Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ phát hiện tấn công mạng cho mã nguồn mở ossec

  • Số trang: 69 |
  • Loại file: PDF |
  • Lượt xem: 22 |
  • Lượt tải: 0
tranphuong5053

Đã đăng 6896 tài liệu

Mô tả:

LỜI CẢM ƠN ———————— Để thực hiện được luận văn này, tôi đã nhận được rất nhiều sự hướng dẫn, giúp đỡ và góp ý quý báu từ quý thầy cô, bạn bè và đồng nghiệp. Trước hết, tôi xin gửi lời cảm ơn chân thành đến thầy TS. Đàm Quang Hồng Hải đã định hướng và tận tình hướng dẫn giúp đỡ tôi hoàn thành luận văn này. Tôi xin chân thành cảm ơn anh Hồng Đình Châu, anh Nguyễn Quốc Vạn, anh Đinh Nam Long và Trung tâm điện toán truyền số liệu khu vực 2 đã tạo điều kiện cho tôi được sử dụng hệ thống máy chủ và những dữ liệu quý báu đóng góp vào quá trình phân tích hình thành nghiên cứu của tôi. Nhân đây, tôi xin tỏ lòng biết ơn sâu sắc tới quý thầy cô Học viện Công nghệ Bưu chính Viễn thông đã truyền cho tôi những kiến thức quý báu trong những năm học vừa qua. Đồng thời, tôi xin cảm ơn các bạn học viên lớp CH10CNT02, xin cám ơn gia đình, bạn bè đã ủng hộ, góp ý và giúp đỡ tôi trong quá trình thực hiện đề tài nghiên cứu của mình. Mặc dù đã cố gắng hoàn thành luận văn với tất cả sự nỗ lực nhưng do hạn chế về thời gian, chắc chắn luận văn vẫn còn những thiếu sót, rất mong nhận được những đóng góp quý báu của thầy cô và các bạn. TP. Hồ Chí Minh, tháng 6 năm 2015 Người thực hiện Đinh Như Khoa i MỤC LỤC ĐỀ MỤC TRANG DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT .............................................. iv DANH MỤC CÁC BẢNG ............................................................................................... v DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ ............................................................... vi MỞ ĐẦU..............................................................................................................................1 Chương 1 .............................................................................................................................3 TỔNG QUAN .....................................................................................................................3 1.1 Lịch sử hệ thống phát hiện xâm nhập ....................................................................3 1.2 Các vấn đề cần giải quyết luận văn.........................................................................6 1.3 Các phương pháp nghiên cứu của luận văn..........................................................7 1.4 Những đóng góp chính của luận văn ......................................................................8 1.5 Bố cục của luận văn ....................................................................................................8 1.6 Kết luận chương ....................................................................................................... 10 Chương 2 .......................................................................................................................... 11 NGHIÊN CỨU CÔNG CỤ PHÁT HIỆN XÂM NHẬP MÃ NGUỒN MỞ OSSEC .............................................................................................................................. 11 2.1 Hệ thống phát hiện xâm nhập......................................................................... 11 2.1.1 Phân loại hệ thống phát hiện xâm nhập ............................................................ 11 2.1.1.1 Một số định nghĩa ....................................................................................................................... 11 2.1.1.2 Phân loại IDS ................................................................................................................................ 14 2.1.1.2 So sánh HIDS và NIDS .................................................................................................................. 16 2.1.2 Mô hình và các kỹ thuật triển khai IDS ............................................................ 20 2.1.2.1 Triển khai Host-based IDS .......................................................................................................... 21 2.1.2.2 Triển khai Netwo rk-based IDS .................................................................................................. 22 2.1.3 Chính sách IDS .................................................................................................... 23 2.2 Công cụ phát hiện xâm nhập mã nguồn mở ossec ..................................... 24 ii 2.2.1 Giới thiệu về OSSEC .......................................................................................... 24 2.2.2 Các thành phần của OSSEC ............................................................................ 24 2.2.3 Các luật trong OSSEC ....................................................................................... 26 2.2.4 Kiểm tra tính toàn vẹn của hệ thống và phát hiện rootkit ........................... 32 2.2.5 Phản ứng chủ động trong OSSEC .................................................................. 32 2.2.5.1 Cấu hình các dòng lệnh .......................................................................................................... 33 2.2.5.2 Cấu hình phản ứng.................................................................................................................. 34 Chương 3 .......................................................................................................................... 36 PHẦN MỀM QUẢN LÝ LUẬT VÀ CHỨC NĂNG PHÁT HIỆN TẤN CÔNG DDOS DỰA TRÊN MÃ NGUỒN MỞ OSSEC ....................................................... 36 3.1 Phần mềm quản lý luật dựa trên ossec ......................................................... 36 3.1.1 Cơ sở lý luận và thực tiễn ................................................................................... 36 3.1.2 Cách tiếp cận vấn đề............................................................................................ 38 3.1.3 Thiết kế cơ sở dữ liệu.......................................................................................... 38 3.1.4 Mô hình chức năng hoạt động............................................................................ 40 3.1.5 Giao diện của chương trình quản lý .................................................................. 41 3.2 Chức năng phát hiện tấn công ddos .............................................................. 44 3.2.1 Cơ sở lý luận và thực tiễn ................................................................................... 44 3.2.1.1 Các yêu cầu đối với môt hệ thống phát hiện DDos ......................................... 44 3.2.1.2 Phân tích phát hiện các cuộc tấn công DDos ................................................... 45 3.2.1.3 Một số thuật toán phát hiện DDos ..................................................................... 45 3.2.2 Các thuật toán áp dụng cho chức năng phát hiện tấn công DDOS ............... 50 3.2.2.1 Cơ chế kiểm tra địa chỉ nguồn ........................................................................... 50 3.2.2.2 Kỹ thuật phát hiện tấn công DDOS theo thuật toán CUSUM ....................... 52 3.2.3 Hiện thực cá chức năng của chương trình ........................................................ 53 3.2.3.1 Quản lý các địa chỉ đã truy cập..................................................................... 53 3.2.3.2 Phân tích tấn công, cảnh báo và ngăn chặn các địa chỉ tấn công ............. 57 Chương 4 .......................................................................................................................... 59 iii THỰC NGHIỆM ............................................................. Error! Bookmark not defined. 4.1 Giao diện chức năng quản lý địa chỉ truy cập ............................................ 59 4.1.1 Quản lý cấu hình thông số IAD ......................................................................... 59 4.1.2 Bảng danh sách địa chỉ truy cập mới nhất ........................................................ 60 4.2 Biểu đồ kết quả phân tích phát hiện tấn công DDOS ............................... 61 TÀI LIỆU THAM KHẢO ............................................................................................... 62 iv DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT IDS Hệ thống phát hiện xâm nhập HIDS Hệ thống phát hiện xâm nhập dựa trên máy chủ NIDS Hệ thống phát hiện xâm nhập dựa trên mạng máy tính Log Nhật ký truy nhập File Tập tin Registry Bản đăng ký hệ thống Rootkit Chương trình có khả năng chiếm quyền kiểm soát hệ thống Signatures Dấu hiệu Pattern Mẫu thử TCP Giao thức điều khiển truyền vận UDP Giao thức gửi gói tin cho người dùng Blowfish Thuật toán mã hóa sử dụng khóa đối xứng URL Universal Resource Locator IAD Cơ sở dữ liệu lưu trữ địa chỉ IP v DANH MỤC CÁC BẢNG Bảng 2.1: Bảng phân tích so sánh giữa HIDS và NIDS ....................................... 17 vi DANH MỤC CÁC HÌNH VẼ VÀ ĐỒ THỊ Hình 1.1: Các dòng sản phẩm IDS của Cisco ..................................................................9 Hình 1.2: Các dòng sản phẩm IDS của ISS......................................................................9 Hình 1.3: Các dòng sản phẩm IDS của Symatec .............................................................9 Hình 1.4: Các dòng sản phẩm IDS của Enterasys ........................................................ 10 Hình 2.2: Một số vị trí đặt IDS trong hệ thống mạng .................................................. 17 1 MỞ ĐẦU Cùng với tiến trình phát triển chung của nền kinh tế toàn cầu, Internet ra đời được ví như một cuộc cách mạng trong thế giới kinh doanh và truyền thông. Internet đã và đang thay đổi mọi quan điểm về học tập, kinh doanh và đưa chúng ta đến với thời đại mới - thời đại công nghệ số. Internet trở thành một môi trường kinh doanh xoá đi mọi ranh giới quốc gia và tạo ra một thị trường lớn nhất trong lịch sử nhận loại, cùng với nó là sự phát triển như vũ bão của mạng toàn cầu tại Việt Nam. Bên cạnh những thành tựu to lớn của mạng Internet mang lại cho nhân loại mà chúng ta đang đạt được, nỗi lo về an toàn thông tin ngày càng được quan tâm hơn. Hàng ngày chúng ta được nghe rất nhiều thông tin về các cuộc tấn công vào các hệ thống thông tin quan trọng với những thiệt hại rất lớn về tài chính, thông tin riêng tư của các cá nhân và các tổ chức. Mục tiêu của các cuộc tấn công mạng thì rất đa dạng, từ những vấn đề cá nhân, những mục đích xấu trong kinh doanh cho đến mục tiêu chính trị với tầm ảnh hưởng trên nhiều quốc gia. Tội phạm an ninh mạng ngày càng phát triển cả về số lượng, quy mô và mức độ nguy hiểm. Do vậy vấn đề bảo mật, an ninh mạng luôn luôn được bất cứ cá nhân, công ty hay tổ chức đặt lên hàng đầu. Với khả năng kết nối nhiều máy tính và mạng, bảo mật trở thành vấn đề lớn và khó khăn hơn bao giờ hết trong môi trường doanh nghiệp. Hacker và những kẻ xâm nhập đã dễ dàng đạt được nhiều mục đích trong việc phá hủy hệ thống mạng và dịch vụ web. Rất nhiều hãng có uy tín về bảo mật đã có nhiều giải pháp để hạn chế sự tấn công trên mạng và những phương thức đã được triển khai trong nỗ lực bảo vệ hạ tầng mạng và truyền thông qua mạng internet bao gồm firewall, các phương thức mã hóa, và các mạng riêng ảo,… Phát hiện xâm nhập cũng là một kỹ thuật liên quan được áp dụng. Các phương thức phát hiện xâm nhập xuất hiện vài năm gần đây. Với các phương pháp này người quản trị có thể thu thập và sử dụng thông tin từ các dạng tấn công chưa được biết hoặc phát hiện cuộc tấn công đang diễn ra. Những thông tin thu thập được sẽ 2 giúp người quản trị gia cố an ninh mạng, đưa ra các chính sách an toàn cho hệ thống nhằm giảm thiểu những tấn công bất hợp pháp. Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) được sử dụng để tạo sự bảo mật đối với các gói vào và ra trong mạng. IDS thường được sử dụng để phát hiện gói mạng bằng việc cung cấp cho người quản trị một sự hiểu biết về những gì đang thực sự xảy ra trong mạng. Các hệ thống IDS được chia thành các loại sau: Host-based IDS (HIDS): Sử dụng dữ liệu kiểm tra từ một máy trạm đơn để phát hiện xâm nhập. Network-based IDS (NIDS): Sử dụng dữ liệu trên toàn bộ lưu thông mạng, cùng với dữ liệu kiểm tra từ một hoặc một vài máy trạm để phát hiện xâm nhập. Với mục tiêu tìm hiểu và xây dựng hệ quản lý luật nhằm phát hiện và ngăn chặn tấn công các máy chủ đặt tại Trung tâm điện toán truyền số liệu khu vực 2 (VDC2), tác giả chọn đề tài “Nghiên cứu và xây dựng hệ quản lý luật hỗ trợ phát hiện tấn công mạng cho mã nguồn mở OSSEC” cho luận văn tốt nghiệp của mình. 3 Chương 1 TỔNG QUAN Trong chương này luận văn giới thiệu tổng quan về hệ thống phát hiện xâm nhập và ứng dụng mã nguồn mở OSSEC. Đồng thời luận văn cũng trình bày các phương pháp nghiên cứu và những đóng góp chính của luận văn. Bố cục của luận văn cũng được giới thiệu cho người đọc cái nhìn khái quát trước khi đi vào chi tiết. 1.1 Lịch sử hệ thống phát hiện xâm nhập Quá trình ra đời hệ thống phát hiện xâm nhập gắn liền với sự bùng nổ internet và các mạng doanh nghiệp.Việc đảm bảo môi trường doanh nghiệp về an toàn thông tin trở nên cấp bách hơn bao giờ hết, đặc biệt trước các cuộc tấn công của hacker-những kẻ xâm nhập. Phát hiện xâm nhập là tiến trình theo dõi các sự kiện xảy ra trên một hệ thống máy tính hay hệ thống mạng, phân tích chúng để tìm ra các dấu hiệu bất thường và không hợp pháp. Xâm nhập bất hợp pháp được định nghĩa là sự cố gắng tìm mọi cách để xâm hại đến tính toàn vẹn, tính sẵn sàng, tính có thể tin cậy hay là sự cố gắng vượt qua các cơ chế bảo mật của hệ thống máy tính hay mạng đó. Việc xâm nhập có thể là xuất phát từ một kẻ tấn công nào đó trên mạng Internet nhằm giành quyền truy cập hệ thống, hay cũng có thể là một người dùng được phép trong hệ thống đó muốn chiếm đoạt các quyền khác mà họ chưa được cấp phát. Ý tưởng về phát hiện xâm nhập được James Anderson nêu ra lần đầu tiên vào năm 1980. Khi đó người ta cần IDS với mục đích là dò tìm và nghiên cứu các hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm 1988. Cho đến tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS chỉ được xuất hiện trong các phòng thí nghiệm và viện nghiên cứu. Vài năm sau đó, 4 Cisco nhận ra tầm quan trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS là Wheel Group. Thị trường IDS bùng nổ mạnh từ sau năm 2000, sau đó tiếp tục phát triển đến ngày nay. Một số nhà cung cấp sản phẩm IDS hiện nay là Cisco cung cấp các dòng sản IDS 4210, 4230 và tích hợp trong Switch Catalyst 6000. HID (Host Intrusion Detection )sử dụng công nghệ Entercept trong Standard Edition, WEB Edition Hình 1.1 Các dòng sản phẩm IDS của Cisco Internet Security Systems (ISS) cung cấp cả NID và HID trong đó có NID với công nghệ Gigabit Hình 1.2 Các dòng sản phẩm IDS của ISS Symantec bao gồm các sản phẩm ITA và NetPower Hình 1.3 Các dòng sản phẩm IDS của Symantec Enterasys với Dragon NID và Squire HID system 5 Hình 1.4 Các dòng sản phẩm IDS của Enterasys Tại Việt Nam có rất nhiều các giải pháp bảo mật sử dụng IDS, tuy nhiên hầu hết các giải pháp này đều sử dụng các sản phẩm appliance là các sản phẩm phần cứng đã được tích hợp IDS, phổ biến nhất là các dòng sản phẩm của CISCO. Đối với các hệ thống ngân hàng lớn, thường sử dụng dòng sản phẩm ISS Proventia, đây là IDS được xếp loại cao nhất trong số các sản phẩm IDS phần cứng. Tuy nhiên đối với các tổ chức có mô hình mạng nhỏ thì đây không phải là một giải pháp thực sự kinh tế, vì chi phí cho các sản phẩm này khá cao. Bên cạnh những dòng IDS dùng phần cứng, cũng có rất nhiều IDS dùng phần mềm. Theo Insecure.org ( http://sectools.org/tag/ids/) OSSEC là một số hệ thống phát hiện xâm nhập bằng phần mềm có khả năng rất mạnh và được các nhà cung cấp dịch vụ Internet hay các trung tâm dữ liệu sử dụng . OSSEC là một sản phẩm IDS mã nguồn mở đã được hãng bảo mật TREND Micro mua lại, nó hoạt động dựa trên các tập luật được định nghĩa với 15 mức độ ưu tiên khác nhau, phân tích nhật ký truy nhập (log), tính toàn vẹn tập tin (file) và Bản đăng ký hệ thống (registry) để theo dõi, thực thi các chính sách, phát hiện rootkit nhằm cảnh báo và phản ứng tích cực. Thực tế là trong mấy năm gần đây đã có xu hướng sử dụng các sản phẩm IDS phần mềm thay cho các giải pháp phần cứng, điển hình là sản phẩm mã nguồn mở OSSEC. Bởi vì, có hai yêu cầu chính khi triển khai một IDS đó là chi phí cùng với khả năng đáp ứng linh họat của nó trước sự phát triển nhanh chóng của công nghệ thông tin và OSSEC có thể đáp ứng rất tốt cả hai yêu cầu này. Ngòai ra OSSEC còn là một sản phẩm mã nguồn mở và có một cộng đồng phát triển đông đảo được quản lí chặt chẽ cho nên khi có những dạng xâm nhập mới được phát hiện thì ngay lập tức được các nhà phát triển cảnh báo và cập nhật các luật một cách 6 nhanh chóng và các doanh nghiệp có thể thay đổi mã nguồn cho phù hợp với yêu cầu của mình. Vì vậy OSSEC là phần mềm IDS mạnh mẽ và được dùng nhiều hiện nay trên thế giới trong vấn đề phát hiện xâm nhập. Một hướng phát triển xa hơn trong bảo mật mạng là có thể phát triển IDS thành một IPS (Intrusion Prevention System) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn chặn các cuộc tấn công đó. Nghĩa là, IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn hoặc cản trở các cuộc tấn công đó. Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS được đặt ở vành đai mạng, đủ khả năng bảo vệ tất cả các thiết bị trong mạng. Công cụ mã nguồn mở OSSEC đã được xây dựng và phất triển rất lâu, mục đích là gọn nhẹ và hiệu quả, bên cạnh đó chủ yếu phục vụ cho người quản trị có am hiểu về hệ thống rất cao. Các giao diện cho người dùng rất khó dùng và chỉ thể hiệ n những lịch sử truy nhập dạng thô, và để cấu hình những luật mới hay chỉnh sửa phải dùng lệnh rất dài để cấu hình trong hệ điều hành Linux hoặc chỉnh sửa các tập tin XML được định nghĩa sẵn. Những khó khăn này làm cho hệ thống bớt hiệu quả bởi người quản trị phải luôn xem lịch sử truy cập và phải tự phân tích rất nhiều, ngoài ra việc chỉnh sửa hay thêm bớt các luật không được thuận tiện làm cho người quản trị cảm thấy không thoải mái. Chính vì vậy, vấn đề cần thiết của việc xây dựng ứng dụng quản lý các luật của OSSEC một cách trực quan sẽ giúp cho người quản trị rất nhiều trong quá trình khai thác các điểm mạnh của OSSEC. 1.2 Các vấn đề cần giải quyết trong luận văn Vấn đề đầu tiên là tạo được công cụ quản trị một cách trực quan bằng cách xây dựng một chương trình có giao diện thân thiện, dễ sử dụng với những chức năng cho phép cập nhật tương tác tích hợp với hệ thống OSSEC. Hệ thống cho phép Phải hiển thị được các cảnh báo dạng biểu đồ để người quản trị dễ giám sát hệ thống. 7 Vấn đề thứ hai là xây dựng công cụ phát hiện và cảnh báo tấn công DDOS một cách tự động nhằm cảnh báo sớm cho người quản trị bằng cách nghiên cứu các giải thuật phát hiện tấn công DDOS, cải tiến các giải thuật để tối ưu nhằm tăng tỉ lệ phát hiện tấn công và giảm tỉ lệ cảnh báo giả. Từ những lý do trên, mục tiêu chính của luận văn là xây dựng được hệ thống ứng dụng quản trị các luật và tích hợp với hệ thống OSSEC giúp người dùng theo dõi hệ thống nhanh và chính xác hơn. Bên cạnh đó luận văn cũng tìm hiểu một số phương pháp để phát hiện tấn công từ chối dịch vụ phân tán một cách nhanh chóng để người quản trị sớm có những quyết định chống lại các tấn công nguy hiểm này. 1.3 Các phương pháp nghiên cứu của luận văn Luận văn nghiên cứu các phương pháp phát hiện tấn công từ chối dịch vụ phân tán của các tác giả trước đó. Ứng dụng những phương pháp phù hợp nhất cho hệ thống của mình, đề xuất các cải tiến trong quá trình nghiên cứu. Một số phương pháp được luận văn sử dụng bao gồm:  Phương pháp theo dõi địa chỉ nguồn : Lữu trữ những địa chỉ đã truy cập để phân tích và phân loại nhằm quyết định xem địa chỉ truy cập đó có phải là địa chỉ hợp lệ hay không.  Phương pháp CUSUM (phương pháp tổng tích lũy) : Xây dựng ngưỡng giới hạn để xác định tấn công. 8 1.4 Những đóng góp chính của luận văn Luận văn đã tìm hiểu và xây dựng một hệ thống quản trị các luật và tích hợp với hệ thống OSSEC ứng dụng giúp người dùng tương tác với hệ thống OSSEC dễ dàng hơn, cho phép cập nhật, chỉnh sửa các luật, theo dõi lịch sử truy cập hệ thống trực quan dạng biểu đồ. Luận văn đã tìm hiểu các phương pháp của các nghiên cứu trước đó. Chọn lọc và ứng dụng các giải thuật phù hợp cho nghiên cứu của mình. Đồng thời luận văn đề xuất một số phương pháp sau đây:  Dùng giải thuật SIM (Source IP Address Monitoring) để lưu trữ các địa chỉ truy cập hệ thống. Nhưng không cần phải lưu các thông số như số lần truy cập của địa chỉ cũng như số gói tin của địa chỉ truy cập.  Dựa vào lý thuyết thuật toán CUSUM để xây dựng các thông số cần tính toán nhằm đưa ra quyết định cảnh báo hoặc ngăn chặn khi có tấn công DDOS thông qua các cấu hình của người quản trị. 1.5 Bố cục của luận văn Luận văn gồm các phần sau.  Mở đầu  Chương 1: Tổng quan Chương này luận văn giới thiệu tổng quan về hệ thống phát hiện xâm nhập và ứng dụng mã nguồn mở OSSEC. Đồng thời luận văn cũng trình bày các phương pháp nghiên cứu và những đóng góp chính của luận văn. Bố cục của luận văn cũng được giới thiệu cho người đọc cái nhìn khái quát trước khi đi vào chi tiết.  Chương 2: Nghiên cứu công cụ phát hiện xâm nhập mã nguồn mở OSSEC Chương hai luận văn giới thiệu rõ hơn về hệ thống phát hiện xâm nhập. Bên cạnh đó cũng giới thiệu chi tiết công cụ phát hiện xâm nhập 9 bằng phần mềm mã nguồn mở OSSEC, qua đó cũng phân tích các lý do cần phải hoàn thiện để tận dụng các thế mạnh của OSSEC trong việc phát hiện xâm nhập.  Chương 3: Hệ thống Phần mềm quản lý luật và chức năng phát hiện tấn công DDOS dựa trên tích hợp với mã nguồn mở OSSEC và chức năng phát hiện tấn công DDOS (sửa lại tên chương 3) Đây là chương quan trọng nhất của luận văn. Trong chương này luận văn trình bày cơ sở lý luận và thực tiễn là tiền đề cho việc phát triển Hệ thống ứng dụng quản lý luật nhằm mang lại công cụ quản trị thuận tiện cho người dùng. Bên cạnh đó luận văn cũng phát triển một chức năng nhằm phát hiện sớm tấn công DDOS để cảnh báo đến người quản trị và đưa ra hướng giải quyết nhằm ngăn chặn tấn công DDOS.  Chương 4: Đánh giá kết quả đạt được Thực nghiệm (sửa lại tên chương 3) Trong chương này luận văn trình bày những kết quả thực nghiệm áp dụng vào thực tế để phân tích dữ liệu và kết quả đạt được của ứng dụng quản lý luật và đặc biệt là kết quả thực tế trong quá trình phân tích tấn công DDOS dựa trên cải tiến giải thuật CUSUM. Luận văn cũng trình bày kết quả những cải tiến so với giải thuật CUSUM.  Kết luận Phần này tổng quát lại những đóng góp của luận văn, những kết quả đạt được trong quá trình nghiên cứu của tác giả.  Kiến nghị các hướng nghiên cứu tiếp theo Phần này đề xuất cho những nghiên cứu tiếp theo để hoàn thiện phần mềm quản lý luật và phát hiện tấn công từ chối dịch vụ phân tán. 10 1.6 Kết luận chương Chương này Luận văn đã giới thiệu tổng quan về phát hiện xâm nhập và các vấn đề luận văn cần quan tâm. Trong đó quan trọng nhất là cải tiến tỉ lệ phát hiện tấn công DDOS. Điều này đòi hỏi cần giảm bớt độ phức tạp của thuật giải nhưng vẫn đảm bảo độ chính xác của hệ thống. Ngoài ra Chương này cũng trình bày các phương pháp thực hiện của luận văn.. Bố cục luận văn cũng được giới thiệu cho người đọc cái nhìn tổng quát trước khi đi sâu vào chi tiết. 11 Chương 2 HỆ THỐNG PHÁT HIỆN XÂM NHẬP MÃ NGUỒN MỞ OSSEC Trong chương này luận văn giới thiệu rõ hơn về hệ thống phát hiện xâm nhập. Bên cạnh đó cũng giới thiệu chi tiết công cụ phát hiện xâm nhập bằng phần mềm mã nguồn mở OSSEC, qua đó cũng phân tích các lý do cần phải hoàn thiện để tận dụng các thế mạnh của OSSEC trong việc phát hiện xâm nhập. 2.1 Hệ thống phát hiện xâm nhập Hệ thống phát hiện xâm nhập là một công cụ chủ yếu đóng góp vào bộ bảo mật như tường lửa hoặc phần mềm chống virus. Các công cụ đó sẽ không có hiệu quả nếu được sử dụng tách biệt nhau. Chính vì vậy chúng ta cần kết hợp các công nghệ tin cậy và kiểm tra chặt chẽ, bảo đảm rằng ứng dụng IDS được sử dụng một cách hiệu quả. [1] Nhiều chuyên gia bảo mật mạng biết rằng tường lửa là một thành phần cơ bản đối với kế hoạch bảo mật toàn diện. Họ cũng nhận thấy rằng IDS là một sản phẩm bổ sung hữu hiệu để thực hiện tốt được chiến lược bảo mật của công ty. Vấn đề là chọn lựa mô hình nào để triển khai cho phù hợp với nhu cầu thực tế. 2.1.1 Phân loại hệ thống phát hiện xâm nhập 2.1.1.1 Một số định nghĩa Trước khi đi vào chi tiết của phát hiện xâm nhập, chúng ta cần có một số định nghĩa liên quan đến bảo mật. Đây là các khái niệm thường được sử dụng nhất trong lĩnh vực IDS. 12 IDS Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) là phần mềm hoặc phần cứng hoặc kết hợp của cả hai được dùng để phát hiện các hành vi xâm nhập vào mạng. Mục đích của nó là phát hiện và ngăn ngừa các hành động phá hoại đối với vấn đề bảo mật hệ thống, hoặc những hành động trong tiến trình tấn công như sưu tập, quét các cổng. Tính năng chính của hệ thống này là cung cấp thông tin nhận biết về những hành động không bình thường và đưa ra các cảnh báo cho quản trị viên mạng khóa các kết nối đang tấn công này. Thêm vào đó công cụ IDS cũng có thể phân biệt giữa những tấn công từ bên trong tổ chức (từ chính nhân viên hoặc khách hàng) và tấn công bên ngoài (tấn công từ hacker). OSSEC là một IDS mã nguồn mở phổ biến và được giới thiệu trong khóa luận này. Một IDS có nhiều chức năng hay không là phụ thuộc vào sự phức tạp và tinh vi trong các thành phần của nó. IDS appliances là sản phẩm kết hợp cả phần cứng và phần mềm, hầu hết đều là các sản phẩm thương mại. Như đã đề cập ở trên, một IDS có thể sử dụng kỹ thuật signature, anomaly-based hoặc cả hai. Network-based IDS (NIDS) NIDS dùng để bắt các gói tin từ môi trường mạng (cables hoặc wireless) để so sánh dữ liệu thu thập được với cơ sở dữ liệu đã biết của các dấu hiệu tấn công vào hệ điều hành và ứng dụng. Khi phát hiện được nguy cơ bị tấn công, NIDS có thể phản ứng lại bằng cách log gói tin vào cơ sở dữ liệu, cảnh báo cho nhà quản trị hoặc đưa vào firewall. Host-based IDS (HIDS) HIDS được cài đặt như một agent trên một host cụ thể. HIDS phân tích log của hệ điều hành hoặc các ứng dụng so sánh sự kiện với cơ sở dữ liệu đã biết về các vi phạm bảo mật và các chính sách đã được đặt ra. Nếu thấy có vi phạm HIDS có thể phản ứng lại bằng cách ghi lại các hành động đó, cảnh báo cho nhà quản trị và có thể ngừng hành động lại trước khi nó xảy ra. Signatures 13 Signatrue(dấu hiệu) là một mẫu (pattern) nhận dạng có thể tìm thấy trong một gói tin. Một signature được dùng để phát hiện ra một hoặc nhiều loại tấn công. Ví dụ sự có mặt của “scripts/iisadmin” trong gói tin được gởi đến web server có thể là một hành động tấn công. Signature có thể hiện diện trong một số phần khác nhau của một gói tin phụ thuộc vào ý đồ tấn công. Ví dụ có thể tìm thấy signature trong IP header, transport layer header (TCP hoặc UDP header), application layer header hoặc trong phần payload. Thường thì IDS dựa vào signature để tìm ra hoạt động của người tấn công. Một vài nhà cung cấp IDS yêu cầu phải cập nhật các signature mới trực tiếp từ nhà cung cấp khi có một kiểu tấn công mới được tìm ra. Trong một số IDS khác, chẳng hạn như Snort, ta có thể tự cập nhật các signature do mình tự định nghĩa, như vậy người dùng có thể linh động hơn khi sử dụng. Alerts Alerts là bất kỳ các hình thức thông báo cho người dùng về một hoạt động tấn công. Khi IDS phát hiện ra một kẻ tấn công, nó dùng các hình thức alert để thông báo cho người quản trị bảo mật. Alerts có thể là cửa sổ pop-up, màn hình console, gởi email … Alerts có thể được chứa trong file log hoặc database để được sử dụng trong công tác phân tích của các chuyên gia bảo mật. Logs Các thông báo log thường được lưu vào file. Mặc định OSSEC lưu trữ ở /var/ossec/log. OSSEC có nhiều loại log khác nhau bao gồm log ossec, log alert, log firewall, log active response. OSSEC có công cụ ossec-webui dùng để phân tích log. False Alarm False Alarm là những cảnh báo về một cuộc tấn công nhưng thực tế đó không phải là hành động tấn công. Ví dụ như IDS phát hiện ra một cuộc tấn công vào IIS server nhưng thực tế bên trong hệ thống mạng của bạn không hề có IIS
- Xem thêm -