HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ MẠNH CƯỜNG NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN XÂM NHẬP TÍCH HỢP CHO MẠNG LAN LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2021 download by : skknchat@gmail.com HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ MẠNH CƯỜNG NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN XÂM NHẬP TÍCH HỢP CHO MẠNG LAN CHUYÊN NGÀNH : MÃ SỐ: HỆ THỐNG THÔNG TIN 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC: TS HOÀNG XUÂN DẬU HÀ NỘI - 2021 download by : skknchat@gmail.com i LỜI CẢM ƠN Để thực hoàn thành đề tài luận văn thạc sĩ kỹ thuật này, xin chân thành cảm ơn Thầy, Cô Khoa Sau Đại học trường Học viện Bưu Chính Viễn Thơng tận tình dạy dỗ, truyền đạt cho nhiều kiến thức kỹ quý báu Tôi xin gửi lời cảm ơn sâu sắc đến giảng viên hướng dẫn trực tiếp TS Hồng Xn Dậu Cảm ơn thầy ln lắng nghe quan điểm cá nhân đưa nhận xét q báu, góp ý dẫn dắt tơi hướng suốt thời gian thực đề tài luận văn thạc sĩ kỹ thuật Tôi xin chân thành cảm ơn giúp đỡ, quan tâm động viên nhiều từ quan, tổ chức cá nhân trình thực đề tài Luận văn hoàn thành dựa tham khảo, đúc kết kinh nghiệm từ sách báo chuyên ngành, kết nghiên cứu liên quan Tuy nhiên kiến thức thời gian có giới hạn nên đề tài khó tránh khỏi thiếu sót, kính mong q thầy bạn đóng góp thêm để đề tài hồn chỉnh hơn! Tôi xin chân thành cảm ơn ! Hà Nội, ngày tháng năm 2021 Học viên Lê Mạnh Cường download by : skknchat@gmail.com ii LỜI CAM ĐOAN Tôi cam đoan sản phẩm nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình khác Các nội dung tơi tham khảo từ tài liệu trích dẫn thích đầy đủ Tơi xin chịu trách nhiệm luận văn Hà Nội, ngày tháng năm 2021 Học viên Lê Mạnh Cường download by : skknchat@gmail.com iii MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii MỤC LỤC iii DANH MỤC VIẾT TẮT v DANH MỤC HÌNH ẢNH vii MỞ ĐẦU CHƯƠNG I TỔNG QUAN VỀ XÂM NHẬP VÀ PHÁT HIỆN XÂM NHẬP 1.1 Tổng quan xâm nhập 1.1.1 Khái quát công, xâm nhập 1.1.2 Các dạng công, xâm nhập mạng 1.1.3 Các dạng công, xâm nhập host 10 1.2 Tổng quan phát xâm nhập 12 1.2.1 Khái quát phát xâm nhập 12 1.2.2 Phát xâm nhập mạng phát xâm nhập host 13 1.2.3 Phát xâm nhập dựa dấu hiệu dựa bất thường 14 1.3 Kết luận Chương I 15 CHƯƠNG II CÁC HỆ THỐNG PHÁT HIỆN XÂM NHẬP 17 2.1 Các hệ thống phát xâm nhập mạng 17 2.1.1 Snort 17 2.1.2 Suricata 20 2.2 Các hệ thống phát xâm nhập host 24 2.2.1 OSSEC 24 2.2.2 SolarWinds Security Event Manager 27 2.3 Các hệ thống phát xâm nhập tích hợp 29 download by : skknchat@gmail.com iv 2.3.1 IBM Qradar 29 2.3.2 Security Onion 33 2.4 Phân tích so sánh hệ thống phát xâm nhập 38 2.5 Kết luận Chương II 41 CHƯƠNG III THỬ NGHIỆM TRIỂN KHAI GIẢI PHÁP PHÁT HIỆN XÂM NHẬP TÍCH HỢP SECURITY ONION CHO MẠNG LAN 42 3.1 Mơ hình triển khai 42 3.1.1 Sơ đồ triển khai hệ thống Security Onion cho bảo mật mạng LAN 42 3.1.2 Các yêu cầu phần cứng phần mềm 43 3.2 Triển khai Security Onion cho mạng LAN 44 3.2.1 Triển khai thành phần phát xâm nhập mạng – NIDS 45 3.2.2 Triển khai thành phần phát xâm nhập host – HIDS 48 3.2.3 Triển khai thành phần giao diện quản trị 51 3.3 Một số kịch thử nghiệm, kết đánh giá 52 3.3.1 Một số kịch thử nghiệm phát công, xâm nhập 52 3.3.2 Các kết 61 3.3.3 Nhận xét, đánh giá 63 3.4 Kết luận Chương III 64 KẾT LUẬN 65 DANH MỤC CÁC TÀI LIỆU THAM KHẢO 66 download by : skknchat@gmail.com v DANH MỤC VIẾT TẮT Ký hiệu ADE ARP Tên Tiếng Anh Adverse Drug Event Address Resolution Protocol CGI Computer-Generated Imagery CIS CPU Center for Internet Security Central Processing Unit DDOS Distributed Denial of Service DNS DOS FIM FTP GNU/GPL Domain Name Servers Denial of Service Federated Identity Manager File Transfer Protocol GNU General Public License HIDS Host Intrusion Detection System HTTP Hypertext Transfer Protocol ICMP Internet Control Message Protocol IDS IP IRC LAN Intrusion Detection System Integrated Intrusion Detection System Internet Protocol Internet Relay Chat Local Area Network MAC Media access control NIC Network Interface Card Network Intrusion Detection System Network Performance Monitor Packet Capture Data IIDS NIDS NPM PCAP Ý nghĩa Tiếng Việt Công cụ phát dị thường Giao thức phân giải địa Công nghệ mơ hình ảnh máy tính Trung Tâm An Ninh Internet Bộ xử lý trung tâm Tấn công từ chối dịch vụ phân tán Hệ thống phân giải tên miền Tấn công từ chối dịch vụ Hệ thống quản lý nhận dạng Giao thức truyền tải tập tin Giấy phép phần mềm tự Hệ thống phát xâm nhập host Giao thức Truyền tải Siêu Văn Bản Giao thức Thông điệp Điều khiển Internet Hệ thống phát xâm nhập Hệ thống phát xâm nhập tích hợp Địa giao thức Internet Giao thức IRC Mạng cục Địa điều khiển truy nhập môi trường Card giao tiếp mạng Hệ thống phát xâm nhập mạng Giám sát hiệu suất mạng Dữ liệu chụp gói mạng download by : skknchat@gmail.com vi Ký hiệu PCI-DSS POC PPA PPP RAM SAM SEM SIEM Tên Tiếng Anh Payment Card Industry Data Security Standard Proof of Concept Personal Package Archive Point-to-point Protocol Random Access Memory Server Application Monitor security event management Security Information and Event Management SLIP Serial Line Internet Protocol SMB Server Message Block Simple Network Management Protocol Secure Shell Secure Sockets Layer Transmission Control Protocol User Datagram Protocol Virtual Private Network Windows Management Instrumentation Cross-site scripting Machine Learning Support Vector Machine Genetic Algorithms Artificial Neural Network Decision Tree SNMP SSH SSL TCP UDP VPN WMI XSS ML SVM GA ANN DT Ý nghĩa Tiếng Việt Bộ tiêu chuẩn bảo mật liệu thẻ toán Chứng minh khái niệm Lưu trữ gói cá nhân Giao thức mạng ngang hàng Bộ nhớ truy xuất ngẫu nhiên Giám sát ứng dụng máy chủ quản lý kiện bảo mật Quản lý thông tin kiện bảo mật Giao thức Internet đường dây nối tiếp Hệ thống tệp Internet chung Giao thức giám sát mạng đơn giản Giao thức SSH Chứng socket bảo mật Giao thức TCP Giao thức UCP Mạng riêng ảo Thiết bị quản lý Windows Tấn công script độc hại Phương pháp học máy Máy vectơ hỗ trợ Thuật toán di truyền Mạng thần kinh nhân tạo Cây định download by : skknchat@gmail.com vii DANH MỤC HÌNH ẢNH Hình 1.1: Minh họa cơng Dos/DDos Hình 1.2:Minh họa cơng thơng qua thu thập gói tin Hình 1.3:Minh họa phương thức công thông qua giả mạo Hình 1.4:Minh họa phương thức công chiếm phiên Hình 2.1:Mơ tả sơ đồ Snort 18 Hình 2.2:Mơ tả sơ đồ Suricata 23 Hình 2.3:Minh họa sơ đồ OSSEC 25 Hình 2.4:Minh họa sơ đồ SolarWinds Security Event Manager 28 Hình 2.5:Minh họa sơ đồ IBM Qradar 30 Hình 2.6:Minh họa sơ đồ Security Onion 36 Hình 3.1:Minh họa sơ đồ triển khai hệ thống Security Onion 42 Hình 3.2 Lựa chọn cài đặt Security Onion 45 Hình 3.3:Chuyển sử dụng Snort sang Suricata 46 Hình 3.4:Chuyển sử dụng Snort sang Suricata 46 Hình 3.5:Cấu hình sử dụng CPU cho Snort 47 Hình 3.6:Kiểm tra thành phần NIDS 47 Hình 3.7:Cấu hình kết nối logs (winlogbeat) host với hệ thống Security Onion 48 Hình 3.8:Kiểm tra service host 48 Hình 3.9:Cấu hình mở port hệ thống Security Onion 49 Hình 3.10:Cấu hình cho phép địa host quản lý hệ thống Security Onion 49 Hình 3.11:Cấu hình kết nối agent Wazuh/OSSEC hệ thống Security Onion 50 Hình 3.12:Cấu hình mở port 1514 cho OSSEC/Wazuh hệ thống Security Onion 50 Hình 3.13:Cài đặt Sysmon cho hệ thống Security Onion 51 Hình 3.14:Kiểm tra thành phần Elastic 52 Hình 3.15:Giao diện Kibana 52 Hình 3.16:Sơ đồ thử nghiệm phát công xâm nhập 53 download by : skknchat@gmail.com viii Hình 3.17:Kết dò cổng Nmap 54 Hình 3.18: Cảnh báo dị qt cổng 54 Hình 3.19:Trạng thái cơng Dos Hping3 55 Hình 3.20:Cảnh báo công Dos 55 Hình 3.21:Tạo thư mục chia sẻ qua giao thức FTP 56 Hình 3.22:Tạo tệp chứa thơng tin đăng nhập FTP 56 Hình 3.23:Minh họa công giao thức FTP Hydra 56 Hình 3.24:Cảnh báo cơng dị thông tin FTP 57 Hình 3.25: Dị thơng tin máy chủ WEB 57 Hình 3.26:Khai thác lỗ hổng máy chủ WEB 58 Hình 3.27:Cảnh báo công Webserver 59 Hình 3.28:Lựa chọn mã khai thác 59 Hình 3.29:Cài đặt mục tiêu giao thức 60 Hình 3.30:Xâm nhập khai thác lỗ hổng ms17-010 Windows 60 Hình 3.31:Cảnh báo xâm nhập khai thác lỗ hổng Eternalblue 61 Hình 3.32:Tổng số lượng cảnh báo biểu đồ theo thời gian 62 Hình 3.33:Thơng tin cảnh báo 62 Hình 3.34:Thơng tin chi tiết cảnh báo 63 download by : skknchat@gmail.com 52 Hình 3.14:Kiểm tra thành phần Elastic Tiếp tục kiểm tra giao diện trình duyệt qua địa chỉ: localhost:5601 :5601 Hình 3.15:Giao diện Kibana 3.3 Một số kịch thử nghiệm, kết đánh giá 3.3.1 Một số kịch thử nghiệm phát công, xâm nhập Các kịch thử nghiệm phát công, xâm nhập vào hệ thống xây dựng Oracle VM VirtualBox bao gồm máy chủ Security Onion phiên 16.04, máy tính client Windows 10, máy tính công Kali Linux Hệ thống sử dụng mạng ảo Virtualbox Host only network có dải IP: 192.168.56.0/24 Ngồi ra, máy chủ Sercurity Onion sử dụng thêm đường NAT kết nối với Internet Các kịch cơng Tấn cơng dị cổng, Tấn download by : skknchat@gmail.com 53 công Dos, Tấn công giao thức FTP, Tấn công quét lỗ hổng Web Server, Khai thác Eternalblue Windows Sơ đồ thiết lập hình 3.16: Hình 3.16:Sơ đồ thử nghiệm phát cơng xâm nhập 3.3.1.1 Tấn cơng dị cổng Kịch kẻ xâm nhập sử dụng máy tính Kali Linux tiến hành dị tìm cổng mở máy tính Windows Đối tượng sử dụng Nmap dị tìm địa 192.168.56.102 máy tính Windows nhận thấy cổng 135/TCP dịch vụ msrpc, cổng 138/TCP dịch vụ netbios-ssn cổng 445/TCP dịch vụ microsoft-ds mở Kết thu hình 3.17: download by : skknchat@gmail.com 54 Hình 3.17:Kết dị cổng Nmap Hệ thống Security Onion sử dụng thư viện luật ET Open cập nhật liên tục https://rules.emergingthreats.net/open/ Đối với trường hợp công dò cổng hệ thống áp dụng luật sau: alert tcp $EXTERNAL_NET any -> $HOME_NET any (msg:"ET SCAN Potential VNC Scan "; flags:S,12; threshold: type both, track by_src, count 5, seconds 60; reference:url,doc.emergingthreats.net/2002911; classtype:attempted-recon; sid:2002911; rev:5; metadata:created_at 2010_07_30, updated_at 2010_07_30;) Khi phát đối tượng dò cổng, thành phần NIDS cụ thể Snort đưa cảnh báo:"ET SCAN Potential VNC Scan" lệnh dị cổng có chứa cờ S (flags:S) với số lượng từ gói tin trở lên vịng 60 giây trao đổi với máy tính Windows Hình 3.18: Cảnh báo dị quét cổng download by : skknchat@gmail.com 55 3.3.1.2 Tấn công Dos Kịch kẻ xâm nhập sử dụng Hping3 từ máy tính Kali Linux thực cơng Dos đến máy tính Windows Ngồi đối tượng giả mạo địa công 192.168.56.104 Trạng thái cơng minh họa hình 3.19: Hình 3.19:Trạng thái công Dos Hping3 Đối với phương thức công này, Snort sử dụng luật sau: alert tcp $HOME_NET any -> $EXTERNAL_NET 22 (msg:"ET SCAN Potential Scan OUTBOUND"; flags:S,12; threshold: type threshold, track by_src, count 1000, seconds 120; reference:url,en.wikipedia.org/wiki/Brute_force_attack; reference:url,doc.emergingthreats.net/2003068; classtype:attempted-recon; sid:2003068; rev:6; metadata:created_at 2010_07_30, updated_at 2010_07_30;) Khi phát đối tượng gửi lượng lớn yêu cầu đến máy tính Windows, Snort đưa cảnh báo:"ET SCAN Potential Scan OUTBOUND" lệnh dò cổng có chứa cờ S (flags:S) với số lượng từ 1000 gói tin trở lên vịng 60 giây trao đổi với máy tính Windows Hình 3.20:Cảnh báo công Dos 3.3.1.3 Tấn công giao thức FTP Kịch kẻ xâm nhập tiến hành quét thông tin, mật đăng nhập người dùng máy chủ FTP máy tính Windows download by : skknchat@gmail.com 56 Đầu tiên ta có thư mục chia sẻ giao thức FTP máy Windows hình 3.21: Hình 3.21:Tạo thư mục chia sẻ qua giao thức FTP Đối tượng tạo file bao gồm user mật để xâm nhập thông qua giao thức FTP: Hình 3.22:Tạo tệp chứa thơng tin đăng nhập FTP Đối tượng công giao thức FTP Hydra máy tính Kali Linux Hình 3.23:Minh họa cơng giao thức FTP Hydra download by : skknchat@gmail.com 57 Đối với trường hợp này, Snort sử dụng luật sau: alert tcp $HOME_NET 21 -> $EXTERNAL_NET any (msg:"ET SCAN Potential FTP Brute-Force attempt response"; flow:from_server,established; dsize: $HTTP_SERVERS $HTTP_PORTS (msg:"ET WEB_SERVER Wordpress Login Bruteforcing Detected"; flow:to_server,established; content:"/wp-login.php"; nocase; fast_pattern; http_uri; content:"POST"; http_method; content:"log|3d|"; http_client_body; content:"pwd|3d|"; http_client_body; threshold: type both, track by_src, count 5, seconds 60; classtype:attempted-recon; sid:2014020; rev:3; metadata:affected_product Wordpress, affected_product Wordpress_Plugins, attack_target Web_Server, created_at 2011_12_12, deployment Datacenter, signature_severity Major, tag Wordpress, updated_at 2020_04_22;) Khi phát đối tượng quét thơng tin trang Web Security Onion đưa cảnh báo "ET WEB_SERVER Wordpress Login Bruteforcing Detected" download by : skknchat@gmail.com 59 Hình 3.27:Cảnh báo cơng Webserver 3.3.1.5 Khai thác lỗ hổng Eternalblue Windows Kịch kẻ xâm nhập quét khai thác Eternalblue, lỗ hổng ms17-010 Windows Lỗ hổng nguyên nhân khiến WannaCry lây lan mạnh mẽ Đối tượng sử dụng cơng cụ Metasploit máy tính Linux để khai thác lỗ hổng Đầu tiên kẻ công mở Metaspolit Linux quyền root sử dụng lệnh use exploit/windows/smb/ms17_010_eternalblue để chọn mã khai thác Eternalblue ms17-010 hình 3.28: Hình 3.28:Lựa chọn mã khai thác download by : skknchat@gmail.com 60 Tiếp tục set tùy chọn: RHOST, PAYLOAD câu lệnh: - set RHOST : Lựa chọn mục tiêu khai thác - set PAYLOAD windows/x64/meterpreter/reverse_tcp: Lựa chọn giao thức để khai thác TCP Hình 3.29:Cài đặt mục tiêu giao thức Tiến hành xâm nhập lỗ hổng Hình 3.30:Xâm nhập khai thác lỗ hổng ms17-010 Windows Sau xâm nhập lỗ hổng, ta thử khai thác lỗ hổng cách chuyển đến thư cụng hệ thống Windows ảnh Đối với kịch Security Onion sử dụng luật sau: alert tcp any any -> $HOME_NET any (msg:"ET XPLOIT Possible ETERNALBLUE Probe MS17-010 (MSF style)"; flow:to_server,established; content:"|ff|SMB|25 00 00 00 00 18 01 28|"; offset:4; depth:12; content:"|00 00 00 00 00 00 00 00 00 00|"; distance:2; within:10; content:"|23 00 00 00 07 00 5c 50 49 50 45 5c 00|"; download by : skknchat@gmail.com 61 fast_pattern; isdataat:!1,relative; threshold: type limit, track by_src, count 1, seconds 30; reference:url,github.com/rapid7/metasploitframework/blob/master/modules/auxiliary/scanner/smb/smb_ms17_010.rb; classtype:trojan-activity; sid:2025649; rev:3; metadata:affected_product Windows_XP_Vista_7_8_10_Server_32_64_Bit, attack_target Client_Endpoint, created_at 2018_07_11, deployment Internal, former_category EXPLOIT, signature_severity Major, tag Metasploit, tag ETERNALBLUE, updated_at 2019_09_28;) Ngoài cảnh báo từ Snort thành phần phát xâm nhập host OSSEC/Wazuh tích hợp Security Onion sử dụng quy tắc sau để xác định công thay đổi tập tin máy client ossec syscheck_new_entry File added to the system. syscheck, Khi phát đối tượng khai thác Eternalblue lỗ hổng ms17-010 công cụ Metasploit Security Onion đưa cảnh báo “ET EXPLOIT Possible ETERNALBLUE Probe MS17-010 (MSF style)” “[OSSEC] File added to the system” Hình 3.31: Cảnh báo xâm nhập khai thác lỗ hổng Eternalblue 3.3.2 Các kết Sau phát tình xâm nhập hệ thống, Sercurity Onion tổng hợp logs chuyển qua phân tích chung sau xuất cảnh báo Người dùng sử dụng giao diện Kibana Squert tích hợp sẵn gói cài đặt Sercurity Onion để xem chi tiết, thơng kê phân tích hay xuất báo cáo Giao diện thành phần quản trị hiển thị tổng số lượng cảnh báo, biểu đồ phân bổ theo thời gian thơng tin cảnh báo download by : skknchat@gmail.com 62 Sau công trên, Security Onion phát tức đưa cảnh báo realtime giao diện quản trị Trong lúc công diễn ra, Security Onion hoạt động tốt để trì ổn định hệ thống mạng Tuy nhiên, công đồng thời nhiều phương thức khác lúc, hệ thống thử nghiệm sử dụng CPU mức tối đa 90~100%, gói tin đánh giá phản hồi kết chậm Hình 3.32:Tổng số lượng cảnh báo biểu đồ theo thời gian Hình 3.33:Thơng tin cảnh báo download by : skknchat@gmail.com 63 Khi lựa chọn vào cảnh báo , người xem chi tiết đầy đủ thông tin cảnh báo thời gian, địa xâm nhập, địa bị xâm nhập, phương thức xâm nhập, thời gian, … để phân tích cụ thể đưa phương án xử lý đổi với cảnh báo Hình 3.34:Thơng tin chi tiết cảnh báo 3.3.3 Nhận xét, đánh giá Security Onion phối miễn phí hồn chỉnh tích hợp cơng cụ để thu thập phân tích liệu hành vi hoạt động hệ thống mạng theo thời gian thực, qua cảnh báo đến người quản trị để có biện pháp xử lý kịp thời Bên cạnh việc tích hợp đầy đủ cơng cụ hiển thị tồn phân tích trang quản trị giúp cho người quản trị tiết kiệm thời gian Security Onion thực thu thập liệu điểm xác định: - Xác định điểm yếu tồn hệ thống mạng - Xác định nguy ảnh hưởng đến hệ thống - Xác định nguồn liệu cần thiết phân tích nguồn liệu thu thập - Thiết lập trích xuất liệu TAP đường truyền để thu thập liệu gói tin Sau thu thập liệu, Security Onion tiến hành xử lý liệu qua cơng cụ tích hợp sẵn gói cài đặt thông qua quy tắc xây dựng sẵn Các liệu phân tích bao gồm: Dựa mạng: download by : skknchat@gmail.com 64 - Dữ liệu gói tin đầy đủ - Dữ liệu phiên truy cập - Dữ liệu thống kê băng thông - Dữ liệu cảnh báo NIDS dựa vào luật có sẵn dấu hiệu bất thường Dựa máy client: - Dữ liệu nhật ký OS - Dữ liệu cảnh báo virus - Dữ liệu cảnh báo HIDS - Dữ liệu nhật ký Firewall Tuy nhiên, điểm mạnh Security Onion tồn số nhược điểm giao diện quản trị tương đối phức tạp việc tùy biến quy tắc khó khăn, địi hỏi nhiều thơi gian kiến thức hệ thống Ngoài ra, Security Onion chưa có khả back up liệu tự động Với điểm nêu Security Onion thích hợp với hệ thống vừa nhỏ có nguồn kinh phí thấp 3.4 Kết luận Chương III Chương tập trung vào việc cài đặt triển khai hệ thống Security Onion Tại chương giới thiệu chi tiết u cầu cấu trúc, mơ hình thiết lập cho hệ thống Security Onion Việc tích hợp thành phần NIDS, HIDS, giao diện quản trị làm rõ chương Các kịch xâm nhập hệ thống chuẩn bi để đánh giá khả hoạt động hệ thống phát xam nhập Security Onion download by : skknchat@gmail.com 65 KẾT LUẬN Luận văn đạt sau: - Mục đích đề tài hướng nghiên cứu tổng quan xâm nhập phát xâm nhập hệ thống thông tin mạng LAN Phân biệt phương thức công giải pháp bảo mật tiêu biểu - Bên cạnh luận văn tập trung chi tiết vào hệ thống phát xâm nhập Security Onion tích hợp thành phần phát xâm nhập mạng host Qua cung cấp cho quản trị viên hệ thống công cụ đầy đủ nhằm theo dõi, phát sớm cảnh báo dấu hiệu xâm nhập với chi phí hợp lý - Qua nghiên cứu lý thuyết, luận văn nên bước cài đặt hệ thống Sercurity Onion mơ hình mạng LAN đơn giản Các kịch công xây dựng luận để xem xét khả hoạt động đánh giá tính khả thi hệ thống Hướng phát triển luận văn: - Xây dựng tập quy tắc hệ thống tương thích với thói quen hoạt động người dùng mạng LAN, loại bỏ cảnh báo không cần thiết tránh lãng phí tài nguyên hệ thống - Tối ưu giao diện hiển thị Kibana để người quản trị hệ thống nhanh chóng tiếp cận xử lý cảnh báo dễ dàng thống kê, tạo báo cáo định kỳ download by : skknchat@gmail.com 66 DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1] Hồng Xn Dậu, Giáo trình sở an tồn thơng tin, Học viện cơng nghệ BCVT, Nhà xuất Thông tin Truyền thông, 2020 [2] Luật An ninh mạng Việt Nam năm 2018, ban hành từ ngày 01 tháng 01 năm 2019 [3] Lê Trung Nghĩa, Nghiên cứu ứng dụng hệ thống phát ngăn chặn xâm nhập cho hệ thống mạng máy tính dựa công nghệ mở, https://ictvietnam.vn/nghiencuu-ung-dung-he-thong-phat-hien-va-ngan-chan-xam-nhap-cho-he-thong-mangmay-tinh-dua-tren-cong-nghe-mo-8761.htm, truy cập tháng 05 năm 2021 [4] CSO, Top cybersecurity facts, figures and statistics for 2020, https://www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-andstatistics.html, truy cập tháng 8.2020 [5] IBM QRadar SIEM, https://www.ibm.com/vn-en/products/qradar-siem, truy cập tháng 8.2020 [6] NortonLifeLock Inc., 10 cyber security facts and statistics for 2018, https://us.norton.com/internetsecurity-emerging-threats-10-facts-about-todayscybersecurity-landscape-that-you-should-know.html, truy cập tháng 8.2020 [7] Snort, https://www.snort.org, truy cập tháng 8.2020 [8] SolarWinds Security Event Manager, https://www.solarwinds.com, truy cập tháng 8.2020 [9] Sonicwall Cyber Threat Report, https://www.sonicwall.com/2021-cyber-threat- report/, truy cập tháng 4.2021 [10] Security Onion, https://securityonion.net, truy cập tháng 8.2020 [11] OSSEC, https://www.ossec.net, truy cập tháng 8.2020 [12] Top 10 BEST Intrusion Detection Systems https://www.softwaretestinghelp.com/intrusion-detection-systems/, (IDS), truy cập tháng 5.2021 [13] 10 Best Network Intrusion Detection Systems Software & NIDS Tools, https://www.comparitech.com/net-admin/nids-tools-software/, truy cập tháng 5.2021 download by : skknchat@gmail.com ... Trình bày tổng quan xâm nhập, dạng cơng xâm nhập hệ thống phát xâm nhập Chương II: Các hệ thống phát xâm nhập Trình bày hệ thống phát xâm nhập mạng, xâm nhập host xâm nhập tích hợp Giới thiệu số... sở liệu 1.2.2 Phát xâm nhập mạng phát xâm nhập host Hệ thống IDS dựa theo kiểu phạm vi giám sát phân làm loại là: Phát xâm nhập mạng phát xâm nhập host.[3] 1.2.2.1 Phát xâm nhập mạng (NIDS - Network... nhập host 10 1.2 Tổng quan phát xâm nhập 12 1.2.1 Khái quát phát xâm nhập 12 1.2.2 Phát xâm nhập mạng phát xâm nhập host 13 1.2.3 Phát xâm nhập dựa dấu hiệu dựa bất thường