Báo cáo đề tài

1. Báocáođềtài

2. Intrusion Detection Framework Hiệnthựchệthống Hướngnghiêncứu Mụclục

3. Intrusion Detection Framework • Sơlượcvềhệthống • Normalization • Aggregation • Correlation • References • Hiệnthựchệthống • Hướngnghiêncứu Mụclục

4. Phát hiện tấn công • Quản lí user • Hiển thị tấn công • Dự đoán tấn công (plan prediction) • Ngăn chặn tấn công Bài toán

5. Sơlượcvềhệthống Prediction Sensor 1 Attack Scenario IDMEF Sensor 2 Normalization Aggregation Hyper -alert Correlation Attack Scenario Sensor 3 Visualization

6. Chuyểnhóatấtcả alert từcác IDS khácnhauthànhmộtđịnhdạngduynhất Intrusion Detection Message Exchange Format (IDMEF) Normalization

7. IDMEF códạngcâyphânnhánh, chia thànhnhiều class IDMEF

8. Nhómcác alert cótínhchấttươngtựlại. • Các alert tươngtựnhaukhi: • Giốngnhau ở tấtcảcácthuộctínhnhưngchỉkhácthờigian • Cócùngmộtnguyênnhânsinhra (root cause) Aggregation

9. Intrusion Detection Framework • Sơlượcvềhệthống • Normalization • Aggregation • Correlation • References • Hiệnthựchệthống • Hướngnghiêncứu Mụclục

10. Cácphươngpháp correlation cóthểđượcchiathành 3 nhóm: • Kếthợpdựatrênsựtươngtựcủacácthuộctínhcủa alert. • Kếthợpdựatrênkịchbảntấncông. • Kếthợpdựatrênđiềukiệnvàkếtquả. Correlation

11. Hypert Alert Type Hyper Alert Prepare for Mộtsốđịnhnghĩa

12. (fact, prerequisite, consequence) Fact: tậphợpcácbiến Prerequisite, Consequence: tậphợpcác predicate cócácbiếnnằmtrong fact. Vídụ: hyper alert type SadmindBufferOverflow = ( {VictimIP, VictimPort}, ExistHost(VictimIP)^VulnerableSadmind(VictimIP), {GainRootAccess(VictimIP)} ) Hyper Alert Type

13. Cho hyper alert type T = (fact, prerequisite, consequence) Hyper alert (instance) h của T: là 1 tậphợpcáctupletrên fact, mỗtupleđượcgắnvới 1 khoảngthờigian [begin_time, end_time]. Hyper Alert

14. Vídụ: hyper alert type SadmindBufferOverflow = ( {VictimIP, VictimPort}, ExistHost(VictimIP)^VulnerableSadmind(VictimIP), {GainRootAccess(VictimIP)} ) hyper alert h = {(VictimIP=152.1.19.5, VictimPort=1235) (VictimIP=152.1.19.7, VictimPort=1235)} Hyper Alert

15. Cho 1 khoảngthờigian D, h thỏamảnràngbuộckhoảngthờigian D nếu: Max{t.end_time|vớimọi t thuộc h} – Min{t.begin_time|vớimọi t thuộc h} < D • Cho 1 thờigian I, h thỏamãnràngbuộckhoảngthờigian I nếuthỏa 1 trong 2: • h chỉcó 1 tuple • Vớimọi t thuộc h, tồntại t’ thuộc h, saocho, t.begin_time<T<t.end_time, t’.begin_time<T’<t’.end_time, |T-T’|<I Ràngbuộccủa Hyper Alert

16. P: tập prerequisite • C: tập consequence • Hyper alert h1 prepare for hyper alert h2 nếu • tồntại predicate p thuộc P(h2) • C làtập con của C(h1) • vớimọi c thuộc C, c.end_time < p.begin_time • Phép AND các predicate trong C phảisuyra p. Prepare for

17. Đồthịdạng DAG, đồthịcóhướngkhôngvòng. Hyper Alert Correlation Graph

18. Hyper Alert Correlation Graph

19. Intrusion Detection Framework • Hiệnthựchệthống • Kiếntrúchệthốngvàcáccôngnghệ • Demo tấncông 1 lỗhổng Apache • Hướngnghiêncứu Mụclục

20. SOAP Message

21. Client WPF application GraphViz DOT Language File

22. Service Provider IIS Server Oracle DB

23. ERD

24. Web server Snort IDMEF NMap

25. Intrusion Detection Framework • Hiệnthựchệthống • Kiếntrúchệthốngvàcáccôngnghệ • Demo tấncông 1 lỗhổng Apache • Hướngnghiêncứu Mụclục

26. Một số khái niệm cơ bản • HTTP Chunked transfer encoding • Lỗ hổng “Apache Chunked Encoding” • 1.2.x ; • 1.3.0 ->1.3.24; • 2.0->2.0.36 ; Sơ lược về lỗ hổng“Apache (Win32) Chunked Encoding”

27. Mô hình giả lập : • Máy bị tấn công : • WinXP • Snort chạy như một Network IDS • Apache HTTP server version 1.3.19 • Máy tấn công: • WinXP • Nmap • Metasploit 2.6 framework Giả lập tấn công Apache HTTP server

28. Demo Attack<Clip or …>

29. ICMP Ping , ICMP Ping Windows , ICMP Echo Replay -> Cảnh báo sinh ra trong quá trình quét bằng Nmap. SHELLCODE x86 inc ebx NOOP SHELLCODE x86 OS agnostic fnstenvgeteipdwordxor decoder ->Những cảnh báo khi Snort phát hiện ra các đoạn shellcode được chèn vào gói tin gửi tới Snort Alert

30. Intrusion Detection Framework • Hiệnthựchệthống • Hướngnghiêncứu • Alert Aggregation • Root cause analysis • Cảitiếncủa root cause analysis • Alert Fusion – Mộthướngtiếpcậnkhác • Đềxuất Mụclục

31. Sơlượcvềhệthống Prediction Sensor 1 Attack Scenario IDMEF Sensor 2 Normalization Aggregation Hyper -alert Correlation Sensor 3 Attack Scenario Visualization

32. Alert Aggregation • Nhómcác alert cótínhchấttươngtựlại. • Các alert tươngtựnhaukhi: • Giốngnhau ở tấtcảcácthuộctínhnhưngchỉkhácthờigian • Cócùngmộtnguyênnhânsinhra (root cause) • Cácphươngphápchính • Phântích root cause • Phântíchđộtươngtựgiữa 2 alert • Dùng rule đểgomcụm alert vàtạo alert đạidiện

33. Nội dung Root cause analysis Cảitiến Đềxuất Alert Fusion

34. Cáckháiniệm[1,2] • Root cause: nguyênnhângâyracảnhbáo • Alert (alarm): cảnhbáo • CódạngtíchĐềcáccủacác domain củacácthuộctính • dom(A1) x dom(A2)…x dom(An) với {A1..An} làcácthuộctính

35. Cáckháiniệm[1,2] • Generalization Hierarchies (câytổngquáthóa)

36. Cáckháiniệm[1,2] • Generalized alarm: alarm tổngquátcủanhững alarm đượctạorabởi root cause • Vídụ:

37. Ý tưởng • Dùng generalization hierarchies làmcăncứđểtổngquáttừngthuộctínhcủa alert • Thayđổiđiềukiệndừngcủagiảithuật Attribute Oriented Induction (AOI)

38. Giảithuật[1,2]

39. Giảithuật

40. Ưu - Nhượcđiểm • Ưuđiểm • Khôngcầnthông qua bước clustering • Nhượcđiểm • Tổngquáthóatấtcảcác alarm => dễdẫnđếnviệc generalized alarm quátổngquát • Khôngchạytrongthờigianthực • Thôngsốnhậnvàolà 1 alert log

41. Nội dung Root cause analysis Cảitiến Đềxuất Alert Fusion

42. Cáccảitiến[3] • Chỉtổngquáthóakhicầnthiết • Mởrộng generalization hierarchies • Thêmđiềukiệnđểtổngquáthóa

43. Cáckháiniệm[3] • Nearest Common Ancestor (NCA): node cha gầnnhấtcủa 2 node con trên generalization hierarchies • Dist(a,b): khoảngcáchgiữa 2 alarm a và b • Dist(a,b) làtổngkhoảngcáchgiữamỗithuộctínhcủa a và b • NOD: khoảngcáchlớnnhấtgiữa 2 alert để 2 alert nàycóthểđược cluster lại (aggregate, generalize)

44. Cáckháiniệm[3] Đốivớithuộctính Source IP NCA(ip1,ip3) = DMZ NCA(ip1,DMZ) = DMZ dist(ip1,ip3)=5 dist(ip1,DMZ)=3

45. Cáckháiniệm[3] Dist(alert_1,alert_2)=6 Dist(alert_1,alert_3)=11 Dist(alert_2,alert_3)=11

46. Ý tưởng • Cảitiếngiảithuật root cause analysis • Mởrộng generalization hierarchies đểtínhkhoảngcáchgiữa 2 thuộctính • Gomcụmcác alert dựatrênđiềukiện ( <=NOD) • Tổngquáthóadựatrêncụm

47. Giảithuật[3]

48. Giảithuật[3] NOD = 10

49. Ưu - Nhượcđiểm • Ưuđiểm • Kiểmsoátđượcviệctổngquáthóa • Thông qua NOD • Nhượcđiểm • Khôngchạy real time • Thôngsốnhậpvàolà 1 alert log

50. Nội dung Root cause analysis Cảitiến Đềxuất Alert Fusion