intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Luận văn Thạc sĩ Hệ thống thông tin: Nghiên cứu phát triển dịch vụ quản lý các hệ thống phát hiện và phòng chống xâm nhập

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:77

Thêm vào BST
Báo xấu
7
lượt xem 2
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Luận văn được xác lập cùng với nhóm nghiên cứu thực hiện đề tài xây dựng phương án và triển khai hình thành dịch vụ quản lý các hệ thống phát hiện và phòng chống xâm nhập IPS Manager. Dịch vụ này có nhiệm vụ quản lý toàn bộ các thiết bị phát hiện, phòng chống xâm nhập mạng nội bộ NetIPS và phần mềm phát hiện, phòng chống xâm nhập máy chủ HostIPS.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Luận văn Thạc sĩ Hệ thống thông tin: Nghiên cứu phát triển dịch vụ quản lý các hệ thống phát hiện và phòng chống xâm nhập

  1. ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ SANGKHOM SENGOULICHANH NGHIÊN CỨU PHÁT TRIỂN DỊCH VỤ QUẢN LÝ CÁC HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP LUẬN VĂN THẠC SỸ HỆ THỐNG THÔNG TIN Hà Nội - 2021
  2. ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ SANGKHOM SENGSUOLICHANH NGHIÊN CỨU PHÁT TRIỂN DỊCH VỤ QUẢN LÝ CÁC HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP LUẬN VĂN THẠC SỸ HỆ THỐNG THÔNG TIN Chuyên ngành: Hệ thống thông tin Người hướng dẫn luận văn: PGS.TS. Nguyễn Ngọc Hóa Hà Nội - 2021
  3. LỜI CẢM ƠN Em xin chân thành cảm ơn các thầy cô giáo trường Đại học Công Nghệ, Đại Học Quốc Gia Hà Nội, đã tận tình hướng dẫn, giảng dạy trong suốt quá trình học tập, nghiên cứu tại trường. Em xin gửi lời cảm ơn sâu sắc đến giảng viên PGS.TS Nguyễn Ngọc Hóa cùng toàn thể quý thầy cô thuộc bộ môn Hệ Thống Thông Tin. Thầy, cô đã tận tình hướng dẫn và định hướng cho em hoàn thành khóa luận này. Mặc dù có nhiều cố gắng thực hiện đề tài luận văn một cách hoàn chỉnh nhất. Song luận văn còn nhiều thiếu sót. Rất mong được sự góp ý của quý thầy, cô và các bạn để luận văn được hoàn chỉnh hơn. Em xin chân thành cảm ơn! Hà Nội, tháng 11 năm 2021 Sangkhom Sengsoulichanh i
  4. LỜI CAM ĐOAN Em xin cam đoan các kết quả báo cáo đạt được trong luận văn này do em thực hiện dưới sự hướng dẫn của PGS.TS Nguyễn Ngọc Hóa. Tất cả các tham khảo từ những nghiên cứu liên quan đều được nêu nguồn gốc một cách rõ ràng từ danh mục tài liệu tham khảo trong luận văn. Luận văn không sao chép tài liệu, công trình nghiên cứu của người khác mà không chỉ rõ về mặt tài liệu tham khảo. Các kết quả thực nghiệm của luận văn đều được tiến hành thực nghiệm và thống kê từ kết quả thực tế. Tác giả Sangkhom Sengsoulichanh ii
  5. Mục lục 1 GIỚI THIỆU CHUNG 1 1.1 Động lực nghiên cứu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.2 Mục tiêu và nội dung nghiên cứu . . . . . . . . . . . . . . . . . . . . . . . . 3 1.3 Tổ chức của luận văn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG IDPS 5 2.1 Giới thiệu chung về xâm nhập, phát hiện và ngăn chặn xâm nhập . . . . . . 5 2.1.1 Giới thiệu chung về xâm nhập . . . . . . . . . . . . . . . . . . . . . . 5 2.1.2 Giới thiệu chung về phát hiện xâm nhập . . . . . . . . . . . . . . . . 12 2.1.3 Giới thiệu chung về hệ thống ngăn chặn xâm nhập . . . . . . . . . . 15 2.1.4 Giới thiệu chung về hệ thống phát hiện và ngăn chặn xâm nhập . . . 17 2.2 Kỹ thuật phát hiện xâm nhập dựa trên bất thường . . . . . . . . . . . . . . 18 2.2.1 Kỹ thuật phát hiện xâm nhập dựa trên thống kê . . . . . . . . . . . . 19 2.2.2 Kỹ thuật phát hiện xâm nhập dựa trên tri thức . . . . . . . . . . . . 19 2.2.3 Kỹ thuật phát hiện xâm nhập dựa trên học máy . . . . . . . . . . . . 20 2.3 Phát hiện xâm nhập dựa trên học sâu . . . . . . . . . . . . . . . . . . . . . . 23 2.4 Phần cứng của hệ thống phát hiện xâm nhập . . . . . . . . . . . . . . . . . 26 2.5 Quản lý và cộng tác các hệ thống phát hiện xâm nhập . . . . . . . . . . . . 29 2.5.1 Hệ thống quản lý các hệ thống phát hiện và ngăn chặn xâm nhập . . 29 2.5.2 Mô hình nhiều lớp phát hiện và ngăn chặn xâm nhập . . . . . . . . . 30 2.5.3 Mạng phát hiện xâm nhập cộng tác . . . . . . . . . . . . . . . . . . . 31 2.6 Một số thách thức đối với phát hiện và ngăn chăn xâm nhập . . . . . . . . . 32 2.7 Kết luận chương . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 3 GIẢI PHÁP QUẢN LÝ CÁC HỆ THỐNG PHÁT HIỆN PHÒNG CHỐNG XÂM NHẬP MẠNG VÀ MÁY CHỦ 37 3.1 Giới thiệu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 3.2 Giải pháp quản lý các hệ thống NetIPS và HostIPS . . . . . . . . . . . . . . 40 3.2.1 Kiến trúc hệ thống IPSManager . . . . . . . . . . . . . . . . . . . . 40 3.2.2 Các phân hệ chức năng . . . . . . . . . . . . . . . . . . . . . . . . . . 42 iii
  6. MỤC LỤC iv 3.3 Phân tích, đánh giá yêu cầu cụ thể . . . . . . . . . . . . . . . . . . . . . . . 43 3.3.1 Yêu cầu phi chức năng . . . . . . . . . . . . . . . . . . . . . . . . . . 43 3.3.2 Yêu cầu chức năng . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 3.4 Thiết kế chi tiết . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44 3.4.1 Xác định tác nhân và ca sử dụng . . . . . . . . . . . . . . . . . . . . 44 3.4.2 Biểu đồ ca sử dụng . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 3.4.3 Biểu đồ tuần tự . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49 3.4.4 Lược đồ dữ liệu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 3.5 Kết chương 3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 4 THỰC NGHIỆM 53 4.1 Xây dựng dịch vụ IPS Manager . . . . . . . . . . . . . . . . . . . . . . . . . 53 4.2 Môi trường phát triển và thử nghiệm . . . . . . . . . . . . . . . . . . . . . . 53 4.3 Kết quả xây dựng dịch vụ IPSManager . . . . . . . . . . . . . . . . . . . . . 54 4.3.1 Tập API phía back-end . . . . . . . . . . . . . . . . . . . . . . . . . . 54 4.3.2 Quản lý HostIPS và NetIPS . . . . . . . . . . . . . . . . . . . . . . . 58 4.3.3 Quản lý luật và mô hình học máy . . . . . . . . . . . . . . . . . . . 60 4.3.4 Trực quan hoá dữ liệu thu thập được từ các HostIPS . . . . . . . . 60 4.3.5 Trực quan hoá dữ liệu thu thập được từ các NetIPS . . . . . . . . . 62 4.3.6 Quản trị hệ thống . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 4.4 Kết chương 4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 TÀI LIỆU THAM KHẢO 66
  7. Danh sách hình vẽ 1.1 Mô hình kiến trúc tổng thể giải pháp phát hiện và ngăn chặn xâm nhập . . . 2 2.1 Khung phân loại tấn công ATTT của C. Fung và R. Boutaba. Tên gọi các kiểu tấn công cụ thể được in chữ thường và không nghiêng. . . . . . . . . . 8 2.2 Khung hệ thống phát hiện xâm nhập tổng quát. . . . . . . . . . . . . . . . 12 2.3 Một khung phân loại các hệ thống phát hiện xâm nhập. . . . . . . . . . . . 13 2.4 Các thành phần của một hệ thống phát hiện xâm nhập mạng. . . . . . . . . 15 2.5 Kiến trúc mức cao sử dụng dịch vụ Tính toán đám mây để giảm lỗi cảnh báo sai từ IDS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 2.6 Tiếp cận phát hiện bất thường dựa trên học máy . . . . . . . . . . . . . . . 20 2.7 Mô hình AB-TRAP xây dựng và đình kỳ cải tiến mô-đun phát hiện xâm nhập 22 2.8 Một khung phân loại phương pháp phát hiện xâm nhập dựa trên học sâu . 23 2.9 Một kiến trúc IDS dựa trên học sâu . . . . . . . . . . . . . . . . . . . . . . 24 2.10 Một sơ đồ khối nền tảng phần cứng cho phát hiện xâm nhập . . . . . . . . . 26 2.11 Kiến trúc cơ bản của Shunting: Thành phần Shunt kiểm tra tiêu đề của các gói nhận được để xác định hành động phù hợp: forward (chuyển tiếp), drop (bỏ đi), shunt (chuyển tới Công cụ phân tích). Thành phần Công cụ phân tích trực tiếp cập nhật bộ đệm của Shunt để điều khiển quá trình xử lý sắp tới và bỏ gói đã phân tích ngay lập tức ngăn chặn xâm nhập hoặc gửi lại chúng mỗi khi kiểm tra an toàn [González07]. . . . . . . . . . . . . . . . . . . . . . . . 27 2.12 Sơ đồ khối phần cứng Shunt dựa trên NetFPGA (Virtex 2 Pro FPGA). Các mục mờ được sửa đổi từ thiết kế tham chiếu NetFPGA [González07]. . . . . 28 2.13 Hệ thống quản lý phát hiện xâm nhập [Lichtenberg05] . . . . . . . . . . . . 29 2.14 Một ví dụ hệ thống bảo vệ nhiều lớp tường lửa, HostIPS và NetIPS [Fung13] 30 3.1 Mô hình chung của hệ thống IDS/IPS . . . . . . . . . . . . . . . . . . . . . 37 3.2 Cấu trúc tập trung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 3.3 Cấu trúc đa tác nhân . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 3.4 Mô hình kiến trúc hệ thống IPS Manager . . . . . . . . . . . . . . . . . . . 40 3.5 Giải pháp quản lý và trực quan hoá dữ liệu cảnh báo xâm nhập tại IPSManager 41 3.6 Ca sử dụng hệ thống IPSManager với khách . . . . . . . . . . . . . . . . . . 47 v
  8. DANH SÁCH HÌNH VẼ vi 3.7 Ca sử dụng hệ thống IPS manager với người giám sát . . . . . . . . . . . . 48 3.8 Ca sử dụng hệ thống IPS manager với người quản trị vùng . . . . . . . . . . 48 3.9 Ca sử dụng hệ thống IPS manager với người siêu quản trị . . . . . . . . . . 49 3.10 Biểu đồ tuần tự minh hoạ một số chức năng quản trị hệ thống . . . . . . . 50 3.11 Lược đồ cơ sở dữ liệu của hệ thống IPSManager . . . . . . . . . . . . . . . 51 3.12 Cấu trúc ánh xạ tài liệu để quản lý dữ liệu trạng thái và dữ liệu xâm nhập . 52 4.1 APIs quản lý người dùng theo cơ chế kiểm soát truy cập theo vai . . . . . . 55 4.2 APIs quản lý NetIPS và HostIPS . . . . . . . . . . . . . . . . . . . . . . . . 56 4.3 APIs điều khiển và cập nhật luật/mô hình về NetIPS và HostIPS . . . . . . 57 4.4 APIs quản lý tập luật, dấu hiệu mã độc, mô hình học máy . . . . . . . . . . 58 4.5 Danh sách dashboard sử dụng trong IPSManager . . . . . . . . . . . . . . . 58 4.6 Quản lý NetIPS và HostIPS trên mô hình hiện trạng topo . . . . . . . . . . 59 4.7 Cập nhật luật về HostIPS/NetIPS . . . . . . . . . . . . . . . . . . . . . . . 60 4.8 Quản lý luật và mô hình học máy . . . . . . . . . . . . . . . . . . . . . . . 60 4.9 Thông tin chung về các hệ thống HostIPS đang được quản lý bởi IPSManager 61 4.10 Thông tin cụ thể về HostIPS . . . . . . . . . . . . . . . . . . . . . . . . . . 61 4.11 Thông tin cảnh báo từ các HostIPS gửi về . . . . . . . . . . . . . . . . . . . 62 4.12 Giám sát nguy cơ xâm nhập từ mạng ngoài . . . . . . . . . . . . . . . . . . 62 4.13 Cảnh báo xâm nhập mạng thu thập từ NetIPS . . . . . . . . . . . . . . . . 63 4.14 Quản lý người dùng theo cơ chế kiểm soát truy cập theo vai trò RBAC . . . 63
  9. Danh sách bảng 3.1 Danh mục vai trò người dùng trong hệ thống IPS Manager . . . . . . . . . . 45 3.2 Mối quan hệ giữa tác nhân và ca sử dụng . . . . . . . . . . . . . . . . . . . . 45 vii
  10. Danh mục thuật ngữ viết tắt IDS Intrusion Detection System Hệ thống phát hiện xâm nhập Network-Based Intrusion Hệ thống phát hiện xâm nhập NIDS Detection System mạng Signature-Based Network- Hệ thống phát hiện xâm nhập SNIDS Based Intrusion Detection mạng dựa trên chữ ký System Anomaly-Based Network- Hệ thống phát hiện xâm nhập ANIDS Based Intrusion Detection mạng dựa trên bất thường System Host Intrusion Prevention Hệ thống ngăn ngừa xâm nhập HostIPS System máy chủ Network Intrusion Preven- Hệ thống ngăn ngừa xâm nhập NetIPS tion System mạng MLP Multi-layer Perceptron Perceptron nhiều lớp Hệ thống ngăn ngừa xâm nhập IPS Intrusion Prevention mạng AE Auto-Encoder Bộ mã hoá tự động Restricted Boltzmann Ma- RBM Máy hạn chế Boltzmann chine Generative Adversarial Net- GAN Mạng lưới đối thủ chung work LSTM Long short time memory Bộ nhớ thời gian ngắn hạn viii
  11. Chương 1 GIỚI THIỆU CHUNG 1.1 Động lực nghiên cứu Vấn đề an toàn, an ninh mạng không mới nhưng cảng ngày trở nên quan trọng cùng với sự phát triển theo chiều rộng và chiều sâu của xã hội thông tin. Lấy ví dụ đơn giản như gần đây rất nhiều vấn để các trang web, hệ thống mạng trọng nước và ngoài nước bị hacker tấn công gây hậu quả đặc biệt nghiêm trọng. Hơn nữa các cuộc tấn công hiện nay càng ngày có nhiều hình thức phức tạp và có thể đến từ nhiều hướng khác nhau. Trước tình hình đó các hệ thống thông tin cần phải có những chiến lược, những giải pháp phòng thủ theo chiều sâu nhiều lớp. Hệ thống phát hiện và phòng chống xâm nhập (Intrusion Detection and Prevention System – IDPS) nhận được nhiều sự quan tâm của các nhóm nghiên cứu trên thế giới. Thực vậy, hiện trong thư viện IEEE Xplore, tính đến tháng 11/2021, đã có 15.547 công trình công bố, gồm 1.462 bài tạp chí, 13.550 bài báo hội thảo và một số sách, tạp chí, ..., liên quan đến phát hiện xâm nhập. Số liệu tổng hợp từ Google Scholar cũng ghi nhận 40.400 kết quả từ năm 2016 đến nay.Tuy nhiên, hầu hết các công trình đều tập trung nghiên cứu về phát hiện và phòng chống xâm nhập mạng nội bộ (Network-based Intrusion Prevention System – NetIPS). Riêng đối với phát hiện và phòng chống xâm nhập máy chủ (Host-based Intrusion Prevention System – HostIPS) thường được viết dưới dạng phát minh sáng chế, cụ thể. Banerjee và công sự đề xuất hệ thống HNIDS giám sát hàng đợi của ứng dụng, phát hiện dấu hiệu bất thường trên cơ sở phân tích gói tin tại tầng giao vận [1]. Wright tăng cường khả năng xác định nguy cơ mất an ninh mạng bằng việc phân tích hành vi khi người dùng tương tác với phần mềm, hệ điều hành và các thành phần khác trong kiến trúc máy tính [2]. Tương tự, tác giả cũng đề xuất kỹ thuật so khớp hành vi trong phát hiện mã độc [3]. Battistoni và công sự đưa ra hệ thống Host-based IPS cho các phiên bản Windows 2000/XP/2003 [4]. Hiện nay, phần lớn các cơ quan cấp Bộ, Tỉnh, Thành phố trực thuộc Trung ương đều sử dụng các thiết bị, phần mềm IDPSphát hiện và phòng chống xâm nhập từ các hãng lớn ngoài nước, chẳng hạn như của hãng Micro Trend (TippingPoint), Fire Eye, Checkpoint, Cisco... 1
  12. CHƯƠNG 1. GIỚI THIỆU CHUNG Về triển khai hệ thống phát hiện và ngăn chặn xâm nhập mạng, hiện nay một số Bộ, ngành đã triển khai hệ thống phát hiện ngăn chặn xâm nhập mạng, có sử dụng các thiết bị thế hệ mới như Văn phòng Chính phủ, Bộ Tài chính, Ngân hàng Nhà nước, Bộ Giao thông vận tải,. . . Tuy nhiên, các thiết bị được trang bị tại các cơ quan cấp Bộ đều sử dụng các thiết bị, phần mềm IDPS phát hiện và ngăn chặn xâm nhập từ các hãng lớn ngoài nước, chẳng hạn như của hãng Trend Micro (TippingPoint), Fire Eye, Checkpoint, Cisco, . . . Chẳng hạn như Kho bạc nhà nước, năm 2018 đã trang bị hệ thống phát hiện xâm nhập mạng của hãng Trend Micro TippingPoint 8200TX với kinh phí đầu tư là 7.345.000.000 VND . Các sản phẩm IDPS phục vụ quy mô lớn của các hãng lớn khác như Checkpoint, Cisco, Fortinet đều cũng đều có giá thành rất cao (đều hơn 400.000USD) [12]. Hiện tại, trong nước cũng chưa tổ chức, doanh nghiệp nào tập trung được nguồn lực cần thiết để thiết kế, chế tạo và xây dựng được những sản phẩm NetIPS, HostIPS mà có thể triển khai được ở mức cơ quan cấp Bộ. Mô hình giải pháp phát hiện và ngăn chặn xâm nhập trong các tổ chức của Chính phủ điện tử Việt Nam được đề xuất trong khuôn khổ đề tài nghiên cứu cấp quốc gia, mã số KC.01.28/16-20, được minh hoạ như Hình sau. Hình 1.1: Mô hình kiến trúc tổng thể giải pháp phát hiện và ngăn chặn xâm nhập 2
  13. CHƯƠNG 1. GIỚI THIỆU CHUNG Trong mô hình này, thiết bị NetIPS có thể đảm nhiệm chức năng cả bảo vệ vòng ngoài lẫn bảo vệ bên trong (do đã tích hợp kèm tường lửa mức mạng). Ở bên trong mạng nội bộ, các NetIPS được triển khai để đảm bảo an toàn thông tin cho cả mạng, còn HostIPS đảm nhiệm bảo vệ cho các máy chủ, kể các máy chủ dịch vụ công trực tuyến. IPS Manager được đặt tại mạng quản trị trung tâm tại đơn vị đầu mối quản lý hạ tầng tính toán và hạ tầng mạng của cơ quan cấp Bộ với chức năng quản lý toàn bộ các NetIPS lẫn các HostIPS. Về cơ bản, quản lý và cộng tác các hệ thống phát hiện và ngăn ngừa ở một tổ chức là rất cần thiết. Đối với các cơ quan cấp Bộ, có thể có nhiều khu vực khác nhau phân bố theo vùng/miền, theo vai trò chức năng nhiệm vụ. Vì thế, hạ tầng mạng cũng như hạ tầng tính toán của cơ quan cấp Bộ thường phải tổ chức phân cấp. Chính vì thế, mỗi cơ quan cấp Bộ cần phải trang bị nhiều NetIPS và HostIPS. Để quản lý được nhiều NetIPS và HostIPS, cách tiếp cận của đề tài là quản lý tập trung toàn bộ các CSDL mẫu (chỉ dấus), tập luật, tập mô hình phục vụ phát hiện bất thường, . . . tại trung tâm được giao nhiệm vụ chức năng quản lý hạ tầng của cơ quan cấp Bộ. Hệ thống thông tin đảm nhiệm chức năng quản lý toàn bộ các CSDL nêu trên được gọi tắt là IPS Manager. 1.2 Mục tiêu và nội dung nghiên cứu Từ thực trạng đó, bài toán nghiên cứu của học viên để thực hiện luận văn tốt nghiệp được xác lập cùng với nhóm nghiên cứu thực hiện đề tài xây dựng phương án và triển khai hình thành dịch vụ quản lý các hệ thống phát hiện và phòng chống xâm nhập IPS Manager. Dịch vụ này có nhiệm vụ quản lý toàn bộ các thiết bị phát hiện, phòng chống xâm nhập mạng nội bộ NetIPS và phần mềm phát hiện, phòng chống xâm nhập máy chủ HostIPS. Với mục tiêu đó, luận văn tập trung thực hiện những nội dung nghiên cứu chính sau: • Khảo sát, đánh giá sơ lược về các hệ thống phát hiện và phòng chống xâm nhập mạng IDPS. • Nguyên cứu, đặc tả yêu cầu và chức năng đối với dịch vụ IPS Manager quản lý toàn bộ các thiết bị NetIPS và ứng dụng phòng chống xâm nhập máy chủ HostIPS. • Xây dựng dịch vụ IPS Manager và tiến hành đánh giá kết quả. 1.3 Tổ chức của luận văn Luận văn có bố cục như sau: • Chương 1 giới thiệu chung, mục tiêu và các nội dung chính của luận văn. • Chương 2 tóm lược tổng quan về hệ thống phát hiện và phòng chống xâm nhập mạng IDPS. 3
  14. CHƯƠNG 1. GIỚI THIỆU CHUNG • Chương 3 trình bày giải pháp quản lý các hệ thống phát hiện xâm nhập mạng và máy chủ; quá trình phân tích và thiết kế của dịch vụ IPSManager cũng được trình bày ở chương này. • Chương 4 tổng hợp kết quả thực nghiệm xây dựng dịch vụ IPSManager và một số kết quả thực tế thu được. • Cuối cùng là phần Kết luận tóm lược lại các đóng góp chính của luận văn và một số hướng phát triển trong tương lai. 4
  15. Chương 2 TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG IDPS Trong chương này, chúng tôi sẽ trình bày kiến thức tổng quan về phát hiện và phòng chống xâm nhập mạng. Một phần nội dung sau đây được tham khảo từ [1]. 2.1 Giới thiệu chung về xâm nhập, phát hiện và ngăn chặn xâm nhập 2.1.1 Giới thiệu chung về xâm nhập Xây dựng khung phân loại tấn công An toàn thông tin (tấn công mạng, máy tính và liên quan) là một công việc phức tạp theo nhiều chiều như kiểu tấn công, đích tấn công, phương pháp tấn công liên quan tới các mối đe dọa ATTT. Vì vậy, tồn tại nhiều khung phân loại tấn công mạng và máy tính đã được đề xuất. Đề tài giới thiệu hai khung phân loại điển hình là khung phân loại mối đe dọa của H. Hindy và cộng sự và khung phân loại tấn công của C. Fung và R. Boutaba. Khung phân loại của H. Hindy và cộng sự [11] cung cấp năm loại đe doa chính là đe dọa mạng, đe dọa máy chủ, đe dọa phần mềm, đe dọa vật lý và đe dọa liên quan tới con người; mà từ các mối đe dọa này là nguồn phát sinh các cuộc tấn công ATTT. Mối đe dọa mạng: Các mối đe dọa mạng được bắt đầu khi một luồng gói tin được gửi qua mạng. • Hai trong số các dạng đe dọa mạng phổ biến nhất là Từ chối Dịch vụ (Denial of Service: DoS) và Từ chối Dịch vụ Phân tán (Distributed Denial of Service: DDoS), trong đó kẻ tấn công làm ngập mạng với các yêu cầu khiến dịch vụ không phản hồi. Trong các cuộc tấn công này, người dùng hợp pháp không thể truy cập các dịch vụ. DoS và DDoS có 5
  16. CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG IDPS thể được chia thành bốn loại bao gồm tấn công lũ lụt (flood attacks), tấn công khuếch đại (amplification attacks), khai thác giao thức (protocol exploit), và các gói không đúng định dạng (malformed packets). Chúng được xác định tương ứng thông qua các ví dụ tấn công. Tấn công Smurf (Smurf attacks) phụ thuộc vào việc tạo ra một lượng lớn các yêu cầu ping. Gây tràn (Overflows) xảy ra khi một chương trình ghi nhiều byte hơn mức cho phép. Điều này xảy ra khi kẻ tấn công gửi các gói lớn hơn 64KB (65536 byte được phép trong giao thức IP) và ngăn xếp không vệ sinh (sanitation) đầu vào thích hợp. Tấn công ping of Death xảy ra khi các gói quá lớn đối với bộ định tuyến và yêu cầu chia nhỏ. Cuộc tấn công Teardrop diễn ra khi kẻ tấn công thiết lập độ lệch không chính xác. Cuối cùng, cuộc tấn công gây lụt SYN (SYN flood ) xảy ra khi máy chủ cấp phát bộ nhớ cho một số lượng lớn các gói TCP SYN. • Giả mạo gói tin (packet forging) là một dạng tấn công mạng khác. Giả mạo hoặc chèn gói là hành động mà kẻ tấn công tạo ra các gói trông giống như lưu lượng mạng bình thường. Các gói này có thể được sử dụng để thực hiện các hành động trái phép và lấy cắp dữ liệu nhạy cảm như: thông tin đăng nhập, dữ liệu cá nhân, chi tiết thẻ tín dụng, số thẻ căn cước hay an sinh xã hội (Social Security Numbers: SSN), v.v. • Khi kẻ tấn công theo dõi hoặc chặn thông tin liên lạc giữa hai hoặc nhiều thực thể một cách thụ động và bắt đầu để kiểm soát thông tin liên lạc, cuộc tấn công này được gọi là cuộc tấn công “con người đứng giữa” (Man in the Middle). • Không giống như cuộc tấn công “con người đứng giữa”, cuộc tấn công “con người trong trình duyệt” (Man In The Browser) chặn trình duyệt để thay đổi hoặc thêm các trường vào trang web yêu cầu người dùng nhập dữ liệu bí mật. • Mạo danh (impersonation) hoặc giả mạo (pretending) như một người dùng có thể có các hình thức khác nhau. Kẻ tấn công có thể mạo danh người dùng để đạt được mức độ bảo mật cao hơn và truy cập vào dữ liệu trái phép hoặc sử dụng nhân bản (cloning). Nhân bản là một cuộc tấn công phổ biến trong mạng xã hội nhằm mạo danh một cá nhân để tận dụng thông tin. Điểm truy cập giả mạo (Rogue access points) là các dạng mạo danh khác trong mạng không dây. Trong một cuộc tấn công giả mạo IP (IP spoofing attack), kẻ tấn công tiến hành giả mạo địa chỉ IP và gửi các gói tin mạo danh một máy chủ lưu trữ hợp pháp. Giả mạo DNS (DNS spoofing) - còn được gọi là nhiễm độc bộ nhớ cache DNS (DNS cache poisoning) là một dạng giả mạo khác. Kẻ tấn công chuyển hướng các gói tin bằng cách đầu độc DNS. Giả mạo ARP (ARP spoofing) được sử dụng để thực hiện các cuộc tấn công như “Con người đứng giữa”, nhằm tách các địa chỉ IP và MAC hợp pháp trong bảng ARP của nạn nhân. • Quét/liệt kê (scanning/enumeration) là một bước thiết yếu để bắt đầu các cuộc tấn công. Trong quá trình quét, kẻ tấn công bắt đầu tìm kiếm thông tin trên mạng như: 6
  17. CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG IDPS các nút đang hoạt động, hệ điều hành đang chạy, phiên bản phần mềm, v.v. Việc quét có nhiều dạng, sử dụng các giao thức như TCP hoặc UDP. Trong gây lụt MAC (media access control), kẻ tấn công nhắm mục tiêu vào các thiết bị chuyển mạch mạng và kết quả là các gói được chuyển hướng đến các cổng vật lý sai, trong khi tấn công nhảy VLAN (VLAN hopping) có hai hình thức giả mạo chuyển mạch (switch spoofing) hoặc gắn thẻ kép (double tagging). Mối đe dọa máy chủ: Các cuộc tấn công máy chủ nhắm mục tiêu vào các máy chủ hoặc hệ thống cụ thể bằng cách chạy phần mềm độc hại (Malicious Software hoặc ngắn gọn là malware)) để xâm nhập hoặc làm hỏng các chức năng của hệ thống. Hầu hết các cuộc tấn công máy chủ được phân loại theo danh mục phần mềm độc hại. Chúng bao gồm vi-rút (virus) máy tính, sâu máy tính (worms), phần mềm ngựa Troa (Trojans), phần mềm cửa sau (backdoors), rô-bôt mạng (botnets), phần mềm gián điệp (spyware), phần mềm quảng cáo (adware), ransomware. Hầu hết các phần mềm độc hại hoạt động một cách âm thầm trong chế độ ẩn mình mà không cần thông báo sự xuất hiện hoặc hiện diện của chúng, đặc biệt là phần mềm ngựa Troa, phần mềm cửa sau, phần mềm gián điệp, ransomware. Vi-rút được biết là ảnh hưởng đến các chương trình và tệp khi được chia sẻ với những người dùng khác trên mạng, trong khi sâu được biết là tự sao chép và ảnh hưởng đến nhiều hệ thống. Phần mềm quảng cáo được biết đến để hiển thị quảng cáo cho người dùng khi lướt Internet hoặc cài đặt phần mềm. Mặc dù phần mềm quảng cáo ít có khả năng chạy mã độc hại, nhưng nó có thể ảnh hưởng đến hiệu suất của hệ thống. Phần mềm gián điệp thu thập thông tin như tài liệu, cookie của người dùng, lịch sử duyệt web, email,. . . hoặc giám sát và theo dõi các hành động của người dùng. Ngựa Troa thường trông giống như các ứng dụng đáng tin cậy, nhưng cho phép kẻ tấn công kiểm soát thiết bị. Phần mềm độc hại ngụy trang (camouflage malware) phát triển đạt đến các kỹ thuật đa hình và biến hình. Ví dụ, phần mềm độc hại biến hình có thể sử dụng nhiều kỹ thuật, chẳng hạn như thay thế hoặc hoán vị lệnh, chèn rác, thay thế biến và thay đổi luồng điều khiển. Cuối cùng, ransomware là một loại phần mềm độc hại, khi mà hệ thống được giữ dưới sự kiểm soát của kẻ tấn công - hoặc một thực thể thứ ba - bằng cách mã hóa các tệp cho đến khi người dùng/tổ chức trả tiền chuộc. Mối đe dọa phần mềm: Chèn mã (code injection) có thể bao gồm SQL Injection đặt truy vấn tới cơ sở dữ liệu, dẫn đến thu được dữ liệu bí mật hoặc xóa dữ liệu bằng cách bỏ cột, hàng hoặc bảng. Chèn mã trang web (Cross-site scripting: XSS) được sử dụng để chạy mã độc hại nhằm lấy cắp cookie hoặc thông tin đăng nhập. XSS có ba loại chính. Với XSS liên tục/được lưu trữ (persistent/stored XSS), một tập lệnh được lưu vào cơ sở dữ liệu và được thực thi mỗi khi trang được tải. Với XSS phản xạ (Reflected XSS), một tập lệnh được gửi đến máy chủ như một phần của yêu cầu HTTP. XSS dựa trên DOM (DOM-based XSS) được coi là một loại XSS nâng cao. Kẻ tấn công thay đổi các giá trị trong Mô hình Đối tượng Tài liệu (Document Object Model: DOM), ví dụ như vị trí tài liệu, URL tài liệu, v.v. XSS dựa trên DOM rất khó phát hiện vì tập lệnh không bao giờ được chuyển đến máy chủ. 7
  18. CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG IDPS Driveby hoặc tải xuống (chiếm tới 48% tổng số cuộc tấn công dựa trên web vào năm 2017, được coi là một trong những mối đe dọa chính vào năm 2019) là một mối đe dọa phần mềm khác mà người dùng không cần thực hiện hành động nào, tuy nhiên, mã độc tự động được tải xuống. Lấy dấu vân tay (fingerprinting) và định cấu hình sai (misconfiguration) cũng là những dạng đe dọa phần mềm. Chứng chỉ máy chủ giả mạo (fake server certificate) đánh lừa trình duyệt/người dùng nghĩ rằng kết nối là an toàn. Điều này có thể dẫn đến các trang web lừa đảo trông hợp pháp. Hơn nữa, chúng có thể được sử dụng như một hạt giống để thực hiện các cuộc tấn công khác như Man-in-theMiddle. Mối đe dọa vật lý: Các cuộc tấn công vật lý là kết quả của một nỗ lực ủ trên phần cứng mạng (cạnh hoặc các thiết bị khác) hoặc cấu hình của nó. Điều này có thể bao gồm việc thay đổi cấu hình (changing configurations) và giới thiệu cửa sau (introducing backdoors) như The Evil Maid. Mối đe dọa liên quan tới con người: Cuộc tấn công dựa trên hành động của con người bao gồm hóa trang người dùng (user masquerade). Lừa đảo (Phishing) là một hình thức tấn công khác, trong đó kẻ tấn công sử dụng email hoặc các dịch vụ nhắn tin điện tử khác để lấy thông tin xác thực hoặc dữ liệu bí mật. Khi người dùng cố gắng đạt được các đặc quyền cao hơn, nó được coi là một cuộc tấn công như User to Root và Remote to Local R2L. Tấn công từ chối (repudiation attack) làm cho người dùng bị từ chối một hành động. Tấn công Chiếm quyền điều khiển (session hijacking) hoặc Đánh hơi phiên (sniffing) giúp kẻ tấn công giành được quyền truy cập trong một phiên hoạt động để truy cập cookie và mã thông báo. Hình 2.1: Khung phân loại tấn công ATTT của C. Fung và R. Boutaba. Tên gọi các kiểu tấn công cụ thể được in chữ thường và không nghiêng. Khung phân loại tấn công của C. Fung và R. Boutaba 2.1 chia các loại tấn công ATTT theo ba chiều: kiểu phần mềm độc hại, đích tấn công và phương pháp tấn công. Các kiểu tấn công trên được giới thiệu tóm tắt sau đây: Phần mềm độc hại: Sử dụng phần mềm độc hại (Malicious Software hoặc ngắn gọn là 8
  19. CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG IDPS malware) là phương thức thuộc diện điên hình nhất của tội phạm máy tính. Các kiêu phần mềm độc hại điên hình là vi-rút máy tính (virus), sâu máy tính (worms), ngựa Troa máy tính (Trojans, bao gồm phần mềm cửa sau: backdoors), Rootkit, rô-bôt mạng (botnets), phần mềm gián điệp (spyware), phần mềm quảng cáo (adware). Hầu hết các phần mềm độc hại hoạt động một cách âm thầm trong chế độ ẩn mình mà không cần thông báo sự xuất hiện hoặc hiện diện của chúng, đặc biệt là phần mềm ngựa Troa, phần mềm cửa sau và phần mềm gián điệp. Vi-rút máy tính là kiểu phần mềm độc hại cơ bản nhất, tự gắn mình vào một tập tin thi hành được và tập tin này được gọi là “vật mang” vi-rút. Khi chương trình vật mang được kích hoạt, thì ở bước đầu tiên, vi-rut được kích hoạt, tự sao chép và lây nhiễm sang các tập tin cung dạng với vật mang, và sau đó mới thực hiện chương trình vật mang. Phần mềm ngựa Troa là một chương trình độc hại được nhúng trong một tiện ích (một ứng dụng/một công cụ/một trò chơi) cung cấp một lợi ích cho người sử dụng. Khác với vi-rut máy tính, phần mềm ngựa Troa không có khả năng tự nhân bản (băng cách lây lan sang các chương trình khác). Phần mềm ngựa Troa có hai dạng là dạng toàn bộ và dạng bộ phận. Dạng toàn bộ chứa toàn bộ các chức năng vừa cung cấp tiện ích cho người dùng vừa thực hiện chức năng xâm nhập hệ thống máy tính nạn nhân và cung cấp thông tin tài nguyên cho kẻ tấn công. Phần mềm ngựa Troa dạng bộ phận bao gồm hai phần là mô-đun máy chủ (trên máy tính nạn nhân) và mô-đun máy khách (trên máy tính của kẻ tấn công). Mô-đun máy chủ được nhúng trong một tiện ích như đã đề cập. Khi người sử dụng tải về hoăc chạy tiện ích đó, mô-đun máy chủ cũng được tải về máy nạn nhân. Khi đã được cài đặt máy tính tính nạn nhân, mô-đun máy chủ bí mật cho phép kẻ tấn công truy cập vào toàn bộ hoặc một phần tài nguyên (phần cứng và phần mềm) của máy tính nạn nhân. Kẻ tấn công sử dụng mô-đun máy khách kết nối với mô-đun máy chủ để truy cập vào tài nguyên của máy nạn nhân. Rootkit là loại phần mềm độc hại khó bị phát hiện nhất, được thiết kế để che giấu sự tồn tại của các quy trình hoặc chương trình nhất định khỏi các phương pháp phát hiện thông thường và cho phép tiếp tục truy cập đặc quyền vào máy tính. Phần mềm cửa sau là phần mềm độc hại được cài đặt trên một hệ thống với mục đích nhận được quyền truy cập vào hệ thống sau khi được cài đặt thông qua một phần mềm ngựa Troa. Phần mềm cửa sau thường hoạt động theo chế độ lén lút và được kẻ tấn công kích hoạt dựa trên ý định của họ. Sâu máy tính là loại phần mềm độc hại tự nhân bản để lây lan hoặc tự phát tán trên bản thân chúng mà không yêu cầu một vật mang riêng khác. Chúng tự nhân bản và lan truyền ra ngoài mạng máy tính, lây nhiễm sang các mạng khác và các hệ thống khác, do đó tạo ra một sức tàn phá hoặc thiệt hại rất lớn. Rô-bốt mạng (còn được xếp vào loại tấn công có tổ chức) là một mạng phần mềm “thây ma” (zombie) được kẻ tấn công gây dựng và được dùng để tấn công các hệ thống khác. Chúng được dùng để khởi động tấn công như từ chối dịch vụ hoặc phân tán việc từ chối dịch vụ, v.v. tới các hệ thống khác. Các cuộc tấn công này được tiến hành bằng việc tổng hợp các hệ thống bị nhiễm bệnh như là một mạng thây ma nhằm làm cho tác động đó phù hợp với quy mô cần thiết. Từ “gián điệp” trong tên gọi của phần mềm gián điệp chỉ rõ ý định và hành vi của chúng là gián điệp do thám. Chúng do thám 9
  20. CHƯƠNG 2. TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG IDPS trong hệ thống máy tính để có được thông tin liên quan đến một người hoặc một tổ chức, mà thông tin đó được sử dụng về sau cho mục đích độc hại. Chúng dò theo vết hay giám sát các hoạt động của các chương trình khác. Các thông tin thu thập được, hoặc bị lạm dụng hoặc được chuyển giao cho các bên quan tâm khác. Phần mềm quảng cáo là một ứng dụng phần mềm điển hình và cũng được khai thác để trở thành một phần mềm độc hại. Mục đích của các chương trình phần mềm này là tạo ra doanh thu cho chủ sở hữu trang web, bù đắp chi phí tạo ra ứng dụng phần mềm đó. Hình thức quảng cáo rất đa dạng như dòng thông điệp xuyên qua các bộ phận trên trang web, hoặc thông qua một thanh trên màn hình. Các quảng cáo này hoặc rất thú vị và bắt mắt hoặc là không mong muốn. Tuy nhiên, mã nền (underlying code) được chứa trong quảng cáo theo dõi hành vi cá nhân của người sử dụng và chuyển các thông tin thu nhận được cho các bên liên quan thứ ba. Lỗ hổng phần mềm: là một điểm yếu (lỗi) trong chương trình máy tính có thể bị kẻ tấn công khai thác và sử dụng để truy cập trái phép hoặc làm giảm hiệu suất dịch vụ. Có hàng nghìn lỗ hổng phần mềm được phát hiện và ghi lại mỗi năm trong cơ sở dữ liệu về lỗ hổng bảo mật. Lỗ hổng có thể khai thác là sự kết hợp của ba yếu tố: lỗ hổng hệ thống, quyền truy cập của kẻ tấn công vào lỗ hổng và khả năng khai thác lỗ hổng của kẻ tấn công. Để khai thác một lỗ hổng, kẻ tấn công phải có ít nhất một công cụ hoặc kỹ thuật áp dụng cho phép hắn kết nối với điểm yếu của hệ thống. Một lỗ hổng chưa được xác định hoặc mới được phát hiện và chưa được vá bởi các nhà phát triển hệ thống được gọi là lỗ hổng zero-day. Các cuộc tấn công nhắm vào lỗ hổng zero-day được gọi là cuộc tấn công zero-day. Các cuộc tấn công Zero-day xảy ra trong khoảng thời gian dễ bị tấn công tồn tại trong khoảng thời gian lỗ hổng bảo mật được những kẻ tấn công biết đến và khi các nhà phát triển phần mềm bắt đầu vá và xuất bản biện pháp đối phó. Tấn công từ chối dịch vụ (Denial-of-service: DoS): là loại tấn công mạng với ý định làm cho một máy hoặc dịch vụ mạng không khả dụng cho người dùng dự định của nó. Mặc dù có nhiều kỹ thuật tấn công, động cơ và mục tiêu tấn công DoS, nhưng hầu hết trường hợp là nỗ lực làm gián đoạn hoặc tạm dừng các dịch vụ của máy chủ Internet, chẳng hạn như các dịch vụ ngân hàng. Tấn công từ chối dịch vụ phân tán (Distributed DoS: DDoS) xảy ra khi nhiều máy tính khởi chạy một cuộc tấn công DoS nhằm vào một máy chủ Internet nạn nhân và thường là dưới sự kiểm soát của cùng một kẻ tấn công. Các máy tính của kẻ tấn công thường là các nút bị xâm nhập từ phần mềm độc hại rô-bốt mạng (botnet). Chúng yêu cầu nạn nhân đáp ứng mức cao về lưu lượng truy cập hoặc yêu cầu dịch vụ, khi đó nạn nhân bị quá tải với các kết nối từ DoS vàcác kết nối mới không thể được chấp nhận. Có hai loại tấn công DoS: tấn công hệ điều hành (OS) hướng tới lỗ hổng trong hệ điều hành và tấn công mạng máy chủ nạn nhân bởi một lượng quá lớn các yêu cầu liên lạc bên ngoài hoặc lượng lưu lượng truy cập, do đó nạn nhân không thể phản hồi các yêu cầu hợp pháp hoặc phản hồi quá chậm đến mức không thể chấp nhận được. Tấn công dựa trên web: là một kiểu tấn công nhằm vào người dùng Internet và các dịch vụ Web. Các trường hợp tấn công dựa trên Web điển hình là Chèn mã độc vào mã SQL 10
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

LV.09: Bộ Luận Văn Tốt Nghiệp Chuyên Ngành Quản Trị Kinh Doanh
81 tài liệu
1643 lượt tải
THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
2=>2