Đang tải... (xem toàn văn)
Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 1 có nội dung trình bày các khái niệm về giám sát an toàn mạng và chu trình giám sát an toàn mạng, những thách thức đối với một hệ thống NSM, chuyên gia phân tích NSM; các phương pháp thu thập dữ liệu, thiết bị thu thập dữ liệu là các cảm biến và các loại dữ liệu NSM;... Mời các bạn cùng tham khảo!
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG NGUYỄN NGỌC ĐIỆP BÀI GIẢNG KỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNG HÀ NỘI, 2015 GIỚI THIỆU Ngày nay, Internet phát triển vô mạnh mẽ có ảnh hưởng lớn đến hầu hết hoạt động kinh tế, văn hóa xã hội Dường khơng có khác biệt nhiều việc người dùng tham gia vào hoạt động môi trường mạng Internet so với sống thực bên Đi kèm đó, ngày xuất nhiều nguy liên quan đến việc bảo mật bảo vệ tài sản người dùng tổ chức, dẫn đến ngày có nhiều nhu cầu bảo vệ tài sản mạng Trong thập kỷ qua, với nguy nhu cầu đó, khái niệm giám sát an tồn mạng (network security monitoring, NSM) đời phát triển, thông qua chu trình giám sát an tồn mạng giúp cá nhân tổ chức nâng cao chất lượng bảo vệ toàn vẹn tài sản họ Bài giảng “Kỹ thuật theo dõi, giám sát an toàn mạng” biên soạn nhằm hỗ trợ cho sinh viên Đại học Công nghệ thơng tin, đặc biệt chun ngành An tồn thơng tin, có kiến thức chun sâu giám sát an toàn mạng, người quan tâm đến lĩnh vực tham khảo Bên cạnh nội dung lý thuyết tập trung vào quy trình giám sát an tồn mạng, giảng cịn đưa ví dụ cụ thể thực tế hướng dẫn hoạt động thực hành, giúp người đọc nắm mặt công nghệ kỹ thuật liên quan Nội dung giảng tham khảo từ số tài liệu chuyên ngành NSM, đặc biệt sách “Applied Network Security Monitoring” tác giả Chris Sanders Jason Smith Đây tài liệu nhiều giáo viên sinh viên sử dụng cho mục đích nghiên cứu học tập Bài giảng cấu trúc với bốn nội dung sau: Chương giới thiệu khái niệm giám sát an tồn mạng chu trình giám sát an toàn mạng, thách thức hệ thống NSM, chuyên gia phân tích NSM, giới thiệu công cụ Security Onion, công cụ hữu dụng giảng dạy học tập Các chương giảng trình bày cụ thể bước chu trình giám sát an tồn mạng, bao gồm thu thập liệu, phát xâm nhập phân tích liệu để đưa cảnh báo biện pháp đối phó với nguy an tồn mạng Chương trình bày phương pháp thu thập liệu, thiết bị thu thập liệu cảm biến loại liệu NSM: liệu phiên, liệu bắt gói tin đầy đủ liệu kiểu chuỗi gói tin Chương thảo luận kỹ thuật phát xâm nhập, dấu hiệu công chữ ký, phương pháp phát xâm nhập: dựa danh tiếng, dựa chữ ký dựa liệu bất thường thống kê, với công cụ thực hành cụ thể Snort, Suricata SiLK Cuối cùng, chương trình bày kỹ thuật phân tích gói tin với cơng cụ Tcpdump Wireshark Chương trình bày chu trình thu thập tri thức nguy bảo mật cho NSM trình tạo tri thức tài nguyên cần bảo vệ tri thức nguy bảo mật Phần cuối chương trình bày quy trình phân tích liệu ii MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ v CHƯƠNG GIỚI THIỆU VỀ GIÁM SÁT AN TOÀN MẠNG 1.1 CÁC THUẬT NGỮ CHÍNH TRONG NSM 1.2 PHÁT HIỆN XÂM NHẬP 1.3 GIÁM SÁT AN TOÀN MẠNG (NSM) 1.4 PHÒNG THỦ THEO LỖ HỔNG BẢO MẬT VÀ PHÒNG THỦ THEO NGUY CƠ 1.5 CHU TRÌNH GIÁM SÁT AN TỒN MẠNG 1.6 THÁCH THỨC ĐỐI VỚI HỆ THỐNG NSM 1.7 CHUYÊN GIA PHÂN TÍCH CỦA HỆ THỐNG NSM 1.8 BỘ CÔNG CỤ SECURITY ONION 11 CHƯƠNG THU THẬP DỮ LIỆU 16 2.1 PHƯƠNG PHÁP THU THẬP DỮ LIỆU 16 2.1.1 Giới thiệu phương pháp 16 2.1.2 Ví dụ tình huống: Cửa hàng bán lẻ 19 2.2 KIẾN TRÚC CẢM BIẾN 25 2.2.1 Các loại liệu NSM 26 2.2.2 Các loại cảm biến 26 2.2.3 Phần cứng cảm biến 28 2.2.4 Hệ điều hành cảm biến 30 2.2.5 Vị trí đặt cảm biến 31 2.2.6 Bảo mật cho cảm biến 32 2.3 DỮ LIỆU PHIÊN 34 2.3.1 Luồng liệu 34 2.3.2 Thu thập liệu phiên 36 2.3.3 Thu thập phân tích luồng liệu với SiLK 37 2.3.4 Thu thập phân tích luồng liệu với Argus 40 2.3.5 Lưu trữ liệu phiên 42 2.4 DỮ LIỆU BẮT GÓI TIN ĐẦY ĐỦ 42 2.4.1 Giới thiệu số công cụ 43 2.4.2 Lựa chọn công cụ thu thập 47 2.4.3 Lập kế hoạch thu thập 47 2.4.4 Giảm tải cho lưu trữ liệu 51 2.4.5 Quản lý liệu thu thập 53 2.5 DỮ LIỆU KIỂU CHUỖI TRONG GÓI TIN 53 2.5.1 Định nghĩa 53 2.5.2 Thu thập liệu 55 2.5.3 Xem liệu 59 CHƯƠNG PHÁT HIỆN XÂM NHẬP 64 3.1 CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP, DẤU HIỆU TẤN CÔNG VÀ CHỮ KÝ 64 3.1.1 Kỹ thuật phát xâm nhập 64 3.1.2 Dấu hiệu xâm nhập chữ ký 65 iii 3.1.3 Quản lý dấu hiệu công chữ ký 70 3.1.4 Các khung làm việc cho dấu hiệu công chữ ký 71 3.2 PHÁT HIỆN XÂM NHẬP DỰA TRÊN DANH TIẾNG 74 3.2.1 Danh sách danh tiếng công khai 74 3.2.2 Tự động phát xâm nhập dựa danh tiếng 76 3.3 PHÁT HIỆN XÂM NHẬP DỰA TRÊN CHỮ KÝ VỚI SNORT VÀ SURICATA 80 3.3.1 Snort 80 3.3.2 Suricata 82 3.3.3 Thay đổi công cụ IDS Security Union 84 3.3.4 Khởi tạo Snort Suricata cho việc phát xâm nhập 85 3.3.5 Cấu hình Snort Suricata 87 3.3.6 Các luật IDS 93 3.3.7 Xem cảnh báo Snort Suricata 101 3.4 PHÁT HIỆN XÂM NHẬP DỰA TRÊN BẤT THƯỜNG VỚI DỮ LIỆU THỐNG KÊ 103 3.4.1 Tạo danh sách thống kê với SiLK 103 3.4.2 Khám phá dịch vụ với SiLK 106 3.4.3 Tìm hiểu thêm phát xâm nhập dựa thống kê 110 3.4.4 Một số công cụ hiển thị thống kê 113 CHƯƠNG PHÂN TÍCH DỮ LIỆU 117 4.1 PHÂN TÍCH GĨI TIN 117 4.1.1 Xâm nhập vào gói tin 117 4.1.2 Một số khái niệm toán học liên quan 118 4.1.3 Phân tích chi tiết gói tin 121 4.1.4 Phân tích NSM với Tcpdump 125 4.1.5 Phân tích NSM với Wireshark 128 4.1.6 Lọc gói tin 135 4.2 TRI THỨC VỀ NGUY CƠ BẢO MẬT VÀ TÀI NGUYÊN CẦN BẢO VỆ 137 4.2.1 Chu trình thu thập tri thức nguy bảo mật cho NSM 138 4.2.2 Tạo tri thức tài nguyên cần bảo vệ 141 4.2.3 Tạo tri thức nguy bảo mật 147 4.3 QUY TRÌNH PHÂN TÍCH 152 4.3.1 Các phương pháp phân tích 152 4.3.2 Các phương pháp quy chuẩn thực tiễn tốt cho phân tích 162 TÀI LIỆU THAM KHẢO 165 iv DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ Từ viết tắt/Thuật ngữ ACF BPF C&C CERT CIDR CIS Client CND DNS FPC HIDS Host HTTP HTTPS ICMP IDS IOC JRE JSON MDL NAT NIDS NSM OSINT PCAP PRADS PSTR Request/response SAN server SIEM SMTP SO SPAN STIX TCP TI VLAN VPN Giải thích Applied Collection Framework Berkeley Packet Filter Command and Control Community Emergency Response Team Classless Inter-Domain Routing Center for Internet Security máy khách Computer Network Defense Domain Name System Full Packet Capture Host-based IDS máy tính/máy trạm Hypertext Transfer Protocol HTTP over SSL / HTTP Secure Internet Control Message Protocol Intrusion Detection System Indicators of Compromise Java Runtime Environment JavaScript Object Notation Malware Domain List Network Address Translation Network-based IDS Network Security Monitoring Open-source intelligence Packet Capture Passive Real-time Asset Detection System Packet String yêu cầu/phản hồi Storage Area Networking máy chủ Security Information and Event Management Simple Mail Transfer Protocol Security Onion Switched Port Analyzer Structured Threat Information eXpression Transmission Control Protocol Threat Intelligence Virtual Local Area Network Virtual Private Network v CHƯƠNG GIỚI THIỆU VỀ GIÁM SÁT AN TỒN MẠNG Chương trình bày vấn đề giám sát an toàn mạng (NSM), bao gồm số nội dung sau: thuật ngữ dùng NSM, phát xâm nhập mạng, giám sát an tồn mạng, chu trình giám sát an tồn mạng; phân biệt khái niệm phịng thủ theo lỗ hổng bảo mật phòng thủ theo nguy cơ; thách thức hệ thống NSM; chuyên gia phân tích lĩnh vực NSM; cuối giới thiệu công cụ Security Onion (SO), cơng cụ hữu ích giảng dạy học tập lĩnh vực NSM 1.1 CÁC THUẬT NGỮ CHÍNH TRONG NSM Internet kho liệu khổ lồ, nơi mà tất tham gia vào cung cấp, lưu trữ khai thác thơng tin, liệu sẵn có hệ thống Cùng với nhiều mối nguy cơ, đe dọa mà người phải đối mặt, vượt qua khái niệm vùng lãnh thổ địa lý đến cấp độ tồn cầu Những người có hành vi xấu (muốn đánh cắp thông tin/dữ liệu, muốn gây hại đến người dùng khác, muốn phá hủy hệ thống quan trọng tổ chức,…, gọi chung tội phạm Internet) hoạt động theo tổ chức đơn lẻ Vậy câu hỏi đặt làm để đưa luật (hay quy tắc) ép buộc tất người thực thi luật này? Câu trả lời vơ khó khăn Với thực tế này, năm vừa qua, nhiều cá nhân, tổ chức tập trung trọng tâm vào việc bảo vệ máy tính liệu họ khỏi kẻ tội phạm mạng nhiều cách khác Đặc biệt, có cách hiệu để thực việc thực thi giám sát an toàn mạng (network security monitoring - NSM) NSM bao gồm việc thu thập liệu, phát xâm nhập phân tích liệu an ninh mạng NSM phân loại theo miền sau: Bảo vệ: Tập trung vào việc ngăn chặn xâm nhập khai thác trái phép vào hệ thống Các chức bao gồm đánh giá lỗ hổng, đánh giá điểm yếu, quản lý chống phần mềm độc hại, đào tạo nâng cao nhận thức người dùng, nhiệm vụ đảm bảo thông tin chung khác Dị tìm (phát hiện): Tập trung vào việc phát công xảy xảy trước Chức bao gồm giám sát an ninh mạng, nhạy cảm với việc công cảnh báo Đáp ứng: Tập trung vào việc phản ứng lại sau có cơng xảy Chức bao gồm ngăn chặn cố, phân tích dựa máy chủ mạng, phân tích phần mềm độc hại báo cáo cố Duy trì: Tập trung vào việc quản lý người, tiến trình cơng nghệ liên quan đến việc bảo vệ mạng máy tính (Computer Network Defense - CND) Điều bao gồm hợp đồng, biên chế đào tạo, phát triển triển khai công nghệ, quản lý hệ thống hỗ trợ Các thuật ngữ quan trọng giám sát an toàn mạng bao gồm: tài sản, nguy (đe dọa), lỗ hổng, khai thác, điểm yếu, bất thường, cố, phát xâm nhập, giám sát an tồn mạng (NSM), thu thập liệu, phân tích liệu, hệ thống phát xâm nhập, chuyên gia phân tích, kỹ năng, cảnh báo, kẻ thù, cơng cụ Security Onion Tài sản (đề cập đến thuộc phạm vi mạng tin cậy tổ chức): thứ có giá trị tổ chức, bao gồm máy tính, máy chủ, thiết bị mạng,… Ngồi ra, tài sản cịn bao gồm liệu, người, quy trình, sở hữu trí tuệ danh tiếng tổ chức Nguy (đe dọa): bên có khả ý định khai thác lỗ hổng tài sản Các nguy chia thành loại, có cấu trúc khơng có cấu trúc Nguy có cấu trúc: sử dụng chiến thuật thủ tục hành chính, xác định rõ mục tiêu Điều thường bao gồm tội phạm có tổ chức, nhóm tin tặc, quan tình báo phủ qn đội Nguy có cấu trúc ln theo đuổi mục tiêu lựa chọn, có lý mục đích cụ thể Nguy khơng có cấu trúc: khơng có động cơ, kỹ năng, chiến lược, kinh nghiệm nguy có cấu trúc Các nguy thường cá nhân nhóm có tổ chức lỏng lẻo nhỏ Nguy khơng có cấu trúc thường theo đuổi mục tiêu tùy vào hội, lựa chọn tài sản mạng diện với lỗ hổng dễ dàng bị làm tổn hại Dù phạm vi chất nguy nào, tất chúng có điểm chung muốn đánh cắp từ hệ thống tổ chức, tiền bạc, tài sản trí tuệ, danh tiếng, đơn giản thời gian Lỗ hổng: phần mềm, phần cứng, điểm yếu thủ tục mà hỗ trợ kẻ cơng đạt quyền truy cập trái phép vào tài sản mạng Ví dụ hệ thống xác thực khơng cách cho phép kẻ cơng đốn tên đăng nhập người dùng Chú ý người coi lỗ hổng Khai thác: phương pháp mà lỗ hổng bị cơng Ví dụ, trường hợp khai thác phần mềm, đoạn mã khai thác chứa payload (tải) cho phép kẻ công thực số hành động hệ thống từ xa (như sinh lệnh shell); ứng dụng web, lỗ hổng cách xử lý đầu vào đầu cho phép kẻ cơng khai thác ứng dụng với SQL injection Điểm yếu (rủi ro): khả có mối đe dọa nhằm khai thác lỗ hổng Việc xác định định lượng rủi ro điều khó khăn liên quan đến việc đặt giá trị mạng tài sản liệu Vì vậy, người ta thường thảo luận việc làm tăng giảm mức độ rủi ro tài sản, việc tính tốn định lượng rủi ro Bất thường: Là kiện quan sát hệ thống mạng coi khác thường Ví dụ bất thường hệ thống bị sập, gói tin bị thay đổi, thấy có liên hệ khơng bình thường với máy chủ lạ, số lượng lớn liệu chuyển khoảng thời gian ngắn,… Bất thường tạo cảnh bảo công cụ phát hiện, hệ thống phát xâm nhập trái phép, ứng dụng xem xét nhật ký (log) Sự cố: Khi kiện xem xét điều tra, phân loại phần cố Một cố vi phạm nguy xảy có liên quan đến sách bảo mật máy tính, sách sử dụng chấp nhận sách bảo mật chuẩn Đơn giản nói, cố điều xấu xảy ra, diễn mạng tổ chức Ví dụ, có cơng vào thư mục gốc máy tính, cài đặt phần mềm độc hại đơn giản, công từ chối dịch vụ, thực thi thành công mã độc từ email (thư điện tử) giả mạo Chú ý cố bao gồm nhiều kiện, hầu hết kiện không trực tiếp đại diện cho cố 1.2 PHÁT HIỆN XÂM NHẬP Trước sử dụng thuật ngữ NSM, lĩnh vực phát thường mô tả đơn giản phát xâm nhập (Intrusion Detection) Mặc dù NSM xuất khoảng mười năm, thuật ngữ thường sử dụng thay cho Đây từ đồng nghĩa, mà hơn, phát xâm nhập thành phần NSM đại Việc phát xây dựng xung quanh mơ hình cũ phát xâm nhập, thường có vài đặc điểm riêng biệt: Bảo vệ (phòng thủ) lỗ hổng bảo mật Mơ hình phổ biến kẻ cơng mạng máy tính đột nhập vào mạng cách khai thác lỗ hổng phần mềm Vì mơ hình đơn giản dễ dàng bị loại bỏ, nên phần mà hầu hết chương trình phát xâm nhập sớm xây dựng xung quanh Hệ thống phát xâm nhập (IDS) triển khai với mục tiêu phát việc khai thác lỗ hổng Phát tập liệu quan trọng Phần lớn nỗ lực đặt lĩnh vực nằm phạm vi việc phát Tuy nhiên, việc thu thập liệu thường không tập trung vào mối liên hệ chiến lược thu thập mục tiêu phát Việc dẫn đến tình trạng coi thu thập "quá nhiều liệu luôn tốt không đủ" "bắt giữ tất thứ xếp lại sau" Phần lớn dựa chữ ký Việc khai thác lỗ hổng phần mềm thường hành động tương đối tĩnh phát triển dễ dàng thành chữ ký IDS Như vậy, phát xâm nhập theo cách truyền thống dựa vào hiểu biết tất lỗ hổng biết đến phát triển chữ ký cho phát họ Cố gắng phân tích tự động hồn tồn Mơ hình phát xâm nhập dựa lỗ hổng tin tưởng hầu hết cảnh báo IDS tạo đáng tin cậy Do vậy, mơ hình thường dựa vào việc phân tích người, cố gắng để tự động phân tích nhiều tốt sau phát có xâm nhập Tuy nhiên, với thực trạng an ninh mạng tại, việc phát xâm nhập theo cách truyền thống hiệu Lý thất bại phịng vệ dựa lỗ hổng Khi lỗ hổng tập trung bảo vệ, kẻ cơng tâm nhắm vào mục tiêu cụ thể, tìm lỗ hổng khác để khai thác 1.3 GIÁM SÁT AN TOÀN MẠNG (NSM) NSM xuất phát ủng hộ người/tổ chức có tư phịng thủ, ví dụ quân đội, nơi mà hoạt động có tầm quan trọng liệu cần có tính bảo mật cao Một số hoạt động sau: Phá hủy: Làm tổn thương hệ thống thực thể nặng đến mức thực chức khôi phục trạng thái hữu dụng mà xây dựng lại hoàn toàn Phá vỡ: Phá vỡ làm gián đoạn luồng thông tin Làm suy giảm: Làm giảm ảnh hưởng tác động từ lệnh đối thủ, giảm kiểm soát, làm suy giảm hệ thống thông tin liên lạc, đồng thời nỗ lực thu thập thơng tin, phương tiện Từ đó, làm suy giảm tinh thần đơn vị, giảm giá trị mục tiêu, làm giảm chất lượng định hành động kẻ thù Từ chối: Nhằm ngăn chặn kẻ thù truy cập sử dụng thông tin, hệ thống dịch vụ quan trọng Đánh lừa: Làm cho người tin khơng phải thật Tìm kiếm để đánh lừa người định cách điều khiển nhận thức họ thực Khai thác: Nhằm truy nhập đến lệnh kẻ thù điều khiển hệ thống thu thập thông tin đưa thông tin sai lệch Ảnh hưởng: Làm cho người khác thực hành vi theo cách thuận lợi Bảo vệ: Có hành động bảo vệ chống lại gián điệp bắt giữ thiết bị thông tin nhạy cảm Phát hiện: Khám phá hay xác định tồn tại, diện, thực xâm nhập vào hệ thống thông tin Khôi phục: Đưa thông tin hệ thống thông tin trở trạng thái ban đầu Ứng phó: Phản ứng nhanh với kẻ thù kẻ công, xâm nhập khác Nhiều mục tiêu số liên kết với Phần lớn hệ thống NSM dành riêng để phát nỗ lực nhằm ứng phó tốt NSM coi mơ hình cho lĩnh vực phát xây dựng tập đặc tính khác biệt hoàn toàn so với phát xâm nhập truyền thống Phòng chống thất bại cuối Một thực tế khó khăn việc chấp nhận cuối tài sản bị Mặc dù tất thứ từ phòng thủ đến bước phản ứng chủ động thực hiện, cuối kẻ cơng tìm thấy đường vào hệ thống Thực tế, tổ chức xây dựng hệ thống phòng thủ tốt, kẻ cơng xây dựng phương pháp cơng mạnh Ví dụ, doanh nghiệp triển khai tường lửa đảm bảo máy chủ vá lỗi đầy đủ, kẻ công sử dụng công kỹ thuật lừa đảo để có chỗ đứng mạng sử dụng khai thác zero-day để đạt quyền truy nhập vào thư mục gốc máy chủ vá lỗi Do vậy, chấp nhận cuối tài sản bị tổn hại, tổ chức thay đổi cách bảo vệ tài sản họ Thay dựa vào phịng thủ, tổ chức cần tập trung thêm vào việc phát phản ứng Để làm điều này, có cơng lớn xảy ra, tổ chức cần đặt vào vị trí để có phản ứng hiệu ngăn chặn tổn thất Tập trung vào tập liệu Khi tất nguồn liệu có sẵn thu thập đặt vào kho lưu trữ tập trung, dẫn đến triển khai quản lý vô tốn Không vậy, việc cịn khơng cung cấp giá trị thực liệu loại quyền liệu khơng có sẵn cơng cụ phát khơng thể có quy mơ phù hợp với số lượng liệu lớn mà họ phải đối mặt Để có phát phân tích cần phải có liệu Với mức độ phát hiện, trường hợp liệu tiết kiệm chu kỳ CPU việc thực hiệu Hơn nữa, cung cấp cho chuyên gia phân tích liệu mà họ cần họ đưa định nhanh an toàn nhiều Tiến trình theo chu trình Mơ hình phát xâm nhập cũ tiến trình tuyến tính Khi người dùng nhận cảnh báo, họ xác nhận cảnh báo, việc đáp ứng thực cần, sau kết thúc Tiến trình tuyến tính đơn giản thiếu trách nhiệm Việc đặt cố an ninh mạng tiến trình khơng hỗ trợ cho mục đích bảo vệ mạng Mặc dù số cơng diễn vài giây, kẻ cơng chun nghiệp thường thực chậm có phương pháp, cần phải vài tháng để cơng mục tiêu cụ thể Như thấy rằng, tiến trình phát ứng phó với xâm nhập cần phải có tính chu trình Nghĩa là, tập liệu cần cung cấp cho việc phát xâm nhập, phát xâm nhập cần cung cấp cho việc phân tích liệu, kết phân tích nên cung cấp quay trở lại cho tập liệu Điều cho phép hệ thống bảo vệ tài sản mạng xây dựng trí thơng minh qua thời gian, sử dụng để phục vụ tốt việc bảo vệ mạng Phòng thủ theo nguy Trong phòng thủ theo lỗ hổng tập trung vào “làm nào”, phịng thủ theo nguy tập trung vào “ai” “tại sao” Cụ thể, cần phải tự hỏi muốn công vào hệ thống mạng tổ chức, họ lại thực hành động này? Phịng thủ theo nguy cơng việc khó khăn, hai ngun nhân: (1) tầm nhìn sâu rộng vào hệ thống mạng tổ chức (2) khả thu thập phân tích thơng tin tình báo liên quan đến mục đích khả kẻ công Ifpps tạo số liệu thống kê chi tiết thông lượng giao diện chọn, liệu khác liên quan đến CPU, đĩa I/O thống kê hệ thống khác Một ví dụ đầu lệnh thể Hình 2.10 Hình 2.10 Tạo thống kê mạng với ifpps Ifpps có giới hạn khơng cung cấp chức để áp dụng lọc tới giao diện bắt gói tin, muốn giảm bớt FPC ifpps khơng phải cơng cụ tốt c Tính thơng lượng giao diện cảm biến với liệu phiên Có lẽ cách linh hoạt để tính tốn thống kê thơng lượng tham khảo liệu phiên Xét ví dụ tính thơng lượng sử dụng cơng cụ rwfilter, rwcount, rwstats SiLK Bắt đầu, sử dụng rwfilter để chọn khoảng thời gian cụ thể, ví dụ ngày: rwfilter start-date = 2013/10/04 proto = 0- type = all pass = daily.rw Bộ lọc chọn tất liệu phiên thu thập ngày 4/10 lưu vào tệp tin daily.rw Để xác định có liệu, dùng cơng cụ rwcount: cat daily.rw | rwcount bin-size = 60 Lệnh cung cấp liệu cho rwcount, để tạo tóm tắt lượng liệu phút qua cảm biến Khoảng thời gian xác định thiết lập bin-size, cho rwcount biết cần nhóm vào bin theo chu kỳ 60 giây Kết thể Hình 2.11 49 Hình 2.11 Thơng lượng liệu phút với Rwcount ngồi lúc cao điểm Hình 2.11 cho thấy khoảng 1,5 GB liệu phút qua cảm biến khoảng thời gian cao điểm, lúc 00:00 UTC (là 08:00 EST) Tuy nhiên, nhìn vào Hình 2.12 thấy lưu lượng truy cập cao đến 8-9 GB phút cao điểm, 17:00 UTC (là 03:00 EST) Hình 2.12 Thơng lượng phút với Rwcount lúc cao điểm Để tính tốn thơng lượng trung bình ngày, tăng kích thước bin lệnh rwcount để đếm tổng số liệu cho ngày, 86.400 giây cat daily.rw | rwcount bin-size = 86400 Kết có thể Hình 2.13 Hình 2.13 Tính thơng lượng trung bình ngày Sử dụng tính tốn tính tổng liệu 4578.36 GB 50 2.4.4 Giảm tải cho lưu trữ liệu Trong thực tế, có nhiều lý dẫn tới cần thiết phải hạn chế lượng liệu thu thập Có số cách giảm tải liệu sau a Loại bỏ dịch vụ Phương pháp đơn giản để giảm bớt số lượng liệu FPC thu thập loại bỏ lưu lượng tạo dịch vụ riêng lẻ Có thể xác định dịch vụ thích hợp chiến lược nhờ sử dụng rwstats Đầu tiên sử dụng rwstats để xác định cổng chịu trách nhiệm lưu lượng vào nhiều mạng cat daily.rw | rwstats fields = sport top count = value = bytes Lệnh lấy tập liệu ban đầu đưa tới rwstats, tính nhóm cổng nguồn ( top count = 5) ( fields = sport) có lượng truyền liệu lớn nhất, theo byte (- -value== byte) Kết thể Hình 2.14 Hình 2.14 Nhóm cổng nguồn có lượng liệu trao đổi cao Có 44% lưu lượng quan sát HTTP Tuy nhiên, dòng tiếp theo, 16% tổng số liệu xuất phát từ cổng nguồn 443 Để có tranh hồn chỉnh, nhìn nhóm cổng đích có lưu lượng cao để hiểu lưu lượng ngoài: cat daily.rw | rwstats fields = dport top count = value = bytes Đầu lệnh thể Hình 2.15 Hình 2.15 Nhóm cổng đích có lưu lượng cao Hơn 4% lưu lượng tới TCP/443, dẫn đến kết luận vào ngày đó, có khoảng 20,9% lưu lượng truy cập qua giao diện giám sát cảm biến thuộc TCP/443 Do đó, lọc lưu lượng TCP/443 giúp tiết kiệm không gian lưu trữ liệu FPC 51 Thông thường tổ chức loại bỏ lưu lượng liệu mã hoá thuộc HTTPS Hãy xem tổng lưu lượng loại bỏ TCP/443 nào: cat daily.rw | rwfilter input-pipe = stdin aport = 443 fail = stdout| rwcount binsize = 86400 Số liệu thống kê cho thấy tổng số liệu qua cảm biến dựa lọc (Hình 2.16) Hình 2.16 Thống kê thơng lượng cho ngày không bao gồm lưu lượng TCP/443 Số liệu thống kê 2.52 GB phút, 42,9 MB giây, nghĩa giảm ~20,9% ngày b Loại bỏ lưu lượng host tới host Một cách khác để giảm số lượng liệu FPC lưu trữ loại bỏ liên lạc host cụ thể Ví dụ sau xem xét nhóm địa IP nguồn đích sau loại bỏ cổng 443: cat daily.rw | rwfilter input-pipe = stdin aport = 443 fail = stdout| rwstats -fields = sip,dip top count = value = bytes Lệnh gửi liệu có tới rwfilter để loại bỏ lưu lượng dùng cổng TCP/443 Những thơng tin sau đưa tới rwstats, để tạo nhóm cặp IP nguồn đích ( fields = sip,dip) theo tổng số byte ( value = byte) Kết thể Hình 2.17 Hình 2.17 Xác định cặp IP có lưu lượng lớn 19% lưu lượng đoạn mạng hai máy tính có địa 141.239.24.49 200.7.118.91 Để xác định xem liệu lưu lượng loại trừ khỏi liệu FPC hay không, cần phải xem xét kỹ với lệnh: cat daily.rw | rwfilter input-pipe = stdin saddress = 141.239.24.49 -daddress = 200.7.118.91 pass = stdout| rwstats fields = sport top count = 10 -value = bytes Các kết truy vấn thể Hình 2.18 52 Hình 2.18 Kiểm tra lưu lượng máy tính Có vẻ tất lưu lượng xuất cổng 22 Giả sử kết nối hợp pháp, điều thể hình thức SSH VPN tồn hai thiết bị Nếu giải mã theo dõi lưu lượng truy cập (chẳng hạn thơng qua proxy trung gian), có lẽ lưu lượng loại trừ Q trình lặp lại để giảm bớt lượng liệu thu thập Sử dụng chiến lược giảm số lượng liệu lưu trữ FPC khoảng 40% 2.4.5 Quản lý liệu thu thập Việc quản lý liệu FPC chủ yếu lọc liệu cũ Ở theo hai chiến lược tương tự sử dụng để lưu trữ liệu FPC: dựa thời gian kích thước Các phương pháp để quản lý hai chiến lược khác a Quản lý liệu thu thập dựa thời gian Chiến lược trì dựa thời gian dễ dàng cho quản lý tự động Tiện ích find linux dễ dàng tìm kiếm tệp tin theo thời gian thay đổi định Ví dụ, để tìm tệp tin cũ 60 phút thư mục /data/pcap/, cần chạy lệnh sau: find /data/pcap -type f -mtime + 60 Từ tạo danh sách tệp tin PCAP muốn xóa Lệnh sửa đổi cách ghép nối với xargs để xóa liệu đáp ứng tiêu chí find /data/pcap -type f -mtime + 60 | xargs -i rm {} b Quản lý liệu thu thập dựa kích thước Quản lý liệu FPC sử dụng chiến lược trì dựa kích thước có khó khăn Phương pháp xóa tệp tin PCAP lưu cũ khối lượng lưu trữ vượt tỷ lệ phần trăm sử dụng không gian đĩa Tùy thuộc vào việc triển khai thu thập FPC, phương pháp có khó khăn khác nhau, nhiên sử dụng Daemonlogger để thực điều thuận tiện 2.5 DỮ LIỆU KIỂU CHUỖI TRONG GÓI TIN 2.5.1 Định nghĩa Dữ liệu kiểu chuỗi gói tin (Packet String Data - PSTR) thuật ngữ xác định theo cách chọn để sử dụng Đơn giản, lựa chọn liệu mà người đọc được, lấy từ liệu FPC Dữ liệu xuất nhiều hình thức khác Ví dụ, tạo liệu PSTR với định dạng cụ thể để diễn tả tiêu đề liệu từ giao thức tầng ứng dụng phổ biến (như HTTP SMTP), mà khơng có tải liệu Một ví dụ loại hình liệu PSTR thể Hình 2.19 53 Hình 2.19 Log liệu kiểu PSTR cho HTTP request response Hình 2.20 ví dụ có trường lưu trữ Hình 2.20 Log liệu kiểu PSTR HTTP URL yêu cầu Trong ví dụ này, liệu PSTR chứa yêu cầu HTTP URL Trong nhiều tổ chức lựa chọn lưu trữ liệu PSTR cho phân tích hồi cứu, ví dụ đại diện cho liệu thu thập sở thời gian thực Điều cho phép liệu sử dụng nhiều hơn, bao gồm việc sử dụng hiệu theo chế phát danh tiếng tự động (được thảo luận chương sau) Một hình thức khác liệu PSTR tập trung vào tải gói tin sau tiêu đề giao thức ứng dụng Những thông tin bao gồm số lượng giới hạn byte nhị phân từ tải gói tin, cho biết mục đích gói tin Hình 2.21 ví dụ kiểu liệu Các số liệu hình 2.21 thể liệu đọc, lấy từ trình duyệt web người dùng Cụ thể, xem nội dung trang web truy cập mà không cần nhiều chi tiết bổ sung Cách hiệu cho việc lưu trữ liệu khơng cần phải lưu trữ ký tự khơng đọc Bất lợi việc sử dụng liệu PSTR kiểu tải chi phí cần thiết để tạo Ngồi cần có lượng hợp lý liệu thừa với 54 Hình 2.21 Dữ liệu PSTR kiểu tải gói tin 2.5.2 Thu thập liệu Đầu tiên, cần xem xét mức độ liệu PSTR muốn thu thập Giải pháp lý tưởng tập trung vào việc thu thập liệu tầng ứng dụng cần thiết, nhiều từ giao thức văn rõ tốt Vì có nhiều biến thể liệu PSTR thu thập nên không gian lưu trữ liệu biến đổi lớn Vì vậy, nên sử dụng số phương pháp thảo luận phần trước để xác định có khơng gian lưu trữ để sử dụng cho liệu PSTR Song song với việc xác định loại liệu PSTR tạo ra, nên xem xét khoảng thời gian liệu lưu lại Việc lưu liệu FPC thường xem xét theo chu kỳ vài vài ngày, trì liệu phiên cần xem xét theo chu kỳ quý năm Dữ liệu PSTR nên theo chu kỳ tuần tháng để lấp đầy khoảng trống FPC liệu phiên Khi đánh giá nhu cầu lưu trữ liệu PSTR, nên ý có biến đổi lớn Ví dụ, thời gian ăn trưa, lưu lượng HTTP đỉnh cao lưu lượng tạo từ giao thức khác có liên quan chặt chẽ tới quy trình kinh doanh giảm xuống Điều không ảnh hưởng đến tổng lượng liệu PCAP thu thập khoảng thời gian này, làm tăng lượng liệu PSTR thu thập Có số ứng dụng mã nguồn mở miễn phí thực hai việc: thu thập liệu PSTR từ mạng tạo từ liệu FPC Phần sau xem xét số công cụ 55 a Tạo liệu PSTR thủ công Trước xem xét số cơng cụ sử dụng để tự động tạo liệu PSTR, tìm hiểu số phương pháp khác để tạo liệu PSTR cách sử dụng công cụ môi trường BASH Linux Xét liệu ASCII từ tệp tin PCAP Với liệu PSTR, liệu cần quan tâm tập hợp ký tự đọc được, cần giới hạn kết liệu thông qua chuỗi tiện ích Linux Script theo kiểu log tạo liệu tương tự Hình 2.20, với ghi theo dịng mơ tả chi tiết URI gắn với yêu cầu người sử dụng #!/bin/bash #Send the ASCII from the full packet capture to stdout /usr/sbin/tcpdump -qnns -A -r test.pcap | #Normalizes the PCAP strings | #Parse out all timestamp headers and Host fields grep -e '[09][09]:[09][09]:[09][09].[09]\'7b6\'7d\Host:'| grep -B1 “Host:” | #Clean up the results grep -v “ "| sed 's/Host.*$//g'| tr “” “-” | sed 's/ //g'| sed 's/-Host:/ -/g' Các giải pháp thủ công chậm xử lý liệu linh hoạt b URLSnarf URLsnarf thu thập liệu yêu cầu HTTP cách thụ động lưu chúng định dạng log chung (common log format - CLF) URLsnarf có cơng cụ dsniff, khơng cài đặt mặc định SO, muốn sử dụng nó, cần phải cài đặt: sudo apt-get install dsniff Khi chạy khơng có tham số, URLsnarf thụ động lắng nghe giao diện xuất liệu thu thập tới đầu chuẩn Mặc định, lắng nghe giao diện eth0 bắt lưu lượng cổng TCP 80, 8080 3128 URLsnarf có tùy chọn: -p: Cho phép người dùng chạy URLsnarf tệp tin PCAP có gói tin thu thập -i: Xác định giao diện mạng -n: Phân tích liệu mà không phân giải địa DNS -v : Mặc định, xác định URL cụ thể, coi biểu thức thời gian chạy để hiển thị URL phù hợp với biểu thức Tùy chọn -v cho phép xác định biểu thức để hiển thị tất kết không khớp với URL nêu 56 Do đầu định dạng log chuẩn, phân tích đầu cách chuyển (pipe) qua cơng cụ dịng lệnh BASH grep, cut, awk dễ định biểu thức với tùy chọn -v Trong Hình 2.22 đây, bắt lưu lượng truy cập tcpdump sau truyền qua URLsnarf với tùy chọn -p Hình 2.22 Dữ liệu mẫu từ URLsnarf Đầu thể Hình 2.22 tập hợp log tiêu chuẩn mô tả chi tiết yêu cầu HTTP truy cập trang web appliednsm.com c Httpry Httpry cơng cụ bắt gói tin chun để hiển thị ghi lại lưu lượng HTTP Httpry phân tích lưu lượng HTTP Tuy nhiên, khơng giống URLsnarf, Httpry có nhiều tùy chọn xử lý liệu thu thập, cho phép bắt xuất thông tin tiêu đề HTTP theo thứ tự Khả tùy chỉnh đầu theo cơng cụ khác làm cho httpry hữu ích việc tạo liệu PSTR hữu ích Httpry khơng có sẵn SO, cài đặt dễ dàng sau Cài đặt thư viện phát triển libpcap sudo apt-get install libpcap-dev Tải tarball từ website Httpry Jason Bittel wget http://dumpsterventures.com/jason/httpry/httpry-0.1.7.tar.gz Giải nén tar -zxvf httpry-0.1.7.tar.gz Vào thư mục Httpry thực cài đặt ứng dụng make && sudo make install Sau cài đặt hồn tất, chạy chương trình khơng có tham số để bắt đầu thu thập lưu lượng HTTP từ cổng 80 giao diện mạng đánh số thấp Hình 2.23 hiển thị httpry đọc lưu lượng từ tệp tin cách sử dụng tham số -r xuất đầu 57 Hình 2.23 Ví dụ liệu Httpry Httpry cung cấp số tham số dòng lệnh, sau vài tham số hữu ích để bắt đầu: -r : Đọc từ tệp tin PCAP đầu vào thay thực bắt gói tin trực tiếp -o : Ghi tệp tin httpry log (cần thiết cho script phân tích) -i : Bắt liệu từ giao diện xác định -d: Chạy httpry daemon -q: Chạy chế độ im lặng, loại liệu đầu không quan trọng banner thống kê Httpry có sẵn số kịch xử lý đầu cho phép phân tích liệu đầu tốt Bằng cách sử dụng tham số -o, buộc liệu thu thập httpry xuất plugin Một số plugin có khả xuất thống kê tên máy, thông tin tóm lược HTTP log, khả chuyển đổi định dạng đầu thành định dạng log chung, từ cho phép tạo kết tương tự URLsnarf có Khả tạo kịch phân tích cho phép tích hợp plugin giúp tự động hoá giải pháp liệu PSTR dựa httpry Việc chuyển đổi đòi hỏi script gọi parse_log.pl Script nằm thư mục httpry scripts/plugins/, hoạt động cách sử dụng plugin có thư mục Ví dụ, lệnh sử dụng cho script phân tích Trong trường hợp này, sử dụng định dạng nhật ký chung tạo liệu httpry định dạng linh hoạt cho việc phân tích cơng cụ phát phân tích Chạy Httptry hướng đầu vào tệp tin httpry -o test.txt Phân tích đầu perl scripts/parse_log.pl -p scripts/plugins/common_log.pm test.txt Đầu httpry phải ghi vào tệp tin với tùy chọn -o Sau đó, script parse_log.pl thực để phân tích liệu Ví dụ đầu thể Hình 2.24 58 Hình 2.24 Ví dụ đầu Httpry phân tích thành định dạng chung Tạo liệu PSTR với httpry thường nhanh đáng kể so với URLsnarf 2.5.3 Xem liệu Logstash cơng cụ phân tích log phổ biến dùng cho log đơn dòng đa dòng theo nhiều định dạng, bao gồm định dạng phổ biến syslog log có định dạng JSON, khả phân tích log tùy chỉnh Cơng cụ miễn phí theo mã nguồn mở, vơ mạnh mẽ tương đối dễ dàng thiết lập môi trường lớn Phần sau trình bày cấu hình Logstash để phân tích log thu thập với URLsnarf Logstash phiên 1.2.1 có giao diện Kibana để xem log, phần thảo luận số tính sử dụng để truy vấn liệu Logstash khơng có SO, cần phải tải từ trang web dự án www.logstash.net Logstash chứa hồn tồn gói java, cần cài đặt Java Runtime Environment (JRE) Để phân tích loại liệu nào, Logstash đòi hỏi tệp tin cấu hình để định nghĩa làm nhận liệu Ví dụ sau xem xét việc liệu ghi vào vị trí cụ thể Gọi tệp tin cấu hình urlsnarf-parse.conf Đây cấu hình đơn giản: input { file { type = > “urlsnarf” path = > “/home/idsusr/urlsnarf.log” } } output { elasticsearch { embedded = > true } } Cấu hình báo cho Logstash cần lắng nghe liệu ghi vào /home/idsusr/urlsnarf.log xem xét log ghi vào tệp tin kiểu log "urlsnarf", loại log định nghĩa Phần đầu tệp tin cấu hình bắt đầu thực thể Elasticsearch bên Logstash cho phép lập mục tìm kiếm liệu nhận Khi có tệp tin cấu hình, khởi tạo Logstash để bắt đầu nghe log bắt đầu sinh liệu Để chạy Logstash với Kibana, thực lệnh: java -jar logstash-1.2.1-flatjar.jar agent -f urlsnarf-parse.conf web 59 Đầu lệnh hiển thị Hình 2.25 Hình 2.25 Chạy Logstash Lệnh khởi tạo agent, urlsnarf-parse.conf với tùy chọn -f Kết thúc lệnh với "web" đảm bảo Kibana chạy Việc khởi động lần phút Sau đó, truy cập http://127.0.0.1:9292 trình duyệt web để vào Kibana Nếu cài đặt Logstash SO muốn truy cập vào giao diện web Kibana từ hệ thống khác khơng thể Điều tường lửa kích hoạt hệ thống Có thể thêm ngoại lệ cho tường lửa với lệnh sau: sudo ufw allow 9292/tcp Để tạo liệu phân tích, chạy URLsnarf xuất liệu đầu vào tệp tin sudo urlsnarf> /home/idsusr/urlsnarf.log Sau đó, mở trình duyệt web (hoặc sử dụng curl từ dòng lệnh) đến vài trang web để tạo số liệu Khi hoàn tất, sử dụng Ctrl + C để kết thúc URLsnarf Sau dừng thu thập liệu, quay trở lại Kibana xác nhận ghi đến trình duyệt Nếu có, thấy số liệu hiển thị hình, tương tự Hình 2.26 Hình 2.26 Xem liệu log Kibana Hình 2.26 mơ tả tệp tin log theo mức "thô" hầu hết chưa phân tích Cần phải định nghĩa lọc tùy chỉnh để tạo thông tin trạng thái, để Kibana thực có ích Logstash sử dụng GROK để kết hợp mẫu văn biểu thức thông thường nhằm so khớp với văn log thứ tự mong muốn GROK ngôn ngữ mạnh mẽ sử dụng Logstash để 60 làm cho việc phân tích dễ dàng so với lúc sử dụng biểu thức thơng thường Xét ví dụ tạo lọc để so khớp trường văn log tạo với Justniffer Hình 2.27, có bổ sung “sensor name” cuối (Justsniffer cơng cụ thu thập liệu mạnh, dùng cho liệu PSTR Tham khảo chi tiết tài liệu [1]) Hình 2.27 Tuỳ chỉnh liệu Justniffer với tên cảm biến để phân tích Để cho thấy cách Logstash xử lý việc so khớp so với mẫu xây dựng sẵn, sử dụng lọc "match" cấu hình input { file { type = > “Justniffer-Logs” path = > “/home/idsusr/justniffer.log” } } filter { grok { type = > “Justniffer-Logs” match = > [ “message”, “insertfilterhere” ] } } output { elasticsearch { embedded = > true } } Dùng mẫu GROK xây dựng sẵn để tạo liệu cần cho cấu hình, gọi justniffer-parse.conf Những mẫu tìm thấy https://github.com/logstash/logstash/blob/master/patterns/grok-patterns Nhưng trước kiểm tra mẫu cần gắn với nhau, điều cần làm nhìn vào định dạng log định nghĩa trường muốn xác định Định dạng liệu sau: datestamp timestamp – IP - > IP – domain/path – sensorname SENSOR Tiếp theo cần phải dịch định dạng liệu vào GROK, cần gỡ lỗi GROK Bộ gỡ lỗi nằm http://grokdebug.herokuapp.com/ Ở cần đặt chuỗi log cần so khớp dòng cùng, dòng mẫu, nhập mẫu GROK phù hợp Ứng dụng cho thấy liệu phù hợp Điều quan trọng phát triển chuỗi định dạng GROK bắt đầu với mẫu nhỏ mở rộng chúng để phù hợp với tồn dịng log (Hình 2.28) 61 Hình 2.28 Sử dụng trình gỡ lỗi GROK Để phù hợp với dòng log, sử dụng mẫu: %{DATE:date} %{TIME:time} - %{IP:sourceIP} - > %{IP:destIP} %{URIHOST:domain}%{URIPATHPARAM:request} - %{DATA:sensor} SENSOR Trong bao gồm nhãn trường theo sau trường Áp dụng lọc cho toàn tệp tin cấu hình cho cấu hình hồn chỉnh, để phân tích tất log Justniffer đến phù hợp với định dạng xác định trước Đây tệp tin cấu hình kết quả: input { file { type = > “Justniffer-Logs” path = > “/home/idsusr/justniffer.log” } } filter { grok { type = > “Justniffer-Logs” match = > [ “message", “%{DATE:date} %{TIME:time} %{IP:sourceIP} - > %{IP:destIP} %{URIHOST:domain}%{URIPATHPARAM:request} %{DATA:sensor} SENSOR” ] } } output { elasticsearch { embedded = > true } } Sau có cấu hình, bắt đầu thu thập liệu Logstash sử dụng tệp tin cấu hình mới: java -jar logstash-1.2.1-flatjar.jar agent -f justniffer-parse.conf web 62 Khi Logstash chạy, bắt đầu thu thập liệu với lệnh Justniffer để tạo liệu log theo định dạng phù hợp với cấu hình vừa tạo: sudo justniffer -p “tcp port 80” -u -l “%request.timestamp - %source.ip - > %dest.ip %request.header.host%request.url - IDS1 SENSOR” >> /home/idsusr/justniffer.log Khi chạy, lại cần phải duyệt vài trang web để tạo log Sau thu thập liệu, kiểm tra lại Kibana xem liệu log có hiển thị lên hay khơng Nếu thứ xác, phải có phân tích đầy đủ log tùy chỉnh Hình 2.29 Kiểm tra ghi cá nhân Kibana Có thể kiểm tra thang đo cho trường cách nhấn vào tên trường danh sách phía bên trái hình Hình 2.30 thang đo trường trường Host, dùng để hiển thị tất máy truy cập ghi hành Hình 2.30 Kiểm tra thang đo trường Kibana Như thấy, kết hợp Logstash, Kibana, GROK làm thành ba mạnh mẽ, thuận tiện cho việc phân tích log giống log tạo liệu PSTR Nếu muốn tìm hiểu thêm cơng cụ này, truy cập vào trang web Logstash http://logstash.net/ 63 ... VỀ GIÁM SÁT AN TOÀN MẠNG Chương trình bày vấn đề giám sát an toàn mạng (NSM), bao gồm số nội dung sau: thuật ngữ dùng NSM, phát xâm nhập mạng, giám sát an tồn mạng, chu trình giám sát an toàn. .. DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ v CHƯƠNG GIỚI THIỆU VỀ GIÁM SÁT AN TOÀN MẠNG 1. 1 CÁC THUẬT NGỮ CHÍNH TRONG NSM 1. 2 PHÁT HIỆN XÂM NHẬP 1. 3 GIÁM SÁT AN. .. kê 11 0 3.4.4 Một số công cụ hiển thị thống kê 11 3 CHƯƠNG PHÂN TÍCH DỮ LIỆU 11 7 4 .1 PHÂN TÍCH GĨI TIN 11 7 4 .1. 1 Xâm nhập vào gói tin 11 7 4 .1. 2 Một