(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng(Luận văn thạc sĩ) Nghiên cứu kĩ thuật điều tra số trong giám sát an toàn mạng máy tính và ứng dụng
ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ĐINH THỊ THÚY HƢỜNG NGHIÊN CỨU KĨ THUẬT ĐIỀU TRA SỐ TRONG GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH VÀ ỨNG DỤNG Chuyên ngành: Khoa học máy tính Mã số: 48 01 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Giáo viên hƣớng dẫn: TS Hồ Văn Hƣơng THÁI NGUYÊN - 2021 i LỜI CẢM ƠN Trong suốt trình học tập vừa qua, em đƣợc quý thầy cô cung cấp truyền đạt tất kiến thức chuyên môn cần thiết q giá Ngồi ra, em cịn đƣợc rèn luyện tinh thần học tập làm việc độc lập sáng tạo Đây tính cách cần thiết để thành cơng bắt tay vào nghề nghiệp tƣơng lai Đề tài luận văn thạc sĩ hội để em áp dụng, tổng kết lại kiến thức mà học Đồng thời, rút đƣợc kinh nghiệm thực tế quý giá suốt trình thực đề tài Sau thời gian em tập trung công sức cho đề tài làm việc tích cực, đặc biệt nhờ đạo hƣớng dẫn tận tình TS Hồ Văn Hƣơng với thầy cô trƣờng Đại học Công nghệ thông tin & Truyền thông - Đại học Thái Nguyên, giúp cho em hoàn thành đề tài cách thuận lợi gặt hái đƣợc kết mong muốn Bên cạnh kết khiêm tốn mà em đạt đƣợc, chắn khơng tránh khỏi thiếu sót thực luận văn mình, kính mong thầy thơng cảm Sự phê bình, góp ý q thầy học kinh nghiệm quý báu cho công việc thực tế em sau Em xin chân thành cảm ơn TS Hồ Văn Hƣơng tận tình giúp đỡ em hoàn thành đề tài Em xin chân thành cảm ơn! Thái Nguyên, tháng 01 năm 2021 Học viên Đinh Thị Thúy Hƣờng ii LỜI CAM ĐOAN Em xin cam đoan nội dung luận văn em thực hiện, số liệu thu thập kết phân tích báo cáo trung thực, không chép từ đề tài nghiên cứu khoa học Nếu sai, em xin hoàn toàn chịu trách nhiệm trƣớc Nhà trƣờng Thái Nguyên, tháng 01 năm 2021 Học viên Đinh Thị Thúy Hƣờng iii MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii MỤC LỤC iii DANH MỤC CÁC TỪ VIẾT TẮT vi DANH MỤC BẢNG vii DANH MỤC HÌNH ẢNH viii LỜI MỞ ĐẦU 1 Tính cấp thiết đề tài Đối tƣợng phạm vi nghiên cứu Hƣớng nghiên cứu đề tài Những nội dung bố cục luận văn Phƣơng pháp nghiên cứu Ý nghĩa khoa học đề tài CHƢƠNG 1: TỔNG QUAN VỀ ĐIỀU TRA SỐ 1.1 Khái niệm điều tra số 1.1.1 Khái niệm 1.1.2 Mục đích điều tra số 1.1.3 Các bước thực điều tra 1.1.4 Một số loại hình điều tra phổ biến 1.2 Đặc điểm điều tra số 10 1.2.1 Tội phạm máy tính 10 1.2.2 Bằng chứng số 13 1.2.3 Vấn đề pháp lý 14 1.2.4 Các loại chứng số 15 1.3 Kết luận chƣơng 17 CHƢƠNG 2: KĨ THUẬT ĐIỀU TRA SỐ 18 2.1 Chuẩn bị 19 iv 2.2 Bảo vệ giám định trƣờng 22 2.3 Lập tài liệu trƣờng 24 2.4 Thu thập chứng 24 2.4.1 Thu thập liệu 24 2.4.2 Xác nhận tính tồn vẹn liệu 27 2.4.3 Nhân liệu 28 2.4.4 Công cụ sử dụng để thu thập 30 2.5 Đánh dấu, vận chuyển lƣu trữ 34 2.6 Kiểm tra 34 2.7 Phân tích 35 2.8 Thuật tốn lọc gói tin 36 2.9 Kết luận chƣơng 39 CHƢƠNG ÁP DỤNG KĨ THUẬT ĐIỀU TRA SỐ ĐỂ GIÁM SÁT AN TỒN MẠNG MÁY TÍNH UBND TỈNH QUẢNG NINH 40 3.1 Thực trạng nhu cầu giám sát an toàn mạng máy tính UBND tỉnh Quảng Ninh 40 3.2 Mô tả hệ thống 41 3.2.1 Kiến trúc thành phần hệ thống 43 3.3 Mơ hình triển khai 44 3.3.1 Triển khai chủ động 45 3.3.2 Triển khai thụ động 45 3.4 Thực điều tra số dựa hệ thống mô tả 46 3.4.1 Thu thập tập hợp liệu 47 3.4.2 Sàng lọc, chuẩn hóa tương quan liệu 47 3.4.3 Phân tích liệu 48 3.4.4 Cơng cụ phân tích gói tin Wireshark 50 3.5 Thực nghiệm 55 3.5.1 Xác định địa IP kẻ công nạn nhân 56 v 3.5.2 Xác định số phiên TCP file dump 57 3.5.3 Xác định thời gian công 58 3.5.4 Xác định dịch vụ bị công lỗ hổng dịch vụ bị công 58 3.6 Giải mã thông tin gói tin bị mã hóa 60 3.7 Mô lại công Hacker 63 3.7.1 Quét cổng 445 để xem cổng có mở khơng, điều thể qua gói tin SYN, SYN/ACK, ACK, FIN liên tục 63 3.7.2 Thiết lập kết nối IPC request đến SMB 64 3.8 Đề xuất xử lý tự động trình chặn bắt phân tích gói tin 64 3.9 Kết luận chƣơng 67 KẾT LUẬN VÀ ĐỀ NGHỊ 68 TÀI LIỆU THAM KHẢO 70 vi DANH MỤC CÁC TỪ VIẾT TẮT Viết Từ tiếng Anh tắt Từ tiếng Việt SHA Secure Hash Algorithm Giải thuật băm an toàn MD5 Message – Digest algorithm Thuật toán hàm băm PDA Personal digital assistant Thiết bị trợ giúp cá nhân MDS Maintenance Data System Hệ thống liệu bảo trì FAT File Allocation Table Bảng định vị tập tin NTFS New Technology File System Hệ thống tập tin công nghệ DNS Doman Name System Hệ thống tên miền Network Intrusion Detection Hệ thống phát xâm nhập System mạng Random Access Memory Bộ nhớ truy cập ngẫu nhiên NIDS RAM NFAT Network Forensics Analysis Tool Cơng cụ phân tích mạng ARP Address Resolution Protocol Giao thức phân giải địa vii DANH MỤC BẢNG Bảng 2.1: Thiết bị chống ghi phần cứng, phần mềm 21 Bảng 2-2: Công cụ phần mềm giúp thu thập 30 Bảng 2-3: Công cụ phần cứng giúp thu thập 32 viii DANH MỤC HÌNH ẢNH Hình Các bƣớc thực điều tra số Hình Sử dụng Regsshot quan sát thay đổi Registry Hình 3.Passware Encryption Analyzer xác định file đƣợc bảo vệ mật Hình Sử dụng Volatility liệt kê tiến trình chạy hệ thống Hình Sử dụng Wireshark phân tích cơng Teadrop Hình Sử dụng skypelogview xem liệu đƣợc trao đổi qua đƣờng truyền Hình Sử dụng WPDeviceManager để trích xuất SMS 10 Hình Qui trình điều tra số 19 Hình 9: Mơ hình thu thập thông tin 27 Hình 10: Lƣu đồ thuật tốn lọc gói tin 37 Hình 11: Hệ thống thu thập thơng tin 41 Hình 12: Triển khai chủ động 45 Hình 13: Quy trình phân tích gói tin 49 Hình 14: Cơng cụ Filter 52 Hình 15: CTRL+F 53 Hình 16 Mơ hình thực nghiệm 55 Hình 17 Quy trình xác định nguồn gốc nguyên nhân vụ cơng 56 Hình 18 Danh sách gói tin truy cập đến máy nạn nhân 57 Hình 19 Danh sách IP bắt đƣợc 57 Hình 20 Xem số phiên TCP có 57 Hình 21 Lọc packet theo info 58 Hình 22 Một tập luật để phát lỗi MS08-067 hệ thống Suricata59 Hình 23 Xuất chuỗi liệu “C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88” 59 Hình 24 Xuất chuỗi liệu “00 2E 00 2E 00 5C 00 2E 00 2E 00 5C” 60 Hình 25 Tìm gói tin bị mã hóa RSA 60 ix Hình 26 Xuất thơng tin file der sử dụng rsatool 61 Hình 27 Xuất modulus n 61 Hình 28 Chuyển n hệ thập phân 62 Hình 29 Phân tích n thành tích p q 62 Hình 30 Tạo khóa riêng private key 62 Hình 31 Nhập thơng tin địa IP gói tin cần giải mã chọn khóa riêng 63 Hình 32 Thơng tin đƣợc giải mã thành cơng 63 Hình 33 Q trình qt cơng 445 63 Hình 34 Thiết lập kết nối IPC request 64 Hình 35 Sử dụng Tshark bắt gói tin 65 Hình 36 Mã nguồn Lua 66 Hình 37 Mơ hình hoạt động hệ thống phân tích tự động 67 56 Để giải tình em đề xuất kịch cho tình Tạo chứng nghi ngờ file pcap nên thực lần lƣợt nhƣ sau: Bƣớc 1: Xác định địa IP kẻ công nạn nhân Bƣớc 2: Xác định số phiên TCP(TCP session) file dump Bƣớc 3: Tính thời gian cơng Bƣớc 4: Kiểm tra xem dịch vụ máy nạn nhân mục tiêu công Bƣớc 5: Giải mã thơng tin gói tin bị mã hóa Bƣớc 6: Mô lại công Hacker Để giải yêu cầu trên, lần lƣợt vƣợt qua vấn đề nhỏ Lƣu ý file dump có mở rộng pcap (packet capture), em sử dụng Wireshark cơng cụ phân tích Wireshark chƣơng trình bắt phân tích gói tin, giao thức mạnh nh 17 Quy tr nh xác định nguồn gốc nguyên nhân vụ công 3.5.1 Xác định địa IP kẻ công nạn nhân Đầu tiên mở file pcap Wireshark, thấy danh sách gói tin truy cập đến máy nạn nhân ... luận văn Chương 1: Tổng quan điều tra số Chƣơng trình bày khái niệm điều tra số, phân loại điều tra số, đặc điểm điều tra số xác định hợp lệ cơng cụ điều tra số Chương 2: Quy trình điều tra số. .. liệu… + Nghiên cứu số công cụ để ứng dụng phát nguy an ninh mạng máy tính + Triển khai thử nghiệm để giám sát an tồn thơng tin mạng máy tính UBND tỉnh Quảng Ninh Hƣớng nghiên cứu đề tài Điều tra. .. bị kỹ thuật số, thƣờng có liên quan đến tội phạm máy tính Thuật ngữ điều tra số ban đầu đƣợc sử dụng tƣơng đƣơng với điều tra máy tính nhƣng sau đƣợc mở rộng để bao quát toàn việc điều tra tất