TRƯỜNG ĐẠI HỌC LẠC HỒNG
BÁO CÁO LUẬN VĂN THẠC SỸ
HỆ THỐNG TƯỜNG LỬA THÔNG MINH
CHO CÁC ỨNG DỤNG WEB - IWAF
Trình bày: Huỳnh Hồng Tân
NỘI DUNG TRÌNH BÀY
GIỚI THIỆU VỀ TƯỜNG LỬA ỨNG DỤNG WEB
NHẬN DẠNG BẤT THƯỜNG ĐỐI VỚI ỨNG DỤNG WEB
ỨNG DỤNG TỔ HỢP MARKOV ẨN ĐỂ NHẬN DẠNG
BẤT THƯỜNG TRONG IWAF
MÔ HÌNH, ĐÁNH GIÁ HOẠT ĐỘNG IWAF
DEMO HOẠT ĐỘNG CỦA IWAF
Trình bày: Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Network
Firewall
IP Firewall
Web
Server
Web
Client
Application
IDS/IPS
WAF
Unfiltered
HTTP Traffic
Ports 80 & 443
open to both
Good and
Malicious HTTP
Traffic
Huỳnh Hoàng Tân
Application
Database
Server
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Huỳnh Hoàng Tân
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Kỹ thuật nhận dạng tấn
công ứng dụng web
Kỹ thuật nhận
dạng tĩnh
(Log-base detection)
Kỹ thuật nhận dạng
tấn công dạng động
(Real-time detection)
Nhận dạng tấn công trên
mạng (Network-based)
Huỳnh Hồng Tân
Nhận dạng tấn cơng
trên máy chủ
(Webserver-based)
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Các chức năng
chính
Mơ hình an toàn
Negative và Positive
(backlist và whitelist)
Huỳnh Hoàng Tân
Phương pháp bảo vệ
dạng Rule-based và
Anomaly-based
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
WAF có thể được xem là một hệ thống phát
hiện/ngăn chặn xâm nhập được thiết kế đặc biệt để
bảo vệ các ứng dụng web. WAF là một thiết bị
hoặc máy chủ ứng dụng giam sát trao đổi thông tin
của giao thức http/https giữa một trình duyệt máy
trạm và máy chủ web ở tầng ứng dụng. WAF sử
dụng phương pháp nhận dạng động để phát hiện
tấn cơng.
Huỳnh Hồng Tân
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Chức
năng cơ
bản
Chức năng kiểm tra kết nối
Chức năng xử lý
Chức năng ghi nhật ký
Chức
năng
nâng cao
Huỳnh Hoàng Tân
Kiểm tra hợp lệ kết nối HTTP
Chức năng quản lý
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Xác định sai trong chức năng kiểm tra của WAF
False positives là trường hợp một giao dịch HTTP hợp
pháp được xem là độc hại. Khi lỗi False positives xảy ra,
giao dịch HTTP hợp pháp của người sử dụng có thể bị WAF
ngăn chặn.
False negatives là trường hợp một giao dịch HTTP độc
hại được coi là hợp pháp. Khi lỗi False negatives xảy ra,
một cuộc tấn công khai thác lỗ hổng trong các ứng dụng
web có thể đi qua WAF.
Huỳnh Hồng Tân
GIỚI THIỆU VỀ TƯỜNG
LỬA ỨNG DỤNG WEB
Chức Năng Kiểm Tra Kết Nối
Phân tích dữ liệu
truy vấn
Kiểm tra tỉ lệ truy cập và
dòng lưu chuyển dữ liệu
của ứng dụng
Kiểm tra việc
upload file
Phương pháp nhận dạng bất
thường Rule-based
Truy vấn đến
ứng dụng web
Phân tích dữ liệu
xác thực
Phân tích trạng
thái phiên làm việc
Nhận dạng tấn công trên
một số kỹ thuật tấn công
mạng thông dụng
Nhật ký
hệ thống
Phương pháp nhận dạng bất
thường Anomaly-based
Mơ hình
Markov ẩn
Các mơ hình nhận
dạng khác
Máy học - Machine learning
Anomaly-number
Phản hồi lỗi, khóa
kết nối, nội dung
đã bị thay đổi
Error Processing
(Xử lý lỗi)
Chức Năng Xử Lý
Threshold
Blocking
(Khóa kết nối)
Rewriting
(thay đổi nội dung )
Nhật ký
hệ thống
Huỳnh Hồng Tân
Ứng dụng web phản hồi thơng
tin với các truy vấn hợp pháp
Anomaly-number
Thông tin phản hồi sau
khi được kiểm tra
Phân tích dữ liệu
phản hồi
< Threshold
Passing
(Cho phép qua)
Máy chủ ứng dụng Web
> Threshold
truy vấn bất thường
Thông báo
Cập nhật Rules
Báo cáo
Quản trị
Chức Năng
Quản Lý
NHẬN DẠNG SỰ BẤT
THƯỜNG VỚI WEB APP
Nhận dạng sự bất thường theo phương
pháp phân tích dữ liệu đầu vào
Một yêu cầu đầu vào
Bất
Thường
Dãy yêu cầu đầu vào
Nhận dạng sự bất thường theo phương
pháp phân tích dữ liệu đầu ra
Cấu trúc header
kích thước trang web
thay đổi
Nhận dạng sự bất thường theo hành vi
duyệt web của người dùng
Huỳnh Hoàng Tân
ỨNG DỤNG TỔ HỢP MARKOV
TRONG NHẬN DẠNG BẤT THƯỜNG
Khai thác
dữ liệu
Phân tích các
dữ liệu đầu
vào trích xuất
dữ liệu cần
thiết để
chuyển đến
module phân
tích
Huỳnh Hồng Tân
Phân
Tích
Phân tích
chuỗi các
thuộc tính, giá
trị các thuộc
tính
Đánh
Giá
Nếu xác suất của
câu truy vấn nhỏ
hơn giá trị
ngưỡng thì được
xem là truy vấn
bất thường,
ngược lại truy
vấn được xem là
hợp pháp
ỨNG DỤNG TỔ HỢP MARKOV
TRONG NHẬN DẠNG BẤT THƯỜNG
Câu truy vấn dạng
/wp-login.php?action=logout&_wpnonce=bfgg
Danh sách thuộc tính
1. action
2. _wpnonce
Module 1
Khai thác dữ liệu
Module 2
Phân tích
wp-login.php
AttrSq->0.499
AttrValue->0.0012
...................................
Bảng danh sách
ngưỡng xác suất cho
các ứng dụng web
Tổ hợp HMM
Chuỗi các thuộc tính
{action, wpnonce}
PatrsMax
Patrs
Tổ hợp HMM
giá trị thuộc tính
action
Patr1Max
Tổ hợp HMM
giá trị thuộc tính
wpnonce
Patr2max
Pmin
Xác suất
đại diện
cho truy
vấn
Patr_min
Tổ hợp HMM
giá trị thuộc tính
...............
PatrNmax
Pattrs
Patr_min
Module 3
Đánh giá
Truy vấn bình thường/bất thường
Huỳnh Hồng Tân
Tập giá trị thuộc tính
1. (action,logout)
2. (_wpnonce, bfgg)
ỨNG DỤNG TỔ HỢP MARKOV
TRONG NHẬN DẠNG BẤT THƯỜNG
Huấn luyện một HMM từ nhiều
chuỗi dữ liệu quan sát
Mơ hình
huấn luyện
HMM
Huỳnh Hoàng Tân
Huấn luyện nhiều HMM từ nhiều
chuỗi dữ liệu quan sát. Trong đó mỗi
HMM được huấn luyện tương ứng
với 01 chuỗi dữ liệu quan sát.
Huấn luyện nhiều HMM từ nhiều
chuỗi dữ liệu quan sát. Trong đó các
HMM được huấn luyện tương ứng
với nhiều chuỗi dữ liệu quan sát
ỨNG DỤNG TỔ HỢP MARKOV
TRONG NHẬN DẠNG BẤT THƯỜNG
S1
MH1
HMM
S2
Sn
MH3
MH2
HMM1
HMM2
S1
S2
HMM1
HMM2
Sn
HMMn
Huỳnh Hoàng Tân
S1
S2
Sn
HMMn
MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
Phương pháp huấn luyện HMM
Phương pháp 1: Sử dụng thuật toán huấn
luyện từ nhiều chuỗi quan sát bằng cách sử
dụng k chuỗi quan sát tại mỗi thủ tục ước
lượng lại của Baum-Welch để lập đi lập lại
việc cập nhật các tham số của một HMM
Phương pháp 2: Sử dụng thuật toán huấn
luyện cho một tổ hợp các HMM Sử dụng
một loạt các kỹ thuật tính trung bình đơn
giản các tham số được ước lượng độc lập để
tìm ra mơ hình hiệu quả với trọng số Wk = 1
Huỳnh Hoàng Tân
MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
Phương án huấn luyện HMM
PA1
Phương
pháp 1
Phương
pháp 2
S1
HMM
S2
Sn
S1
HMMs
S2
Sn
MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
Phương án huấn luyện HMM
PA2
Phương
pháp 1
HMM1
HMM2
Phương
pháp 2
S1
HMMs.1
S2
HMMs.2
Sn
HMMn
S1
S2
Sn
HMMs.n
MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
Phương án thử nghiệm HMM
MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
So sánh chiều dài chuỗi huấn luyện sử dụng Effective và Standard
MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
So sánh chiều dài chuỗi huấn luyện sử dụng Effective và Standard
MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
So sánh các ngưỡng xác suất của các ứng dụng web khi sử
dụng số lượng tổ hợp khác nhau phương pháp huấn luyện 1
MƠ HÌNH, ĐÁNH GIÁ
HOẠT ĐỘNG IWAF
So sánh các ngưỡng xác suất của các ứng dụng web khi sử
dụng số lượng tổ hợp khác nhau phương pháp huấn luyện 1