Xây dựng hệ thống phát hiện xâm nhập

Xây dựng hệ thống phát hiện xâm nhập, Xây dựng hệ thống phát hiện xâm nhập Xây dựng hệ thống phát hiện xâm nhập Xây dựng hệ thống phát hiện xâm nhập Xây dựng hệ thống phát hiện xâm nhập Xây dựng hệ thống phát hiện xâm nhập Xây dựng hệ thống phát hiện xâm nhập báo cáo hay

BÁO CÁO THỰC TẬP TỐT NGHIỆP

NỘI DUNG BÁO CÁO

IDS là từ viết tắt của Intrusion Dectection System.

Hệ thống có nhiệm vụ theo dõi, phát hiện và có thể

ngăn cản sự xâm nhập, cũng như các hành vi khai thác trái phép tài nguyên của hệ thống được bảo vệ mà có thể dẫn đến việc làm tổn hại đến tính bảo mật, tính

toàn vẹn và tính sẵn sàng của hệ thống

IDS là gì?

 Network-based IDS – NIDS.

 Host-based IDS – HIDS.

Phân loại

5

Network-based IDS

Hình 1 NIDS [Nguồn: Internet]

Host-based IDS

Hình 2 HIDS [Nguồn: Internet]

 Bị hạn chế với Switch

 Hạn chế về hiệu năng.

 Tăng thông lượng mạng.

 Gặp khó khăn với các gói tin mã hóa, phân mảnh.

Nhược điểm NIDS

Xác định được kết quả của cuộc tấn công.

Giám sát được các hoạt động cụ thể của hệ thống.

Thích nghi tốt môi trường chuyển mạch, mã hóa.

Không yêu cầu thêm phần cứng.

Ưu điểm HIDS

 Khó quản trị.

 Thông tin nguồn không an toàn.

 Giá thành cao.

 Chiếm tài nguyên hệ thống.

Nhược điểm HIDS

Phát hiện sự lạm dụng (Misuse Detection Model).

Phát hiện sự bất thường (Anomaly Detection Model).

Cơ chế hoạt động

Phát hiện sự lạm dụng

Hình 3 Mô hình phát hiện sự lạm dụng [Nguồn: Internet]

Phát hiện sự bất thường

Hình 3 Mô hình phát hiện sự bất thường [Nguồn: Internet]

Kết luận

Hình 5 Kết hợp NIDS và HIDS [Nguồn: EC-Council CEH]

Máy tính cài phần mềm phục vụ web

Là nơi lưu trữ, xử lí và truyền tải nội dung web

Web Server

Hình 6 Web Server [Nguồn: Internet]

Nguyên tắc giao tiếp: Yêu cầu (request) và hồi đáp (respond).

Hoạt động Web Server

Hình 7 Giao tiếp giữa browser và server [Nguồn: Internet]

Giao tiếp client và server

19 Hình 8 Giao tiếp giữa client và server [Nguồn: Internet]

Phân loại tấn công Web

Hình 9 Thống kê tấn công web 2012

Tấn công DOS

Hình 10 Tấn công DOS [Nguồn: EC-Council CEH]

Tấn công DOS

Hình 11 Mạng Zombies [Nguồn: EC-Council CEH]

Lợi dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào.

Lợi dụng các thông báo lỗi của hệ quản trị cơ sở dữ liệu.

Thêm, sửa, xóa và đánh cấp thông tin, password, email, tài khoản

ngân hàng…

Tấn công SQL Injection

Được viết tắt là XSS.

Chèn vào các website động những đoạn mã script gây nguy hại cho

người dùng.

Chạy phía client side.

Đánh cắp thông tin, cookies, thực thi mã độc trên người dùng cuối…

Tấn công Cross-site scripting

24

Đặt mật khẩu đủ mạnh và thay đổi định kì.

Kiểm tra mã nguồn, các hàm xử lí không an toàn.

Quá trình tiền xử lí dữ liệu đầu vào.

Quản lí truy cập, phần quyền cho user.

Cấu hình web server an toàn.

Sử dụng mã hóa và các giao thức an toàn.

Cách phòng chống

Kiểm tra và rà soát các lỗi ứng dụng, dịch vụ.

Tắt tất cả các dịch vụ không sử dụng.

Cập nhật phần mềm và các bản vá lỗi.

Giải pháp tường lửa, phần mềm diệt virut.

Hệ thống phát hiện xâm nhập NIDS, HIDS.

Yếu tố quan trọng nhất là yếu tố con người.

Cách phòng chống.

Self Organizing Map (SOM) [1][3] là một mạng Neuron nhân

tạo (Artificial Neural Networks – ANN), được huấn luyện và sử dụng kỹ thuật học không giám sát để biểu diễn dữ liệu với số chiều thấp hơn nhiều so với dữ đầu vào nhiều chiều Mục đích của SOM là phân cụm và trực quan hóa dữ liệu

Mô hình đầu tiên được mô tả bởi giáo sư người Phần Lan

Teuvo Kohonen vào đầu những năm 80, thường được gọi là bản

đồ Kohonen hay mạng Kohonen.

Self Organizing Map

Mạng kohonen

Hình 12 Mô hình mạng kohonen [Nguồn: Internet]

Cấu trúc mạng SOM

Hình 13 Cấu trúc mạng SOM [Nguồn: Internet]

Kết quả thuật toán SOM

31

Bước 1: Khởi tạo trọng số.

Bước 2: Huấn luyện.

Bước 3: Tìm neuron chiến thắng.

Bước 4: Tính bán kính lân cận.

Bước 5: Cập nhật trọng số các neuron lân cận.

Bước 6: Lặp lại bước 2 cho đến khi hoàn thành.

Thuật toán SOM

Khởi tạo một cách ngẫu nhiên (Random Initialization).

Sử dụng mẫu khởi tạo (Initial Samples).

Khởi tạo tuyến tính (Linear Initialization).

Khởi tạo trọng sốBước 1

Huấn luyệnBước 2

Duyệt tất cả các nút và tính khoảng cách Euclide giữa vector trọng

số của mỗi nút và vector đầu vào theo công thức sau:

Trong đó:

xi là vector huấn luyện đầu vào hiện tại.

mi là vector trọng số của phần tử được chọn.

Tìm neuron chiến thắng BMU

Bước 2

Mục đích: Để biết được các neuron nào nằm trong vùng lân cận của

neuron chiến thắng BMU.

Sau mỗi lần lặp bán kính lân cận sẽ co lại theo hàm mũ nội suy.

0 exp( với t=1,2,3…,n.

Trong đó:

t: là bước lặp hiện tại.

(t): bán kính lận cận tại thời điểm t.

0 : bán kính lân cận tại thời điểm t0

Bán kính lân cậnBước 3

Bán kính lân cậnBước 3

0 exp(

0 =

Bán kính lân cậnBước 3

Hình 14 Sự thu nhỏ bán kính lân cận [Nguồn: Internet]

Wv(t + 1) = Wv(t) + Θ (v, t) α(t) ( D(t) - Wv(t))

Trong đó:

t là lần lặp thứ t.

Wv(t) là giá trị trọng số của nút lân cận tại thời điểm t.

Wv(t + 1) là giá trị trọng số mới được cập nhật.

Θ (v, t) Là hàm lân cận.

α(t) Là hàm tốc độ học.

Cập nhật trọng sốBước 4

Gaussian Function

Bubble Function.

Hàm lân cận

Kết luận

Kết quả cập nhật trọng số

Hình 16 Sự co cụm các neuron [Nguồn: Internet]

Quá trình lặp lạiBước 5

Hình 17 Quá trình học của SOM [Nguồn: Internet]

Kết quả thuật toán

Hình 18 Kết quả của SOM [Nguồn: Internet]

Trực quan hóa ma trận khoảng cách (U-MATRIX).

Trực quan hóa dạng lưới (Mesh Visualization).

Trực quan hóa các thành phần (Visualization of Components).

Phương pháp trực quan hóa SOM

Trực quan hóa SOM

Hình 19 Trực quan hóa ma trận khoảng cách [Nguồn: Internet]

Trực quan hóa SOM

Hình 20 Trực quan hóa dạng lưới [Nguồn: Internet]

Trực quan hóa SOM

Hình 21 Trực quan hóa các thành phần [Nguồn: Internet]

năng điều chỉnh của các neuron trong mạng như thế nào đối với các mẫu dữ liệu đầu vào

vector dữ liệu đầu vào có nơron chiến thắng trong lần học thứ nhất và nơron chiến thắng trong lần học thứ hai không phải là các đơn vị nằm cận nhau trên bản đồ

Chất lượng SOM

Lỗi hình học (Topology Error).

et=i).

nhất và neuron chiến thắng trong lần học thứ hai không phải các đơn vị nằm cận nhau trên bản đồ Ngược lại thì u(xi) =0.

Chất lượng SOM

Dữ liệu của 3 loại hoa Iris setosa, Iris virgincica, Iris versicolor

Các thuộc tính: Độ dài và độ rộng của đài hoa (sepal) và cánh hoa (petal) tính theo centimeters

Demo thuật toán SOM

54

Dữ liệu đầu vào

55

Dữ liệu đầu vào

56

Bộ nhớ máy chủ (Server Memory).

Tài nguyên của bộ vi xử lí (Processor Usage).

Tài nguyên ổ đĩa lưu trữ (Disk).

Tài nguyên mạng (Network Usage).

Tài nguyên máy chủ web

Tham số đặc trưng

Diễn tả được tình trạng của hệ thống máy chủ

Định nghĩa thành một vector k chiều

Mô hình IDS cho Web Server

Hình 22 Hệ thống IDS cho Web Server

Thu thập dữ liệu

Hình 24 Dữ liệu thu được

Xử lí dữ liệu

Hình 25 Kết quả xử lí dữ liệu

Chuẩn hóa dữ liệu

Hình 26 Kết quả chuẩn hóa dữ liệu

Xây dựng Vector dữ liệu

Hình 27 Cấu trúc dữ liệu đầu vào

Huấn luyện SOM

Hình 28 Huấn luyện SOM

Dò tìm tấn công

Hình 29 Khối dò tìm tấn công

[1] Kohonen, Self-Organizing Maps, Springer Series in

Information Sciences, 1997

[2] Stefanovic, Influence of Learning Rates and

Neighboring Functions on Self Organizing Map, 2011

[3] Mr Patole – Mr Pachghare – Dr Kulkarni, Self

Organizing Maps to Build Intrusion Detection System,

International Journal of Computer Application, 2010

Tài liệu tham khảo

70