Luận văn nghiên cứu thử nghiệm các phương pháp phát hiện xâm nhập trái phép dựa trên phát hiện bất thường

Vỉ thẻ, bên cạnh việc phát triển các địch vụ và ứng dụng liên mạng, việc làm thể nào để có thể phát hiện ra máy tính hoc mang may tinh eda minh dang bị xâm nhập trái phép góp phan bảo

Trang 1

BO GIAO DUC VA DAO TAO TRUONG DAI HOC BACH KHOA HA NOL

Nguyễn Thị Thu Hiền

NGIIÊN CỨU, THỨ NGIITỆM CÁC PHƯƠNG PHIÁP PHÁT IDEN

XAM NHAP TRAI PHEP DUA TREN PHAT HIEN BAT THƯỜNG

Chuyên ngành: Công nghệ Thông tin

LUẬN VĂN THẠC SĨ KỸ THUẬT

CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KIIOA HỌC:

TGS.TS Nguyễn Linh Giang

Ha NGi — 2015

Trang 2

anh mục các bãng, ccnerreererrerrre 6 Danh mục các hình vẽ, đổ hb cesses sieves sees 7

Chương 1 - TONG QUAN VE HE THONG PHAT HIỆN XÂM NHẬPE 12 1.1 Giới thiệu về hệ thẳng phát hiện xâm nhập - - 12 1.1.1 Khải riệm phát hiện xâm nhập 12

1.1.2 Hệ thống phát hiện xâm nhập " -

1.1.3 Vị trí của IDS trong mô hình mạng - - 13

1.3, Kiến trủc của LDR án neeeeiiaieraearreoo.L4

1.6 lệ thống phát hiện xâm nhập với Snort 24

1.6.4 Một số minh hơa khả năng phát hiện xâm nhập của SnorL 30

Chương 2 - CÁC PHƯƠNG PHÁP PHÁT HIẾN XÂM NHẬP DỰA TRÊN

2

Trang 3

3.2 Các phương pháp kỹ thuật phát hiện xâm nhập dựa trên bắt thường 36 2.2.1 Phương pháp phát hiện xâm nhập bắt thường, dựa trên thống kê 37 3.3.2 Phương pháp phát hiện bất thường dựa trên khơi phá dữ liệu 41

298, Phoơng ng it hận àm bồn đúc, — 3.4 Phương pháp phảt hiện đựa trên học mmáy "- Chương 3 - THỨ NGHIỆM THUẬT TOÁN CUSUM TRƠNG PHÁT HIẾN TAN CÔNG BYN FLOODING àà àirrrrrerrrrreeerouuil

3.3.3 Đánh giả kết quá thử nghiệm

3.4 Khả năng tích hợp CUSUM vào Snort 73

KÉT LUẬN

TÀI LIỆU THAM KHẢO ác Ăn eeeeerere TỔ

Trang 4

Danh mục các hình vẽ, đỗ thị

Hình 1.1 Các vị trí diễn hình của một ID8 | 15| ¬ _

linh 1.2 Kiển trúc của LDR eenieaiirearorroroT8

Hình 1.4 HIDS NetWork nnreereierrre wM `

Hình 1.7 Môđun phát hiện ò s3 nerererree "—- DB Tĩinh 1.8 Mô hình thử nghiệm Snort - - - 30 Tình 1.9 Phát hiện gói tín kích thước bắt thường 31 Hình 1.10 Phát hiện Ping of Death à ennai D2 Tình 1.11 Ping -t đến máy nạn nhân - 32 Tình 1.12 Kết quả phát hiện phụ -L - - 33 Hình 1.13 Thủ tắn công web với từ khóa "hacker” BS Hình 1.14 Phát hiện tấn công web ð Vi dụ 1 - - 33 Tình 1.15 Thứ tấn công web với từ khóa "sql" 34 Hình 1.16 Phát hiện tân công web ở Ví dụ 2 ccceeeieerereierou4 THinh 1.17 Thử tắn công SYN flooding - - 35 Hinh 1.18 Két qua phat hin SYN flooding trén Snort 35 linh 2.1 Phân loại hệ thống ID dựa trên bắt thường 137

Tlinh 3.3 So dé thudt toan phat hién bat thuéng dua trén CUSUM

Hình 3.4 Mô hình thử nghiệm CUSUM - - 59

Tlinh 3.6 Ghi két qua bat géi tin ra file - - él Tình 3.7 Giả lập người dùng thông thường gũi yêu cầu đến server 62 Hinh 3.8 Két quả chạy thuật toàn CƯSUM khi lưu lượng mạng bình thưởng 62

Trang 5

MO DAU

- Lý do chon để tài

An ninh thông tín nói chung và am ninh mạng nói riêng đang lá vẫn để được quan tâm không chỉ ở Viêt Nam mà trên toàn thể giới Thời gian gần đây, cáo cơ quan, tổ chức đã tăng cường triển khai đão tạo, dâu tư mua sim trang thiết bị và nghiên cứu các biện pháp nhằm đảm hảo an toàn thông tin cho máy tính cá nhân cững như các mạng nội bộ Tuy nhiên, tỉnh hình tân công mạng vẫn thường xuyên

xây ra, có nhiễu cơ quan, tổ chức bị đánh cắp thông từa gây nên những hậu quả vô

cùng nghiêm trọng, thủ đoạn của kẻ phá hoại ngày cảng tỉnh ví Vỉ thẻ, bên cạnh

việc phát triển các địch vụ và ứng dụng liên mạng, việc làm thể nào để có thể phát

hiện ra máy tính hoc mang may tinh eda minh dang bị xâm nhập trái phép góp

phan bảo đảm an toàn, bảo mật mạng lả một vân đề hết sức quan trọng cần được

quan lãm nghiên cửu thường xuyên

Hiện nay, các nghiên cứu tại Việt Nam cũng, như trên thể giới về xảy dung một hệ thống phát hiện xâm nhập mạng trái phép dựa trên mã nguồn mở cũng phát triển mạnh, tuy nhiên tại Việt Nam cóc nghiên cửu này cỏ mức độ triển khai vào

- Mục tiêu nghiên cứu

+ Nghiên cứu các phương pháp phái hiện xâm nhập trải phép dựa trên phải hiện bắt thường,

1 Thử nghiêm phát hiện xâm nhập dựa trên bất thường sử đụng phân lích thống kê lưu lượng nhằm áp dụng trong quản trị mạng hoặc phát hiện các xâm nhập

trái phép vào hệ thông mạng.

Trang 6

Đanh mục các ký hiệu, các chữ viết tắt

1TD Tntrusion Detection [Phat hiện xãm nhập

2 ™s Tatrusion Detection System [Hệ thông phát hiện xâm nhập

3 NIDS Network-based IDS [Hệ thẳng phát biện xâm nhập dual

lưển mạng

4 HIDS Host-based INS [Hệ thống phát hiện xâm nhập dua

[trên host

5 DoS DenialOfService Tân công từ chối địch vụ

6 DDoS Distributed Denial Of Service |Tẩn công từ chối dịch vụ phân tán

7 SBLDS Signature Based IDS |Hệ thống phát hiện xâm nhập dựa

[rên dầu hiệu

8 ABIDS Anomaly Based IDS |I1ệ thống phát hiện xâm nhập dual

krên bắt thường

9 CUSUM Cumulative SUM [Thuật toán cộng tích luỹ

10 KPDL Datamining |Khai phá đữ liệu

11 ADAM: Audit Dala Analysts and Mimmg [Khai phá và phân tích đữ liện|

|kiểm Loán

12 SOM_ 5cU-Orgauzmg Maps [Bản đồ tự lỗ chức

13 IƠMP hưemet Conrel MessagelGiao thúc thông điệp điều khiển

Protacol [Internet

14 TCP ‘Transmission Comunication ÍGiao thức diểu khiểntruyền vân

Protocol

18 UDP User Datagram Protocol Giao thức không liên kết

16 SFD SYN Flooding detection [Phat hign tan céng SYN flooding

Trang 7

Trang 8

Danh mục các bắng

Bang 3.1 Số lượng gói tin SYN, FIN va Y trong trạng thái hoạt động bình thường,

Bang 3.2 Số lượng các gói tin và Y trong trạng thái bình thường với 64

Bang 3.3 Số lượng các gói tin va Y trong trạng thái binh thưởng với N=2 65

Băng 3.4 Số lượng các gói tin trang trạng thái có tấn công SYN Flood vai N=0.567

Bảng 3.5 Giá trị Y trong trạng thái có tấn công SYN Flood với Ñ = 0.5 67

Bang 3.6 Số lượng các gói tin trong trang thai co tin cong SYN Flood vei N=1 68

Bang 3.7 Gia tri Y trong trạng thái có tắn công SYN Flocd - 69

Bang 3.8 Số lượng các gói Lin trong trạng thái có lấn công, 69

Bang 3.8 Giá trị Ý trong trạng thái có tấn công SYN Flood 270

Bang 3.10 Sẽ lượng các gói tin trong trạng thái có tần công 70

ng 3.11 Giá trị Y trong trạng thái có tân công SYN Elood với N 2 HÌ

Trang 9

Trang 10

lưển mạng

[trên host

[rên dầu hiệu

|kiểm Loán

Protacol [Internet

Protocol

Trang 11

Lời cam đoan

Trước tiên, tôi xu chân thành cảm ơn và bảy tổ lòng biết ơn sâu sắc tới thầy giáo PGS.TS Nguyễn Linh Giang, lộ môn Truyền thông và Mạng máy tỉnh, Viện

Công nghệ Thêng tin và Truyền thông, Trường Đại học Bách Khoa Hà Nội, người

đã tận tỉnh hưởng dẫn, giúp đỡ tôi trong suốt quả trình hoản thiện luận văn

Tỏi cũng xin chân thành cảm on cdc thay cô giáo trong Viện Công nghệ

Thông tin và Truyền thông nói riêng và Đại học Bách Khoa Hà Nội nói chung đã

chí dạy, cũng cấp những kiến thức quý bảu chơ tôi trong suốt quả trình học tập va

=phiên củu tại trường,

Cuỗi cùng lỗi xin gửi lời cầm ơn sâu sắc tới gia đình, bạn bè và đồng nghiệp, những người luôn cỗ vũ, quan tâm vả giúp đỡ tôi trong suốt thời gian học tập và làm luận văn

Tôi cam đoạn đây là công trình nghiên cửu của riêng tôi

Cáo số liệu và kết quả nêu trong luận văn là trung thực vả chưa từng được ai công bổ trong bất kỹ cồng trình não khác

Tác giả

Nguyễn Thị Thu Ilén

Trang 12

Trang 13

Trang 14

lưển mạng

[trên host

[rên dầu hiệu

|kiểm Loán

Protacol [Internet

Protocol

Trang 15

MO DAU

Trang 16

- Đối Lượng, phạm vỉ nghiên củu

+ Phương pháp phát hiện xãm nhập trái phép dựa trên bất thưởng;

+ Thuật toàn phát hiện xăm nhập bắt thường thẳng kế,

+ Thử nghiệm giải pháp phát hiện xăm nhập sử dụng phần mềm mã nguồn

md Snort;

+ Thử nghiệm thuật Loán CUSUM trong phát hiện tắn céng SYN flooding,

"Trong khuôn khổ đề tài, tôi đã tìm hiểu cơ bản về hệ thống phát hiện xâm

nhập, thử nghiệm hệ thẳng Snort để phát hiện xâm nhập dua trên dau hiệu, đặc biệt

tập trung nghiên cứu về các phương pháp phát hiện xâm nhập dựa trên bắt thường

và lựa chọn thuật toàn Tổng tích luỹ (CUSUM) để triển khai thứ nghiệm lễ tài đã

đề xuất mô hình phát hiện xâm nhập trái phép đựa trên phương pháp phát hiện bắt

thường thống kế bằng việc thử nghiệm thuật toán TUSUM để phát hiện tân công

hệ thông hỗ trợ giám sát, bảo vệ mạng máy tính; góp phân nâng cao kiến thức về

báo mat va an toan théng tin

+ Ý nghĩa thực tiễn

Kết quả nghiền cứu cũa dễ tải nhằm bổ sung thêm giải pháp kỹ thuật phát

góp phân bảo dim an ninh an toàn thông tin; là cơ sở để tiể

thiện xâm nhập mạng,

tục nghiên cứu phát triển các giải pháp tiếp theo

- Phương pháp nghiên cứu

+ Nghiên cứu lý thuyết,

Trang 17

lưển mạng

[trên host

[rên dầu hiệu

|kiểm Loán

Protacol [Internet

Protocol

Trang 18

Trang 19

Lời cam đoan

Tác giả

Trang 20

MO DAU

Trang 21

MO DAU

Trang 22

lưển mạng

[trên host

[rên dầu hiệu

|kiểm Loán

Protacol [Internet

Protocol

Trang 23

lưển mạng

[trên host

[rên dầu hiệu

|kiểm Loán

Protacol [Internet

Protocol

Trang 24

Trang 25

md Snort;

Trang 26

Trang 27

Lời cam đoan

Tác giả

Trang 28

lưển mạng

[trên host

[rên dầu hiệu

|kiểm Loán

Protacol [Internet

Protocol

Trang 29

Hình 3.10 Kết quả thuật toán CUSUM lúc tân công với Ý<—N., ee

Tình 3.13 Đồ thị thuật toán CUSUM trong trạng thái lưu lượng mạng bình thường

và sự biến động số các gói tin SYN-EIN hợp lệ với N=0.5 "— 1 64

Tlinh 3.13 Dé thi thuat todn CUSUM trong trang thai luu long mang binh thudng

Hinb 3.14, Dé thi thudt ton CUSUM trong trạng thải lưu lượng mạng, bình thường,

và các gói SYN-FIN hợp lệ với N=2 - - 66

Hình 3.16 Đồ thị thuật toán CUSUIM khi có tấn công với N = 0.5 68

Tình 3.17 Sự biến đối các gói SYN và FTN lúc có lẫn công SYN FloodvớiN_ 168

THỉnh 3.18 Dễ thị thuật toán CUSUM khi có tắn oông với N = L 269

Hình 3.19 Sự biển đối các gói SYN va EIN lúc có tân công SYN Flood với N=1 70

Hình 3.20 Đỏ thị thuật toán TUSUM khi có tấn công vớiN 1 70

Hình 3.21 Sự biến động các gói SYN va KIN lúc có tân céng SYN Flood với N=2

71 Hinh 3.22, Dé thi thuật toán CUSUM khi có tân công với N 2 a linh 3.23 Dễ thị phát hiện SYN flooding của phương pháp SID voi N=0.6 72

Hình 3.34 Vị trí CUSUM trong SnorL - 73

Trang 30

Hình 3.10 Kết quả thuật toán CUSUM lúc tân công với Ý<—N., ee

Tình 3.13 Đồ thị thuật toán CUSUM trong trạng thái lưu lượng mạng bình thường

và sự biến động số các gói tin SYN-EIN hợp lệ với N=0.5 "— 1 64

Tlinh 3.13 Dé thi thuat todn CUSUM trong trang thai luu long mang binh thudng

Hinb 3.14, Dé thi thudt ton CUSUM trong trạng thải lưu lượng mạng, bình thường,

và các gói SYN-FIN hợp lệ với N=2 - - 66

Hình 3.16 Đồ thị thuật toán CUSUIM khi có tấn công với N = 0.5 68

Tình 3.17 Sự biến đối các gói SYN và FTN lúc có lẫn công SYN FloodvớiN_ 168

THỉnh 3.18 Dễ thị thuật toán CUSUM khi có tắn oông với N = L 269

Hình 3.19 Sự biển đối các gói SYN va EIN lúc có tân công SYN Flood với N=1 70

Hình 3.20 Đỏ thị thuật toán TUSUM khi có tấn công vớiN 1 70

Hình 3.21 Sự biến động các gói SYN va KIN lúc có tân céng SYN Flood với N=2

71 Hinh 3.22, Dé thi thuật toán CUSUM khi có tân công với N 2 a linh 3.23 Dễ thị phát hiện SYN flooding của phương pháp SID voi N=0.6 72

Hình 3.34 Vị trí CUSUM trong SnorL - 73

Trang 31

MO DAU

Trang 32

Trang 33

md Snort;

Trang 34

md Snort;

Trang 35

md Snort;

Trang 36

Lời cam đoan

Tác giả

Trang 37

lưển mạng

[trên host

[rên dầu hiệu

|kiểm Loán

Protacol [Internet

Protocol

Tiêu đề	Luận Văn Nghiên Cứu Thử Nghiệm Các Phương Pháp Phát Hiện Xâm Nhập Trái Phép Dựa Trên Phát Hiện Bất Thường
Tác giả	Nguyễn Thị Thu Hiền
Người hướng dẫn	TGS.TS. Nguyễn Linh Giang
Trường học	Trường Đại Học Bách Khoa Hà Nội
Chuyên ngành	Công Nghệ Thông Tin
Thể loại	Luận văn thạc sĩ
Năm xuất bản	2015
Thành phố	Hà Nội

Định dạng
Số trang	75
Dung lượng	186,68 KB