-1- MỞ DẦU Internet đời thực cách mạng vĩ đại công nghệ, internet không kết nối hàng tỉ ngƣời giới lại với nhau, mà thƣ viện bách khoa khổng lồ nhân loại Giờ tìm thơng tin internet vài từ khóa Tuy nhiên song song với thuận lợi đó, phải đối mặt với nhiều thách thức, thách thức virus, cơng, xâm nhập, … Do kỹ thuật phát công, xâm nhập ngày đƣợc quan tâm trọng phát triển Thực tế, có nhiều phƣơng pháp cách để tăng cƣờng tính bảo mật an tồn thơng tin cho hệ thống mạng, phải kể đến việc triển khai Firewall, đồng thời kết hợp với chƣơng trình diệt virus, trojan, Và thành phần tác giả muốn đề cập đến hệ thống phát xâm nhập (IDS) sử dụng công nghệ phát công, xâm nhập Tuy đời chƣa lâu nhƣng giúp cho việc xử lí tốn công nghệ thông tin Phƣơng pháp đƣợc áp dụng luận văn ứng dụng đồ tự tổ chức-Self Organizing Map (SOM) phát công, xâm nhập dựa vào hành vi Phƣơng pháp có khả phát công, xâm nhập, virus,… thông qua hành vi biết trƣớc Chúng khơng loại trừ phƣơng pháp nhận dạng công dựa vào mẫu công biết truyền thống, mà thêm vào kênh hữu ích cho ngƣời quản trị mạng biết đƣợc công bất thƣờng diễn hệ thống mạng Luận văn xây dựng triển khai với phần nhƣ: bắt gói liệu mạng xây dựng gán thông số đặc trƣng, huấn luyện liệu, dị tìm cơng online va offline Mặc dù có nhiều cố gắng nhƣng khơng tránh khỏi luận văn cịn nhiều thiếu sót hạn chế nhiều yếu tố nhƣ: thời gian, kỷ thuật, tài chính… Hy vọng thời gian tới tác giả có nhiều thời gian để phát triển thêm luận văn Rất mong góp ý q Thầy anh chị đồng nghiệp -2- CHƢƠNG 1: TỔNG QUAN  Nội dung chương 1: Trình bày tổng quan “Hệ thống phát xâm nhập”, phân loại IDS, giới thiệu ưu điểm nhược điểm loại IDS Đồng thời, chương nêu lên mục đích, nội dung đóng góp đề tài 1.1 Giới thiệu Với phát triển nhanh chóng internet, tính đến tháng 01/2011 giới có tỷ ngƣời sử dụng internet, Việt Nam có 27 triệu ngƣời dùng internet (31,7% dân số); nhiều công cụ hƣớng dẫn cơng, xâm nhập hệ thống mạng máy tính có sẵn internet dễ sử dụng Bên cạnh sâu máy tính, virus, spyware, trojan horse,… với tốc độ xuất ngày nhanh Những vấn đề làm cho an toàn hệ thống mạng đƣợc quan tâm hết Trong đó, phát công xâm nhập đƣợc trọng nghiên cứu nhiều từ nhà khoa học, an ninh mạng, điển hình Hội nghị quốc tế RAID (Recent Advances in Intrusion Detection) phát công xâm nhập năm tổ chức đặn, lần thứ 14 diễn Menlo Park, California, USA vào tháng 09-2011 [13] Hình 1.1: Số Web Server bi cơng từ năm 2003 đến 2011 Ngày công ty phải đối mặt với nhiều vấn đề bảo mật công ngày tinh vi Những nguy hiểm từ bên ngồi hay từ nhân viên cơng ty Các cơng ty phải có biện pháp bảo vệ tồn vẹn, tính -3- bảo mật, tính sẵn sàng liệu hệ thống, phải xây dựng kết nối tới hệ thống chi nhánh Việc phát công hay xâm nhập dựa vào hành vi “bất thƣờng” hoạt động máy chủ Web hƣớng nghiên cứu đƣợc nhiều chuyên gia quan tâm Cách thức phân biệt hoạt động “bình thƣờng” hay “bất thƣờng” phức tạp Các nhà nghiên cứu áp dụng nhiều thuật tốn khác lĩnh vực “Trí tuệ nhân tạo” nhƣ: Mơ hình Markov ẩn, Nạve Bayesian, thuật tốn di truyền… để giải số khía cạnh tốn trên: lọc thƣ điện tử spam, dị tìm spyware, trojan Đề tài đề xuất hƣớng nghiên cứu: ứng dụng thuật toán Bản đồ tự tổ chức – Self Organizing Map (SOM) để phát công Máy chủ Web thông qua hành vi biết 1.2 Hệ thống phát xâm nhập IDS (Intrusion Detecsion Systems) Hệ thống phát xâm nhập IDS hệ thống giám sát lƣu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị Ngoài IDS đảm nhận việc phản ứng lại với lƣu thơng bất thƣờng hay có hại cách hành động đƣợc thiết lập trƣớc nhƣ khóa tài khoản ngƣời dùng hay địa IP nguồn truy cập hệ thống mạng, … IDS phân biệt công từ bên (từ ngƣời công ty) hay công từ bên (từ hacker) IDS phát dựa dấu hiệu hành vi đặc biệt nguy công, xâm nhập biết (giống nhƣ cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lƣu thông mạng với thông số đo đạc chuẩn hệ thống (baseline ) để tìm dấu hiệu khác thƣờng Ngồi cịn có hệ thống phịng chống xâm nhập IPS (Intrusion Prevention System) kỹ thuật an ninh mới, kết hợp ƣu điểm kỹ thuật tƣờng lửa -4- với hệ thống phát xâm nhập IDS Hệ thống IPS có khả phát cơng tự động ngăn chặn cơng Hình 1.2: Mơ hình hoạt động hệ thống IDS 1.3 Phân loại IDS Tùy vào việc quan sát nơi đặt mà IDS đƣợc phân thành loại khác nhau: 1.3.1 Hệ thống phát xâm nhập mạng - Network based IDS (NIDS ) Hệ thống phân tích tải mạng để so sánh liệu với sở liệu biết dấu hiệu công vào hệ điều hành ứng dụng Khi phát dấu hiệu “bất thƣờng”, NIDS phản ứng lại cách ghi trạng, cảnh báo nhà quản trị, chấm dứt phiên làm việc (session) đƣa vào tƣờng lửa * Ƣu điểm: o Quan sát đƣợc trao đổi, kết nối mạng… o Quản lý đƣợc network segment (gồm nhiều host) o Cài đặt bảo trì đơn giản, khơng ảnh hƣởng tới mạng o Tránh DoS ảnh hƣởng tới host o Có khả xác định lỗi tầng Network (trong mơ hình OSI) * Nhƣợc điểm: o Khó quan sát đƣợc nội dung gói liệu mạng đƣợc mã hóa -5- o Có thể xảy trƣờng hợp báo động giả (false positive), tức khơng có cơng xâm nhập mà NIDS báo có cơng xâm nhập o NIDS địi hỏi phải đƣợc cập nhật signature để thực an toàn 1.3.2 Hệ thống phát xâm nhập máy chủ – Host based IDS (HIDS) Hệ thống phân tích nhật kí hệ điều hành ứng dụng hệ thống Sau đó, so sánh kiện với sở liệu “bất thƣờng” biết Hệ thống xem xét nhật kí hệ điều hành, nhật kí truy nhập, nhật kí ứng dụng, nhƣ sách ứng dụng ngƣời dùng định nghĩa Nếu hệ thống thấy có vi phạm, phản ứng cách ghi lại hành động đó, cảnh báo cho nhà quản trị số trƣờng hợp ngừng hành động Ƣu điểm: o Quan sát đƣợc thực diễn máy tính o Có khả xác định user liên quan tới kiện o Có thể phân tích liệu mã hố o Cung cấp thơng tin host lúc công diễn host Nhƣợc điểm: o Không biết đƣợc trạng thái hoạt động toàn mạng o HIDS phải đƣợc thiết lập host cần giám sát o HIDS khơng có khả phát dò quét mạng (Nmap, Netcat…) o HIDS cần tài nguyên host để hoạt động o HIDS khơng hiệu bị DoS Tùy theo phƣơng pháp phát công, xâm nhập mà phân hai loại Host-based IDS Network-based IDS loại nhỏ Phƣơng pháp truyền -6- thống phát công, xâm nhập dựa việc lƣu lại mẫu biết công, chúng so sánh đặc trƣng kết nối mạng với mẫu công để phát công xâm nhập 1.4 Cơ chế hoạt động IDS Có hai cách tiếp cận việc phát phòng chống xâm nhập là: phát lạm dụng (Misuse Detection) phát bất thƣờng (Anomaly Detection) Misuse Detection: hệ thống phát cơng xâm nhập tìm kiếm hành động tƣơng ứng với kỹ thuật công xâm nhập đƣợc biết đến dựa dấu hiệu (Signatures) điểm dễ bị công hệ thống Anomaly Detection: hệ thống phát công xâm nhập cách tìm kiếm cách hành động khác với hành vi thông thƣờng ngƣời dùng hệ thống Hình 1.3: Sự khác Misuse Detection Anomaly Detection 1.4.1 Misuse based IDS - Hệ thống phát xâm nhập theo dấu hiệu cho trƣớc Hệ thống phát kẻ xâm nhập cố gắng đột nhập vào hệ thống mà sử dụng số kỹ thuật biết Nó liên quan đến việc mơ tả đặc điểm -7- cách thức xâm nhập vào hệ thống đƣợc biết đến, cách thức đƣợc mô tả nhƣ mẫu Hệ thống thực kiểm soát mẫu rõ ràng Mẫu bit cố định, tiến trình,… dùng để mơ tả tập hay chuỗi hành động nghi ngờ Hệ thống liên tục so sánh hành động hệ thống với tập kịch xâm nhập biết để cố gắng dò kịch tiến hành Hệ thống xem xét hành động hệ thống đƣợc bảo vệ thời gian thực ghi kiểm tra đƣợc ghi lại hệ điều hành Ƣu điểm: o Dễ triển khai o Cho phản hồi xác cảnh báo o Yêu cầu tài nguyên tính tốn Nhƣợc điểm: o Mơ tả cơng thƣờng mức độ thấp, khó hiểu o Mỗi cơng hay biến thể cần thêm dấu hiệu đƣa vào sở liệu, nên kích cỡ trở nên lớn o Dấu hiệu cụ thể tạo cảnh báo nhầm, nhƣng khó phát biến thể 1.4.2 Anomaly based IDS - Hệ thống phát xâm nhập bất thƣờng Hệ thống dựa định nghĩa mô tả đặc điểm hành vi chấp nhận hệ thống để phân biệt chúng với hành vi không mong muốn hay bất thƣờng nhằm tìm hành vi bất hợp pháp Nhƣ vậy, hệ thống phát xâm nhập bất thƣờng phải có khả phân biệt tƣợng “bình thƣờng” tƣợng “bất thƣờng” Ƣu điểm: Có khả nhận biết dạng công xâm nhập chƣa biết -8- Nhƣợc điểm: Thƣờng sinh nhiều cảnh báo sai định nghĩa chung công 1.5 Hành động IDS Sau hệ IDS phát cơng xâm nhập có hai hành động sau đây:  Gởi tín hiệu đến firewall để ngăn chặn cơng, gởi tín hiệu đến switch để chuyển port nơi phát sinh công vào VLAN riêng để xử lý Trƣờng hợp gọi hệ thống phát ngăn chặn xâm nhập (IPS)  Chỉ đƣa cảnh báo cho ngƣời quản trị mạng xử lý 1.6 Nhu cầu thực tế Việc so sánh phát hành vi “bất thƣờng” khó, kiểu cơng có khả giả mạo hành động hợp pháp mà khơng bị phát Do đó, việc nghiên cứu triển khai hệ thống IDS phát xâm nhập với yếu tố: “thực nhanh, đƣa cảnh báo xác, giá thành hợp lí” vấn đề cấp thiết nghiên cứu nhƣ yêu cầu ứng dụng thực tế 1.7 Mục tiêu luận văn Luận văn tập trung nghiên cứu số vấn đề sau:  Nghiên cứu hệ thống phát xâm nhập IDS  Tìm hiểu máy chủ web môi trƣờng Linux Đồng thời, nghiên cứu cách cơng phổ biến máy chủ web  Tìm hiểu số phần mềm công Web Server phổ biến  Khảo sát, phân tích thuật tốn “Bản đồ tự tổ chức”  Nghiên cứu cài đặt cách lấy tham số đặc trƣng máy chủ Web hệ thống mạng Qua đó, đề xuất tham số đặc trƣng cho hệ thống máy chủ Web -9-  Xây dựng dấu hiệu bất thƣờng cơng qua thực nghiệm, sau rút trích thông tin qua “bản đồ tự tổ chức SOM” cảnh báo cơng có bất thƣờng giống nhƣ bất thƣờng đƣợc học 1.8 Ý tƣởng thực  Xây dựng web server  Xác định tham số liên quan tới hệ thống máy chủ Web cần bảo vệ Cách thức lấy thông tin liên quan tới tham số xác định  Xây dựng hệ thống mạng để làm Lab, giả lập công  Xác định phần mềm sinh công thử nghiệm  Triển khai công giả lập ghi nhận thông tin, kết hệ thống vector để học  Sử dụng chƣơng trình SOM + vector học + nơron sinh ngẫu nhiên để đƣợc nơron sau học  Tấn công thử nghiệm lại ghi nhận kết cảnh báo Qua hiệu chỉnh bán kính IDS cho phù hợp  Bình luận, đánh giá kết IDS 1.9 Nội dung luận văn Chƣơng 1: Tổng quan Trình bày tổng quan “Hệ thống phát xâm nhập”, phân loại IDS, giới thiệu ưu điểm nhược điểm loại IDS Đồng thời, chương nêu lên mục đích, nội dung đề tài Chƣơng 2: Máy chủ Web Trình bày tổng quan máy chủ Web Giới thiệu số lỗ hổng phổ biến máy chủ Web Các kỹ thuật phát cơng, xâm nhập Đồng thời chương trình bày kỹ thuật công, xâm nhập - 10 - Chƣơng 3: Thuật toán đồ tự chức - Self Organizing Map (SOM) Trình bày tổng quan kiến trúc thuật toán đồ tự tổ chức Chƣơng 4: Xây dựng đặc trƣng Trình bày cách thức lấy thông tin hệ thống máy chủ Web Đề xuất tham số đặc trưng Phương pháp xây dựng, chuẩn hóa, gán trọng số đặc trưng Chƣơng 5: Thiết kế, cài đặt thực nghiệm đánh giá chƣơng trình Trình bày tổng quan mơ hình chương trình chạy giám sát máy chủ Web Phân tích hệ thống đề xuất, thử nghiệm chương trình IDS với công biết Chƣơng 6: Kết luận hƣớng phát triển ... cứu: ứng dụng thuật toán Bản đồ tự tổ chức – Self Organizing Map (SOM) để phát công Máy chủ Web thông qua hành vi biết 1.2 Hệ thống phát xâm nhập IDS (Intrusion Detecsion Systems) Hệ thống phát. .. đƣợc kiểm tra trƣớc đƣợc sử dụng ứng dụng Web Tin tặc tận dụng lỗi nhằm cơng lớp ứng dụng phía sau thông qua ứng dụng Web Ứng dụng Web sử dụng liệu đầu vào truy cập HTTP nhằm xác định kết phản hồi... toán 2.1.4 Dịch vụ web Dịch vụ Web (Web Service): phƣơng thức tích hợp ứng dụng Web Mỗi ứng dụng Web sử dụng thành phần khác để tạo thành dịch vụ Web Ví dụ nhƣ máy chủ chạy trang Web thƣơng mại điện