xây dựng hệ thống phát hiện và phòng chống xâm nhập (NIDS) mô phỏng trên phần mềm snort

LỜI CẢM ƠN

Lời đầu tiên tôi xin cảm ơn chân thành và sâu sắc nhất đến Thầy

TS. ĐINH ĐỨC ANH VŨ, Thầy đã dành rất nhiều thời gian hướng dẫn tôi

một cách tận tâm, sâu sát và giúp tôi vượt qua những thời điểm khó khăn nhất về

luận văn này.

Tiếp theo tôi xin gởi lời cám ơn chân thành và trân trọng nhất đến quý Thầy,

Cô ở HỌC VIỆN BƯU CHÍNH VIỄN THÔNG đã truyền đạt nhiều kiến thức quý

báu cho tôi trong suốt quá trình học tập tại đây.

Xin gởi lời cám ơn đến Thầy trưởng khoa CNTT TS. TRẦN CÔNG HÙNG,

TS. TÂN HẠNH, TS.VÕ VĂN KHANG đã có những góp ý hết sức quý báu cho bản

luận văn này.

Xin cảm ơn các bạn học, bạn hữu, đồng nghiệp đã có những góp ý và động

viên trong suốt thời gian qua, một người bạn, đã góp ý rất nhiều cho luận văn.

TP. Hồ Chí Minh, tháng 6-2012

Học viên thực hiện luận văn

ĐÀO ANH VŨ

- i -

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của tôi, với sự hướng dẫn của

Thầy TS.ĐINH ĐỨC ANH VŨ. Các kết quả nêu trong luận văn là hoàn toàn trung

thực và chưa được công bố trong bất kỳ một công trình nào khác.

Học viên thực hiện luận văn

ĐÀO ANH VŨ

- ii -

MỤC LỤC

LỜI CẢM ƠN...............................................................................................................i

LỜI CAM ĐOAN........................................................................................................ii

MỤC LỤC..................................................................................................................iii

DANH MỤC CÁC TỪ VIẾT TẮT...........................................................................iv

DANH MỤC CÁC HÌNH...........................................................................................v

MỞ ĐẦU.....................................................................................................................9

CHƯƠNG 1: TỔNG QUAN......................................................................................12

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG

TRÊN MẠNG.............................................................................................................16

CHƯƠNG 3: XÂY DỰNG HỆ THỐNG NGĂN CHẶN XÂM NHẬP (IPS).........44

CHƯƠNG 4: TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬM..................62

CHƯƠNG 5: GIỚI THIỆU SNORT RULE..............................................................69

CHƯƠNG 6: THỰC NGHIỆM VÀ ĐÁNH GIÁ .....................................................74

CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN..........................................95

TÀI LIỆU THAM KHẢO.........................................................................................97

- iii -

DANH MỤC CÁC TỪ VIẾT TẮT

Viết

tắt Tiếng Anh Tiếng Việt

VSEC The Vietnamese security network Tờ báo bảo mật mạng ở Việt Nam

IDS Intrusion Detection System Phát hiện xâm nhập hệ thống

NIDS Network Intrusion Detection System Phát hiện xâm nhập hệ thống

mạng

DoS Denial Of Service Từ chói dịch vụ

IPS Intrusion prevention system Phòng chống xâm nhập hệ thống

LAN Local Area Network Mạng cục bộ

HIDS Host Intrusion Detection System

SYN Synchronize

FIN Finish

OS Operating System Hệ điều hành

TCP Transmission Control Protocol

UDP User Datagram Protocol

ICMP Internet Control Message Protocol

IP Internet Protocol

CLI Cisco Command Line Interface

PCRE Perl Compatible Regular

Expressions

ISS hãng Internet Security Systems

RAID Recent Advances in Intrusion

Detection

PERL Perl Programming Language

- iv -

DANH MỤC CÁC HÌNH

Hình 0.1 Nhiệm vụ của một IDS .........................................................................12

Hình 0.2 Biểu đồ thống kê hệ thống máy tính bị tấn công....................................13

Hình 1.1 Tình hình phát triển số lượng máy tính trên Internet.............................15

Hình 1.2 Malware mới xuất hiện mỗi tháng trong năm 2011..............................16

Hình 2.1 Intrustion Detection system activities.....................................................23

Hình 2.2 Intrustion Detection system infrastructure.............................................24

Hình 2.3 Một ví dụ về hệ IDS. Chiều rộng mũi tên tỷ lệ thuận với lượng thông tin di

chuyển giữa các thành phần của hệ thống.............................................................25

Hình 2.4 Các thành phần chính của 1 hệ IDS........................................................26

Hình 2.5 Mô hình triển khai Host-based IDS agent..............................................27

Hình 2.6 Mô hình triển khai Network- Base IDS .................................................29

Hình 2.7 Mô hình triển khai Sensor kiểu thẳng hàng............................................31

Hình 2.8 Mô hình triển khai Sensor kiểu thụ động...............................................32

Hình 2.9 Mô hình triển khai Wireless IDS............................................................34

Hình 2.10 Mô hình triển khai trên NBAS..............................................................36

Hình 2.11 Mô hình vị trí của Honeypot IDS.........................................................37

Hình 2.12 Cơ chế phát hiện sự lạm dụng..............................................................44

- v -

Hình 2.13 Cơ chế phát hiện sự không bình thường...............................................45

Hình 3.1 Mô hình IPS............................................................................................47

Hình 3.2 Promicious mode ....................................................................................51

Hình 3.3 Inline mode..............................................................................................52

Hình 3.4 Signature-base.........................................................................................53

Hình 3.5 Anomaly-base.........................................................................................56

Hình 3.6 Policy-base..............................................................................................58

Hình 4.1 Các thành phần của snort......................................................................66

..................................................................................................................................

Hình 5.1 Cấu trúc một rule trong snort..................................................................72

Hình 6.1 Mô hình triển khai snort IDS.....................................................................78

Hình 6.2 Quản lý snort bằng giao diện đồ họa......................................................81

Hình 6.3 Quản lý rules trên giao diện đồ họa .......................................................81

Hình 6.4 Phát hiện xâm nhập trên Base giao diện web ........................................83

Hình 6.5 Phát hiện có người Ping Trong mạng ....................................................84

Hình 6.6 Phát hiện chi tiết tín hiệu giao diện đồ họa ...........................................84

Hình 6.7 Phát hiện chi tiết tín hiệu giao diện đồ họa............................................85

Hình 6.8 Chi tiết tín hiệu của attacker giao diện đồ họa.......................................85

- vi -

Hình 6.9 Chống SQL injection cho web server.....................................................86

Hình 6.10 Phát hiện cảnh báo SQL injection.......................................................86

Hình 6.11 Phát hiện tấn công lổ hỏng SQL injection.............................................87

Hình 6.12 Tấn công lổ hỏng bộ lọc SQL injection.................................................87

Hình 6.13 Tín hiệu tấn công lổ hỏng bộ lọc SQL injection....................................88

Hình 6.14 Chống Ping of Death ( DoS, DDoS )........................................................88

Hình 6.15 Tín hiệu cảnh báo tấn công ddos..........................................................89

Hình 6.16 Chống scanning port trong mạng lan....................................................89

Hình 6.17 Chống Scan và Block IP.....................................................................90

Hình 6.18 Thử nghiệm khả năng phát hiện tấn công, cấm ping, khóa IP.............90

Hình 6.19 Đăng ký account Snort..........................................................................92

Hình 6.20 Đăng nhập vào hệ thống Sourcefire Snort ...........................................92

Hình 6.21 Tạo mật mã truy cập oinkcode..............................................................93

Hình 6.22 Cập nhật rules tự động trong snort.......................................................95

Hình 6.23 Hệ thống rules trong snort đã cập nhật thành công..............................96

- vii -

DANH MỤC CÁC BẢNG

Bảng 2.1: So sánh giữa HIDS và NIDS.....................................................................30

Bảng 5.1: Quy định các loại giao thức.......................................................................74

Bảng 5.2: Các từ khóa lựa chọn flags liên quan đến TCP...............................................75

Bảng 5.3: Các từ khóa lựa chọn Itype liên quan đến ICMP............................................75

Bảng 5.4: Các từ khóa lựa chọn Icode liên quan đến ICMP...........................................76

- viii -

MỞ ĐẦU

Việc bùng nổ thông tin trên hệ thống mạng toàn cầu đem lại sự thuận lợi cho

con người. Giờ đây ta có thể tìm bất cứ thông tin gì trên Internet chỉ bằng vài từ

khóa. Song song với những thuận lợi chúng ta cũng phải đối mặt với nhiều thách

thức, một trong những thách thức đó là vấn đề virus, tấn công, xâm nhập.

Kỹ thuật phát hiện tấn công, xâm nhập ngày càng được chú trọng phát triển,

với phương pháp truyền thống là dựa vào mẫu tấn công, xâm nhập đã biết. Phương

pháp này cho thấy có nhiều hạn chế khi mà các cuộc tấn công mới xuất hiện mỗi

ngày một nhiều.

Theo mạng an toàn thông tin VSEC (The Vietnamese security network),

70% website tại việt nam có thể bị xâm nhập, trên 80% hệ thống mạng có thể bị

hacker kiểm soát. Điều này cho thấy chính sách về bảo mật của các hệ thống thông

tin của việt nam chưa được quan tâm và đầu tư đúng mức.

Trong bối cảnh đó, việc phát triển và sử dụng các hệ thống phát hiện xâm

nhập – IDS ngày càng trở nên phổ biến.

Nhiệm vụ của những IDS này là :

Hình 0. Nhiệm vụ của một IDS

Hệ thống phát hiện xâm nhập có 2 hướng tiếp cận chính là tiếp cận dựa trên phát

hiện bất thường và tiếp cận dựa trên dấu hiệu.

- 9 -

Interne

t