Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 114 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
114
Dung lượng
1,26 MB
Nội dung
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ KHOA HỌC NGHIÊN CỨU XÂY DỰNG MƠ HÌNH HỆ THỐNG DỊ TÌM XÂM NHẬP THỜI GIAN THỰC NGÀNH: ĐIỆN TỬ VIỄN THÔNG MÃ SỐ: Sinh viên thực hiện: VŨ QUỐC BẢO Giáo viên hướng dẫn: TS HỒ KHÁNH LÂM HÀ NỘI 11-2005 LUẬN VĂN THẠC SỸ KHOA HỌC Đề tài: Nghiên cứu Xây dựng Mơ hình Hệ thống dị tìm xâm nhập thời gian thực Phạm vi: An ninh mạng máy tính Thực hiện: Vũ Quốc Bảo – CH2003 – ĐHBKHN Hà nội 11-2005 Lời nói đầu Lời nói đầu Trong vài năm gần đây, tốc độ phát triển mạng máy tính, mạng Internet giới Việt Nam diễn nhanh chưa thấy Mạng Internet trở thành kho liệu khổng lồ, nơi giao dịch buôn bán nhiều công ty, tổ chức Mạng Internet trở thành cơng cụ quan trọng góp phần thúc đẩy phát triển kinh tế Tuy nhiên việc phụ thuộc vào hệ thống mạng máy tính tổ chức, công ty hàm chứa nhiều rủi ro mát liệu, thông tin, bị công… gây ảnh hưởng đến hoạt động tổ chức bị ngưng trệ hoạt động Với mục tiêu nhằm hạn chế rủi ro xảy mạng thông tin tổ chức, xây dựng hệ thống chủ động ngăn ngừa, chống lại công mạng, thực đề tài nghiên cứu xây dựng hệ thống dị tìm xâm nhập thời gian thực nhằm trang bị cho mạng thông tin tổ chức, công ty nhà cung cấp dịch vụ Internet Tôi xin trân thành cám ơn TS Hồ Khánh Lâm giúp đỡ bảo tận tình q trình tơi hồn thành luận văn Tôi xin cám ơn bạn học, đồng nghiệp giúp đỡ trao đổi góp ý với thời gian làm luận văn Cuối xin cám ơn khoa đào tạo sau đại học giúp đỡ ủng hộ tơi hồn thành tốt luận văn Hà nội 11-2005 Vũ Quốc Bảo - CH2003 - ĐHBKHN Mục lục Mục lục Lời nói đầu Mục lục Danh mục ký hiệu, chữ viết tắt Danh mục hình vẽ, đồ thị MỞ ĐẦU U Chương 1: Tổng quan an ninh mạng 11 1.1 Giới thiệu an ninh mạng, cần thiết an ninh mạng 11 1.1.1 Sự cần thiết an ninh mạng 11 1.1.2 Các sách an ninh chung 15 Các bước thiết lập sách an ninh 16 Mục tiêu sách an ninh 17 1.2 Những rủi ro, lỗ hổng mạng 17 1.2.1 Chính sách an ninh chưa tốt 18 1.2.2 Thực quản trị, cấu hình mạng chưa tốt 19 1.2.3 Thiết bị mạng có tính an ninh chưa tốt 21 1.2.4 Các lỗi công nghệ, phần mềm gây 22 Khiếm khuyết thiết bị mạng 22 Lỗi hệ điều hành, lỗi phần mềm ứng dụng 23 Khiếm khuyết giao thức 25 1.3 Vấn đề an ninh mô hình mạng TCP/IP 26 1.3.1 Mơ hình mạng phân lớp TCP/IP 26 1.3.2 An ninh mạng mơ hình TCP/IP 28 An ninh lớp ứng dụng 28 An ninh lớp giao vận 29 An ninh lớp mạng 31 Vũ Quốc Bảo - CH2003 - ĐHBKHN Mục lục An ninh lớp truy nhập mạng 32 1.4 Tấn công mạng bảo vệ mạng 32 1.4.1 Sự xâm nhập mạng 32 1.4.2 Các kiểu công mạng 35 Tấn công thám 35 Tấn công xâm nhập 36 Tấn công ngập lụt mạng DoS 38 1.4.3 Nhược điểm giao thức TCP/IP 38 Tấn công lớp ứng dụng 39 Tấn công lớp giao vận TCP 40 Tấn công vào lớp mạng IP 41 1.4.4 Phương pháp bảo vệ mạng 42 Phương pháp điều khiển truy nhập 42 Phương pháp mã hóa thơng tin 45 Chương 2: Hệ thống IDS 48 2.1 Tổng quan Hệ thống IDS 48 2.1.1 Khái niệm hệ thống IDS 48 Nguyên tắc phân loại công xâm nhập 49 Hoạt động hệ thống 50 2.1.2 Cấu trúc hệ thống IDS 51 2.2 Phân loại IDS 53 2.2.1 Phân loại theo vùng liệu 54 Hệ thống trạm (Host based system) 54 Hệ thống mạng (Network based system) 55 Hệ thống pha trộn 56 2.2.2 Phân loại theo phương thức xử lý liệu 56 Xử lý liệu nhật ký (Audit trail proccessing) 56 Vũ Quốc Bảo - CH2003 - ĐHBKHN Mục lục Xử lý thời gian thực (on-the-fly proccessing) 58 2.2.3 Phân loại theo phương pháp dị tìm xâm nhập 59 Dị tìm bất thường (anomaly detect) 60 Dị tìm theo mẫu (signature detect) 61 2.3 Phương pháp dị tìm xâm nhập dựa theo dấu hiệu khác thường hành động (Anomaly-based Intrusion Detection) 62 Dị tìm khác thường 62 Sự khác biệt hai phương pháp 63 Tất liệu hồ sơ (Profile) 64 Những trở ngại, khó khăn 66 2.4 Xử lý liệu 66 Chương 3: Xây dựng mơ hình hệ thống IDS 71 3.1 Xây dựng mơ hình hệ thống chun gia dị tìm xâm nhập thời gian thực (IDES) 71 3.2 Các thành phần hệ thống 75 3.2.1 Chủ thể Đối tượng 75 3.2.2 Bản ghi nhật ký 75 3.2.3 Hồ sơ hoạt động (Active Profile) 79 Các phép đo (Metric) 80 Mơ hình thống kê 81 Cấu trúc Hồ sơ (Profile Structure) 83 Hồ sơ cho lớp (Profile for classes) 85 Mẫu Hồ sơ (Profile Template) 87 Các chủ thể mới, đối tượng 89 3.2.4 Bản ghi dị thường 90 3.2.5 Luật hoạt động 90 Luật ghi nhật ký 91 Vũ Quốc Bảo - CH2003 - ĐHBKHN Mục lục Luật cập nhật chu kỳ 92 Luật ghi dị thường 92 Luật chu kỳ phân tích bất thường 93 Chương 4: Xây dựng hệ thống IDS cho mạng VNN 95 4.1 Mục tiêu 95 4.2 Cấu trúc hệ thống IDS 97 Hệ thống thu thập liệu (sensor) 97 Hệ thống lưu liệu (Intrusion Database) 99 Hệ thống phân tích liệu cảnh báo (ACID) 100 Xây dựng luật hoạt động 101 4.3 Triển khai thử nghiệm Hệ thống IDS mạng VNN 103 Thiết lập hệ thống sensor 103 Xây dựng hệ sở liệu 103 Hệ thống phân tích liệu cảnh báo (ACID) 103 Mã nguồn số kết 103 KẾT LUẬN VÀ ĐỀ XUẤT 109 TÀI LIỆU THAM KHẢO 111 PHỤ LỤC 112 Vũ Quốc Bảo - CH2003 - ĐHBKHN Danh mục ký hiệu, viết tắt Danh mục ký hiệu, chữ viết tắt Từ viết tắt Từ viết đầy đủ ACID Analysis Console for Intrusion Databases ACL Access Control List AH Authentication Header DDoS Distributed Deny of Service DNS Domain Name Service DoS Deny of Service ESP Encapsulating Security Payload FTP File Transfer Protocol HIDS Host-based Intrusion Detection System HTML Hyper Text Mark Language ICMP Internet Control Message Protocol IDES Intrusion Detection Expert System IDS Intrusion Detection System IP Internet Protocol ISO International Stadard Organization LDAP Lightweight Directory Access Protocol NFS Network File Sharing NIC Network Interface Card NIDS Network-based Intrusion Detection System NOS Network Operation System OS Operation System OSI Open Systems Interconnection PGP Pretty Good Privacy Vũ Quốc Bảo - CH2003 - ĐHBKHN Danh mục ký hiệu, viết tắt SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SQL Sequence Query Language SSH Secure Shell SSL Secure Socket Layer TCP Transmission Control Protocol TLS Transport Layer Security UDP User Datagram Protocol VPN Virtual Private Network Vũ Quốc Bảo - CH2003 - ĐHBKHN Danh mục hình vẽ, đồ thị Danh mục hình vẽ, đồ thị Hình 1.1 – Sự phát triển kỹ thuật cơng mạng Hình 1.2 – Mơ hình phân lớp OSI TCP/IP Hình 1.3 – Quá trình đóng mở gói Hình 1.4 – Gói tin IP trước sau có AH Hình 1.5 – Gói tin IP trước sau có ESP Hình 1.6 – Tấn cơng DDoS Hình 2.1 – Hoạt động hệ thống IDS Hình 2.2 – Hạ tầng hệ thống IDS Hình 2.3 – Hệ thống IDS Hình 2.4 – Các thành phần hệ thống IDS Hình 2.5 – Phân loại hệ thống IDS Hình 4.1 – Cấu trúc mạng VNN Hình 4.2 – Cấu trúc hệ thống IDS thử nghiệm Hình 4.3 – Cách thiết lập vị trí sensor IDS mạng Hình 4.4 – Cấu trúc bảng sở liệu hệ thống IDS Vũ Quốc Bảo - CH2003 - ĐHBKHN Chương 4: Xây dựng hệ thống IDS cho mạng VNN tương lai Việc thiết lập thu thập liệu trước hệ thống tường lửa cho phép thực điều • Biết cơng mạng bị hệ thống tường lửa chặn lại: Có thể cho phép hệ thống IDS tập trung vào công thực mạng, bỏ qua công bị chặn, giảm cảnh báo sai Ngồi cơng có sử dụng NAT tìm dấu vết gốc cơng • Có thể dễ dàng kiểm tra cấu hình tường lửa xác hay chưa: Cho phép người quản trị mạng nhận lỗi cấu hình hệ thống tường lửa nhận cảnh báo hệ thống IDS Những công vượt qua hệ thống tường lửa bị phát ngăn chặn Hình 4.3 – Cách thiết lập vị trí sensor hệ thống IDS mạng Vũ Quốc Bảo - CH2003 - ĐHBKHN 98 Chương 4: Xây dựng hệ thống IDS cho mạng VNN Các hệ thống máy chủ thiết bị mạng VNN có lưu lượng qua lớn Vì để đảm bảo việc cài đặt hệ thống sensor không ảnh hưởng đến hoạt động hệ thống dịch vụ, sensor cài đặt theo hai phương án: • Đối với máy chủ có lưu lượng thấp cài đặt phần mềm sensor lên máy chủ đó, ví dụ máy chủ Authenticate server • Những máy chủ có lưu lượng lớn, cài đặt trực tiếp sensor lên máy chủ đó, sensor phải nối với thiết bị mạng switch để bắt lưu lượng Khi máy chủ dùng để làm sensor cho vài máy chủ dịch vụ, ví dụ máy chủ Mail server • Đối với thiết bị mạng có lưu lượng thấp sử dụng sensor cài đặt trực tiếp thiết bị mạng (hầu hết thiết bị mạng hỗ trợ SNMP netflow) • Đối với thiết bị mạng có lưu lượng lớn firewall hay gateway, thiết lập sensor trực tiếp thiết bị mạng Các sensor nối tới hệ thống TAP để thu nhận lưu lượng Tuy nhiên việc xử lý lưu lượng qua giao diện có tốc độ cao, ví dụ gigabit, gặp nhiều hạn chế lực xử lý máy chủ chưa đáp ứng Hệ thống lưu liệu (Intrusion Database) Có nhiệm vụ nhận thơng tin gửi từ sensor, thực xếp phân loại liệu Hệ thống lưu trữ liệu thường sử dụng hệ sở liệu SQL (Oracle, Msql, mysql …) Ở sử dụng hệ sở liệu Oracle mysql: • Cơ sở liệu Oracle sử dụng lưu trữ lưu lượng qua thiết bị mạng • Cơ sở liệu mysql sử dụng lưu trữ lưu lượng qua hệ thống máy chủ dịch vụ Vũ Quốc Bảo - CH2003 - ĐHBKHN 99 Chương 4: Xây dựng hệ thống IDS cho mạng VNN Hệ sở liệu lưu giữ thơng tin định dạng gói tin IP, ICMP, TCP, UDP, thông tin, kiện thu nhận từ sensor Các kiện tạo tham chiếu tới thơng tin gói tin, thơng tin mẫu nhận dạng…, hình 4.4 mơ tả cấu trúc quan hệ thực thể sở liệu Hình 4.4 – Cấu trúc bảng sở liệu hệ thống IDS Hệ thống phân tích liệu cảnh báo (ACID) Hệ thống phân tích liệu xâm nhập phân tích tìm kiếm xử lý liệu kiện an ninh tạo từ sensor Bao gồm chức sau: Vũ Quốc Bảo - CH2003 - ĐHBKHN 100 Chương 4: Xây dựng hệ thống IDS cho mạng VNN • Giao diện tìm xây dựng câu lệnh để tìm kiếm cảnh báo dựa liệu thu được, ví dụ mẫu, địa nguồn, đích, cổng dịch vụ cờ… • Giải mã gói tin, xem gói tin gốc định dạng đọc (Thường gói tin lớp ip, lớp tcp) • Quản lý cảnh báo, dị tìm xóa cảnh báo sai, cảnh báo lỗi, thực gửi cảnh báo xảy cố an ninh Ngồi cịn có chức lưu cảnh báo, xếp cảnh báo • Xây dựng đồ thị thống kê dựa thêo thời gian, theo sensor, theo địa IP, theo cổng TCP/UDP Thực phân loại liệu thu Hệ thống ACID xây dựng dạng phần mềm web-based có tính năng: • Khả quản lý từ xa thơng qua giao diện web • Khả quản lý tập trung nhờ ứng dụng công nghệ web động dựa sở liệu • Khả bảo mật cao nhờ mã hóa đường truyền (https) • Khả can thiệp sâu vào sensor thấp chưa có chế quản lý cho sensor Xây dựng luật hoạt động Hệ thống sử dụng luật để thu thập gói tin tạo cảnh báo Các luật viết dạng ngôn ngữ miêu tả đơn giản nhằm tạo linh hoạt cho hệ thống Định dạng luật miêu tả sau: Action Protocol Sip Sport -> Dip Dport (Rule-option) Ví dụ luật bản: alert tcp any any -> 192.168.1.0/24 111 (content:"|00 01 86 a5|"; msg:"mountd access";) Vũ Quốc Bảo - CH2003 - ĐHBKHN 101 Chương 4: Xây dựng hệ thống IDS cho mạng VNN • Action: Chứa thơng tin định nghĩa hành động cần thực hệ thống tìm thấy gói tin phù hợp với mẫu Có hành động là: cảnh báo (alert); ghi nhật ký (log); cho qua (pass); kích hoạt (active); động (dynamic) Luật active/dynamic tạo thành cặp luật cho phép hệ thống hoạt động cách linh hoạt Xem ví dụ sau: activate tcp !$HOME_NET any -> $HOME_NET 143 (flags: PA; content: "|E8C0FFFFFF|/bin"; activates: 1; msg: "IMAP buffer overflow!";) dynamic tcp !$HOME_NET any -> $HOME_NET 143 (activated_by: 1; count: 50;) Cặp luật thực cảnh báo phát có dấu hiệu công dịch vụ IMAP lỗi tràn đệm thu thập tiếp 50 gói tin đến dịch vụ Dữ liệu có ích cho phân tích sau • Protocol: Giao thức trao đổi gói tin, có loại giao thức định nghĩa là: tcp, udp, ip, icmp • Sip, Sport: Địa ip nguồn, cổng dịch vụ nguồn Có thể sử dụng khai báo lớp mạng dấu đại diện (wild card) • Dip, Dport: địa ip đích, cổng dịch vụ đích Có thể sử dụng khai báo lớp mạng dấu đại diện (wild card) • Rule-Option: Là phần quan trọng luật miêu tả hành động cần thực Có thể có nhiều lựa chọn luật, lựa chọn phân cách dấu “;” Các trường khóa tham số phân cách với bới dấu “:” Có kiểu luật sau: - Meta-data: Cung cấp thông tin cho luật không gây ảnh hưởng đến q trình dị tìm Vũ Quốc Bảo - CH2003 - ĐHBKHN 102 Chương 4: Xây dựng hệ thống IDS cho mạng VNN - Payload: Dùng để tìm kiếm tồn liệu gói tin phần payload - Non-payload: Dùng tìm kiếm tồn liệu khơng nằm phần payload - Post-detection: Xác định hành động xảy sau tìm thấy mẫu phù hợp 4.3 Triển khai thử nghiệm Hệ thống IDS mạng VNN Thiết lập hệ thống sensor Cài đặt phần mềm mã nguồn mở tcpdump snort lên hệ thống máy chủ, thiết lập netflow snmp thiết bị mạng Tham khảo phần mã nguồn kết Xây dựng hệ sở liệu Sử dụng hệ sở liệu Oracle mysql Tham khảo phần mã nguồn kết Hệ thống phân tích liệu cảnh báo (ACID) Sử dụng giao diện quản lý qua web, cài đặt phần mềm web, công cụ xây dựng web phần mềm mã nguồn mở acid Tham khảo phần mã nguồn kết Mã nguồn số kết # -# Cài đặt sensor # -# Cài đặt snort cp snort-2.4.3.tar.gz /usr/src/redhat/SOURCES cd /usr/src/redhat/SOURCES tar –zxvf snort-2.4.3.tar.gz cd /usr/src/redhat/SOURCES/snort-2.4.3 Vũ Quốc Bảo - CH2003 - ĐHBKHN 103 Chương 4: Xây dựng hệ thống IDS cho mạng VNN /configure make make install # Thiết lập cấu hình netflow config terminal mls flow ip full mls flow ipx destination mls nde flow exclude protocol udp dest-port 9002 mls nde sender version mls nde interface ip flow-export source Port-channel1 ip flow-export version origin-as ip flow-export destination 203.162.0.68 9002 int fa0/0 ip route-cache flow # -# Chương trình tạo bảng liệu cho hệ thống IDS # -CREATE TABLE schema ( vseq INT UNSIGNED NOT NULL, ctime DATETIME NOT NULL, PRIMARY KEY (vseq)); INSERT INTO schema (vseq, ctime) VALUES ('106', now()); CREATE TABLE event ( sid INT UNSIGNED NOT NULL, cid INT UNSIGNED NOT NULL, signature INT UNSIGNED NOT NULL, timestamp DATETIME NOT NULL, PRIMARY KEY (sid,cid), INDEX sig (signature), INDEX time (timestamp)); CREATE TABLE signature ( sig_id INT UNSIGNED NOT NULL AUTO_INCREMENT, sig_name VARCHAR(255) NOT NULL, sig_class_id INT UNSIGNED NOT NULL, sig_priority INT UNSIGNED, sig_rev INT UNSIGNED, sig_sid INT UNSIGNED, PRIMARY KEY (sig_id), INDEX sign_idx (sig_name(20)), INDEX sig_class_id_idx (sig_class_id)); Vũ Quốc Bảo - CH2003 - ĐHBKHN 104 Chương 4: Xây dựng hệ thống IDS cho mạng VNN CREATE TABLE sig_reference (sig_id INT UNSIGNED NOT NULL, ref_seq INT UNSIGNED NOT NULL, ref_id INT UNSIGNED NOT NULL, PRIMARY KEY(sig_id, ref_seq)); CREATE TABLE reference ( ref_id INT UNSIGNED NOT NULL AUTO_INCREMENT, ref_system_id INT UNSIGNED NOT NULL, ref_tag TEXT NOT NULL, PRIMARY KEY (ref_id)); CREATE TABLE reference_system ( ref_system_id INT UNSIGNED NOT NULL AUTO_INCREMENT, ref_system_name VARCHAR(20), PRIMARY KEY (ref_system_id)); CREATE TABLE sig_class ( sig_class_id INT UNSIGNED NOT NULL AUTO_INCREMENT, sig_class_name VARCHAR(60) NOT NULL, PRIMARY KEY (sig_class_id), INDEX (sig_class_id), INDEX (sig_class_name)); CREATE TABLE sensor ( sid INT UNSIGNED NOT NULL AUTO_INCREMENT, hostname TEXT, interface TEXT, filter TEXT, detail TINYINT, encoding TINYINT, last_cid INT UNSIGNED NOT NULL, PRIMARY KEY (sid)); CREATE TABLE iphdr ( sid INT UNSIGNED NOT NULL, cid INT UNSIGNED NOT NULL, ip_src INT UNSIGNED NOT NULL, ip_dst INT UNSIGNED NOT NULL, ip_ver TINYINT UNSIGNED, ip_hlen TINYINT UNSIGNED, ip_tos TINYINT UNSIGNED, ip_len SMALLINT UNSIGNED, ip_id SMALLINT UNSIGNED, ip_flags TINYINT UNSIGNED, ip_off SMALLINT UNSIGNED, ip_ttl TINYINT UNSIGNED, ip_proto TINYINT UNSIGNED NOT NULL, Vũ Quốc Bảo - CH2003 - ĐHBKHN 105 Chương 4: Xây dựng hệ thống IDS cho mạng VNN ip_csum SMALLINT UNSIGNED, PRIMARY KEY (sid,cid), INDEX ip_src (ip_src), INDEX ip_dst (ip_dst)); CREATE TABLE tcphdr( sid INT UNSIGNED NOT NULL, cid INT UNSIGNED NOT NULL, tcp_sport SMALLINT UNSIGNED NOT NULL, tcp_dport SMALLINT UNSIGNED NOT NULL, tcp_seq INT UNSIGNED, tcp_ack INT UNSIGNED, tcp_off TINYINT UNSIGNED, tcp_res TINYINT UNSIGNED, tcp_flags TINYINT UNSIGNED NOT NULL, tcp_win SMALLINT UNSIGNED, tcp_csum SMALLINT UNSIGNED, tcp_urp SMALLINT UNSIGNED, PRIMARY KEY (sid,cid), INDEX tcp_sport (tcp_sport), INDEX tcp_dport (tcp_dport), INDEX tcp_flags (tcp_flags)); CREATE TABLE udphdr( sid INT UNSIGNED NOT NULL, cid INT UNSIGNED NOT NULL, udp_sport SMALLINT UNSIGNED NOT NULL, udp_dport SMALLINT UNSIGNED NOT NULL, udp_len SMALLINT UNSIGNED, udp_csum SMALLINT UNSIGNED, PRIMARY KEY (sid,cid), INDEX udp_sport (udp_sport), INDEX udp_dport (udp_dport)); CREATE TABLE icmphdr( sid INT UNSIGNED NOT NULL, cid INT UNSIGNED NOT NULL, icmp_type TINYINT UNSIGNED NOT NULL, icmp_code TINYINT UNSIGNED NOT NULL, icmp_csum SMALLINT UNSIGNED, icmp_id SMALLINT UNSIGNED, icmp_seq SMALLINT UNSIGNED, PRIMARY KEY (sid,cid), INDEX icmp_type (icmp_type)); CREATE TABLE opt ( sid INT UNSIGNED NOT NULL, Vũ Quốc Bảo - CH2003 - ĐHBKHN 106 Chương 4: Xây dựng hệ thống IDS cho mạng VNN cid INT UNSIGNED NOT NULL, optid INT UNSIGNED NOT NULL, opt_proto TINYINT UNSIGNED NOT NULL, opt_code TINYINT UNSIGNED NOT NULL, opt_len SMALLINT, opt_data TEXT, PRIMARY KEY (sid,cid,optid)); CREATE TABLE data ( sid INT UNSIGNED NOT NULL, cid INT UNSIGNED NOT NULL, data_payload TEXT, PRIMARY KEY (sid,cid)); CREATE TABLE encoding(encoding_type TINYINT UNSIGNED NOT NULL, encoding_text TEXT NOT NULL, PRIMARY KEY (encoding_type)); INSERT INTO encoding (encoding_type, encoding_text) VALUES (0, INTO encoding (encoding_type, encoding_text) VALUES (1, INTO encoding (encoding_type, encoding_text) VALUES (2, 'hex'); INSERT 'base64'); INSERT 'ascii'); CREATE TABLE detail (detail_type TINYINT UNSIGNED NOT NULL, detail_text TEXT NOT NULL, PRIMARY KEY (detail_type)); INSERT INTO detail (detail_type, detail_text) VALUES (0, 'fast'); INSERT INTO detail (detail_type, detail_text) VALUES (1, 'full'); # -# Cài đặt hệ thống ACID số kết # -# Cài đặt ACID cho [UNIX] $cp acid-0.9.6.tar.gz /home/httpd/html $cd /home/httpd/html $tar xvfz acid-0.9.6.tar.gz $cd acid # Lưu lượng số dịch vụ Lưu lượng gói tin TCP chiều theo cổng dịch vụ dùng để xây dựng profile so sánh lưu lượng dịch vụ mạng VNN Vũ Quốc Bảo - CH2003 - ĐHBKHN 107 Chương 4: Xây dựng hệ thống IDS cho mạng VNN Lưu lượng dịch vụ thống kê theo ngày, tuần, tháng, năm, dùng để xây dựng profile miêu tả nhu cầu sử dụng dịch vụ người dùng Dưới số dịch vụ: Lưu lượng dịch vụ ftp Lưu lượng dịch vụ http Lưu lượng dịch vụ smtp Lưu lượng dịch vụ dns Vũ Quốc Bảo - CH2003 - ĐHBKHN 108 Kêt luận đề xuất KẾT LUẬN VÀ ĐỀ XUẤT Giải pháp sử dụng hệ thống dị tìm xâm nhập hay cịn gọi hệ thống phát xâm nhập, hạn chế nhiều công mạng Những người quản trị mạng chủ động việc phòng chống rủi ro xảy mạng, đồng thời cảnh báo hệ thống góp phần nang cao ý thức sử dụng người dùng Cơ sở hệ thống dị tìm xâm nhập bắt gói tin, hành động xảy mạng, tham chiếu với kiến thức học hệ thống để đưa định nhằm bảo vệ mạng chống lại nguy xảy Hoạt động hệ thống phụ thuộc yếu vào hai yếu tố khả lọc gói tin tri thức học hoạt động thực tế mạng Yếu tố thứ khả bắt gói tin phụ thuộc vào quy mơ mạng, lưu lượng mạng, công nghệ xư lý thông tin Yếu tố thứ hai phức tạp thay đổi theo mạng, theo hành vi sử dụng mạng cụ thể, hệ thống IDS cần có chế tự học tốt Các cơng nghệ dị tìm phát triển hồn thiện Hệ thống dị tìm xâm nhập thời gian thực xây dựng nhằm trang bị cho mạng khả phát sớm cơng xảy Hệ thống thử nghiệm mạng VNN đạt kết khả quan Tuy nhiên q trình phát triển hệ thống cịn số hạn chế sau: • Đối với vùng mạng có lưu lượng lớn khả xử lý thời gian thực IDS không cao khả xử lý máy chủ IDS hạn chế • Tỉ lệ cảnh báo sai tăng lưu lượng mạng tăng đột biến (xảy nghẽn mạch) Vũ Quốc Bảo - CH2003 - ĐHBKHN 109 Kêt luận đề xuất • Việc xây dựng luật hoạt động nhiều thời gian, việc cập nhật tự động luật lên sensor nhiều hạn chế sử dụng nhiều sensor khác nhiều hệ thống, thiết bị khác Hiện hệ thống IDS phần lớn sản phẩm thương mại Các sản phẩm kiểm tra hoạt động hiệu môi thường thử nghiệm, nhiên đưa vào hoạt động thực tế xảy nhiều hạn chế: • Tỉ lệ cảnh báo sai lớn, môi trường thử nghiệm khác nhiều với môi trường mạng thực tế • Tính mở hệ thống thấp không linh hoạt với nhiều mạng khác Hệ thống IDES xây dựng áp dụng hiệu mơi trường mạng có lưu lượng trung bình, mạng lớn cần có giải pháp phân vùng lưu lượng mạng hiệu áp dụng Trong q trình phát triển để hệ thống hoạt động hiệu xin đề xuất số nghiên cứu tiếp sau: • Hồn thiện mơ hình thống kê phân tích liệu, nhằm đưa cảnh báo xác • Xây dựng module chống cơng cho mạng, giúp quản trị viên chống lại cơng cách tự động • Nghiên cứu giải pháp hạn chế cảnh báo sai xảy bùng nổ thông tin mạng Vũ Quốc Bảo - CH2003 - ĐHBKHN 110 Tài liệu tham khảo TÀI LIỆU THAM KHẢO Mission Critical Internet Security - Bradley Dunsmore, Jeffrey W Brown, Michael Cross Technical Editor: Stace Cunningham - Global knowledge - 2001 Intrusion Detection Systems (IDS), Part I+II - Przemyslaw Kazienko & Piotr Dorosz - http://www.windowsecurity.com/ - Jun 14, 2004 An Intrusion-detection model - Dorothy E.Denning - IEEE Transactions on software engineering, vol se-13, no – February, 1987 Aspects of the Modelling and Performance of Intrusion Detection - Thesis of Stefan Axelsson - Department of Computer Engineering, Chalmers University of Technology, Goteborg, Sweden - 2000 A Database of Computer Attacks for the Evaluation of Intrusion Detection Systems – Thesis of Kristopher Kendall - Massachusetts Institute of Technology – June, 1999 A Pattern Matching Based Filter for Audit - Josue Kuri - ENST, Department of Computer Network, Paris, France - 2000 A Data Mining Framework for Building Intrusion Detection Models Wenke Lee, Salvatore J Stolfo, Kui W Mok - Computer Science Department, Columbia University, New York Data mining for network intrusion detection - Vipin Kumar - Department of Computer Science University of Minnesota – 2003 http://www.snort.org 10 http://acidlab.sourceforge.net 11 http://www.oracle.com 12 http://www.mysql.com Vũ Quốc Bảo - CH2003 - ĐHBKHN 111 Phụ lục PHỤ LỤC Vũ Quốc Bảo - CH2003 - ĐHBKHN 112 ... thức hệ thống dị tìm xâm nhập (IDS), cấu trúc hệ thống, phương pháp phân loại, cách thức dị tìm xâm nhập phương pháp xử lý liệu Chương 3: Xây dựng mơ hình hệ thống dị tìm xâm nhập thời gian thực. .. 66 Chương 3: Xây dựng mơ hình hệ thống IDS 71 3.1 Xây dựng mơ hình hệ thống chun gia dị tìm xâm nhập thời gian thực (IDES) 71 3.2 Các thành phần hệ thống 75 3.2.1... rủi ro xảy mạng thông tin tổ chức, xây dựng hệ thống chủ động ngăn ngừa, chống lại công mạng, thực đề tài nghiên cứu xây dựng hệ thống dị tìm xâm nhập thời gian thực nhằm trang bị cho mạng thông