Đang tải... (xem toàn văn)
Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG ĐÀO THỊ DOAN NGHIÊN CỨU PHÁT HIỆN SỰ LẨN TRÁNH VỚI PORT HOPPING Chuyên nghành: Mã số: Hệ thống thơng tin 8480104 TĨM TẮT LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH - 2018 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS NGUYỄN HỒNG SƠN Phản biện 1: …………………………… Phản biện 2: ……………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU Vấn đề tăng cường an ninh, đảm bảo an tồn mạng thơng tin trở thành vấn đề cấp thiết, không riêng cá nhân, tổ chức độc lập mà toàn quan nhà nước, doanh nghiệp cần đảm bảo giám sát.Trong năm gần đây, tình hình an tồn thơng tin (ATTT) mạng Internet diễn phức tạp tần suất công mạng mức độ nguy hiểm Việt Nam tiếp tục nước nằm danh sách quốc gia có tỷ lệ lây nhiễm phần mềm độc hại bị công mạng cao giới Phần lớn cá nhân tổ chức, doanh nghiệp Việt Nam nhận thức chưa tốt tính nguy hiểm cơng mạng nói chung cơng APT nói riêng Dù có nhiều doanh nghiệp, tổ chức triển khai công cụ, biện pháp bảo mật tối tân đắt tiền chưa tránh cơng APT.Các nhóm thường kiên trì, bền bỉ, có chủ đích tìm cách để khai thác điểm yếu cách vận hành, cấu hình lỗ hổng hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), tường lửa antivirus Trong công an ninh mạng xảy Việt Nam nói riêng giới nói chung, phát nhiều kỹ thuật mới, nâng cao, liên quan đến vấn đề lẩn tránh qua thiết bị ngăn chặn/cảnh báo xâm nhập Trong kỹ thuật lẩn tránh, Port Hopping kỹ thuật có nhiều ứng dụng, sử dụng cho hoạt động công mạng phòng thủ Đối với phía cơng, kẻ công sử dụng Port Hopping để vượt qua hệ thống tường lửa; bên phòng thủ ứng dụng Port Hopping để chống loại công mạng DDoS Với mong muốn nghiên cứu kỹ thuật lẩn tránh nói chung kĩ thuật Port Hopping nói riêng đồng thời tìm hiểu thực trạng giải pháp phòng chống nay, học viên thực đề tài “Nghiên cứu phát lẩn tránh với Port Hopping” nhằm tiếp cận kiến thức chuyên sâu, từ đưa giải pháp phù hợp việc phát ứng dụng chạy máy tính có sử dụng kỹ thuật Port Hopping 2 CHƯƠNG - TỔNG QUAN VỀ KĨ THUẬT LẨN TRÁNH 1.1 Giới thiệu kĩ thuật lẩn tránh 1.1.1 Khái niệm kĩ thuật lẩn tránh Kỹ thuật lẩn tránh kỹ thuật nhằm vượt qua thiết bị bảo mật với mục đích khai thác thơng tin, công gửi mã độc hướng đến mục tiêu hệ thống mạng, máy chủ mà không bị phát Ngồi ra, kỹ thuật lẩn tránh sử dụng để né tránh phát hệ thống phát hiện/ngăn ngừa xâm nhập mạng (IDS/IPS) hệ thống tường lửa Hiện nay, số lượng kỹ thuật lẩn tránh lớn, 20 loại Tổ hợp số dạng kỹ thuật lẩn tránh tạo kỹ thuật lẩn tránh tiên tiến (AETs) hơn, tinh vi Do đó, AETs kết hợp nhiều kỹ thuật trốn lại với nhằm tăng mức độ phức tạp nguy hiểm 1.1.2 Cách thức hoạt động Giả sử dòng liệu text “MALWARE” xem đoạn mã độc Tin tặc muốn đưa đoạn mã độc vào mục tiêu với yêu cầu bình thường mà hệ thống tiếp nhận hàng ngày Nếu gửi nguyên gốc đoạn mã vào mục tiêu, hệ thống phát xâm nhập (IDS) phân tích xác định chuỗi mã độc, đồng thời can thiệp không cho phép mã độc sâu vào hệ thống Tuy nhiên, áp dụng kỹ thuật lẩn tránh, tin tặc chia nhỏ mã độc thành phần gửi chúng yêu cầu bình thường khác Khi vượt qua tường lửa IDS vào trong, chúng xếp lại xâm nhập sâu Lúc này, IDS cho phép mã độc vào mà không cảnh báo tin tặc thực việc xâm nhập thành cơng vào hệ thống 1.1.3 Cách phòng chống công AETs - Kiểm tra thường xuyên tình trạng hệ thống mạng, đánh giá mức độ an ninh có - Phân tích rủi ro xảy ra, đặc biệt với kho lưu trữ liệu quan trọng, thành phần kết nối trực tiếp với Internet - Sử dụng biện pháp giám sát phân tích lưu lượng mạng - Thường xuyên cập nhật vá lỗi cho hệ thống - Áp dụng nguyên tắc triển khai biện pháp an ninh đa lớp nhằm làm giảm thiểu khả công xâm nhập mạng 3 - Đánh giá thực chất khả chống lại công AETs thực tế để tùy chỉnh biện pháp an ninh phù hợp 1.2 Một số kỹ thuật lẩn tránh 1.2.1 Kỹ thuật proxy Proxy kỹ thuật lẩn tránh, giúp ứng dụng máy tính vượt khỏi kiểm sốt tường lửa kết nối ngồi Internet Proxy cung cấp cho người sử dụng internet thông qua máy chủ proxy thay truy cập trực tiếp Máy chủ proxy xác định yêu cầu từ phía máy khách kết nối tới máy chủ thật Sau nhận liệu từ máy chủ thật chuyển lại cho máy khách 1.2.2 Kỹ thuật tunneling Tunneling kỹ thuật lẩn tránh, giúp hệ thống giám sát khơng chặn thu phân tích nội dung truyền liệu hai thiết bị đầu cuối mạng Các VPN triển khai đa phần sử dụng kỹ thuật tunneling để tạo mạng riêng sở hạ tầng Internet Thực chất, trình đưa tồn gói tin vào lớp tiêu đề chứa thơng tin định tuyến để truyền qua hệ thống mạng trung gian “đường ống” riêng (tunnel) Khi gói tin đến đích, chúng tách lớp tiêu đề chuyển đến máy trạm cần nhận liệu Quá trình bắt buộc máy khách máy chủ phải sử dụng chung giao thức (tunnel protocol) 1.2.3 Kỹ thuật Port Hopping 1.2.3.1 Định nghĩa Port Hopping, gọi nhảy cổng, kĩ thuật sử dụng để tránh phát ứng dụng Thông thường giao thức P2P sử dụng kĩ thuật Port Hopping để vượt tường lửa cấu hình router Một ứng dụng có khả Port Hopping cố gắng truy cập vào máy chủ cổng khác khơng thể kết nối đến cổng mặc định Ví dụ, chương trình P2P cố gắng kết nối cổng 80 Nếu khơng thành cơng, thử cổng 3904 Nếu cổng 3904 khơng hoạt động, nhảy tới cổng 4556 1.2.3.2 Cơ chế hoạt động Port Hopping Trong kỹ thuật Port Hopping, máy chủ máy khách thiết lập kết nối với Tại thời điểm truyền số liệu, cổng máy chủ thay đổi ngẫu nhiên chức khe thời gian Trong trường hợp này, tồn chu trình thời gian chia thành khe rời rạc Tsi, i = 0, 1, Trong giao thức UDP/TCP, số cổng không thay đổi khoảng thời gian giao tiếp riêng biệt Trong kĩ thuật Port Hopping, cổng khác sử dụng khe thời gian khác cho dịch vụ Giả sử Pi đại diện cho số cổng sử dụng máy chủ khe thời gian Tsi Pi xác định phương trình (1), k khóa mã chung máy chủ máy khách, f tạo số giả ngẫu nhiên Pi=f(i,k) (1) Một máy khách muốn giao tiếp với máy chủ cụ thể, tìm thấy máy chủ với danh sách cổng Pi sử dụng khóa mã chung k số khe thời gian i Khi máy chủ nhận gói tin từ máy khách, gói có số cổng khơng hợp lệ, chúng dễ dàng tìm lọc mà khơng cần phải kiểm tra nội dung gói Vì vậy, máy chủ giảm gói tin độc hại không cần thiết 1.3 Một số phương pháp phân tích kĩ thuật lẩn tránh 1.3.1 Phương pháp phân tích tĩnh 1.3.1.1 Kỹ thuật dò qt mẫu Mỗi mã độc biểu diễn hay nhiều mẫu, dấu hiệu (signatures), chuỗi byte, dấu hiệu đặc trưng mã độc dựa vào để xây dựng kĩ thuật phát mã độc thông qua việc sử dụng tập mẫu signatures để làm xác định mã độc Quá trình phát mã độc cách tìm kiếm thơng qua tập tin với dấu hiệu gọi scan string 1.3.1.2 Kỹ thuật phân tích heuristic tĩnh Kỹ thuật phân tích Heuristic tĩnh kĩ thuật phân tích dựa vào điểm bất thường Kĩ thuật tìm thấy mã độc biết chưa biết cách tìm kiếm mẩu mã có đặc điểm chung giống mã độc thay scanning dấu hiệu đặc biệt mã độc Kỹ thuật thực thông qua bước: - Thu thập liệu: Dữ liệu thu thập sử dụng từ kỹ thuật dựa kinh nghiệm nào, kết nhiều kinh nghiệm kết hợp phân tích sau - Phân tích: Sau thu thập đặc trưng mã độc (feature), việc phân tích liệu kĩ thuật Heuristic tĩnh xác định cách đánh trọng số cho giá trị heuristic thu thập, tính tốn kết quả, đưa ngưỡng lây nhiễm để làm phát mã độc 1.3.1.3 Kỹ thuật kiểm tra giá trị băm Là kỹ thuật phát đối tượng mã độc sở kiểm tra tính tồn vẹn chương trình Theo đó, để kiểm tra tính tồn vẹn chương trình trước hết phải tính lưu trữ checksum cho tập tin hệ thống cần tính tốn Sau giá trị checksum tính lại so sánh với giá trị checksum gốc Nếu giá trị checksum khác kết luận có thay đổi diễn Theo đó, chương trình sau xác định chắn mã độc sử dụng hàm băm MD5,SHA,CRC… tương ứng với loại mã độc để tính tốn giá trị băm 1.3.2 Phương pháp phân tích động 1.3.2.1 Kĩ thuật Behavior Blocking Behavior Blocking kỹ thuật cho phép chủ động bảo vệ chống lại mối đe dọa trước chúng tác động lên hệ thống Behavior Blocking có khả giám sát kiện ngăn chặn chương trình, khối lệnh có hành vi làm nguy hại đến hệ thống 1.3.2.2 Kỹ thuật Emulation Kỹ thuật Emulation kĩ thuật phát mã độc sử dụng mô giả lập Bằng việc mô lại hệ thống CPU, hệ thống quản lý nhớ, thị máy cấp thấp… giống máy quét thực tế Vì vậy, mã độc hoạt động máy ảo mà không ảnh hưởng đến xử lý thật CHƯƠNG - KỸ THUẬT PHÂN CỤM DỮ LIỆU 2.1 Khái niệm phân cụm liệu Phân cụm liệu kỹ thuật khai phá liệu nhằm mục đích tìm kiếm, phát cụm, mẫu liệu tiềm ẩn quan trọng tập liệu lớn để từ cung cấp thông tin, tri thức cho việc định 2.2 Mục tiêu phân cụm liệu Mục tiêu phân cụm liệu để xác định chất nội nhóm bên tập không gán nhãn 6 2.3 Ứng dụng phân cụm liệu Phân cụm liệu ứng dụng nhiều lĩnh vực thương mại, sinh học, quản lý thư viện, bảo hiểm – tài chính, quy hoạch thị, khai phá liệu… 2.4 Các yêu cầu tiêu biểu việc gom cụm liệu - Khả co giãn tập liệu - Khả xử lý nhiều kiểu thuộc tính khác - Khả khám phá cụm với hình dạng tùy ý - Tối thiểu hóa u cầu tri thức miền việc xác định thông số nhập - Khả xử lý liệu có nhiễu - Khả gom cụm tăng dần độc lập với thứ tự liệu nhập - Khả xử lý liệu đa chiều - Khả gom cụm dựa ràng buộc - Khả diễn khả dụng 2.5 Kiểu liệu độ đo phân cụm liệu 2.5.1 Kiểu liệu phân cụm liệu Cho sở liệu D chứa n đối tượng không gian k chiều; x, y, z đối tượng thuộc D: x = (x1, x2,….,xk); y = ( y1, y2,….,yk); z =( z1, z2,….,zk) Trong xi, yi, zi với i = 1,k thuộc tính tương ứng đối tượng x, y, z Khi kiểu liệu phân cụm phân loại sau: 2.5.1.1 Phân loại kiểu liệu dựa kích thước miền Thuộc tính liên tục (Continuous Attribute): Miền giá trị vơ hạn khơng đếm Thuộc tính rời rạc (DiscretteAttribute): Miền giá trị tập hữu hạn, đếm 2.5.1.2 Phân loại kiểu liệu dựa hệ đo Thuộc tính định danh (Nominal Scale): Đây dạng thuộc tính khái qt hóa thuộc tính nhị phân, miền giá trị thuộc tính rời rạc khơng phân biệt thứ tự có nhiều hai phần tử Giả sử x y hai đối tượng thuộc tính định danh xác định x ≠ y x = y Thuộc tính có thứ tự (Ordinal Scale): Là thuộc tính định danh có thêm tính thứ tự, song chúng khơng định lượng Giả sử x y hai thuộc tính thứ tự xác định x ≠ y x = y x > y x < y Thuộc tính khoảng (Interval Scal): Được sử dụng để đo giá trị theo xấp xỉ tuyến tính Thuộc tính khoảng xác định thuộc tính đứng trước đứng sau thuộc tính khác với khoảng Giả sử xi > yi nói x cách y khoảng xi – yi tương ứng với thuộc tính thứ i Thuộc tính tỉ lệ (Ratio Scale): Là thuộc tính khoảng xác định cách tương đối so với điểm mốc Trong kĩ thuật phân cụm kiểu liệu khơng gian Đây loại liệu có thuộc tính số khái qt khơng gian nhiều chiều Dữ liệu khơng gian liệu rời rạc liên tục Dữ liệu không gian liên tục: Bao chứa vùng không gian Dữ liệu khơng gian rời rạc: Có thể điểm không gian nhiều chiều cho phép ta xác định khoảng cách đối tượng liệu không gian 2.5.2 Các phép đo độ tương tự khoảng cách kiểu liệu 2.5.2.1 Khái niệm tương tự phi tương tự Khi đặc tính liệu xác định, cần phải tìm cách thích hợp để xác định “khoảng cách” đối tượng Đây hàm sử dụng để đo giống cặp đối tượng liệu, thơng thường hàm sử dụng để tính độ tương tự tính độ phi tương tự đối tượng liệu Tất độ đo trình bày xác định khơng gian metric Một metric độ đo, điều ngược lại không Một không gian metric tập có xác định “khoảng cách”giữa cặp phần tử, với tính chất thơng thường khoảng cách hình học Nghĩa là, tập X (các phần tử đối tượng bất kỳ) gồm đối tượng liệu CSDL D gọi không gian metric với cặp phần tử x, y thuộc X xác định số thực δ(x, y), gọi khoảng cách x y thỏa mãn tính chất sau: δ(x, y) > x ≠ y; δ(x, y) = x = y; δ(x, y) = δ(y, x) với x, y; δ(x, y) ≤ δ(x, z)+ δ(z, y) Trong đó, hàm δ(x, y) gọi metric không gian Các phần tử X gọi điểm khơng gian 2.5.2.2 Thuộc tính khoảng Các thuật toán sử dụng để phân cụm cần có phép đo khoảng cách độ tương tự hai đối tượng liệu để thực phân cụm.Các phép đo có nhiều mức độ khác tùy theo trường hợp xác định metric sau: - Khoảng cách Minkowski, q : - Khoảng cách Euclidean khoảng cách Minskowski với q=2: - Khoảng cách Manhattan khoảng cách trung bình hai đối tượng trường hợp q = 1: - Khoảng cách Chebychev khoảng cách Minskowski trường hợp q ∞: 2.5.2.3 Thuộc tính nhị phân - a: số thuộc tính có giá trị hai đối tượng x, y - b: số thuộc tính có giá trị x giá trị y - c: số thuộc tính có giá trị x giá trị y - d: số thuộc tính có giá trị hai đối tượng x, y - s: số thuộc tính hai đối tượng x, y Các phép đo độ tương tự với liệu thuộc tính nhị phân định nghĩa sau: Hệ số so trùng đơn giản (đối xứng): d(x, y )= Trong đó, hai đối tượng x, y có vai trò Hệ số so trùng Jaccard (bất đối xứng): d(x, y) = Công thức bỏ qua số đối sánh 0-0, sử dụng trường hợp mà trọng số thuộc tính có giá trị đối tượng liệu cao nhiều so với thuộc tính có giá trị 2.5.2.4 Thuộc tính định danh Độ đo phi tương tự hai đối tượng x, y định nghĩa: d(x,y) = Trong đó, m số thuộc tính đối sánh tương ứng trùng nhau, p tổng số thuộc tính 2.5.2.5 Thuộc tính có thứ tự Giả sử i thuộc tính thứ tự có Mi giá trị (Mi kích thước miền giá trị): Các trạng thái Mi thứ tự nhau: [1 Mi], ta thay giá trị thuộc tính giá trị loại ri với ri ∈ {1 Mi} Mỗi thuộc tính thứ tự có miền giá trị khác nhau, ta chuyển đổi chúng miền giá trị [0,1] cách thực phép biến đổi sau cho thuộc tính : Sử dụng cơng thức tính độ phi tương tự thuộc tính khoảng giá trị , độ phi tương tự thuộc tính có thứ tự 2.5.2.6 Thuộc tính tỉ lệ Có nhiều cách khác để tính độ tương tự thuộc tính tỉ lệ Trong thực tế, tính độ độ tương tự thuộc tính liệu, người ta xem xét phần thuộc tính đặc trưng kiểu liệu đánh trọng số cho tất thuộc tính liệu Với thuộc tính liệu gán trọng số tương ứng wi (1 i k ), độ tương đồng liệu xác định sau : 10 2.6 Một số phương pháp phân cụm liệu điển hình 2.6.1 Phân cụm phân hoạch Kỹ thuật phân hoạch tập hợp liệu có n phần tử cho trước thành k nhóm liệu (k