- Nguyễn Thị Thu Hiền NGHIÊN CỨU, THỬ NGHIỆM CÁC PHƢƠNG PHÁP PHÁT HIỆN XÂM NHẬP TRÁI PHÉP DỰA TRÊN PHÁT HIỆN BẤT THƢỜNG Chuyên ngành: Công nghệ Thông tin LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS. - 9 Chƣơng 1 - TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP. - Giới thiệu về hệ thống phát hiện xâm nhập. - Khái niệm phát hiện xâm nhập. - Hệ thống phát hiện xâm nhập. - Kỹ thuật phát hiện xâm nhập. - Phát hiện xâm nhập dựa trên sử dụng sai. - Phát hiện xâm nhập dựa trên bất thƣờng. - Hệ thống phát hiện xâm nhập với Snort. - Một số minh hoạ khả năng phát hiện xâm nhập của Snort. - 30 Chƣơng 2 - CÁC PHƢƠNG PHÁP PHÁT HIỆN XÂM NHẬP DỰA TRÊN BẤT THƢỜNG. - Các phƣơng pháp kỹ thuật phát hiện xâm nhập dựa trên bất thƣờng . - Phƣơng pháp phát hiện xâm nhập bất thƣờng dựa trên thống kê 37 2.2.2. - Phƣơng pháp phát hiện bất thƣờng dựa trên khai phá dữ liệu. - Phƣơng pháp phát hiện dựa trên tri thức. - Phƣơng pháp phát hiện dựa trên học máy. - 48 Chƣơng 3 - THỬ NGHIỆM THUẬT TOÁN CUSUM TRONG PHÁT HIỆN TẤN CÔNG SYN FLOODING. - Tác giả Nguyễn Thị Thu Hiền 5 Danh mục các ký hiệu, các chữ viết tắt STT Từ viết tắt Tiếng Anh Tiếng Việt 1 ID Intrusion Detection Phát hiện xâm nhập 2 IDS Intrusion Detection System Hệ thống phát hiện xâm nhập 3 NIDS Network-based IDS Hệ thống phát hiện xâm nhập dựa trên mạng 4 HIDS Host-based IDS Hệ thống phát hiện xâm nhập dựa trên host 5 DoS Denial Of Service Tấn công từ chối dịch vụ 6 DDoS Distributed Denial Of Service Tấn công từ chối dịch vụ phân tán 7 SBIDS Signature Based IDS Hệ thống phát hiện xâm nhập dựa trên dấu hiệu 8 ABIDS Anomaly Based IDS Hệ thống phát hiện xâm nhập dựa trên bất thƣờng 9 CUSUM Cumulative SUM Thuật toán cộng tích luỹ 10 KPDL Data mining Khai phá dữ liệu 11 ADAM Audit Data Analysis and Mining Khai phá và phân tích dữ liệu kiểm toán 12 SOM Self-Organizing Maps Bản đồ tự tổ chức 13 ICMP Internet Control Message Protocol Giao thức thông điệp điều khiển Internet 14 TCP Transmission Comunication Protocol Giao thức điều khiển truyền vận 15 UDP User Datagram Protocol Giao thức không liên kết 16 SFD SYN Flooding detection Phát hiện tấn công SYN flooding 6 Danh mục các bảng Bảng 3.1. - Số lƣợng các gói tin trong trạng thái có tấn công SYN Flood với N=0.5 67 Bảng 3.5. - Giá trị Y trong trạng thái có tấn công SYN Flood với N = 0.5. - Số lƣợng các gói tin trong trạng thái có tấn công SYN Flood với N=1. - Giá trị Y trong trạng thái có tấn công SYN Flood. - Số lƣợng các gói tin trong trạng thái có tấn công. - Giá trị Y trong trạng thái có tấn công SYN Flood với N=2. - Môđun phát hiện. - Phát hiện gói tin kích thƣớc bất thƣờng. - 31 Hình 1.10. - Phát hiện Ping of Death. - 32 Hình 1.11. - 32 Hình 1.12. - Kết quả phát hiện ping -t. - 33 Hình 1.13. - 33 Hình 1.14. - Phát hiện tấn công web ở Ví dụ 1. - 33 Hình 1.15. - 34 Hình 1.16. - Phát hiện tấn công web ở Ví dụ 2. - 34 Hình 1.17. - Thử tấn công SYN flooding. - 35 Hình 1.18. - Kết quả phát hiện SYN flooding trên Snort. - Phân loại hệ thống IDS dựa trên bất thƣờng. - Tấn công SYN Flood. - Sơ đồ thuật toán phát hiện bất thƣờng dựa trên CUSUM. - Tấn công máy Web server. - 63 8 Hình 3.10. - 63 Hình 3.12. - 64 Hình 3.13. - 65 Hình 3.14. - 66 Hình 3.15. - 67 Hình 3.16. - Đồ thị thuật toán CUSUM khi có tấn công với N = 0.5. - 68 Hình 3.17. - Đồ thị thuật toán CUSUM khi có tấn công với N = 1. - 69 Hình 3.19. - 70 Hình 3.20. - 70 Hình 3.21. - 71 Hình 3.22. - Đồ thị thuật toán CUSUM khi có tấn công với N = 2. - 71 Hình 3.23. - Đồ thị phát hiện SYN flooding của phƣơng pháp SFD với N=0.6. - Vì thế, bên cạnh việc phát triển các dịch vụ và ứng dụng trên mạng, việc làm thế nào để có thể phát hiện ra máy tính hoặc mạng máy tính của mình đang bị xâm nhập trái phép góp phần bảo đảm an toàn, bảo mật mạng là một vấn đề hết sức quan trọng cần đƣợc quan tâm nghiên cứu thƣờng xuyên. - Hiện nay, các nghiên cứu tại Việt Nam cũng nhƣ trên thế giới về xây dựng một hệ thống phát hiện xâm nhập mạng trái phép dựa trên mã nguồn mở cũng phát triển mạnh, tuy nhiên tại Việt Nam các nghiên cứu này có mức độ triển khai vào thực tế là chƣa cao. - Ngoài ra, các chƣơng trình phát hiện xâm nhập hầu hết đƣợc tích hợp trên các thiết bị phần cứng nên việc khai thác chức năng, hoặc ngƣời dùng tự phát triển mở rộng thêm chức năng của các chƣơng trình này bị hạn chế. - Vì vậy, lựa chọn đề tài "Nghiên cứu, thử nghiệm các phƣơng pháp phát hiện xâm nhập trái phép dựa trên phát hiện bất thƣờng" nhằm phát hiện các hành động tấn công mạng, nâng cao khả năng bảo đảm an toàn thông tin là một yêu cầu khách quan cần thiết trong giai đoạn hiện nay. - Mục tiêu nghiên cứu + Nghiên cứu các phƣơng pháp phát hiện xâm nhập trái phép dựa trên phát hiện bất thƣờng. - Thử nghiệm phát hiện xâm nhập dựa trên bất thƣờng sử dụng phân tích thống kê lƣu lƣợng nhằm áp dụng trong quản trị mạng hoặc phát hiện các xâm nhập trái phép vào hệ thống mạng. - 10 - Đối tƣợng, phạm vi nghiên cứu + Phƣơng pháp phát hiện xâm nhập trái phép dựa trên bất thƣờng. - Thuật toán phát hiện xâm nhập bất thƣờng thống kê. - Thử nghiệm giải pháp phát hiện xâm nhập sử dụng phần mềm mã nguồn mở Snort. - Thử nghiệm thuật toán CUSUM trong phát hiện tấn công SYN flooding. - Trong khuôn khổ đề tài, tôi đã tìm hiểu cơ bản về hệ thống phát hiện xâm nhập, thử nghiệm hệ thống Snort để phát hiện xâm nhập dựa trên dấu hiệu, đặc biệt tập trung nghiên cứu về các phƣơng pháp phát hiện xâm nhập dựa trên bất thƣờng và lựa chọn thuật toán Tổng tích luỹ (CUSUM) để triển khai thử nghiệm. - Đề tài đã đề xuất mô hình phát hiện xâm nhập trái phép dựa trên phƣơng pháp phát hiện bất thƣờng thống kê bằng việc thử nghiệm thuật toán CUSUM để phát hiện tấn công SYN flooding. - Ý nghĩa khoa học và thực tiễn của đề tài + Ý nghĩa khoa học Quá trình xây dựng đề tài tạo ra cơ sở nghiên cứu về các phƣơng pháp kỹ thuật phát hiện xâm nhập trái phép dựa trên bất thƣờng, đƣa ra cái nhìn tổng quát về hệ thống hỗ trợ giám sát, bảo vệ mạng máy tính. - Ý nghĩa thực tiễn Kết quả nghiên cứu của đề tài nhằm bổ sung thêm giải pháp kỹ thuật phát hiện xâm nhập mạng, góp phần bảo đảm an ninh an toàn thông tin. - Nội dung luận văn đƣợc kết cấu thành 3 chƣơng nhƣ sau: 11 Chƣơng 1: Tổng quan về hệ thống phát hiện xâm nhập. - Chƣơng này giới thiệu tổng quan về hệ thống phát hiện xâm nhập, các kỹ thuật phát hiện xâm nhập, trong đó giới thiệu hệ thống Snort và thử nghiệm đƣa ra một số kết quả phát hiện xâm nhập dựa trên dấu hiệu. - Chƣơng 2: Các phƣơng pháp phát hiện xâm nhập dựa trên bất thƣờng. - Chƣơng này nghiên cứu về các phƣơng pháp phát hiện xâm nhập dựa trên bất thƣờng, ƣu nhƣợc điểm của từng phƣơng pháp. - Chƣơng 3: Thử nghiệm thuật toán CUSUM trong phát hiện tấn công SYN flooding. - giới thiệu về thuật toán CUSUM và đề xuất mô hình phát hiện xâm nhập trái phép dựa trên phƣơng pháp phát hiện bất thƣờng thống kê bằng việc triển khai thử nghiệm thuật toán CUSUM để phát hiện tấn công SYN flooding. - 12 Chƣơng 1 - TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1. - Giới thiệu về hệ thống phát hiện xâm nhập 1.1.1. - Khái niệm phát hiện xâm nhập Phát hiện xâm nhập (Intrusion Detection - ID) [18] là một loại hệ thống quản lý an ninh cho máy tính và mạng. - Hệ thống phát hiện xâm nhập Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) [1] là một hệ thống phần cứng hoặc phần mềm đƣợc sử dụng để phát hiện các hành động truy nhập trái phép đến một hệ thống máy tính hoặc mạng. - IDS có khả năng phát hiện tất cả các loại lƣu lƣợng mạng độc hại và việc sử dụng máy tính, bao gồm các cuộc tấn công mạng đối với các dịch vụ có chế độ bảo mật yếu, tấn công vào dữ liệu, các ứng dụng, các tấn công dựa trên host chẳng hạn nhƣ leo thang đặc quyền, đăng nhập trái phép và truy cập vào các file nhạy cảm và phần mềm độc hại. - Các gói dữ liệu mạng thu thập đƣợc sẽ đƣợc phân tích để phát hiện các dấu hiệu xâm nhập (tấn công, xuất xứ từ ngoài tổ chức) và sử dụng sai (tấn công, có nguồn gốc trong tổ chức). - IDS phát hiện dựa trên các dấu hiệu đặc biệt về nguy cơ đã biết hay dựa trên so sánh lƣu thông mạng hiện tại với thông số đo đạc chuẩn của hệ thống (baseline) để tìm ra các dấu hiệu bất thƣờng. - Ví dụ, nếu ta chỉ muốn phát hiện các hành động xâm nhập từ bên ngoài, và ta chỉ có một router kết nối với Internet, vị trí tốt nhất cho IDS chỉ có thể là ở bên trong router hoặc firewall. - Tuy nhiên, nếu muốn phát hiện các mối đe doạ bên trong, ta có thể đặt IDS ở mỗi phân đoạn mạng tuỳ vào chính sách an ninh của ngƣời dùng. - Chức năng của IDS Hệ thống phát hiện xâm nhập có chức năng tự động theo dõi các sự kiện xảy ra, giám sát lƣu thông mạng, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đƣa ra cảnh báo các hoạt động khả nghi cho nhà quản trị. - phát hiện những dấu hiệu bất thƣờng dựa trên những gì đã biết hoặc nhờ vào sự so sánh lƣu lƣợng mạng hiện tại với baseline. - Trong ba thành phần này thì thành phần phân tích gói tin là quan trọng nhất và ở thành phần này bộ cảm biến (sensor) đóng vai trò quyết định, vì vậy sau đây chúng ta sẽ đi vào phân tích bộ cảm biến để hiểu rõ hơn kiến trúc của hệ thống phát hiện xâm nhập. - Những tấn công vƣợt qua đƣợc hệ thống tƣờng lửa vẫn có thể bị phát hiện và ngăn chặn. - Vai trò của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu không tƣơng thích đạt đƣợc từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể phát hiện đƣợc các hành động nghi ngờ. - Bộ phân tích sử dụng cơ sở dữ liệu chính sách phát hiện cho mục này. - Network-based IDS (Hệ thống phát hiện xâm nhập dựa trên mạng - NIDS): Phát hiện xâm nhập hƣớng vào toàn bộ mạng hay miền mạng. - Host-based IDS (Hệ thống phát hiện xâm nhập dựa trên host - HIDS): Phát hiện xâm nhập hƣớng vào nút cụ thể của mạng. - NIDS NIDS [5] là một hệ thống phát hiện xâm nhập bằng cách thu thập dữ liệu của các gói tin lƣu thông trên các phƣơng tiện truyền dẫn nhƣ cables, wireless bằng cách sử dụng các card giao tiếp. - NIDS đƣợc đặt giữa kết nối hệ thống mạng bên trong và mạng bên ngoài (thƣờng đặt sau Firewall) để giám sát toàn bộ lƣu lƣợng vào ra, phát hiện xâm nhập
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt