CHƢƠNG 5: THIẾT KẾ, CÀI ĐẶT THỰC NGHIỆM VÀ ĐÁNH GIÁ CHƢƠNG TRÌNH
5.9.5. Thực nghiệm lại Lab tấn cơng giả lập.
Sau khi huấn luyện xong bản đồ SOM ta cho chƣơng trình IDS chạy giám sát hệ thống máy chủ Web và thực hiện lại tấn cơng xâm nhập xem chƣơng trình IDS cĩ nhận biết đƣợc tấn cơng xâm nhập và phát cảnh báo khơng.
Khởi động chƣơng trình XAMPP trên máy chủ web.
Hình 5.16: Khởi động XAMPP
Mở website và truy cập website www.abc.com trên máy chủ web để kiểm tra chƣơng trình Xampp đƣợc khởi động chƣa.
Hình 5.17: Website www.abc.com trên máy chủ web
Các máy trạm thực hiện truy cập website www.abc.com trên máy chủ web.
Hình 5.18: Máy trạm truy cập website www.abc.com trên máy chủ web
Các máy trạm thực hiện ping website www.abc.com để xem địa chỉ IP của Web Server.
Hình 5.19: Máy trạm ping website www.abc.com trên máy chủ web
Chạy chƣơng trình cảnh báo tấn cơng. Chƣơng trình IDS sẽ chạy giám sát hệ thống máy chủ Web và đƣa ra cảnh báo tấn cơng xâm nhập sau mỗi 5 giây.
Hình 5.20: Chạy chương trình cảnh báo tấn cơng
Các máy trạm thực hiện tấn cơng vào máy chủ web.
Kịch bản 1:
Các máy trạm dùng chƣơng trình Acunetix Web Vulnekibility Scaner (AWVS) tiến hành scan các lỗ hổng và tấn cơng các lỗ hổng của website
Hình 5.21: Màn hình scan của phần mềm AWVS trên máy trạm
Quan sát chƣơng trình scan từ các máy trạm để xem các lỗ hổng của website. Tiếp theo ta xem chƣơng trình chạy giám sát hệ thống máy chủ Web cĩ phát ra cảnh báo tấn cơng xâm nhập khơng.
Dựa theo cơng thức đánh giá chƣơng trình IDS ở mục 3.9 chƣơng 3 trang 47, tác giả tính các giá trị: độ chính xác (accuracy), độ đo truy hồi (recall), độ rõ ràng (precision) của chƣơng trình IDS và thu đƣợc bảng thống kê kết quả sau:
Số lần giám
sát
TN TP FN FP Accuracy Recall Precision
Số máy attack 10 10 8 2 0 90% 80% 100% 1 10 10 10 0 0 100% 100% 100% 2 10 10 10 0 0 100% 100% 100% 3 Nhận xét:
Chƣơng trình phát cảnh báo chính xác trên 96%, độ truy hồi trên 93% và độ rõ ràng là 100%, nhƣng cĩ 2 trƣờng hợp chƣơng trình khơng phát cảnh báo khi cĩ tấn cơng, do 2 lần tấn cơng này chƣa đạt tới ngƣỡng cảnh báo và trong 2 lần này máy chủ Web vẫn hoạt động bình thƣờng.
Kết luận: chƣơng trình cho cảnh báo tốt.
Kịch bản 2:
Các máy trạm sử dụng phần mềm N-Staker Web Application Security Scanner (NWASS) để thực hiện scan các lỗ hổng của website www.abc.com.
Hình 5.23: Màn hình scan của phần mềm NWASS trên máy trạm
Sau khi các máy trạm sử dụng phần mềm NWASS để scan máy chủ Web, ta quan sat màn hình scan của máy trạm để xem thống kê các lỗi ứng dụng bảo mật và lỗi XSS trên máy chủ Web.
Tiếp theo ta quan sat màn hình chạy giám sát máy cảnh báo tấn cơng hệ thống máy chủ Web xem cĩ thơng báo tấn cơng xâm nhập khơng.
Bảng thống kê kết quả thu đƣợc. Số lần
giám sát
TN TP FN FP Accuracy Recall Precision
Số máy attack 10 10 9 1 0 95% 90% 100% 1 10 10 10 0 0 100% 100% 100% 2 10 10 10 0 0 100% 100% 100% 3 Nhận xét:
Chƣơng trình phát cảnh báo khá chính xác trên 98%, độ truy hồi trên 96% và độ rõ ràng 100%, nhƣng cĩ 1 trƣờng hợp chƣơng trình khơng phát cảnh báo khi cĩ tấn cơng do tấn cơng chƣa đạt tới ngƣỡng cảnh báo và trong trƣờng hợp máy chủ Web vẫn hoạt động bình thƣờng nên chấp nhận đƣợc.
Kết luận: chƣơng trình cho cảnh báo tấn cơng tốt.
Kịch bản 3:
Các máy trạm sử dụng chƣơng trình Donut HTTP Flooder để tấn cơng vào Website của máy chủ Web qua cơng 80 và số tiến trình chạy tấn cơng là 100 tiến trình (cĩ thể sử dụng hoặc khơng sử dụng danh sách Proxy).
Sau khi dùng phần mềm tấn cơng Website trên máy chủ Web ta quan sát chƣơng trình chạy giám sát hệ thống xem cĩ thơng báo tấn cơng xâm nhập khơng.
Hình 5.26: Màn hình cảnh báo tấn cơng xâm nhập
Bảng thống kê kết quả thu đƣợc trong quá trình thực nghiệm. Số lần
giám sát
TN TP FN FP Accuracy Recall Precision
Số máy attack 10 10 10 0 0 100% 100% 100% 1 10 10 10 0 0 100% 100% 100% 2 10 10 10 0 0 100% 100% 100% 3 Nhận xét:
Chƣơng trình phát cảnh báo chính xác 100%, độ truy hồi 100% và độ rõ ràng 100%.
Kịch bản 4:
Các máy trạm dùng cùng lúc nhiều phần mềm khác nhau để scan và tấn cơng máy chủ Web. Sau đĩ quan sát chƣơng trình chạy giám sát hệ thống máy chủ Web xem cĩ thơng báo tấn cơng xâm nhập khơng, tác giả nhận đƣợc kết quả là chƣơng trình thơng báo cĩ tấn cơng xâm nhập hệ thống máy chủ Web.
Bảng kết quả thu đƣợc trong quá trình thực nghiệm.
Số lần giám
sát
TN TP FN FP Accuracy Recall Precision
Phần mềm thực hiện tấn cơng 10 10 8 2 0 90% 80% 100% AWVS 10 10 9 1 0 95% 90% 100% NWASS 10 10 10 0 0 100% 100% 100% Kết hợp 2 phần mềm trên 10 10 10 0 0 100% 100% 100% Donut HTTP Flooder 10 10 8 2 0 90% 80% 100% Hijacking 10 10 9 1 0 95% 90% 100% Brutus 10 10 6 4 0 80% 60% 100% SQLDict 10 10 10 0 0 100% 100% 100% Sử dùng nhiều phần mềm Nhận xét:
Khi sử dụng nhiều phần mềm khác nhau để thực hiện tấn cơng xâm nhập vào máy chủ Web thì chƣơng trình phát cảnh báo khá chính xác trên 93%, độ truy hồi trên 88% và độ rõ ràng 100%, tuy nhiên cĩ một vài trƣờng hợp chƣơng trình khơng phát cảnh báo khi cĩ tấn cơng do tấn cơng chƣa đạt tới ngƣỡng cảnh báo và trong trƣờng hợp máy chủ Web vẫn hoạt động bình thƣờng nên chấp nhận đƣợc.