3.2.3.1 Quản lý các địa chỉ đã truy cập
Việc đầu tiên, ta cần tạo các chức năng lưu địa chỉ truy cập, xóa các địa chỉ đã hết hạn. Việc này được thực hiện bằng cách lập lịch để chạy tự động trong khoảng thời gian chỉ định tùy theo cấu hình hệ thống (hệ thống trong để tài dùng thời gian là 5 phút) được tạo ra bằng cách soạn thảo tập tin crontab trong hệ thống máy chủ Linux, máy chủ lưu trữ OSSEC và ứng dụng quản lý. Chi tiết nội dung tập tin crontab như sau:
*/5 * * * * /user/bin/php /var/www/html/hids/iad_cron.php
*/5 * * * * /user/bin/php /var/www/html/hids/iad_remove_cron.php
Quá trình duyệt và thêm địa chỉ mới vào cơ sở dữ liệu IAD được mô tả như sau:
Hình 3.7: Tiến trình lưu địa chỉ vào cơ sở dữ liệu
Quá trình xóa các địa chỉ đã quá hạn trong cơ sở dữ liệu nhằm tránh tình trạng dung lượng quá lớn:
3.2.3.2 Phân tích tấn công, cảnh báo và ngăn chặn các địa chỉ tấn công
Để phân tích nhằm phát hiện tấn công, ta lập lịch để chạy tự động trong khoảng thời gian chỉ định 5 phút , chi tiết nội dung tập tin crontab như sau:
*/5 * * * * /user/bin/php /var/www/html/hids/cusum_cron.php Quá trình phân tích tấn công DDoS được mô tả như sau:
Chương 4
ĐÁNH GIÁ KẾT QUẢ ĐẠT ĐƯỢC
Trong chương này luận văn trình bày những kết quả đạt được khi tích hợp hệ quản lý luật vào hệ thống OSSEC, giúp ích cho người quản trị trong quá trình theo dõi và phân tích hệ thống nhằm phát hiện và ngăn chặn tấn công mạng.
4.1 Chức năng hỗ trợ giám sát hệ thống
Hệ thống quản lý thông qua giao diện web của OSSEC được xây dựng chỉ với những chức năng cơ bản với mục đích dành cho người quản trị có nhiều kinh nghiệm về hệ thống OSSEC, Linux. Tất cả các thao tác quản lý đều thực hiện thông qua các câu lệnh can thiệp trực tiếp vào hệ thống.
Hệ quản lý tương tác với OSSEC phiên bản mới xây dựng trên nguyên tắc giúp cho người quản trị có thể quản lý các thông tin một cách đơn giản, dễ dàng và trực quan hơn. Người quản trị chưa có nhiều kinh nghiệm chuyên sâu về bảo mật cũng có thể tương tác thông qua giao diện web để xem thông tin, quản lý agent… Điều này sẽ hạn chế một cách tối đa việc dùng những câu lệnh phức tạp, can thiệp sâu vào hệ thống và như thế hệ thống sẽ an toàn hơn rất nhiều.
Trang chính của hệ thống quản lý luật như hình 4.1 sẽ thống kê thời gian thực về các cảnh báo của hệ thống để người quản trị có thể theo dõi trực quan nhằm phát hiện nhanh chóng các lỗi hoặc các tấn công. Những thông tin sẽ được tự động câp nhật mới mỗi 5 phút, để bảo đảm thông tin sớm nhất cho người quản trị.
Chức năng thống kê các sự kiện trong hình 4.2 được hiển thị dạng đồ thị giúp cho quản trị viên có thể theo dõi các sự kiện và kịp thời khi có những bất thường trong hệ thống.
Hình 4.2: Bảng thống kê các sự kiện
Ngoài ra, để tiện cho việc quản lý các agent, trang web còn cho phép người quản trị theo dõi các thông tin về các agent của hệ thống như hình 4.3.
4.2 Chức năng hỗ trợ phát hiện tấn công DDoS
Tấn công DDoS có rất nhiều dạng như đã trình bày, trong thời gian hạn hẹp luận văn cũng cố gắng để giải quyết một khía cạnh của DDoS nhằm cảnh báo sớm cho người quản trị, cụ thể là tấn công gây quá tải hệ thống. Luận văn đã nghiên cứu giải thuật lưu trữ địa chỉ truy cập và thuật toán CUSUM để áp dụng vào luận văn, nhưng không áp dụng hoàn toàn bởi lợi điểm của hệ tích hợp là có sự kết hợp kiến thức của người quản trị. Trong giải thuật lưu trữ địa chỉ truy cập, sẽ không cần lưu các thông số như số lần truy cập của một địa chỉ hoặc lượng gói tin của địa chỉ đó. Trong thuật toán CUSUM, luận văn dựa vào quyết định của người quản trị cấu hình phần trăm để tính toán, bởi hệ thống sẽ có biến thiên địa chỉ truy cập rất nhiều, chỉ có người quản trị mới hiểu rõ hệ thống nhiều nhất sẽ đưa ra con số hợp lý nhất cho quá trình phân tích tấn công.
Những kết quả đạt được của việc phát hiện và ngăn chặn DDoS được trình bày trong phần này, cụ thể thống kê lượng truy cập trung bình và lượng truy cập đột biến khi có tấn công DDoS. Tác giả dùng công cụ DDoSSim để giả lập tấn công với tần suất 3.000 địa chỉ và hệ thống ngăn chặn các địa chỉ ngoài đại chỉ cho phép được thể hiện trong hình 4.7.