhiều quan, tổ chức bị đánh cắp thông tin… gây nên hậu vô nghiêm trọng, thủ đoạn kẻ phá hoại ngày tinh vi Vì thế, bên cạnh việc phát triển dịch vụ ứng dụng mạng, việc làm để phát máy tính mạng máy tính bị xâm nhập trái phép góp phần bảo đảm an toàn, bảo mật mạng vấn đề quan trọng cần đƣợc quan tâm nghiên cứu thƣờng xuyên Hiện nay, nghiên cứu Việt Nam nhƣ giới xây dựng hệ thống phát xâm nhập mạng trái phép dựa mã nguồn mở phát triển mạnh, nhiên Việt Nam nghiên cứu có mức độ triển khai vào thực tế chƣa cao Ngồi ra, chƣơng trình phát xâm nhập hầu hết đƣợc tích hợp thiết bị phần cứng nên việc khai thác chức năng, ngƣời dùng tự phát triển mở rộng thêm chức chƣơng trình bị hạn chế Vì vậy, lựa chọn đề tài "Nghiên cứu, thử nghiệm phƣơng pháp phát xâm nhập trái phép dựa phát bất thƣờng" nhằm phát hành động công mạng, nâng cao khả bảo đảm an tồn thơng tin u cầu khách quan cần thiết giai đoạn - Mục tiêu nghiên cứu + Nghiên cứu phƣơng pháp phát xâm nhập trái phép dựa phát bất thƣờng; + Thử nghiệm phát xâm nhập dựa bất thƣờng sử dụng phân tích thống kê lƣu lƣợng nhằm áp dụng quản trị mạng phát xâm nhập trái phép vào hệ thống mạng - Đối tƣợng, phạm vi nghiên cứu + Phƣơng pháp phát xâm nhập trái phép dựa bất thƣờng; + Thuật toán phát xâm nhập bất thƣờng thống kê; + Thử nghiệm giải pháp phát xâm nhập sử dụng phần mềm mã nguồn mở Snort; + Thử nghiệm thuật tốn CUSUM phát cơng SYN flooding Trong khn khổ đề tài, tơi tìm hiểu hệ thống phát xâm nhập, thử nghiệm hệ thống Snort để phát xâm nhập dựa dấu hiệu, đặc biệt tập trung nghiên cứu phƣơng pháp phát xâm nhập dựa bất thƣờng lựa chọn thuật tốn Tổng tích luỹ (CUSUM) để triển khai thử nghiệm Đề tài đề xuất mô hình phát xâm nhập trái phép dựa phƣơng pháp phát bất thƣờng thống kê việc thử nghiệm thuật tốn CUSUM để phát cơng SYN flooding - Ý nghĩa khoa học thực tiễn đề tài + Ý nghĩa khoa học Quá trình xây dựng đề tài tạo sở nghiên cứu phƣơng pháp kỹ thuật phát xâm nhập trái phép dựa bất thƣờng, đƣa nhìn tổng quát hệ thống hỗ trợ giám sát, bảo vệ mạng máy tính; góp phần nâng cao kiến thức bảo mật an tồn thơng tin + Ý nghĩa thực tiễn Kết nghiên cứu đề tài nhằm bổ sung thêm giải pháp kỹ thuật phát xâm nhập mạng, góp phần bảo đảm an ninh an tồn thông tin; sở để tiếp tục nghiên cứu phát triển giải pháp - Phƣơng pháp nghiên cứu + Nghiên cứu lý thuyết; + Khảo sát thực nghiệm; + Phân tích, tổng hợp; + Kiểm nghiệm thực tế Nội dung luận văn đƣợc kết cấu thành chƣơng nhƣ sau: 10 t SYN FIN Y 84 82 12 119 118 18 142 142 24 166 165 30 190 189 36 225 224 42 260 260 48 284 283 54 308 306 60 320 318 Hình 3.13 Đồ thị thuật toán CUSUM trạng thái lƣu lƣợng mạng bình thƣờng gói tin SYN-FIN hợp lệ với N = Với trƣờng hợp giá trị ngƣỡng đƣợc đặt 1, trạng thái khơng có cơng, đồ thị Hình 3.13 đồng quán gói SYN FIN hợp lệ, giá trị Y luôn nhỏ ngƣỡng cảnh báo Trƣờng hợp N = tƣơng tự nhƣ hai trƣờng hợp c) Trƣờng hợp N = Bảng 3.3 Số lƣợng gói tin Y trạng thái hoạt động bình thƣờng với N=2 t SYN FIN Y 226 224 12 250 248 18 261 260 24 284 284 30 308 307 36 344 342 65 42 356 354 48 379 378 54 390 390 60 414 413 Hình 3.14 Đồ thị thuật toán CUSUM trạng thái lƣu lƣợng mạng bình thƣờng gói SYN-FIN hợp lệ với N=2 Tóm lại, ta phân tích gói SYN FIN trƣờng hợp thử nghiệm, kết từ đồ thị Hình 3.12, 3.13 3.14 cho ta thấy rằng, trạng thái khơng có công, giá trị SYN FIN tƣơng đƣơng nhau, phù hợp với trạng thái lƣu lƣợng vốn có Thuật tốn CUSUM đƣợc áp dụng trƣờng hợp khơng có công, với giá trị ngƣỡng đƣợc đặt để thử nghiệm: N = 0.5, N = N = Đối với tất trƣờng hợp thử nghiệm, giá trị Y ln nhỏ ngƣỡng Vì vậy, khơng có trƣờng hợp sinh cảnh báo sai 3.3.3.2 Phát SYN Flooding Trong thí nghiệm phát SYN flooding, máy Attacker gửi số lƣợng lớn gói SYN đến máy Web server Hình 3.15, 3.17, 3.19 3.21 cho thấy số lƣợng gói SYN tăng lên nhiều so với gói FIN Bên cạnh đó, giá trị Y tăng lên Hình 3.16, 3.18, 3.20 3.22 biểu thị kết thử nghiệm thuật toán CUSUM để phát xâm nhập Từ kết cho thấy, giá trị tổng tích luỹ Y vƣợt ngƣỡng khoảng thời gian ngắn Cụ thể, từ đồ thị Hình 3.16 với N=0.5 chƣơng trình 30 giây để phát flood Với N = (Hình 3.18 Hình 3.20), thuật tốn phát cơng SYN flooding khoảng 32 giây Cịn với N = (Hình 3.22), thuật toán phát SYN flooding 38 giây Cụ thể nhƣ sau 66 a) Trƣờng hợp N = 0.5 Bảng 3.4 Số lƣợng gói tin trạng thái có công SYN Flood với N=0.5 t SIN FIN 541 480 12 18 24 783 1049 1351 474 470 474 30 1626 472 36 1867 466 42 2143 466 48 2404 452 54 2685 462 60 2914 444 Hình 3.15 Sự biến động số gói SYN-FIN lúc có cơng SYN Flood với N=0.5 Nhìn vào đồ thị Hình 3.15, ta thấy rằng, bắt đầu có cơng SYN flood, số gói SYN tăng lên nhiều theo thời gian, cịn số gói FIN biến động khơng nhiều Vì số lƣợng gói SYN tăng, nên giá trị Y, δ, X, x tăng lên Khi giá trị Y vƣợt ngƣỡng thiết đặt thơng báo có cơng Sau đồ thị biểu thị giá trị tổng tích luỹ có cơng Bảng 3.5 Giá trị Y trạng thái có cơng SYN Flood với N = 0.5 t Y 12 18 24 30 0.43975 36 1.42377 67 42 3.00902 48 5.25365 54 8.07643 Hình 3.16 Đồ thị thuật tốn CUSUM có cơng với N = 0.5 Đồ thị Hình 3.16 cho ta thấy, có cơng giá trị Y tăng dần, với giá trị ngƣỡng N = 0.5 hệ thống 30,5 giây để phát SYN flood b) Trƣờng hợp N = Thử lần 1: 21h, ngày 02/10/2015 Bảng 3.6 Số lƣợng gói tin trạng thái có cơng SYN Flood với N=1 t SIN FIN 464 444 12 687 436 18 24 957 1227 442 436 30 1555 440 36 1813 456 42 2117 466 48 2355 452 54 2625 453 60 2865 448 Hình 3.17 Sự biến đổi gói SYN FIN lúc có công SYN Flood với N = 68 Đồ thị Hình 3.17 cho thấy, với giá trị ngƣỡng đặt 1, có cơng SYN flood, gói SYN tăng lên nhiều so với gói SYN Bảng 3.7 Giá trị Y trạng thái có cơng SYN Flood t Y 12 18 24 30 36 42 48 54 60 0 0 0.53914 1.571119 3.185541 5.373567 8.160921 11.521934 Hình 3.18 Đồ thị thuật tốn CUSUM có cơng với N = Hình 3.18 cho thấy, với ngƣỡng đặt 1, hệ thống 32,5 giây để phát công Thử lần 2: 23h05, ngày 05/10/2015 Tƣơng tự nhƣ trên, có cơng SYN flood, attacker gửi số lƣợng lớn gói SYN đến máy nạn nhân, xem số liệu Bảng 3.8 Hình 3.19 minh hoạ số gói tin SYN tăng lên nhiều so với số gói FIN Bảng 3.8 Số lƣợng gói tin trạng thái có cơng t SIN FIN 514 434 12 18 24 30 36 42 48 54 60 790 1074 1349 1602 1862 2140 2410 2659 2920 438 452 438 444 438 436 440 432 446 69 Hình 3.19 Sự biến đổi gói SYN FIN lúc có cơng SYN Flood với N=1 Bảng 3.9 Giá trị Y trạng thái có cơng SYN Flood t Y 12 18 24 30 36 42 48 54 60 0.0663 0.683664 1.91842 3.807859 6.294772 9.408113 13.021099 Hình 3.20 Đồ thị thuật tốn CUSUM có cơng với N = Trong thử nghiệm lần thứ hai với N = 1, đồ thị Hình 3.20 cho thấy hệ thống 32 giây để phát SYN flood c) Trƣờng hợp N = Bảng 3.10 Số lƣợng gói tin trạng thái có cơng t SIN FIN 406 405 12 468 420 18 731 434 24 990 424 30 1276 440 36 1535 435 70 42 1805 436 48 2091 448 54 2379 464 60 2647 460 Hình 3.21 Sự biến động gói SYN FIN lúc có cơng SYN Flood với N=2 Bảng 3.11 Giá trị Y trạng thái có cơng SYN Flood với N=2 t Y 12 18 24 30 36 42 48 54 60 0.538034 1.68731 3.409966 5.640367 8.432868 11.801603 Hình 3.22 Đồ thị thuật tốn CUSUM có cơng với N = Với ngƣỡng đƣợc đặt 2, từ đồ thị Hình 3.22 cho thấy hệ thống khoảng 38 giây để phát công 3.3.3.3 Đánh giá chung Trong phần trên, thử nghiệm phƣơng pháp phát xâm nhập bất thƣờng dựa kỹ thuật thống kê, cụ thể triển khai sử dụng thuật toán CUSUM phát công SYN Flooding Để đánh giá kết phát hiện, tơi thử nghiệm thuật tốn với giá trị ngƣỡng khác nhau, thời điểm vị trí khác Từ lựa chọn giá trị ngƣỡng tối ƣu để phát nhanh, hạn chế cảnh báo sai Kết cụ thể nhƣ sau: 71 - Trạng thái khơng có cơng (lƣu lƣợng bình thƣờng): Số lƣợng gói SYN FIN tƣơng đƣơng nhau; giá trị tổng tích luỹ Y ln thấp ngƣỡng (Y = 0), không xảy báo động giả - Trong trạng thái có cơng SYN flooding: + N = 0.5, hệ thống gần 30,5 giây để phát Syn flood + N = 1, hệ thống 32 giây để phát Syn flood + N = 2, hệ thống 38 giây để phát Syn flood Qua kết thử nghiệm nêu trên, thấy phƣơng pháp triển khai có thời gian đáp ứng nhanh, giá trị tổng tích lỹ Y vƣợt ngƣỡng khoảng thời gian ngắn, lựa chọn giá trị ngƣỡng N = cho phƣơng pháp phát Vì đặt thấp q có khả sinh báo động sai, cịn đặt cao q kết phát chậm bỏ sót cơng thực Bình luận kết với phƣơng pháp [10] sử dụng CUSUM: 35 SYN/giây 80 SYN/giây Hình 3.23 Đồ thị phát SYN flooding phƣơng pháp SFD với N=0.6 Hình 3.23 minh hoạ kết thử nghiệm phƣơng pháp phát công SYN flooding (có thể đặt tên SFD (SYN flooding detection)) [13] Haining Wang, Đại học Michigan Ngƣời ta đặt khoảng thời gian thử nghiệm 10 phút, thời gian bắt đầu công flooding đƣợc chọn ngẫu nhiên phút Kịch mô phƣơng pháp có hai trƣờng hợp: Trƣờng hợp N = 0.6 N = 1, fi số SYN/giây Từ đồ thị Hình 3.23 (a) (b) cho ta thấy, với N = 0.6, kết mô fi đặt 35 80 SYN/giây Trong trƣờng hợp 80 72 SYN/giây, phƣơng pháp phát SYN flooding 40 giây Tuy nhiên, trƣờng hợp 35 SYN/giây, phƣơng pháp phải khoảng phút để vƣợt giá trị ngƣỡng 0.6, kịch SFD phát chậm Còn với N = 1, SFD 60 giây để phát flood Đối với Snort, để phát kiểu cơng cần phải viết luật cho Hình 1.18 kết phát SYN flood sử dụng Snort, thời gian phát SYN flooding từ 25 đến 30 giây tuỳ thời điểm thử nghiệm Tuy nhiên, Snort phát đƣợc công biết dấu hiệu, cịn cơng biến thể cơng biết Snort khơng phát đƣợc 3.4 Khả tích hợp CUSUM vào Snort Hình 3.24 Vị trí CUSUM Snort 3.4.1 Kỹ thuật nhúng CUSUM vào Snort Các plug-in Snort đƣợc tích hợp với theo cách tĩnh Các hàm đƣợc viết preprocessor ngƣời dùng tích hợp vào Snort qua file plugbase.c theo dẫn snort/doc/README.PLUGINS Preprocessor đƣợc biên dịch dễ dàng vào Snort qua file snort/src/preprocessors/Makefile.am Ngƣời dùng kiểm tra q trình cách sử dụng mơ-đun tiền xử lý Snort Telnet, plug-in có sẵn Snort Về bản, ta cần làm theo bƣớc sau để kết nối plug-in vào Snort: [17] Đặt điều hƣớng include plugbase.c đầu file plug-in ngƣời dùng Ví dụ: #include "preprocessors/spp_cusum.h" Chèn hàm Setup() vào InitPreprocessors() plugbase.c 73 Thêm mã plug-in ngƣời dùng file tiêu đề (header) vào preprocessors/Makefile.am Để kích hoạt CUSUM với Snort, ta cần đƣa CUSUM vào file cấu hình Snort (thƣờng file snort.conf), cách thêm dòng sau: preprocessor cusum: { = } Trong đó, tuỳ chọn (option) [17] cách dấu cách 3.4.2 Đánh giá Snort với CUSUM Nhƣ giới thiệu phần 1.6, kiến trúc Snort có phần, mơđun tiền xử lý (preprocessor) [5] đƣợc viết nhƣ plug-in làm cho Snort linh hoạt hơn, mở rộng khả Snort để phát bất thƣờng mạng, phát cơng (khơng cần dựa vào luật) cách tìm dấu hiệu bất thƣờng tiêu đề (header) gói tin tạo cảnh báo Khi CUSUM đƣợc tích hợp vào Snort, Snort có khả phát xâm nhập bất thƣờng, phát đƣợc công nhƣ SYN flooding mà xây dựng luật Thời gian phát xâm nhập CUSUM nhanh so với Snort phát loại công Vậy để Snort phát xâm nhập dựa bất thƣờng, ta xây dựng mơđun sử dụng thuật tốn CUSUM, sau tích hợp CUSUM vào mô-đun Preprocessor Snort 74 KẾT LUẬN Luận văn nghiên cứu trình bày tổng quan hệ thống phát xâm nhập, kỹ thuật phát xâm nhập, nghiên cứu thử nghiệm hệ thống Snort đƣa số kết minh họa khả phát xâm nhập Snort dựa dấu hiệu; nghiên cứu phƣơng pháp phát xâm nhập dựa bất thƣờng nhƣ phƣơng pháp thống kê, khai phá liệu, phƣơng pháp phát dựa tri thức phƣơng pháp phát dựa học máy; đặc biệt tập trung nghiên cứu thuật toán phát xâm nhập dựa bất thƣờng thống kê CUSUM triển khai thử nghiệm, đánh giá thuật toán áp dụng để phát công TCP SYN flooding với thời gian phát nhanh Tuy có cố gắng, nhƣng thời gian có hạn nên tác giả triển khai thử nghiệm phƣơng pháp phát bất thƣờng thử nghiệm Snort hệ thống phát xâm nhập dựa dấu hiệu Kết nghiên cứu đề tài áp dụng để phát nguy xâm nhập trái phép vào hệ thống mạng; hỗ trợ giám sát, bảo vệ mạng máy tính, góp phần đảm bảo an ninh an tồn thơng tin * Hƣớng phát triển luận văn - Tiếp tục nghiên cứu, thử nghiệm phƣơng pháp phát xâm nhập dựa bất thƣờng cịn lại để nâng cao khả phát xâm nhập hệ thống mạng; - Nghiên cứu kết hợp hai phƣơng pháp: phát xâm nhập dựa bất thƣờng phát xâm nhập dựa sử dụng sai để kết hợp ƣu điểm hai phƣơng pháp khắc phục khuyết nhƣợc điểm chúng; - Xây dựng hệ thống để ứng dụng mơi trƣờng điện tốn đám mây, môi trƣờng Việt Nam giới 75 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Nguyễn Văn Phú (2013), Giải pháp phát ngăn chặn xâm nhập mạng máy tính, Luận văn Thạc sĩ Kĩ thuật, Học viện Cơng nghệ Bƣu Viễn thơng [2] Ngơ Chánh Tính, Huỳnh Hồng Tuấn (2010), Hệ thống phát xâm nhập IDS, Đồ án chuyên ngành, Trƣờng Đại học Kỹ thuật Công nghệ Tp.HCM [3] http://doc.edu.vn/tai-lieu/khoa-luan-he-thong-phat-hien-xam-nhap-ids-snort- 55147/ Tiếng Anh [4] Animesh Patcha, Jung-Min Park (2007), “An overview of anomaly detection techniques: Existing solutions and latest technological trends”, Elsevier, Science Direct, Computer Networks, 51, pp 3448-3470 [5] Andrew R Baker, Joel Esler (2007), Snort IDS and IPS Toolkit, Syngress Publishing [6] Angela Orebaugh, Simon Biles, Jacob Babbin (2005), Snort Cookbook, O’Reilly Media [7] B Brodsky and B Darkhovsky (1993), Nonparametric Methods in ChangePoint Problems, Kluwer Academic Publishers [8] Changhua Sun, Jindou Fan, Bin Liu (2007), "A Robust Scheme to Detect SYN Flooding Attacks", CHINACOM '07 Second International Conference on Communications and Networking in China, pp 397 – 401 [9] CERT Advisory CA-1996-21, "TCP SYN flooding and IP spoofing attacks" [Online] - http://www.cert.org/historical/advisories/ca-1996-21.cfm [10] V Jyothsna, V V Rama Prasad (2011), "A Review of Anomaly based Intrusion Detection Systems", International Journal of Computer Applications (0975 – 8887) Volume 28– No.7 76 [11] Manasi Gyanchandani, J.L.Rana, R.N.Yadav (2012), "Taxonomy of Anomaly Based Intrusion Detection System: A Review", International Journal of Scientific and Research Publications, Volume 2, Issue 12 [12] Vasilios A Siris(2006), "Application of anomaly detection algorithms for detecting SYN flooding attacks", Elsevier, pp 1433–1442 [13] H Wang, D Zhang, and K G Shin (2002), “Detecting SYN flooding attacks” in Proc IEEE INFOCOM, pp 1530 - 1539 [14] A.Qayyum, M.H Islam, and M Jamil (2005), “Taxonomy of Statistical Based Anomaly Detection Techniques for Intrusion Detection”, IEEE, pp 270-276 [15] Rafeeq Ur Rehman (2003), Intrusion Detection Systems with Snort, Prentice Hall PTR [17] Andrew R Baker, Brian Caswell, Mike Poor (2004), Snort 2.1 Intrusion Detection Second Edition, Syngress Publishing, United States of America [18] http://searchmidmarketsecurity.techtarget.com/definition/intrusion-detection 77 PHỤ LỤC Các bƣớc cài đặt, cấu hình mơ hình thử nghiệm CUSUM Các thành phần triển khai gồm: Máy chủ web, máy công máy ngƣời dùng thông thƣờng, cụ thể nhƣ sau: a) Web server Vai trò: Là hệ thống cần đƣợc bảo vệ Bƣớc 1: Cài web server apache: sudo apt-get install apache2 - Chạy apache: service apache2 start Bƣớc 2: Cấu hình mạng cho web server nhƣ sau: - Chọn địa cho mạng LAN tạo: Ví dụ: 192.168.5.0/24 - Cấu hình IP tĩnh 192.168.5.2 file cấu hình card mạng: sudo gedit /etc/network/interfaces Bƣớc 3: Khởi động lại máy khởi động lại dịch vụ mạng để lấy cấu hình mới: sudo reboot sudo /etc/init.d/networking restart Bƣớc 4: Copy file html vào thƣ mục web /var/www/html Bƣớc 5: Tạo thƣ mục synflood Desktop, copy file kịch chạy thuật toán vào thƣ mục synflood cd ~/Desktop mkdir synflood copy file synflood.py vào thƣ mục synflood - Thêm quyền run cho file synflood.py chmod +x synflood.py Bƣớc 6: Chạy tcpdump để capture gói tin SYN + FIN, lƣu kết vào file tcpdump.log: cd synflood 78 sudo tcpdump -i any -nntttts 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0' >> tcpdump.log - Tùy chọn tcp[tcpflags] & (tcp-syn|tcp-fin): Lọc gói tin TCP có cờ SYN FIN đƣợc bật -tttt: Sử dụng tùy chọn này, thời gian hiển thị thời gian chênh lệch lúc tcpdump bắt gói tin gói tin đến trƣớc nó, hiển thị thị ngày vào dịng lệnh - Hiển thị thay đổi phần cuối file tcpdump.log: tail –f tcpdump.log -f: Hiển thị liệu đƣợc ghi vào file lên hình Bƣớc 7: Chạy script phát xâm nhập bất thƣờng: synflood.py b) Máy Client Vai trò: Giả lập yêu cầu (request) user thơng thƣờng Bƣớc 1: Cấu hình mạng để máy thông nhau: - Thêm card mạng, chọn Switch ảo VMnet5 nhƣ máy server - Chỉnh sửa file cấu hình card mạng: sudo gedit /etc/network/interfaces - Tạo eth0 eth4 với IP 192.168.5.x (x = 10÷14) Bƣớc 2: - Copy file httpsim.sh vào thƣ mục Desktop - Chuyển đến thƣ mục Desktop thêm quyền run cho file httpsim.sh chmod +x httpsim.sh Bƣớc 3: Giả lập user thông thƣờng /httpsim.sh c) Máy Attacker Vai trò: Giả lập công SYN flooding Bƣớc 1: Cài công cụ hping3 để thực cơng SYN flood (gửi gói tin SYN) sudo apt-get install hping3 Bƣớc 2: Tấn công SYN Flood: dùng hping3 Ubuntu hping3 -i u100000 -S -p 80 192.168.5.2 79 ... + Nghiên cứu phƣơng pháp phát xâm nhập trái phép dựa phát bất thƣờng; + Thử nghiệm phát xâm nhập dựa bất thƣờng sử dụng phân tích thống kê lƣu lƣợng nhằm áp dụng quản trị mạng phát xâm nhập trái. .. Snort thử nghiệm đƣa số kết phát xâm nhập dựa dấu hiệu Chƣơng 2: Các phƣơng pháp phát xâm nhập dựa bất thƣờng Chƣơng nghiên cứu phƣơng pháp phát xâm nhập dựa bất thƣờng, ƣu nhƣợc điểm phƣơng pháp. .. trái phép vào hệ thống mạng - Đối tƣợng, phạm vi nghiên cứu + Phƣơng pháp phát xâm nhập trái phép dựa bất thƣờng; + Thuật toán phát xâm nhập bất thƣờng thống kê; + Thử nghiệm giải pháp phát xâm nhập