Trong luận văn, dữ liệu nhật ký web chứa thông tin của 1 tuần từ ngày 4 tháng 11 năm 2018 đến ngày 11 tháng 11 năm 2018. Dữ liệu được thu thập từ máy chủ web của công ty VCCorp. Sau đây là một số kết quả thử nghiệm phát hiện bất
* Hoạt động chung (General Activity)
Thống kê hoạt động chung của trang web được hiển thị trong bảng 3.1. Kết quả thống kê chung cho thấy có 8,843,251 lượt truy cập, 8,618,495 khách truy cập, có 1,393,931 lượt xem trang, 70,339 yêu cầu không thành công…
Bảng 3.1. Thống kê hoạt động chung của việc sử dụng trang web
Summary Hits Total Hits 8,843,251 Visitor Hits 8,618,495 Spider Hits 224,756 Failed Requests 70,339 Page Views
Total Page Views 1,393,931
Visitors Total Visitors 74,215 Bandwidth Total Bandwidth 724.26 GB Visitor Bandwidth 663.64 GB Spider Bandwidth 60.61 GB
view full report
Bảng hiển thị thông tin các phần: Số lần truy cập, lượt xem trang, khách truy cập và băng thông…
* Thống kê hoạt động (Activity Statistics)
Thống kê hoạt động cho thấy hoạt động hàng ngày và hàng giờ của nhật ký tập tin. Nếu tệp nhật ký chứa dữ liệu liên quan đến khoảng thời gian hai tháng thì công cụ này cũng sẽ hiển thị hoạt động hàng tuần và hàng tháng của khách truy cập.
Bảng 3.2 cho thấy tổng số lượt truy cập 8,843,251; lượt xem trang 1,393,931; khách truy cập 74,215, thời lượng truy cập trung bình 04:39 và băng thông 759,437,978 kilobyte.
Bảng 3.2. Thống kê hoạt động hàng ngày của việc sử dụng trang web
Date Hits Page Views Visitors Average Visit Length Bandwidth (KB)
Sun 11/4/2018 810,494 150,002 6,210 05:09 69,283,739 Mon 11/5/2018 821,508 136,201 7,145 04:50 68,496,224 Tue 11/6/2018 792,994 121,360 6,974 04:24 65,835,771 Wed 11/7/2018 822,261 129,711 7,230 04:11 68,906,463 Thu 11/8/2018 870,251 126,924 7,588 04:45 73,914,218 Fri 11/9/2018 846,169 129,687 7,136 04:27 69,664,127 Sat 11/10/2018 870,747 138,839 7,230 04:39 70,950,083 Sun 11/11/2018 929,948 146,888 7,331 05:03 82,008,347 Mon 11/12/2018 855,378 118,829 7,018 04:46 78,468,119 Tue 11/13/2018 865,730 138,150 7,381 04:21 77,058,503 Wed 11/14/2018 357,771 57,340 2,972 04:26 34,852,380 Total 8,843,251 1,393,931 74,215 04:39 759,437,978
Hình 3.16. Các truy cập vào Web theo ngày trong tuần
Hình 3.16 thể hiện lưu lượng truy cập vào các trang web là không đồng đều, có sự đột biến cao trong các ngày cuối tuần. Từ đó ta có thể khoanh vùng, đưa ra những kiểm tra cụ thể trong các ngày đột biến: Các trang web truy cập trong ngày, thời gian truy cập…
Hình 3.17. Các hành vi truy nhập thống kê theo giờ trong ngày
Bảng 3.3 hiển thị tổng số lượt truy cập 8,843,251; lượt xem trang 1,393,931; khách truy cập74,215 và băng thông 759,437,978KB.
Bảng 3.3. Thống kê hoạt động theo giờ trong ngày
Hour Hits Page Views Visitors Bandwidth (KB)
00:00 - 00:59 227,253 47,515 1,672 22,276,068 01:00 - 01:59 140,680 36,099 1,081 16,378,963 02:00 - 02:59 112,910 41,894 828 14,917,631 03:00 - 03:59 92,103 38,119 636 13,589,387 04:00 - 04:59 99,830 36,744 787 14,096,825 05:00 - 05:59 145,783 41,138 1,334 17,086,153 06:00 - 06:59 216,313 51,315 1,898 22,584,196 07:00 - 07:59 299,226 48,086 2,883 27,007,222 08:00 - 08:59 422,638 56,822 3,903 35,338,257 09:00 - 09:59 478,716 58,921 4,406 38,750,847 10:00 - 10:59 511,355 74,270 4,466 41,880,138 11:00 - 11:59 470,061 64,445 4,028 38,966,118 12:00 - 12:59 417,520 55,088 3,741 35,407,668 13:00 - 13:59 422,666 65,537 3,700 34,746,103 14:00 - 14:59 416,861 71,745 3,642 35,172,915 15:00 - 15:59 437,768 62,348 3,838 35,917,491 16:00 - 16:59 422,186 49,025 3,913 34,722,392 17:00 - 17:59 425,880 58,603 3,604 34,675,685 18:00 - 18:59 484,828 69,325 3,844 39,061,101 19:00 - 19:59 537,749 73,164 4,293 42,194,114 20:00 - 20:59 637,435 78,434 4,866 48,050,784 21:00 - 21:59 617,940 83,837 4,748 47,502,267 22:00 - 22:59 486,126 80,370 3,548 40,233,761 23:00 - 23:59 319,424 51,087 2,556 28,881,880 Total 8,843,251 1,393,931 74,215 759,437,978
* Hoạt động truy cập (Access Activity)
Hoạt động truy cập cung cấp thông tin phổ biến nhất các trang, tệp được tải xuống nhiều nhất và hầu hết các hình ảnh được yêu cầu.
Hình 3.18 mô tả các truy cập vào Web theo từng ngày, trong đó đường minh họa màu xanh nước biển có lưu lượng truy nhập PhP có độ tăng đột biến thể hiện một tấn công Web.
Hình 3.19. Các trang phổ biến nhất
Biểu đồ trên thể hiện rõ truy nhập bất thường vào trang phpmyadmin/index
Bảng 3.4. Các trang phổ biến nhất
Page Hits Incomplete Requests Visitors Bandwidth (KB)
1 https://vccorp.vn/phpmyadmin/ index.php 262,890 262,815 262,815 6,701,276 2 https://vccorp.vn/ 276 276 276 4,899,084 3 https://vccorp.vn/wp-cron.php 1,357 1,357 1,357 228,723 4 https://vccorp.vn/mod_pagespeed_beacon/ 184 184 184 413,581 5 https://vccorp.vn/wp-content/ plugins/onesignal-free-web-push- notifications/ sdk_files/manifest.json.php 169 169 169 1,306,753 6 https://vccorp.vn/cac-phuong-phap-dat- cam-co-dau.html 416 416 416 2,733,411 7 https://vccorp.vn/mua/ dau-phat-sieu-lam- sach-ultrasonic-transducer/ 546 546 546 96,362 8 https://vccorp.vn/mua/ vong-lap-xec-mang- piston-jtc-1736/ 223 223 223 3,46,968 9 https://vccorp.vn/wp-content/ plugins/onesignal-free-web-push- notifications/ 323 323 323 3,02,069 10 https://vccorp.vn/thanh-toan/ 238 238 238 2,41,689 11 https://vccorp.vn/mua/ bo+-kha+u-thao- mm/ 263 263 263 1,97,703 12 https://vccorp.vn/gio-hang/ 436 436 436 1,47,171 13 https://vccorp.vn/cach-dat-cam-khong-dau- tren-dong-co-oto .html 213 213 213 1,85,769 14 https://vccorp.vn/mua/ bo-dong-ho-ap- suat-buong-dot-dong-co/ 293 293 293 2,88,647 15 https://vccorp.vn/mua/ dau-ep-gia-nhiet-/ 461 461 461 60,444 16 https://vccorp.vn/mua/ cao-su-non-va-lop/ 231 231 231 50,388
Khi thống kê theo các trang web có lưu lượng truy cập nhiều nhất Weblog Expert cho phép ta nhìn thấy được số lượng truy cập bất thường, đường dẫn đầy đủ của trang web truy cập.
* Khách truy cập (Visitors)
Bảng 3.5. Bảng thống kê lượng khách truy cập theo địa chỉ IP
Host Country Hits Visitors Bandwidth (KB)
1 185.224.248.171 Russian Federation 292 245 101,735 2 193.201.225.12 Ukraine 350 175 679 5 45.58.127.226 United States 563 148 45,050 9 66.249.82.112 United States 1,360 112 385 10 66.249.82.116 United States 1,344 109 381 11 66.249.82.114 United States 1,397 104 394 12 185.244.25.218 Netherlands 133 103 46,338 13 94.177.228.31 Germany 156 82 54,351 14 52.200.221.20 United States 81 80 13,971 15 203.113.152.5 Vietnam 188 74 83,611 16 203.113.152.3 Vietnam 159 74 71,285 17 203.113.152.4 Vietnam 183 72 82,860 18 203.113.152.6 Vietnam 154 71 69,605 19 80.211.107.172 Italy 170 70 58,880 20 185.244.25.154 Netherlands 83 70 28,917 Subtotal 383,593 3,831 36,689,987 Total 8,618,495 74,215 695,880,416 Show items: Page 1 of 812
Thống kê theo địa chỉ IP cho phép nhà quản trị khoanh vùng được địa điểm truy cập. Từ đó có thể phát hiện được lãnh thổ truy cập: Truy cập bắt nguồn từ nước nào, nhà mạng nào…
* Liên kết giới thiệu (Referrer)
Hình 3.20 cho thấy các công cụ tìm kiếm được sử dụng để tìm trang web. Ở đây google được sử dụng nhiều nhất trong số các tìm kiếm khác.
Hình 3.20. Công cụ tìm kiếm đã sử dụng
* Trình duyệt (Browsers)
Giai đoạn phân tích này cung cấp thông tin về trình duyệt và hệ điều hành được khách truy cập của trang web sử dụng. Hình 3.21 cho thấy các trình duyệt được sử dụng để truy cập trang web này.
Hình 3.21. Các trình duyệt sử dụng nhiều nhất
Đôi khi các trang web, hình ảnh có thể không xuất hiện, các menu có thể không phù hợp và văn bản có thể được lộn xộn với nhau. Điều này có thể do vấn đề tương thích giữa trình duyệt và trang web. Thông tin được cung cấp bởi công cụ phân tích sẽ hiển thị trình duyệt và hệ điều hành hoạt động mà khách truy cập đang
sử dụng truy cập trang web. Vì vậy, các vấn đề tương thích có thể được giải quyết và trang web có thể được cập nhật.
* Thống kê các lỗi (Errors).
Hình 3.22 cho thấy 2 loại đã xảy ra lỗi trong khi truy cập trang web. Lỗi đầu tiên “404” xảy ra khi không tìm thấy liên kết và lỗi thứ hai 400 Bad Request thường được gây ra khi bạn nhập hoặc dán URL sai trong cửa sổ địa chỉ.
Hình 3.22. Các loại lỗi xảy ra
Từ thông tin này, các thay đổi bắt buộc sẽ được thực hiện đối với mã trang web, để tỷ lệ lỗi trong tương lai giảm.
* Kiểm tra filelog
Hình 3.23. File log phát hiện truy nhập bất thường
(ngày, giờ, địa chỉ IP…). Từ đó kiểm tra filelog có thể thấy rõ hơn địa chỉ IP, ngày giờ, lệnh truy cập…Hình 3.33 cho thấy truy cập lệnh:
"GET
/phpmyadmin/index.php?pma_username=root&pma_password=p@ssword1&serve r=1 HTTP/1.0" …
Đây là lệnh dự đoán tên đăng nhập và mật khẩu để thực hiện truy nhập bất thường. Từ đó đưa ra các phương án ngăn chặn kịp thời bất thường xảy ra. Nhà quản trị cần kiểm tra filelog hàng ngày. Đọc filelog chính là năng lực cần có của mỗi nhà quản trị webserver.
3.5.Kết luận chương
Trong chương 3, luận văn đã trình bày về một số kết quả thử nghiệm phân tích Weblog phát hiện truy nhập bất thường vào máy chủ Web tại Công ty VCCorp. Luận văn đã trình bày cụ thể một số đặc tả dữ liệu Weblog máy chủ ghi nhận được, trình bày tóm tắt về công cụ Weblog Expert dùng để thu thập, phân tích dấu hiệu Weblog. Tiếp đó, bài đã trình bày một số kết quả thử nghiệm.
KẾT LUẬN
Phân tích logfile, phát hiện các truy nhập bất thường vào máy chủ Web là một nhu cầu thực tế đặt ra giúp phán đoán nguy cơ xảy ra các cuộc tấn công vào máy chủ Web. Phát hiện truy cập bất thường là bước quan trọng để phát hiện ra tấn công vào máy chủ Web. Trên cơ sở đó thực hiện các bước tiếp theo trong việc đảm bảo an toàn dịch vụ Web, phát hiện các hành động xâm nhập trái phép, các tấn công vào máy chủ Web.
Ngày nay có nhiều biện pháp phát hiện truy cập bất thường dựa trên nguyên lý chung là xây dựng một tập dấu hiệu bình thường của hệ thống, tiếp đó thu thập các hành vi truy nhập vào máy chủ, so sánh với tập dấu hiệu bình thường đã lưu sẵn. Nếu có sự khác biệt có nghĩa là có hành vi truy nhập bất thường. Một khả năng khác để thu thập thông tin về các hành vi là sử dụng công cụ thu thập thông tin về máy chủ Web và thực hiện phân tích, phát hiện dấu hiệu truy nhập bất thường vào máy chủ Web. Điển hình là công cụ WLELite.
Mục đích của bài là nghiên cứu về vấn đề truy nhập bất thường vào máy chủ Web, các phương pháp thu thập dữ liệu Weblog và phân tích, phát hiện dấu hiệu bất thường.
Các kết quả nghiên cứu đạt được trong bài gồm:
- Nghiên cứu tổng quan về máy chủ web, logfile, truy cập bất thường.
- Nghiên cứu phương pháp phát hiện truy cập bất thường vào máy chủ web thông qua thu thập và phân tích Weblog.
- Ứng dụng thử nghiệm phần mềm WLELite trong việc thu thập, phân tích thông tin từ máy chủ web của VCCorp.
Hướng phát triển tiếp:
Luận văn là bài toán cơ sở để phát hiện dấu hiệu bất thường truy cập máy chủ web bất kì, các trung tâm dữ liệu. Kết quả thực hiện đề tài có ý nghĩa thiết thực khi được triển khai ứng dụng tại nhà cung cấp dịch vụ Hosting là VCCorp.
TÀI LIỆU THAM KHẢO
1. Tiếng việt
[1].Hoàng Đăng Hải (2014), Tài liệu môn An ninh mạng, Học viện Công nghệ Bưu chính Viễn thông, Hà Nội.
[2].Phạm Duy Lộc, Hoàng Xuân Dậu, Khảo sát các nền tảng và kỹ thuật xử lý Log truy cập dịch vụ mạng cho phát hiện nguy cơ mất an toàn thông tin, Tạp chí KH Đại học Đà Lạt, Tập 8, Số 2, 2018.
[3].Trịnh Nhật Tiến (2008), An toàn và an toàn thông tin, Nhà xuất bản quốc gia. [4].Võ Đỗ Thắng (2013), Tấn công và phòng thủ cho ứng dụng Web, Trung tâm An
ninh mạng Athena
[5].Nghị định Chính phủ, Quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng, số 72/2013/NĐ-CP.
[6].Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (2009), TCVN ISO/IEC 27001:2009, Bộ Thông tin và Truyền thông, Hà Nội.
2. Tiếng Anh
[7]. Christopher Kruegel, Giovanni Vigna. Anomaly Detection of Webbased Attacks. CCS '03 Proceedings of the 10th ACM conference on Computer and communications security. Pp. 251-261.
[8]. Hongxin Hu, Gail-Joon Ahn and Ketan Kulkarni. Anomaly Discovery and Resolution in Web Access Control Policies. SACMAT’11. Proceedings of the 16th ACM symposium on Access control models and technologies. Pp. 165-174. [9]. Juan M. Est_evez-Tapiador, Pedro Garc_ıa-Teodoro, Jes_us E. D_ıaz-
Verdejo. Measuring normality in HTTP traffic for anomaly-based intrusion detection. Computer Networks 45 (2004) 175–193.
[10].Juan M. Estévez-Tapiador. Pedro García-Teodoro. Jesús E. Díaz-Verdejo.
Detection of Web-based Attacks through Markovian Protocol Parsing. ISCC 2005. Proceedings. 10th IEEE Symposium on Computers and Communications, 2005.
[11].Sipola, Tuomo; Juvonen, Antti; Lehtonen, Joel. Anomaly detection from network logs using diffusion maps. Engineering Applications of Neural Networks (pp. 172-181). IFIP Advances in Information and Communication Technology (363).
[12].Shilin He, Jieming Zhu, Pinjia He, and Michael R. Lyu. Experience Report: System Log Analysis for Anomaly Detection. IEEE 27th International Symposium on Software Reliability Engineering (ISSRE), 2016.
[13].Shaimaa Ezzat Salama. Web Server Logs Preprocessing for Web Intrusion Detection. Computer and Information Science, Vol. 4, No. 4; July 2011. Pp. 123- 134.
[14].Yi Xie and Shun-Zheng Yu. Monitoring the Application-Layer DDoS Attacks
for Popular Websites. IEEE/ACM TRANSACTIONS ON NETWORKING,
VOL. 17, NO. 1, FEBRUARY 2009. Pp. 15-26
3. Website [15].https://www.weblogexpert.com/ [16].https://www.weblogexpert.com/lite.htm [17].https://www.weblogexpert.com/download.htm [18].https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project [19].https://research.ijcaonline.org/volume110/number4/pxc3900759.pdf [20].https://www.sans.org/reading-room/whitepapers/logging/detecting-attacks- web-applications-log-files2074. [21].https://vi.wikipedia.org/wiki/Hypertext_Transfer_Protocol [22].https://www.hostinger.vn/huong-dan/apache-la-gi-giai-thich-cho-nguoi-moi- bat-dau-hieu-ve-apache-web-server/#gref [23].https://securitydaily.net/tim-hieu-ve-internet-information-services-iis/ [24].https://blog-xtraffic.pep.vn/nginx-la-gi/ [25].https://vccorp.vn/