3. Thiết kế xây dựng mô hình hệ thống giám sát
3.3.3.Các cách thức hoat động của từng khối
Khối Sensor: Khối này hoạt động theo nguyên tắc đọc những dòng mới nhất được thêm vào trong hệ thống các log file của webserver theo thời gian thực để làm đầu vào cho khối Weblog analyzer phân tích.
Khối Weblog analyzer sẽ dựa vào bộ phân tích log (parser log) của hệ thống, qua đó xác định các thành phần sẽ được đưa vào cho qua trình phân tích và đưa ra cảnh báo.
Sau khi nhận được logfiles từ khối Weblog analyzer, khối ConfigLIDS sẽ dựa vào Module Perl được cài đặt trên hệ thống webserver để phân tích các thành phần của các URI trong các logfile để so sánh với các mẫu. Nguyên tắc chung của phép so sánh này là sử dụng các Regular Expressions (Regex). Các mẫu được viết dưới dạng các Regular Expressions mà Module Perl của hệ thống có thể hiểu và phân tích được.
SV: HỒ TRUNG DŨNG 60
Ví dụ:
Đoạn Regex sau sẽ phát hiện kiểu attack sql ịnection truyền thống như sử dụng các chuỗi 1'or'1'='1:
/((\%3D)|(=))[^\n]*((\%27)|(\')|(\ \ )|(\%3B)|(;))/i
Phát hiện một kiểu tấn công CSS <img src=>:
/((\%3C)|<)((\%2F)|\/)*[a‚z0‚9\%]+((\%3E)|>)/ix
Các URI có chứa các key có thể lợi dụng để tấn công: Ví dụ như Union:
/((\%27)|(\'))union/ix
Sau khi phát hiện các xâm nhập bất hợp pháp, Module Alert sẽ đưa ra cảnh báo bằng phương thức gửi email và lưu lại theo định dạng như một logfile.
Ví dụ:
Dec 22 13:50:53 myhost sshd[3604]: Did not receive identification string from 1.2.3.4
Dec 22 15:03:31 myhost sshd[4017]: User root from 1.2.3.4 not allowed because not listed in AllowUsers
Dec 22 15:03:31 myhost sshd[4018]: input_userauth_request: invalid user root Dec 22 15:03:31 myhost sshd[4018]: Failed password for invalid user root from 1.2.3.4 port 60651 ssh2
Dec 22 15:03:32 myhost sshd[4018]: Received disconnect from 1.2.3.4: 11: Bye Bye
Dec 22 15:03:37 myhost sshd[4019]: User root from 1.2.3.4 not allowed because not listed in AllowUsers
Dec 22 15:03:37 myhost sshd[4020]: input_userauth_request: invalid user root Dec 22 15:03:37 myhost sshd[4020]: Failed password for invalid user root from 1.2.3.4 port 60703 ssh2
Dec 22 15:03:38 myhost sshd[4020]: Received disconnect from 1.2.3.4: 11: Bye Bye Dec 22 15:03:48 myhost sshd[4023]: Connection closed by 1.2.3.4
Dec 22 15:03:44 myhost sshd[5437]: Connection closed by 1.2.3.4 Dec 22 15:05:49 myhost sshd[5513]: Connection closed by 1.2.3.4
Khối IPController sẽ trực tiếp xử lý các xâm nhập bất hợp pháp, cho các IP có các xâm nhập vào danh sách chặn (list banned) không được phép tiếp tục truy cập. Xác định xâm nhập có IP này sẽ bị block trong bao lâu sẽ do người quản trị xác định trước.