Đang tải... (xem toàn văn)
Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - Đặng Ngọc Danh NGHIÊN CỨU CÁC KỸ THUẬT QUÉT CỦA SÂU MẠNG VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN Chuyên ngành: Hệ Thống Thông Tin Mã số: 60.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2017 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS.Hoàng Xuân Dậu………… (Ghi rõ học hàm, học vị) Phản biện 1: ………………………………………………… Phản biện 2: ………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông LỜI MỞ ĐẦU Sâu mạng (Network worms) loại phần mềm độc hại (Malware) có tốc độ lây lan nhanh khả tàn phá lớn Khác với virus, sâu mạng lây lan tự động mà không cần tương tác với người dùng Khi sâu lây nhiễm vào máy tính, sử dụng máy tính làm bàn đạp để tiếp tục rà quét lây nhiễm sang máy tính khác Nhờ vậy, sâu có khả lây lan nhanh theo cấp số nhân Một số sâu Slammer, Code Red, Nimda có khả lây nhiễm hàng trăm ngàn máy chủ khoảng 30 phút [1] Sâu mạng lây nhiễm từ máy đến máy khác thông qua nhiều phương pháp, bao gồm lây nhiễm thông qua việc khai thác lỗ hổng dịch vụ mạng, giao thức mạng, lây nhiễm thông qua đăng nhập từ xa, lây nhiễm thông qua email từ trang web nhiễm sâu xuống trình duyệt web,… Tốc lây nhiễm sâu phụ thuộc chủ yếu vào kỹ thuật quét (scanning) mà sâu mạng sử dụng để rà quét máy tính khác mạng khác mạngvới máy bị nhiễm làm đích lây nhiễm Đa số sâu mạng thường rà quét lây nhiễm đến máy chủ cung cấp dịch vụ mạng Chẳng hạn sâu Slammer quét máy với địa IP sinh ngẫu nhiên để tìm đích tiếp lây nhiễm theo, máy chủ chạy hệ quản trị sở liệu SQL 2000 chứa lỗi tràn đệm [1] Tuy vậy, có số sâu mạng lây nhiễm vào máy tính cá nhân Khi lây nhiễm vào hệ thống, hoạt động sâu mạng tương tự virus, phần mềm độc hại khác Một số sâu “lành tính” không thực hành vi phá hoại hệ thống bị lây nhiễm mà tạo lưu lượng mạng khổng lồ, sâu Slammer [1] Ngược lại, nhiều sâu khác thực hành vi đánh cắp thông tin nhạy cảm, xoá liệu quan trọng, khoá máy tính nạn nhân, mở cổng hậu để tải lên máy nạn nhân nhiều phần mềm độc hại khác, gây hỏng hóc cho hệ thống Do sâu mạng có tốc độ lan nhanh khả phá hoại lớn, đặc biệt với máy chủ dịch vụ mạng, việc nghiên cứu, phân tích sâu chế quét tìm đích lây nhiễm sâu mạng cần thiết để sở đưa phương pháp phát phòng chống phù hợp Đây mục đích Luận văn 3 CHƯƠNG 1: TỔNG QUAN VỀ SÂU MẠNG VÀ PHÒNG CHỐNG 1.1 Khái quát phần mềm độc hại 1.1.1 Định nghĩa Phần mềm độc hại (Malware - Malicious software hay malicious code) định nghĩa chương trình (program) chèn cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn tính sẵn sàng hệ thống 1.1.2 Phân loại Hiện nay, có nhiều phương pháp phân loại phần mềm độc hại phương pháp có ưu, nhược điểm riêng Luận văn trình bày hai phương pháp phân loại phần mềm độc hại: phân loại phần mềm độc hại NIST [13] phân loại phần mềm độc hại Peter Szor [14] 1.1.2.1 Phân loại NIST (National Institute of Standards and Technology): 1.1.2.2 Phân loại Peter Szor 1.1.3 Tác hại phần mềm độc hại Nhìn chung phần mềm độc hại có tác hại sau: Làm giảm hiệu xử lý Thiệt hại tài Mất thông tin cá nhân Mã hóa liệu tống tiền Gây khó chịu khác cho người dùng Ảnh hưởng tới hoạt động sản xuất Phá hủy hệ thống 1.2 Khái quát sâu mạng chế lây nhiễm 1.2.1 Khái niệm Worm – sâu máy tính (sau gọi tắt sâu) hiểu loại virus đặc biệt hay chương trình độc hại Phương thức lây lan qua mạng khác biệt virus sâu Hơn nữa, sâu có khả lan truyền chương trình độc lập mà không cần lây nhiễm qua tập tin Ngoài ra, nhiều loại sâu chiếm quyền kiểm soát hệ thống từ xa thông qua “lỗ hổng” mà không cần có “giúp sức” từ người dùng Tuy nhiên, có trường hợp ngoại lệ sâu Happy99, Melissa, LoveLetter, Nimda 1.2.2 Lịch sử 1.2.3 Phân loại 1.2.4 Cách thức làm việc sâu 1.2.5 Một số loại sâu điển hình a) b) c) d) Morris – sâu năm 1988 IloveYou năm 2000 Code Red 2001 Slammer năm 2001 1.3 Phòng chống sâu mạng phần mềm độc hại khác 1.3.1 Phương pháp phòng chống virus 1.3.2 Phương pháp phòng chống Worm 1.4 Kết chương TrongChương 1, luận văn đề cập đến kiến thức phần mềm độc hại nói chung sâu mạng nói riêng cách phòng chống, cung cấp cho người sử dụng máy tính hiểu biết chung lại sâu mạng loại phần mềm độc hại 5 Chương cách phân biệt loại phần mềm độc hại máy tính, biết tiểu sử hậu mà chúng gây cho người sử dụng máy tính qua thời kỳ Từ sở này, luận văn tiếp tục nghiên cứu kỹ thuật quét phương pháp phát sâu mạng phần 6 CHƯƠNG 2: CÁC KỸ THUẬT QUÉT CỦA SÂU MẠNG VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN 2.1 Các kỹ thuật quét sâu mạng Khác với virus phần mềm độc hại khác, sâu mạng có khả rà quét host mạng để tìm host cho trình lây nhiễm sâu Mục phân tích kỹ thuật rà quét điển hình sâu mạng, bao gồm: quét ngẫu nhiên có chọn lọc, quét định tuyến, quét chia để trị, quét kết hợp quét toàn 2.1.1 Quét ngẫu nhiên có chọn lọc Thay quét toàn không gian địa IP cách ngẫu nhiên, tập hợp địa thuộc máy chọn làm không gian địa đích Danh sách địa chọn thu từ bảng định tuyến toàn cầu cục Chúng ta gọi loại quét quét ngẫu nhiên có chọn lọc 2.1.2 Quét định tuyến Ngoài không gian địa quét, sâu biết địa định tuyến sử dụng, sau lây lan nhanh hơn, hiệu tránh phát Đối với kiểu quét này, địa IP không gán mà định tuyến Internet xóa khỏi sở liệu sâu, gọi quét định tuyến 2.1.3 Quét kiểu chia để trị Thay quét toàn sở liệu, máy chủ bị nhiễm phân chia sở liệu địa với nạn nhân gọi quét phân chia Ví dụ, sau máy A lây nhiễm vào máy B, máy A chia địa định tuyến thành nửa truyền nửa cho máy B Máy B quét nửa Bằng cách sử dụng tính phân chia này, kích thước mã sâu giảm nạn nhân quét không gian địa khác nhỏ Ngoài ra, lưu lượng quét tạo nạn nhân giảm khó phát 2.1.4 Quét kiểu kết hợp Sự hạn chế mục tiêu quét sở liệu địa mạng cụ thể làm bỏ lỡ nhiều địa máy dễ bị lây nhiêm Để giải vấn đề này, kẻ công kết hợp quét ngẫu nhiên giai đoạn sau trình lây nhiễm (khi hầu hết địa quét) để lây nhiễm sang nhiều máy Kiểu quét gọi quét kết hợp 2.1.5 Quét toàn Đây phương pháp cực đoan mà người lập trình sâu dùng để ngăn chặn việc phát sâu Họ sử dụng số phương pháp để có danh sách đầy đủ địa IP định sử dụng danh sách làm sở liệu địa đích Sau đó, khó để phân biệt chương trình độc hại Flash Worm Staniford [8] giới thiệu loại sâu 2.1.6 So sánh phương pháp quét sâu mạng 2.2 Các phương pháp phát sâu mạng 2.2.1 Khái quát phương pháp phát sâu mạng Phần giới thiệu phương pháp phát worm số kỹ thuật dùng cho hệ thống cảnh báo Hệ thống cảnh báo đưa cảnh báo có điểm bất thường traffic mà giống hành vi worm Mục tiêu hệ thống phát worm sớm mức độ sai dương thấp Kiến trúc chung hệ thống phát worm Cài đặt thành phần phát mạng Vấn đề kiểm soát không gian địa 2.2.2 Các phương pháp phát sâu mạng 2.2.2.1 Phát dựa số nạn nhân a) Thuật toán phát dựa số nạn nhân mạng b) Phân tích lưu lượng 2.2.2.2 Phát dựa Hot-IPs 2.2.2.3 Phát dựa tương quan nguồn đích a) Mô tả: b) Kỹ thuật: 2.2.3 So sánh phương pháp phát sâu mạng 2.3 Kết chương Chương trình bày chi tiết kỹ thuật điển hình sâu mạng sử dụng để rà quét tìm hệ thống đích, bao gồm quét ngẫu nhiên có chọn lọc, quét định tuyến, quét chia để trị, quét kết hợp quét toàn Trên sở kỹ thuật quét sâu sử dụng, chương trình bày kỹ thuật phát sâu mạng Trong Chương 3, luận văn trình bày phần thử nghiệm phát sâu mạng dựa phương pháp tương quan nguồn đích 9 CHƯƠNG 3: THỬ NGHIỆM PHÁT HIỆN SÂU MẠNG 3.1 Giới thiệu mô hình phát sâu mạng dựa tương quan nguồn-đích Trong mục này, luận văn tiến hành cài đặt thử nghiệm thuật toán phát sâu mạng dựa tương quan nguồn đích theo phương pháp Anbar cộng [11] đề xuất Hình 3.1 Mô hình quét tìm đích lây nhiễm sâu mạng [11] Hình 3.1 minh họa trình quét tìm đích lây nhiễm sâu mạng Theo đó, trình quét lây nhiễm sâu mạng diễn sau: Sâu ban đầu lây nhiễm vào máy F; Tiếp theo, sâu từ máy F giử yêu cầu quét tìm đích lây nhiễm đến máy B E sử dụng cổng dịch vụ SMTP 25; 10 Sau sâu lây nhiễm thành công lên máy B, tiếp tục sử dụng B để gửi yêu cầu quét tìm đích lây nhiễm đến máy A, D C sử dụng cổng dịch vụ SMTP 25; Quá trình lặp lại vậy, với máy ban đầu đích lây nhiễm, sau sâu lây nhiễm thành công lại trở thành nguồn quét máy khác tìm đích lây nhiễm thiếp theo Như vậy, ta thực giám sát đường truyền mạng (trên router switch), phân tích yêu cầu gửi – lại máy để phát khả xuất sâu mạng 11 Hình 3.2 Lưu đồ cài đặt thuật toán phát sâu mạng dựa tương quan nguồn - đích [11] 12 Hình 3.2 mô tả Lưu đồ cài đặt thuật toán phát sâu mạng dựa tương quan nguồn – đích Theo đó, yêu cầu quét IP thu thập, phân tích tìm mối tương quan yêu cầu quét Nếu phát host A nhận yêu cầu quét thời điểm t1, sau thời điểm t2 (t2> t1) phát host A gửi yêu cầu quét đến host khác cổng dịch vụ số yêu cầu quét A gửi lớn ngưỡng T cho trước, cảnh báo phát sâu mạng gửi 3.2 3.2.1 Cài đặt thử nghiệm Tập liệu tiền xử lý liệu date=2017-04-07 time=15:31:29 logid=0000000013 type=traffic subtype=forward level=notice vd=root srcip=172.16.1.23 srcport=61560 srcintf="T44" dstip=192.168.4.16 dstport=13000 dstintf="port11" poluuid=3076f842-4bbe-51e5-acfb-0ae7ea8a30e5 sessionid=19241031 proto=6 action=close policyid=2 dstcountry="Reserved" srccountry="Reserved" trandisp=noop service="TCP_13000_14000" duration=4 sentbyte=7212 rcvdbyte=6356 sentpkt=16 rcvdpkt=13 vpn="T44" vpntype=ipsecstatic Hình 3.3 Một ghi logs thu thập từ tường lửa 13 IP nguồn IP đích Cổng đích 172.16.1.23 192.168.4.16 13000 172.16.1.146 192.168.4.15 995 172.16.1.8 192.168.5.8 3128 172.16.1.8 192.168.5.8 3128 172.16.1.169 192.168.4.16 13000 172.16.1.243 192.168.4.16 13000 172.16.1.95 192.168.4.11 53 172.16.1.33 192.168.4.16 13000 172.16.1.78 192.168.4.11 53 172.16.1.244 192.168.4.16 13000 192.168.11.12 192.168.4.16 13000 172.16.1.186 192.168.4.11 53 172.16.1.109 192.168.4.16 13000 172.16.1.74 192.168.4.15 443 172.16.1.74 192.168.4.15 443 172.16.1.95 192.168.4.11 53 Hình 3.4 Trích số ghi trích xuất từ logs tường lửa Tập liệu sử dụng tập logs gồm 400.000 ghi trích từ logs tường lửa Hình 3.3 biểu diễn ghi, có nhiều mục thông tin, mục thông tin có dạng tên_trường = giá_trị Để phục vụ cho mục đích phát sâu mạng theo phương pháp tương quan nguồn – đích, tập logs tường lửa xử lý trích xuất trường: địa IP nguồn, địa IP đích cổng đích Một phần tập liệu trích xuất minh họa Hình 3.4 3.2.2 Kết phát Luận văn sử dụng ngôn ngữ lập trình Python chạy Ubuntu để cài đặt thuật toán tương quan nguồn đích (Hình 3.2) để phát khả xuất cặp tương quan đích bị quét sau trở 14 thành nguồn gửi yêu cầu quét cổng dịch vụ đích sử dụng tập liệu sau tiền xử lý (Hình 3.4) Host khởi Host Đích phát quét Nguồn Đích bị quét Cổng dịch vụ 172.16.1.64 192.168.4.21 173.194.72.94, 64.30.228.118, 216.58.197.110, 216.58.199.99, 123.30.215.27 80 192.168.4.16 192.168.11.12 192.168.4.11 445 172.16.1.82 192.168.4.15 173.194.72.94, 64.30.228.118, 216.58.197.110, 216.58.199.99, 123.30.215.27 80 172.16.1.21 192.168.10.34 192.168.107.215 8880 192.168.4.16 192.168.11.11 192.168.4.11 445 172.16.1.74 192.168.4.15 23.76.66.74 443 172.16.1.18 192.168.4.11 10.30.154.49 123 Hình 3.5 Kết phát cặp tương quan nguồn đích Hình 3.5 cung cấp kết phát cặp tương quan nguồn đích từ tập liệu thử nghiệm, theo có địa IP tìm ban đầu đích yêu cầu quét, sau trở thành nguồn gửi yêu cầu quét cổn dịch vụ đích Các địa IP bao gồm 192.168.4.21, 192.168.11.12, 192.168.4.15/80, 192.168.10.34, 192.168.11.11, 192.168.4.15/443 192.168.4.11 Trong đó, địa IP 192.168.4.21/cổng 80 192.168.4.15/cổng 80 nhiều khả 15 bị lây nhiễm sâu host sau nhận yêu cầu quét gửi nhiều yêu cầu quét đến host khác 3.3 Kết chương Trong Chương 3, luận văn giới thiệu mô hình thử nghiệm phát sâu mạng, thuật toán phát hiện, tập liệu sử dụng tiền xử lý liệu số kết phát cặp tương quan nguồn đích Kết cho thấy phương pháp tương quan nguồn đích có khả phát nhanh xác khả xuất sâu mạng thông qua hành vi quét chúng 16 KẾT LUẬN Những kết đạt luận văn Sâu mạng mối đe dọa thường trực với máy chủ dịch vụ mạng tốc độ lây lan nhanh, khả tàn phá lớn Luận văn tập trung nghiên cứu phương pháp rà quét tìm đích lây nhiễm trình lây lan sâu mạng phương pháp phát sâu mạng Cụ thể, Luận văn đạt kết sau: Nghiên cứu khái quát phần mềm độc hại, với trọng tâm sâu mạng, phân loại, hiểu biết cách thức làm việc, trình bày số loại sâu điển hình phương pháp phòng chống Nghiên cứu kỹ thuật quét tìm đích lây nhiễm sâu mạng, bao gồm quét ngẫu nhiên có lựa chọn, quét định tuyến, quét chia để trị, quét kết hợp quét toàn Luận văn nghiên cứu kỹ thuật phát sâu, gồm phương pháp phát số nạn nhân, phương pháp Hot-Ips tương quan nguồn đích Giới thiệu thử nghiệm mô hình phát sâu mạng dựa tương quan nguồn đích Hướng phát triển luận văn Nghiên cứu triển khai thử nghiệm mô hình phát sớm sâu mạng môi trường mạng thực tế 17 DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1] Adebayo O.T, Alese B.K, Gabriel A.J, A Model for Computer Worm Detection in a Computer Network, International Journal of Computer Applications (0975 –8887) Volume 66–No.2, March 2013 [2] Christopher Kruegel, EnginKirda, Darren Mutz, William Robertson, and Giovanni Vigna, Polymorphic Worm Detection Using Structural Information of Executables, Proceeding RAID'05 Proceedings of the 8th international conference on Recent Advances in Intrusion Detection, Pages 207-226, Springer-Verlag Berlin, Heidelberg, Germany, 2006 [3] Daniel R Ellis, John G Aiken, Adam M McLeod, David R Keppler, Paul G Amman, Graph-based Worm Detection On Operational Enterprise Networks, MITRE Technical Report, April 2006 [4] Guofei Gu, Monirul Sharif, Xinzhou Qin, David Dagon, Wenke Lee and George Riley, Worm Detection, Early Warning and Response Based on Local Victim Information, 20th Annual Computer Security Applications Conference (ACSAC 2004), 6-10 December 2004, Tucson, AZ, USA [5] Huỳnh Nguyên Chính, Tân Hạnh, Nguyễn Đình Thúc (2013), Group testing for detecting worms in computer networks Tạp chí Khoa học Công nghệ - chuyên san công trình nghiên cứu Điện tử, Viễn thông CNTT, pp.12-19, 2013 18 [6] Ibrahim Farag,Mohammed A Shouman,Tarek S Sobh,Heba El-Fiqi, Intelligent System for Worm Detection, International Arab Journal of e-Technology, 2009 [7] Jaeyeon Jung, Rodolfo A Milito, and Vern Paxson, On the Adaptive Real-Time Detection of Fast-Propagating Network Worms, Proceedings of the 4th international conference on Detection of Intrusions and Malware, and Vulnerability Assessment Pages 175 – 192, Springer-Verlag Berlin, Heidelberg, Germany, 2007 [8] Jiang Wu, Sarma V angala, Lixin Gao, An Effective Architecture and Algorithm for Detecting Worms with Various Scan Techniques, in the 11th IEEE Network and Distributed System Security Symposium, San Diego, CA, USA, 2004 [9] Matthew Dunlop, Carrie Gates, Cynthia Wong, and Chenxi Wang, SWorD:A Simple Worm Detection Scheme, Proceedings of the 2007 OTM confederated international conference on On the move to meaningful internet systems: CoopIS, DOA, ODBASE, GADA, and IS - Volume Part II, Pages 1752-1769, 2007 [10] Miranda Mowbray, Network Worm Detection using Markov's and Cantelli's Inequalities, HP Laboratories, 2009 [11] Mohammed Anbar, Rosni Abdullah, Alhamza Munther, Mohammed Azmi Al-Betar, Redhwan M A Saad (2016), NADTW: new approach for detecting TCP worm, Journal of Neural Computing and Applications, DOI 10.1007/s00521016-2358-9, Springer, June 2016 19 [12] Muhammad Adeel, Laurissa Tokarchuk , Laurie Cuthbert, Chao-sheng Feng, Zhi-guang Qin, Improved Distributed Framework for Worm Detection & Throttling in Mobile Peerto-Peer Networks, International Journal of Digital Content Technology and its Applications Volume 3, Number 2, June 2009 [13] National Institute of Standards and Technology, Guide to Malware Incident Prevention and Handling for Desktops and Laptops, 2005 [14] Peter Szor (2005), The art of computer Virus research and defense, Addsion Wesley Professional [15] Xinzhou Qin, David Dagon, Guofei Gu, Wenke Lee, Worm Detection Using Local Networks, College of Computing Technical Reports, July 2004 ... luận văn tiếp tục nghiên cứu kỹ thuật quét phương pháp phát sâu mạng phần 6 CHƯƠNG 2: CÁC KỸ THUẬT QUÉT CỦA SÂU MẠNG VÀ CÁC PHƯƠNG PHÁP PHÁT HIỆN 2.1 Các kỹ thuật quét sâu mạng Khác với virus phần... giới thiệu loại sâu 2.1.6 So sánh phương pháp quét sâu mạng 2.2 Các phương pháp phát sâu mạng 2.2.1 Khái quát phương pháp phát sâu mạng Phần giới thiệu phương pháp phát worm số kỹ thuật dùng cho... nhiễm sâu mạng, bao gồm quét ngẫu nhiên có lựa chọn, quét định tuyến, quét chia để trị, quét kết hợp quét toàn Luận văn nghiên cứu kỹ thuật phát sâu, gồm phương pháp phát số nạn nhân, phương pháp
![Hình 3.2 Lưu đồ cài đặt thuật toán phát hiện sâu mạng dựa trên tương quan nguồn - đích [11] - Nghiên cứu các kỹ thuật quét của sâu mạng và các phương pháp phát hiện (tt)](https://media.store123doc.com/figures/000/293/hinh-dat-thuat-hien-mang-tuong-nguon-dich-293499.png)
