Đang tải... (xem toàn văn)
Phương pháp phát hiện bất thường trên hệ thống mạng
TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính LỜI CẢM ƠN Em xin gửi lời cảm ơn trân trọng đến gia đình, thầy cô bạn bè ủng hộ, giúp đỡ em suốt trình thực đề tài, đặc biệt Giảng Viên ThS Huỳnh Nguyên Chính người trực tiếp tận tình hướng dẫn em hoàn thành tiều luận Do thời gian nghiên cửu có hạn nên khoá luận không tránh khỏi thiếu sót định mong đóng góp ý kiến thầy cô người quan tâm tới đề tài này.Em xin chân thành cảm ơn! TP HCM, tháng 12 năm 2014 Nguyễn Văn Lệnh Page TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Lời Nhận Xét Của Giáo Viên Hướng Dẫn Danh Mục Viết Tắt ICMP TELNET FTP TCP UDP IDS IPS NIDS HIDS DoS MLP The Internet Control Message Protocol TErminaL NETwork File Transfer Protocol Transmission Control Protocol User Datagram Protocol Intrusion detection system Intrusion prevention system Network-based intrusion detection system Host-based intrusion detection system Denial of Service Multi-layered Perceptron Page TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Chương I: Tổng quát an toàn mạng An toàn mạng yêu cầu 1.1 Khái quát an toàn mạng - Trong kỷ 21 kỷ đại, kỷ thuật công nghệ Bên cạnh công nghệ phát triển công nghệ vi mạch, công nghệ SmartPhone mạng internet phát triển ngày mạnh, theo thông kế số người dùng liên tục tăng dẫn đến nhiều dịch vụ trực tuyến phát triển mạng mẽ dịch vụ thương mại điện tử, toán trực tuyến Một dịch vụ trực tuyến tăng yêu cầu đảm bảo an toàn dịch vụ, đảm bảo thông tin người dùng thách thứ lớn, không dám thông tin đến người nhận không bị đánh cắp thay đổi bên cạnh lỗ hổng bảo mật bị phát khai thác vấn đề đảm bảo an toàn mạng luôn vấn đề nóng - quan tâm đến thời điểm An ninh mạng có nghĩa bảo vệ hệ thống mạng máy tính khỏi phá hoại phần cứng hay chỉnh sửa liệu (phần mềm) mà không cho phép từ người cố ý hay vô tình An toàn mạng cung cấp giải pháp, sách, bảo vệ máy tính, hệ thống mạng để làm cho người dùng trái phép, phần mềm chứa mã độc xâm nhập bất hợp - pháp vào máy Năm 2010, Việt Nam 10 nước có nguy an toàn thông tin cao (dựa báo cao tổng hợp an ninh thông tin nhiều hãng bảo mật nước McAfee, Kaspersky hay checkPoint ) đứng thứ sau Trung Quốc, Nga, Ấn Độ, Page TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Mỹ mức độ rủi ro mà người dùng nhà cung cấp dịch vụ internet bị công 1.2 Các yêu cầu an toàn mạng - Khái niệm an toàn mạng thông tin: đảm bảo an toàn truyền thông tin máy tính, đảm bảo quyền truy xuất, sử dụng tài nguyên thông tin, tính bảo mật - dịch vụ, thông tin người dùng hệ thống dịch vụ hệ thống mạng An toàn hệ thống mạng điều cần thiết hệ thống mạng Sự an toàn hệ thống mạng thể qua vấn đề sau: Thông tin – bí mật: phải đảm bảo thông tin cung cấp cho người hợp pháp cách xác có truy nhập hợp pháp Thông tin – toàn vẹn: thông tin chỉnh sửa (có thể sửa, xóa thay ) người ủy quyền Thông tin – sẵn sàng: thông tin liệu sẵn sàng cung cấp cho người hợp pháp cần đến thật - Một hệ thống an ninh mạng phải đảm bảo yêu cầu sau: Tính bí mật (Confidentiality): đảm bảo liệu bảo vệ cách an toàn, bí mật không bị nhóm công lấy cắp Tính toàn vẹn liệu (data integrity): hệ thống đảm bảo tính toàn vẹn liệu có cố xảy hệ thống mạng sửa đổi trái phép sở liệu Tinh ủy quyền (authorization): đảm bảo có người quyền đăng nhập vào hệ thống Tính sẵn sàng (availability): đảm bảo người dùng hợp pháp truy cập vào tài nguyên mạng Bảo mật thông tin - Thông tin có giá trị cao nên phải đảm bảo tính xác kịp thời, hệ thống cung cấp thông tin có giá trị thực chức hệ thống đảm bảo hoạt động đắn Mục tiêu việc đảm bảo an toàn an ninh mạng cho hệ thống thông tin đưa giải pháp ứng dụng vào giải pháp để loại bỏ giảm bớt nguy hiểm Các cộng công đến từ nhiều hướng theo nhiều cách khác cần phải - đưa sách biện pháp đề phòng cần thiết Bảo mật thông tin hạn chế khả lạm dụng tài nguyên tài sản liệu Hạn chế có nghĩa không triệt phá hết việc xâm phạm liệu, cần phải hạn chế Page TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính khả xấu, phân tích xác công, điểm yếu hệ thống tăng cường bảo mật vùng cần thiết để giảm thiểu thiệt hại cho hệ thống - Bảo mật thông tin chia làm lĩnh vực là: Bảo mật máy tính (computer Security): tiến trình ngăn chặn phát sử dụng không hợp pháp vào máy tính cách lựa chọn công cụ thiết kế để đảm bảo liệu công hackers Bảo mật mạng (network security): phương pháp bảo vệ liệu suốt trình chuyển động mạng nội Bảo mật internet (internet security): phương pháp để bảo vệ liệu suốt trình vận chuyển mạng nội internet 2.1 Các nguy đe dọa: - Trong hệ thống vận hành không công ty hay tổ chức khẳng định “Hệ thống hoàn hảo lỗ hỏng bảo mật”, tồn lỗ hổng bảo mật bên hệ thống điều tất yếu, lỗ hổng thường xuất trên: Phần mềm: trình thiết kế lập trình phần mềm dái, đồng thời nhiều người tham gia nên có sai xót Vd: đoạn code kiểm tra tài khoản user phần mềm statement = "SELECT * FROM users WHERE name = '" + userName + "';" Đoạn code chưa có phần kiềm tra ký tự thoát, nên hacker dùng kỹ thuật Sql injection để vượt qua phần đăng nhập Các sách: Người quản trị đóng vai trò vấn đề Trong trình phân quyền người quản trị phân quyền nhầm cho pc, thông tin lưu máy chủ lúc người ngồi pc thay đổi thông tin trên máy chủ cách dễ dàng Người dùng: Dù bạn có hệ thống hoàn hảo đến vấn đề người quan trọng, chẳng hạn quyền hạn máy tính bạn có quyền đọc ghi liệu lên máy chủ, mà bạn lại cho người khác sử dụng máy tính bạn người hoàn toàn quyền ghi liệu lên máy chủ, lúc việc phân quyền quản trị viên bị vô tác dụng - Một số hình thức công: Dò Quét: Trước công hacker bắt buộc sử dụng phần mềm để quét hệ thống mạng, sau vài phần mềm thông dụng mà hacker thường sử dụng trước công vào hệ thống: Page TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Dùng Pinger, Hping2,… phần mềm gửi gói tin Echo vào hệ thống thông qua giao thức ICMP để phát xem hệ thống hoạt đông hay không, hệ thống không hoạt động hoạn lại công từ đầu Dùng Nmap đề vẽ network map Dùng Sniffer để thăm dò thông tin đoạn mạng đó, phần mềm quản trị viên dùng theo hướng tích cực đề xét tính ồn định mạng Mặt khác hacker sử dụng công cụ thăm dò phát thông tin username password không mã hoá đường truyền Tấn công từ chối dịch vụ (Denial of service): Hình thức công nhằm mục đích làm gián đoạn hay gậy độ trễ định hệ thống mạng cản trở hoạt đồng hợp lệ cúa máy tính khác, hình thức công vào thiết bị định tuyến hay trang web,… Tấn công vào ứng dụng (Application-level Attack): Hình thức công nhằm vào ứng dụng dịch vụ hệ thống Thường công thành công hacker có thề kiềm soát toàn hệ thống Ngày nhiều công diễn giới công ngày tinh vi nhờ có công cụ có sẵn phát tán rộng rãi mạng Page TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Hình 1.1 : Gần 5,2 tỷ công diễn vào năm 2013 (Theo laodong.com.vn) 2.2 Các nguyên tắc bảo vệ thông tin: - Cơ sách máy tính mạng, sách người dùng hệ thống mạng Cần thiết lập cho hosts quyền tối thiểu mà host cần dùng, cho host bình thường nhiều quyền Nhằm hạn chế tối thiểu - việc trình diễn nội dung bên hệ thống Áp dụng nguyên tắc bảo mật theo nhiều mức, tức có nhiều lớp phòng vệ Điều làm - cho hacker trở nên nản chí có nhiều mức phòng vệ hệ thống Xây dựng hệ thống phát dạng công gặp Sử dụng kết hợp biện pháp an toàn bảo mật Sử dụng thiết bảo mật (Firewall), xây dụng hệ thống phát xâm nhập trái phép (IDS), đồng thời yếu tố người quan trọng để tạo hệ thống có tính bảo mật cao Chương II : Hệ thống phát xâm nhập mạng(IDS) Định nghĩa, chức năng, nguyên lý làm việc IDS 1.1 Định nghĩa: - IDS hệ thống theo dõi, phát xâm nhập phòng chống việc xâm nhập bất hợp pháp nhằm đánh cắp, sửa đổi thông tin hệ thống làm ảnh hưởng đến tính toàn vẹn liệu tính sẵn sàng hệ thống IDS thu thập thông tin hệ thống nhiều - cách khác sau phân tích xác định xâm nhập trái phép Một hệ thống IDS vừa phần cứng vừa phần mềm phối hợp cách hợp lý để nhận mối nguy hại công Hệ thống phát hoạt động - xâm nhập trái phép vào mạng việc kiểm tra lại mạng IDS phát công từ bên hay bên nhờ bắt giữ địa ip….IDS dựa vào dấu hiệu đặc biệt so sánh lưu lượng lưu thông mạng với baseline (so với thông số đo đạt chuẩn hệ thống) để tìm dấu hiệu khác thường Page TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Hình 2.1: vị trí đặt thiết bị IDS hệ thống mạng - Một hệ thống IDS (phát xâm nhập trái phép) cần thỏa mãn yêu cầu sau: Tính xác (Accuracy): IDS không xem hành động thông thường môi trường hệ thống hành động bất thường hay lạm dụng Hiệu (performance): chức IDS phải đủ để phát xâm nhập trái phép khoảng thời gian thực (thời gian thực có nghĩa thời gian mà hành động xâm nhập trái phép phải phát trước làm tổn thương hệ thống) Tính trọn vẹn (Completeness):IDS không phép bỏ qua xâm nhập trái phép Nhưng điều khó đáp ứng ngăn chặn tất xâm nhập trái phép Chịu lỗi (Fault tolerance): IDS phải có khả chống lại công Khả mở rộng (Scalability): IDS phải có khả sử lý trang thái xấu không bỏ sót thông tin Có nghĩa có cố IDS đảm bảo cho hệ thống hoạt động tốt không bị tê liệt hệ thống 1.2 Chức năng: - Hệ thống IDS cho phép tổ chức, công ty bảo vệ hệ thống khỏi mối đe doạ môi trường mạng rộng lớn bên An ninh mạng ngày trở nên quan trọng hệ thống, vấn đề đặt giải pháp đáng tin cậy tốt Người ta đưa số lý sau để chứng hệ thông mạng ta nên sử dụng IDS: Bảo vệ tính toàn vẹn liệu hệ thống: Có biện pháp đưa nhằm ngăn chặn xâm nhập bất hợp pháp thay đổi liệu trái phép Page TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Bảo vệ tính bí mật: giữ cho thông tin không bị lộ Bảo vệ tính khả dụng: tức giữ hệ thống có tính sẵn sàng thực cầu người dùng hợp pháp Bảo vệ riêng tư:tức người sử dụng dùng tài nguyên theo chức mà họ phép Thông báo thông tin xâm nhập: dưa sách đối phó, khắc phục, sửa chữa - Tóm lại IDS có chức sau: Giám sát: lưu lượng mạng hoạt động khả nghi Cảnh báo: báo cáo tình trạng mạng cho người quản trị Bảo vệ: chống lại xâm nhập nhằm phá hoại liệu hệ thống 1.3 Nguyên lý làm việc: - Nguyên lý làm việc IDS dựa vào chế: Phát không bình thường(anomaly detection): với chế phân biệt bất thường để tìm thay đổi hay hành vi bất hợp pháp Phát không bình thường chia làm loại: Phát tĩnh: phát tĩnh đưa vài xâu bit cố định để định nghĩa trạng thái hệ thống Chúng thu biểu diễn trạng thái dạng nén Sau so sánh biểu diễn trạng thái thu với biểu diễn tương tự tính toán trạng thái xấu bit cố định có khác biệt cho có xâm nhập hay lỗi hệ thống Khi phát tĩnh sử dụng xâu bit để so sánh làm tốn lưu trữ phép toán so sánh nên sử dụng dạng biểu diện nén để giảm chi phí cần sai không cần sai chỗ Phát động: hệ thống phát động thường tạo file profile sở để mô tả đặc điểm hành vi bình thường, chấp nhận Một profile bao gồm tập đo lường hành vi Mỗi đại lượng đo lường gồm nhiều chiều: o Liên quan đến lựa chọn: thời gian đăng nhập vị trị đăng nhập o Các tài nguyên sử dụng trình đơn vị thời gian: chiều dài phiên giao dịch o Chuỗi biểu diễn hành động Sau tạo profile trình phát xâm nhập bắt đầu Phát động lúc giống phát tĩnh kiểm tra so sánh Khó khăn hệ thống phát động chúng phải xây dựng profile thật xác nhận sai trái nhờ profile Profile sở xây dựng nhờ việc chạy hệ thống hành vi người dùng thời gian dài Page TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Phát lạm dụng (misuse detection): profile khó nhận biết hành vi xâm nhập người dùng thay đổi hành động họ nên kỹ thuật phát làm dụng đời Phát làm dụng phát kẻ xâm nhập cố gắng đột nhập vào hệ thống cách sử dựng số kỹ thuật biết liên tục so sánh hành động hệ thống với số kịch xâm nhập để tìm kịch tiến hành Do kịch xâm nhập đặc tả cách xác nên hệ thống phát lạm dụng dựa vào theo vết hành động xâm nhập để giảm bớt tác hại 1.4 - xảy Phân loại: cách thông thường để phân loại hệ thống IDS dựa vào đặc điểm nguồn liệu thu thập Hệ thống IDS chia làm loại: 1.4.1 Network based IDS (NIDS): - Hệ thống IDS dựa mạng sử dụng dò cảm biến cài đặt toàn mạng, dò theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa Những cảm biến thu nhận phân tích, ghi nhận gửi tín hiệu báo đến trạm quản trị sau cấu hình nhằm tìm biện pháp ngăn - chặn xâm nhập xa NIDS thông thường cài đặt điểm vào hệ thống để đón bắt lưu lượng phân tích nội dung đưa cảnh báo cách kiểm tra luồng thông tin trạm giám sát Page 10 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính B3: import key PGP: Rpm import /etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6 B4: gõ lệnh sau để cài đặt gói: yum groupinstall "Development Tools" • Cài đặt snort - Trước tiên vào trang web https://www.snort.org/ để dowloads snort-2.8.4.1.tar.gz (snort tốt không thiết phải snort-2.8.4.1.tar.gz ) - Tạo thư mục để chứa snort: mkdir /snort - Chép snort vào thư mục snort, di chuyển thư mục đứng vào thu mục snort dùng lệnh cd /snort - Giải nén snort dùng lệnh: tar -zxvf snort-2.8.4.1.tar.gz, sau di chuyển vào thư mục vừa giải nén: cd snort-2.8.4.1 - Để kiểm tra cấu hình biên dịch snort: /configure with-mysql enabledynamicplugin && make && make install: Trong && có nghĩa câu lệnh trước thành công thực câu lệnh đứng sau - Tạo thư mục snort hoạt động giám sát: Mkdir /etc/snort Mkdir /etc/snort/rules Mkdir /var/log/snort - Chép file cấu hình từ thư mục /snort/etc qua /etc/snort vừa tạo: Cd /etc : lệnh di chuyển vào thư mục etc thư mục /snort để chép tất file cấu hình Cp * /etc/snort : có nghĩa chép file thư mục /snort/etc sang /etc/snort - Tạo nhóm người dùng cho snort Groupadd snort Useradd –g snort snort –s /sbin/nologin - Set quyền sở hữu cho phép snort ghi log vào thư mục chứa log: chown snort:snort /var/log/snort/ - Cài đặt tập rule cho Snort: muốn tải tập rule cho snort lên trang web https://www.snort.org/ - Sau tải ta giải nén tập rules đó: tar -xzvf snortrules-snapshot-2.8.tar.gz - Chép hết tất luật chép vào thư mục /etc/snort/rules: Cd rules : di chuyển vào thư mục luật giải nén Cp * /etc/snort/rules: copy hết tất file luật thư mục rules - Cấu hình snort: vào file /etc/snort/snort.conf để sửa dòng sau lưu lại: Sửa dòng 46 thành: var HOME_NET 192.168.9.0/24 Sửa dòng 49 thành: var EXTERNAL_NET !$HOME_NET Page 35 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Sửa dòng 110 thành : var RULE_PATH /etc/snort/rules Sửa dòng 688: output database: log, mysql, user=snort password=123456 dbname=snort host=localhost - Thiết lập snort khởi động hệ thống: trước tiên tạo liên kết mềm snort binary đến /usr/sbin/snort: ln -s /usr/local/bin/snort /usr/sbin/snort - Snort cung cấp scrip (dấu nhận dạng) để khỏi động đặt thư mục /snort/snort2.8.4.1/rpm Copy thư mục snortd bỏ /etc/init.d/ thư mục snort.sysconfig bỏ - 2.2 - - - vào /etc/sysconfig/snort cp /snort/snort-2.8.4.1/rpm/snortd /etc/init.d/ cp /snort/snort-2.8.4.1/rpm/snort.sysconfig /etc/sysconfig/snort/ Cấp quyền lại cho file snortd: chmod 755 /etc/init.d/snortd chkconfig snortd on service snortd start Muốn kiểm tra lỗi chạy debug để kiểm tra lỗi(lỗi file snort.còn) dùng lệnh sau: /snort/snort-2.8.4.1/src/snort -u snort -g snort -d -c /etc/snort/snort.conf Tạo sở liệu với MySql Lúc đầu ta cài đặt gói mysql nên không cần phải cài lại mà vào cấu hình Giờ khỏi động mysql lên: service mysqld start service mysqld restart Set password cho root Mysql: mysqladmin -u root password 123456 mysql –p :lệnh vào Mysql Tạo password cho tài khoản snort với password ‘123456’ : Use mysql; CREATE USER 'snort'@'localhost' IDENTIFIED BY '123456'; Giờ tạo sở liệu cho snort: create database snort; GRANT CREATE, INSERT, SELECT, DELETE, UPDATE ON snort.* to snort@localhost; flush privileges; Exit - Tạo table từ /snort/snort-2.8.4.1/schemas/create_mysql cho database snort (thư mục gải nén snort) mysql -u root -p < /snort/snort-2.8.4.1/schemas/create_mysql snort mysql –p show databases; use snort; show tables; Page 36 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng 2.3 - GVHD: Huỳnh Nguyên Chính Cài đặt BASE ADODB Cũng lúc đầu cài đặt gói PHP nên cần cài thêm gói pear cho PHP Chuyển vào thư mục /snort/snort-2.8.4.1: cd /snort/snort-2.8.4.1 Bắt đầu cài đặt gói: pear install Image_Graph-alpha Image_Canvas-alpha Image_Color Numbers_Roman • cài đặt BASE - Tải Base địa chỉ: http://nchc.dl.sourceforge.net/sourceforge/secureideas/base-1.4.2.tar.gz - Sau copy file tải để thu mục /var/www/html/: cp /snort/base-1.4.4.tar.gz - /var/www/html/ Sau giải ném ra: tar -zxvf base-1.4.4.tar.gz Đổi tên thư mục: mv base-1.4.4 base Chuyển vào thư mục base: cd base Sau copy file base_conf.php.dist thành base_conf.php: cp base_conf.php.dist base_conf.php - Giờ vào file base_conf.php gedit base_conf.php sửa lưu lại dòng sau thành: Dòng 57: $BASE_urlpath = '/base'; Dòng 79: $DBlib_path = '/var/www/html/adodb'; Dòng 101: $alert_dbname = 'snort'; Dòng 105: $alert_password = '123456'; Dòng 108: $archive_exists = 1; # Set this to if you have an archive DB Dòng 109: $archive_dbname = 'snort'; Dòng 112: $archive_user = 'snort'; Dòng 113: $archive_password = '123456'; Dòng 355: $external_whois_link = 'index.php'; Dòng 382: $external_dns_link = 'index.php'; Dòng 385: $external_all_link = 'index.php'; - Và khỏi động dịch vụ snort httpd: Service snortd restart Service httpd restart • Cài đặt ADODB - Tải ADODB địa chỉ: http://nchc.dl.sourceforge.net/sourceforge/adodb/ - Sau copy toàn bỏ thư mục /var/www/html/: cp adodb480.tgz /var/www/html - Chuyển vào thư mục giải nén: cd /var/www/html/ tar -xzvf adodb480.tgz - Đổi tên adodb480 thành adodb: mv adodb480 adodb - Cấp quyền cho thư mục adodb: chmod 777 adodb 2.4 Kiểm tra • ví dụ (nói ping) Page 37 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính - Trước tiên, ta vào file /etc/snort/rules/icmp.rules thêm đoạn: Alert icmp any any -> any any (msg: “co mang dang ping”; sid:10000001;) - Sau vào /etc/snort/snort.conf thêm đoạn code sau: Include $RULE_PATH/icmp.rules - Giờ cửa sở terminal gõ lệnh sau: Snort –c /etc/snort/snort.conf -> để chạy chương trình snort - Sau vào client mở cữa sở cmd lên gõ lệnh ping vào máy server có cấu trúc sau: Ping [ip cho cổng máy server] Vd: ping 192.168.127.141 Hình 4.1: thể máy client ping máy server (đ/c:192.168.127.141) - Vào máy server (máy có snort) mở trình duyệt web lên gõ 192.168.127.141/base/base_main.php xem máy server bắt thông báo Trên hình cho ta thấy bắt có máy xâm nhập vào máy server (trường hợp có máy ping) thể qua cột ICMP Page 38 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Hình 4.2: thể máy server bắt thông báo - Giờ ta chọn vào Most recent 15 Unique Alerts để xem tóm tắt tất nói hoạt động xâm nhập vào máy server Hình 4.3 bảng tóm tắt thông báo - Nếu chọn vào ICMP thông tin máy client ping vào máy server gần Page 39 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Hình 4.4: thể chi tiết thông báo bắt - Tất hình thể cho ta thấy có công từ máy có địa chị 192.168.127.254 tới máy 192.168.127.141 giao thức icmp • Ví dụ - Cũng ví dụ thêm vào file ftp.rules đoạn lệnh sau Alert tcp any any -> (content: “bom”; msg: “canh bao nguy hiem”; SID:1000022;) - Tiếp theo vào file /etc/snort/snort.conf thêm đoạn code sau: Include $RULE_PATH/icmp.rules - Giờ cửa sở terminal gõ lệnh sau: Snort –c /etc/snort/snort.conf -> để chạy chương trình snort log nhật ký hệ thống - Sau vào trình duyệt web truy cập vào trang web có chữ bom Page 40 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Hình 4.5: thể gõ chữ bom trình duyệt - Vào máy server (máy có snort) mở trình duyệt web lên gõ 192.168.127.141/base/base_main.php xem máy server bắt thông báo Trên hình cho ta thấy so sánh bắt truy cập vào trang web có từ bom giống luật (rules) thông qua cột giao thức TCP Page 41 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Hình 4.6 thể bắt giáo thức TCP gõ bom trình duyệt - Nếu muốn xem chi tiết phát chọn vào giao thức TCP cho thấy phát Hình 4.7 thể chi tiết máy bắt thông báo Cấu trúc luật: - Một chức quan trọng snort giúp người quản trị phát công xâm nhập bất hợp pháp luật Các luật người quản trị viết hay tổ chức khác viết Rules tập hợp quy tắc để lựa chọn lưu lượng phù hợp với mô hình định trước người quản trị Rules chia làm phần rule header rule options - Mô hình cấu trúc snort: 3.1 Rule header - Chứa thông tin hành động mà luật thực thi có phát có xâm nhập nằm gói tin chứa tiêu chuẩn địa nguồn đích, cấm hay cho phép gói tin Phần header có thành phần sau: Page 42 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng • GVHD: Huỳnh Nguyên Chính Action: phần quy định loại hành động thực thi có dấu hiệu xác với dấu hiệu gói tin đề (hay gọi luật gói tin đề ra) Mỗi hoạt động thực thi tất điều kiện phù hợp Pass: sử dụng pass bỏ qua gói tin luật Pass đóng vai trò quan trọng việc tăng cường tốc độ hoạt động snort không muốn áp dụng luật để kiểm tra gói tin định Và giúp snort làm bẫy để nhử hacker có nghĩa muốn nhử hacker phải cho gói tin vào máy cần nhử muốn kiểm tra độ an toàn mạng phải bỏ qua tất gói tin đến từ máy kiểm tra Log: dùng để log gói tin Có thể log vào file hay vào sở liệu tùy thuộc nhu cầu người quản trị Alert: gửi thông điệp thông cảnh báo dấu hiệu xâm nhập phát Có nhiều cách thông báo thông báo file hay thống báo qua console Activate: sử dụng tạo cảnh báo kích hoạt luật khác kiểm tra thêm điều kiện gói tin cần kiểm tra Dynamic: luật gọi luật khác có hành động activate • Protocol: phần quy định việc áp dụng luật cho gói tin thuộc giao thức đó, có bốn giao thức: TCP, UDP, ICMP, IP… • Address: phần địa nguồn địa đích xâm nhập Địa địa đơn, nhiều máy địa mạng Một địa địa nguồn địa lại địa đích địa phụ thuộc vào direction quy định Có trường hợp địa thay từ any có nghĩa tất Ví dụ: alert icmp any any -> any any (msg:“có máy ping”;ttl: 100); Trong đó: từ any sau từ icmp có nghĩa cho tất địa vào tất địa cổng máy • Port: xác định cổng nguồn đích gói tin mà luật áp dụng, có trường hợp any thay cho số cổng Ví dụ: alert tcp 192.168.1.1/24 any -> 192.168.2.1/24 any (msg: “có máy ping” ; ttl: 100); Trong đó: từ any có nghĩa tất gói tin vào từ cổng có địa nguồn 192.168.1.1 để đến địa đích 192.168.2.1 với tất cổng vào - Sau số cổng thông dụng cổng dịch vụ thông dụng nhất: Page 43 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính 20 FTP data 21 FTP 22 SSH 23 Telnet 24 SMTP 53 DNS server 80 HTTP 110 POP3 161 SNMP 443 HTTPS 3360 MySQL • Direction: phần đâu địa nguồn địa đích Có loại kí hiệu sau: - -> : hướng rule bắt nguồn từ địa IP port bên trái - : hướng rule hai chiều, điều có lợi cho việc phân tích hai mặt • • • • • • • • • • • luồng • Ví dụ: - Alert icmp any any -> 192.168.1.10/32 80 (msg: “TTL=100”; ttl: 100; ) Tạo cảnh báo tất gói tin từ nguồn có TTL=100 đến web server 192.168.1.10 cổng 80 - Alert icmp ![192.168.2.0/24] any -> any any (msg: “có máy ping từ mạng khác mạng 192.168.2.0/24”; ttl: 100;) Tạo cảnh báo “có máy ping từ mạng khác mạng 192.168.2.0/24” có nghĩa tất mạng mạng 192.168.2.0/24 điều bị cảnh báo hết máy thuộc mạng 192.168.2.0/24 ping cảnh báo - Alert tcp 192.168.2.0/24 23 -> any any (content: “bom”; msg: “phát hiện”; ) Có nghĩa tất gói tin từ mạng 192.168.2.0/24 qua cổng 23 đến máy server Telnet có từ bom bị so sánh sau bị log lại cảnh báo 3.2 Rule option: - phần phía sau phần header đặt dấu ngoặc đơn Nếu có nhiều option option ngăn cách với dấu “ ; ” phải đảm bảo mặt logic option liên kết với - Mọi option định nghĩa từ khóa Một số option chứa tham số option có phần: tham số từ khóa, hai phần ngăn cách với dấu chấm Page 44 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính - Ví dụ: content : “phát xâm nhập” content từ khóa phát xâm nhập tham số - Có loại rule option chính: general, payload, non-payload, post-detections • General option: đưa thông tin rule không gây ảnh hưởng đến trình phát packet - Msg: thêm nội dung để ghi log cảnh báo: • Msg: “[đoạn text để log vào file cảnh báo]” • Ví dụ: alert tcp 192.168.1.0/24 any -> any any (msg: “có máy đan text”; content: “HTTP”) - Reference: từ khóa cho phép tham chiếu đến hệ thống phát kiểu công bên Đóng vai trò không quan trọng chế phát • Reference: , - Gid: từ khóa dùng để xác định phận snort tạo kiện thực thi.nó giúp giải mã cho trình preprocessor Khi không định nghĩa rule lấy giá trị mặt định 1, nên lấy giá trị lớn 1.000.000 để tránh xung đột với rule mặt định • Định dạng: Gid: ; • Ví dụ: alert tcp any any -> any 80 (content: “hcmute.edu.vn”; gid: 1000001; sid:1; rev: 1;) - Sid: từ khóa để xác định snort rule, cho phép thành phần output xác định rule dễ dàng • Định dạng: sid: Id any 80 (msg: “phân loại rule tân công”; dsize:>128; classtype: xam-nhap-admin; priority: 10;) Page 45 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính • Payload detection rule options: Tim kiếm thông tin phân payload gói tin - Content: từ khóa quan trọng snort Nó cho phép người dùng thiết lập rule nhằm tìm kiếm nội dung đặc biệt Nó chứa liệu dạng văn dạng nhị phân • Định dạng: content: ; • Ví dụ1 : alert tcp any any -> any 80 (content: “hcmute.edu.vn”; sid:1.000.321; ) • Ví dụ : alert tcp any any -> any 80 (content: !“hcmute.edu.vn”; sid:1.000.321;) - Offset: từ khóa sử dụng kết hợp với từ khóa content Từ khóa bắt đầu tìm kiếm từ vị trí xác định so với vị trí bắt đầu gói tin • Định dạng: offset: ; • Ví dụ: alert tcp any any -> any 80 (content: “mp3.zing.vn”; offset:4;) có nghĩa xác định gói tin từ vị trí thứ có mp3.zing.vn cảnh báo - Depth: từ khóa sử dụng kết hợp với từ khóa content để xác định giới hạn việc so sánh mẫu từ khóa xác định vị trí so với vị trí bắt đầu liệu sau giới hạn kết thúc không kiểm tra Cũng kết hợp với từ khóa offset để xác định khoảng liệu • Định dạng: depth: ; • Ví dụ: : alert tcp any any -> any 80 (content: “hcmute.edu.vn”; offset:4; depth:17;) Có nghĩa tìm kiếm hcmute.edu.vn từ gói tin bắt đầy từ vị trí kết thúc tới vị trí thứ 17 có cảnh báo lên - Distance: từ khóa tương tự offset, khác với offset distance tìm kiếm từ vị trí mẫu trước Còn offset tìm kiếm từ ngày từ đầu (có nghĩa trước sử dụng luật kết thúc từ vị trí distance tính từ vị trí đó) • Định dạng: distance;; • Ví dụ alert any any -> any any (content: “abc”; content: “dfe”; distance:1;) • Non-payload detection rule options: tìm kiếm thông tin phần non-payload packet - Ttl: từ khóa sử dụng để kiểm tra trường TTL(time to live) header ip gói tin Có thể sử dụng từ khóa với tất giao thức xây dựng IP ICMP, UDP,TCP Sử dụng để kiểm tra cố gắng traceroute hệ thống mạng • Định dạng: msg: “nôi dung thông báo”; • Ví dụ: alert icmp any any -> any any (msg: “dang co may ping”;sid:10000001;); - Id: từ khóa sử dụng để kiểm tra trường ID header gói tin IP Mục đích phát công số IP định • Định dạng: Ip : ; Page 46 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng • GVHD: Huỳnh Nguyên Chính Post-detections rule option: xảy rule kích hoạt Chương V: Tống Kết Vấn đề bảo mật chủ đề quan tâm số thống kê hệ thống bị công ngày cao Trong nya chưa có biện pháp phòng chống hưu hiệu Các biện pháp phát ngăn chặn công biện pháp tạm thời Hệ thống phát phòng chống xâm nhập IDS/IPS giới sử dụng tính hiệu cao Và tổ chức lớn thiếu hệ thống IDS/IPS Những vấn đề đạt được: Page 47 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Theo yêu cầu ban đầu “tìm hiều phương pháp phát bất thường hệ thống mạng”, với nỗ lực thời gian vừa qua nhóm với tận tâm Thầy Huỳnh Nguyên Chính, tiều luận đạt mục tiêu quan trọng: • • • Tìm hiều hệ thống phát phòng chống xâm nhập IDS/IPS Cài đặt thành công Snort-Base dùng đề cảnh báo hệ thống bị công Ngoài trình thực tiếp thu số kết sau: Tìm hiều phương pháp xây dựng triển khai ứng dụng linux Các kiến thức phương thức mạng nơ-ron Các kiến thức phương thức khám phá liệu Các kiến thức hệ chuyên gia Nghiên cứu tệp rules cách viết Hướng phát triển: Phạm vi tiểu luận yêu cầu đặt Tuy nhiên, kết kiêm tốn han chế tài liêu thơi gian Trong thời gian tới, có điều kiện tiều luận cố gắng phát triện thêm nội dung sau: • • Tìm hiều kỹ thuât công để đưa phương pháp phòng chóng tốt Hệ thống email sms Tài Liệu Tham Khảo [1] PGS.TS Đỗ Phúc (2006), Giáo trình Khai thác Dữ liệu, Trường Đại học Công nghệ thông tin TP Hồ Chí Minh, Đại học Quốc gia TP Hồ Chí Minh [2] Jiawei Han and Micheline Kamber, University of Illinois at Urbana-Champaign Data Mining Concepts and Techniques 2nd Morgan kaufmann Publishers (2006) [3] Ken Toshida “Entropy based intrusion detection” Proceedings of IEEE Pacific Rim Conference on Communications, Computers and signal Processing (PACRIM2003), vol 2, trang 840-843 IEEE, Aug 2003 IEEE Explore Page 48 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính [4] http://nhatnghe.com/forum [5] http://labnhatnghe.com [6] http://www.ibm.com [7] http://snort.org [8] http://laodong.com.vn [9] Tiểu luận “tìm hiều phát phòng chống xâm nhập (IDS/IPS)” [10] Hệ thống phát xâm nhập – viethacker.org Page 49 [...]... Xây dựng hệ thống phát hiện bất thường trên hệ thống mạng với phần mền Snort trên linux 1 Tổng quan Snort: Page 33 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính - Snort là một mã nguồn mở được Martin Roesh phát triển vào năm 1998 Snort dựa trên hệ thống mạng phát hiện xâm nhập (NIDS) có khả năng thực hiện phân tích lưu lượng truy cập và khai thác các gói tin trên mạng internet... v Điều khiển 3.4 Phát hiện bất thường bằng hệ chuyên gia - Phát hiện bất thường là một trong những lĩnh vực của hệ chuyên gia Phương pháp có tên gọi là Rule-based Detection (Phát hiện dựa trên tập luật) nằm trong lĩnh vực kiểm tra của hệ chuyen gia Đây là một trong những hướng tiệp cận đầu tiên đế giải quyết vấn đề phát hiện bất thường trong mạng Phương pháp Rule-base này dựa trên Hệ chuyên gia, cần... làm cho hệ thống sẽ được an toàn hơn Page 17 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Chương III: các phương pháp (kỹ thuật) giám sát trong phát hiện đột nhập 1 Phát hiện bất thường bằng mạng nơ-ron 1.1 Giới thiệu - Những năm gần đây vấn đề an ninh mạng đã trở nên cấp thiết và tác động lớn tới hiệu quả hoạt động của các mạng máy tính hiện đại Một trong những biện pháp bảo... vi bất thường để phát hiện lỗi trong hệ thống Các hệ thống Rule-based này trong thực tế không được sử dụng nhiều do hệ thống chạy quá chậm không thể đáp ứng thời gian thực, đồng thời cần phải có trước tri Page 32 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính thức về triệu chứng của các cuộc tấn công Một số triệu chứng như: mạng bị quá tải, số lượng kết nối TCP nhiều bất thường, ... filewall và hệ thống phát hiện xâm nhập IDS Có khả năng phát hiện và ngăn chặn • - các cuộc tấn công đó Phát hiện và ngăn ngừa xâm nhập IPS không đơn gian là dò, phát hiện các cuộc tấn công chúng còn có khả năng ngăn chặn và cản trở các cuộc tấn Chính vì có những chức năng như trên thì IPS thường đặt ở vành đai mạng để bảo vệ tất cả các thiết bị mạng cũng như trong hệ thống Một hệ thống phát hiện và ngăn... không phát hiện ra được các cuộc tấn công mới nhất Phương pháp dò sự không bình thường: phương pháp này nhận ra các hoạt động không bình thường của hệ thống mạng Quan điểm phương pháp này cho rằng các cuộc tấn công sẽ khác với các hoạt động bình thường bằng cách lưu lại sơ lược về các hoạt động bình thường của hệ thống do đó các cuộc tấn công sẽ có những hành động khác so với hoạt động của hệ thống. .. khi phát hiện cuộc tấn công thì tạo ra một hồ sơ về cuộc tấn công đó với các hoạt động bình thường Sau đó hệ thống sẽ chạy ở chế độ làm việc để tiến hành theo dõi, phát hiện các cuộc tấn công theo hồ sơ đã thiết lập trên o Phát hiện sự không bình thường của các giao thức: kỹ thuật này dự vào các giao thức, dịch vụ của hệ thống để phát hiện ra các cuộc tấn công trái phép Page 15 TLCN:PP Phát Hiện Bất Thường. .. trị lấy từ người dùng vượt quá giá trị ngưỡng đặc biệt thu được thông qua mạng SOM chứng tỏhành vi đó là không bình thường Nếu dữ liệu đầu ra nằm trên giá trị ngưỡng đặc biệt hành vi đó cũng là bất thường Hình 3.5 Thiết kế của mạng SOM Page 23 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính 2 Phát hiện bất thường bằng khai phá dữ liệu 2.1 Giới thiệu - Về cơ bản, khai phá dữ liệu...TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng GVHD: Huỳnh Nguyên Chính Hình 2.2: thể hiện NIDS được đặt đầu hệ thống Ưu điểm: Chi phí thấp Phát hiện được các tấn công mà hệ thống HIDS bỏ qua Tốc độ phát hiện nhanh, đối phó kiệp thời Có tính độc lập cao Có khả năng xác định lỗi ở tầng network - Nhược... giải pháp trên mạng Tấn công vào mật mã (password attack): có 3 phương pháp đối với kiểu tấn công Passwork attack: Page 12 TLCN:PP Phát Hiện Bất Thường Trên Hệ Thống Mạng - GVHD: Huỳnh Nguyên Chính Kiểu ăn trộm mật mã mang lại quyền hành cho kẻ tấn công có thể truy nhập tới mọi thành phần trong mạng các kiểu ăn trộm mật mã như là nghe trộm mật mã gửi trên mạng, gửi - thư Đoán hay bẻ khóa mật mã: phương