LỜI CẢM ƠN
————————
Để thực hiện được luận văn này, tôi đã nhận được rất nhiều sự hướng dẫn,
giúp đỡ và góp ý quý báu từ quý thầy cô, bạn bè và đồng nghiệp.
Trước hết, tôi xin gửi lời cảm ơn chân thành đến thầy TS. Đàm Quang Hồng
Hải đã định hướng và tận tình hướng dẫn giúp đỡ tôi hoàn thành luận văn này.
Tôi xin chân thành cảm ơn anh Hồng Đình Châu, anh Nguyễn Quốc Vạn,
anh Đinh Nam Long và Trung tâm điện toán truyền số liệu khu vực 2 đã tạo điều
kiện cho tôi được sử dụng hệ thống máy chủ và những dữ liệu quý báu đóng góp
vào quá trình phân tích hình thành nghiên cứu của tôi.
Nhân đây, tôi xin tỏ lòng biết ơn sâu sắc tới quý thầy cô Học viện Công nghệ
Bưu chính Viễn thông đã truyền cho tôi những kiến thức quý báu trong những năm
học vừa qua.
Đồng thời, tôi xin cảm ơn các bạn học viên lớp CH10CNT02, xin cám ơn gia
đình, bạn bè đã ủng hộ, góp ý và giúp đỡ tôi trong quá trình thực hiện đề tài nghiên
cứu của mình.
Mặc dù đã cố gắng hoàn thành luận văn với tất cả sự nỗ lực nhưng do hạn
chế về thời gian, chắc chắn luận văn vẫn còn những thiếu sót, rất mong nhận được
những đóng góp quý báu của thầy cô và các bạn.
TP. Hồ Chí Minh, tháng 6 năm 2015
Người thực hiện
Đinh Như Khoa
i
MỤC LỤC
ĐỀ MỤC
TRANG
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT .............................................. iv
DANH MỤC CÁC BẢNG ............................................................................................... v
DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ ............................................................... vi
MỞ ĐẦU..............................................................................................................................1
Chương 1 .............................................................................................................................3
TỔNG QUAN .....................................................................................................................3
1.1 Lịch sử hệ thống phát hiện xâm nhập ....................................................................3
1.2 Các vấn đề cần giải quyết luận văn.........................................................................6
1.3 Các phương pháp nghiên cứu của luận văn..........................................................7
1.4 Những đóng góp chính của luận văn ......................................................................8
1.5 Bố cục của luận văn ....................................................................................................8
1.6 Kết luận chương ....................................................................................................... 10
Chương 2 .......................................................................................................................... 11
NGHIÊN CỨU CÔNG CỤ PHÁT HIỆN XÂM NHẬP MÃ NGUỒN MỞ
OSSEC .............................................................................................................................. 11
2.1
Hệ thống phát hiện xâm nhập......................................................................... 11
2.1.1
Phân loại hệ thống phát hiện xâm nhập ............................................................ 11
2.1.1.1 Một số định nghĩa ....................................................................................................................... 11
2.1.1.2 Phân loại IDS ................................................................................................................................ 14
2.1.1.2 So sánh HIDS và NIDS .................................................................................................................. 16
2.1.2
Mô hình và các kỹ thuật triển khai IDS ............................................................ 20
2.1.2.1 Triển khai Host-based IDS .......................................................................................................... 21
2.1.2.2 Triển khai Netwo rk-based IDS .................................................................................................. 22
2.1.3
Chính sách IDS .................................................................................................... 23
2.2
Công cụ phát hiện xâm nhập mã nguồn mở ossec ..................................... 24
ii
2.2.1
Giới thiệu về OSSEC .......................................................................................... 24
2.2.2
Các thành phần của OSSEC ............................................................................ 24
2.2.3
Các luật trong OSSEC ....................................................................................... 26
2.2.4
Kiểm tra tính toàn vẹn của hệ thống và phát hiện rootkit ........................... 32
2.2.5
Phản ứng chủ động trong OSSEC .................................................................. 32
2.2.5.1
Cấu hình các dòng lệnh .......................................................................................................... 33
2.2.5.2
Cấu hình phản ứng.................................................................................................................. 34
Chương 3 .......................................................................................................................... 36
PHẦN MỀM QUẢN LÝ LUẬT VÀ CHỨC NĂNG PHÁT HIỆN TẤN CÔNG
DDOS DỰA TRÊN MÃ NGUỒN MỞ OSSEC ....................................................... 36
3.1
Phần mềm quản lý luật dựa trên ossec ......................................................... 36
3.1.1
Cơ sở lý luận và thực tiễn ................................................................................... 36
3.1.2
Cách tiếp cận vấn đề............................................................................................ 38
3.1.3
Thiết kế cơ sở dữ liệu.......................................................................................... 38
3.1.4
Mô hình chức năng hoạt động............................................................................ 40
3.1.5
Giao diện của chương trình quản lý .................................................................. 41
3.2
Chức năng phát hiện tấn công ddos .............................................................. 44
3.2.1
Cơ sở lý luận và thực tiễn ................................................................................... 44
3.2.1.1 Các yêu cầu đối với môt hệ thống phát hiện DDos ......................................... 44
3.2.1.2 Phân tích phát hiện các cuộc tấn công DDos ................................................... 45
3.2.1.3 Một số thuật toán phát hiện DDos ..................................................................... 45
3.2.2
Các thuật toán áp dụng cho chức năng phát hiện tấn công DDOS ............... 50
3.2.2.1 Cơ chế kiểm tra địa chỉ nguồn ........................................................................... 50
3.2.2.2 Kỹ thuật phát hiện tấn công DDOS theo thuật toán CUSUM ....................... 52
3.2.3
Hiện thực cá chức năng của chương trình ........................................................ 53
3.2.3.1
Quản lý các địa chỉ đã truy cập..................................................................... 53
3.2.3.2
Phân tích tấn công, cảnh báo và ngăn chặn các địa chỉ tấn công ............. 57
Chương 4 .......................................................................................................................... 59
iii
THỰC NGHIỆM ............................................................. Error! Bookmark not defined.
4.1
Giao diện chức năng quản lý địa chỉ truy cập ............................................ 59
4.1.1
Quản lý cấu hình thông số IAD ......................................................................... 59
4.1.2
Bảng danh sách địa chỉ truy cập mới nhất ........................................................ 60
4.2
Biểu đồ kết quả phân tích phát hiện tấn công DDOS ............................... 61
TÀI LIỆU THAM KHẢO ............................................................................................... 62
iv
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
IDS
Hệ thống phát hiện xâm nhập
HIDS
Hệ thống phát hiện xâm nhập dựa trên
máy chủ
NIDS
Hệ thống phát hiện xâm nhập dựa trên
mạng máy tính
Log
Nhật ký truy nhập
File
Tập tin
Registry
Bản đăng ký hệ thống
Rootkit
Chương trình có khả năng chiếm quyền
kiểm soát hệ thống
Signatures
Dấu hiệu
Pattern
Mẫu thử
TCP
Giao thức điều khiển truyền vận
UDP
Giao thức gửi gói tin cho người dùng
Blowfish
Thuật toán mã hóa sử dụng khóa đối xứng
URL
Universal Resource Locator
IAD
Cơ sở dữ liệu lưu trữ địa chỉ IP
v
DANH MỤC CÁC BẢNG
Bảng 2.1: Bảng phân tích so sánh giữa HIDS và NIDS ....................................... 17
vi
DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ
Hình 1.1: Các dòng sản phẩm IDS của Cisco ..................................................................9
Hình 1.2: Các dòng sản phẩm IDS của ISS......................................................................9
Hình 1.3: Các dòng sản phẩm IDS của Symatec .............................................................9
Hình 1.4: Các dòng sản phẩm IDS của Enterasys ........................................................ 10
Hình 2.2: Một số vị trí đặt IDS trong hệ thống mạng .................................................. 17
1
MỞ ĐẦU
Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet ra đời
được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông.
Internet đã và đang thay đổi mọi quan điểm về học tập, kinh doanh và đưa chúng ta
đến với thời đại mới - thời đại công nghệ số. Internet trở thành một môi trường kinh
doanh xoá đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử
nhận loại, cùng với nó là sự phát triển như vũ bão của mạng toàn cầu tại Việt Nam.
Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại mà
chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn.
Hàng ngày chúng ta được nghe rất nhiều thông tin về các cuộc tấn công vào các hệ
thống thông tin quan trọng với những thiệt hại rất lớn về tài chính, thông tin riêng tư
của các cá nhân và các tổ chức. Mục tiêu của các cuộc tấn công mạng thì rất đa
dạng, từ những vấn đề cá nhân, những mục đích xấu trong kinh doanh cho đến mục
tiêu chính trị với tầm ảnh hưởng trên nhiều quốc gia. Tội phạm an ninh mạng ngày
càng phát triển cả về số lượng, quy mô và mức độ nguy hiểm. Do vậy vấn đề bảo
mật, an ninh mạng luôn luôn được bất cứ cá nhân, công ty hay tổ chức đặt lên hàng
đầu.
Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn và
khó khăn hơn bao giờ hết trong môi trường doanh nghiệp. Hacker và những kẻ xâm
nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và dịch
vụ web. Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự
tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ
tầng mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức
mã hóa, và các mạng riêng ảo,…
Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng. Các phương
thức phát hiện xâm nhập xuất hiện vài năm gần đây. Với các phương pháp này
người quản trị có thể thu thập và sử dụng thông tin từ các dạng tấn công chưa được
biết hoặc phát hiện cuộc tấn công đang diễn ra. Những thông tin thu thập được sẽ
2
giúp người quản trị gia cố an ninh mạng, đưa ra các chính sách an toàn cho hệ thống
nhằm giảm thiểu những tấn công bất hợp pháp.
Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) được sử dụng
để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS thường được sử dụng
để phát hiện gói mạng bằng việc cung cấp cho người quản trị một sự hiểu biết về
những gì đang thực sự xảy ra trong mạng. Các hệ thống IDS được chia thành các
loại sau:
Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để
phát hiện xâm nhập.
Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng,
cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập.
Với mục tiêu tìm hiểu và xây dựng hệ quản lý luật nhằm phát hiện và ngăn
chặn tấn công các máy chủ đặt tại Trung tâm điện toán truyền số liệu khu vực 2
(VDC2), tác giả chọn đề tài “Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ
phát hiện tấn công mạng cho mã nguồn mở OSSEC” cho luận văn tốt nghiệp của
mình.
3
Chương 1
TỔNG QUAN
Trong chương này luận văn giới thiệu tổng quan về hệ thống phát hiện xâm
nhập và ứng dụng mã nguồn mở OSSEC. Đồng thời luận văn cũng trình bày
các phương pháp nghiên cứu và những đóng góp chính của luận văn. Bố cục
của luận văn cũng được giới thiệu cho người đọc cái nhìn khái quát trước khi
đi vào chi tiết.
1.1 Lịch sử hệ thống phát hiện xâm nhập
Quá trình ra đời hệ thống phát hiện xâm nhập gắn liền với sự bùng nổ
internet và các mạng doanh nghiệp.Việc đảm bảo môi trường doanh nghiệp về an
toàn thông tin trở nên cấp bách hơn bao giờ hết, đặc biệt trước các cuộc tấn công
của hacker-những kẻ xâm nhập.
Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ
thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu bất
thường và không hợp pháp. Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng
tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là
sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó. Việc
xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó trên mạng Internet nhằm
giành quyền truy cập hệ thống, hay cũng có thể là một người dùng được phép trong
hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát.
Ý tưởng về phát hiện xâm nhập được James Anderson nêu ra lần đầu tiên
vào năm 1980. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các
hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc
lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống
phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988. Cho
đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS
chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Vài năm sau đó,
4
Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp
IDS là Wheel Group. Thị trường IDS bùng nổ mạnh từ sau năm 2000, sau đó tiếp
tục phát triển đến ngày nay.
Một số nhà cung cấp sản phẩm IDS hiện nay là Cisco cung cấp các dòng sản
IDS 4210, 4230 và tích hợp trong Switch Catalyst 6000. HID (Host Intrusion
Detection )sử dụng công nghệ Entercept trong Standard Edition, WEB Edition
Hình 1.1 Các dòng sản phẩm IDS của Cisco
Internet Security Systems (ISS) cung cấp cả NID và HID trong đó có NID
với công nghệ Gigabit
Hình 1.2 Các dòng sản phẩm IDS của ISS
Symantec bao gồm các sản phẩm ITA và NetPower
Hình 1.3 Các dòng sản phẩm IDS của Symantec
Enterasys với Dragon NID và Squire HID system
5
Hình 1.4 Các dòng sản phẩm IDS của Enterasys
Tại Việt Nam có rất nhiều các giải pháp bảo mật sử dụng IDS, tuy nhiên hầu
hết các giải pháp này đều sử dụng các sản phẩm appliance là các sản phẩm phần
cứng đã được tích hợp IDS, phổ biến nhất là các dòng sản phẩm của CISCO. Đối
với các hệ thống ngân hàng lớn, thường sử dụng dòng sản phẩm ISS Proventia, đây
là IDS được xếp loại cao nhất trong số các sản phẩm IDS phần cứng. Tuy nhiên đối
với các tổ chức có mô hình mạng nhỏ thì đây không phải là một giải pháp thực sự
kinh tế, vì chi phí cho các sản phẩm này khá cao.
Bên cạnh những dòng IDS dùng phần cứng, cũng có rất nhiều IDS dùng
phần mềm. Theo Insecure.org ( http://sectools.org/tag/ids/) OSSEC là một số hệ
thống phát hiện xâm nhập bằng phần mềm có khả năng rất mạnh và được các nhà
cung cấp dịch vụ Internet hay các trung tâm dữ liệu sử dụng . OSSEC là một sản
phẩm IDS mã nguồn mở đã được hãng bảo mật TREND Micro mua lại, nó hoạt
động dựa trên các tập luật được định nghĩa với 15 mức độ ưu tiên khác nhau, phân
tích nhật ký truy nhập (log), tính toàn vẹn tập tin (file) và Bản đăng ký hệ thống
(registry) để theo dõi, thực thi các chính sách, phát hiện rootkit nhằm cảnh báo và
phản ứng tích cực.
Thực tế là trong mấy năm gần đây đã có xu hướng sử dụng các sản phẩm
IDS phần mềm thay cho các giải pháp phần cứng, điển hình là sản phẩm mã nguồn
mở OSSEC. Bởi vì, có hai yêu cầu chính khi triển khai một IDS đó là chi phí cùng
với khả năng đáp ứng linh họat của nó trước sự phát triển nhanh chóng của công
nghệ thông tin và OSSEC có thể đáp ứng rất tốt cả hai yêu cầu này. Ngòai ra
OSSEC còn là một sản phẩm mã nguồn mở và có một cộng đồng phát triển đông
đảo được quản lí chặt chẽ cho nên khi có những dạng xâm nhập mới được phát hiện
thì ngay lập tức được các nhà phát triển cảnh báo và cập nhật các luật một cách
6
nhanh chóng và các doanh nghiệp có thể thay đổi mã nguồn cho phù hợp với yêu
cầu của mình. Vì vậy OSSEC là phần mềm IDS mạnh mẽ và được dùng nhiều hiện
nay trên thế giới trong vấn đề phát hiện xâm nhập.
Một hướng phát triển xa hơn trong bảo mật mạng là có thể phát triển IDS
thành một IPS (Intrusion Prevention System) là một kỹ thuật an ninh mới, kết hợp
các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS có khả năng
phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công
đó.
Nghĩa là, IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng
ngăn chặn hoặc cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực
hiện các bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở
vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng.
Công cụ mã nguồn mở OSSEC đã được xây dựng và phất triển rất lâu, mục
đích là gọn nhẹ và hiệu quả, bên cạnh đó chủ yếu phục vụ cho người quản trị có am
hiểu về hệ thống rất cao. Các giao diện cho người dùng rất khó dùng và chỉ thể hiệ n
những lịch sử truy nhập dạng thô, và để cấu hình những luật mới hay chỉnh sửa phải
dùng lệnh rất dài để cấu hình trong hệ điều hành Linux hoặc chỉnh sửa các tập tin
XML được định nghĩa sẵn. Những khó khăn này làm cho hệ thống bớt hiệu quả bởi
người quản trị phải luôn xem lịch sử truy cập và phải tự phân tích rất nhiều, ngoài ra
việc chỉnh sửa hay thêm bớt các luật không được thuận tiện làm cho người quản trị
cảm thấy không thoải mái. Chính vì vậy, vấn đề cần thiết của việc xây dựng ứng
dụng quản lý các luật của OSSEC một cách trực quan sẽ giúp cho người quản trị rất
nhiều trong quá trình khai thác các điểm mạnh của OSSEC.
1.2 Các vấn đề cần giải quyết trong luận văn
Vấn đề đầu tiên là tạo được công cụ quản trị một cách trực quan bằng cách
xây dựng một chương trình có giao diện thân thiện, dễ sử dụng với những chức
năng cho phép cập nhật tương tác tích hợp với hệ thống OSSEC. Hệ thống cho phép
Phải hiển thị được các cảnh báo dạng biểu đồ để người quản trị dễ giám sát hệ
thống.
7
Vấn đề thứ hai là xây dựng công cụ phát hiện và cảnh báo tấn công DDOS
một cách tự động nhằm cảnh báo sớm cho người quản trị bằng cách nghiên cứu các
giải thuật phát hiện tấn công DDOS, cải tiến các giải thuật để tối ưu nhằm tăng tỉ lệ
phát hiện tấn công và giảm tỉ lệ cảnh báo giả.
Từ những lý do trên, mục tiêu chính của luận văn là xây dựng được hệ thống
ứng dụng quản trị các luật và tích hợp với hệ thống OSSEC giúp người dùng theo
dõi hệ thống nhanh và chính xác hơn. Bên cạnh đó luận văn cũng tìm hiểu một số
phương pháp để phát hiện tấn công từ chối dịch vụ phân tán một cách nhanh chóng
để người quản trị sớm có những quyết định chống lại các tấn công nguy hiểm này.
1.3 Các phương pháp nghiên cứu của luận văn
Luận văn nghiên cứu các phương pháp phát hiện tấn công từ chối dịch vụ phân
tán của các tác giả trước đó. Ứng dụng những phương pháp phù hợp nhất cho hệ
thống của mình, đề xuất các cải tiến trong quá trình nghiên cứu. Một số phương
pháp được luận văn sử dụng bao gồm:
Phương pháp theo dõi địa chỉ nguồn : Lữu trữ những địa chỉ đã truy cập để
phân tích và phân loại nhằm quyết định xem địa chỉ truy cập đó có phải là địa chỉ
hợp lệ hay không.
Phương pháp CUSUM (phương pháp tổng tích lũy) : Xây dựng ngưỡng giới
hạn để xác định tấn công.
8
1.4 Những đóng góp chính của luận văn
Luận văn đã tìm hiểu và xây dựng một hệ thống quản trị các luật và tích hợp
với hệ thống OSSEC ứng dụng giúp người dùng tương tác với hệ thống OSSEC dễ
dàng hơn, cho phép cập nhật, chỉnh sửa các luật, theo dõi lịch sử truy cập hệ thống
trực quan dạng biểu đồ.
Luận văn đã tìm hiểu các phương pháp của các nghiên cứu trước đó. Chọn lọc
và ứng dụng các giải thuật phù hợp cho nghiên cứu của mình. Đồng thời luận văn
đề xuất một số phương pháp sau đây:
Dùng giải thuật SIM (Source IP Address Monitoring) để lưu trữ các địa chỉ
truy cập hệ thống. Nhưng không cần phải lưu các thông số như số lần truy cập của
địa chỉ cũng như số gói tin của địa chỉ truy cập.
Dựa vào lý thuyết thuật toán CUSUM để xây dựng các thông số cần tính
toán nhằm đưa ra quyết định cảnh báo hoặc ngăn chặn khi có tấn công DDOS thông
qua các cấu hình của người quản trị.
1.5 Bố cục của luận văn
Luận văn gồm các phần sau.
Mở đầu
Chương 1: Tổng quan
Chương này luận văn giới thiệu tổng quan về hệ thống phát hiện
xâm nhập và ứng dụng mã nguồn mở OSSEC. Đồng thời luận văn cũng
trình bày các phương pháp nghiên cứu và những đóng góp chính của
luận văn. Bố cục của luận văn cũng được giới thiệu cho người đọc cái
nhìn khái quát trước khi đi vào chi tiết.
Chương 2: Nghiên cứu công cụ phát hiện xâm nhập mã nguồn mở
OSSEC
Chương hai luận văn giới thiệu rõ hơn về hệ thống phát hiện xâm
nhập. Bên cạnh đó cũng giới thiệu chi tiết công cụ phát hiện xâm nhập
9
bằng phần mềm mã nguồn mở OSSEC, qua đó cũng phân tích các lý do
cần phải hoàn thiện để tận dụng các thế mạnh của OSSEC trong việc
phát hiện xâm nhập.
Chương 3: Hệ thống Phần mềm quản lý luật và chức năng phát hiện tấn
công DDOS dựa trên tích hợp với mã nguồn mở OSSEC và chức năng
phát hiện tấn công DDOS (sửa lại tên chương 3)
Đây là chương quan trọng nhất của luận văn. Trong chương này
luận văn trình bày cơ sở lý luận và thực tiễn là tiền đề cho việc phát
triển Hệ thống ứng dụng quản lý luật nhằm mang lại công cụ quản trị
thuận tiện cho người dùng. Bên cạnh đó luận văn cũng phát triển một
chức năng nhằm phát hiện sớm tấn công DDOS để cảnh báo đến người
quản trị và đưa ra hướng giải quyết nhằm ngăn chặn tấn công DDOS.
Chương 4: Đánh giá kết quả đạt được Thực nghiệm (sửa lại tên chương
3)
Trong chương này luận văn trình bày những kết quả thực nghiệm
áp dụng vào thực tế để phân tích dữ liệu và kết quả đạt được của ứng
dụng quản lý luật và đặc biệt là kết quả thực tế trong quá trình phân tích
tấn công DDOS dựa trên cải tiến giải thuật CUSUM. Luận văn cũng
trình bày kết quả những cải tiến so với giải thuật CUSUM.
Kết luận
Phần này tổng quát lại những đóng góp của luận văn, những kết
quả đạt được trong quá trình nghiên cứu của tác giả.
Kiến nghị các hướng nghiên cứu tiếp theo
Phần này đề xuất cho những nghiên cứu tiếp theo để hoàn thiện
phần mềm quản lý luật và phát hiện tấn công từ chối dịch vụ phân tán.
10
1.6 Kết luận chương
Chương này Luận văn đã giới thiệu tổng quan về phát hiện xâm nhập và các
vấn đề luận văn cần quan tâm. Trong đó quan trọng nhất là cải tiến tỉ lệ phát hiện
tấn công DDOS. Điều này đòi hỏi cần giảm bớt độ phức tạp của thuật giải nhưng
vẫn đảm bảo độ chính xác của hệ thống. Ngoài ra Chương này cũng trình bày các
phương pháp thực hiện của luận văn.. Bố cục luận văn cũng được giới thiệu cho
người đọc cái nhìn tổng quát trước khi đi sâu vào chi tiết.
11
Chương 2
HỆ THỐNG PHÁT HIỆN XÂM NHẬP MÃ
NGUỒN MỞ OSSEC
Trong chương này luận văn giới thiệu rõ hơn về hệ thống phát hiện xâm
nhập. Bên cạnh đó cũng giới thiệu chi tiết công cụ phát hiện xâm nhập bằng
phần mềm mã nguồn mở OSSEC, qua đó cũng phân tích các lý do cần phải
hoàn thiện để tận dụng các thế mạnh của OSSEC trong việc phát hiện xâm
nhập.
2.1 Hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập là một công cụ chủ yếu đóng góp vào bộ bảo
mật như tường lửa hoặc phần mềm chống virus. Các công cụ đó sẽ không có hiệu
quả nếu được sử dụng tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công
nghệ tin cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng một
cách hiệu quả. [1]
Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ
bản đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một sản
phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của công ty. Vấn
đề là chọn lựa mô hình nào để triển khai cho phù hợp với nhu cầu thực tế.
2.1.1 Phân loại hệ thống phát hiện xâm nhập
2.1.1.1 Một số định nghĩa
Trước khi đi vào chi tiết của phát hiện xâm nhập, chúng ta cần có một số
định nghĩa liên quan đến bảo mật. Đây là các khái niệm thường được sử dụng nhất
trong lĩnh vực IDS.
12
IDS
Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là phần
mềm hoặc phần cứng hoặc kết hợp của cả hai được dùng để phát hiện các hành vi
xâm nhập vào mạng. Mục đích của nó là phát hiện và ngăn ngừa các hành động phá
hoại đối với vấn đề bảo mật hệ thống, hoặc những hành động trong tiến trình tấn
công như sưu tập, quét các cổng. Tính năng chính của hệ thống này là cung cấp
thông tin nhận biết về những hành động không bình thường và đưa ra các cảnh báo
cho quản trị viên mạng khóa các kết nối đang tấn công này. Thêm vào đó công cụ
IDS cũng có thể phân biệt giữa những tấn công từ bên trong tổ chức (từ chính nhân
viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker). OSSEC là một
IDS mã nguồn mở phổ biến và được giới thiệu trong khóa luận này. Một IDS có
nhiều chức năng hay không là phụ thuộc vào sự phức tạp và tinh vi trong các thành
phần của nó. IDS appliances là sản phẩm kết hợp cả phần cứng và phần mềm, hầu
hết đều là các sản phẩm thương mại. Như đã đề cập ở trên, một IDS có thể sử dụng
kỹ thuật signature, anomaly-based hoặc cả hai.
Network-based IDS (NIDS)
NIDS dùng để bắt các gói tin từ môi trường mạng (cables hoặc wireless) để
so sánh dữ liệu thu thập được với cơ sở dữ liệu đã biết của các dấu hiệu tấn công
vào hệ điều hành và ứng dụng. Khi phát hiện được nguy cơ bị tấn công, NIDS có
thể phản ứng lại bằng cách log gói tin vào cơ sở dữ liệu, cảnh báo cho nhà quản trị
hoặc đưa vào firewall.
Host-based IDS (HIDS)
HIDS được cài đặt như một agent trên một host cụ thể. HIDS phân tích log
của hệ điều hành hoặc các ứng dụng so sánh sự kiện với cơ sở dữ liệu đã biết về các
vi phạm bảo mật và các chính sách đã được đặt ra. Nếu thấy có vi phạm HIDS có
thể phản ứng lại bằng cách ghi lại các hành động đó, cảnh báo cho nhà quản trị và
có thể ngừng hành động lại trước khi nó xảy ra.
Signatures
13
Signatrue(dấu hiệu) là một mẫu (pattern) nhận dạng có thể tìm thấy trong
một gói tin. Một signature được dùng để phát hiện ra một hoặc nhiều loại tấn công.
Ví dụ sự có mặt của “scripts/iisadmin” trong gói tin được gởi đến web server có thể
là một hành động tấn công.
Signature có thể hiện diện trong một số phần khác nhau của một gói tin phụ
thuộc vào ý đồ tấn công. Ví dụ có thể tìm thấy signature trong IP header, transport
layer header (TCP hoặc UDP header), application layer header hoặc trong phần
payload.
Thường thì IDS dựa vào signature để tìm ra hoạt động của người tấn công.
Một vài nhà cung cấp IDS yêu cầu phải cập nhật các signature mới trực tiếp từ nhà
cung cấp khi có một kiểu tấn công mới được tìm ra. Trong một số IDS khác, chẳng
hạn như Snort, ta có thể tự cập nhật các signature do mình tự định nghĩa, như vậy
người dùng có thể linh động hơn khi sử dụng.
Alerts
Alerts là bất kỳ các hình thức thông báo cho người dùng về một hoạt động
tấn công. Khi IDS phát hiện ra một kẻ tấn công, nó dùng các hình thức alert để
thông báo cho người quản trị bảo mật. Alerts có thể là cửa sổ pop-up, màn hình
console, gởi email … Alerts có thể được chứa trong file log hoặc database để được
sử dụng trong công tác phân tích của các chuyên gia bảo mật.
Logs
Các thông báo log thường được lưu vào file. Mặc định OSSEC lưu trữ ở
/var/ossec/log. OSSEC có nhiều loại log khác nhau bao gồm log ossec, log alert, log
firewall, log active response. OSSEC có công cụ ossec-webui dùng để phân tích
log.
False Alarm
False Alarm là những cảnh báo về một cuộc tấn công nhưng thực tế đó
không phải là hành động tấn công. Ví dụ như IDS phát hiện ra một cuộc tấn công
vào IIS server nhưng thực tế bên trong hệ thống mạng của bạn không hề có IIS
- Xem thêm -