BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN THỊ THANH HUYỀN NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG PHÁT HIỆN VÀ CHỐNG XÂM NHẬP PHỐI HỢP - CIDS Chuyên ngành: KỸ THUẬT TRUYỀN THÔNG LUẬN VĂN THẠC SĨ KỸ THUẬT Kỹ thuật truyền thông NGƯỜI HƯỚNG DẪN KHOA HỌC: TS PHẠM DOÃN TĨNH Hà Nội – Năm 2014 MỤC LỤC LỜI CAM ĐOAN DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH MỤC CÁC BẢNG DANH MỤC HÌNH VẼ LỜI MỞ ĐẦU Chương - TỔNG QUAN VỀ AN NINH MẠNG 10 1.1 Các vấn đề an ninh mạng 10 1.1.1 Một số lỗ hổng an ninh mạng 10 1.1.2 Một số phương thức công mạng 11 1.2 Các giải pháp triển khai an ninh mạng 21 1.2.1 Các chiến lược bảo vệ mạng 21 1.2.2 Các kỹ thuật bảo mật 23 Chương - MÔ HÌNH PHÁT HIỆN XÂM NHẬP PHỐI HỢP CIDS 33 2.1 Giới thiệu mô hình hệ thống phát xâm nhập phối hợp 33 2.2 Kiến trúc hệ thống, chế phát cảnh báo công hệ thống CIDS 37 2.2.1 Cơ chế phát công mạng CIDS 37 2.2.2 Kiến trúc hệ thống, chế phát cảnh báo công 40 2.2.3 Phân loại mô hình phát xâm nhập phối hợp CIDS 43 2.2.4 Tính tương đối cảnh báo 59 Chương - HỆ THỐNG QUẢN LÝ BẢO MẬT MÃ NGUỒN MỞ OSSIM 70 3.1 Giới thiệu hệ thống quản lý OSSIM 70 3.2 Các chức hệ thống OSSIM 72 3.3 Các thành phần OSSIM 77 3.3.1 OSSIM server 77 3.3.2 OSSIM frameword 78 3.3.3 OSSIM agent 79 3.3.4 Plugin chế hoạt động 80 3.4 Ứng dụng OSSIM hệ thống phát xâm nhập phối hợp 82 3.4.1 Các thành phần cần triển khai OSSIM 82 3.4.2 Mô hình triển khai bước cài đặt, cấu hình OSSIM 92 KẾT LUẬN 98 TÀI LIỆU THAM KHẢO 99 LỜI CAM ĐOAN Tôi xin cam đoan Luận văn Thạc sỹ kỹ thuật nghiên cứu thực hướng dẫn khoa học TS Phạm Doãn Tĩnh Các kết tự nghiên cứu tham khảo từ nguồn tài liệu công trình nghiên cứu khoa học khác trích dẫn đầy đủ Nếu có vấn đề sai phạm quyền, xin hoàn toàn chịu trách nhiệm trước Nhà trường Hà Nội, ngày…….tháng…… năm 2014 Học viên Nguyễn Thị Thanh Huyền DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT ACID ARP CGI Scripts CIDS DDOS DHCP DIDS DMZ DNS DOS DRDoS DSOC GD ICMP IDPS IDS IPS LAN LD MAC MADIDF NIC NIDS OSSIM P2P PSKs RARP SMTP SQL TCP/IP UDP WAN Analysis Console for Intrusion Databases Address Resolution Protocol Common Gateway Interface Scripts Collaborative Intrusion Detection System Distributed Denial Of Service Dynamic Host Configuration Protocol Distributed Intrusion Detection System Demilitarized Zone Domain Name System Denial Of Service Distributed Reflection Denial of Service Distributed Security Operation Center Global detectors Internetwork Control Message Protocol IPS + IDS Intrusion Detection System Intrusion Prevention System Local Area Network Local detectors Medium Access Control Mobile Agents based Distributed Intrusion Detection Framework Network Interface Card Network Intrusion Detection System Open Source Security Information Management Peer – to – Peer Pre-shared keys Reverse Address Resolution Protocol Simple Mail Transfer Protoco Structured Query Language Transmission Control Protocol/Internet Protocol User Datagram Protocol Wide Area Network DANH MỤC CÁC BẢNG Bảng 2-1: Bảng ID Plugin tương ứng hệ thống OSSIM 42 Bảng 2-2: Bảng tóm tắt nghiên cứu đạt hệ thống CIDS 69 Bảng 3-1: Cổng kết nối OSSIM server Ossim Agent 80 DANH MỤC HÌNH VẼ Hình 1-1:Các công thông tin mạng 12 Hình 1-2: Smurf attack 18 Hình 1-3: Tấn công kiểu DRDoS 19 Hình 1-4: Mã hóa giải mã 24 Hình 1-5: Mô hình mã hóa bí mật 26 Hình 1-6: Mô hình mã hóa công khai 26 Hình 1-7: Mô hình Firewall 30 Hình 2-1: Mô hình hệ thống phát xâm nhập phối hợp CIDS 36 Hình 2-2: Firewall bảo vệ mạng LAN bên trong, ngăn chặn kết nối trái phép 38 Hình 2-3: Firewall không bảo vệ công không qua 38 Hình 2-4: Mô hình hệ thống CIDS bảo vệ 39 Hình 2-5: Cơ chế cảnh báo công cảnh báo xâm nhập hệ thống CIDS 39 Hình 2-6: Kiến trúc hệ thống CIDS 40 Hình 2-7: Quá trình gửi liên kết liệu từ khối Corelation 43 Hình 2-8: CIDS thu thập thông tin mức thấp, xử lý đưa cảnh báo mức cao 45 Hình 2-9: Phương pháp tiếp cận tập trung 47 Hình 2-10: Ứng dụng phương pháp tiếp cận tập trung mô hình DIDS 48 Hình 2-11: Phương pháp tiếp cận phân cấp 51 Hình 2-12: Ứng dụng phương pháp tiếp cận phân cấp mô hình EMERALD 53 Hình 2-13: Phương pháp tiếp cận phân phối hoàn toàn 55 Hình 3-1: Kiến trúc hệ thống quản lý thông tin OSSIM 71 Hình 3-2: Khả kết nối Plugins với OSSIM 73 Hình 3-3: Thông tin đánh giá tổng quan Security toàn mạng 74 Hình 3-4: Bảng hiển thị thông tin: Security Report 75 Hình 3-5: Bảng hiển thị thông tin cảnh báo theo luật cấu hình 76 Hình 3-6: Giao diện thiết lập luật cho theo dõi tất giao thức Snort 77 Hình 3-7: Sơ đồ xử lý thông tin OSSIM server - OSSIM agent - Plugin 81 Hình 3-8: Các thành phần sơ đồ hoạt động hệ thống triển khai OSSIM 84 Hình 3-9: Thông tin Plugin OSSIM hỗ trợ 84 Hình 3-10: Giao diện đăng nhập đồ họa vào OSSIM 86 Hình 3-11: Các Plugin đóng vai trò Monitor hệ thống OSSIM 88 Hình 3-12: Các Plugin đóng vai trò Detector hệ thống OSSIM 89 Hình 3-13: Giao diện đồ họa triển khai luật OSSIM 90 Hình 3-14: Cấu hình luật lưu tương ứng OSSIM server 91 Hình 3-15: Mô hình triển khai thử nghiệm 93 Hình 3-16: Giao diện phần mềm giả lập công DDoS 93 Hình 3-17: website trước bị công 96 Hình 3-18: Website sau bị công 96 Hình 3-19: Kết thị OSSIM 97 LỜI MỞ ĐẦU Như biết, ngày sống người ngày đại, với phát triển vũ bão công nghệ thông tin giúp người có sống tốt đẹp hơn, đáp ứng nhu cầu người sống như: Giải trí, gặp gỡ bạn bè, mua sắm, tìm kiếm thông tin, học tập, làm việc, kinh doanh, buôn bán, v.v song song với tiềm ẩn nhiều nguy luôn rình rập tới tất người Những thông tin nhạy cảm: Số tài khoản, thẻ tín dụng, địa nhà, số điện thoại, mật mail, thông tin cá nhân, tài khoản online,… nghiêm trọng nguy với hệ thống lớn, hệ thống cung cấp dịch vụ, công ty có quy mô rộng lớn khắp vùng địa lý khác nhau, nơi mà sẵn sàng hệ thống yếu tố định tới tồn công ty yêu cầu đảm bảo an toàn thông tin: Bí mật, toàn vẹn, sẵn sàng vấn đề quan tâm, nghiên cứu Cùng với tư tưởng tạo hệ thống an ninh đảm bảo an toàn cao, triển khai quy mô rộng lớn, quản lý tập trung, hướng đến hệ thống tự động phát xâm nhập với trính tự động tính toán đưa cảnh báo xâm nhập hệ thống phát xâm nhập phối hợp CIDS nghiên cứu phát triển Hệ thống phát xâm nhập phối hợp hoạt động nguyên tắc kết hợp thiết bị an toàn thôn tin: Firewall, IDS, IPS phân vùng mạng riêng lẻ thành thể thống nhất, quản lý thiết bị tập trung, nhận liệu từ nhiều nguồn khác xử lý tập trung để đưa đánh giá an toàn thông tin toàn mạng Hệ thống CIDS đưa cảnh báo từ tổng hợp thông tin nhận từ nhiều nguồn khác nên kết đánh giá có tính chất khách quan, phát kiểu công phức tạp, tinh vi với nhiều kịch công khác nhau: Scan lút, công từ chối dịch vụ, bùng phát phá hoại sâu mạng, mà với thiết bị an toàn thông tin đơn lẻ khó để phát Mô hình hệ thống phát xâm nhập phối hợp mô hình triển khai an toàn thông tin có tính khả thi cao, áp dụng nhiều sản phẩm từ mã nguồn mở như: Hệ thống quản lý bảo mật mã nguồn mở OSSIM, tới sản phẩm thương mại tiếng: Firewall Site Protecter IBM, Symantec Endpoint hãng bảo mật Symantec,… thực tế chứng minh mô hình hoạt động hệ thống an toàn thông tin phối hợp hiệu quả, có tính khả thi cao Là người làm hệ thống với công việc triển khai, quản trị đảm bảo hệ thống bảo mật, phòng chống virus cho Vietnamairlines việc tích hợp triền khai hệ thống phát hiện, chống xâm nhập phối hợp cho dịch vụ đơn vị cung cấp vô cần thiết Do tác giả lựa chọn đề tài “ Nghiên cứu ứng dụng hệ thống phát chống xâm nhập phối hợp (CIDS)” cho luận văn Để hoàn thành Luận văn Thạc sĩ , em xin gửi lời cảm ơn chân thành tới Ban giám hiệu, Viện sau đại học, Viện Điện tử Viễn Thông Giảng viên trường Đại học Bách Khoa Hà Nội nhiệt tình truyền đạt kiến thức quý báu cho em suốt trình học tập hoàn thành Luận văn Thạc sĩ Em xin gửi lời cảm ơn lòng biết ơn chân thành tới TS.Phạm Doãn Tĩnh Người trực tiếp bảo, hướng dẫn giúp đỡ em suốt trình nghiên cứu hoàn thành Luận văn Thạc sĩ Cuối cùng, xin chân thành cảm ơn tới anh, đồng nghiệp Phòng Hạ tầng CNTT - Công ty Cổ phần tin học viễn thông Hàng Không giúp đỡ suốt trình thực đề tài Xin chân thành cảm ơn! Hà Nội, Ngày tháng năm 2014 Học viên Nguyễn Thị Thanh Huyền Hình 3-12: Các Plugin đóng vai trò Detector hệ thống OSSIM  Name: Tên luật tập luật lớn  Reliability: 0- 10  Time_out: : Là thời gian kiện theo dõi Các quy tắc định theo dõi theo thời gian quy định trước Giá trị Time-out định trình kiểm tra, thu thập liệu cho phù hợp với hệ thống tính chất công việc theo dõi  Occurrence: Số lượng kiện xẩy tương ứng  From: Nguồn  To: Đích  Port_from: Cổng nguồn  Port_to: Cổng đích  Plugin_id:  Plugin_sid: Ossim server chứa thông tin luật cấu hình thư mục: /etc/ossim/server 89 Dưới giao diện đồ họa hệ thống quản lý thông tin OSSIM cung cấp cho người dùng thao tác giao diện đồ họa: Hình 3-13: Giao diện đồ họa triển khai luật OSSIM Các thông tin cấu hình luật lưu tương ứng thư mục: /etc/ossim/server OSSIM server là: 90 Hình 3-14: Cấu hình luật lưu tương ứng OSSIM server Đối với luật tạo nhiều luật bên Như thống kê nhiều trường hợp xẩy ra, phù hợp với trường hợp nhỏ luật, OSSIM tính toán đưa cảnh báo phù hợp Ví dụ luật: “Khả có sâu mạng - Possible Worm” với nhiều luật bên để quét hết trường hợp xẩy ra: 91 3.4.2 Mô hình triển khai bước cài đặt, cấu hình OSSIM 3.4.2.1 Mô hình triển khai Mô hình triển khai gồm ba máy: Ossim Server, Ossim Agent PC test Máy chủ Ossim Server thu thập liệu mạng đưa cảnh báo tới người quản trị OSSIM server cài đặt hệ điều hành mã nguồn mở Debian Ossim agent sensor mạng cài đặt snort đóng vai trò Webserver để gửi cảnh báo đến Ossim Server Ossim agent cài hệ điều hành windows Ngoài cài Ossim agent cài đặt số phần mềm khác để phục vụ trình Test - Snort 2.9.0.4 (http://www.snort.org) - Ossim Agent (http://www.ossim.net/) - Xampp 1.8.3 (https://www.apachefriends.org/index.html) - Wordpress (https://wordpress.org/ - PC test chạy phần mềm HttpDostool3.6 để giả lập việc công từ chối dịch vụ (DDOS) vào Webserver Dưới mô hình thử nghiệm xây dựng triển khai thử nghiệm 92 Ossim Server Gửi Alert đển Ossim Server Mạng máy tính (LAN WAN) ` Test DDOS PC HttpDoS Hình 3-15: Mô hình triển khai thử nghiệm Hình 3-16: Giao diện phần mềm giả lập công DDoS 3.4.2.2 Các bước cài đặt cấu hình OSSIM Cài đặt cấu hình Snort cho OSSIM server /etc/snort/snort.conf var HOME_NET 10.1.24.0/24 93 Web Server Ossim Agent: Snort installed var EXTERNAL_NET !$HOME_NET output database: alert, mysql, user=root password=123456 dbname=snort host=10.1.24.5 sensor_name=10.1.24.112 logfile=alert output alert_fast: alert /etc/snort/snort.conf DEBIAN_SNORT_STARTUP="manual" DEBIAN_SNORT_HOME_NET="10.1.24.0/24" DEBIAN_SNORT_OPTIONS="" DEBIAN_SNORT_INTERFACE="eth0" DEBIAN_SNORT_SEND_STATS="false" DEBIAN_SNORT_STATS_RCPT="root" DEBIAN_SNORT_STATS_THRESHOLD="1 /etc/ossim/sensor/config.cfg # default values, can be overriden in each plugin rule [plugin-defaults] sensor = 10.1.24.112 interface = any date_format = %Y-%m-%d %H:%M:%S ; format, not date itself ossim_dsn=mysql:10.1.24.5:ossim:root:123456 [output-server] enable = True ip = 10.1.24.5 port = 40001 /etc/default/snort PARAMS="-m 027 -D -d " 94 SNORTUSER="snort" LOGDIR="/var/log/snort" SNORTGROUP="snort" Cài đặt cấu hình Snort Ossim Agent Địa IP cài đặt Ossim Agent 10.1.24.112 Add plugin vào file config.cfg Ossim Agent [plugins] snort=C:\etc\ossim\agent\plugins\snort.cfg snortunified=C:\etc\ossim\agent\plugins\snortunified.cfg # ntop-monitor=C:\etc\ossim\agent\plugins\ntop-monitor.cfg Chỉ đường dẫn để enable snort.exe đường dẫn C:\Snort\bin\snort.exe ossim agent [DEFAULT] plugin_id=1001 [config] type=detector enable=yes process=snort start=yes ; launch plugin process when agent starts stop=yes ; shutdown plugin process when agent stops startup=C:\Snort\bin\snort.exe start shutdown= C:\Snort\bin\snort.exe stop source=log location=/var/log/%(process)s/alert # create log file if it does not exists, # otherwise stop processing this plugin create_file=false 3.4.2.3 Kết Website trước bị công DDOS 95 Hình 3-17: website trước bị công Website sau bị công: Hình 3-18: Website sau bị công Cảnh báo Ossim Server 96 Hình 3-19: Kết thị OSSIM 97 KẾT LUẬN Trong suốt thời gian vừa qua, với hướng dẫn tận tình giáo viên hướng dẫn TS.Phạm Doãn Tĩnh, với hỗ trợ đồng nghiệp tác giả hoàn thành luận văn Luận văn đề cập đến vấn đề chung an toàn thông tin, an ninh mạng nói chung sâu nghiên cứu kỹ thuật phát phòng chống xâm nhập phối hợp CIDS Cụ thể luận văn đạt số kết sau: - Tìm hiểu nguyên lý hoạt động, phân tích phát xâm nhập hệ thống phát chống xâm nhập phối hợp - Phân tích mô hình triển khai hệ thống: Tập trung, phân cấp phân phối đầy đủ Ứng với mô hình lại có ưu điểm, nhược điểm riêng phù hợp với mô hình mạng thực tế - - Kết hợp quản lý nhiều công cụ an toàn thông tin thiết bị tập trung, kết hợp sản phẩm thương mại sản phẩm mã nguồn mở Đặt chế độ tính toán xử lý thông tin linh hoạt tương ứng với trường hợp cụ thể thực tế Hiểu chế gửi, nhận xử lý liệu sản phẩm an toàn thông tin môi trường xử lý tập trung: Server/ Sensor - Xây dựng thử nghiệm thành công hệ thống quản lý thông tin bảo mật mã nguồn mở OSSIM môi trường mạng thực tế Định hướng phát triển đề tài tương lai: - Tiếp tục xây dựng hệ thống phát xâm nhập phối hợp tích hợp tính bảo mật hãng lớn với sản phẩm thương mại: CISCO, IBM, Checkpoint, Microsoft, để trở thành hệ thống phát xâm nhập phối hợp thực - Các cảnh báo gửi tự động tới nhà quản trị tin nhắn SMS, email cảnh báo có độ nguy hiểm cao - Nghiên cứu thêm việc ứng dụng tập luật phức tạp, phát công tinh vi từ sâu mạng Có khả cập nhật mẫu hình thức công, xâm nhập Tuy nhiên, lượng kiến thức nhiều hạn chế nên chắn luận văn nhiều vấn đề chưa hoàn thiện, chưa thể hết tất nội dung vấn đề Em mong nhận góp ý thầy cô giáo Em xin chân thành cảm ơn! 98 TÀI LIỆU THAM KHẢO [1] Nguyễn Chí Công, Giáo trình an toàn bảo mật hệ thống thông tin [2] PGS.TS Nguyễn Hiếu Minh, Giáo trình công mạng máy tính [3] Chenfeng Vincent Zhou, Christopher Leckie, Shanika Karunasekera, (2009) A survey of coordinated attacks and collaborative intrusion detection, Department of Computer Science and Software Engineering The University of Melbourne, 111 Barry Street, Ca [4] Snapp S, Brentano J, Dias G, Goan T, Heberlein L, Ho C, et al (1991) DIDS (distributed intrusion detection system) – motivation, architecture, and an early prototype In: Proceedings of the 14th national computer security conference;pp.167–76 [5] DShield.org Internet Storm Center, http://www.dshield.org [6] Kemmerer RA.NSTAT, Kemmerer, (2001) A model-based real-time network intrusion detection system University of California at Santa Barbara; Tech Rep TRCS97-18 [7] Heberlein LT, Mukherjee B, Levitt KN, (1992) Internetwork security monitor: an intrusion-detection system for large-scale networks In: Proceedings of the 15th national computer security conference pp 262–71 [8] Hochberg J, Jackson K, Stallings C, McClary JF, DuBois D, Ford J, (1993) Nadir: an automated system for detecting network intrusion and misuse In: Proceedings of the 15th national computer security conference;pp 235–48 [9] Huang M, Jasper R, Wicks T, (1999) A large scale distributed intrusion detection framework based on attack strategy analysis Computer Networks; 31(23– 24):2465–75 [10] Mounji A, Le Charlier B, Zampunieris D, Habra N, (February 1995) Distributed audit trail analysis In: Proceedings of the internet society symposium on network and distributed system security (ISOC); pp 102–13 99 [11] Staniford-Chen S, Cheung S, Crawford R, Dilger M, Frank J,Hoagland J, et al (September 1996) Grids-a graph based intrusion detection system for large networks In: Proceedings of the 19th national information systems security conference vol 1; pp 361–70 [12] Porras P, Neumann P Emerald, (1997) Event monitoring enabling responses to anomalous live disturbances In: Proceedings of the 20th national information systems security conference; pp 353–65 [13] Li J, Lim D, Sollins K, (2007) Dependency-based distributed intrusion detection In: Proceedings of the DETER community workshop on cyber security experimentation and test CA, USA: USENIX Association Berkeley [14] Center, CERT Coordination (CERT/CC) CERT/CC statistics 1988–2006, http://www.cert.org/stats 2006 [15] Balasubramaniyan J, Garcia-Fernandez J, Isacoff D, Spafford E, Zamboni D, (1998) An architecture for intrusion detection using autonomous agents In: Proceedings of the 14th IEEE computer security applications conference; pp.13–24 [16] Servin A, Kudenko D, (2008) Multi-agent reinforcement learning for intrusion detection, lecture notes in computer science, vol.4865; pp 211–23 [17] Vigna G, (1999) Netstat: a network-based intrusion detection system Journal of Computer Security;7(1):37–71 [18] Locasto M, Parekh J, Keromytis A, Stolfo S, (2005) Towards collaborative security and P2P intrusion detection In: Proceedings of the 2005 IEEE workshop on information assurance and security; pp 333–39 [19] Bloom.BH (1970) Space/time trade-offs in hash coding with allowable errors Communications of the ACM;13(7):422–6 [20] Yegneswaran V, Barford P, Jha S.(2004) Global intrusion detection in the DOMINO overlay system In: Proceedings of network and distributed security symposium (NDSS) 100 [21] Dash D, Kveton B, Agosta J, Schooler E, Chandrashekar J, Bachrach A, et al (2006) When gossip is good: Distributed probabilistic inference for detection of slow network intrusions In: Proceedings of the twenty-first national conference on artificial intelligence (AAAI); pp 1115–22 [22] Garcia J, Autrel F, Borrell J, Castillo S, Cuppens F, Navarro G, (October 2004) Decentralized publish-subscribe system to prevent coordinated attacks via alert correlation In: Sixth international conference on information and communications security; pp 223–35 [23] Dayong Ye MZ, Quan Bai, Ye Z, (May 2008) P2P distributed intrusion detections by using mobile agents In: Seventh IEEE/ACIS international conference on computer and information science, 2008 (ICIS 08); pp 259–65 [24] Debar H, Wespi A, (2001) Aggregation and correlation of intrusiondetection In: Proceedings of the 4th international symposium on recent advances in intrusion detection (RAID); pp 85–103 [25] Cuppens F, (2001) Managing alerts in a multi-intrusion detection environment In: Proceedings of the 17th annual computer security applications conference (ACSAC); pp 22–31 [26] Morin B, Me L, Debar H, Ducasse M, (2002) M2D2: a formal data model for IDS alert correlation In: Proceedings of the 5th international symposium on recent advances in intrusion detection (RAID); pp 115–37 [27] Xie Y, Kim H, O Hallaron D, Reiter M, Zhang H, (2004) Seurat: a pointillist approach to anomaly detection In: Proceedings of the 7th international symposium on Recent Advances in Intrusion Detection (RAID) Springer; p 238–57 [28] Zhou CV, Leckie C, Karunasekera S, ( 2009a) Collaborative detection of fast flux phishing domains Journal of Networks;4:75–84 [29] Staniford S (2002) Practical automated detection of stealthy portscans Journal of Computer Security;10(1):105–36 101 [30] Julisch K, (2001) Mining alarm clusters to improve alarm handlin efficiency In: Proceedings of the 17th annual computer security applications conference (ACSAC); pp 12–21 [31] Dain O, Cunningham R, (2001) Fusing a heterogeneous alert stream into scenarios In: Proceedings of the 2001 ACM workshop on datamining for security applications; pp 1–13 [32] Cuppens F, Ortalo R Lambda (2000): A language to model a database for detection of attacks In: Proceedings of recent advances in intrusion detection (RAID); pp 197–16 [33] Cuppens F, Miege A, (2002) Alert correlation in a cooperative intrusion detection framework In: Proceedings of the 2002 IEEE symposium on security and privacy (SP); pp.202–15 [34] Qin X, Lee W, (2003) Statistical causality analysis of infosec alert data In: Proceedings of recent advances in intrusion detection (RAID);pp 73–93 [35] Ning P, Cui Y, Reeves DS, (2002) Constructing attack scenarios through correlation of intrusion alerts In: Proceedings of the 9th ACM conference on computer and communications security (CCS); pp 245–54 [36] Almgren M, Lindqvist U, Jonsson E.(2008), A multi-sensor model to improve automated attack detection In: Proceedings of the 11th international symposium on recent advances in intrusion detection p 291–310 [37] Porras PA, Fong MW, Valdes A, (2002) A mission-impact-based approach to INFOSEC alarm correlation In: Proceedings of recent advances in intrusion detection (RAID); pp 95–114 [38] Costa M, Crowcroft J, Castro M, Rowstron A, Zhou L, Zhang L,et al (2005) Vigilante: end-to-end containment of internet worms In: Proceedings of the twentieth ACM symposium on operating systems principles (SOSP 05); pp 133– 47 102 [39] Wang HJ, Guo C, Simon DR, Zugenmaier A, (2004) Shield: Vulnerability driven network filters for preventing known vulnerability exploits In: Proceedings of the 2004 conference on applications, technologies, architectures, and protocols for computer communications (SIGCOMM);pp 193–04 [40] Karg, Dominique OSSIM Correlation engine explained [41] Perazzo, Matteo OSSIM_agent_on_windows [42] Julio Casal OSSIM Fast Guide n.d [43] Kevin Milne OSSIM User manual 103 [...]... lạm dụng - Hiệu năng: Hiệu năng của hệ thống phát hiện xâm nhập phải đủ để thực hiện phát hiện xâm nhập trong thời gian thực - Trọn vẹn: Một hệ thống phát hiện xâm nhập không được phát hiện sai xâm nhập Tuy nhiên đây là một yêu cầu khó được đáp ứng và gần như là không thể có được tri thức toàn cầu về các cuộc tấn công trong quá khứ, hiện tại và tương lai - Chịu lỗi: Bản thân hệ thống phát hiện xâm nhập. .. cho các firewall quét các tập tin gửi đến, email… nhằm phát hiện virus 32 Chương 2 - MÔ HÌNH PHÁT HIỆN XÂM NHẬP PHỐI HỢP CIDS 2.1 Giới thiệu mô hình hệ thống phát hiện xâm nhập phối hợp Trong những năm gần đây, các cuộc tấn công nguy hiểm vào các hệ thống máy tính được phát hiện ngày càng nhiều từ sự phức tạp tới sức mạnh của các cuộc tấn công và thời gian tồn tại ngày càng lâu dài Sự phong phú về... xâm nhập là quá trình phát hiện và phản hồi đối với các hành động có hại nhằm vào các tài nguyên tính toán và mạng máy tính Định nghĩa này giới thiệu phát hiện xâm nhập như là một tiến trình, bao gồm công nghệ, con người và công cụ Phát hiện xâm nhập là một cách tiếp cận bổ sung cho các cách tiếp cận bảo mật chủ yếu như kiểm soát truy cập và mã hóa Động lực thúc đẩy sự phát triển của các hệ thống phát. .. thực và kiểm soát truy cập có thể bị vô hiệu hóa vì việc cấu hình sai hay các hành độn phá hoại o Người dùng trong các hệ thống có thể lạm dụng quyền và thực hiện các hành vi phá hoại o Thậm chí nếu một cuộc tấn công không thành công thì trong hầu hết các trường hợp, việc biết về các nỗ lực tấn công đó là rất hữu ích Các hệ thống phát hiện xâm nhập là các ứng dụng chuyên dụng cho việc phát hiện các xâm. .. hiện các xâm nhập mạng máy tính Chúng được thiết kế để giải quyết các vấn đề được nêu trên, tuy nhiên chúng không được dự định là thay thế các phương pháp bảo 28 mật truyền thống mà góp phần vào hoàn thiện chúng Một hệ thống phát hiện xâm nhập cần thỏa mãn các yêu cầu sau: - Tính chính xác: Một hệ thống phát hiện xâm nhập không được đánh giá một hành động hợp pháp trong môi trường hệ thống là một bất... xác cao và từ nhiều nguồn khác nhau Hệ thống có thể xử lý, tổng hợp các kết quả đánh giá từ nhiều nguồn khác nhau, với các định dạng mẫu gửi về trung tâm xử lý khác nhau: Snort, OSSEC, Ntop, Iptable, Nagios, Ciscopix, Hệ thống như thế được gọi là hệ thống phát hiện và chống xâm nhập phối hợp CIDS[ 3] Khi đó ta phân tích được các dấu hiệu từ nhiều mạng khác nhau cùng một lúc Bên cạnh đó, sự phối hợp các... hiện bởi kẻ xấu mà kết quả là dẫn đến tổn thương đối với hệ thống bị tấn công Gỉa sử rằng hành động của kẻ xâm nhập vi phạm chính sách bảo mật Sự tồn tại của chính sách bảo mật, chỉ ra hành động nào xem được là có hại và nên bị chặn là yêu cầu chủ yếu đối với một hệ thống phát hiện xâm nhập Các hành động xâm nhập chỉ có thể bị phát hiện khi chúng được so sánh với những luật đã được cho trước Phát hiện. .. Một hệ thống phát hiện xâm nhập phải có thể xử lý trong trường hợp tệ nhất một số lượng lớn sự kiện mà không làm mất thông tin Firewall Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống sự truy cập trái phép, nhằm bảo vệ các nguồn thông tin nội bộ và. .. triển của các hệ thống phát hiện xâm nhập là các yếu tố sau: o Hầu hết các hệ thống mạng không hoàn thiện và dễ bị làm hại, sự thiếu quan tâm của nhà sản xuất hoặc chủ tâm, vì số rắc rối về bảo mật tiếp tục tăng lên, người dùng và các quản trị viên thì nhìn chung là chậm trễ trong việc ứng dụng các bản vá lỗi cho hệ thống Như một hậu quả tất yếu, nhiều chuyên gia cho rằng các hệ thống máy tính sẽ không... hợp Người ta 33 gọi mô hình đảm bảo an toàn thông tin như vậy với tên gọi: Hệ thống phát hiện và chống xâm nhập phối hợp CIDS (Collaborative Intrussion Detetion System) Hiện nay các cuộc tấn công có sự sắp xếp, tính toán trước có thể gây ra hậu quả lớn tới vấn đề bảo mật trên Internet ngày càng tăng Năm 2003 trong SQL đã phát hiện ra con sâu máy tính phá hoại tới 75.000 máy tính trong vòng 10 giây Giải