TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SỸ Xây dựng giải pháp tường lửa lớp ứng dụng dựa Modsecurity TRẦN ĐỨC MẠNH manh.td202171M@sis.hust.edu.vn Ngành Công nghệ thông tin Giảng viên hướng dẫn: PGS.TS Trần Quang Đức Viện: Công nghệ thông tin truyền thông : HÀ NỘI, 10/2022 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn: Trần Đức Mạnh Đề tài luận văn: Xây dựng giải pháp tường lửa lớp ứng dụng dựa ModSecurity Chuyên ngành: Công nghệ thông tin Mã số SV: 20202171M Tác giả, Người hướng dẫn khoa học Hội đồng chấm lu ận văn xác nhận tác giả sửa chữa, bổ sung luận văn theo biên họp Hội đồng ngày 29/10/2022 với nội dung sau: STT Yêu cầu chỉnh sửa Giải trình Trang Làm rõ việc áp dụng học máy Mô tả giai đoạn học máy giai vào tường lửa Modsecurity đoạn cơng áp dụng vào trình bày kết thử nghiệm tường lửa 29-32 Modsecurity Trình bày thêm kết thực nghiệm 33-38 Rà sốt tả, chỉnh sửa nội dung Chương 3, phần Kết luận Đã rà sốt lỗi tả; Bổ sung nội dung giải pháp mơ tả chi tiết trình bày giải pháp lựa chọn, thể rõ kết nghiên cứu kết nghiên cứu Đã chỉnh sửa lại phần Kết luận Dịch thuật ngữ tiếng Anh sang Đã dịch thuật ngữ tiếng Anh tiếng Việt rút gọn phần sang tiếng Việt rút gọn số sở lý thuyết 26-38 39 1-40 phần sở lý thuyết Ngày 29 tháng 11 năm 2022 Giáo viên hướng dẫn Tác giả luận văn CHỦ TỊCH HỘI ĐỒNG Lời cam đoan Tôi xin cam đoan nội dung luận văn với đề tài “Xây dựng giải pháp tường lửa lớp ứng dụng dựa ModSecurity” cơng trình nghiên cứu độc lập thân hướng dẫn PGS.TS Trần Quang Đức Các số liệu, hình ảnh, trích dẫn có nguồn gốc rõ ràng tuân thủ nguyên tắc Luận văn khơng có chép từ cơng trình nghiên cứu người khác mà không ghi rõ danh mục tài liệu tham khảo Mọi chép không hợp lệ, vi phạm quy chế hay gian trá xin hoàn toàn chịu trách nhiệm Hà nội, ngày 29 tháng 11 năm 2022 Học viên Trần Đức Mạnh Lời cảm ơn Đầu tiên, xin gử i lời cảm ơn lòng biết ơn sâu sắc tới thầy giáo PGS.TS Trần Quang Đức giúp chọn đề tài, định hướng nghiên cứu, tận tình hướng dẫn tạo điều kiện cho tơi hồn thành luận văn Trong q trình làm luận văn tốt nghiệp, thầy Trường Công nghệ thông tin Truyền thông nhiệt tình hướng dẫn giúp đỡ tơi mặt Tôi xin cảm ơn nhiều! Cuối cùng, muốn gửi lời cảm ơn tới gia đình, người thân bạn bè Tất c ả người bên, động viên giúp đỡ tơi nhiều q trình thực thực luận văn Với thời gian nghiên cứu hạn chế, thự c tiễn công tác lại vô sinh động, luận văn khơng tránh khỏi thiếu sót, tác giả mong nhận ý kiến đóng góp chân thành từ thầy giáo, cô giáo, đồng nghiệp, bạn bè Hà Nội, ngày 29 tháng 11 năm 2022 Học viên Trần Đức Mạnh TÓM TẮT NỘI DUNG LUẬN VĂN Ngày nay, với phát triển m ạnh mẽ bùng n ổ công nghệ thông tin kéo theo nguy gây an tồn an ninh thơng tin không gian mạng ngày gia tăng số lượng mức độ nguy hiểm Xu hướ ng công vào cổng thông tin điện tử dần trở thành xu hướng gây nhiều khó khăn cho người quản trị bảo mật Hệ thống phát hiện/chống tấ n công (Intrusion Detection System-IDS/Intrusion Prevention System-IPS) quan, tổ chức đưa vào sử dụng giải pháp đưa để bảo vệ ứng dụng web trang thông tin điện tử Tuy nhiên, vấn đề hệ thống IDS/IPS chúng không hiểu logic giao thức tứ c chúng khơng thể biết gói tin HTTP hay sai định dạng Để giải vấn đề tường lửa lớp ứng dụng web (Web Application firewall–WAF) giả i pháp tối ưu nhằm đảm bảo an tồn thơng tin cho cổng thông tin điện tử Luận văn cung cấp mối nguy cơ, rủi ro bảo mật web, thông tin giải pháp an tồn thơng tin đặc biệt lĩnh vực tường lửa ứng dụng web cho cổng thông tin điện tử Việt Nam giải pháp xu hướng nghiên cứu bảo mật tồn giới; xây dựng mơ hình giải pháp bảo mật cho lớp ứng dụng web, tạo tính ổn định, chắn, bảo vệ thơng tin quan trọng góp phần thúc đẩy triển khai phủ điện tử nâng cao hiệu kinh tế, xã hội MỤC LỤC CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI 1.1 Đặt vấn đề 1.2 Các giải pháp hạn chế 1.3 Mục tiêu định hướng giải pháp .2 1.4 Đóng góp luận văn 1.5 Bố cục luận văn CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 Các nguy an toàn ứng dụng Web .4 2.1.1 Tổng quan ứng dụng Web 2.1.2 Các nguy gây an toàn ứng dụng Web 2.2 Đặc trưng header HTTP 2.2.1 Request 2.2.2 Request Header 11 2.2.3 HTTP Response 11 2.2.4 Các phiên HTTP 12 2.3 Web Application Firewall 14 2.3.1 Khái niệm 14 2.3.2 Mơ hình hoạt động WAF 16 2.4 Tường lửa ModSecurity 16 2.4.1 Khái niệm 16 2.4.2 Các tính Modsecurity 16 2.4.3 Nguyên lý hoạt động 17 2.4.4 Quá trình hoạt động xử lý 18 2.4.5 Cấu trúc luật ModSecurity 19 2.5 Một số thuật toán học máy 20 2.5.1 Phương pháp Support Vector Machine (SVM) 20 2.5.2 Phương pháp Cây định (Decision Tree) 22 2.5.3 Phương pháp Rừng ngẫu nhiên (Random Forest) 23 2.5.4 Phương pháp Hồi quy Logistic (Logistic Regression) 24 CHƯƠNG 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ 26 3.1 Giải pháp đề xuất 26 3.2 Kiến trúc tổng quan hệ thống 26 3.3 Bộ liệu thử nghiệm 27 3.4 Phân tích lựa chọn đặc trưng 28 3.4.1 Lựa chọn đặc trưng 30 3.4.2 Mô tả đặc trưng 32 3.5 Đánh giá thử nghiệm thuật toán học máy 33 3.5.1 Lọc liệu đầu vào với ModSecurity 33 3.5.2 Đánh giá kết dựa phương pháp học máy .34 3.5.3 Tích hợp Modsecurity với hệ thống phát truy vấn HTTP 36 CHƯƠNG 4: KẾT LUẬN 39 4.1 Đóng góp luận văn 39 4.2 Hướng phát triển luận văn 39 TÀI LIỆU THAM KHẢO 40 Danh mục ký hiệu chữ viết tắt Viết tắt Tiếng Anh OWASP Open Web Application Security Project Tiếng Việt Dự án mở bảo mật ứng dụng Web SQL Structured Query Language Ngôn ngữ truy vấn cấu trúc HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn HTTPS Hyper Text Transfer Protocol Secure Giao thức truyền tải siêu văn bảo mật Cross-Site Scripting Tấn công thực thi mã script HTML Hypertext Markup Language Ngôn ngữ đánh dấu siêu văn CSRF Cross-Site Request Forgery Tấn công giả mạo yêu cầu SSL Secure Sockets Layer Lớp socket bảo mật TSL Transport layer security Giao thức bảo mật tầng giao vận WAF Web Application Firewall Giải pháp bảo mật hệ thống Internet Protocol Giao thức Internet Support vector machine Máy véc tơ hỗ trợ XSS IP SVM Danh mục hình ảnh vẽ đồ thị Hình 2.1: Cơ chế hoạt động ứng dụng web Hình 2.2: HTTP Request 10 Hình 2.3:Mơ tả trường header HTTP 11 Hình 2.4: Web Application Firewall 15 Hình 2.5: Quy trình xử lý Modsecurity 18 Hình 2.6: Mơ tả hai data mặt phẳng 21 Hình 2.7: Mơ tả data phức tạp không gian nhiều chiều 21 Hình 2.8: Mơ tả cách xác định margin 22 Hình 2.9: Ví dụ định 22 Hình 3.1: Mơ hình đề xuất 26 Hình 3.2: Kiến trúc tổng quan hệ thống 26 Hình 3.3: Kết tính tốn tham số 30 tính liên quan đến Web Attack 30 Hình 3.4: Lựa chọn 10 tính tốt sử dụng phương pháp Univariate Selection .31 Hình 3.5: Lựa chọn 10 tính tốt dựa phương pháp Feature Importance 31 Hình 3.6: Ma trận tương quan mơ tả tính tập liệu 31 Hình 3.7: Cấu trúc URI 32 Hình 3.8: Mô tả phương pháp đánh giá kết Confusion Matrix 35 Hình 3.9: Hệ thống nhận diện truy vấn bình thường 36 Hình 3.10: Hệ thống nhận diện truy vấn bất thường 36 Hình 3.11: Cấu trúc câu lệnh truy vấn 37 Hình 3.12: Người dùng thực truyền truy vấn bình thường 37 Hình 3.13: Hệ thống trả kết truy vấn bình thường 38 Hình 3.14: Người dùng thực truyền truy vấn bất thường 38 Hình 3.15: Hệ thống trả kết truy vấn bất thường 38 CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI 1.1 Đặt vấn đề Ngày nay, với phát triển m ạnh mẽ bùng n ổ công nghệ thông tin kéo theo nguy gây an tồn an ninh thơng tin khơng gian mạng ngày gia tăng số lượng mức độ nguy hiểm Xu hướ ng công vào cổng thông tin điện tử dần trở thành xu hướng gây nhiều khó khăn cho người quản trị bảo mật Việc kẻ công lấy cắp thông tin, phá hoại hay thay đổi, xuyên tạc nội dung thông tin cổng thông tin điện tử mang lại thiệt hại vô lớn đặc biệt cổng thông tin quan trọng phủ Các quan nhà nước, tổ c phủ có nhiều biện pháp tích cực việc phịng chống phát cơng website, đó, giải pháp triển khai tường lửa lớ p ứng dụng web (Web Application Firewall WAF) giải pháp tối ưu nhằm đảm bảo an tồn thơng tin cho cổng thơng tin điện tử Hiện tại, thị trường có nhiều sản phẩm WAF có thương mại mã nguồn mở Các giải pháp WAF thương mại thường đánh giá cao nhiên việc sử dụng phần mềm, thiết bị thương mại tiềm ẩn rủi ro việc rò rỉ thơng tin Chính vậy, việc làm chủ cơng nghệ phát triển phần mềm, thiết bị thực cần thiết nhằm đảm bảo an ninh an toàn cho cổng thông tin điện tử quan trọng Nhận thấy tiềm lợi ích mà tưởng lử a lớp ứ ng dụng web mang lại, định chọn đề tài “Xây dự ng giải pháp tường lửa lớp ứng dụng dựa Modsecurity” để nghiên cứu giải pháp công nghệ 1.2 Các giải pháp hạn chế Các loại tường lửa phổ biến đa số sử dụng thông tin tầng mạng (network layer) tầng vận chuyển (transport layer) chủ yếu số cổng (port number) giao thức để ngăn chặn công, truy cập trái phép Chính việc giải pháp tường lửa cho phép gói tin đến dịch vụ máy chủ web, dns, FTP nên việc bảo vệ dịch vụ người quản trị tạo ứng dụng với mã nguồn an tồn Hiện tại, có nhiều tài liệu hướng dẫn lập trình an tồn, nhiên, khơng phải lúc nhà phát triển ứng dụng nắm vữ ng làm theo hướng dẫn dẫn đến việc mắc lỗi trình thiết kế, cài đặt điều tránh khỏi Hệ thống phát hiện/chống công (Intrusion Detection System-IDS/Intrusion Prevention System-IPS) giải pháp đưa để bảo vệ ứng dụng web trang thơng tin điện tử Có hai hướng tiếp cận việc phát triển IDS/IPS Giải pháp sử dụng mẫu nhận dạng (signature-based IDS) giải pháp dựa vào hành vi (behaviorbased IDS) Các kĩ thuật dựa vào mẫu nhận dạng phát công cách so sánh nội dung gói tin với dấu hiệu nhận dạng (signature) từ sở