Tải bản đầy đủ (.pdf) (43 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Hệ thống tường lửa thông minh cho các ứng dụng Web - Iwaf.

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.41 MB, 43 trang )

TRƯỜNG ĐẠI HỌC LẠC HỒNG

BÁO CÁO LUẬN VĂN THẠC SỸ
HỆ THỐNG TƯỜNG LỬA THÔNG MINH
CHO CÁC ỨNG DỤNG WEB - IWAF
Trình bày: Huỳnh Hồng Tân


NỘI DUNG TRÌNH BÀY
GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB

NHẬN DẠNG BẤT THƯỜNG ĐỐI VỚI ỨNG DỤNG WEB

ỨNG DỤNG TỔ HỢP MARKOV ẨN ĐỂ NHẬN DẠNG
BẤT THƯỜNG TRONG IWAF

MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF

DEMO HOẠT ĐỘNG CỦA IWAF

Trình bày: Huỳnh Hoàng Tân


GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB

Huỳnh Hoàng Tân


GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB



Huỳnh Hoàng Tân


GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Network
Firewall

IP Firewall

Web
Server

Web
Client

Application

IDS/IPS
WAF

Unfiltered
HTTP Traffic

Ports 80 & 443
open to both
Good and
Malicious HTTP
Traffic


Huỳnh Hoàng Tân

Application

Database
Server


GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB

Huỳnh Hoàng Tân


GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Kỹ thuật nhận dạng tấn
công ứng dụng web

Kỹ thuật nhận
dạng tĩnh
(Log-base detection)

Kỹ thuật nhận dạng
tấn công dạng động
(Real-time detection)

Nhận dạng tấn công trên
mạng (Network-based)


Huỳnh Hồng Tân

Nhận dạng tấn cơng
trên máy chủ
(Webserver-based)


GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Các chức năng
chính

Mơ hình an toàn
Negative và Positive
(backlist và whitelist)

Huỳnh Hoàng Tân

Phương pháp bảo vệ
dạng Rule-based và
Anomaly-based


GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB

WAF có thể được xem là một hệ thống phát
hiện/ngăn chặn xâm nhập được thiết kế đặc biệt để
bảo vệ các ứng dụng web. WAF là một thiết bị

hoặc máy chủ ứng dụng giam sát trao đổi thông tin
của giao thức http/https giữa một trình duyệt máy
trạm và máy chủ web ở tầng ứng dụng. WAF sử
dụng phương pháp nhận dạng động để phát hiện
tấn cơng.
Huỳnh Hồng Tân


GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Chức
năng cơ
bản

Chức năng kiểm tra kết nối

Chức năng xử lý
Chức năng ghi nhật ký

Chức
năng
nâng cao

Huỳnh Hoàng Tân

Kiểm tra hợp lệ kết nối HTTP
Chức năng quản lý


GIỚI THIỆU VỀ TƯỜNG

LỬA ỨNG DỤNG WEB
Xác định sai trong chức năng kiểm tra của WAF
False positives là trường hợp một giao dịch HTTP hợp
pháp được xem là độc hại. Khi lỗi False positives xảy ra,
giao dịch HTTP hợp pháp của người sử dụng có thể bị WAF
ngăn chặn.
False negatives là trường hợp một giao dịch HTTP độc
hại được coi là hợp pháp. Khi lỗi False negatives xảy ra,
một cuộc tấn công khai thác lỗ hổng trong các ứng dụng
web có thể đi qua WAF.

Huỳnh Hồng Tân


GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Chức Năng Kiểm Tra Kết Nối

Phân tích dữ liệu
truy vấn

Kiểm tra tỉ lệ truy cập và
dòng lưu chuyển dữ liệu
của ứng dụng

Kiểm tra việc
upload file

Phương pháp nhận dạng bất
thường Rule-based

Truy vấn đến
ứng dụng web

Phân tích dữ liệu
xác thực

Phân tích trạng
thái phiên làm việc

Nhận dạng tấn công trên
một số kỹ thuật tấn công
mạng thông dụng

Nhật ký
hệ thống

Phương pháp nhận dạng bất
thường Anomaly-based
Mơ hình
Markov ẩn

Các mơ hình nhận
dạng khác

Máy học - Machine learning
Anomaly-number

Phản hồi lỗi, khóa
kết nối, nội dung
đã bị thay đổi


Error Processing
(Xử lý lỗi)

Chức Năng Xử Lý

Threshold

Blocking
(Khóa kết nối)
Rewriting
(thay đổi nội dung )

Nhật ký
hệ thống

Huỳnh Hồng Tân

Ứng dụng web phản hồi thơng
tin với các truy vấn hợp pháp

Anomaly-number

Thông tin phản hồi sau
khi được kiểm tra

Phân tích dữ liệu
phản hồi

< Threshold


Passing
(Cho phép qua)

Máy chủ ứng dụng Web
> Threshold
truy vấn bất thường

Thông báo

Cập nhật Rules

Báo cáo

Quản trị

Chức Năng
Quản Lý


NHẬN DẠNG SỰ BẤT
THƯỜNG VỚI WEB APP
Nhận dạng sự bất thường theo phương
pháp phân tích dữ liệu đầu vào

Một yêu cầu đầu vào
Bất
Thường

Dãy yêu cầu đầu vào


Nhận dạng sự bất thường theo phương
pháp phân tích dữ liệu đầu ra

Cấu trúc header

kích thước trang web
thay đổi

Nhận dạng sự bất thường theo hành vi
duyệt web của người dùng

Huỳnh Hoàng Tân


ỨNG DỤNG TỔ HỢP MARKOV
TRONG NHẬN DẠNG BẤT THƯỜNG

Khai thác
dữ liệu

Phân tích các
dữ liệu đầu
vào trích xuất
dữ liệu cần
thiết để
chuyển đến
module phân
tích


Huỳnh Hồng Tân

Phân
Tích

Phân tích
chuỗi các
thuộc tính, giá
trị các thuộc
tính

Đánh
Giá

Nếu xác suất của
câu truy vấn nhỏ
hơn giá trị
ngưỡng thì được
xem là truy vấn
bất thường,
ngược lại truy
vấn được xem là
hợp pháp


ỨNG DỤNG TỔ HỢP MARKOV
TRONG NHẬN DẠNG BẤT THƯỜNG
Câu truy vấn dạng
/wp-login.php?action=logout&_wpnonce=bfgg


Danh sách thuộc tính
1. action
2. _wpnonce

Module 1
Khai thác dữ liệu

Module 2
Phân tích

wp-login.php
AttrSq->0.499
AttrValue->0.0012
...................................
Bảng danh sách
ngưỡng xác suất cho
các ứng dụng web

Tổ hợp HMM
Chuỗi các thuộc tính
{action, wpnonce}

PatrsMax

Patrs

Tổ hợp HMM
giá trị thuộc tính
action


Patr1Max

Tổ hợp HMM
giá trị thuộc tính
wpnonce

Patr2max

Pmin
Xác suất
đại diện
cho truy
vấn
Patr_min

Tổ hợp HMM
giá trị thuộc tính
...............

PatrNmax

Pattrs
Patr_min

Module 3
Đánh giá

Truy vấn bình thường/bất thường

Huỳnh Hồng Tân


Tập giá trị thuộc tính
1. (action,logout)
2. (_wpnonce, bfgg)


ỨNG DỤNG TỔ HỢP MARKOV
TRONG NHẬN DẠNG BẤT THƯỜNG
Huấn luyện một HMM từ nhiều
chuỗi dữ liệu quan sát

Mơ hình
huấn luyện
HMM

Huỳnh Hoàng Tân

Huấn luyện nhiều HMM từ nhiều
chuỗi dữ liệu quan sát. Trong đó mỗi
HMM được huấn luyện tương ứng
với 01 chuỗi dữ liệu quan sát.
Huấn luyện nhiều HMM từ nhiều
chuỗi dữ liệu quan sát. Trong đó các
HMM được huấn luyện tương ứng
với nhiều chuỗi dữ liệu quan sát


ỨNG DỤNG TỔ HỢP MARKOV
TRONG NHẬN DẠNG BẤT THƯỜNG
S1

MH1

HMM

S2
Sn

MH3

MH2
HMM1
HMM2

S1
S2

HMM1
HMM2

Sn
HMMn

Huỳnh Hoàng Tân

S1
S2
Sn

HMMn



MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
Phương pháp huấn luyện HMM
Phương pháp 1: Sử dụng thuật toán huấn
luyện từ nhiều chuỗi quan sát bằng cách sử
dụng k chuỗi quan sát tại mỗi thủ tục ước
lượng lại của Baum-Welch để lập đi lập lại
việc cập nhật các tham số của một HMM
Phương pháp 2: Sử dụng thuật toán huấn
luyện cho một tổ hợp các HMM Sử dụng
một loạt các kỹ thuật tính trung bình đơn
giản các tham số được ước lượng độc lập để
tìm ra mơ hình hiệu quả với trọng số Wk = 1
Huỳnh Hoàng Tân


MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
Phương án huấn luyện HMM
PA1

Phương
pháp 1

Phương
pháp 2

S1


HMM

S2
Sn

S1

HMMs

S2
Sn


MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
Phương án huấn luyện HMM
PA2

Phương
pháp 1

HMM1

HMM2

Phương
pháp 2

S1


HMMs.1

S2

HMMs.2

Sn
HMMn

S1
S2
Sn

HMMs.n


MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
Phương án thử nghiệm HMM


MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
So sánh chiều dài chuỗi huấn luyện sử dụng Effective và Standard


MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
So sánh chiều dài chuỗi huấn luyện sử dụng Effective và Standard



MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
So sánh các ngưỡng xác suất của các ứng dụng web khi sử
dụng số lượng tổ hợp khác nhau phương pháp huấn luyện 1


MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
So sánh các ngưỡng xác suất của các ứng dụng web khi sử
dụng số lượng tổ hợp khác nhau phương pháp huấn luyện 1


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×