Professional Documents
Culture Documents
Nguyễn Ngọc Xuân Trinh - 2008110243 - K14DCATTT
Nguyễn Ngọc Xuân Trinh - 2008110243 - K14DCATTT
MSSV: 2008110243
1
I. IDS viết từng dòng lệnh? Cải tiến
Ngày nay, các cuộc tấn công rất đa dạng, các doanh nghiệp thường
sử dụng hệ thống phát hiện xâm nhập (IDS) để phát hiện các cuộc tấn
công. Có hai cách tiếp cận để thực hiện IDS: một cách phát hiện các
cuộc tấn công dựa trên chữ ký và một cách dựa trên hành vi.
Hệ thống phát hiện xâm nhập (IDS) là một thiết bị hoặc ứng dụng
phần mềm giám sát các hoạt động của mạng hoặc hệ thống đối với các
hoạt động gây hại hoặc vi phạm chính sách và đưa ra báo cáo cho các
trạm quản lý. Hai cách tiếp cận chính của IDS là: I) IDS dựa trên dấu
hiệu vi phạm: phát hiện các cuộc tấn công thông qua các đặc điểm dấu
hiệu vi phạm có sẵn. Những đặc điểm này được lưu trữ trong tập cơ sở
dữ liệu của IDS. II) IDS dựa trên hành vi: phát hiện thông qua các hành
vi bất thường. IDS phát hiện một hành vi là bất thường bởi vì đã được
học trong các dữ liệu mẫu trước đó. Những hành vi bình thường này
được mô tả thông qua hai vectơ: Activity vector: mô tả hoạt động của
một luồng trong thời gian thực. Status vector: mô tả trạng thái của hệ
thống.
Bản đồ tự tổ chức (SOM) là một loại mạng nơron nhân tạo
(artificial neural network - ANN) được tạo ra bằng cách sử dụng học
không giám sát (unsupervised learning) để tạo ra một bản đồ hai
chiều của không gian đầu vào của các mẫu đào tạo. SOM khác với
các mạng nơron nhân tạo khác nghĩa là được sử dụng hàm lân cận để
bảo toàn các thuộc tính ban đầu của không gian đầu vào. Giống như
hầu hết các mạng nơron khác, SOM hoạt động theo hai chế độ: I)
Đào tạo: xây dựng bản đồ bằng các dữ liệu đầu vào (một quá trình
cạnh tranh, còn gọi là lượng tử hóa vectơ), II) Ánh xạ: tự động phân
loại một vectơ đầu vào mới. Mục tiêu của việc học trong SOM là làm
cho các phần khác nhau của mạng phản ứng tương tự với các mẫu
đầu vào nhất định.
ĐỀ XUẤT VỀ IDS
Khi phát triển IDS dựa trên hành vi, chúng ta phải đối mặt với
một số khó khăn sai âm và sai dương. Trong hệ thống máy tính, Sai
dương: báo động khi không có cuộc tấn công. Vấn đề này không
nghiêm trọng, nhưng hệ thống IDS không nên đưa ra báo động trong
2
khi không có cuộc tấn công nào. IDS dựa trên hành vi hoàn toàn
không thể tránh được vấn đề này. Nhưng có thể học hỏi thêm kiến
thức để loại bỏ dần sai dương giả. Âm tính giả: không có báo động
khi bị tấn công. Vấn đề này rất nghiêm trọng và nguy hiểm. IDS trở
nên vô dụng khi nó không đưa ra bất kỳ báo động nào khi bị tấn
công. Những lỗi này có liên quan đến việc có quá nhiều kiến thức về
sự hiểu biết mà IDS được học trong quá trình vận hành bình thường
của hệ thống và mức độ lớn hay nhỏ để xem xét hai trạng thái vận
hành là giống nhau hoặc khác nhau.
True positive Sự tích cực thực sự là một trạng thái tốt khi trẻ
phát hiện ra cuộc tấn công nó trẻ tìm cách trú ẩn người lạ
trước.
True Negative Tiêu cực thực sự là một trạng thái bình thường
động nào đến trẻ, nhưng nó chỉ xảy ra một lần. Sau đó trẻ sẽ
được học các hoạt động mới của người lạ.
False negative Âm tính giả được coi là trạng thái bình thường.
Lúc đầu, hệ thống IDS không có kiến thức về trạng thái bình thường
và trạng thái bất thường.
Giai đoạn 1. Tạo tế bào nơ ron ngẫu nhiên
3
randinit. Mỗi vectơ sẽ được gọi là nơ ron để phân biệt chúng với
vectơ huấn luyện. Mỗi nơ ron có 1 trung tâm
k-dimension được tạo ngẫu nhiên.
Giai đoạn 2. Thu thập trạng thái Vector
Khi một sự kiện bình thường xảy ra, sự kiện này hoạt động theo
một số hoạt động và làm cho hệ thống mạng tạo ra các trạng thái. Các
hoạt động này được mô hình hóa như Vector hoạt động Activity
Vector, vector hoạt động này có kích thước x-dimension (Đại diện cho
x thông tin). Các trạng thái hệ thống này được mô hình hóa như vector
trạng thái Status Vector, có kích thước k-dimension (Đại diện cho k
thông tin).
Giai đoạn 3. Huấn luyện
Sau quá trình training dựa trên phương pháp SOM, vị trí của các nơron
trong mảng S sẽ được thiết lập để có các tính năng tốt nhất, gần nhất
với sự phân bố của các Vector training.
Hoạt động bình thường của hệ thống sẽ được đại diện bởi một cụm các
vectơ huấn luyện và mỗi cụm vectơ huấn luyện sẽ được đặc trưng bởi
một nơron. Mỗi tế bào thần kinh có trung tâm đại diện cho chiều k-
dimension thông tin và bán kính biểu thị bằng lỗi lượng tử hóa (Lỗi
lượng tử hóa được tính bằng lệnh lỗi).
Giai đoạn 4. IDS
Trong giai đoạn phát hiện, IDS sẽ xác định trạng thái bất thường của hệ
thống bằng cách so sánh với các tế bào nơron hiện tại trong bản đồ
SOM. Nếu khoảng cách đến bất kỳ tế bào nơron nào nhỏ hơn ngưỡng,
thì hệ thống IDS sẽ xử lý một cách ngẫu nhiên và không có cảnh báo
nào được nêu ra. Ngược lại, nếu khoảng cách đến mỗi nơron trong
mảng S lớn hơn ngưỡng, được gọi là bán kính IDS, thì hệ thống IDS sẽ
coi đó là trạng thái bất thường và tạo ra báo động. Bán kính IDS đóng
vai trò là độ nhạy của từng nơron trong hệ thống IDS. Bán kính nhỏ
hơn khiến hệ thống IDS trở nên dễ bị ảnh hưởng hơn, đây được gọi là
IDS dương tính giả vì IDS sẽ tạo ra báo động sai. Ngược lại, bán kính
lớn hơn làm cho IDS ít tạo ra cảnh báo, điều này sẽ gây ra âm tính giả.
4
Hình 2: Tiến trình hoạt động của SOM
Trong quá trình thực hiện, hệ thống IDS sẽ được cập nhật liên tục
với các dữ liệu đầu vào mới và thực hiện lại giai đoạn 3 (giai đoạn
training), sẽ tạo ra một bản đồ mới. SOM cần kết hợp và so sánh bản
đồ cũ và bản đồ mới thành một. Sự kết hợp này gây ra một số tế bào
nơron có thể được chồng chéo với nhau. Vì vậy chúng ta chèn một
bước giữa sau giai đoạn đào tạo, bước này có trách nhiệm thu hẹp từng
nơron. Quá trình thu hẹp phải đảm bảo chất lượng của IDS. Chất lượng
này của quá trình này thể hiện thông qua việc giảm sai âm và sai
dương.
6
việc với Htaccess trong lập trình website
Log ghi lại liên tục các thông báo về hoạt động của cả hệ thống
hoặc của các dịch vụ được triển khai trên hệ thống và file tương
ứng. Log file thường là các file văn bản thông thường dưới dạng
“clear text” tức là bạn có thể dễ dàng đọc được nó, vì thế có thể sử
dụng các trình soạn thảo văn bản (vi, vim, nano…) hoặc các trình
xem văn bản thông thường (cat, tailf, head…) là có thể xem được
file log.
Các file log có thể nói cho bạn bất cứ thứ gì bạn cần biết, để giải
quyết các rắc rối mà bạn gặp phải miễn là bạn biết ứng dụng nào.
Mỗi ứng dụng được cài đặt trên hệ thống có cơ chế tạo log file
riêng của mình để bất cứ khi nào bạn cần thông tin cụ thể thì các
log file là nơi tốt nhất để tìm.
Các tập tin log được đặt trong thư mục /var/log. Bất kỳ ứng dụng
khác mà sau này bạn có thể cài đặt trên hệ thống của bạn có thể sẽ
tạo tập tin log của chúng tại /var/log. Dùng lệnh ls -l /var/log để
xem nội dung của thư mục này.
VD: Ý nghĩa một số file log thông dụng có mặc định trên /var/log
/var/log/messages – Chứa dữ liệu log của hầu hết các thông báo
hệ thống nói chung, bao gồm cả các thông báo trong quá trình
khởi động hệ thống.
/var/log/cron – Chứa dữ liệu log của cron deamon. Bắt đầu và
dừng cron cũng như cronjob thất bại.
/var/log/maillog hoặc /var/log/mail.log – Thông tin log từ các
máy chủ mail chạy trên máy chủ.
/var/log/wtmp – Chứa tất cả các đăng nhập và đăng xuất lịch sử.
/var/run/utmp – Thông tin log trạng thái đăng nhập hiện tại của
mỗi người dùng.
/var/log/dmesg – Thư mục này có chứa thông điệp rất quan trọng
về kernel ring buffer. Lệnh dmesg có thể được sử dụng để xem các
tin nhắn của tập tin này.
/var/log/secure – Thông điệp an ninh liên quan sẽ được lưu trữ ở
đây. Điều này bao gồm thông điệp từ SSH daemon, mật khẩu thất
bại, người dùng không tồn tại.
7
III. Snort 2 và snort 3?
Snort là một trong những ứng dụng được sử dụng rộng rãi nhất hệ thống
phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập
(IPS) kết hợp với Suricata ngày hôm nay. Snort là một IDS / IPS mạng
miễn phí và miễn phí, cung cấp khả năng kiểm tra trong thời gian thực
tất cả lưu lượng mạng, bất kể giao diện (WAN hay LAN) nơi chúng tôi
đặt nó và mục tiêu của nó là phát hiện bất kỳ loại lưu lượng độc hại nào
và chặn nó thông qua tường lửa. Rất nhanh, chúng ta sẽ thấy phiên bản
cuối cùng và ổn định của Snort 3, phiên bản mới nhất tích hợp một số
lượng lớn các cải tiến so với Snort 2, hiện là phiên bản thường được sử
dụng.
- Sự khác biệt giữa snort 3 với snort 2:
Snort 3.0 là một sự phát triển vượt bậc của phiên bản hiện tại của Snort
2.X, phiên bản mới hiệu quả hơn, cung cấp hiệu suất tốt hơn, khả năng
mở rộng, khả năng sử dụng và cho phép khả năng mở rộng lớn. Một số
cải tiến chính được tích hợp trong phiên bản mới này như sau:
Hỗ trợ nhiều luồng xử lý gói, điều này cho phép Snort tiêu thụ ít tài
nguyên hơn, đặc biệt là về RAM.
Truy cập vào hơn 200 plugin
Hỗ trợ Hyperscan, tính năng này rất quan trọng vì nó dẫn đến các
mẫu, ký tự nội dung nhanh hơn và tương thích với PCRE trong quá
trình đánh giá các chữ ký khác nhau mà chúng tôi đã đăng ký trong
Snort.
Việc xử lý giao thức lớp truyền tải TCP đã được viết lại hoàn toàn,
để có hiệu suất tốt nhất có thể.
Một trình phân tích cú pháp quy tắc mới và cú pháp quy tắc mới đã
được thêm vào. Ngoài ra, các nhận xét trong các quy tắc cũng mới.
Các quy tắc đối tượng chia sẻ được cải tiến đã được kết hợp, ngoài
ra, có thể thêm các quy tắc cho lỗ hổng 0day.
Màn hình hiệu suất mới, cấu hình thời gian và không gian.
Nếu CPU của bạn có nhiều lõi, khả năng mở rộng quy mô sẽ đơn
giản hơn nhiều để tận dụng tốt nhất phần cứng.
Giờ đây, cho phép bạn xử lý tải trọng thô và kết hợp hai ổ cắm để
kiểm tra.
8
Trong hình ảnh sau, bạn có thể thấy sự so sánh giữa Snort 2 và Snort 3
được lấy trực tiếp từ blog chính thức của Snort:
IV. Tiêu chí nào đánh giá Firewall mạnh hay yếu?
9
1. Tường lửa có vai trò như thế nào?
Tính năng chính của dòng thiết bị này có thể được tóm tắt ở những
gạch đầu dòng dưới đây:
- Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm
bảo thông tin chỉ có trong mạng nội bộ.
- Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào
trong.
- Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài.
- Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là
cho phép).
- Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ
thống mạng.
- Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port (hay
còn cổng), giao thức mạng.
- Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào
hệ thống mạng.
- Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.
10
- Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng
một lúc, việc chia tải sẽ giúp đường truyền internet ổn định hơn rất
nhiều.
Dựa trên những nhu cầu sử dụng của hệ thống mà Firewall được phân
thành 2 loại chính bao gồm:
Personal Firewall: Loại này được thiết kế để bảo vệ một máy tính
trước sự truy cập trái phép từ bên ngoài. Bên cạnh đó thì Personal
Firewall còn được tích hợp thêm tính năng như theo dõi các phần
mềm chống virus, phần mềm chống xâm nhập để bảo vệ dữ liệu.
Một số Personal Firewall thông dụng như: Microsoft Internet
connection firewall, Symantec personal firewall, Cisco Security
Agent…. Loại Firewall này thì thích hợp với cá nhân bởi vì thông
thường họ chỉ cần bảo vệ máy tính của họ, thường được tích hợp
sẵn trong máy tính Laptop, máy tính PC…
=> Điểm khác nhau giữa 2 loại Firewall này đó là số lượng host được
Firewall bảo vệ. Bạn hãy nhớ 1 điều là Personal firewall chỉ bảo vệ cho
một máy duy nhất còn Network firewall lại khác, nó sẽ bảo vệ cho cả
một hệ thống mạng máy tính.
12