Đang tải... (xem toàn văn)
Nối tiếp phần 1, Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 tiếp tục trình bày những nội dung về phát hiện xâm nhập; các kỹ thuật phát hiện xâm nhập, dấu hiệu tấn công và chữ ký; phân tích dữ liệu; tri thức về nguy cơ bảo mật và tài nguyên cần bảo vệ; phát hiện xâm nhập dựa trên bất thường với dữ liệu thống kê; các phương pháp quy chuẩn thực tiễn tốt nhất cho phân tích;... Mời các bạn cùng tham khảo!
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG NGUYỄN NGỌC ĐIỆP BÀI GIẢNG KỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNG HÀ NỘI, 2015 CHƯƠNG PHÁT HIỆN XÂM NHẬP Chương trình bày vấn đề liên quan đến bước phát xâm nhập chu trình giám sát an tồn mạng, bao gồm số nội dung sau: kỹ thuật phát xâm nhập, dấu hiệu công chữ ký, phương pháp phát xâm nhập phương pháp phát xâm nhập dựa danh tiếng, phương pháp phát xâm nhập dựa chữ ký phương pháp phát xâm nhập dựa liệu bất thường thống kê, công cụ thực hành cụ thể Snort, Suricata SiLK 3.1 CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP, DẤU HIỆU TẤN CÔNG VÀ CHỮ KÝ 3.1.1 Kỹ thuật phát xâm nhập Phát xâm nhập chức phần mềm thực phân tích liệu thu thập để tạo liệu cảnh báo Dữ liệu cảnh báo tạo chế phát chuyển tới chun gia phân tích, việc phân tích bắt đầu Để thực phát thành cơng, cần ý đến việc lựa chọn chế phát đầu vào thích hợp Phần lớn chế phát xâm nhập thảo luận tài liệu hệ thống phát xâm nhập dựa mạng (NIDS), bao gồm hai loại dựa chữ ký dựa phát bất thường Phát dựa chữ ký hình thức lâu đời phát xâm nhập Phương pháp thực cách duyệt qua liệu để tìm kết khớp với mẫu biết Ví dụ đơn giản mơ hình địa IP chuỗi văn bản; ví dụ mơ hình phức tạp số lượng byte null (byte rỗng) xuất sau chuỗi xác định sử dụng giao thức Khi mẫu chia thành mẩu nhỏ độc lập với tảng hoạt động, chúng trở thành dấu hiệu công Khi mô tả ngôn ngữ cụ thể tảng chế phát xâm nhập, chúng trở thành chữ ký Có hai chế phát dựa chữ ký phổ biến Snort Suricata (sẽ giới thiệu phần sau) Một tập phát dựa chữ ký phát dựa danh tiếng Cơ chế phát cố gắng phát thông tin liên lạc máy tính bảo vệ mạng máy tính Internet bị nhiễm độc tham gia vào hành động độc hại trước Kết phát dựa chữ ký đơn giản địa IP tên miền Phát dựa bất thường hình thức phát xâm nhập, phổ biến nhanh chóng nhờ cơng cụ Bro Phát dựa bất thường dựa vào quan sát cố mạng nhận biết lưu lượng bất thường thơng qua chẩn đốn thống kê Thay đơn giản cảnh báo phát mẫu công, chế phát dựa bất thường có khả nhận mẫu công khác biệt với hành vi mạng thông thường Đây chế 64 phát tốt khó thực Ví dụ, Bro chế phát bất thường, thực phát bất thường dựa thống kê Một tập phát triển phát dựa bất thường sử dụng chế phát dựa Honeypot Honeypot sử dụng nhiều năm để thu thập phần mềm độc hại mẫu công cho mục đích nghiên cứu Nhưng chúng ứng dụng tốt phát xâm nhập cách cấu hình hệ thống Honeypot thường chứa lỗ hổng biết đến, chúng khơng có liệu bí mật thực tế Thay vào đó, chúng cấu hình cho việc ghi lại liệu, thường kết hợp với loại khác NIDS HIDS 3.1.2 Dấu hiệu xâm nhập chữ ký Các chế phát không hiệu liệu đầu vào không chuẩn bị kỹ hợp lý Điều liên quan đến phát triển, trì thực dấu hiệu xâm nhập (Indicators of Compromise - IOC) chữ ký IOC thông tin sử dụng để mô tả khách quan xâm nhập mạng, độc lập tảng Các thơng tin bao gồm dấu hiệu đơn giản địa IP máy chủ huy kiểm soát (command and control server - C&C hay C2), tập hợp phức tạp hành vi máy chủ thư điện tử bị sử dụng SMTP relay độc hại IOC trình bày theo nhiều cách thức định dạng khác để sử dụng chế phát khác Ví dụ, cơng cụ có thể phân tích địa IP danh sách phân cách dấu phẩy, cơng cụ khác u cầu chúng phải đưa vào sở liệu SQL Mặc dù biểu diễn IOC thay đổi, cịn phù hợp Hơn nữa, IOC hành vi có chia nhỏ thành nhiều thành phần riêng lẻ triển khai cho nhiều chế phát để hoạt động mạng Khi IOC thực sử dụng ngôn ngữ định dạng cụ thể, chẳng hạn luật Snort tệp tin theo định dạng Bro, trở thành phần chữ ký Một chữ ký chứa nhiều IOC IOC cho mạng máy tính Có dạng phổ biến IOC dựa mạng máy tính IOC cho máy tính mẫu thơng tin tìm thấy máy tính, mơ tả khách quan xâm nhập Một số IOC cho máy tính thơng thường tài khoản người dùng, đường dẫn thư mục, tên tiến trình, tên tệp tin, khóa đăng ký (registry), … IOC cho mạng mẫu thơng tin bắt kết nối mạng máy chủ, mô tả khách quan xâm nhập Một số IOC cho mạng phổ biến địa IPv4, địa IPv6, tên miền, chuỗi văn bản, giao thức truyền thông,… IOC tĩnh IOC tĩnh IOC mà giá trị định nghĩa cách rõ ràng Có ba biến thể IOC tĩnh đơn vị (hay gọi nguyên tố), tính tốn, hành vi (Hình 3.1) 65 Hình 3.1 IOC đơn vị, tính tốn hành vi IOC đơn vị IOC cụ thể nhỏ mà chia tiếp thành thành phần nhỏ nữa, có ý nghĩa tình xâm nhập IOC đơn vị địa IP, chuỗi văn bản, tên máy, địa thư điện tử, tên tệp tin IOC tính tốn có nguồn gốc từ liệu cố, bao gồm giá trị băm, biểu thức thông thường, thống kê IOC hành vi tập IOC đơn vị IOC tính tốn kết hợp với theo số hình thức logic, dùng để cung cấp cho số tình hữu dụng IOC hành vi bao gồm tập liệu chứa tên tệp tin giá trị băm tương ứng, kết hợp chuỗi văn biểu thức thông thường Xem xét kịch xác định có thiết bị mạng bị xâm nhập Một phân tích từ liệu NSM liệu phân tích dựa máy chủ giúp xác định chuỗi kiện xảy sau: Người dùng nhận e-mail từ chris@appliednsm.com với chủ đề "Thông tin tiền lương" tệp PDF đính kèm "Payroll.pdf" Tệp PDF có giá trị băm MD5 e0b359e171288512501f4c18ee64a6bd Người dùng mở tệp PDF, kích hoạt việc tải tệp tin gọi kerndel32.dll với MD5 da7140584983eccde51ab82404ba40db Tệp tin tải từ http://www.appliednsm.com/kernel32.dll Tệp tin dùng để ghi đè lên C:/Windows/System32/kernel32.dll Mã DLL thực thi, kết nối SSH thiết lập tới máy chủ có địa IP 192.0.2.75 cổng 9966 Khi kết nối thiết lập, phần mềm độc hại tìm kiếm tệp DOC, DOCX, PDF từ máy chủ truyền qua kết nối SSH đến máy chủ nguy hiểm Trong bối cảnh NSM, mô tả phức tạp Để chế phát có hiệu quả, cần phải phân tích dấu hiệu thành phần nhỏ có ích hơn, mà đảm bảo phù hợp với bối cảnh Có thể tạo IOC hành vi (B) sau: 66 B-1: Người dùng nhận e-mail từ chris@appliednsm.com với chủ đề "Thông tin tiền lương" tệp PDF đính kèm "Payroll.pdf", có giá trị băm MD5 e0b359e171288512501f4c18ee64a6bd B-2: Tệp tin kernel32.dll với hàm băm MD5 da7140584983eccde51ab82404ba40db tải từ http://www.appliednsm.com/kernel32.dll B-3: Tệp tin C:/Windows/System32/Kernel32.dll bị ghi đè tệp tin độc hại tên với giá trị hàm băm MD5 da7140584983eccde51ab82404ba40db B-4: Máy tính nạn nhân cố gắng kết nối qua SSH tới máy tính nguy hiểm bên 192.0.2.75 cổng 9966 B-5: Các tệp tin DOC, DOCX, PDF truyền tới 192.0.2.75 cổng 9966 thông qua kết nối mã hóa Tiếp theo, tiếp tục phân tích IOC hành vi thành IOC đơn vị (A) IOC tính toán (C) Sau kết quả: C-1: MD5 Hash e0b359e171288512501f4c18ee64a6bd C-2: MD5 Hash da7140584983eccde51ab82404ba40db A-1: Tên miền nguy hiểm: appliednsm.com A-2: Địa e-mail địa chỉ: chris@appliednsm.com A-3: Tiêu đề thư: "Thông tin tiền lương" A-4: Tên file: Payroll.pdf A-5: Tên file: Kernel32.dll A-6: IP nguy hiểm 192.0.2.75 A-7: Cổng 9966 A-8: Giao thức SSH A-9: Kiểu file DOC, DOCX, PDF A-10: Tên file Kernel32.dll Tổng cộng có IOC hành vi, IOC tính tốn, 10 IOC đơn vị đưa vào hệ thống phát xâm nhập Từ dẫn đến IOC chuyển đổi thành chữ ký để sử dụng loạt chế phát hiện, chẳng hạn ví dụ sau: C-1/2: Chữ ký chống vi-rút để phát tồn giá trị băm A-1: Chữ ký Snort/Suricata để phát kết nối với tên miền nguy hiểm A-2: Chữ ký Snort/Suricata để phát thư nhận từ địa e-mail nguy hiểm 67 A-3: Chữ ký Snort/Suricata để phát dòng chủ đề A-3: Bro script để phát dòng chủ đề A-4/C-1: Bro script để phát tên tệp tin hay giá trị băm MD5 truyền mạng A-5/C-2: Bro script để dị tìm tệp tin có tên Kernel32.dll tệp tin với giá trị băm MD5 truyền qua mạng A-6: Chữ ký Snort/Suricata để phát thông tin liên lạc với địa IP A-7/A-8: Chữ ký Snort/Suricata để phát thông tin liên lạc SSH đến cổng 9966 A-10: Luật HIDS để phát thay đổi Kernel32.dll Như thấy rằng, có nhiều phương pháp khác để phát dấu hiệu khác từ cố đơn Nếu chi tiết hơn, tình chí mơ tả kịch với nhiều tiềm năng, chẳng hạn khả phát số lời gọi đối tượng độc hại bên tệp tin PDF, đặc tính giao thức sửa đổi sử dụng Tùy thuộc vào kiến trúc mạng bảo vệ, có nhiều chế phát dùng để tạo chữ ký cho dấu hiệu riêng lẻ, khơng có khả phát dấu hiệu Quyết định phương pháp tốt cho việc phát IOC phụ thuộc vào sở hạ tầng mạng, đặc tính phương pháp phát hiện, chất tri thức liên quan đến IOC Các biến IOC Nếu chế phát sử dụng mạng cấu hình để phát cơng biết, có khả bỏ lỡ phát nguy hiểm khác Cần phải coi IOC biến, có dấu hiệu chưa biết giá trị Việc thực cách tạo chuỗi kiện mà cơng tạo (tạo thành IOC hành vi), xác định nơi biến tồn Về bản, cần xem xét công lý thuyết, công xảy Các biến IOC khơng hồn tồn hữu ích cho việc triển khai chế phát dựa chữ ký, lại hữu ích giải pháp Bro Ví dụ việc tạo biến IOC sau: thay dựa vào kịch cơng thực xảy ra, dựa công lý thuyết (giả định) Kịch công diễn sau: Người dùng nhận e-mail với tệp tin đính kèm độc hại Người dùng mở tệp tin đính kèm, kích hoạt việc tải tệp tin từ tên miền độc hại Tệp tin dùng để ghi đè lên tệp tin hệ thống với phiên mã độc tệp tin Mã tệp tin độc hại thực thi, gây kết nối mã hóa đến máy chủ độc hại Sau kết nối thiết lập, số lượng lớn liệu bị rò rỉ từ hệ thống Các bước diễn tả IOC hành vi có chứa nhiều IOC đơn vị biến Một số IOC: VB-1: Một người dùng nhận e-mail với tệp tin đính kèm độc hại 68 VA-1: Địa e-mail VA-2: Tiêu đề e-mail VA-3: Tên miền nguồn e-mail độc hại VA-4: Địa IP nguồn e-mail VA-5: Tên tệp tin đính kèm độc hại VC-1: Tệp tin đính kèm độc hại với giá trị băm MD5 VB-2: Người dùng mở tệp tin đính kèm, kích hoạt việc tải tệp tin từ tên miền độc hại VA-6: Tên miền/IP chuyển hướng độc hại VA-7: Tên tệp tin độc hại tải VC-2: Giá trị băm MD5 tệp tin độc hại tải VB-3: Tệp tin sử dụng để ghi đè lên tệp tin hệ thống với phiên mã độc tệp tin VB-4: Thực thi mã tệp tin độc hại, tạo kết nối mã hóa đến máy chủ độc hại cổng không chuẩn VA-8: Địa IP C2 VA-9: Cổng C2 VA-10: Giao thức C2 VB-5: Sau kết nối thiết lập, số lượng lớn liệu bị rò rỉ từ hệ thống Trong ví dụ này, V tên IOC mơ tả thành phần biến IOC Như vậy, có 10 biến IOC đơn vị, biến IOC tính tốn, biến IOC hành vi Bây giờ, đưa giả thuyết phương pháp mà IOC tạo thành chữ ký để ghép nối với chế phát Biến IOC thường tái sử dụng kết hợp để dùng phát kịch công rộng VB-1 (VA-3/VA-4) VB-2 (VA-6) VB-4 (VA-8) VB-5 (VA-8): Luật Snort/Suricata để phát liên lạc với danh tiếng xấu theo địa IP tên miền VB-1 (VA-5/VC-1) VB-2 (VA-7/VC-2): Bro script để kéo tệp tin từ đường truyền so sánh tên chúng giá trị băm MD5 với danh sách tên tệp tin danh tiếng xấu biết đến giá trị băm MD5 VB-1 (VA-5/VC-1) VB-2 (VA-7/VC-2): Bro script để lấy tệp tin từ đường truyền đặt chúng vào thử nghiệm phân tích phần mềm độc hại sơ 69 VB-2 (VA-6/VA-7/VC-2): chữ ký HIDS để phát trình duyệt gọi từ tài liệu VB-3: chữ ký HIDS để phát tệp tin hệ thống bị ghi đè VB-4 (VA-9/VA-10) VB-5: Bro script để phát mã hóa lưu lượng xảy cổng không chuẩn VB-4 (VA-9/VA-10) VB-5: luật Snort/Suricata để phát mã hóa lưu lượng xảy cổng không chuẩn VB-5: script tự viết sử dụng thống kê liệu phiên để phát khối lượng lớn lưu lượng gửi từ máy trạm 3.1.3 Quản lý dấu hiệu công chữ ký Số lượng IOC chữ ký quản lý tổ chức phát triển nhanh thời gian ngắn Điều quan trọng cần phải có chiến lược lưu trữ, truy cập chia sẻ chúng Hầu hết tổ chức có xu hướng lưu trữ IOC chữ ký chế phát mà họ sử dụng Ví dụ, sử dụng Snort để phát ghi nhật ký truy cập vào tên miền độc hại (một IOC đơn vị), sau IOC lưu thành chữ ký Snort, truy cập trực tiếp Snort Đây cách đơn giản lại làm hạn chế khả tương tác tham khảo chúng Ngoài ra, cách ngăn cản chia sẻ chuyển đổi IOC sang chữ ký thiết kế cho chế phát khác Do vậy, để quản lý IOC chữ ký tốt nhất, cần tuân theo nguyên tắc sau: Định dạng liệu thô Đơn giản làm việc với IOC hình thức nguyên Ln ln truy nhập vào IOC mà không cần nội dung bổ sung xử lý không liên quan Điều đảm bảo cho IOC tính linh động phân tích cách dễ dàng công cụ tự động hay tùy chỉnh, cho phép chúng triển khai thành chữ ký cho chế phát khác Ví dụ, địa IP chuỗi băm tệp tin nên văn bình thường, liệu nhị phân nên tồn dạng nhị phân Dễ dàng tiếp cận Các chuyên gia phân tích truy cập chỉnh sửa IOC chữ ký dễ dàng Nếu họ phải trải qua nhiều bước bất tiện để thêm tìm nguồn gốc IOC, làm lãng phí thêm thời gian họ làm nản lịng chun gia phân tích tương tác với IOC chữ ký Dễ dàng tìm kiếm Để tạo điều kiện cho chuyên gia phân tích nhanh chóng kiểm tra IOC chữ ký, chúng nên tồn định dạng dễ tìm kiếm, bao gồm khả tìm kiếm số ký tự, với liệu theo ngữ cảnh lưu trữ ngày thêm vào, mã nguồn, kiểu Nếu lưu trữ sở liệu, tìm kiếm thực với việc truy nhập sở liệu truy nhập qua trang web đơn giản Nếu lưu trữ tệp tin phẳng, sử dụng cơng cụ dòng lệnh Linux grep 70 Theo dõi sửa đổi Sửa đổi lại chữ ký việc bình thường Nó xảy chữ ký dẫn đến q nhiều lỗi, khơng phát hoạt động mong muốn, có kết âm tính giả Chữ ký sửa đổi để phản ánh thay đổi chiến lược kỹ thuật công đối lập Bất điều xảy ra, việc sửa đổi, người thực thay đổi, ngày thay đổi cần phải ghi lại để tất vấn đề phát sinh từ việc sửa đổi giải Trường hợp lý tưởng nhất, lý thay đổi nên ghi lại Theo dõi việc triển khai Mục đích cuối IOC sử dụng chữ ký với chế phát Khi điều xảy ra, cặp IOC chế phát cần quan tâm Điều giúp chuyên gia phân tích hiểu cách mà hạ tầng NSM sử dụng với IOC, đồng thời tránh trùng lặp cho IOC chế phát Có thể thực việc ánh xạ đơn giản từ IOC GUID thành SID Sao lưu liệu IOC chữ ký quan trọng cho thành công NSM, cần lưu phù hợp Do vậy, cần có nơi lưu liệu trường hợp có thảm họa xảy ảnh hưởng đến hoạt động công ty Trong thực tế, quản lý chữ ký IOC với tệp tin CSV (như Bảng 3.1) Bảng 3.1 Danh sách chữ ký/IOC 3.1.4 Các khung làm việc cho dấu hiệu công chữ ký Một vấn đề lớn an ninh thông tin cộng đồng tạo tri thức nguy bảo mật nói chung thiếu khung làm việc chung cho việc tạo lập, quản lý phân phối IOC chữ ký Hầu hết người sử dụng chúng có xu hướng sử dụng phương pháp cá nhân họ để tổ chức lưu trữ liệu Do vậy, IOC chữ ký thành phần mở dễ dàng chia sẻ với tổ chức khác Trong việc chia sẻ liệu thường thực dễ dàng, ví dụ danh sách địa IP, chia sẻ thông tin theo ngữ cảnh điều thực khó khăn 71 Trong năm gần đây, số tổ chức nỗ lực tạo khung làm việc cho việc chia sẻ liệu IOC chữ ký OpenIOC Một cải tiến lớn hướng tới khung làm việc chung cho tri thức nguy bảo mật (threat intelligence - TI) dự án OpenIOC Mandiant Dự án ban đầu thiết kế nhằm cho phép sản phẩm Mandiant hệ thống hóa cách thơng minh để nhanh chóng tìm kiếm lỗ hổng bảo mật tiềm tàng, phát hành vào năm 2010 để thành lược đồ nguồn mở cho thông tin TI OpenIOC lược đồ XML sử dụng để mô tả đặc điểm kỹ thuật xác định hoạt động công OpenIOC cho phép quản lý IOC với nhiều thông tin theo ngữ cảnh cần thiết để sử dụng hiệu IOC Một ví dụ OpenIOC thể Hình 3.2 Hình 3.2 Một IOC đơn giản định dạng XML OpenIOC Nếu sử dụng Windows, làm việc với định dạng công cụ OpenIOC Editor miễn phí Mandiant STIX STIX (Structured Threat Information eXpression) dự án dựa vào cộng đồng mã nguồn mở phát triển MITRE cho US Department of Homeland Security STIX thiết kế để chuẩn hố thơng tin TI, phổ biến phủ quân đội Kiến trúc STIX dựa cấu trúc độc lập mối liên quan (Hình 3.3) 72 Giống thu thập thơng tin máy tính, có trang web dịch vụ giúp phân tích tập tin này, ví dụ trang web phân tích mã độc trực tuyến Chẳng hạn Virustotal với 49 loại virus engine Nếu muốn có mơi trường để tự kiểm sốt sử dụng Cuckoo sanbox hay Malwr sanbox (http://www.malwr.com) Trang web sử dụng Cuckoo để thực phân tích mã độc Hình 4.44 4.45 thể báo cáo kết phân tích Hình 4.44 Báo cáo hiển thị chữ ký tìm thấy Screenshot Hình 4.45 Báo cáo mơ tả kết phân tích hành vi 151 Cuckoo sanbox khó thiết lập làm quen hữu ích thuận tiện so với dịch vụ trực tuyến Khi quen với Cuckoo, thấy sanbox phân tích mã độc giàu tính thuận tiện nhiều tình 4.3 QUY TRÌNH PHÂN TÍCH Trong NSM, nói chung quy trình phân tích gồm phần: đầu vào, điều tra đầu Phân tích cách tiếp cận có hệ thống để xác định cố xảy Các đầu vào thường số loại cảnh báo IDS cố bất thường, đầu định cố xảy Sau xem xét số phương pháp phân tích 4.3.1 Các phương pháp phân tích 4.3.1.1 Điều tra quan hệ Thuật ngữ “điều tra” liên tưởng tới điều tra cảnh sát Đó q trình điều tra vi phạm an ninh thông tin điều tra tội phạm giống Trong thực tế, cách tiếp cận mà nhà điều tra bên cảnh sát thường sử dụng để tìm hiểu cặn kẽ tội phạm dùng để làm khung cho phương pháp phân tích Điều gọi điều tra quan hệ Các phương pháp quan hệ dựa việc xác định mối quan hệ tuyến tính thực thể Đây loại điều tra dựa mối quan hệ tồn đầu mối cá nhân liên quan đến tội phạm Một mạng lưới máy tính liên tưởng tới mạng lưới người Tất thứ kết nối, hành động thực dẫn đến hành động khác xảy Điều có nghĩa chun gia phân tích xác định đủ mối quan hệ thực thể, họ tạo trang web cho phép xem hình ảnh đầy đủ xảy trình điều tra vụ việc Quá trình điều tra quan hệ gồm bốn bước (Hình 4.46) Bước 1: Điều tra đối tượng thực điều tra sơ cảnh báo Trong điều tra cảnh sát, quan pháp luật thường thông báo kiện theo đơn khiếu nại, thường gửi từ đồn cảnh sát Đơn khiếu nại đưa thông tin đối tượng liên quan đến việc khiếu nại chất việc khiếu nại riêng Khi đến trường, điều điều tra viên làm xác định đối tượng (chính) tham gia xác định liệu đơn khiếu nại có giá trị điều tra thêm hay khơng Xác định thực dựa luật pháp Và phán đoán ban đầu điều tra viên liệu có khả vụ việc tồn yếu tố vi phạm pháp luật hay không Nếu cho khả tồn tại, điều tra viên bắt đầu thu thập thông tin từ đối tượng liên quan, bao gồm xác minh họ có dấu hiệu hợp pháp, xem hồ sơ hình trước đó, thực kiểm tra sơ để xác định xem họ sở hữu vũ khí vật bất hợp pháp 152 Hình 4.46 Phương pháp phân tích điều tra quan hệ Trong điều tra NSM, chuyên gia phân tích thường thơng báo kiện từ liệu cảnh báo, bao gồm thông báo tạo IDS Cảnh báo thường bao gồm máy tính có liên quan với kiện tính chất cảnh báo Trong trường hợp này, cảnh báo tương tự khiếu nại, máy chủ tương tự đối tượng Trong chuỗi kiện tương tự, chuyên gia phân tích NSM phải thực xác định sơ liệu cảnh báo có giá trị điều tra thêm hay không Thông thường, điều có nghĩa kiểm tra chi tiết luật chế phát gây cảnh báo, xác định liệu lưu lượng gắn với có thực phù hợp với cảnh báo khơng Về bản, nỗ lực để nhanh chóng xác định có dương tính giả xảy hay khơng Nếu cảnh báo khơng phải dương tính giả, bước việc phân tích nên bắt đầu với việc thu thập thông tin đối tượng gắn với cảnh báo: địa IP tài nguyên mạng tin cậy nguy hiểm Điều bao gồm việc thu thập TI chiến thuật tài nguyên cần bảo vệ thảo luận phần trước Bước 2: Điều tra mối quan hệ tương tác Khi điều tra viên điều tra hai đối tượng, điều tra mối quan hệ đối tượng này, bao gồm mối quan hệ trước tương tác Ví dụ, xem xét đơn khiếu nại, điều tra viên cố gắng xác định xem hai đối tượng mối quan hệ nào, thời gian mối quan hệ đó, đối tượng sống chung với hay khơng, Sau đó, điều tra viên xác định hành động xảy dẫn đến việc khiếu nại, kiện dẫn tới căng thẳng tại, xảy sau 153 Các chun gia phân tích NSM làm điều tương tự để điều tra mối quan hệ máy tính cần bảo vệ máy tính nguy hiểm Họ bắt đầu việc xác định chất kết nối trước máy Các câu hỏi sau đưa ra: Hai máy tính liên lạc với trước đó? Nếu có cổng, giao thức, dịch vụ có liên quan? Tiếp theo, chuyên gia phân tích điều tra kỹ lưỡng kết nối gắn với cảnh báo ban đầu Đây nơi mà liệu từ nhiều nguồn lấy phân tích để tìm kiếm kết nối, bao gồm hoạt động sau: Thu thập liệu PCAP Thực phân tích gói Thu thập liệu PSTR Trích xuất tệp tin thực phân tích phần mềm độc hại Tạo thống kê từ liệu phiên Trong số trường hợp, lúc chun gia phân tích xác định liệu cố xảy hay khơng Khi đó, điều tra kết thúc Nếu vụ việc không định nghĩa rõ ràng vào thời điểm hay khơng có định cụ thể nào, bước thực Bước 3: Điều tra đối tượng thứ cấp mối quan hệ Khi điều tra viên điều tra đối tượng mối quan hệ chúng, thông thường họ xác định đối tượng thứ cấp Đây cá nhân có liên quan đến việc khiếu nại theo cách đó, bao gồm cộng đối tượng làm đơn khiếu nại, nhân chứng khác Khi đối tượng xác định, điều tra thường hỗ trợ thông qua thực bước điều tra tương tự nêu hai bước đầu tiên, bao gồm điều tra đối tượng này, mối quan hệ họ đối tượng Trong điều tra NSM, điều xảy thường xuyên Ví dụ, điều tra mối quan hệ hai máy tính, chun gia phân tích thấy máy tính cần bảo vệ giao tiếp với máy tính nguy hại khác ngược lại Hơn nữa, phân tích tệp tin độc hại mang lại địa IP để lộ nguồn liên lạc gây nghi vấn khác Những máy tính coi đối tượng thứ cấp Khi đối tượng thứ cấp xác định, chúng cần điều tra theo cách tương tự đối tượng Tiếp đó, mối quan hệ đối tượng thứ cấp đối tượng cần kiểm tra 154 Bước 4: Điều tra bổ sung quan hệ đối tượng Tại thời điểm này, việc điều tra đối tượng mối quan hệ nên lặp lại nhiều lần cần thiết, địi hỏi đối tượng mức ba mức bốn Khi thực hiện, nên đánh giá đối tượng mối quan hệ cách đầy đủ sở cấp độ, điều tra đầy đủ mức trước chuyển sang mức kế tiếp, không dễ dàng dấu bỏ quên kết nối quan trọng xem xét máy tính khác Khi kết thúc, mơ tả mối quan hệ đối tượng cách hoạt động độc hại xảy Để minh họa quy trình điều tra quan hệ, xét kịch sau: Bước 1: Điều tra đối tượng thực điều tra sơ khiếu nại Các chun gia phân tích thơng báo kiện bất thường phát với cảnh báo Snort sau đây: ET WEB_CLIENT PDF With Embedded File Trong cảnh báo này, IP nguồn 192.0.2.5 (máy tính A nguy hiểm) địa IP đích 172.16.16.20 (Host B cần bảo vệ) Đây đối tượng Việc kiểm tra sơ liên lạc gắn với hoạt động có tệp tin PDF tải Các liệu PCAP cho chuỗi liên lạc thu được, tệp tin PDF chiết xuất từ tệp tin cách sử dụng Wireshark Các chuỗi băm MD5 tệp tin PDF gửi đến Team Cymru Malware Hash Registry, 23% engine phát vi-rút cho tập tin độc hại Dựa điều này, nên thực định tiếp tục điều tra sau Bước thu thập liệu cách thân thiện có chiến thuật đe dọa tình báo liên quan đến hai máy chủ Quá trình xác định thông tin sau đây: Thông tin tài nguyên mạng cần bảo vệ cho 172.16.16.20: Hệ thống máy trạm người dùng chạy Windows Hệ thống khơng có dịch vụ nghe mở cổng Người dùng hệ thống lướt web thường xuyên, nhiều thông báo tài sản tồn liệu PRADS TI 192.0.2.5: IPVoid trả kết danh sách đen địa IP URLVoid tìm thấy kết danh sách đen cho tên miền nơi tệp tin PDF tải Dữ liệu NetFlow địa IP không liên lạc với thiết bị khác mạng bảo vệ 155 Hình 4.47 Các đối tượng ban đầu Bước 2: Điều tra mối quan hệ tương tác Để điều tra mối quan hệ 172.16.16.20 192.0.2.5, hành động thực phân tích liệu gói tin cho liên lạc xảy vào khoảng thời gian có cảnh báo Gói liệu tải cho liên lạc hai máy với khoảng thời gian thiết lập để lấy liệu từ 10 phút trước cảnh báo xảy tới 10 phút sau cảnh báo xảy Sau thực phân tích gói tin liệu này, xác định máy tính bảo vệ chuyển hướng đến máy tính độc hại từ quảng cáo bên thứ ba trang web hợp pháp Các máy tính bảo vệ tải tệp tin về, giao tiếp với máy tính khơng cịn nguy hiểm Hình 4.48 Quan hệ đối tượng Các bước thực để điều tra mối quan hệ 172.16.16.20 192.0.2.5 kiểm tra tệp tin PDF tải Tệp tin PDF gửi lên Cuckoo sandbox để thực phân tích mã độc tự động Các phân tích hành vi tập tin PDF có chứa tệp tin thực thi Các tệp tin thực thi có chứa địa IP 192.0.2.6 cấu hình Khơng có thơng tin khác xác định từ phân tích phần mềm độc hại tập tin 156 Tại thời điểm này, hoàn thành việc điều tra đối tượng mối quan hệ chúng Trong tất thứ cho thấy cố, chưa thể hoàn toàn chắn điều Tuy nhiên, xác định đối tượng thứ cấp, cần chuyển sang bước điều tra với liệu Bước 3: Điều tra đối tượng thứ cấp mối quan hệ Đã xác định đối tượng thứ cấp 192.0.2.6 mã hóa tệp tin thực thi gắn tệp tin PDF tải xuống đối tượng Bây giờ, cần phải điều tra đối tượng cách thu thập thông tin TI địa IP này: TI 192.0.2.6: IPVoid trả kết phù hợp danh sách đen cho địa IP Dữ liệu NetFlow cho thấy đối tượng 172.16.16.20 liên lạc với máy tính Giao tiếp xảy khoảng ba mươi phút sau cảnh báo ban đầu Dữ liệu NetFlow hai máy tính bảo vệ khác mạng tổ chức giao tiếp với địa IP theo định kỳ với lưu lượng thấp vài ngày qua Địa chúng 172.16.16.30 172.16.16.40 Hình 4.49 Quan hệ đối tượng thứ cấp Dựa vào thơng tin trên, nhận thấy vấn đề nguy hiểm nghĩ lúc đầu Tiếp theo, cần phải xác định mối quan hệ đối tượng thứ cấp 192.0.2.6 đối tượng 157 172.16.16.20 Dựa thơng tin TI biết giao tiếp xảy hai thiết bị Bước thu thập liệu PCAP liên lạc xảy máy tính Khi liệu thu thập, phân tích cho thấy thiết bị giao tiếp cổng 80, chúng không sử dụng giao thức HTTP, thay vào đó, chúng sử dụng giao thức sửa đổi, thấy lệnh thực thi cho hệ thống Những lệnh dẫn đến hệ thống bảo vệ truyền thơng tin hệ thống cho máy tính nguy hiểm Tại thời điểm nhận thấy có gọi lại (call back) định kỳ truyền đến máy tính nguy hiểm Lúc này, có đủ thơng tin để định nên khai báo cố, xác định 172.16.16.20 bị tổn hại (Hình 4.49) Trong số trường hợp, việc điều tra kết thúc Tuy nhiên, nhớ xác định hai máy tính bổ sung (bây xác định đối tượng mức ba) giao tiếp với IP 192.0.2.6 nguy hiểm Điều có nghĩa máy tính bị tổn hại Bước 4: Điều tra bổ sung quan hệ đối tượng Một kiểm tra gói liệu truyền máy tính mức ba 172.16.16.20 tiết lộ tham gia vào hành vi callback xác định máy tính bảo vệ (Hình 4.50) Do vậy, xác định máy tính bảo vệ mức ba bị tổn hại Hình 4.50 Quan hệ tất đối tượng 158 Tổng kết cố: Kịch dựa cố thực xảy doanh nghiệp Việc sử dụng quy trình phân tích hệ thống để xác định máy tính xây dựng mối quan hệ chúng không cho phép xác định liệu cơng xảy hay khơng, mà cịn cho tìm máy tính khác bị tổn hại không xác định cảnh báo ban đầu Đây ví dụ điển hình q trình có cấu trúc giúp chun gia phân tích thực cơng việc điều tra từ A đến Z mà không bị sai sót q tải thơng tin Rất dễ bị lạc lối kịch này, vậy, điều quan trọng tiếp cận bước dự định không xa khỏi đường 4.3.1.2 Chẩn đoán khác biệt Mục tiêu chuyên gia phân tích NSM phân loại cảnh báo tạo chế phát điều tra nguồn liệu để thực kiểm tra có liên quan, nghiên cứu để xem liệu có vi phạm an ninh mạng xảy hay không Mục tiêu tương tự với mục tiêu bác sĩ, phân loại dấu hiệu biểu bệnh nhân điều tra nhiều nguồn liệu, thực xét nghiệm có liên quan nghiên cứu xem liệu phát họ có cho thấy lỗ hổng hệ thống miễn dịch người hay không Một phương pháp chẩn đoán phổ biến sử dụng y học lâm sàng gọi chẩn đốn phân biệt Trong đó, nhóm bác sĩ trình bày tập dấu hiệu họ tạo danh sách chẩn đoán tiềm bảng trắng Phần lại dành cho nghiên cứu thực xét nghiệm khác để loại bỏ kết luận có khả có kết luận cịn lại Phương pháp chuẩn đoán phân biệt dựa trình loại trừ, bao gồm năm bước riêng biệt, số trường hợp cần có hai bước Quy trình chuẩn đốn phân biệt sau: Bước 1: Xác định liệt kê dấu hiệu Trong y học, dấu hiệu thường truyền đạt lời nói người bị bệnh Trong NSM, dấu hiệu phổ biến cảnh báo tạo số hình thức hệ thống phát xâm nhập phần mềm phát khác Mặc dù bước tập trung chủ yếu vào dấu hiệu ban đầu, dấu hiệu khác bổ sung vào danh sách tiến hành kiểm tra điều tra bổ sung Bước 2: Xem xét đánh giá chẩn đoán phổ biến Chẩn đốn phổ biến có khả xác, nên chẩn đốn nên đánh giá Chuyên gia phân tích cần tập trung vào điều tra cần thiết để nhanh chóng xác nhận chẩn đoán Nếu chẩn đoán phổ biến khơng thể khẳng định bước chun gia phân tích cần tiến hành bước 159 Bước 3: Liệt kê tất chẩn đốn cho dấu hiệu biết Bước quy trình liệt kê tất chẩn đốn dựa thơng tin có với dấu hiệu đánh giá ban đầu Bước đòi hỏi số suy nghĩ sáng tạo thường thành cơng có nhiều chun gia phân tích tham gia việc tạo ý tưởng Mỗi chẩn đốn có khả danh sách coi ứng cử viên Bước 4: Đánh giá mức ưu tiên danh sách ứng viên theo mức độ nghiêm trọng Khi danh sách ứng viên tạo ra, bác sĩ đánh mức ưu tiên ứng viên cách cho mức ưu tiên cao mối đe dọa lớn tới sống người Trong trường hợp chuyên gia phân tích NSM, cần đánh mức ưu tiên, cần theo mức độ đe dọa an ninh mạng tổ chức Điều phụ thuộc vào chất tổ chức Ví dụ, "MySQL Database Root Compromise" điều kiện cần xem xét cơng ty có sở liệu chứa số liệu an sinh xã hội ưu tiên đánh giá cao điều kiện nhiều so với công ty sử dụng sở liệu đơn giản để lưu trữ danh sách bán hàng nhân viên Bước 5: Loại bỏ điều kiện ứng viên, bắt đầu với nghiêm trọng Bước cuối nơi mà phần lớn hành động xảy Dựa danh sách ưu tiên tạo bước trước, chuyên gia phân tích nên bắt đầu làm cần thiết để loại bỏ điều kiện ứng cử viên, bắt đầu với điều kiện đặt mối đe dọa lớn an ninh mạng Quá trình loại bỏ yêu cầu xem xét điều kiện ứng cử viên thực kiểm tra, tiến hành nghiên cứu, điều tra nguồn liệu khác nhằm loại trừ chúng khỏi danh sách khả Trong số trường hợp, điều tra điều kiện ứng viên loại trừ nhiều điều kiện ứng viên, từ thúc đẩy nhanh q trình Cuối cùng, mục tiêu bước cuối đưa chẩn đốn, cố khai báo cảnh báo bị loại bỏ dương tính giả Lưu ý "Liên lạc bình thường" chẩn đốn hồn tồn chấp nhận được, chẩn đoán phổ biến mà chun gia phân tích NSM thường có Ví dụ tình Bước 1: Xác định liệt kê dấu hiệu Các dấu hiệu sau quan sát qua cảnh báo IDS điều tra liệu có: Một máy chủ tin cậy bắt đầu gửi lưu lượng đến địa IP Nga Luồng liệu diễn đặn sau 10 phút Lưu lượng HTTPS cổng 443, mã hóa đọc Bước 2: Xem xét đánh giá chẩn đoán thường thấy Dựa dấu hiệu này, giả định hợp lý máy bị nhiễm số dạng phần mềm độc hại Dữ liệu đến địa IP Nga thường xuyên 10 phút lần Mặc dù điều đáng ý, khơng thể kết luận phần mềm độc hại Có nhiều chế 160 giao tiếp định kỳ bình thường Ví dụ chat dựa web, RSS, e-mail web, mã chứng khốn, quy trình cập nhật phần mềm, nhiều Với nguyên tắc không chứng minh liệu xấu chúng tốt Do nên nghĩ việc chẩn đốn phổ biến là bình thường Nếu có nghi ngờ, trường hợp này, bắt đầu với số sưu tập TI với IP Nga Một kỹ thuật khác để kiểm tra ghi hệ thống hay IDS máy chủ xem liệu có hoạt động đáng ngờ xảy máy tính khoảng thời gian tương tự lưu lượng Cách khác kiểm tra TI cho thiết bị cần bảo vệ Ví dụ, người dùng từ Nga? Họ sử dụng phần mềm chống vi-rút (như Kaspersky) với máy chủ cập nhật Nga? Những điều giúp xác định xem lưu lượng có bình thường hay khơng Mục đích giả định chưa thể đưa định cuối việc có phải giao tiếp bình thường hay khơng Bước 3: Liệt kê tất phán đốn cho dấu hiệu biết Có thể có số lựa chọn cho kịch Để ngắn gọn, liệt kê số: Truyền thơng bình thường Nhiễm mã độc Dữ liệu bị rị rỉ từ máy tính bị tổn hại Cấu hình sai: có khả quản trị hệ thống gõ sai địa IP có phần mềm phải giao tiếp định kỳ với hệ thống có địa IP Nga Trường hợp phổ biến thực tế Bước 4: Sắp xếp danh sách ưu tiên theo mức độ nghiêm trọng Mức ưu tiên khác tùy thuộc vào mức độ rủi ro tới tổ chức Để tổng quát, lựa chọn mức ưu tiên sau, với mức ưu tiên cao nhất: Ưu tiên 1: Số liệu rò rỉ từ máy tính bị tổn hại Ưu tiên 2: Nhiễm mã độc Ưu tiên 3: Cấu hình sai Ưu tiên 4: Liên lạc bình thường Bước 5: Loại bỏ dần phán đoán, bắt đầu với phán đốn nghiêm trọng Lúc thu thập liệu thực kiểm tra để loại trừ dần phán đoán Ưu tiên 1: Dữ liệu rị rỉ từ máy tính bị tổn hại Phán đốn có chút khó khăn để loại bỏ Bắt tồn nội dung gói tin khơng cung cấp nhiều trợ giúp lưu lượng mã hóa Nếu có liệu phiên xác định số lượng liệu ngồi Nếu có vài byte 10 phút lần có khả 161 khơng phải rị rỉ liệu, rị rỉ có lượng lớn liệu ngồi Cũng hữu ích việc xác định liệu có máy chủ khác mạng tổ chức liên lạc với địa IP IP khác không gian địa Cuối cùng, việc so sánh lưu lượng bình thường máy chủ nội với lưu lượng có khả độc hại giúp cung cấp số thơng tin hữu ích Có thể thực điều với liệu TI cho máy tính cần bảo vệ, liệu thu thập PRADS Ưu tiên 2: Nhiễm mã độc Có thể kiểm tra phần mềm chống vi-rút mạng ghi chi tiết HIDS Ưu tiên 3: Cấu hình sai Cách xử lý tốt trường hợp so sánh lưu lượng truy cập máy tính tin cậy với lưu lượng nhiều máy tính với vai trị tương tự mạng Nếu máy tính khác mạng (subnet) có mẫu lưu lượng giống nhau, đến địa IP khác nhau, có khả địa IP sai nhập vào phần mềm Nếu có quyền truy cập nên kiểm tra ghi máy tính, điều hữu ích việc tìm sai sót hồ sơ sai sót nằm log hệ thống Windows Unix Ưu tiên 4: Truyền thơng bình thường Tiến hành chẩn đốn Tại thời điểm này, cần sử dụng kinh nghiệm trực giác chuyên gia phân tích để định liệu có độc hại thực xảy Nếu việc phân tích hồn thành cách kỹ lưỡng trước cho hoạt động tốt Nếu cịn linh cảm điều kỳ quặc xảy cần theo dõi máy tính thêm, đánh giá lại liệu thu thập thêm lần 4.3.1.3 Thực phương pháp phân tích Hai phương pháp phân tích mô tả khác Thực khơng có cơng thức rõ ràng cho việc lựa chọn phương pháp phương pháp có điểm mạnh điểm yếu lực chuyên gia phân tích Tuy nhiên, phương pháp điều tra quan hệ tốt tình phức tạp có nhiều máy tính tham gia Đó phương pháp có khả theo dõi lượng lớn thực thể mối quan hệ mà không sợ tải gây lỗi Phương pháp chẩn đốn khác biệt làm việc tốt tình có máy tính liên quan gắn với vài triệu chứng khác biệt 4.3.2 Các phương pháp quy chuẩn thực tiễn tốt cho phân tích a Ln đặt giả định Việc phân tích ln phải dựa giả định dự đốn từ thơng tin xác định Ban đầu, thơng tin ít, sau bổ sung thêm thơng tin khác có liên quan, dẫn đến việc dự đốn thay đổi Điều bình thường, lại 162 mang lại kết khả quan Vì vậy, ln cần đặt câu hỏi để làm tăng thêm giả định dự đoán b Cần phải lưu ý liệu Chuyên gia phân tích phụ thuộc vào liệu để thực công việc họ Những liệu có nhiều dạng, tệp tin PCAP, ghi PSTR, tệp tin IIS Vì hầu hết thời gian dành cho việc sử dụng công cụ khác để tương tác với liệu, nên điều quan trọng phải lưu ý cách công cụ tương tác với liệu Tuy nhiên, cơng cụ tạo đơi có "tính năng" làm che dấu liệu ngăn cản việc phân tích phù hợp c Nên làm việc theo nhóm Mỗi người giỏi lĩnh vực khác nhau, không hoạt động với 100% hiệu suất Do vậy, có thể, nên xem xét vấn đề gặp phải d Không đánh động tin tặc Vấn đề khoảng 99% thời gian phải đối mặt với Mặc dù nhìn thấy hoạt động quét, máy chủ vận hành nhóm lớn kẻ cơng chí phận quân nước khác Ngay hoạt động đơn giản ping lộ bạn biết chúng tồn Điều thúc đẩy tin tặc thay đổi chiến thuật Chúng ta biết người mà đối phó, động lực họ gì, hay khả họ, không nên đánh động họ Vấn đề đơn giản khơng biết liệu có khả xử lý hậu hay khơng e Gói tin tốt Các gói tin phải coi vô hại chứng minh có hại f Wireshark cơng cụ phân tích Chuyên gia phân tích cần phải hiểu công cụ quan trọng cho công việc, chúng phần Wireshark cơng cụ kho "vũ khí" chun gia phân tích cho phép tìm thơng tin gói tin Chun gia phân tích cần tiếp cận cách khoa học, bổ sung công cụ quy trình, nhận thức tranh tồn cảnh, ý đến chi tiết, cuối kết hợp tất điều với kinh nghiệm có qua thời gian giúp họ phát triển kỹ thuật phân tích riêng g Cần thực phân loại kiện rõ ràng Cần phải có hệ thống phân loại để xác định vụ việc cần ưu tiên điều tra thơng báo Ví dụ DoD Cyber Incident Cyber Event Categorization System Bảng 4.3 mô tả sơ loại, xếp theo thứ tự ưu tiên loại nên dùng 163 Bảng 4.3 DoD Cyber Incident Cyber Event Categorization System h Quy tắc 10 Các chuyên gia phân tích thường có thói quen lấy q nhiều liệu điều tra kiện xảy thời điểm cụ thể Ví dụ, chuyên gia phân tích thấy kiện xảy vào ngày 07 tháng 10, lúc 08:35 cố gắng để lấy liệu NSM gắn với máy tính cho ngày tháng 10 Điều tạo tình có q nhiều liệu cần cho phân tích Ngược lại, lấy liệu xảy vào ngày 07 tháng 10, lúc 08:35, xác theo phút, tạo tình khơng đủ thơng tin để xác định xác xảy Để ngăn chặn việc này, cần theo quy tắc 10 Quy tắc nói lúc cần phân tích kiện xảy thời điểm, nên bắt đầu cách lấy liệu xảy 10 phút trước 10 phút sau đó, chuyên gia phân tích có đủ liệu để xác định dẫn đến kiện xảy sau Khi chun gia phân tích thực phân tích liệu này, họ đưa định việc lấy liệu nhiều cần Tất nhiên, quy tắc không phù hợp với tình huống, có hiệu tốt cho chuyên gia phân tích 99% điều tra 164 TÀI LIỆU THAM KHẢO [1] Chris Sanders and Jason Smith, Applied Network Security Monitoring, Syngress, 2014 [2] Richard Bejtlich, The Tao of Network Security Monitoring: Beyond Intrusion Detection, Addison-Wesley, 2004 [3] Richard Bejtlich, The Practice Of Network Security Monitoring, No Starch Press, 2013 [4] John R Vacca, Network and System Security, Elsevier Inc., 2010 [5] Chris Fry and Martin Nystrom, Security Monitoring, O'Reilly Media Inc., 2009 165 ... 901, 122 0,1414,1741,1830 ,23 01 ,23 81 ,28 09,3037,3057,3 128 ,37 02, 4343,4848, 525 0,6080, 6988,7000,7001,7144,7145,7510,7777,7779,8000,8008,8014,8 028 ,8080, 8085,8088,8090,8118,8 123 ,8180,8181, 822 2, 824 3, 828 0,8300,8500,8800,8888,... cần phải có giá trị độ tin cậy Ví dụ, tệp tin danh sách danh tiếng sau: 1 92. 0 .2. 1,1,65 78 1 92. 0 .2. 2,1,50 1 92. 0 .2. 3 ,2, 95 Sau cấu hình danh tiếng IP, phần cịn lại nhằm tạo cảnh báo để chuyên gia... tìm kiếm để cố gắng xác định dịch vụ phổ biến quan sát từ việc giao tiếp thiết bị rwfilter start-date = 20 13/08 /26 :14 any-address = 1 02. 123 .22 2 .24 5 type = all -pass = stdout | rwstats top