1. Trang chủ
  2. » Công Nghệ Thông Tin

Xây dựng hệ thống phát hiện xâm nhập bằng phần mềm snort

73 46 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 73
Dung lượng 2,87 MB

Nội dung

Luận văn Xây dựng hệ thống phát xâm nhập phần mềm Snort LỜI CẢM ƠN Sau khoảng thời gian học tập rèn luyện Trường Công nghệ thông tin truyền thông đến em kết thúc khóa học Em xin bày tỏ lịng cảm ơn sâu sắc tới Ban chủ nhiệm khoa, thầy giáo tận tình giảng dạy, trang bị cho chúng em vốn kiến thức kinh nghiệm quý báu, cung cấp cho chúng em điều kiện mơi trường học tập tốt Để hồn thành đồ án tốt nghiệp, em xin gửi lời cảm ơn chân thành đến thầy giáo Thạc Sỹ Lê Tuấn Anh - giảng viên Trường Công nghệ thông tin trực tiếp hướng dẫn tạo điều kiện giúp đỡ em thời gian thực đồ án Cảm ơn thầy giáo, cô giáo bạn Trường Công nghệ thông tin giúp đỡ em thời gian qua, tạo điều kiện tốt để em hoàn thành đồ án tốt nghiệp Nhưng thời gian có hạn, kinh nghiệm kiến thức thực tế hạn chế, nên đồ án tốt nghiệp em chắn khơng tránh khỏi thiếu sót Em mong nhận góp ý bảo nhiệt tình từ phía thầy bạn để nâng cao khả chun mơn hồn thiện kiến thức Thái Nguyên, tháng năm 2013 Sinh viên Phạm Đức Thọ LỜI CAM ĐOAN Để hoàn thành đồ án tốt nghiệp thời gian quy định đáp ứng yêu cầu đề ra, thân em cố gắng nghiên cứu, học tập làm việc thời gian dài Em tham khảo số tài liệu nêu phần “Tài liệu tham khảo” không chép nội dung từ đồ án khác Toàn đồ án thân nghiên cứu, xây dựng nên Em xin cam đoan lời đúng, thơng tin sai lệch em xin hồn toàn chịu trách nhiệm trước thầy giáo hướng dẫn môn Thái Nguyên, tháng năm 2013 Sinh viên Phạm Đức Thọ DANH MỤC TỪ VIẾT TẮT Từ viết tắt Tên đầy đủ KPDL Khai phá liệu BTTM Bất thường mạng PTTB Phần tử tách biệt SOM Seft Organized Map HIDS Host-based Intrusion Detection System NIDS Network-based Intrusion Detection System IDS Intrusion Detection System DoS Denial of Service SNMP Simple Network Management Protocol HTTPS Hypertext Transfer Protocol CSDL Cơ sở liệu ICMP Internet Control Message Protocol TTL Time To Live MIB Management Information Base DANH MỤC HÌNH VẼ Hình Nội dung Hình 1.1 Số lượng máy bị cơng ngày tăng Hình 1.2 Thời gian lây nhiễm 10.000 máy rút ngắn Hình 1.3 Hệ thống phịng thủ theo chiều sâu Hình 1.4 Thành phần hệ thống IDS Hình 1.5 Hoạt động IDS Hình 1.6 Hoạt động HIDS Hình 1.7 Hoạt động NIDS Hình 1.8 Knowledge-based IDS Hình 1.9 Nguyên lý hoạt động hệ thống IDS Hình 1.10 IDS gửi TCP Reset Hình 1.11 IDS yêu cầu Firewall tạm dừng dịch vụ Hình 2.1 IDS dựa phát bất thường Hình 2.2 Hoạt động IDS dựa phát bất thường Hình 2.3 IDS dựa SOM Hình 2.4 Hệ thống phát bất thường sử dụng Kỹ thuật KPDL Hình 2.5 Ví dụ tổng hợp luật Hình 2.6 Hoạt động module Tổng hợp Hình 2.7 Tập hợp tri thức cơng Hình 3.1 Quan hệ thành phần Snort Hình 3.2 Sơ đồ giải mã gói tin MỤC LỤC Trang MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1 Bảo mật hệ thống thông tin 1.1.1 Các nguy đe dọa 1.1.2 Các nguyên tắc bảo vệ thông tin 1.1.3 Các biện pháp bảo vệ 1.2 Kỹ thuật phát xâm nhập trái phép .10 1.2.1 Thành phần 10 1.2.2 Phân loại 12 1.2.3 Nguyên lý hoạt động 17 1.3 Kết chương 20 CHƯƠNG HỆ THỐNG IDS DỰA TRÊN PHÁT HIỆN BẤT THƯỜNG 22 2.1 Định nghĩa bất thường mạng 23 2.2 Kỹ thuật phát bất thường 24 2.3 Ưu nhược điểm phát bất thường 25 2.4 Dữ liệu phát bất thường 26 2.5 Các phương pháp phát bất thường 28 2.5.1 Phát bất thường mạng Nơ-ron 29 2.5.2 Phát bất thường kỹ thuật khai phá liệu 30 2.5.3 Phát bất thường Hệ chuyên gia 37 2.6 Kết chương 38 CHƯƠNG XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP BẤT THƯỜNG VỚI PHẦN MỀM Snort 40 3.1 Tổng quan Snort 40 3.1.1 Bộ giải mã gói tin 41 3.1.2 Các tiền xử lý 42 3.1.3 Máy phát 43 3.1.4 Hệ thống cảnh báo ghi dấu 44 3.1.5 Môđun xuất 44 3.2 Hướng dẫn cài đặt sử dụng 45 3.2.1 Cài Đặt Snort .45 3.2.2 Sử dụng Snort 48 3.3 Kết chương 59 KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI .60 Kết luận đề tài .60 Hướng nghiên cứu .61 TÀI LIỆU THAM KHẢO PHỤ LỤC MỞ ĐẦU Bối cảnh nghiên cứu Theo Mạng An tồn thơng tin VSEC (The VietNamese security network), 70% website Việt Nam bị xâm nhập, 80% hệ thống mạng bị hacker kiểm sốt Điều cho thấy sách bảo mật hệ thống thông tin Việt Nam chưa quan tâm đầu tư mức Khi hệ thống thông tin bị hacker kiểm sốt hậu khơng thể lường trước Đặc biệt, hệ thống hệ thống xung yếu đất nước hệ thống phủ, hệ thống ngân hàng, hệ thống viễn thông, hệ thống thương mại điện tử thiệt hại uy tín, kinh tế lớn Trong bối cảnh đó, việc phát triển sử dụng hệ thống phát xâm nhập - IDS ngày trở nên phổ biến đóng vai trị quan trọng khơng thể thiếu sách bảo mật an tồn thơng tin hệ thống thơng tin Nhiệm vụ IDS thu thập liệu Mạng, tiến hành phân tích, đánh giá, từ xác định xem có dấu hiệu công hay không IDS cảnh báo cho chuyên gia trước thủ phạm thực hành vi đánh cắp hay phá hoại thông tin, giảm thiểu nguy an ninh hệ thống Hệ thống phát xâm nhập có hướng tiếp cận Tiếp cận dựa phát bất thường Tiếp cận dựa dấu hiệu Nếu dựa dấu hiệu, hệ thống sử dụng mẫu cơng có từ trước, tiến hành so sánh để xác định liệu xét có phải bất thường hay khơng Hướng sử dụng rộng rãi nhiên điểm yếu phát cơng có dấu hiệu biết trước Kỹ thuật phát bất thường khắc phục đặc điểm này, cách tiến hành xây dựng hồ sơ mô tả “trạng thái bình thường” Một hành vi hệ thống coi “bất thường” thông số đo có độ khác biệt đáng kể với mức “bình thường”, từ suy luận “bất thường” dấu hiệu hành vi công Rõ ràng hướng tiếp cận dựa hành vi bất thường có tính “trí tuệ” cao hồn tồn nhận diện cơng mà chưa có dấu hiệu cụ thể Nội dung nghiên cứu Trong thời gian thực đề tài, tác giả tiến hành nghiên cứu vấn đề sau:  Phân tích vai trị, chức Hệ thống xâm nhập trái phép, tìm hiểu thành phần, cách phân loại hoạt động hệ thống Đưa tiêu chi đánh giá hệ thống IDS  Tìm hiểu Hệ thống IDS dựa phát bất thường Phân tích ưu nhược điểm hướng tiếp cận Nghiên cứu kỹ thuật sử dụng để phát bất thường: Xác xuất thống kê, Máy trạng thái hữu hạn, Khai phá liệu, mạng Nơ-ron, Hệ chuyên gia Đưa đánh giá hiệu kỹ thuật  Xây dựng hệ thống phát bất thường cách sử dụng phần mềm phát xâm nhập Snort Cấu trúc đề tài Chương 1: Giới thiệu tổng quan Hệ thống Phát xâm nhập trái phép Trong chương tơi trình bày cách khái quát vai trò IDS hệ thống thơng tin, hình thức phân loại, cấu trúc nguyên lý hoạt động Hệ thống IDS Chương 2: Mô tả nguyên tắc phát công dựa theo dõi dấu hiệu bất thường hệ thống, so sánh đánh giá ưu, nhược điểm Hệ thống phát xâm nhập trái phép dựa phát bất thường Chương đưa đánh giá số hướng nghiên cứu thực Chương 3: Xây dựng hệ thống phát xâm nhập với Snort cho hệ thống thông tin Đưa cách xây dụng tập luật ứng dụng để phát xâm nhập trái phép Cuối kết luận hướng nghiên cứu đề tài CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1 Bảo mật hệ thống thơng tin Thơng tin cho có giá trị cao đảm bảo tính xác kịp thời, hệ thống cung cấp thơng tin có giá trị thực chức hệ thống đảm bảo hoạt động đắn Mục tiêu việc đảm bảo an toàn an ninh cho hệ thống thông tin đưa giải pháp ứng dụng giải pháp vào hệ thống để loại trừ giảm bớt nguy hiểm Hiện công ngày tinh vi, gây mối đe dọa tới an tồn thơng tin Các cơng đến từ nhiều hướng theo cách khác nhau, cần phải đưa sách biện pháp đề phịng cần thiết Mục đích cuối an tồn bảo mật hệ thống thông tin tài nguyên theo yêu cầu sau:  Đảm bảo tính tin cậy (Confidentiality): Thơng tin bị truy nhập trái phép người khơng có thẩm quyền  Đảm bảo tính ngun vẹn (integrity ): Thông tin bị sửa đổi, bị làm giả người khơng có thẩm quyền  Đảm bảo tính sẵn sàng (Availability): Thơng tin ln sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền  Đảm bảo tính khơng thể từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp Cần nhấn mạnh thực tế khơng có hệ thống an tồn tuyệt đối Bởi hệ thống bảo vệ dù đại chắn đến đâu có lúc bị vơ hiệu hóa kẻ phá hoại có trình độ cao có đủ thời gian Chưa kể tính an tồn hệ thống thơng tin cịn phụ thuộc nhiều vào việc sử dụng người Từ thấy vấn đề an tồn mạng thực tế chạy tiếp sức không ngừng không dám khẳng định có đích cuối hay không 1.1.1 Các nguy đe dọa  Rule header: nơi chứa action (hành động), protocol (giao thức truyền thông), Source IP address Destination IP Address với giá trị subnet mask số hiệu port địa IP nguồn đích  Rule option: nơi khai báo đặc tả tình trạng trùng khớp gói tin với rule, cảnh báo alert messenger ví dụ sau đây: alert tcp any any -> any 80 (content: "adult"; msg: "Adult Site Access";) Dòng lệnh cho ta thấy phần rule header alert tcp any any -> any 80 phần content: ("adult"; msg: "Adult Site Access";) rule option, rule option không bắt buộc phải có tất snort rule cho biết thông tin cần thiết lý để tạo rule hay hành động tương ứng Và kết dòng lệnh tạo cảnh báo (alert) TCP trafic từ địa IP port gởi đến địa IP Port 80 mà phần nội dung (payload) có chứa từ khóa Adult Nếu tình xảy ra, nghĩa có user LAN truy cập vào site có chứa từ Adult record Adult Site Access ghi vào log file 3.2.2.3.1 Rule Header Tiếp theo, ta sâu rule header, ví dụ alert tcp any any -> any 80, với phần alert rule action định nghĩa hành động mà snort thực packet trùng khớp với quy tắc mà ta tạo Có loại rule action sau: Rule Action Mô tả Alert Tạo cảnh báo ghi log file Log Ghi Log packet Pass Bỏ qua gói tin Activate Tạo cảnh báo bật chức dynamic rule Dynamic Chưa sử dụng, trừ có rule khác tương thích 52 Khi action định nghĩa, ta cần phải xác định giao thức ví dụ TCP, Snort hổ trợ giao thức truyền thông sau TCP, UDP, ICMP, IP Sau bổ sung địa IP cho snort rule mình, ví dụ any xác định địa IP nào, ngòai snort sử dụng định dạng netmask để khai báo mặt nạ mạng lớp A /8, địa lớp B /16 địa lớp C /24 Nếu muốn khai báo host sử dụng /32 Bên cạnh ta cịn dãy máy tính sau: Alert tcp any any -> [10.0.10.0/24, 10.10.10.0/24] any => (content: "Password"; msg:"Password Transfer Possible!";) Lưu ý: trường hợp dòng lệnh chia thành dòng thực bạn phải nhập dòng Còn muốn chia làm nhiều dòng khác cho dịng lệnh phải sử dụng dấu “\”, nhiên nên sử dụng dòng đơn Sau action, protocol ip address định nghĩa ta cần xác định số hiệu port dịch vụ, 80 cho dịch vụ truy cập Web hay port 21, 23 …Cũng áp dụng từ khóa any để áp dụng cho tất port, hay dùng dấu “;” để định dãy port đó: - Để ghi log truyền thông từ tất địa IP address tất port đến port 23 lớp mạng 10.0.10.0/24 sử dụng lệnh sau: Log tcp any any -> 10.0.10.0/24 23 - Ghi log tất truyền thông từ địa IP đến port nằm khỏang đến 1024 máy thuộc lớp mạng 10.0.10.0/24 sử dụng lệnh sau: Log tcp any any -> 10.0.10.0/24 1:1024 53 - Ghi log tất truyền thông từ địa IP có số hiệu port thấp 1024 đến máy thuộc lớp mạng 10.0.10.0/24 destination port lớn 1024 sử dụng cú pháo sau: Log tcp any :1024 -> 10.0.10.0/24 1024 Ngoài ra, ta sử dụng tham số phủ định “!” trường hợp ghi log truyền thông giao thức TCP từ máy tính ngọai trừ 172.16.40.50 áp dụng cho tất port đến 10.0.10.0/24 sử dụng tất port : Log tcp ! 172.16.40.50/32 any -> 10.0.10.0/24 any Hay trường hợp ghi log tất truyền thông đến máy tính thuộc lớp mạng 10.0.10.0/24 ngọai trừ port 23 sau: Log tcp any any -> 10.0.10.0/24 !23 Đến lúc ta duyệt qua số snort rule nhận thấy rule có lệnh điều hướng ->, xác định chiều truyền thông từ phải qua trái Trong trường hợp muốn áp dụng snort rule cho truyền thơng theo chiều sử dụng cú pháp thay cho -> trường hợp ghi log chiều tenlet session sau Log tcp 10.0.10.0/24 any 172.16.30.0/24 23 3.2.2.3.2 Rule Option Một snort rule có nhiều option khác phân cách giấu “;” rule option làm cho snort rule áp dụng linh động, mạnh mẽ Danh sách sau trình bày rule option thơng dụng thường áp dụng snort rule: Rule Option Mô tả Msg Hiển thị thông báo alert packet log file Ttl Dùng để so sánh giái trị Time To Live IP header Id Dùng để so sánh giá trị IP header fragment Flags Dùng để so sánh tcp flag với giá trị định nghĩa Ack So sánh TCP ack cho giá trị định nghĩa 54 Content So sánh nội dung packet với giá trị định nghĩa Khi từ khóa msg áp dụng rule yêu cầu ghi nhật ký cảnh báo snort chèn thêm thông điệp định nghĩa vào log file hay cảnh báo ví dụ msg: "text here"; Khi ttl sử dụng rule yêu cầu snort so sánh với giá trị Time To Live, trường hợp thường áp dụng để dị tìm tuyến đường.Ví dụ đơn giản sau dùng để khai báo ttl: ttl: "time-value"; Còn trường hợp rule sử dụng từ khóa id yêu cầu Snort so sánh với IP header fragment theo id định như: id: "id-value"; Đối với trường hợp flags option có nhiều tình khác tùy theo flag yêu cầu so sánh, tùy chọn flag khai báo sau: - F: dùng cho cờ FIN S: dùng cho cờ SYN R: dùng cho cờ RST P: dùng cho cờ PSH A: dùng cho cờ ACK U: dùng cho cờ URG 2: dùng cho Reserved bit 1: dùng cho Reserved bit 0: dùng cho no tcp flags set Các toán tử logic áp dụng cho tùy chọn flag + dùng để so khớp với tất flag, * dùng để xác định có trùng lắp với flag ! dùng để so sánh trùng lắp mang tính chất loại trừ Các reserved bit áp dụng tình phát trường hợp scan hay IP stack fingerprinting Sau ví dụ tùy chọn flags snort rule dùng để xác định dị tìm SYNFIN scans: Ví dụ sử dụng flags: Alert any any -> 10.0.10.0/24 any (flags: SF; msg: "SYN FIN => Scan Possible";) 55 Tùy chọn ack áp dụng để so khớp với giá trị ACK tương ứng TCP header packet, ứng dụng Nmap dùng ACK flag để xác định tồn host Trong số từ khóa content từ khóa quan trọng nhất, content áp dụng snort kiểm tra nội dung gói tin so sánh với giá trị khai báo content, có trùng lắp hành động tương ứng tiến hành Lưu ý giá trị áp dụng với content có tính chất case sensitive (phân biệt chữ hoa chữ thường) để tăng hiệu cho trình so sánh Snort sử dụng chế pattern-match gọi Boyer-Moore, với chế trình so sánh diễn hiệu máy có cấu hình yếu Cú pháp đơn giản từ khóa content là: content:"content value"; 3.2.2.3.3 Cách xây dựng luật Snort Ở phần ta thấy rõ ràng luật Snort bao gồm thành phần: phần Header phần Rule Option Như để xây dựng luật Snort ta phải bước xây dựng thành phần Sau ta xây dựng luật, luật có cho phép cảnh báo đến chuyên gia xảy trường hợp có lệnh ping sử dụng, đồng thời đưa cảnh báo có sử dụng mật mã password Tiến hành sau: Sử dụng trình sọan thảo Notepad nhập vào nội dung: log tcp any any -> any any (msg: "TCP Traffic Logged";) alert icmp any any -> any any (msg: "ICMP Traffic Alerted";) alert tcp any any -> any any (content: "password"; msg: => "Possible Password Transmitted";) Lưu tập tin thành c:\Snort\rules\security365.rule ,lưu ý chọn chế độ lưu trữ All file Notepad để không bị gắn thêm phần mở rộng 56 Để kiểm tra lại quy tắc vừa tạo ra, xóa tập tin thư mục C:\Snort\log mở cửa sổ dòng lệnh chạy lệnh sau cửa sổ thứ nhất: C:\Snort\bin\snort -c \Snort\rules\security365.rule -l \Snort\log Sau chạy lệnh cũa sổ lại: C:\ping www.dantri.vn C:\net send [ip_address] Here is my password Nhấn Ctrl-C hình thực thi Snort thấy gói tin lưu giữ quan sát log file thấy xuất cảnh báo 57 Bên cạnh việc tạo snort rule riêng ta áp dụng quy tắc tạo sẵn Hình sau trình bày nội dung pre-defined rule scan.rules thư mục C:\Snort\rules cách thiết lập quy tắc để phát FIN/SYN scan Nếu muốn áp dụng rule pre-defined tiến hành tương tự trường hợp rule ta thiết lập Trong trưịng hợp hệ thống có nhiều card mạng ta nên xác định rõ ràng số hiệu chúng để snort sử dụng Ngoài ra, thiết lập quy tắc cho giao thức ICMP phần Port ta đặt any 3.2.2.3.4 Các Ví Dụ Về Snort Rule 58 Sau số snort rule với mơ tả chúng Ta sử dụng chúng làm mẫu cho trình tạo snort rule - Để log tất truyền thông kết nối đến port 23 dịch vụ telnet: Log tcp any any -> 10.0.10.0/24 23 - Để log ICMP traffic đến lớp mạng 10.0.10.0: Log icmp any any -> 10.0.10.0/24 any - Cho phép tất q trình duyệt Web mà khơng cần ghi log: Pass tcp any 80 -> any 80 - Tạo cảnh báo với thông điệp kèm theo: Alert tcp any any -> any 23 (msg: "Telnet Connection => Attempt";) - Dò tìm tình quét mạng với SYN/FIN : Alert tcp any any -> 10.0.10.0/24 any (msg: "SYN-FIN => scan detected"; flags: SF;) - Dị tìm tiến trình qt mạng TCP NULL: Alert tcp any any -> 10.0.10.0/24 any (msg: "NULL scan detected"; flags: 0;) - Dị tìm tiến trình OS fingerprinting: Alert tcp any any -> 10.0.10.0/24 (msg: "O/S Fingerprint => detected"; flags: S12;) - Tiến hành lọc nội dung: alert tcp any $HOME_NET -> !$HOME_NET any (content: => "Hello"; msg:"Hello Packet";) 3.3 Kết chương 59 Chương giới thiệu cách tổng quan phần mềm Snort Các thành phần chế độ làm việc Đồng thời đưa cách xây dựng luật đưa luật vào ứng dụng Các thành phần bao gồm thành phần: Bộ giải mã gói tin, Các tiền xử lý, Máy phát hiện, Hệ thống cảnh báo ghi dấu Môđun xuất Các chế độ làm việc bao gồm: Sniffer Packet, Packer Logger, Network IDS Cuối cách xây dựng luật với thành phần bao gồm Header Rule Option KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU CỦA ĐỀ TÀI Kết luận đề tài Trong thời gian làm đề tài, tác giả tìm hiểu hệ thống bảo mật, đặc biệt Hệ thống phát xâm nhập trái phép IDS thành phần quan trọng chiến lược phịng thủ theo chiều sâu Hệ thống thơng tin Hệ thống phát xâm nhập trái phép có chức phát cảnh báo sớm dấu hiệu cơng, giúp chun gia chủ động đối phó với nguy xâm phạm Đề tài trình bày cách tổng quan nguyên lý hoạt động, hình thức phân loại, phương pháp phát xâm nhập cách sử dụng Snort để xây dựng Hệ thống phát xâm nhập Hệ thống IDS hoạt động dựa thành phần Cảm ứng, Giao diện Bộ phân tích Xét chức IDS phân thành loại NIDS HIDS NIDS thường đặt ngõ mạng để giám sát lưu thơng tồn mạng, cịn HIDS cài đặt máy trạm để phân tích hành vi liệu đến máy trạm Xét cách thức hoạt động hệ thống IDS chia thành giai đoạn là: Giám sát, Phân tích, Liên lạc, Cảnh báo Phản ứng 60 Hệ thống IDS phát cơng dựa dấu hiệu dựa tượng bất thường Ý tưởng phương pháp Phát bất thường lấy sở nhận định: công thường gây dấu hiệu khác thường hệ thống, ví dụ tăng đột biến loại gói tin xuất phát từ Tấn công từ chối dịch vụ, hay xuất kết nối lạ thủ phạm dị qt điểm yếu Do đó, để cảnh báo công, hệ thống phân loại phát dấu hiệu “bất thường” tập thông số quan sát Với tiếp cận vậy, lợi Phương pháp khả phát kiểu công chưa có dấu hiệu hay biến thể cơng có mà Hệ thống IDS khác khơng thể nhận Ngồi ra, phương pháp Phát bất thường cịn giải vấn đề q tải tính tốn, tính tự động vận hành Hệ thống phát xâm nhập trái phép Hệ thống IDS dựa phát bất thường sử dụng kỹ thuật khác Đề tài giới thiệu hệ thống Phát bất thường dựa Xác xuất thống kê, Máy trạng thái hữu hạn, Khai phá liệu, mạng Nơ-ron, Hệ chuyên gia Mỗi kỹ thuật có chế hoạt động riêng, đồng thời có ưu nhược điểm khác Đề tài giới thiệu số hướng nghiên cứu lĩnh vực đưa đánh giá hướng Chương đề tài tác giả xây dựng Hệ thống phát xâm nhập với Snort cho hệ thống thơng tin Đồng thời trình bày phận cấu thành Snort, nguyên lý hoạt động phối hợp phận cấu thành Snort Chương đặc biệt sâu cách xây dựng, quản lý, thực thi cập nhật tập luật Hướng nghiên cứu Lĩnh vực Phát bất thường lĩnh vực nghiên cứu mới, đã, quan tâm vai trò Hệ thống thơng tin Sau số hướng nghiên cứu mà tác giả dự định phát triển thêm:  Xây dựng phần mềm Phát bất thường dựa Hệ chuyên gia 61  Tìm hiểu kỹ thuật Phát bất thường khác để tăng khả phòng thủ hệ thống TÀI LIỆU THAM KHẢO [1] Marina Thottan, Chuanyi Ji, Anomaly Detection in IP Networks, IEEE transactions on Signal processing, August 2003 [2] Nguyễn Linh Giang, Anomaly Detection by statistucal analysis and neutral network, Department of Communcation and Computer Networks, Ha Noi University of Technology [3] Stefan Alexsson, Research in Intrusion-Detection System: A Survey, Chalmers University of Technology, Sweden 1998 [4] James A.Hoagland, Practical automated detetion of stealthy portscans, Journal of Computer Security 10 (2002) [5] Matthew Vincent Mahoney, A Machine Learning Approach to Detecting Attacks by Indentifying Anomalies in Network Traffic, Florida Institude of Technology 2003 [6] Christopher Kruegel, Bayesian Event Classification for Intrusion Detection, University of California, Santa Barbara, 2003 62 [7] Intrusion Prevention Fundamental, Cisco Press 2006 [8] Matthew Tanase, One of These Things is not Like the Other: The State of Anomaly Detection [9] Network Security Architectures, Cisco Press 2004 [10] Network Intrusion detection, Third Edition, SANS 2006 [11] F.Feather and R.Maxion, Fault detection in an ethernet network using anomaly signature matching [12] M.M.Breuning, H.P.Kriegel, R.T.Ng, J.Sander, LOF: Identifying densityBased Local Outliers, Proceedings of the ACM SIGMOD Conference, 2000 [13] Hawkins D.M, Indentification of Outliers, Chapman and Hall, London 1980 63 PHỤ LỤC Tấn công từ chối dịch vụ Tấn cơng từ chối dịch vụ DoS mô tả hành động ngăn cản người dùng hợp pháp truy cập sử dụng vào dịch vụ Nó bao gồm làm tràn ngập mạng, kết nối với dịch vụ mà mục đích cuối máy chủ khơng thể đáp ứng yêu cầu sử dụng dịch vụ từ máy trạm DoS làm ngưng hoạt động máy tính, mạng nội bộ, chí hệ thống mạng lớn Về chất thực DoS, kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ làm khả xử lý yêu cầu dịch vụ từ máy trạm khác Các cách thức công DoS Tấn công kiểu SYN flood Lợi dụng cách thức hoạt động kết nối TCP/IP, hacker bắt đầu trình thiết lập kết nối TCP/IP tới mục tiêu muốn công mà khơng gửi trả gói tin ACK, khiến cho mục tiêu ln rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) liên tục gửi gói tin SYN ACK để thiết lập kết nối Một cách khác giả mạo địa IP nguồn gói tin yêu cầu thiết lập kết nối SYN trường hợp trên, máy tính đích rơi vào trạng thái chờ gói tin SYN ACK khơng thể đến đích địa IP nguồn khơng có thật Kiểu cơng SYN flood hacker áp dụng để công hệ thống mạng có băng thơng lớn hệ thống hacker Client sends SYN segment to Server Server returns ACK and its own SYN Client Client returns SYN to server Instead of a ACK Server Kiểu công Land Attack Kiểu công Land Attack tương tự SYN flood, hacker sử dụng IP mục tiêu cần công để dùng làm địa IP nguồn gói tin, đẩy mục tiêu vào vịng lặp vơ tận cố gắng thiết lập kết nối với Kiểu cơng UDP flood Hacker gửi gói tin UDP echo với địa IP nguồn cổng loopback mục tiêu cần cơng máy tính mạng Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi nhận gói tin echo máy tính (hoặc mục tiêu với mục tiêu có cấu hình cổng loopback), khiến cho máy tính sử dụng hết băng thông chúng, cản trở hoạt động chia sẻ tài nguyên mạng máy tính khác mạng Tấn công kiểu DDoS (Distributed Denial of Service) Đây cách thức công nguy hiểm Hacker xâm nhập vào hệ thống máy tính, cài đặt chương trình điều khiển từ xa, kích hoạt đồng thời chương trình vào thời điểm để đồng loạt công vào mục tiêu Với DDoS, hacker huy động tới trăm chí hàng ngàn máy tính tham gia công thời điểm (tùy vào chuẩn bị trước hacker) “ngốn” hết băng thông mục tiêu nháy mắt Kiểu công Smurf Attack Kẻ công lợi dụng nguồn tài nguyên mà nạn nhân cần sử dụng để cơng Những kẻ cơng thay đổi liệu tự chép liệu mà nạn nhân cần nên nhiều lần, làm CPU bị tải trình xử lý liệu bị đình trệ Kiểu công cần hệ thống quan trọng, mạng khuyếch đại Hacker dùng địa máy tính cần cơng cách gửi gói tin ICMP echo cho tồn mạng (broadcast) Các máy tính mạng đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn cơng Kết máy tính khơng thể xử lý kịp thời lượng lớn thông tin dẫn tới bị treo máy Tấn công kiểu Tear Drop Trong mạng chuyển mạch gói, liệu chia thành nhiều gói tin nhỏ, gói tin có giá trị offset riêng truyền theo nhiều đường khác để tới đích Tại đích, nhờ vào giá trị offset gói tin mà liệu lại kết hợp ban đầu Lợi dụng diều này, hacker tạo nhiều gói tin có giá trị offset trùng lặo gửi đến mục tiêu muốn cơng Kết máy tính đích khơng thể xếp gói tin dẫn tới bị treo máy bị “vắt kiệt” khả xử lý ... chương sau ta xây dựng hệ thống phát bất thường dựa tập luật (Rule-based Detection) với phần mềm phát xâm nhập Snort 39 CHƯƠNG XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP BẤT THƯỜNG VỚI PHẦN MỀM Snort 3.1... 3: Xây dựng hệ thống phát xâm nhập với Snort cho hệ thống thông tin Đưa cách xây dụng tập luật ứng dụng để phát xâm nhập trái phép Cuối kết luận hướng nghiên cứu đề tài CHƯƠNG TỔNG QUAN VỀ HỆ THỐNG... Đặc biệt, hệ thống hệ thống xung yếu đất nước hệ thống phủ, hệ thống ngân hàng, hệ thống viễn thông, hệ thống thương mại điện tử thiệt hại uy tín, kinh tế lớn Trong bối cảnh đó, việc phát triển

Ngày đăng: 23/06/2021, 13:33

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w