Đang tải... (xem toàn văn)
NGHIÊN CỨU VÀ PHÁT TRIỂN CHƯƠNG TRÌNH PHÁT HIỆN XÂM NHẬP MẠNG
1 HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA CÔNG NGHỆ THÔNG TIN ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC NGHIÊN CỨU VÀ PHÁT TRIỂN CHƯƠNG TRÌNH PHÁT HIỆN XÂM NHẬP MẠNG Giáo viên: PGS-TS Nguyễn Hiếu Minh 2 ĐẶT VẤN ĐỀ Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng internet trở thành vô cùng quan trọng. Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu quả. 3 Việc xây dựng một hệ thống phát hiện xâm nhập (IDS) riêng cho mỗi mạng để phòng chống sự tấn công của tin tặc, cũng như đảm bảo an toàn về dữ liệu là rất quan trọng. Trên thị trường hiện nay, các hệ thống IDS tốt đều có chi phí rất cao. Bên cạnh đó, vẫn có những phần mềm mã nguồn mở vừa có hiệu quả tốt, lại vừa đáp ứng được nhu cầu về chi phí. 4 NỘI DUNG NGHIÊN CỨU Tìm hiểu tổng quan về hệ thống phát hiện xâm nhập Nghiên cứu về chương trình phát hiện xâm nhập mã nguồn mở Snort. Xây dựng các tập luật tự tạo dựa trên các tool tấn công. Tích hợp bộ tiền xử lý phát hiện dấu hiệu bất thường (PHAD) 5 CHƯƠNG I: TỔNG QUAN VỀ IDS IDS (Intrusion detection system): Là các công cụ, phương thức để giúp nhận biết, đánh giá, và báo cáo những hành động trái phép trên mạng. Hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) là phần mềm, phần cứng hoặc kết hợp cả hai IDS cung cấp sự bảo vệ bằng cách cảnh báo cho người quản trị biết về khả năng các cuộc tấn công 6 Cấu trúc chung của một hệ thống IDS Bao gồm 3 phần chính: Phần thu thập gói tin – Information Collection Phần phát hiện – Detection Phần phản ứng – Response 7 PHÂN LOẠI IDS IDS chia ra làm 3 loại chính: NIDS: Network-based IDS. HIDS: Host-based IDS. DIDS: Distributed IDS. 8 NIDS – NETWORK BASED IDS NIDS theo dõi toàn bộ các vùng của mạng hoặc các subnet o Ưu điểm: theo dõi được toàn bộ thông tin trong hệ thống mạng o Nhược điểm: dễ xảy ra hiện tượng nghẽn mạng khi lưu lượng ở mức cao 9 HIDS – HOST BASED IDS HIDS được đặt trên các host quan trọng của hệ thống và các server trong vùng DMZ o Ưu điểm: HIDS có khả năng phát hiện các cuộc tấn công diễn ra trên một máy. o Nhược điểm: HIDS không có khả năng phát hiện các cuộc dò quét mạng. 10 DIDS – DISTRIBUTED IDS Hệ thống IDS phân tán – DIDS là sự kết hợp của các bộ cảm biến NIDS, HIDS hoặc là cả 2. IDS có thể quan sát các sự cố trên toàn hệ thống, hoặc thậm chí từ Internet [...]...CHƯƠNG II: CHƯƠNG TRÌNH PHÁT HIỆN XÂM NHẬP SNORT Snort là phần mềm mã nguồn mở, được nhiều công ty, tổ chức sử dụng để giám sát hệ thống mạng của mình Snort có 3 chức năng chính: o o o Là một bộ sniffer Là một packet logger Là một NIDS Là phần mềm opensource nên khi có các dạng tấn công mới được phát hiện, nhà sản xuất sẽ nhanh chóng cập nhật các Snort Rule để phát hiện được tấn công... Snort phát hiện được một số loại tấn công o Xây dựng thêm được tập luật o Tích hợp bộ xử lý phát hiện dấu hiệu bất thường Hướng phát triển: o Nghiên cứu tìm hiểu sâu về hệ thống IDS nói chung và phần mềm Snort nói riêng o Hoàn thiện hơn hệ thống phát hiện xâm nhập để có thể triển khai trong hệ thống thực 25 ... nhà sản xuất sẽ nhanh chóng cập nhật các Snort Rule để phát hiện được tấn công 11 MÔ HÌNH CHƯƠNG TRÌNH PHÁT HIỆN CHỐNG XÂM NHẬP SNORT 12 CÁC THÀNH PHẦN CỦA SNORT Packet Decoder : bộ giải mã gói Preprocessors : bộ tiền xử lý Detection Engine : hệ thống phát hiện Logging and Alert system: hệ thống ghi dấu và cảnh báo Output Modules : các mô đun đầu ra 13 Packet Decoder – Bộ giải mã gói:... tiri/nI 23 CHƯƠNG V: MÔ PHỎNG HỆ THỐNG IDS Tiến hành chạy Snort trên máy chủ Centos Thử tấn công bằng các tool để Snort đưa ra cảnh báo Tool Synflood Tool Landattack Nmap Tiến hành chạy bộ xử lý PHAD với bộ pcap DARPA 24 KẾT LUẬN Kết quả đạt được sau quá trình nghiên cứu đồ án: o Sử dụng Snort phát hiện được một số loại tấn công o Xây dựng thêm được tập luật o Tích hợp bộ xử lý phát hiện. .. xác định xem gói tin sử dụng giao thức nào, và đối chiếu dữ liệu với phương pháp ứng xử được cho phép với giao thức đấy Preprocessor – Bộ tiền xử lý: bộ tiền xử lý là một plug-in gắn vào Snort, sẽ cho phép phân tích dữ liệu đến bằng nhiều phương pháp khác nhau Detection Engine - Hệ thống phát hiện: Detection engine chịu trách nhiệm phát hiện nếu có hành vi xâm nhập trong một gói tin Detection engine tận... thống ghi dấu và cảnh báo: Khi dấu hiệu trong gói tin trùng khớp với nội dung tập luật, các cảnh báo và log sẽ được sinh ra 14 CHƯƠNG III: TẬP LUẬT CỦA SNORT Rule là thành phần cơ bản, quan trọng nhất của Snort Các packet đi vào sẽ được đối chiếu với rule, tùy theo nội dung bên trong packet mà Snort sẽ đưa ra hành động cụ thể Cấu trúc tập luật trong Snort Bao gồm 2 phần chính Rule header và Rule option... content:"|66 6C 6F 6F 64 75 64 70|"; classtype:tan-cong-dos/ddos; sid:100000014;) 21 CHƯƠNG IV: BỘ TIỀN XỬ LÝ PHAD PHAD – Packet Header Anormaly Detection Header của các gói tin Ethernet, IP, TCP,UDP,ICMP được chia vào các trường từ 1 đến 4 byte Giá trị của các trường này được ghi vào k mảng Dấu hiệu bất thường được phát hiện nếu một trường có chứa giá trị không giống như một trường trong k mảng đã... port \ (option1 : ;option2: ;… ) Với các option là các giá trị tùy chọn trong rule Option 17 MỘT SỐ OPTION CƠ BẢN TRONG RULE OPTION msg: ; ghi thêm chuỗi ký tự vào log và cảnh báo Thông điệp để trong “” content: < straight text>; or content: ; Tìm ra giá trị chứa trong packet Flag: từ khóa được sử dụng trong phiên TCP, kiểm tra các cờ ttl: < number> -... hành động cụ thể Cấu trúc tập luật trong Snort Bao gồm 2 phần chính Rule header và Rule option 15 Rule header : chứa thông tin về hành động mà luật sẽ thực hiện. Cấu trúc chung của rule header như sau: Rule option: chứa thông điệp cảnh báo Và chứa nội dung của tập luật 16 Cấu trúc tổng quát cho tập luật của Snort action protocol address1 port \ direction address2 port \ (option1 : ;option2: . hệ thống phát hiện xâm nhập Nghiên cứu về chương trình phát hiện xâm nhập mã nguồn mở Snort. Xây dựng các tập luật tự tạo dựa trên các tool tấn công. Tích hợp bộ tiền xử lý phát hiện dấu. NGHIỆP ĐẠI HỌC NGHIÊN CỨU VÀ PHÁT TRIỂN CHƯƠNG TRÌNH PHÁT HIỆN XÂM NHẬP MẠNG Giáo viên: PGS-TS Nguyễn Hiếu Minh 2 ĐẶT VẤN ĐỀ Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng internet. các dạng tấn công mới được phát hiện, nhà sản xuất sẽ nhanh chóng cập nhật các Snort Rule để phát hiện được tấn công 12 MÔ HÌNH CHƯƠNG TRÌNH PHÁT HIỆN CHỐNG XÂM NHẬP SNORT 13 CÁC THÀNH PHẦN