Luận văn HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS-Intrusion Detection System)

Luận văn

HỆ THỐNG PHÁT HIỆN XÂM

NHẬP (IDS-Intrusion Detection

System)

BỘ GIÁO DỤC & ĐÀO TẠO

ĐẠI HỌC KỸ THUẬT CÔNG

NGHỆ TP.HCM

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

ĐỘC LẬP – TỰ DO – HẠNH PHÚC

_____oOo_____

Khoa: Công nghệ thông tin

Bộ môn: Mạng máy tính

NHIỆM VỤ THỰC HIỆN ĐỀ TÀI CHUYÊN

NGÀNH

Họ và tên : Lê Thị An Hải MSSV : 09B1020158

Ngành : Mạng máy tính Lớp : 09HTHM2

1. Đầu đề đồ án tốt nghiệp :

HỆ THỐNG PHÁT HIỆN XÂM NHẬP (IDS-Intrusion Detection System)

2. Nhiệm vụ :

……………………………………………………………………………………...........

………………………………………………………………………………………..….

……....................................................................................................………………………………………………………………………………………..

……………………….

3. Ngày giao nhiệm vụ đồ án:……………………………………………………

4. Ngày hoàn thành nhiệm vụ:………………………………………………......

5. Họ tên giáo viên hướng dẫn:.............................................................................

Nội dung và yêu cầu đồ án chuyên ngành đã

thông qua.

TP.HCM, ngày …… tháng …… năm 2007

CHỦ NHIỆM KHOA

(Ký và ghi rõ họ tên)

GIÁO VIÊN HƯỚNG DẪN CHÍNH

(Ký và ghi rõ họ tên)

PHẦN DÀNH CHO BỘ MÔN

Người duyệt (chấm sơ bộ) :

Đơn vị :

Ngày bảo vệ :

Điểm tổng quát :

ĐẠIHỌC KỸTHUẬT CÔNGNGHỆ

KHOA CÔNGNGHỆTHÔNGTIN

CỘNGHÒA XÃ HỘI CHỦNGHĨA VIỆT NAM

ĐỘC LẬP – TỰ DO – HẠNHPHÚC

____o0o____

NHẬN XÉT ĐÁNH GIÁ CỦA GIẢNG VIÊN HƯỚNG DẪN

ĐỀ TÀI:

Sinh Viên: Chuyên ngành:

Điểm bằng số:

Điểm bằng chữ:

Tp. Hồ Chí Minh, ngày tháng năm2010

NGƯỜI NHẬN XÉT

(Ký tên và ghi rõ họ tên)

LỜI CẢM ƠN

Em xin gửi lời cảm ơn tới các thầy cô trong bộ môn Mạng máy tính, khoa Công nghệ thông tin, trường Kỹ Thuật Công Nghệ Thành Phố

Hồ Chí Minh đã tạo điều kiện cho em thực hiện đồ án chuyên ngành. Xin chân thành cảm ơn thầy giáo Nguyễn Hoàng Nam đã tận tình hướng

dẫn, giúp đỡ em hoàn thành đồ án này.

Cuối cùng, em xin bày tỏ lòng biết ơn đến gia đình và bạn bè đã giúp đỡ, động viên em rất nhiều trong suốt quá trình học tập và làm đồ án.

Mặc dù đã có nhiều cố gắng nhưng do thời gian và trình độ có hạn nên chắc chắn đồ án này còn có nhiều thiếu sót. Em rất mong nhận được

những ý kiến đóng góp quý báu từ thầy cô và các bạn.

Tp.HCM, ngày…… tháng……năm 2010

LÊ THỊ AN HẢI

Lớp 09HTHM2-ĐH KTCN Tp.HCM

MỤC LỤC

NHIỆM VỤ ĐỒ ÁN CHUYÊN NGÀNH……………………………………..1

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN………………………………2

LỜI CẢM ƠN…………………………………………………………………...3

MỤC LỤC………………………………….……………………………………4

LỜI NÓI ĐẦU…………………………………………………………………..8

CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG…...………………….….9

I. BẢO MẬT HỆ THỐNG…………………………….…………………….....9

1. Khái niêm về bảo mật........................................................................................9

2. Sự cần thiết của bảo mật..................................................................................9

3. Những mối đe dọa...........................................................................................10

3.1. Mối đe dọa không có cấu trúc.......................................................................10

3.2. Mối đe dọa có cấu trúc..................................................................................10

3.3. Mối đe dọa từ bên ngoài...............................................................................10

3.4. Mối đe dọa từ bên trong................................................................................11

4. Các phương thức tấn công (Attack methods)................................................11

4.1. Thăm dò........................................................................................................11

4.2. Truy nhập (Access).......................................................................................12

4.3. Từ chối dịch vụ (Denial of Service)..............................................................14

II. TẦM QUAN TRỌNG CỦA HỆ THỐNG IDS...........................................15

1.Sự giới hạn của các biên pháp đối phó...........................................................15

2. Sự cần thiết của hệ thống phát hiện xâm nhập.............................................16

CHƯƠNG II: SƠ LƯỢC VỀ HỆ THỐNG IDS..............................................18

I. GIỚI THIỆU CƠ BẢN VỀ IDS....................................................................18

1. Định nghĩa.......................................................................................................18

2. Chức năng.......................................................................................................19

3. Yêu cầu hệ thống.............................................................................................19

4. Kiến trúc cơ bản của hệ thống.......................................................................20

4.1. Cơ sở hạ tầng của IDS...................................................................................20

4.2. Cấu trúc và kiến trúc của hệ thống................................................................22

II. CƠ CHẾ HOẠT ĐỘNG…………………………..….……………………24

1. Phương pháp nhận diện………………………….………..………………..24

1.1. Nhận diện dựa vào dấu hiệu (Signature-base detection)……..…...………24

1.2. Nhận diện sự bất thường (Abnormaly-base detection)………...…………..25

1.3. Phân tích trạng thái giao thức (Stateful protocol analysis)……………..….25

2. Cơ chế bảo mật………………………………...…………………………….26

2.1. Phát hiện tấn công………………………………………………………….26

2.2. Ngăn chặn tấn công………………………………………..……………….27

2.3. Phòng tránh tấn công………………………………………...……………..28

3. Phản ứng……………………………………...…………..…………………29

III.CÁCH PHÁT HIỆN CÁC KIỂU TẤN CÔNG THÔNG DỤNG CỦA IDS…..30

1. Kỹ thuật xử lý dữ liệu……………………………………….……………….30

1.1. Hệ thống Expert (Expert systems)…………………………………………30

1.2. Phát hiện xâm nhập dựa trên luật (Rule-base intrusion detection)……..….30

1.3. Phân biệt ý định người dùng (User intention identification)………………30

1.4. Phân tích trạng thái phiên (State-transition analysis)………………..……..31

1.5. Phương pháp phân tích thống kê (Staticstical analysis approach)……...….31

2. Các kiểu tấn công thông dụng…………………..…………………….…….31

2.1. Denial of Service attack……………………………………………………31

2.2. Scanning and Probe………………………………………………..……….32

2.3. Password attack………………………………………………...…………..33

2.4. Privilege-grabbing……………………………………………...…………..34

2.5. Hostile code insertion………………………………………...…………….35

2.6. Cyber vandalism………………………………………………..………….36

2.7. Proprietary data theft………………………………………………….……37

2.8. Fraul, waste, abuse…………………………………………………...…….37

2.9. Audit trail tampering……………………………………………...………..38

2.10. Security infrastructure attack……………………………………………..39

3. Hạn chế của hệ thống………………………………..………………...……39

CHƯƠNG III: MÔ HÌNH HỆ THỐNG………………………...…………...41

I. PHÂN LOẠI……………………..………………………………………….41

1. Host Intrusion Detection System………………….…………...…..………..41

2. Network Intrusion Detection System………………….…………………….43

3. Distributed Intrusion Detection System……………….…..………………..46

4. So sánh HIDS và NIDS…………………………………..…………………47

5. Phân biệt các hệ thống không phải là IDS…………….……………...……50

II. MỘTSỐ DẠNG KHÁC CỦA IDS…………………………...…………...51

1. Wireless IDS……………….………………...……………..………………..51

2. Network Behavior Analysis System…...………………………………….…53

3. Honeypot IDS………………………………………………………………..54

CHƯƠNG IV: XÂY DỰNG MÔ HÌNH SẢN PHẨM…………….……..….55

I. ĐẶT VẤN ĐỀ BÀI TOÁN……………………………….…………………55

II. GIỚI THIỆU CHUNG VỀ SNORT………………………………...…….56

1. Các thành phần cơ bản của Snort……………………………………...…..56

1.1. Packet Decoder…………………………………………………………….59

1.2. Preprocessors………………………...…………………………………….59

1.3. Detection Engine…………………………...………………………………60

1.4. Logging and Alerting System…………………………..………………….62

1.5. Output Modules……………………………………………...……………..63

2. File cấu hình………………..………………………………….……………64

2.1 Cấu hình các biến giá trị………………………………………...………….65

2.2. Cấu hình bộ tiền xử lý………………………………………...……………67

2.3. Cấu hình xuất kết quả…………………………………………………...….69

2.4. Các files kèm theo………………….………………………………………72

3. Tập luật (rulesets) trong Snort………………..…………………………….73

3.1. Cấu trúc của một rule…………………………………………..…………..75

3.2. Rule option…………………………………………………………………77

III. TRIỂN KHAI HỆ THỐNG IDS BẰNG SNORT………………...……..78

1. Những điểm cần lưu ý…………………………………..…………..………78

1.1. Các hệ thống và mạng phải giám sát………………………….……………79

1.2. Tạo các điểm kết nối………………………………………………...……..80

1.3. Lưu lượng mã hóa………………………………………………………….80

1.4. Bảo mật bộ cảm biến Snort…………………………………….…………..81

1.5. Chọn hệ điều hành…………………………………………….……………81

1.6. Cấu hình các giao diện…………………………………………..…………82

2. Cài đặt và cấu hình căn bản……………………………………..………….83

2.1. Các bước cài đặt và cấu hình Snort……………………………..………….83

2.2. Các chế độ hoạt động…………………………………………...………….90

3. Cấu hình Snort nâng cao…………………………..………………………..92

3.1. Cài đặt cơ sở dữ liệu cho Snort…………………………………………….92

3.2. Basic Analysis and Security Engine…………………………….…………99

3.3. Tự động cập nhập Snort rules với Oinkmaster………………….………..105

4. Mô hình triển khai………………………..……………………….……….111

4.1. Mô hình bài toán 1………………………………………………...……...111

4.2. Mô hình bài toán 2………………………………………………………..116

ĐÁNH GIÁ KẾT QUẢ ĐỒ ÁN………………………………………..……118

TÀI LIỆU THAM KHẢO……………………….…………………..………120