4.4.1. Kết quả thực nghiệm
Quá trình thực nghiệm được tiến hành như sau: 1. Thiết lập môi trường thực nghiệm:
- Cài đặt 02 máy chủ ảo Windows Server 2003. - Thiết lập địa chỉ mạng cho các máy chủ như sau:
Máy chủ cài đặt Firewall ISA 2006:
Địa chỉ IP lớp ngoài: 192.168.0.219. Địa chỉ IP lớp trong: 10.0.0.1.
Máy chủ Web: 10.0.0.124
Máy giả lập tấn công: 192.168.0.48
- Trên máy chủ Web: Cài đặt XAMPP và copy mã nguồn của website demo vào thư mục “htdocs” của phần mềm XAMPP.
Hình 4.7: Giao diện quản trị phần mềm XAMPP
- Cài đặt phần mềm ISA Server 2006
Hình 4.8: Giao diện quản trị ISA Server 2006
- Cấu hình trên ISA Server cho phép chuyển hướng các kết nối đến tên miền “petshop.com” sang máy chủ Web. Khi đó, “petshop.com” sẽ là tên miền của máy chủ Web.
- Thiết lập phân giải tên miền trên máy chủ giả lập tấn công: Thêm dòng sau vào file “hosts” của Windows để trỏ tên miền “petshop.com” vào địa chỉ của máy chủ Firewall.
- Chạy thử website demo:
Hình 4.9: Giao diện website demo
2. Cấu hình Firewall ISA đẩy thông tin vận hành vào logfile.
Hình 4.10: Cấu hình ghi log trên Firewall ISA
Logfile của Firewall ASIA được lưu trong thư mục có đường dẫn như sau:
C:\Program Files\Microsoft ISA Server\ISALogs\
ISALOG_yyyymmdd_FWS_nnn.w3c
Trong đó “yyyymmdd” là năm, tháng, ngày mà logfile đó được tạo
ra; “nnn” là mã số thứ tự của logfile. Trong một ngày có thể tạo ra
nhiều logfile do kích thước logfile vượt ngưỡng cho phép, do đó cần phải đánh số để phân biệt. Phần mềm DoSAlert sẽ tự động nhận diện logfile mới nhất đang được Firewall ISA sử dụng để thu thập dữ liệu. Ví dụ về tên một logfile của Firewall ISA như sau:
“ISALOG_20130904_FWS_000.w3c”.
3. Cấu hình phần mềm DoSAlert:
- Nhập địa chỉ IP của WebServer vào danh sách các địa chỉ IP cần giám sát
- Thiết lập đường dẫn thư mục chứa logfile là: - C:\Program Files\Microsoft ISA Server\ISALogs\
- Thiết lập tham số cảnh báo tấn công từ chối dịch vụ, trong đó:
Threshold=500.
Interval=10 giây. 4. Giả lập tấn công
- Thiết lập tham số trên phần mềm giả lập Apache-Jmeter: Đích tấn công: petshop.com; port: 80.
Tham số khởi tạo kết nối: 1000 kết nối trong khoảng thời gian 3 giây và lặp lại quá trình này 30 lần.
- Chạy phần mềm Apache-Jmeter, kiểm tra dữ liệu được tạo ra trong logfile của Firewall ISA
Hình 4.11:Dữ liệu trên logfile của Firewall ISA
Hình 4.12:Thông tin cảnh báo trên phần mềm DoSAlert
Quá trình thực nghiệm trên được thực hiện lặp lại nhiều lần. Sau đó thay đổi các thiết lập của phần mềm và tiếp tục thực hiện lại quá trình thực nghiệm. Cụ thể là bổ sung thêm 03 địa chỉ IP đích cần giám sát và cài đặt thêm một máy chủ Web ảo. Mục đích của việc thay đổi này là để đánh giá hiệu quả của phần mềm khi có thêm điều kiện kiểm tra trong quá trình khai phá dữ liệu logfile của Firewall ISA.
Kết quả thực nghiệm cho thấy phần mềm thực hiện tốt chức năng cảnh báo khi có tấn công từ chối dịch vụ. Trong các lần thử nghiệm tấn công, phần mềm đều phát hiện được và đưa ra thông điệp cảnh báo trên giao diện.
4.4.2. Đánh giá kết quả thực nghiệm
Trong quá trình tiến hành thực nghiệm, phần mềm DoSAlert đã thực hiện tốt chức năng đưa ra cảnh báo khi có tấn công từ chối dịch vụ với độ trễ khoảng 5-10 giây kể từ thời điểm bắt đầu chạy chương trình giả lập. Tiến hành so sánh với một số công cụ khác cũng cho phép cảnh báo tấn công từ chối dịch vụ dựa trên việc phân tích logfile hiện nay (như ArcSight, Nxlog, Splunk), cho thấy độ trễ như vậy là chấp nhận được.
Trong quá trình diễn ra tấn công từ chối dịch vụ, mức chiếm dụng CPU của phần mềm dao động trong khoảng 40%-70%. Khi kết thúc tấn công từ chối dịch vụ, mức chiếm dụng CPU khoảng 30%. Có thể thấy, mức độ chiếm dụng tài nguyên như vậy là tương đối cao. Tuy nhiên, do môi trường thực nghiệm sử dụng các máy ảo chạy trên cùng một máy tính vật lý nên việc đánh giá mức độ chiếm dụng tài nguyên chưa được chính xác vì thực tế chỉ có 01 CPU vật lý. Cần phải xây dựng môi trường thực nghiệm trong đó có các máy chủ vật lý riêng lẻ để đánh giá chính xác mức độ chiếm dụng tài nguyên của phần mềm, từ đó tiến hành điều chỉnh mã nguồn để đảm bảo phần mềm vận hành tối ưu nhất.
KẾT LUẬN
Kết quả đạt được của luận văn:
Luận văn này tiến hành khảo sát các giải pháp và đề nghị một mô hình thử nghiệm khai phá dữ liệu logfile của Firewall trong hệ thống mạng IPTV nhằm phát hiện tấn công từ chối dịch vụ. Luận văn cũng xác định một tiêu chí để nhận dạng tấn công từ chối dịch vụ.
Luận văn tiến hành thực nghiệm mô hình đã được đề nghị trên một hệ thống giả lập có đầy đủ các thành phần bao gồm: máy chủ dịch vụ, Firewall kiểm soát kết nối, máy chủ giả lập tấn công. Quá trình thực nghiệm đem lại những kết quả khả quan. Phần mềm DoSAlert sử dụng mô hình đề xuất đã hoạt động tốt trong môi trường giả lập. Các cuộc tấn công thử nghiệm đều được phát hiện và cảnh báo trong thời gian thuộc khoảng 5-10 giây; đây là độ trễ chấp nhận được.
Mô hình này có thể được tối ưu và áp dụng để phát hiện các loại hình tấn công khác, đặc biệt là những kiểu tấn công phức tạp, đòi hỏi phải có sự phân tích kết hợp giữa nhiều nguồn log khác nhau, nhiều yếu tố khác nhau, chẳng hạn: tấn công dò quét mật khẩu, leo thang đặc quyền, sql injection, xss, v.v…
Định hướng phát triển:
Mặc dù quá trình thực nghiệm cho kết quả tốt, mô hình cần được tiếp tục nghiên cứu phát triển, hoàn thiện để có thể đạt được hiệu quả cao hơn khi áp dụng vào những hệ thống có quy mô lớn.
Một số định hướng phát triển cần thực hiện như sau: - Cải tiến tốc độ của quá trình phân cụm.
- Tối ưu thực thi đa luồng (multithread) để giảm thiểu chiếm dụng tài nguyên, đồng thời tăng cường khả năng xử lý dữ liệu logfile.
TÀI LIỆU THAM KHẢO
Tài liệu tiếng Việt:
[1] Hà Quang Thụy, Phan Xuân Hiếu, Đoàn Sơn, Nguyễn Trí Thành, Nguyễn Thu Trang, Nguyễn Cẩm Tú (2009), Giáo trình khai phá dữ liệu web, Nhà xuất bản giáo dục, Hà Nội.
[2] Nguyễn Hoàng Tú Anh, Giáo trình khai thác dữ liệu và ứng dụng, Đại học KHTN TP.HCM, 2009.
[3] Nguyễn Thị Huế (2011), Nghiên cứu các kỹ thuật phân cụm dữ liệu và
ứng dụng, Luận văn thạc sỹ, trường ĐHCN, ĐHQG Hà nội
[4] Thủ tướng Chính phủ (2011), Chỉ thị về việc tăng cường triển khai các
hoạt động đảm bảo an toàn thông tin số, Chỉ thị số 897/CT-TTg, ngày
10/06/2011.
Tài liệu tiếng Anh:
[5] CERT/CC (2001), Denial of Service Attack .
[6] China Telecom (2008), Technical Specification of IPTV STB Equipments, vol 2.0.
[7] Osmar R.Zaiane (2001), Principles of knowledge discovery in databases, University of Alberta.
[8] Francisco José Lopes Lameira (2010), IPTV log events Profiling, MSc Thesis, University of Lisbon.
[9] Georgios Loukas, Gülay Öke (2009), Protection against Denial of Service
Attacks: A Survey, The Computer Journal, 53(7): 1020-1037.
[10] Kimmo Hätönen (2009), Data mining for telecommunications network log
analysis, PhD Thesis, the University of Helsinki.
[11] Tongqing Qiu (2011), Understanding A Large-Scale IPTV Network via
System Logs, PhD Thesis, Georgia Institute of Technology.
[12] Website: http://technet.microsoft.com/en-us/library/bb838824.aspx.
[13] Telecommunication Standardization Sector of ITU-T (2010), Terms and
defination for IPTV, Recommendation ITU-T Y.1991.
[14] Telecommunication Standardization Sector of ITU-T (2006), Overall
defination and description of IPTV in the business role model, FG IPTV-