Nghiên cứu xây dựng mô hình phát hiện tấn công, đột nhập mạng dựa trên đối sánh chuỗi
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.16 MB, 31 trang )
LOGO
Nghiên cứu xây dựng mô hình phát hiện tấn công, đột
nhập mạng dựa trên đối sánh chuỗi
Người hướng dẫn: Tiến sĩ Hoàng Xuân Dậu
Sinh viên thực hiện: Vũ Duy Khánh
Lớp: D09CNTT1 - HTTT3
Nội dung chính
trong phát hiện đột nhập mạng
Tổng quan về phát hiện đột nhập mạng
1
Các giải thuật đối sánh chuỗi và ứng dụng
2
Xây dựng mô hình phát hiện đột nhập mạng
3
dựa trên đối sánh chuỗi
Kết luận
4
Nội dung chính
trong phát hiện đột nhập mạng
Tổng quan về phát hiện đột nhập mạng
1
Các giải thuật đối sánh chuỗi và ứng dụng
2
Xây dựng mô hình phát hiện đột nhập mạng
3
dựa trên đối sánh chuỗi
Kết luận
4
Các yêu cầu về đảm bảo an toàn cho hệ thống và mạng
T
í
n
h
b
í
m
ậ
t
T
í
n
h
t
o
à
n
v
ẹ
n
d
ữ
l
i
ệ
u
T
í
n
h
c
h
ố
n
g
c
h
ố
i
b
ỏ
Tính sẵn sàng
An toàn
K
i
ể
m
s
o
á
t
t
r
u
y
c
ậ
p
Các dạng tấn công và đột nhập mạng thường gặp
Tấn
công
gián
đoạn
Tấn công bằng
phần mềm phá hoại
Tấn công vào
tài nguyên mạng
Tấn công, đột nhập mạng
Tấn công, đột nhập mạng
Phần mềm
phá hoại
phụ thuộc
vào chương
trình chủ
Phần mềm
phá hoại
độc lập
với chương
trình chủ
Tấn
công
nghe
trộm
Tấn
công
thay
đổi
Tấn
công
giả
mạo
Các giải pháp bảo vệ, phòng chống tấn công, đột nhập
Content
-
Click to add Text
-
Click to add Text
-
Click to add Text
Phát hiện tấn công, đột
nhập
Điều khiển truy
cập
-
Tường lửa
-
Xác thực
-
Cấp quyền
Mã hóa dữ liệu
Biến thông tin từ dạng bình thường sang
dạng không thể hiểu được nếu không có
phương tiện giải mã.
Bảo vệ
vật lý
Ngăn chặn các truy cập vật lý trái phép vào
hệ thống.
Phát hiện tấn công, đột nhập mạng
Phân loại biện pháp phát hiện đột nhập
Phân loại dựa trên nguồn dữ liệu
Host Based IDS - HIDS Network Based IDS - NIDS
Phân loại biện pháp phát hiện đột nhập
Phân loại dựa trên kỹ thuật phát hiện
Attack Knowledge
Base
Attack Knowledge
Base
Audit Data
Audit Data
Match?
Match?
Not Attack
Not Attack
Attack
Attack
System Profile
System Profile
Audit Data
Audit Data
Match?
Match?
Not Attack
Not Attack
Attack
Attack
No
Yes
No
Yes
Dựa trên dấu hiệu
(Signature-Based)
Dựa trên bất thường
(Anomaly-Based)
Nội dung chính
trong phát hiện đột nhập mạng
Tổng quan về phát hiện đột nhập mạng
1
Các giải thuật đối sánh chuỗi và ứng dụng
2
Xây dựng mô hình phát hiện đột nhập mạng
3
dựa trên đối sánh chuỗi
Kết luận
4
Khái quát về đối sánh chuỗi
T[0 n-1] là chuỗi văn bản bao gồm n ký tự
P[0 m-1] là chuỗi mẫu bao gồm m ký tự
Σ* là tập hữu hạn các ký tự trong bảng chữ cái
Tìm sự xuất hiện của P trong T được hiểu là tìm số nguyên s
(0 ≤ s ≤ n-m) thỏa mãn:
T[s s+m-1] = P[0 m-1] hay
T[s+i] = P[i] với i nằm trong khoảng [0 m-1]
Ví dụ:
=> P xuất hiện trong T tại các vị trí s=0, s=2 và s=8
Phân loại kỹ thuật đối sánh chuỗi
Dựa theo số
lượng mẫu
Đối sánh
theo thứ
tự từ trái
sang phải
Đối sánh
theo thứ
tự từ phải
sang trái
Đối
sánh
chuỗi
đa
mẫu
Đối
sánh
chuỗi
đơn
mẫu
Đối
sánh
chuỗi
chính
xác
Đối
sánh
chuỗi
gần
đúng
Dựa theo thứ tự
đối sánh
Dựa theo độ
chính xác
Phân loại kỹ thuật đối sánh chuỗi
Các giải thuật đối sánh chuỗi đơn mẫu
Lần lượt duyệt tất cả các vị trí có thể của chuỗi Pattern trong chuỗi Text để
tìm ra vị trí so khớp thành công.
Boyer-Moore
Sử dụng hai luật dịch chuyển là Good-Suffix Shift và Bad-Character
Shift để dịch chuyển cửa sổ so sánh khi so khớp thất bại.
KMP
Horspool
Sử dụng luật dịch chuyển Bad-Character Shift cho phần tử cuối cùng
trong cửa sổ so sánh để dịch chuyển khi so khớp thất bại.
Naïve
Sử dụng bảng so khớp một phần để tính toán giá trị dịch chuyển cửa sổ
so sánh đi một khoảng nhất định khi so khớp thất bại.
Thuật toán Boyer-Moore-Horspool
TH1:
T[s+m-1]
xuất hiện
trong P
TH2:
T[s+m-1]
không xuất
hiện trong P
Thuật toán Boyer-Moore-Horspool
Tiền xử lý dữ liệu:
Ví dụ:
T[24]:
P[8]:
Bảng Bad-Character Shift:
if c occurs in P[0 m-2],
bmBc[c] = min {i : 1 ≤ i ≤ m-1 and P[m-1-i]=c}
otherwise, //c not occurs in P
bmBc[c]=m
Tổng hợp đặc điểm các thuật toán đối sánh chuỗi cơ bản
Lựa chọn thuật toán đối sánh chuỗi hiệu năng cao
Boyer-Moore
Boyer-Moore-
Horspool
Trong phát hiện đột nhập mạng, thuật toán Boyer-Moore-Horspool có
nhiều ưu thế hơn thuật toán Boyer-Moore!
Sử dụng hai luật dịch chuyển
Cho phép chọn ra
mức dịch chuyển dài nhất
Tốn thời gian và không gian
lưu trữ cho giai đoạn tiền xử lý
Sử dụng một luật dịch chuyển
Khoảng dịch chuyển lớn
Tiết kiệm tài
nguyên hệ thống
Phát huy hiệu quả trong
một số trường hợp đặc biệt
Có hiệu năng cao
trong đa số
trường hợp
trong phát hiện đột nhập mạng
Tổng quan về phát hiện đột nhập mạng
1
Các giải thuật đối sánh chuỗi và ứng dụng
2
Xây dựng mô hình phát hiện đột nhập mạng
3
dựa trên đối sánh chuỗi
Kết luận
4
Kiến trúc chung của hệ thống phát hiện đột nhập
Information Collection Policy
Information Collection Policy
System Information
System Information
Detection Policy
Detection Policy
Response Policy
Response Policy
Event Generator
Event Generator
Response Module
Response Module
Analyzer (Sensor)
Analyzer (Sensor)
Protected System
Set of Event
(Syslogs,
System Status,
Network
Packets)
Information Collection Detection Response
Mô hình phát hiện đột nhập mạng dựa trên đối sánh chuỗi
Cấu trúc hệ NIDS dựa trên đối sánh chuỗi
Các giải pháp triển khai NIDS trong
thực tế
Inline Mode Passive Mode
Tổng quan về Snort
Các thành phần của Snort
Tích hợp giải thuật đối sánh chuỗi tiên tiến vào Snort
Snort 2.9.4.6
BMH
Boyer-Moore-Horspool
Boyer-Moore
mstring.c
sp_pattern_
match.c
int mSearch
(const char *, int, const char
*, int, int *, int *);
int mSearchCI
(const char *, int, const char
*, int, int *, int *);
BM
int mhSearch
(const char *, int,
const char *, int, int *);
int mhSearchCI
(const char *, int,
const char *, int, int *);
Cài đặt và thử nghiệm
Ngôn ngữ lập trình C++
Thử nghiệm
Tập dữ liệu thử nghiệm DEFCON 10
Hệ điều hành Ubuntu Server 12.04.3 LTS
32-bit
Thử nghiệm hiệu năng thuật toán đối sánh chuỗi
Lọc các gói tin TCP
Trích ra phần Payload
trong mỗi gói tin TCP
Ghi nối tiếp các phần
payload vào một bộ đệm
TCP Payload Buffer
