NGHIÊN CỨU VÀ PHÁT TRIỂN CHƯƠNG TRÌNH PHÁT HIỆN XÂM NHẬP MẠNG
Trang 1HỌC VIỆN KỸ THUẬT QUÂN SỰ
KHOA CÔNG NGHỆ THÔNG TIN
Trang 2ĐẶT VẤN ĐỀ
Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng internet trở thành vô cùng quan trọng
Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả
Trang 3 Việc xây dựng một hệ thống phát hiện xâm nhập (IDS) riêng cho mỗi mạng để phòng chống sự tấn công của tin tặc, cũng như đảm bảo an toàn về dữ liệu là rất quan trọng.
Trên thị trường hiện nay, các hệ thống IDS tốt đều có chi phí rất cao Bên cạnh đó, vẫn
có những phần mềm mã nguồn mở vừa có hiệu quả tốt, lại vừa đáp ứng được nhu cầu
về chi phí
Trang 4NỘI DUNG NGHIÊN CỨU
Tìm hiểu tổng quan về hệ thống phát hiện xâm nhập
Nghiên cứu về chương trình phát hiện xâm nhập mã nguồn mở Snort
Xây dựng các tập luật tự tạo dựa trên các tool tấn công
Tích hợp bộ tiền xử lý phát hiện dấu hiệu bất thường (PHAD)
Trang 5CHƯƠNG I: TỔNG QUAN VỀ IDS
IDS (Intrusion detection system): Là các công cụ,
phương thức để giúp nhận biết, đánh giá, và báo cáo những hành động trái phép trên mạng.
Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là phần mềm, phần cứng hoặc kết hợp cả hai
IDS cung cấp sự bảo vệ bằng cách cảnh báo cho người quản trị biết về khả năng các cuộc tấn công
Trang 6Cấu trúc chung của một hệ thống IDS
Bao gồm 3 phần chính:
Phần thu thập gói tin – Information Collection
Phần phát hiện – Detection
Phần phản ứng – Response
Trang 7PHÂN LOẠI IDS
IDS chia ra làm 3 loại chính:
NIDS: Network-based IDS.
HIDS: Host-based IDS.
DIDS: Distributed IDS
Trang 8NIDS – NETWORK BASED IDS
NIDS theo dõi toàn bộ các vùng của mạng hoặc các subnet
o Ưu điểm: theo dõi được toàn bộ thông tin trong hệ
thống mạng
o Nhược điểm: dễ xảy ra hiện tượng nghẽn mạng
khi lưu lượng ở mức cao
Trang 9HIDS – HOST BASED IDS
HIDS được đặt trên các host quan trọng của hệ thống và các server trong vùng DMZ
o Ưu điểm: HIDS có khả năng phát hiện các cuộc tấn
công diễn ra trên một máy.
o Nhược điểm: HIDS không có khả năng phát hiện các
cuộc dò quét mạng.
Trang 10DIDS – DISTRIBUTED IDS
Hệ thống IDS phân tán – DIDS là sự kết hợp của các
bộ cảm biến NIDS, HIDS hoặc là cả 2 IDS có thể
quan sát các sự cố trên toàn hệ thống, hoặc thậm chí
từ Internet
Trang 11CHƯƠNG II: CHƯƠNG TRÌNH
PHÁT HIỆN XÂM NHẬP SNORT
Snort là phần mềm mã nguồn mở, được nhiều công
ty, tổ chức sử dụng để giám sát hệ thống mạng của mình Snort có 3 chức năng chính:
Trang 12MÔ HÌNH CHƯƠNG TRÌNH PHÁT HIỆN
CHỐNG XÂM NHẬP SNORT
Trang 13CÁC THÀNH PHẦN CỦA SNORT
Packet Decoder : bộ giải mã gói
Preprocessors : bộ tiền xử lý
Detection Engine : hệ thống phát hiện
Logging and Alert system: hệ thống ghi dấu
và cảnh báo
Output Modules : các mô đun đầu ra.
Trang 14 Packet Decoder – Bộ giải mã gói: Các packet đến NIC
được giải mã bởi bộ Packet Decoder, bộ giải mã sẽ xác định xem gói tin sử dụng giao thức nào, và đối chiếu dữ liệu với phương pháp ứng xử được cho phép với giao thức đấy
Preprocessor – Bộ tiền xử lý: bộ tiền xử lý là một plug-in
gắn vào Snort, sẽ cho phép phân tích dữ liệu đến bằng nhiều phương pháp khác nhau
Detection Engine - Hệ thống phát hiện: Detection engine
chịu trách nhiệm phát hiện nếu có hành vi xâm nhập trong một gói tin Detection engine tận dụng những rule Snort để làm việc này
Logging and Alert system - Hệ thống ghi dấu và
cảnh báo: Khi dấu hiệu trong gói tin trùng khớp với nội
dung tập luật, các cảnh báo và log sẽ được sinh ra.
Trang 15CHƯƠNG III: TẬP LUẬT CỦA SNORT
Rule là thành phần cơ bản, quan trọng nhất
của Snort Các packet đi vào sẽ được đối chiếu
với rule, tùy theo nội dung bên trong packet mà
Snort sẽ đưa ra hành động cụ thể
Cấu trúc tập luật trong Snort
Bao gồm 2 phần chính Rule header và Rule option
Trang 16 Rule header : chứa thông tin về hành động mà luật
sẽ thực hiện.Cấu trúc chung của rule header như sau:
Rule option: chứa thông điệp cảnh báo Và chứa
nội dung của tập luật.
Trang 17 Cấu trúc tổng quát cho tập luật của Snort
action protocol address1 port \ direction address2 port \
(option1 : <value1> ;option2: <value2>;… )
Với các option là các giá trị tùy chọn trong rule
Option
Trang 18MỘT SỐ OPTION CƠ BẢN TRONG RULE OPTION
msg: <message>; ghi thêm chuỗi ký tự vào log và cảnh báo Thông điệp để trong “”.
content: < straight text>; or content: <hex data >; Tìm ra giá trị chứa trong packet.
Flag: từ khóa được sử dụng trong phiên TCP, kiểm tra các cờ.
ttl : < number> - Tùy chọn kiểm tra time to live của
gói tin tới
Trang 19MÔ HÌNH XÂY DỰNG
Trang 20KẾT QUẢ THỬ NGHIỆM TẤN
CÔNG VỚI CÁC RULE TỰ TẠO
Trang 21CÁC TẬP LUẬT TỰ XÂY DỰNG
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:" dau hieu tan cong syn flood ";flow:stateless; flags:S;
threshold: type both, track by_dst, count 100, seconds 5;
classtype: tan-cong-dos/ddos; sid: 10000011;)
alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:" dau hieu Xmas scan"; classtype: quet-mang;
flags:F*U*P*FUP; sid: 1000009)
alert tcp any any -> $HOME_NET any (msg:“phat hien trung IP"; sameip; classtype: tan-cong-landattack; sid:1000010)
alert udp $EXTERNAL_NET any -> $HOME_NET any
(msg:"phat hien UDP flood"; content:"| 66 6C 6F 6F 64 75 64
70 |"; classtype:tan-cong-dos/ddos; sid:100000014;)
Trang 22CHƯƠNG IV: BỘ TIỀN XỬ LÝ PHAD
PHAD – Packet Header Anormaly Detection
Header của các gói tin Ethernet, IP, TCP,UDP,ICMP được chia vào các trường từ 1 đến 4 byte.
Giá trị của các trường này được ghi vào k mảng.
Dấu hiệu bất thường được phát hiện nếu một trường có chứa giá trị không giống như một trường trong k mảng
đã lưu.
Trang 23CƠ CHẾ HOẠT ĐỘNG CỦA PHAD
Mỗi trường của header có dấu hiệu bất thường được gán giá trị:
Score field = tn/r
o r : số lượng bất thường tại mỗi trường trong thời gian huấn luyện
o n : số lần 1 trường được học trong thời gian huấn luyện
o t : thời gian cuối cùng xảy ra sự kiện bất thường trong 1 trường
Giá trị của một packet có dấu hiệu bất thường:
Score packet = ∑ i € anomalous field t i r i /n I
Trang 24CHƯƠNG V: MÔ PHỎNG HỆ
THỐNG IDS
Tiến hành chạy Snort trên máy chủ Centos
Thử tấn công bằng các tool để Snort đưa ra cảnh báo.
Trang 25KẾT LUẬN
Kết quả đạt được sau quá trình nghiên cứu đồ án:
o Sử dụng Snort phát hiện được một số loại tấn
công
o Xây dựng thêm được tập luật
o Tích hợp bộ xử lý phát hiện dấu hiệu bất thường
Hướng phát triển:
o Nghiên cứu tìm hiểu sâu về hệ thống IDS nói
chung và phần mềm Snort nói riêng.
o Hoàn thiện hơn hệ thống phát hiện xâm nhập để
có thể triển khai trong hệ thống thực