BÁO CÁO LUẬN VĂN THẠC SỸ HỆ THỐNG TƯỜNG LỬA THÔNG MINH CHO CÁC ỨNG DỤNG WEB - IWAF Trình bày: Huỳnh Hoàng Tân TRƯỜNG ĐẠI HỌC LẠC HỒNG Trình bày: Huỳnh Hoàng Tân NỘI DUNG TRÌNH BÀY GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB NHẬN DẠNG BẤT THƯỜNG ĐỐI VỚI ỨNG DỤNG WEB MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF DEMO HOẠT ĐỘNG CỦA IWAF ỨNG DỤNG TỔ HỢP MARKOV ẨN ĐỂ NHẬN DẠNG BẤT THƯỜNG TRONG IWAF Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB IP Firewall Ports 80 & 443 open to both Good and Malicious HTTP Traffic Unfiltered HTTP Traffic Web Client Web Server Application Application Database Server WAF Network Firewall IDS/IPS Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Kỹ thuật nhận dạng tấn công ứng dụng web Kỹ thuật nhận dạng tĩnh (Log-base detection) Kỹ thuật nhận dạng tấn công dạng động (Real-time detection) Nhận dạng tấn công trên mạng (Network-based) Nhận dạng tấn công trên máy chủ (Webserver-based) Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Mô hình an toàn Negative và Positive (backlist và whitelist) Phương pháp bảo vệ dạng Rule-based và Anomaly-based Các chức năng chính Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB WAF có thể được xem là một hệ thống phát hiện/ngăn chặn xâm nhập được thiết kế đặc biệt để bảo vệ các ứng dụng web. WAF là một thiết bị hoặc máy chủ ứng dụng giam sát trao đổi thông tin của giao thức http/https giữa một trình duyệt máy trạm và máy chủ web ở tầng ứng dụng. WAF sử dụng phương pháp nhận dạng động để phát hiện tấn công. Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Chức năng cơ bản Chức năng kiểm tra kết nối Chức năng xử lý Chức năng ghi nhật ký Chức năng nâng cao Kiểm tra hợp lệ kết nối HTTP Chức năng quản lý [...]... HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng số lượng tổ hợp khác nhau phương pháp huấn luyện 1 MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng số lượng tổ hợp khác nhau với 02 phương pháp huấn luyện MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng số lượng tổ hợp khác... ĐÁNH GIÁ HOẠT ĐỘNG IWAF So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng số lượng tổ hợp khác nhau phương pháp huấn luyện 1 MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng số lượng tổ hợp khác nhau phương pháp huấn luyện 1 MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF So sánh các ngưỡng xác suất của các ứng dụng web khi sử dụng số lượng tổ hợp khác nhau phương... việc Nhận dạng tấn công trên một số kỹ thuật tấn công mạng thông dụng Nhật ký hệ thống Phương pháp nhận dạng bất thường Anomaly-based Mô hình Markov ẩn Các mô hình nhận dạng khác Máy học - Machine learning Anomaly-number Phản hồi lỗi, khóa kết nối, nội dung đã bị thay đổi Ứng dụng web phản hồi thông tin với các truy vấn hợp pháp Anomaly-number Thông tin phản hồi sau khi được kiểm tra Phân tích dữ liệu... xảy ra, một cuộc tấn công khai thác lỗ hổng trong các ứng dụng web có thể đi qua WAF Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Chức Năng Kiểm Tra Kết Nối Phân tích dữ liệu truy vấn Kiểm tra tỉ lệ truy cập và dòng lưu chuyển dữ liệu của ứng dụng Kiểm tra việc upload file Phương pháp nhận dạng bất thường Rule-based Truy vấn đến ứng dụng web Phân tích dữ liệu xác thực Phân tích trạng thái phiên... thường, ngược lại truy vấn được xem là hợp pháp ỨNG DỤNG TỔ HỢP MARKOV TRONG NHẬN DẠNG BẤT THƯỜNG Câu truy vấn dạng /wp-login.php?action=logout&_wpnonce=bfgg Danh sách thuộc tính 1 action 2 _wpnonce Module 1 Khai thác dữ liệu Module 2 Phân tích wp-login.php AttrSq->0.499 AttrValue->0.0012 Bảng danh sách ngưỡng xác suất cho các ứng dụng web Tổ hợp HMM Chuỗi các thuộc tính {action, wpnonce} PatrsMax Patrs... quan sát bằng cách sử dụng k chuỗi quan sát tại mỗi thủ tục ước lượng lại của Baum-Welch để lập đi lập lại việc cập nhật các tham số của một HMM Phương pháp 2: Sử dụng thuật toán huấn luyện cho một tổ hợp các HMM Sử dụng một loạt các kỹ thuật tính trung bình đơn giản các tham số được ước lượng độc lập để tìm ra mô hình hiệu quả với trọng số Wk = 1 Huỳnh Hoàng Tân MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Phương... ĐÁNH GIÁ HOẠT ĐỘNG IWAF Đánh giá mô hình tổ hợp HMM Thuật toán Baum-Welch huấn luyện từ nhiều chuỗi quan sát cho kết quả xác suất tốt hơn so với phương pháp sử dụng thuật toán huấn luyện cho một tổ hợp các HMM Sử dụng một loạt các kỹ thuật tính trung bình đơn giản các tham số được ước lượng độc lập để tìm ra mô hình hiệu quả với trọng số Wk = 1 Trong quá trình huấn luyện, nếu sử dụng càng nhiều HMM,... ĐỘNG IWAF Đánh giá mô hình tổ hợp HMM Chiều dài một chuỗi dữ liệu huấn luyện chỉ xét các giá trị khác nhau trong chuỗi thông thường sẽ cho kết quả tốt hơn chiều dài bằng tổng các ký tự trong chuỗi Đối với cả 02 phương pháp huấn luyện, khi số lượng HHM (HMMs) trong tổ hợp tăng lên, thì đa số sẽ cho xác suất tốt hơn Xác suất của chuỗi các giá trị thuộc tính thường thấp hơn so với xác suất giá trị các. .. (Xử lý lỗi) Chức Năng Xử Lý Threshold Blocking (Khóa kết nối) Rewriting (thay đổi nội dung ) Nhật ký hệ thống < Threshold Máy chủ ứng dụng Web > Threshold truy vấn bất thường Thông báo Cập nhật Rules Báo cáo Huỳnh Hoàng Tân Passing (Cho phép qua) Quản trị Chức Năng Quản Lý NHẬN DẠNG SỰ BẤT THƯỜNG VỚI WEB APP Nhận dạng sự bất thường theo phương pháp phân tích dữ liệu đầu vào Một yêu cầu đầu vào Bất Thường... luyện, nếu sử dụng càng nhiều HMM, HMMs trong tổ hợp thì hệ thống càng khó hội tụ và thời gian huấn luyện càng lâu Huỳnh Hoàng Tân MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Mẫu dữ liệu thử nghiệm, các phương án thử nghiệm và phân tích các tấn công Huỳnh Hoàng Tân MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF Mẫu dữ liệu thử nghiệm, các phương án thử nghiệm và phân tích các tấn công Trường hợp 1: với mô hình HMM được huấn luyện . HỆ THỐNG TƯỜNG LỬA THÔNG MINH CHO CÁC ỨNG DỤNG WEB - IWAF Trình bày: Huỳnh Hoàng Tân TRƯỜNG ĐẠI HỌC LẠC HỒNG Trình bày: Huỳnh Hoàng Tân NỘI DUNG TRÌNH BÀY GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG. Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB Huỳnh Hoàng Tân GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB IP Firewall Ports 80. vệ các ứng dụng web. WAF là một thiết bị hoặc máy chủ ứng dụng giam sát trao đổi thông tin của giao thức http/https giữa một trình duyệt máy trạm và máy chủ web ở tầng ứng dụng. WAF sử dụng