- i - LỜI CÁM ƠN Lời đầu tiên tôi xin cám ơn chân thành và sâu sắc nhất đến Thầy TS. TRỊNH NGỌC MINH, Thầy đã dành rất nhiều thời gian hướng dẫn tôi một cách tận tâm, sâu sát và giúp tôi vượt qua những thời điểm khó khăn nhất về luận văn này. Tiếp theo tôi xin gởi lời cám ơn chân thành và trân trọng nhất đến quý Thầy Cô Trường Đại Học Công Nghệ Thông Tin đã truyền đạt nhiều kiến thức quý báu cho tôi trong suốt quá trình học tập tại đây. Xin gởi lời cám ơn đến Thầy GS. TSKH HOÀNG VĂN KIẾM, Thầy TS. ĐỖ VĂN NHƠN đã có những góp ý hết sức quý báu cho bản luận văn này. Xin cám ơn các bạn học, bạn hữu, đồng nghiệp đã có những góp ý và động viên trong suốt thời gian qua. Xin cám ơn Thầy ThS. HUỲNH NGỌC TÍN, một người bạn, đã góp ý rất nhiều cho luận văn. Cám ơn các anh/chị Quản trị mạng Trường Đại Học Công Nghệ Thông Tin đã tạo điều kiện tốt nhất cho chúng tôi trong suốt gần ba năm học tập tại đây. Cuối cùng xin cám ơn Gia Đình, Dì Năm, Má, và bé Rô Be (Anh Tuấn) luôn luôn động viên tôi trong những lúc khó khăn nhất. TP. Hồ Chí Minh, tháng 10 – 2007 TRẦN NGỌC THANH - ii - LỜI CAM ĐOAN Tôi xin cam đoan đây là công trình nghiên cứu của tôi, với sự hướng dẫn của Thầy TS. TRỊNH NGỌC MINH. Các kết quả nêu trong luận văn là hoàn toàn trung thực và chưa được công bố trong bất kỳ một công trình nào khác. TRẦN NGỌC THANH - iii - MỤC LỤC LỜI CÁM ƠN i LỜI CAM ĐOAN ii MỤC LỤC iii DANH MỤC CÁC TỪ VIẾT TẮT iv DANH MỤC CÁC HÌNH v DANH MỤC CÁC BẢNG vi MỞ ĐẦU 1 CHƯƠNG 1: TỔNG QUAN 2 CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG TRÊN MẠNG 6 CHƯƠNG 3: XÂY DỰNG ĐẶC TRƯNG TRÊN MẠNG 21 CHƯƠNG 4: BẢN ĐỒ TỰ TỔ CHỨC 46 CHƯƠNG 5: THIẾT KẾ VÀ CÀI ĐẶT CHƯƠNG TRÌNH 54 CHƯƠNG 6: THỰC NGHIỆM VÀ ĐÁNH GIÁ 66 CHƯƠNG 7: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 91 TÀI LIỆU THAM KHẢO 93 WEBSITE THAM KHẢO 94 PHỤ LỤC 95 A. KỸ THUẬT BẮT GÓI DỮ LIỆU TRÊN MẠNG 95 B. GIAO THỨC TRÊN MẠNG 101 C. MỘT SỐ TẤN CÔNG DOS VÀ DÒ TÌM THÔNG TIN 106 - iv - DANH MỤC CÁC TỪ VIẾT TẮT IDS : Intrusion Detection System DoS : Deny of Service DDoS : Distributed Deny of Service SOM : Seft-Organizing Map TCP/IP : Transmission Control Protocol/Internet Protocol). TCP : Transmission Control Protocol UDP : User Datagram Protocol OSI : Open Systems Interconnection U2R : User to Root R2L : Remote to Local - v - DANH MỤC CÁC HÌNH - vi - DANH MỤC CÁC BẢNG - 1 - MỞ ĐẦU Việc bùng nổ thông tin trên hệ thống mạng toàn cầu đem lại sự thuận lợi cho con người. Giờ đây ta có thể tìm bất cứ thông tin gì trên Internet chỉ bằng vài từ khóa. Song song với những thuận lợi chúng ta cũng phải đối mặt với nhiều thách thức, một trong những thách thức đó là vấn đề virus, tấn công, xâm nhập. Kỹ thuật phát hiện tấn công, xâm nhập ngày càng được chú trọng phát triển, với phương pháp truyền thống là dựa vào mẫu tấn công, xâm nhập đã biết. Phương pháp này cho thấy có nhiều hạn chế khi mà các cuộc tấn công mới xuất hiện mỗi ngày một nhiều. Luận văn được phát triển tiếp theo những thành công, cũng như hạn chế của những đề tài [5], [6], [11], [12] trước đó, với kỹ thuật phát hiện tấn công, xâm nhập dựa vào khai thác dữ liệu (data mining). Phương pháp này có khả năng phát hiện tấn công, xâm nhập, virus dạng hướng thời gian, diễn ra nhanh và khá chính xác mà không cần mẫu tấn công đã biết. Chúng không loại trừ phương pháp nhận dạng tấn công dựa vào mẫu tấn công đã biết truyền thống, mà chỉ thêm vào một kênh hữu ích cho người quản trị mạng biết được những tấn công, bất thường đang diễn ra trên hệ thống mạng của mình. Luận văn đã xây dựng và triển khai thực nghiệm với những phần như bắt gói dữ liệu trên mạng, xây dựng và gán trọng số cho các đặc trưng, huấn luyện dữ liệu, dò tìm tấn công offline và online. Với những thành công trên và mặc dù đã rất cố gắng thì luận văn cũng còn nhiều hạn chế do nhiều yếu tố như thời gian, kỹ thuật,… Hy vọng trong thời gian tới tôi có nhiều điều kiện để tiếp tục phát triển luận văn này. Rất mong sự góp ý của Quý Thầy Cô, đồng nghiệp, các anh/chị và các bạn hữu. - 2 - CHƯƠNG 1: TỔNG QUAN 1.1. Giới thiệu Với sự phát triển nhanh chóng của hệ thống mạng toàn cầu, đến tháng 07/2007 đã có hơn 480 triệu host trên Internet (hình 1.1) [W1]; nhiều công cụ hướng dẫn tấn công, xâm nhập hệ thống có sẵn trên Internet và dễ sử dụng hơn; sâu máy tính, virus, spyware, Trojan horse,… với tốc độ xuất hiện mới rất nhanh (hình 1.2) [9]; Những vấn đề trên làm cho an toàn hệ thống mạng được quan tâm hơn bao giờ hết. Trong đó, phát hiện tấn công, xâm nhập được chú trọng nghiên cứu nhiều nhất từ các nhà khoa học, an ninh mạng, điển hình là Hội nghị quốc tế RAID (Recent Advances in Intrusion Detection) về phát hiện tấn công, xâm nhập mỗi năm tổ chức đều đặn, và lần thứ 10 diễn ra tại Queensland, Australia vào tháng 09-2007 [W2] (lần 9 tại Hamburg, Germany, ngày 20 đến 22/09/2006). Hình 1.1. Tình hình phát triển số lượng máy tính trên Internet. - 3 - Hình 1.2. Malware mới xuất hiện mỗi tháng trong năm 2006. Tại Việt Nam đã có những đề tài nghiên cứu tấn công thử nghiệm, và giúp các doanh nghiệp được bảo mật hơn [1], [2]. Các nghiên cứu này cho thấy bảo mật, phòng chống tấn công, xâm nhập ở Việt Nam chưa cao. Vì vậy, bảo mật hệ thống máy tính ở Việt Nam cần được quan tâm nhiều hơn. Những hệ thống bảo mật nên thiết kế triển khai làm nhiều tầng lớp hỗ trợ cho nhau, trong đó các hệ thống phát hiện tấn công, xâm nhập trái phép (IDS) nên được xây dựng để bảo vệ tính toàn vẹn, sẵn sàng, và bảo mật cho hệ thống mạng. 1.2. Mục tiêu nghiên cứu của luận văn Luận văn tập trung nghiên cứu và xây dựng một ứng dụng với phương pháp tiếp cận là phát hiện tấn công bằng phân tích và nhận biết những hoạt động bất thường trên mạng ứng dụng bản đồ tự tổ chức (SOM). Phương pháp này có khả năng nhận dạng tấn công hướng thời gian, diễn ra nhanh mà không dựa vào các mẫu tấn công đã biết như phương pháp truyền thống. - 4 - 1.3. Giới thiệu các chương mục của luận văn Chương 1: Tổng quan Giới thiệu tổng quan về bối cảnh lựa chọn đề tài, mục tiêu nghiên cứu và những đóng góp của luận văn. Chương 2: Cơ sở lý thuyết tấn công và phát hiện tấn công trên mạng Chương 2 trình bày các loại và phương pháp phát hiện tấn công, xâm nhập, trong đó sẽ đi sâu vào giới thiệu những điểm mạnh, hạn chế và kỹ thuật phát hiện tấn công, xâm nhập dựa vào học giám sát và học không giám sát trong khai thác dữ liệu. Thiết kế các vị trí đặt hệ thống phát hiện tấn công, xâm nhập. Đồng thời chương này cũng trình bày các kỹ thuật tấn công, xâm nhập. Chương 3: Xây dựng đặc trưng trên mạng Chương 3 giới thiệu và đánh giá phương pháp xây dựng đặc trưng từ Wenke Lee, Salvatore J. Stolfo [11]. Đề xuất bộ đặc trưng mới phù hợp với việc nhận dạng tấn công theo thời gian thực. Xây dựng cũng như chuẩn hóa các đặc trưng này. Chương này còn đề xuất phương pháp gán trọng số cho các đặc trưng để giảm tỷ lệ cảnh báo sai. Chương 4: Bản đồ tự tổ chức Vì luận văn ứng dụng bản đồ tự tổ chức (SOM) nên chương này sẽ trình bày thuật toán SOM, các hàm tốc độ học, hàm lân cận, biểu diễn trực quan trên SOM. Và trình bày phương pháp phát hiện tấn công ứng dụng SOM. Chương 5: Thiết kế và cài đặt chương trình Chương này thiết kế và cài đặt chương trình phát hiện tấn công, xâm nhập hướng thời gian, diễn ra nhanh trên mạng theo thời gian thực. Đề xuất việc xây [...]... pháp phát hiện tấn công do Aykut Oksuz [5] đề xuất - Đưa ra phương pháp để tìm ngưỡng cảnh báo phù hợp và ứng dụng ngưỡng này vào thực nghiệm - Cài đặt khá hoàn chỉnh chương trình phát hiện tấn công bằng ngôn ngữ C# từ bắt gói dữ liệu mạng, tạo vectơ đặc trưng, chuẩn hóa dữ liệu, huấn luyện bản đồ tự tổ chức (SOM), vẽ bản đồ, cho tới khâu dò tìm tấn công theo thời gian thực trên mạng - Tổng hợp, phân tích, ... giá các phương pháp phát hiện tấn công và các kỹ thuật tấn công trên mạng -6- CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG TRÊN MẠNG Chương 2 trình bày các loại và phương pháp phát hiện tấn công, xâm nhập, trong đó đi sâu vào giới thiệu những điểm mạnh, hạn chế của kỹ thuật phát hiện tấn công, xâm nhập dựa vào học giám sát và học không giám sát trong khai thác dữ liệu Đồng thời chương này... bảo vệ bằng nhiều tầng lớp, trong đó hệ thống phát hiện tấn công, xâm nhập đóng một vai trò rất quan trọng 2.2 Ứng dụng khai thác dữ liệu để phát hiện tấn công, xâm nhập Có thể phát hiện tấn công, xâm nhập dựa vào tập dữ liệu huấn luyện được gán nhãn, dạng này gọi là misuse detection Và học từ tập dữ liệu huấn luyện được gán nhãn gọi là học giám sát (học có Thầy, có chuyên gia) Hoặc phát hiện tấn công. .. hành động của tấn công mà có thể phân tấn công ra làm 2 loại là: chủ động (active attack), bị động (passive attack): - Active attack: thay đổi hệ thống, mạng khi tấn công làm ảnh hưởng đến tính toàn vẹn, sẵn sàng, và xác thực của dữ liệu - Passive attack: cố gắng thu thập thông tin từ hệ thống, mạng làm phá vỡ tính bí mật dữ liệu Dựa vào nguồn gốc tấn công có thể phân loại tấn công làm 2 loại: tấn công. .. trong mạng Dưới đây là sơ đồ thiết kế vị trí đặt IDS: Hình 2.3 Sơ đồ tổng thể vị trí đặt IDS Tùy theo phương pháp phát hiện tấn công, xâm nhập mà có thể phân hai loại Host-based IDS và Network-based IDS ra những loại nhỏ hơn Phương pháp truyền -8- thống về phát hiện tấn công, xâm nhập dựa trên việc lưu lại các mẫu đã biết của các cuộc tấn công, chúng so sánh các đặc trưng kết nối mạng với mẫu tấn công. .. (xâm nhập) kẻ tấn công thường làm lưu lượng, kết nối mạng thay đổi khác với lúc mạng bình thường rất nhiều Nếu phân tích kỹ các bất thường này để rút trích ra các đặc trưng hữu ích của mạng có thể từ đó phân tích, phát hiện các xâm nhập như: quét cổng, quét dãy địa chỉ IP, tấn công từ chối dịch vụ (DoS),… Hầu hết các cuộc tấn công đều tiến hành tuần tự 5 pha trên Làm sao để nhận biết tấn công, xâm nhập... trưng trên bảng 3.1 và bảng 3.2 để phát hiện tấn công theo thời gian thực, nhưng khi thử nghiệm cho kết quả không chính xác Aykut Oksuz [5] dùng chương trình mã nguồn mỡ IDSnet để phát triển thêm phân hệ xây dựng các đặc trưng và phát triển phân hệ bản đồ tự tổ chức SOM với cách tiến hành thử nghiệm như sau: - Dùng phần mềm Nsasoft Network Security Auditor để tạo ra các lưu lượng mạng đến ứng dụng IDSnet... bình thường Điều này chứng tỏ rằng phương pháp dò tìm tấn công do Aykut Oksuz [5] đưa ra đã có kết quả không tốt Aykut Oksuz cho rằng kết quả thử nghiệm không tốt do 2 nguyên nhân sau: - 25 - - Ứng dụng phân hệ xây dựng đặc trưng và bản đồ tự tổ chức (SOM) được phát triển từ một sản phẩm mã nguồn mở IDSnet nên không thể kiểm soát được thuật toán xây dựng đặc trưng và bản đồ tự tổ chức có chạy đúng đắn... khẩu,… Một số tấn công ở dạng này là dictionary, sendmail,… 2.5.3 DoS (Land, SYN flood, mailbomb, smurf, teardrop,…) Gồm DoS và DDoS: Tấn công dùng tài nguyên hệ thống làm hệ thống không đáp ứng được yêu cầu người dùng hợp lệ - 18 - Dạng tấn công này có thể tấn công trên các máy chủ, ứng dụng, hay toàn bộ hệ thống mạng Tấn công từ chối dịch vụ có thể phân làm 2 loại: - DoS đơn giản: tấn công từ một... loại tấn công làm 2 loại: tấn công từ bên trong, và tấn công từ bên ngoài: - Tấn công từ bên trong: thường người tấn công ở ngay trong hệ thống mạng Người sử dụng muốn truy cập, lấy thông tin nhiều hơn quyền cho phép - Tấn công từ bên ngoài: tấn công từ bên ngoài Internet hay các kết nối truy cập từ xa Có 5 pha (phase) tấn công, xâm nhập mà các kẻ tấn công thường dùng: - 15 - Khảo sát thu thập thông tin . nghiên cứu và xây dựng một ứng dụng với phương pháp tiếp cận là phát hiện tấn công bằng phân tích và nhận biết những hoạt động bất thường trên mạng ứng dụng bản đồ tự tổ chức (SOM). Phương pháp này. trên mạng. - Tổng hợp, phân tích, đánh giá các phương pháp phát hiện tấn công và các kỹ thuật tấn công trên mạng. - 6 - CHƯƠNG 2: CƠ SỞ LÝ THUYẾT TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG TRÊN MẠNG Chương. tấn công bằng ngôn ngữ C# từ bắt gói dữ liệu mạng, tạo vectơ đặc trưng, chuẩn hóa dữ liệu, huấn luyện bản đồ tự tổ chức (SOM), vẽ bản đồ, cho tới khâu dò tìm tấn công theo thời gian thực trên mạng. -