Nghiên cứu xây dựng mô hình phát hiện tấn công, đột nhập mạng dựa trên đối sánh chuỗi Người hướng dẫn: Tiến sĩ Hoàng Xuân Dậu Sinh viên thực hiện: Vũ Duy Khánh Lớp: D09CNTT1 HTTT3 Tổng quan về phát hiện đột nhập mạng Các giải thuật đối sánh chuỗi và ứng dụng trong phát hiện đột nhập mạng Xây dựng mô hình phát hiện đột nhập mạng dựa trên đối sánh chuỗi Kết luận
Trang 1Nghiên cứu xây dựng mô hình phát hiện tấn công, đột nhập mạng dựa trên đối sánh chuỗi
Người hướng dẫn: Tiến sĩ Hoàng Xuân Dậu Sinh viên thực hiện: Vũ Duy Khánh
Lớp: D09CNTT1 - HTTT3
Trang 4Các yêu cầu về đảm bảo an toàn cho hệ
Trang 5Các dạng tấn công và đột nhập mạng
thường gặp
Tấn công gián đoạn
Tấn công bằng
phần mềm phá hoại
Tấn công vào tài nguyên mạng
Tấn công nghe trộm
Tấn công thay đổi
Tấn công giả mạo
Trang 6Các giải pháp bảo vệ, phòng chống tấn
công, đột nhập
Content
- Click to add Text
- Click to add Text
- Click to add Text
Phát hiện tấn công, đột nhập
Điều khiển truy cập -- Tường lửa Xác thực
- Cấp quyền
Mã hóa
dữ liệu Biến thông tin từ dạng bình thường sang dạng
không thể hiểu được nếu không có phương tiện giải mã.
Bảo vệ
vật lý Ngăn chặn các truy cập vật lý trái phép vào hệ
thống.
Trang 7Phát hiện tấn công, đột nhập mạng
Trang 8Phân loại biện pháp phát hiện đột nhập
Phân loại dựa trên nguồn dữ liệu
Host Based IDS - HIDS Network Based IDS - NIDS
Trang 9Phân loại biện pháp phát hiện đột nhập
Phân loại dựa trên kỹ thuật phát hiện
Attack
System Profile
System Profile
Trang 11Khái quát về đối sánh chuỗi
Trang 12Phân loại kỹ thuật đối sánh chuỗi
Dựa theo số lượng mẫu
tự từ phải sang trái
Đối sánh chuỗi
đa mẫu
Đối sánh chuỗi đơn mẫu
Đối sánh chuỗi chính xác
Đối sánh chuỗi gần đúng
Dựa theo thứ tự
đối sánh
Dựa theo độ chính xác Phân loại kỹ thuật đối sánh chuỗi
Trang 13Các giải thuật đối sánh chuỗi đơn mẫu
Lần lượt duyệt tất cả các vị trí cĩ thể của chuỗi Pattern trong chuỗi Text để tìm ra
Nạve
Sử dụng bảng so khớp một phần để tính tốn giá trị dịch chuyển cửa sổ so sánh
đi một khoảng nhất định khi so khớp thất bại.
Trang 14Thuật toán Boyer-Moore-Horspool
Trang 15Thuật toán Boyer-Moore-Horspool
bmBc[c] = min {i : 1 ≤ i ≤ m-1 and P[m-1-i]=c}
otherwise, //c not occurs in P
Trang 16Tổng hợp đặc điểm các thuật toán đối
sánh chuỗi cơ bản
Tên thuật
toán
Thứ tự đối sánh
Độ phức tạp thuật toán tiền xử lý
Độ phức tạp thuật toán tìm
kiếm Trường hợp tốt nhất
Trường hợp kém nhất
Naive Từ trái sang
phải
Không có tiền xử lý dữ liệu
Trang 17Lựa chọn thuật toán đối sánh chuỗi hiệu
năng cao
Moore
Moore- Horspool
Boyer-Trong phát hiện đột nhập mạng, thuật
toán Boyer-Moore-Horspool có nhiều ưu
thế hơn thuật toán Boyer-Moore!
Sử dụng hai luật dịch chuyển
Cho phép chọn ra
mức dịch chuyển dài nhất
Tốn thời gian và không gian
lưu trữ cho giai đoạn tiền xử lý
Trang 19Kiến trúc chung của hệ thống phát hiện
System Information Detection Policy
Detection Policy Response Policy
Response Policy
Protected System
Set of Event (Syslogs, System Status, Network Packets)
Trang 20Mô hình phát hiện đột nhập mạng dựa
trên đối sánh chuỗi
Cấu trúc hệ NIDS dựa trên đối sánh chuỗi
Trang 21Các giải pháp triển khai NIDS trong
thực tế
Trang 22Logging and Alerting System
Output Modules
Packet Decoder
Log to a file or output alert
Các thành phần của Snort
Trang 23Tích hợp giải thuật đối sánh chuỗi tiên
tiến vào Snort
int, const char *,
int, int *, int *);
int mSearchCI
(const char *, int,
const char *, int,
int *, int *);
BM
int mhSearch (const char *, int, const char *, int, int *);
int mhSearchCI (const char *, int, const char *, int, int *);
Trang 25Thử nghiệm hiệu năng thuật toán đối
Trang 26Thử nghiệm hiệu năng thuật toán đối
sánh chuỗi
TH1: Xét tập dữ liệu orange2.4.cap
(5866 gói tin TCP)
TH2: Xét tập dữ liệu orange2.8.cap (11214 gói tin TCP)
Trang 27Thử nghiệm phát hiện tấn công, đột nhập
seconds 1; priority:3; sid:1000006; rev:1;)
alert icmp any any -> any any (msg:"PING FLOOD ATTACK"; threshold: type
threshold, track by_src, count 50, seconds 1; priority:3; sid:1000007; rev:1;)
alert tcp any any -> any any (msg:"PORT SCAN ATTACK"; flow:stateless; ack:0;
flags:S; classtype:attempted-recon;
sid:1000000; rev:1;)
/etc/snort/rules/local.rules
Trang 29Kết quả đạt được
Nghiên cứu tổng quan về phát hiện đột nhập mạng, các hình thức tấn
công và biện pháp phát hiện xâm nhập.
Nghiên cứu tổng quan về phát hiện đột nhập mạng, các hình thức tấn
công và biện pháp phát hiện xâm nhập.
Nghiên cứu các giải thuật đối sánh chuỗi đơn mẫu thông dụng và ứng dụng thuật toán đối sánh chuỗi trong phát hiện đột nhập mạng.
Nghiên cứu các giải thuật đối sánh chuỗi đơn mẫu thông dụng và ứng dụng thuật toán đối sánh chuỗi trong phát hiện đột nhập mạng.
Xây dựng mô hình phát hiện đột nhập mạng dựa trên đối sánh chuỗi
Cài đặt thử nghiệm mô hình sử dụng giải thuật đối sánh chuỗi tiên tiến, thử nghiệm hiệu năng các giải thuật đối sánh chuỗi
và thử nghiệm khả năng phát hiện xâm nhập của Snort
Cài đặt thử nghiệm mô hình sử dụng giải thuật đối sánh chuỗi tiên tiến, thử nghiệm hiệu năng các giải thuật đối sánh chuỗi
và thử nghiệm khả năng phát hiện xâm nhập của Snort
Trang 30Hướng phát triển trong tương lai
Tìm hiểu sâu về các thuật toán đối
sánh chuỗi đa mẫu hiệu năng cao,
cho phép so sánh nhiều mẫu cùng lúc.
Tìm hiểu sâu về các thuật toán đối
sánh chuỗi đa mẫu hiệu năng cao,
cho phép so sánh nhiều mẫu cùng lúc.
Tối ưu hóa mã nguồn để cài đặt hệ
thống phát hiện đột nhập trực tiếp
trên các thiết bị mạng như router, switch.
Tối ưu hóa mã nguồn để cài đặt hệ
thống phát hiện đột nhập trực tiếp
trên các thiết bị mạng như router, switch.
Trang 31Xin chân thành cảm ơn thầy cô và các bạn đã
lắng nghe!
