TRƯỜNG ĐẠI HỌC LẠC HỒNG BÁO CÁO LUẬN VĂN THẠC SỸ HỆ THỐNG TƯỜNG LỬA THÔNG MINH CHO CÁC ỨNG DỤNG WEB - IWAF Trình bày: Huỳnh Hồng Tân NỘI DUNG TRÌNH BÀY GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB NHẬN DẠNG BẤT THƯỜNG ĐỐI VỚI ỨNG DỤNG WEB ỨNG DỤNG TỔ HỢP MARKOV ẨN ĐỂ NHẬN DẠNG BẤT THƯỜNG TRONG IWAF MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF DEMO HOẠT ĐỘNG CỦA IWAF Trình bày: Huỳnh Hồng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Network Firewall IP Firewall Web Server Web Client Application IDS/IPS WAF Unfiltered HTTP Traffic Ports 80 & 443 open to both Good and Malicious HTTP Traffic Huỳnh Hoàng Tân Application Database Server GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Kỹ thuật nhận dạng công ứng dụng web Kỹ thuật nhận dạng tĩnh (Log-base detection) Kỹ thuật nhận dạng công dạng động (Real-time detection) Nhận dạng cơng mạng (Network-based) Huỳnh Hồng Tân Nhận dạng công máy chủ (Webserver-based) GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Các chức Mơ hình an toàn Negative Positive (backlist whitelist) Huỳnh Hoàng Tân Phương pháp bảo vệ dạng Rule-based Anomaly-based GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB WAF xem hệ thống phát hiện/ngăn chặn xâm nhập thiết kế đặc biệt để bảo vệ ứng dụng web WAF thiết bị máy chủ ứng dụng giam sát trao đổi thông tin giao thức http/https trình duyệt máy trạm máy chủ web tầng ứng dụng WAF sử dụng phương pháp nhận dạng động để phát công Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Chức Chức kiểm tra kết nối Chức xử lý Chức ghi nhật ký Chức nâng cao Huỳnh Hoàng Tân Kiểm tra hợp lệ kết nối HTTP Chức quản lý MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF So sánh ngưỡng xác suất ứng dụng web sử dụng số lượng tổ hợp khác với 02 phương pháp huấn luyện MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Đánh giá mơ hình tổ hợp HMM Chiều dài chuỗi liệu huấn luyện xét giá trị khác chuỗi thông thường cho kết tốt chiều dài tổng ký tự chuỗi Đối với 02 phương pháp huấn luyện, số lượng HHM (HMMs) tổ hợp tăng lên, đa số cho xác suất tốt Xác suất chuỗi giá trị thuộc tính thường thấp so với xác suất giá trị thuộc tính Huỳnh Hồng Tân MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Đánh giá mơ hình tổ hợp HMM Thuật toán Baum-Welch huấn luyện từ nhiều chuỗi quan sát cho kết xác suất tốt so với phương pháp sử dụng thuật toán huấn luyện cho tổ hợp HMM Sử dụng loạt kỹ thuật tính trung bình đơn giản tham số ước lượng độc lập để tìm mơ hình hiệu với trọng số Wk = Trong trình huấn luyện, sử dụng nhiều HMM, HMMs tổ hợp hệ thống khó hội tụ thời gian huấn luyện lâu Huỳnh Hoàng Tân MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Mẫu liệu thử nghiệm, phương án thử nghiệm phân tích cơng Huỳnh Hồng Tân MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Mẫu liệu thử nghiệm, phương án thử nghiệm phân tích cơng Trường hợp 1: với mơ hình HMM huấn luyện phương pháp 1, chiều dài chuỗi Effective, số lượng HMM tổ hợp tăng từ 1, 2, 3, 5, 7, TH1 Huỳnh Hoàng Tân Cách 1: truy vấn có giá trị xác suất làm đại diện lấy từ xác xuất nhỏ chuỗi thuộc tính giá trị thuộc tính đầu vào Cách 2: truy vấn có 02 giá trị xác suất làm đại diện lấy từ xác xuất nhỏ giá trị thuộc tính xác suất chuỗi thuộc tính đầu vào MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Trường hợp 1, cách Huỳnh Hồng Tân MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Trường hợp 1, cách Huỳnh Hoàng Tân MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Trường hợp 1, cách Huỳnh Hồng Tân MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Mẫu liệu thử nghiệm, phương án thử nghiệm phân tích cơng Trường hợp 2: với mơ hình HMM huấn luyện phương pháp 2, chiều dài chuỗi Effective, số lượng HMM tổ hợp tăng từ 1, 2, 3, 5, 7, TH2 Huỳnh Hoàng Tân Cách 1: truy vấn có giá trị xác suất làm đại diện lấy từ xác xuất nhỏ chuỗi thuộc tính giá trị thuộc tính đầu vào Cách 2: truy vấn có 02 giá trị xác suất làm đại diện lấy từ xác xuất nhỏ giá trị thuộc tính xác suất chuỗi thuộc tính đầu vào MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Trường hợp Cách Huỳnh Hồng Tân MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Trường hợp 2, cách Huỳnh Hoàng Tân MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Đánh giá khả phát truy vấn công Các cơng dạng SQL Injection, XSS, thêm thuộc tính mới, chèn ký tự đặc biệt vào giá trị thuộc tính bị mơ hình phát đầy đủ Thuật toán Baum-Welch huấn luyện từ nhiều chuỗi quan sát cho kết nhận dạng công tốt so với phương pháp sử dụng thuật toán huấn luyện cho tổ hợp HMM Sử dụng loạt kỹ thuật tính trung bình đơn giản tham số ước lượng độc lập để tìm mơ hình hiệu với trọng số Wk = Huỳnh Hoàng Tân MƠ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Đánh giá khả phát truy vấn công Các nhận dạng sai chủ yếu liên quan đến việc phân bố thuộc tính truy vấn giảm bớt thuộc tính, trùng thuộc tính, sai vị trí thuộc tính Đối với truy vấn chọn 02 giá trị xác suất làm đại diện 01 lấy từ xác xuất nhỏ giá trị thuộc tính 01 xác suất chuỗi thuộc tính đầu vào tăng hiệu nhận dạng nhiều, rõ ràng so với việc chọn 01 giá trị xác suất nhỏ làm đại diện cho truy vấn Huỳnh Hoàng Tân HƯỚNG PHÁT TRIỂN TIẾP THEO CỦA IWAF • Xây dựng IWAF hoạt động đa dạng hệ điều hành khác • Xây dựng IWAF thành hệ thống nhúng hoạt động phần cứng chuyên dùng • Bổ sung nhiều sách bảo mật cho ứng dụng web phổ biến như: Zoomla, Wordpress, Sharepoint, Dotnetnuke • Bổ sung thêm thuật tốn nhận dạng thông minh phương pháp Anomaly-based dựa tảng máy học Huỳnh Hoàng Tân Huỳnh Hoàng Tân ... GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Network Firewall IP Firewall Web Server Web Client... Database Server GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Kỹ thuật nhận dạng công ứng dụng web Kỹ thuật nhận dạng tĩnh (Log-base detection) Kỹ thuật... vệ dạng Rule-based Anomaly-based GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB WAF xem hệ thống phát hiện/ngăn chặn xâm nhập thiết kế đặc biệt để bảo vệ ứng dụng web WAF thiết bị máy chủ ứng dụng giam sát