Hình 4.8: Các thơng số khác của nhật ký hệ thống
Bƣớc 3: Cập nhật các thiết bị hiện có của hệ thống
Thực hiện khai báo máy chủ vừa đƣợc thu thập nhật ký hệ thống vào phần các thiết bị hiện có của hệ thống để thuận tiện cho quá trình tạo luật.
Hình 4.9: Khai báo máy chủ vào phần Web Server
Bƣớc 4: Xác định các dấu hiện tấn công để đƣa vào tập luật
Trƣớc hết, trong trƣờng hợp này ngƣời quản trị sẽ tạo luật nhận dạng các tấn công Tiêm mã SQL sử dụng kỹ thuật UNION, SELECT. Để làm đƣợc việc này, ngƣời quản trị cần phân tích payload mà hệ thống GSANM thu đƣợc.
Hình 4.10: Phân thích payload thu đƣợc và xác đinh dấu hiệu tấn công
Từ các trƣờng payload ngƣời quản trị xác định đƣợc các thông tin quan trọng nhƣ: IP Source, IP Destination,…. và nhận ra dấu hiệu của tấn công Tiêm mã SQL qua chuỗi request đƣợc gửi đi có từ khóa UNION và SELECT. Bởi vì kỹ thuật tấn cơng SQL đƣợc phân chia thành nhiều loại khác nhau nên khi tạo luật chặn bắt tấn công ngƣời quản trị cũng phải phân chia và ghi rõ dấu hiệu của từng loại. Do đó trong trƣờng hợp này, tập luật phát hiện tấn công Tiêm mã SQL sử dụng kỹ thuật UNION và SELECT đƣa ra cảnh báo nếu yêu cầu tới máy chủ có kèm các chuỗi ký tự này.
Bƣớc 5: Tạo luật
Nhƣ vậy ngƣời quản trị đã xác định xong các yêu cầu cơ bản trong quá trình tạo luật, bây giờ ngƣời quản trị sẽ tạo tập luật trong tab Offenses. Quá trình tạo luật đƣợc thực hiện tuần tự theo thứ tự sau:
a) Xác định nơi quản lý tập luật
Rules Action New Event Rules (vì luật này đƣợc tạo ra từ các sự kiện an ninh) Ngƣời quản trị chọn đối tƣợng Web Server đã đƣợc khai báo trong phần trên để áp dụng cho luật này. Sau đó, ngƣời quản trị thực hiện mô tả dấu hiệu tấn công là: ―Trong nội dung của payload có chứa từ khóa UNION hoặc SELECT‖. Ngƣời quản trị thực hiện đặt tên cho cảnh báo: TAN CONG TIÊM MÃ SQL SU DUNG UNION, SELECT. Trong trƣờng hợp này, ngƣời quản trị khơng cần sử dụng ngơn ngữ Regular Expression vì đây dấu hiệu nhận dạng đơn giản. Tuy nhiên, trong nhiều trƣờng hợp khác ngƣời quản trị chỉ có thể tạo ra đƣợc các nhóm, mẫu để phát hiện tấn cơng bằng cách sử dụng Regex. VD: Nếu kẻ tấn công sử dụng chèn thêm chuỗi ‗or 1=1‘, nhƣng trong trƣờng hợp này ngƣời quản trị không sử dụng Regex để lọc chuỗi đƣợc chèn vào thì tấn cơng này sẽ vƣợt qua đƣợc lập luật nếu kẻ tấn cơng chèn chuỗi ‗or 2=2‘.
Hình 4.11: Các bƣớc tạo luật
b) Xác định tham số cho tập luật
Hình 4.12: Xác định các tham số cho luật
Sau đó, ngƣời quản trị thực hiện định lƣợng mức độ cảnh báo đƣợc đƣa ra cũng nhƣ các thông số liên quan đến cảnh báo nhƣ: Xác định category, mức độ nguy hiểm, mức độ liên quan, hành động phản hồi khi tập luật này đƣợc áp dụng, và có thể gửi cảnh báo qua email hay có lựa chọn khác.
Hình 4.13: Định lƣợng mức độ rủi ro của luật và các tham số khác
4.4 Thực nghiệm triển khai hệ thống GSANM tại TTCNTT&GSANM 4.4.1 Mơ hình thực nghiệm 4.4.1 Mơ hình thực nghiệm
Mơ hình thực nghiệm đƣợc tiến hành tại TTCNTT&GSANM nhằm thiết kế, bổ sung các tập luật và đƣa ra các cảnh báo khi có tấn cơng xảy ra đối với hệ thống mạng đƣợc giám sát. Mơ hình thực nghiệm này bao gồm các thành phần sau:
Hệ thống GSANM sử dụng thiết bị phần cứng Qrada của IBM hoạt động ở dạng độc lập có địa chỉ IP: 192.168.37.123
Máy chủ Web Server chạy hệ điều hành Windows Server 2003, sử dụng dịch vụ Web Server Internet Information Service (IIS) phiên bản 6.0 có địa chỉ IP: 192.168.37.131.
Web ASP đƣợc cấu hình trên máy chủ web và sử dụng hệ quản trị cơ sở dữ liệu Microsoft Access.
Hình 4.15: Mơ hình thực nghiệm
Mơ hình thực nghiệm trên tn thủ theo mơ hình GSANM hoạt động độc lập theo tiêu chuẩn SIEM nhƣ đƣợc trình bày ở chƣơng I. Việc cấu hình thu thập nhật ký hệ thống đã đƣợc trình bày chi tiết ở các chƣơng trên. Hệ thống đã thu thập đƣợc nhật ký hệ thống từ máy chủ web theo đúng yêu cầu đặt ra, và nhật ký hệ thống này đƣợc hiển thị ở tab Log Activity trên giao diện web của hệ thống GSANM IBM Qradar.
Hình 4.16: Nhật ký hệ thống thu thập đƣợc từ máy chủ web
4.4.2 Thu thập nhật ký hệ thống
Webserver thu đƣợc nhật ký hệ thống dạng sau:
2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/mpt.css - 80 - 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41. 0 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20order%20by%2011 192.168.37.131 404 0 3 1795 391 0 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/1x1.gif - 80 - 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41. 0 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20order%20by%2011 192.168.37.131 404 0 3 1795 406 0 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/mpt.css - 80 - 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41. 0 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20UNION%20SELECT%201,2,3,4,5,6%2 0from%20admin 192.168.37.131 404 0 3 1795 419 0 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/1x1.gif - 80 - 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41. 0 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20UNION%20SELECT%201,2,3,4,5,6%2 0from%20admin 192.168.37.131 404 0 3 1795 434 0
Nhƣ vậy với nhật ký hệ thống thu đƣợc có thể nhận thấy dạng tấn cơng đƣợc thực hiện là Tiêm mã SQL, và các từ khóa quan trọng mà kẻ tấn công đã sử dụng là UNION, ORDER BY, SELECT.
Hệ thống GSANM thu đƣợc nhật ký hệ thống với payload nhƣ hình 4.17. Với thơng tin các trƣờng IP, port đƣợc phân chia rõ ràng và payload với nội dung nhƣ nội dung của nhật ký hệ thống mà Web Server thu đƣợc.
Hình 4.17: Payload đƣợc hệ thống GSANM thu thập đƣợc
Nhƣ vậy đối với một dạng tấn cơng web nhƣ trên thì các dấu hiệu tấn công đƣợc lƣu lại hoàn toàn trên nhật ký hệ thống của phía server, và để tạo các luật thì ngƣời quản trị hệ thống phải dựa trên những dấu hiệu mà nhật ký hệ thống lƣu lại và payload mà hệ thống GSANM thu đƣợc để đƣa ra cảnh báo.
Hình 4.18: Các nhật ký hệ thống khác trên web server thu đƣợc
4.5 Kết quả thực nghiệm
Hình 4.19: Các tập luật đƣợc đƣa vào hệ thống GSANM
Sau đây là cảnh báo mà hệ thống GSANM gửi tới ngƣời quản trị hệ thống.
Hình 4.20: Cảnh báo hiện tƣợng bất thƣờng và các tấn công vào hệ thống mạng đang đƣợc giám sát
Hình 4.21: Các cảnh báo tấn cơng khác mà hệ thống GSANM thu đƣợc
Hình 4.22: Nhật ký hệ thống các cảnh báo thu đƣợc
Các cảnh báo khác nhau đƣợc hệ thống GSANM gửi tới ngƣời quản trị hệ thống nhƣ hình 4.23
Hình 4.23: Hệ thống đƣa ra cảnh báo tấn cơng LFI
Hình 4.24: Hệ thống đƣa ra các cảnh báo các tấn công khác
Sau khi thu thập nhật ký hệ thống, và cải tiến các tập luật cho hệ thống mạng cụ thể thì hệ thống GSANM đã đƣa ra các cảnh báo tấn công từ các luật đƣợc tạo ra và góp phần vào việc nâng cao hiệu quả GSANM. Trên hệ thống GSANM hiện tại có khoảng hơn 300 luật nhƣng một số luật do chƣa đƣợc chỉnh sửa cho phù hợp với hiện trạng của các mạng giám sát nên hệ thống luật này chƣa thực sự hoạt động hiệu quả. Kết quả của luận văn là xây dựng khoảng 40 luật mới cho hệ thống GSANM bao gồm các luật phát hiện các hiện tƣợng bất thƣờng và các luật cảnh báo tấn công web phổ biến. Các luật mới này dựa trên các nguồn nhật ký hệ thống thu đƣợc, từ đó sử dụng biểu thức chính quy để lọc các dấu hiệu của các tấn cơng này. Q trình xác định biểu thức chính quy đƣợc thử nghiệm trên nhật ký hệ thống ban đầu và kết quả trả về khớp với các dấu hiệu xác định nhận dạng tấn công tƣơng tự nhƣ trình bày ở phần trên xác đinh các trƣờng thông tin quan trọng.
Tổng kết chƣơng IV
Chƣơng này chúng tôi tập trung vào việc thiết kế và cập nhật các tập luật vào hệ thống GSANM nhằm giúp đƣa ra các cảnh báo chính xác đến ngƣời quản trị hệ thống. Sau đó thực hiện triển khai thử nghiệm trên hệ thống GSANM tại TTCNTT&GSANM và đã thu đƣợc những kết quả rất tích cực đó là với các tập luật đã đƣợc thiết kế phù hợp với từng hệ thống mạng cụ thể thì hệ thống GSANM đã đƣa ra tất cả các cảnh báo khi kẻ tấn công thực hiện tấn công vào hệ thống mạng đƣợc giám sát.
KẾT LUẬN CHUNG Các kết quả đã đạt đƣợc trong luận văn
- Giới thiệu về tình hình giám sát an ninh mạng trên thế giới cũng nhƣ tại Việt Nam. Đồng thời nghiên cứu mơ hình tổng quan của hệ thống giám sát an ninh mạng.
- Nghiên cứu một số kỹ thuật tấn công ứng dụng Web cụ thể và một số tấn công vƣợt qua tƣờng lửa ứng dụng Web.
- Nghiên cứu phƣơng pháp trích xuất các trƣờng thơng tin quan trọng từ nguồn nhật ký hệ thống để xây dựng định dạng mới cho nguồn dữ liệu nhật ký chƣa có trong hệ thống GSANM.
- Nghiên cứu thiết kế luật cho hệ thống giám sát an ninh mạng.
- Xây dựng tập luật phát hiện một số tấn công vào ứng dụng Web và các tập luật phát hiện các hiện tƣợng bất thƣờng trong hệ thống.
Những hƣớng nghiên cứu tiếp theo:
- Nghiên cứu xây dựng tập luật phát hiện tất cả các tấn cơng có thể xảy ra đối với hệ thống mạng đƣợc giám sát.
- Nghiên cứu phát hiện chính xác các cuộc tấn công vào hệ thống mạng đƣợc giám sát.
- Nghiên cứu nâng cao tính chính xác cho các cảnh báo đƣợc đƣa ra.
TÀI LIỆU THAM KHẢO
[1] Symantec, ISTR 20 Internet Security Threat Report Appendices, Symantec, 2015 [2] James A. Lewis, Katrina Timlin, ―Cybersecurity and Cyberwarfare”, Center for
Strategic and International Studies, 2011.
[3] P.W. Singer, Allan Friedman, Cybersecurity and Cyberwar, Oxford University Press, 2014
[4] Richard Bejtlich, The Practice of Network Security Monitoring, 2013 [5] IBM, IBM Security Qradar SIEM, IBM Corporation, 2013
[6] IBM, IBM Security Qradar Version 7.2.4 Hardware Guide, IBM Corporation, 2014 – 2015
[7] IBM, IBM Security Qradar 7.1.x and 7.2.x DSM Configuration Guide, IBM Coporation, 2015.
[8] Pushkar Y.Jane, M.S.Chaudhari, “SQLIA: Detection and Prevention Techniques:
A Survey”, IOSR Journal of Computer Engineering (IOSR-JCE), 2012.
[9] Jeremiah Grossman, Robert Hansen, Petko D. Petkov, Anton Rager, Seth Fogie,
XSS Attacks Cross Site Scripting Exploits and Defense, Syngress Publishing,
2007.
[10] Eric Chien and Péter Ször, Blended Attacks Exploit, Vulnerabilities and Buffer-
Overflow Techniques in Computer Viruses, Symantec Security Response, 2002.
[11] James C. Foster, Vitaly Osipov, Nish Bhalla, Tràn bộ đệm Attacks: Detect,
Exploit, Prevent, Syngress Publishing, 2005.
[12] Imperva, Web Application Attack Report #5, Imperva, 2014.
[13] Juniper Networks, Security Threat Response Manager: Adaptive Log Exporter
Users Guide, Juniper Network, 2012.
[14] Jan Goyvaerts, Regular Expression: The Complete Tutorial, http://www.regular-
expressions.info/print.html, 2007.
[15] Michael Stanton, A Qradar Log Source Extension Walkthrough, SANS Institute InforSec Reading Room, 2014.
Trang web
[16] http://mic.gov.vn/gioithieu/Trang/Gi%E1%BB%9Bithi%E1%BB%87u.aspx [17] http://vnisa.org.vn/gioi-thieu-vnisa