Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 24 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
24
Dung lượng
0,97 MB
Nội dung
1 LỜI NĨI ĐẦU Điện tốn đám mây coi xu hướng chủ đạo ngành cơng nghệ thơng tin tồn cầu Các hoạt động liên quan đến điện toán đám mây diễn nhiều quan phủ, tổ chức doanh nghiệp giới Tại nhiều nước, mơ hình máy chủ ảo thực quan tâm ứng dụng hiệu Ngày với phát triển mạnh mẽ công nghệ thông tin, mạng Internet ngày có tốc độ nhanh hơn, với dịch vụ mạng Internet ngày nở rộ, công nghệ nghiên cứu triển khai nhanh phải kể đến cơng nghệ “Điện toán đám mây” Cùng với phát triển công nghệ thông tin, tội phạm công nghệ cao ngày diễn biến phức tạp, chúng ăn cắp thông tin quan trọng làm ảnh hưởng lớn đến doanh nghiệp cá nhân Vấn đề an ninh bảo mật thơng tin nói chung Điện tốn đám mây nói riêng, cần nhà cung cấp dịch vụ người sử dụng quan tâm thích đáng Với lý học viên quan tâm lựa chọn đề tài “ Nghiên cứu giải pháp phát xâm nhập trái phép điện toán đám mây” làm luận văn tốt nghiệp Tổng quan vấn đề nghiên cứu Theo nghiên cứu thống kê gần hãng Gartner [15] đưa 2/2016, doanh thu tồn giới từ điện tốn đám mây năm 2015 58.6 tỷ USD, dự báo đạt 148 tỷ USD vào 2016 Nghiên cứu gần IDC rõ doanh thu toàn giới từ điện tốn đám mây cơng cộng (public cloud) năm 2015 72,9 tỷ USD, tốc độ tăng trưởng hàng năm 27,6% Tốc độ tăng trưởng gấp bốn lần so với tốc độ tăng trưởng dự báo cho tồn thị trường CNTT giới nói chung (6,7%) Cũng theo IDC, điện tốn đám mây ln nằm tốp 10 cơng nghệ đình đám năm từ 2009 đến lĩnh vực công nghệ thông tin Hiện số vấn đề lo ngại cơng nghệ điện tốn đám mây an tồn thơng tin nằm ngun lý tổ chức liệu cơng nghệ điện tốn đám mây[4] Trong mơ hình tính tốn thơng thường (khơng sử dụng “đám mây”), người dùng tự lựa chọn cấu hình ứng dụng, tự giải vấn đề phát sinh, có vấn đề tổ chức bảo vệ lưu liệu Còn điện toán đám mây, việc ủy thác cho nhà cung cấp dịch vụ thật khó mà nắm bắt họ thực việc Vấn đề an ninh mơi trường điện toán đám mây mà khách hàng phải hồn tồn trơng cậy vào nhà cung cấp dịch vụ [5] Cụ thể số yếu tố cần quan tâm như: - Tính riêng tư: Các thơng tin người dùng liệu chứa đám mây không chắn đảm bảo tính riêng tư thơng tin bị sử dụng mục đích khác - Tính sẵn sàng: Các trung tâm điện tốn đám mây hay hạ tầng mạng gặp cố, khiến cho dịch vụ đám mây bị “treo” bất ngờ, nên người dùng truy cập dịch vụ liệu khoảng thời gian - Khả liệu: Một vài dịch vụ lưu trữ liệu trực tuyến đám mây bất ngờ ngừng hoạt động khơng tiếp tục cung cấp dịch vụ, chí vài trường hợp, lý đó, liệu người dùng bị phục hồi - Khả bảo mật: Vấn đề tập trung liệu “đám mây” cách thức hiệu để tăng cường bảo mật, mặt khác mối lo người sử dụng dịch vụ điện toán đám mây, lẽ đám mây bị cơng đột nhập, tồn liệu bị chiếm dụng Với tính cấp thiết nhiệm vụ để xây dựng giải pháp an ninh thơng tin cho mơ hình điện tốn đám mây, ta cần có giải pháp hữu hiệu đưa để phát ngăn chặn xâm nhập mạng trái phép, đảm bảo an tồn thơng tin, nâng cao hiệu hoạt động an toàn cho hệ thống sử dụng mơi trường điện tốn đám mây Mục đích nghiên cứu - Hiểu kỹ thuật xâm nhập bất hợp pháp Hacker thường sử dụng để công mạng - Môi trường cơng nghệ điện tốn đám mây - Ứng dụng số giải thuật phát xâm nhập mạng - Xây dựng số tiêu chí lựa chọn cho giải pháp phát xâm nhập mạng - Xây dựng triển khai hệ thống IDS – Snort phát xâm nhập mạng trái phép điện toán đám mây 3 Đối tƣợng phạm vi nghiên cứu Đối tượng nghiên cứu: - Nghiên cứu bảo mật điện toán đám mây - Nghiên cứu ứng dụng số giải thuật học phát xâm nhập mạng - Triển khai mã nguồn mở Snort môi trường điện toán đám mây để phát ngăn chặn trái phép xâm nhập mạng Phạm vi nghiên cứu: - Các phương thức công mạng - IDS/IPS phát ngăn chặn xâm nhập mạng trái phép - Một số giải thuật học phát xâm nhập mạng - Triển khai mơi trường điện tốnđám mây thật mã nguồn mở Openstack - Mã nguồn mở Snort phát xâm nhập mạng Phƣơng pháp nghiên cứu Phương pháp lý thuyết: - Nghiên cứu tìm hiểu thơng tin bảo mật, nguy đe dọa bảo mật điện toán đám mây - Tài liệu phương thức xâm nhập hệ thống – biện pháp phát ngăn ngừa - Nghiên cứu tài liệu giải thuật học dùng phương pháp phát xâm nhập mạng - Thu thập tài liệu liên quan đến vấn đề đề tài Phương pháp thực nghiệm: - Phân tích ứng dụng giải thuật học phát xâm nhập mạng trái phép - Xây dựng lựa chọn phương pháp phát xâm nhập mạng Xây dựng thiết lập sử dụng IDS-Snort chạy Demo dị tìm phát ngăn chặn máy tính xâm nhập trái phép Từ mục tiêu nghiên cứu đặt ra, phần mở đầu, kết luận danh mục tài liệu tham khảo, nội dung luận văn trình bày ba chương với nội dung sau: Chƣơng 1: An tồn thơng tin điện toán đám mây Nội dung chương này, luận văn tập trung trình bày tổng quan điện toán đám mây nêu số giải pháp điện toán đám mây Chƣơng 2: Hệ thống phát xâm nhập trái phép điện toán đám mây Nội dung chương này, luận văn tập trung phân tích hệ thống phát xâm nhập IDS, kiểu công mạng phổ biến kỹ thuật, giải thuật phát số giải pháp phòng chống xâm nhập trái phép điện toán đám mây Chƣơng 3: Đề xuất giải pháp phát phòng chống xâm nhập điện toán đám mây Nội dung chương này, luận văn mơ tả tốn phát xâm nhập, sở tập trung nghiên cứu nêu giả pháp chọn thuật toán chương để xây dựng ứng dụng kết hợp kịch mã nguồn snort để thực nghiệm phát xâm nhập mạng điện toán đám mây 5 CHƢƠNG 1: AN TỒN THƠNG TIN TRONG ĐIỆN TỐN ĐÁM MÂY Nội dung chương 1, luận văn tập trung vào giới thiệu tổng quan điện toán đám mây như: khái niệm, kiến trúc thành phần dịch vụ điện toán đám mây Trên sở đó, nêu ưu nhược điểm phân tích nguy rủi ro an tồn thơng tin điện tốn đám mây 1.1 Một số khái niệm điện toán đám mây Theo Viện quốc gia Tiêu chuẩn Công nghệ Mỹ (NIST - National Institute of Standards and Technology): “Điện toán đám mây mơ hình cho phép vị trí thuận tiện, khách hàng truy cập mạng theo yêu cầu chia sẻ tài nguyên máy tính (mạng, máy chủ, lưu trữ, ứng dụng dịch vụ) nhanh chóng từ nhà cung cấp cung cấp quản lý tối thiểu tương tác mức dịch vụ Mơ hình điện tốn đám mây bao gồm đặc điểm, mơ hình dịch vụ, mơ hình triển khai.” Điện tốn đám mây đơi cịn coi hệ Internet Theo từ điển mở Wikipedia[16] định nghĩa: “Điện toán đám mây việc sử dụng tài nguyên máy tính (phần cứng phần mềm) có sẵn từ xa truy cập qua mạng (thường Internet)” Hình 1.1: Mơ hình minh họa điện tốn đám mây theo Wikipedia [16] Theo tổ chức Xã hội máy tính IEEE: "Điện tốn đám mây hình mẫu thơng tin lưu trữ thường trực máy chủ Internet được lưu trữ tạm thời máy khách, bao gồm máy tính cá nhân, trung tâm giải trí, máy tính doanh nghiệp, phương tiện máy tính cầm tay, " Điện tốn đám mây khái niệm tổng thể bao gồm khái niệm phần mềm dịch vụ, Web 2.0 vấn đề khác xuất gần đây, xu hướng cơng nghệ bật, đề tài chủ yếu vấn đề dựa vào Internet để đáp ứng nhu cầu điện tốn người dùng Ví dụ, dịch vụ Google AppEngine cung cấp ứng dụng kinh doanh trực tuyến thơng thường, truy nhập từ trình duyệt web, cịn phần mềm liệu lưu trữ máy chủ 1.2 Kiến trúc điện toán đám mây Đối với mạng Internet tổ chức lập để quản lí thống với giao thức, mơ hình Các thiết bị hoạt động Internet thiết kế cho phù hợp với mơ hình điện tốn đám mây Trong điện tốn đám mây hình thành nên mơ hình cho (hình 1.2) Kiến trúc điện toán đám mây phân chia thành phân tầng theo hình vẽ sau đây[13]: Hình 1.2 Kiến trúc điện toán đám mây [1] 1.3 Thành phần điện toán đám mây Về bản, “điện toán đám mây” chia thành lớp riêng biệt, có tác động qua lại l n nhau: L p khách hàng C ient : ớp Client điện toán đám mây bao gồm phần cứng phần mềm, để dựa vào đó, khách hàng truy cập sử dụng ứng dụng/dịch vụ cung cấp từ điện toán đám mây Ch ng hạn máy tính đường dây kết nối Internet (thiết bị phần cứng) trình duyệt web (phần mềm) L p ứng dụng pp ication : ớp ứng dụng điện toán đám mây làm nhiệm vụ phân phối phần mềm dịch vụ thông qua Internet, người dùng không cần phải cài đặt chạy ứng dụng máy tính mình, ứng dụng dễ dàng chỉnh sữa người dùng dễ dàng nhận h trợ L p tảng P atform : Cung cấp tảng cho điện toán giải pháp dịch vụ, chi phối đến cấu trúc hạ tầng “đám mây” điểm tựa cho lớp ứng dụng, cho phép ứng dụng hoạt động tảng Nó giảm nh tốn triển khai ứng dụng người dùng trang bị sở hạ tầng (phần cứng phần mềm) riêng L p s hạ tầng Infrastructure : Cung cấp hạ tầng máy tính, tiêu biểu mơi trường ảo hóa Thay khách hàng phải b tiền mua server, phần mềm, trung tâm liệu thiết bị kết nối đây, họ v n có đầy đủ tài nguyên để sử dụng mà chi phí giảm thiểu, chí miễn phí Đây bước tiến hóa mơ hình máy chủ ảo (Virtual Private Server) L p máy chủ erver : ao gồm sản phẩm phần cứng phần mềm máy tính, thiết kế xây dựng đặc biệt để cung cấp dịch vụ đám mây Các server phải xây dựng có cấu hình đủ mạnh để đáp ứng nhu cầu sử dụng số lượng động đảo người dùng nhu cầu ngày cao người dùng 1.4 Mơ hình dịch vụ điện tốn đám mây Điện tốn đám mây cung cấp mơ hình dịch vụ bản[1],[3]: dịch vụ hạ tầng (IaaS), dịch vụ tảng (PaaS) dịch vụ phần mềm (SaaS), với số đặc trưng chính: thuê bao theo yêu cầu, nhiều thuê bao, dùng trả nhiêu Về mặt kỹ thuật, đám mây tập hợp tài ngun tính tốn rộng lớn cung cấp dịch vụ nói sau: Hình 1.4: Mơ hình dịch vụ điện tốn đám mây [1] 1.5 Các mơ hình triển khai điện tốn đám mây Trong mơ hình triển khai điện tốn đám mây, bao gồm 04 mơ hình[1],[3],[4]: mơ hình đám mây riêng, mơ hình đám mây cơng cộng, mơ hình đám mây cộng đồng, mơ hình đám mây lai Hình sau tổng hợp mơ hình trên: Hình 1.5 : Mơ hình triển khai dịch vụ điện toán đám mây [1],[2] 1.6 Những ƣu điểm điện tốn đám mây Giảm chi phí: Dịch vụ điện toán đám mây thường chi trả tùy theo mức sử dụng, doanh nghiệp hồn tồn khơng cần chi phí đầu tư tài sản cố định ban đầu Và điện tốn đám mây triển khai nhanh hơn, doanh nghiệp có chi phí đầu tư ban đầu thấp chi phí vận hành đự đoán trước Dễ sử dụng, tiện ợi: Khi tổ chức sử dụng điện toán đám mây, nhân viên tiếp cận với thông tin họ cần để phục vụ cho công việc họ Độ tin cậy cao: Không dành cho người dùng phổ thông, điện tốn đám mây cịn phù hợp với u cầu cao liên tục công ty kinh doanh nghiên cứu khoa học Tăng tính inh hoạt: Một doanh nghiệp cần nhiều băng thông thông thường nên dịch vụ dựa tảng điện toán đám mây đáp ứng yêu cầu nhờ dung lượng lớn dịch vụ máy chủ từ xa Thực tế, tính linh hoạt yếu tố mang tính định Tận dụng tối đa tài nguyên: Tài nguyên sử dụng điện toán đám mây quản lý thống kê khách hàng ứng dụng, theo ngày, tuần, tháng Điều đảm bảo cho việc định lượng giá m i dịch vụ điện toán đám mây cung cấp để người dùng lựa chọn phù hợp 9 1.7 Thách thức điện toán đám mây Thách thức lớn điện toán mây vấn đề bảo mật Điện toán mây cấu thành từ nhiều thành phần khác Từ máy chủ, lưu trữ, mạng ảo hóa, thành phần quản lý Cloud Management Thành phần quản lý tất tài nguyên ảo hóa tạo máy chủ ảo với hệ điều hành, ứng dụng để cung cấp cho khách hàng Như vậy, điện tốn mây mơ hình lego với nhiều miếng ghép công nghệ tạo thành M i miếng ghép lại tồn vấn đề bảo mật vơ hình chung, điện tốn mây giải toán bảo mật tất yếu phải giải vấn đề miếng ghép 1.8 Một số vấn đề an ninh bảo mật điện toán đám mây An ninh bảo mật điện tốn đám mây (đơi gọi đơn giản "đám mây bảo mật") lĩnh vực phát triển bảo mật máy tính, an ninh mạng, rộng rãi an ninh thơng tin Nó dùng để tập hợp rộng rãi sách, cơng nghệ, kiểm soát triển khai để bảo vệ liệu, ứng dụng, sở hạ tầng liên quan đến điện tốn đám mây Có số vấn đề an ninh bảo mật liên quan đến điện toán đám mây, tập trung vào hai loại chính: -Các vấn đề an ninh bảo mật mà nhà cung cấp dịch vụ điện toán đám mây phải đối mặt (tổ chức cung cấp phần mềm, tảng, sở hạ tầng dịch vụ thơng qua mơ hình điện tốn đám mây) -Các vấn đề an ninh bảo mật mà khách hàng sử dụng dịch vụ điện toán đám mây Trong hầu hết trường hợp, nhà cung cấp phải đảm bảo sở hạ tầng họ an toàn liệu khách hàng họ ứng dụng bảo vệ 1.9 Nhận xét đánh giá chƣơng Nội dung chương này, tác giả tập trung khái quát lại lý thuyết điện toán đám mây, cấu trúc chung điện toán đám mây, thành phần mơ hình, dịch vụ điện tốn đám mây, đánh giá ưu điểm, nhược điểm điện tốn đám mây từ tìm hiểu ứng dụng điện tốn đám mây Trên sở nêu vấn đề an ninh bảo mật điện toán đám mây 10 CHƢƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP TRÊN ĐIỆN TOÁN ĐÁM MÂY Nội dung chương này, luận văn tập trung phân tích hệ thống phát xâm nhập IDS/IPS, kiểu công mạng phổ biến kỹ thuật, giải thuật phát số giải pháp phịng chống xâm nhập trái phép điện tốn đám mây 2.1 Tổng quan ID /IP 2.1.1 IDS a Khái niệm IDS IDS (Intrusion Detection System- hệ thống phát xâm nhập) [3] hệ thống phần cứng phần mềm có chức giám sát, phân tích lưu lượng mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị IDS phân biệt cơng vào hệ thống từ bên (từ người dùng nội bộ) hay cơng từ bên ngồi (từ hacker) IDS phát dựa dấu hiệu đặc biệt nguy biết (giống cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus), hay dựa so sánh lưu lượng mạng với baseline (thông số đo đạc chuẩn hệ thống) để tìm dấu hiệu bất thường b.Chức IDS - Chức quan trọng à: Giám sát – Cảnh báo – ảo vệ: • Giám sát: thực giám sát lưu lượng mạng hoạt động khả nghi • Cảnh báo: báo cáo tình trạng mạng cho hệ thống nhà quản trị • Bảo vệ: sử dụng thiết lập mặc định cấu hình từ nhà quản trị để có hành động tương ứng phù hợp chống lại kẻ xâm nhập phá hoại c Kiến trúc chung hệ thống IDS Kiến trúc chung hệ thống IDS mơ tả theo hình 2.2 đây: Thơngtin sựkiện Chínhsách thu thập thơngtin Thiết ập sựkiện Hệthống phântích Hệthống thơngtin Thuthậpthơngtin Hệthốngđáp trả Chínhsách pháthiện Phảnứng Hình 2.2 Kiến trúc chung ID [9] Chínhsách phảnứng 11 Trong đó: Thành phần thu thập gói tin (Information collection) Thành phần thu nhập gói tin nhận gói tin từ nhiều kiểu giao diện Ethernet, Slip tiền xử lý gói tin thành dạng mà thiết bị phân tích sử dụng Thành phần phân tích gói tin (Detection) Thành phần phân tích gói tin thành phần thực tìm kiếm, đối sánh dấu hiệu, chữ ký đột nhập, hồ sơ hành vi bình thường gói cần kiểm tra Đối với mơ hình phát đột nhập dựa dấu hiệu: so sánh hành vi thu với tập CSD dấu hiệu, có trùng hợp chứng t hành vi vụ đột nhập Thành phần phản hồi (Response) Phụ thuộc vào kết thành phần phân tích gói tin, gói tin chuyển không phát dấu hiệu đột nhập bất thường Ngược lại, phát dấu hiệu đột nhập bất thường, gói tin bị chặn lại, đồng thời cảnh báo cho người quản trị tạo d.Phân loại IDS Cách thông thường để phân loại IDS dựa vào đặc điểm nguồn liệu thu thập Trong trường hợp này, hệ thống IDS chia thành loại sau: Host-Based IDS (HIDS): Sử dụng liệu giám sát từ máy đơn để phát xâm nhập Network-based IDS (NIDS): Sử dụng liệu giám sát toàn lưu lượng mạng, phân đoạn mạng để phát xâm nhập 2.1.2 IPS a Khái niệm IPS Hệ thống IPS (Intrusion Prevention System) kỹ thuật an ninh mới, kết hợp ưu điểm kỹ thuật firewall với hệ thống phát xâm nhập IDS, có khả phát xâm nhập, công tự động ngăn chặn cơng IPS khơng đơn giản dị cơng, chúng có khả ngăn chặn cản trở cơng Chúng cho phép tổ chức ưu 12 tiên, thực bước để ngăn chặn lại xâm nhập Phần lớn hệ thống IPS đặt vành đai mạng, dủ khả bảo vệ tất thiết bị mạng b Chức IPS Chức IPS mô tả kiểm tra gói tin, phân tích có trạng thái, ráp lại đoạn, ráp lại TCP-segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ giao thức thích ứng chữ ký Các giải pháp IPS nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe doạ công việc loại b lưu lượng mạng có hại hay có ác ý v n cho phép hoạt động hợp pháp tiếp tục Mục đích hệ thống hồn hảo khơng có báo động giả làm giảm suất người dùng cuối khơng có từ chối sai tạo rủi ro mức bên môi trường c Kiến trúc chung hệ thống IPS Một hệ thống IPS xem thành công chúng hội tụ yếu tố: thực nhanh, xác, đưa thơng báo hợp lý, phân tích tồn thơng lượng, cảm biến tối đa, ngǎn chặn thành cơng sách quản lý mềm dẻo Hệ thống IPS gồm modul chính: modul phân tích luồng liệu, modul phát công, modul phản ứng d.Phân loại hệ thống IPS Có hai kiểu kiến trúc IPS IPS ngồi luồng IPS luồng - IPS luồng(Promiscuous Mode IPS) - IPS luồng (In-line IPS) 2.2 Cách phát kiểu công thông dụng ID 2.2.1 Tấn công từ chối dịch vụ (Denial of Service attack) Kiểu công từ chối dịch vụ DoS có mục đích chung đóng băng hay chặn đứng tài nguyên hệ thống đích Cuối cùng, mục tiêu trở nên khơng thể tiếp cận trả lời 2.2.2 Quét thăm dò (Scanning Probe) ộ quét thăm dò tự động tìm kiếm hệ thống mạng để xác định điểm yếu Tuy công cụ thiết kế cho mục đích phân tích để phịng ngừa, chúng sử dụng để gây hại cho hệ thống Các cơng cụ qt thăm dị bao gồm SATAN, ISS Internet Scanner, NETA CyberCop, Asmodeus, AXENT NetRecon 13 2.2.3 Tấn cơng vào mật mã (Password attack) Có phương thức tiếp cận kiểu công Passwork attack Kiểu dễ nhận thấy lấy trộm mật mã, mang lại quyền hành tính linh động cao cho kẻ cơng truy nhập tới thông tin thành phần mạng Đốn hay bẻ khóa mật mã phương thức tiếp cận gọi brute force cách thử nhiều mật mã để mong tìm mật mã 2.2.4 Chiếm đặc quyền (Privilege-grabbing ) Dưới số kỹ thuật thường dùng cho việc chiếm đặc quyền: - Đốn hay bẻ khóa root hay administrator - Gây tràn đệm - Khai thác registry windows - Truy nhập khai thác console đặc quyền - Thăm dò file, scrip hay l i hệ điều hành ứng dụng 2.2.5 Cài đặt mã nguy hiểm (Hostile code insertion) Một số loại cơng cài đặt mã nguy hiểm vào hệ thống Mã lấy trộm liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần truy nhập trái phép 2.2.6 Hành động phá hoại máy móc (Cyber vandalism) Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block khởi động chương trình hệ điều hành, format ổ đĩa 2.2.7 Ăn trộm liệu quan trọng (Proprietary data theft) Mặc dù 80% công liên quan đến thông tin quan trọng xảy tổ chức đó, số cơng từ bên ngồi liên tục tăng vài năm qua Ngoài việc tăng cường sách bảo mật hệ thống, tổ chức cần phải xác định việc tăng liên kết làm tăng nguy hiểm với liệu quan trọng việc chép liệu, nghe trộm việc truyền nhằm lấy liệu quan trọng 2.2.8 Gian lận, lãng phí lạm dụng (Fraud, waste, abuse) Gian lận, lãng phí lạm dụng tài nguyên máy tính vấn đề liên quan đến kinh tế thời kỳ Gian lận liên quan đến việc chuyển tiền bất hợp pháp, trộm số credit card, can thiệp vào tài khoản nhà băng, thao túng chương trình kiểm tra viết (check writing) ãng phí lạm dụng xảy tài nguyên sử dụng (tình cờ hay chủ đích) cho cơng việc ngược lại với mục đích tổ chức 14 2.2.9 Can thiệp vào biên (Audit trail tampering) Trong hầu hết thông tin tạo nên từ hành động người dùng ghi audit trail riêng hệ thống đơn vị Can thiệp vào biên cách ưa thích để loại b hay che dấu vết Có thể liệt kê số phương thức hacker thường dùng để công vào audit trail che dấu vết: - Audit Deletion: xóa biên bản, vào hệ thống - Deactivation: ngừng tiến trình ghi kiện lên audit trail - Modification: sửa kiện mà ghi nhận trước thoát kh i hệ thống - Flooding: tạo kiện làm nhiễu để ngụy trang cho dấu vết công 2.2.10 Tấn công hạ tầng bảo mật (Security infrastructure attack) Có nhiều loại cơng can thiệp vào việc điều khiển sở hạ tầng bảo mật, tạo tường lửa trái phép, chỉnh sửa tài khoản người dùng hay router, hay thay đổi quyền file 2.3.Các kỹ thuật phát đột nhập mạng điện toán đám mây 2.3.1 Các kỹ thuật dựa phương pháp phát lạm dụng Phương pháp phát dựa lạm dụng có bốn kỹ thuật thường sử dụng, bao gồm: Kỹ thuật đối sánh m u, kỹ thuật dựa tập luật, kỹ thuật dựa trạng thái, kỹ thuật dựa khai phá liệu Hình 2.7 Mơ hình phát dựa ạm dụng [7] 2.3.2 Các kỹ thuật dựa phương pháp phát bất thường Phương pháp phát dựa bất thường chia thành kỹ thuật sau: kỹ thuật mơ hình thống kê mở rộng, kỹ thuật dựa mơ hình luật, kỹ thuật dựa mơ hình sinh học kỹ thuật dựa mơ hình học 2.3.3 Kỹ thuật phát dựa đặc trưng Phương pháp phát dựa đặc trưng tập trung vào xây dựng hành vi đặc trưng dựa quy tắc quyền tối thiểu Một trình tự thực 15 thực đối tượng vi phạm đặc trưng chương trình coi công Về mặt lý thuyết, cách tiếp cận phát cơng vơ hình Tuy nhiên, xác định hành vi số lượng chương trình chạy mơi trường hệ điều hành thực nhiệm vụ khó khăn 2.3.4 Kỹ thuật phát lai Thay kết hợp kỹ thuật phát dựa dấu hiệu kỹ thuật phát dựa bất thường, số hệ thống lai khác kết hợp nhiều hệ thống phát bất thường theo số tiêu chí phát cụ thể Mục tiêu hệ thống lai để giảm số lượng cảnh báo sai tạo phương pháp phát bất thường đồng thời giữ tỷ lệ phát mức chấp nhận 2.4 Một số giải thuật học dùng phân oại phát xâm nhập mạng 2.4.1 Giải thuật C4.5 Giải thuật C4.5 kế thừa của thuật toán học máy định dựa tảng kết nghiên cứu HUNT cộng ông nửa cuối thập kỷ 50 nửa đầu năm 60 (Hunt 1962) Kh ng định chứng minh qua kết thực nghiệm mơ hình phân lớp C4.5: Có thể thấy ứng dụng giải thuật C4.5 phát xâm nhập mạng chia thành ba giai đoạn: Giai đoạn 1: Xây dựng định Cây giải thuật C4.5 tạo định từ liệu huấn luyện định Input: m u đào tạo thiết T, sưu tập thuộc tính ứng cử viên danh sách thuộc tính Output: Một định Tạo gốc nút N; Giai đoạn 2: Giải nén quy tắc phân loại định, m i nhánh đại diện cho thành phần kiểm tra, m i nút đại diện phân phối danh mục, chủng loại Chúng ta cần làm theo đường từ nút gốc đến nút lá, kết hợp m i thuộc tính có giá trị cấu thành tiền đề quy tắc, nút tạo thành hệ quy tắc Vì vậy, định dễ dàng chuyển đổi thành quy tắc IF-THEN Giai đoạn 3: Xác định hành vi mạng hành vi mạng mới, xác định xem xen không theo quy tắc phân loại 16 2.4.2 Giải thuật Naive Bayes (NB) Giải thuật ayes cho phép tính xác suất xảy kiện ng u nhiên A biết kiện liên quan xảy Xác suất ký hiệu P(A| ), đọc "xác suất A có " Đại lượng gọi xác suất có điều kiện hay xác suất hậu nghiệm rút từ giá trị cho phụ thuộc vào giá trị 2.4.3 Giải thuật Support Vector Machine Giải thuật Support Vector Machine (SVM) sử dụng thuật toán học nhằm xây dựng siêu ph ng làm cực tiểu hoá độ phân lớp sai đối tượng liệu Độ phân lớp sai siêu ph ng đặc trưng khoảng cách bé tới siêu ph ng SVM có khả lớn cho ứng dụng thành công toán phân lớp văn Như biết, phân lớp văn cách tiếp cận để tạo tập phân lớp văn từ m u cho trước Cách tiếp cận phối hợp với thực thi mức độ cao hiệu suất với am hiểu mặt lý thuyết, tính chất thơ ngày hồn thiện Thơng thường, hiệu mức độ cao khơng có thành phần suy nghiệm Phương pháp SVM có khả tính tốn sẵn sàng phân lớp, trở thành lý thuyết học mà d n ứng dụng thực tế toàn cầu 2.4.4 Giải thuật Random Forest Giải thuật Random Forest (rừng ng u nhiên) phương phân lớp thuộc tính phát triển eo reiman đại học California, erkeley Về chất RF sử dụng kỹ thuật có tên gọi bagging Kỹ thuật cho phép lựa chọn nhóm nh thuộc tính m i nút phân lớp để phân chia thành mức Do đó, RF có khả phân chia khơng gian tìm kiếm lớn thành khơng gian tìm kiếm nh hơn, nhờ thuật tốn thực việc phân loại cách nhanh chóng dễ dàng 2.5 Tổng kết chƣơng Trong chương này, luận văn phân tích chi tiết, cụ thể kỹ thuật phát xâm nhập điện toán đám mây như: kỹ thuật phát dựa vào dấu hiệu bất thường, kỹ thuật phát dựa đặc trưng, kỹ thuật dựa phương pháp phát phát lạm dụng Từ tác giả đề xuất phân tích số giải thuật học dùng phát xâm nhập mạng làm sở xây dựng ứng dụng chọn phương pháp thuật toán cho chương 17 CHƢƠNG 3:ĐỀ XUẤT GIẢI PHÁP PHÁT HIỆN VÀ PHÕNG CHỐNG XÂM NHẬP TRÊN ĐIỆN TOÁN ĐÁM MÂY Nội dung chương này, luận văn đưa số yêu cầu tốn phát xâm nhập, sở tập trung nghiên cứu nêu giải pháp xây dựng kịch thực nghiệm ứng dụng với mã nguồn snort để thực nghiệm phát xâm nhập mạng điện toán đám mây 3.1.Các yêu cầu hệ thống phát xâm nhập mạng điện toán đám mây Phát công mạng cách xác Một hệ thống phát xâm nhập mạng có độ xác cao bảo vệ tốt an toàn cho hệ thống đồng thời giảm bất lợi việc báo động sai hệ thống phát xâm nhập gây Ngồi cịn phát sớm công mạng bất hợp pháp có khả ngăn chặn địa IP website, công mạng từ bên h trợ tốt cho người quản trị vấn đề cảnh báo nguy rủi ro từ mạng - Thu thập liệu mạng - Tiền xử lý liệu - Giải nén liệu - Chọn lựa thuộc tính - Xây dựng phân lớp 3.2 Đề xuất số mã nguồn m triển khai phát xâm nhập mạng trái phép điện toán đám mây Hiện có nhiều mã nguồn mở để triển khai điện toán đám mây, luận văn tác giả chọn mã nguồn mở Openstack làm triển khai điện toán đám mây mã nguồn mở Snort dùng để thực nghiệm mơi trường điện tốn đám mây: 3.2.1 Mã nguồn mở Openstack a Giới thiệu Openstack OpenStack dự án nguồn mở cộng đồng cho việc phát triển ĐTĐM phù hợp với nhà cung cấp (Cloud Providers) người dùng (Cloud Customers) phát triển Rackspace Hosting Nasa OpenStack bao gồm dự án chính: 18 + OpenStack Compute (để triển khai việc quản lý định tài nguyên cho instances ảo) + OpenStack Object Storage (thực thi việc lưu trữ, backup) + OpenStack Image Service (đảm nhận việc phát hiện, đăng ký, truyền tải dịch vụ cho images disk ảo) b Kiến trúc Openstack Kiến trúc nguồn mở Openstack bao gồm thành phần :Dashboard; Nova; Glance; Swift; Neutron; Cinder; Heat; Ceilometer; Keystone c Cài đặt mơi trường điện tốn đám mây với mã nguồn mở Openstack Để triển khai mã nguồn mở Openstack, ta phải tiến hành cài đặt cấu hình máy server như: Controller; Compute lock1 theo mô hình sau : Internet Controller Compute1 Block1 Management Network Hình 3.11: Mơ hình cài đặt triển khai hệ thống 3.2.2 Mã nguồn mở Snort a.Giới thiệu Snort Snort hệ thống phát phòng chống xâm nhập [9, 13] mã nguồn mở đóng gói thành nhiều sản phẩm phù hợp cho doanh nghiệp phát triển công ty Sourcefire điều hành Martin Roesch Snort công nghệ IDS/IPS triển khai rộng rãi toàn giới 19 Snort ứng dụng bảo mật đại với ba chức chính: phục vụ phận lắng nghe gói tin, lưu lại thơng tin gói tin hệ thống phát xâm nhập mạng (NIDS) Ngồi cịn có nhiều chương trình add-on cho Snort để quản lý file log, tập luật cảnh báo cho quản trị viên phát xâm nhập hệ thống Tuy phần lõi Snort thành phần cung cấp nhiều tính phong phú để có hệ thống phát phòng chống xâm nhập tốt b.Kiến trúc chế hoạt động Snort Snort bao gồm nhiều thành phần, với m i phần có chức riêng Các phần là: - Module giải mã gói tin (Packet Decoder) - Module tiền xử lý (Preprocessors) - Module phát (Detection Engine) - Module log cảnh báo (Logging and Alerting System) - Module kết xuất thông tin (Output Module) c.Thành phần chức Snort Module giải mã gói tin (Packet Decoder) Module tiền xử lý (Preprocessors) Module phát (Detection Engine) Module log cảnh báo (Logging and Alerting System) Module kết xuất thông tin (Output module) 3.3Xây dựng giải pháp ngăn chặn phòng chống xâm nhập trái phép điện tốn đám mây 3.3.1 Mơ hình triển khai Trong mơ hình hacker cơng từ bên ngồi vào trước tiên chúng phải qua Firewall hệ thống phân tích gói tin IDS Vấn đề quan trọng hơn, nguy hiểm kẻ công từ bên Với hệ thống tiến hành công giả lập từ bên vào hệ thống Firewall IDS, kết thu ta trình bày bên 20 Hình 3.20 Mơ hình tổng quan Xây dựng hệ thống mạng để kết nối với thông qua Router mạng nội mạng ngồi: - Đối với mạng nội (internal) hay cịn gọi Private cloud: xây dựng dải mạng: 192.168.10.0/24; dải mạng này, tác giả tạo 01 máy chủ với hệ điều hành Cirros 01 hệ điều Ubuntu kết hợp với số máy PC1, PC2 Mục đích để kiểm chứng kết nối liên thông mạng nội với - Đối với mạng (external) hay gọi Public cloud: xây dựng dải mạng: 192.168.164.0/24 dùng để kết nối từ mạng mạng internet Sau thiết lập xong hệ thống mạng, ta xem hình giao diện web Dashboad theo sơ đồ Hình 3.4 sau: 21 Hình 3.21: Mơ hình triển khai hệ thống 3.3.2.Kịch phát xâm nhập mạng trái phép mơi trường điện tốn đám mây Kịch 1: Phát có kẻ công quét mạng (scan port) ping đến máy chủ Để triển khai hệ thống phát xâm nhập mạng trái phép, hệ thống mạng nội bộ, ta cài đặt hệ điều hành Ubuntu với mã nguồn mở Snort, sau dùng địa IP máy để ping vào hệ thống mạng với địa IP: 192.168.164.202 - Bƣ c 1: Trên máy công Hacker thực scan port ping đến máy cần công bằngđịa IP: 192.168.164.202 - Bƣ c 2: Cấu hình luật tiền xử lý liệu Procensors snort Xây dựng luật Snort để phát xâm nhập mạng sudo nano /etc/snort/rules/local.rules alert icmp any any -> $HOME_NET any (msg:"Tan cong kieu ICMP"; sid:10000001; rev:001;) Sau chạy luật để phát hiện: sudo snort -A console -q -i eth0 -u snort -g snort -c /etc/snort/snort.conf Kết giao diện Snort phát xâm nhập trái phép mạng bị cơng: 22 Hình 3.23: Giao diện hệ thống phát xâm nhập mạng trái phép Kịch 2: Phát có kẻ công Remote Desktop - Bƣ c 1: Trên máy cơng Hacker, chạy Remote Desktop Connection Hình 3.24: Giao diện Remote Desktop công - Bƣ c 2: Cấu hình luật tiền xử lý liệu Procensors snort - Bƣ c 3: Khởi động snort chế độ ase để kiểm tra hệ thống phát xâm nhập 23 Hình 3.25: Hệ thống snort phát công Remote Desktop 3.3.3.Đánh giá chung kết sau thửnghiệm Thông qua mã nguồn mở Snort giao diện Snort ase, ta ghi lại trạng thái địa IP công đến máy chủ như: địa kẻ công, thời gian thực hiện, phương thức thực hiện, tổng số địa máy công tổng số địa máy bị công Qua hai phương pháp mơ ph ng trên, ta nhận thấy phương pháp thực nghiệm có kẻ cơng cách Ping dùng nhiều địa IP cơng đến, trạng thái Snort phát ghi nhận kiểu cơng ICMP, cịn phương pháp thực nghiệm kẻ công dùng cách điều khiển từ xa truy cập web trạng thái Snort phát ghi nhận kiểu công TCP 3.4 Tổng kết chƣơng Nội dung chương 3, tác giả tập trung vào xây dựng ứng dụng lý thuyết chương trước, triển khai môi trường điện toán đám mây mã nguồn mở Snort, xây dựng mơ hình thực nghiệm với mã nguồn mở Snort để làm thực nghiệm cho luận văn, thơng qua chứng minh hệ thống phát ngăn chặn xâm nhập mạng mơi trường điện tốn đám sở cho người quản trị sớm đưa giải pháp an tồn sử dụng mơi trường điện toán đám mây 24 KẾT LUẬN Việc nghiên cứu đưa giải pháp phát xâm nhập trái phép điện toán đám mây, đề tài tập trung tìm hiểu chun sâu cơng nghệ điện tốn đám mây như: kiến trúc, mơ hình triển khai mơ hình dịch vụ điện tốn đám mây, ưu nhược điểm Kết luận văn thực nội dung sau: - Nghiên cứu tổng quan điện toán đám mây - Nghiên cứu kiến trúc hệ thống kỹ thuật phát xâm nhập mạng mơi trường điện tốn đám mây - Nghiên cứu số giải thuật học phát xâm nhập mạng như: giải thuật học C4.5, giải thuật Naïve ayes, giải thuật Support Vector Machine giải thuật Random Forest - Triển khai môi trường điện toán đám mây thật với mã nguồn mở Openstack - Xây dựng mơ hình mơi trường mạng điện tốn đám mây - Thử nghiệm thành cơng hệ thống phát xâm nhập mạng mã nguồn mở Snort Trên sở nghiên cứu phương pháp xâm nhập mạng trái phép điện toán đám mây tìm hiểu số giải pháp áp dụng chống xâm nhập, nghiên cứu số giải thuật học áp dụng phát xâm nhập mạng, từ xây dựng số lựa chọn hay giải pháp phát xâm nhập mạng cho luận văn cuối ứng dụng giải thuật học Support Vector Machine (SVM) với mã nguồn mở Snort để kiểm nghiệm đưa giải pháp cho hệ thống để đảm bảo an tồn thơng tin cho mơi trường điện tốn đám mây Trong tƣơng ai, uận văn đƣợc phát triển theo hƣ ng sau: - Triển khai cụ thể phương pháp phát xâm nhập mạng giải thuật học phân tích chương - Đi sâu nghiên cứu phương pháp phát đột nhập lai có khả kết hợp nhiều nguồn liệu kỹ thuật phát ... Snort phát xâm nhập mạng trái phép điện toán đám mây 3 Đối tƣợng phạm vi nghiên cứu Đối tượng nghiên cứu: - Nghiên cứu bảo mật điện toán đám mây - Nghiên cứu ứng dụng số giải thuật học phát xâm nhập. .. phát xâm nhập IDS, kiểu công mạng phổ biến kỹ thuật, giải thuật phát số giải pháp phòng chống xâm nhập trái phép điện toán đám mây Chƣơng 3: Đề xuất giải pháp phát phòng chống xâm nhập điện toán. .. điện tốn đám mây Nội dung chương này, luận văn tập trung trình bày tổng quan điện toán đám mây nêu số giải pháp điện toán đám mây Chƣơng 2: Hệ thống phát xâm nhập trái phép điện toán đám mây Nội