- 1 TÓM TẮT LUẬN VĂN THẠC SĨ Đề tài: Hệ thống phát hiện xâm nhập mạng phân tán với Snort, Chukwa, Hadoop và Syslog-ng Tác giả luận văn: Lê Thanh Tuấn Khóa: 2016A Người hướng dẫn: TS. - Trần Hoàng Hải Từ khóa: Distributed IDS, Snort, Chukwa, Syslog-ng, Hadoop, Map/Reduce Nội dung tóm tắt: a) Lý do chọn đề tài Trong bối cảnh khi các hệ thống mạng ngày càng phát triển về quy mô, các hình thức tấn công mạng ngày càng tinh vi và khó đối phó, việc lưu trữ, xử lý và phân tích các logs truy nhập mạng là công việc không thể thiếu trong các hệ thống giám sát, phát hiện tấn công, phát hiện xâm nhập mạng, phát hiện bất thường cũng như trong các hệ thống phân tích mẫu hoặc phân tích hành vi người sử dụng mạng. - Từ dữ liệu logs thô thu thập được, qua quá trình xử lý, phân tích, chúng ta có thể trích xuất được các thông tin quan trọng về dấu hiệu, khả năng xuất hiện của các mã độc và các dạng tấn công, xâm nhập, cũng như các thông tin có giá trị về hành vi truy cập mạng của người dùng. - Kết quả phân tích hành vi người dùng có thể là căn cứ quan trọng trong việc tối ưu hoá, cải tiến, nâng cao chất lượng dịch vụ. - Kết quả phân tích, phát hiện dấu hiện xuất hiện mã độc, tấn công, xâm nhập là một trong những đầu vào quan trọng trong việc đánh giá, lựa chọn các giải pháp phù hợp cho đảm bảo an toàn thông tin, hệ thống và các tài nguyên mạng. - Bên cạnh những nhu cầu thực tế đã nêu ở trên, những lý do cá nhân dẫn đến lựa chọn “Hệ thống phát hiện xâm nhập mạng phân tán với snot, chukwa và hadoop”như sau. - Tạo ra một mô hình hoạt động được, đáp ứng được nhu cầu thực tế. - Mục tiêu tổng quát của đề tài là nghiên cứu và xây dựng một bộ công cụ giúp lưu trữ, xử lý và phân tích các logs truy nhập mạng có kích thước lớn. - Các loại logs bao gồm logs được sinh ra từ hệ thống phát hiện xâm nhập mạng và các logs đặc trưng khi người sử dụng truy nhập mạng từ các hệ thống mạng lớn với lưu lượng truy cập hàng ngày rất cao nhằm trích xuất những thông tin có giá trị hỗ trợ cho đảm bảo an toàn thông tin và các tài nguyên mạng cũng như nắm bắt được hành vi truy cập của người dùng trong mạng. - Thời gian đáp ứng của hệ thống khi vận hành phải thực sự nhanh chóng để đáp ứng được những nhu cầu cấp bách trong bối cảnh thực tế. - Thu thập được logs từ các nguồn sinh logs phân tán đặc đặt rải rác trong hệ thống mạng lớn. - Lưu trữ logs file trong một hệ cơ sở dữ liệu phân tán. - Truy vấn các logs file một các nhanh chóng từ cơ sở dữ liệu, có khả năng trình diễn kết quả đã truy vấn được. - Tìm hiểu, nắm rõ kiến trúc, hoạt động của một hệ thống lưu trữ phân tán. - Nắm được cơ chế hoạt động của mô hình MapReduce trong xử lý dữ liệu lớn. - Nắm được kiến trúc, cơ chế hoạt động của một hệ cơ sở dữ liệu phân tán. - Thành thạo trong triển khai hệ thống thực tế, xử lý được các lỗi phát sinh trong khi triển khai hệ thống. - Vấn đề an toàn mạng và giải pháp phân tích log file từ IDS phân tán 3 1.2. - Hệ thống phát hiện xâm nhập mạng 1.2. - Mô hình MapReduce. - CHƯƠNG 3: Nội dung và kết quả thực nghiệm 3.1 Mô hình đề xuất 3.2 Mô hình MapReduce. - CHƯƠNG 4: Kết quả và hướng phát triển 4.1 Kết quả đạt được 4.2 Những điểm còn hạn chế. - Xây dựng 2 mô hình Snort, Chukwa, Hadoop và mô hình Snort, Syslog-ng, Hadoop. - Phân tích log của snort trong từng mô hình và so sánh tốc độ thu thập giữa 2 mô hình. - e) Kết luận Từ kết quả thu được, dữ liệu thu thập của cụm máy chủ có sử dụng Syslog-ng đã thu thập đưuọc nhiều hơn so với việc sử dụng Snort, Chukwa và Hadoop. - Kết quả này đã chứng minh tính đúng đắn của mô hình đã đề xuất. - Kết quả thí nghiệm được thực hiện với kích thước dữ liệu mỗi lần đo chênh lệch 10 MB. - Từ kết quả, dễ dàng nhận ra được thời gian thu thập dữ liệu sẽ tăng lên tỷ lệ thuận 4 với kích thước dữ liệu. - Tuy nhiên, với mô hình chỉ sử dụng Syslog-ng thay thế cho chukwa trong mô hình Snort, Chukwa và Hadoop đã công bố thì thời gian thu thập dữ liệu đã được cải thiện và kèm theo đó là tài nguyên sử dụng của hệ thống được giảm tải đi khá nhiều. - Với mức tăng về dung lượng của dữ liệu theo như kết quả đo như trên hình vẽ thì khi đạt ngưỡng, Syslog-ng sẽ đạt được mức ổn định không phụ thuộc vào việc tăng của dữ liệu. - Trong khi đó Chukwa tăng giảm bất thường nhưng xu hướng chung là thời gian thu thập tăng theo dung lượng dữ liệu. - Về mức độ đáp ứng của hệ thống, từ số liệu thực tế được cung cấp bởi Trung tâm mạng thông tin Trường Đại học Bách Khoa Hà Nội – BKNIC, IDS mà trung tâm mạng vận hành sử dụng trong VLAN nội bộ có tốc độ sinh dữ liệu ~20-30 Mbytes/s. - Theo như kết quả thí nghiệp đã đo được thì ta có thể đưa ra nhận xét: Mô hình đề xuất hoàn toàn có thể đáp ứng được nhu cầu thực tế, đáp ứng một cách nhanh chóng các nhu cầu về xử lý và phân tích dữ liệu.
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt