Thông tin tài liệu
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
ĐẶNG HUY HOÀNG
THIẾT KẾ, XÂY DỰNG HỆ THỐNG THEO DÕI, PHÁT
HIỆN VÀ CẢNH BÁO HOẠT ĐỘNG CỦA BOTNET
TRONG MẠNG CÁC CƠ QUAN NHÀ NƢỚC
Chuyên ngành: Khoa học máy tính
Mã số: 60.48.01.01
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI - 2013
1
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: PGS.TSKH. HOÀNG ĐĂNG HẢI
Phản biện 1: …………………………………………………
Phản biện 2: …………………………………………………
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ
tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: giờ ngày tháng năm
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
2
MỞ ĐẦU
Ngày nay khi nhắc đến Botnet (mạng máy tính ma),
là nhắc đến hiểm họa của Internet. Tấn công từ chối dịch
vụ website của các tổ chức, phát tán thư rác với số lượng
lớn, thu thập thông tin cá nhân về người dùng v…v… là
những hành vi nguy hiểm thường thấy của Botnet. Các tấn
công của Botnet không ngừng gia tăng và số lượng nạn
nhân ngày một nhiều. Nói đến Botnet là nói đến các máy
tính bị cài mã độc, được kẻ tấn công điều khiển từ xa,
nhằm phục vụ cho mục đích tấn công trên mạng diện rộng.
Theo thống kê chưa đầy đủ của Cục A68- Bộ Công an
năm 2011, đã có hơn 1500 cổng thông tin điện tử của Việt
Nam bị tin tặc tấn công xâm nhập vào hệ thống để cài mã
độc nhằm đánh cắp thông tin nhạy cảm và điều khiển hệ
thống. Cũng trong năm 2011, Việt Nam đã lọt trong TOP
5 các quốc gia có mạng lưới Botnet nhiều nhất thế giới,
điều này cho thấy số lượng máy tính bị nhiễm mã độc ở
Việt Nam là rất lớn. Trong năm 2012, Việt Nam tiếp tục là
“đích đến” của các “hacker” với 2.500 website bị tấn công.
Số lượng máy tính bị nhiễm độc gấp 3 lần thế giới với
18/1000 máy so với 7/1000 máy của thế giới.
3
Các cuộc tấn công sử dụng Botnet đang ngày một
trở nên phổ biến hiện nay với rất nhiều thủ đoạn và hình
thức tấn công mới. Thiệt hại do Botnet gây ra đang trở
thành một mối lo mới với các nhà chức trách nói riêng và
cộng đồng người sử dụng Internet nói chung. Tuy nhiên
các kết quả khảo sát tới nay cho thấy, nhận thức chung về
sự ảnh hưởng của Botnet của các tổ chức, doanh nghiệp,
người dân còn chưa cao. Nhiều nơi không rõ hoặc không
biết khi máy tính, hệ thống máy tính của mình đang bị
xâm hại. Đặc biệt hơn trong những năm gần đây, số lượng
các địa chỉ IP của Việt Nam bao gồm rất nhiều địa chỉ IP
của các cơ quan nhà nước nằm trong mạng Botnet đã được
phát hiện. Điều nghiêm trọng hơn là các cơ quan chủ
quản/đang sở hữu địa chỉ IP này lại không biết sự tồn tại
của các mã độc này trong các mạng máy tính của tổ chức.
Do đó việc giới thiệu, đề xuất một hệ thống theo dõi, phát
hiện và cảnh báo hoạt động của Botnet trong mạng các cơ
quan nhà nước là rất cấp thiết. Đó cũng là chủ đề nghiên
cứu của bài luận văn này.
Mục đích nghiên cứu:
4
Mục đích nghiên cứu của bài luận văn là: Nghiên
cứu, xây dựng một hệ thống quản lý, phát hiện và cảnh
báo hoạt động của Botnet trong mạng của các cơ quan nhà
nước.
Phạm vi nghiên cứu:
Luận văn tập trung vào nghiên cứu các hệ thống
chống Botnet của một số nước thuộc ENISA (các cơ quan
bảo mật an ninh thông tin châu âu - Europa ) như: Đức,
Anh? và một số quốc gia khác như Hàn Quốc, Nhật Bản
để từ đó có thể đưa ra hướng giải pháp áp dụng vào Việt
Nam.
Phương pháp nghiên cứu:
Các phương pháp nghiên cứu sử dụng gồm: Khảo
sát thực tiễn, nghiên cứu tình hình thực tế trên thế giới và
tại Việt Nam, nghiên cứu nhu cầu thực tế của Việt Nam,
khái quát và hệ thống hóa về Botnet và các hành vi của
Botnet, nghiên cứu các cấu trúc nguồn dữ liệu Botnet, sử
dụng các phương pháp tổng hợp, phân tích để đề xuất mô
hình phát hiện, cảnh báo Botnet.
Cấu trúc luận văn:
5
Ngoài các phần mở đầu và kết luận, nội dung của
luận văn được triển khai theo ba chương như sau:
- Chương 1: trình bày khái niệm về Botnet, các đặc
trưng của Botnet, phân loại mạng Botnet, vấn đề
theo dõi và cảnh báo Botnet, phân tích các kênh
liên lạc và cấu trúc các nguồn dữ liệu Botnet, khái
quát về hoạt động của một số mạng Botnet điển
hình trên thế giới và tại Việt Nam.
- Chương 2: trình bày một số hệ thống theo dõi, cảnh
báo Botnet trên thế giới và đưa ra thiết kế xây dựng
hệ thống phát hiện, cảnh báo hoạt động của Botnet
trong mạng cơ quan nhà nước tại Việt Nam.
- Chương 3: trình bày một số kết quả thử nghiệm hệ
thống đã xây dựng bao gồm các nội dung: mô hình
kiểm thử, kịch bản kiểm thử, triển khai thử nghiệm
và đánh giá hệ thống.
6
CHƢƠNG I: TỔNG QUAN VỀ BOTNET
VÀ PHÁT HIỆN, CẢNH BÁO BOTNET
1.1. Khái niệm về botnet
1.1.1. Khái niệm bot, botnet
Bot (là viết tắt của Robot tức các chương trình tự
động hóa chứ không phải người máy như định nghĩa
chúng ta vẫn gọi) là ứng dụng phần mềm tự động thực thi
các nhiệm vụ trên mạng Internet. Thông thường Bot thực
hiện các nhiệm vụ đơn giản được lập trình sẵn và có cấu
trúc lặp đi lặp lại với tốc độ cao hơn một người bình
thường.
Một Botnet được định nghĩa là một “mạng gồm rất
nhiều máy tính bị xâm nhập và có thể được kẻ tấn công
điều khiển từ xa”. “Máy tính bị xâm nhập” là máy tính bị
lây nhiễm phần mềm độc hại (Bot). Như vậy, Botnet là tập
hợp các Bot được sử dụng với mục đích xấu. Botmaster là
một người hoặc một nhóm người điều khiển Botnet.
1.1.2. Mục đích sử dụng của Botnet
Botnet không hơn gì một công cụ, có nhiều động cơ
khác nhau để sử dụng chúng. Chúng được sử dụng phổ
biến nhất với mục đích phá hoại và tài chính. Botnet có thể
7
làm bất kỳ điều gì mà chúng ta có thể tưởng tượng làm
được với một tập hợp các máy tính đã kết nối mạng. Khả
năng sử dụng các máy tính bị chiếm quyền điều khiển chỉ
phụ thuộc vào trí tưởng tượng và kỹ năng của kẻ tấn công.
Dựa trên các dữ liệu đã biết, những khả năng sử dụng
Botnet phổ biến có thể được phân loại như liệt kê dưới
đây:
- Lây nhiễm sang máy tính khác.
- Tấn công từ chối dịch vụ phân tán.
- Tấn công tràn ngập (Flooding attacks).
- Tải về cài đặt.
- Gửi thư rác và Email lừa đảo.
- Lưu trữ và phân phối dữ liệu bất hợp pháp.
- Khai thác dữ liệu.
- Lạm dung Google Adsence.
- Thao tác với thăm dò bầu cử/ các cuộc thi trực
tuyến.
1.2. Đặc trƣng của Botnet
Đầu tiên, Botnet là một hệ thống. Hệ thống này có
thể giao tiếp với nhau, các Bot cấp thấp báo cáo kết quả
quét hệ thống đã thực hiện được đến trung tâm chỉ huy,
8
cũng như tiếp nhận mệnh lệnh và cập nhật. Vì vậy khi
phân tích Botnet, các nhà nghiên cứu không chỉ cần tìm ra
các chương trình độc hại mà còn phải tìm được hệ thống
của chính những kẻ tấn công.
Thứ hai, các máy tính tham gia vào một Botnet khi
đã bị xâm nhập. Máy tính có thể bị xâm nhập bằng nhiều
cách khác nhau, ví dụ, thông qua lỗ hổng của ứng dụng
hay hệ điều hành, khai thác các đoạn mã tự động, phần
mềm độc hại dựa trên nền web (lừa đảo, tải về miễn
phí),…
Thứ ba, Bot có thể được điều khiển từ xa. Bot báo
cáo kết quả và nhận mệnh lệnh từ hệ thống chỉ huy và điều
khiển (C&C). Do đó, kẻ tấn công có thể tận dụng khả năng
của hầu hết các máy tính bị nhiễm trong Botnet. Hệ thống
điều khiển Botnet có thể tập trung hoặc phân cấp.
1.3. Phân loại mạng Botnet
Có nhiều cách phân loại Botnet, nhưng trong khuôn
khổ luận văn này tôi xin đưa ra cách phân loại dựa theo
hoạt động của Botnet đó là: mạng tập trung, mạng phân
tán hay ngang hàng (Peer-to-Peer).
1.4. Các kênh liên lạc của Botnet
9
Botnet được xem là một trong những mối đe dọa an
ninh nghiêm trọng nhất hiện nay. Sự khác biệt đáng chú ý
nhất giữa Botnet và các phần mềm độc hại truyền thống
khác là kênh chỉ huy và điều khiển Botnet. Kênh chỉ huy
và điều khiển Botnet tương đối ổn định và không thay đổi
giữa các Bot, đây là cơ chế cần thiết cho phép Botmaster
chỉ đạo hành động của các Bot trong Botnet. Ban đầu
Botnet chỉ giới hạn trong mạng Botnet dựa trên IRC, và
Bot là phần mềm Trojan hoặc backdoor. Cùng với các giao
thức mạng khác được tin tặc sử dụng trong Botnet, các nhà
nghiên cứu nhận ra bản chất của Botnet, cơ chế chỉ huy và
điều khiển ngày càng nhiều. Kênh chỉ huy và điều khiển
có thể là máy chủ IRC, máy chủ Web, các nút trong cấu
trúc mạng Peer-to-Peer, các máy chủ DNS, v.v
1.5. Các nguồn dữ liệu phục vụ cho việc phát hiện
và cảnh báo Botnet
1.5.1. Một số phương thức thu thập dữ liệu
phổ biến
Nguồn dữ liệu từ DNS
Nguồn dữ liệu từ Netflow
Nguồn dữ liệu từ Packet Tap
[...]... cho hoạt động ngăn chặn những hành vi của Botnet gây ra Thông qua hệ thống theo dõi, phát hiện và cảnh báo hoạt động của Botnet trong mạng các cơ quan nhà nước sẽ giúp cho các cơ quan chức năng ngoài việc theo dõi phát hiện và cảnh báo hoạt động của Botnet còn cho thấy được: tình hình an toàn, an ninh thông tin trong các cơ quan nhà nước cũng như nhận thức của các cơ quan nhà nước Từ đó các cơ quan. .. ra thiết kế xây dựng một hệ thống phát hiện, cảnh báo hoạt động của Botnet trong mạng cơ quan nhà nước tại Việt Nam - Thực hiện thử nghiệm hệ thống với các nội dung: xây dựng mô hình kiểm thử và một số kịch bản kiểm thử, triển khai thử nghiệm và đánh giá hệ thống Các định hướng nghiên cứu tiếp theo của bài gồm: 25 -Xây dựng hoàn chỉnh hệ thống theo dõi, phát hiện, cảnh báo Botnet trong mạng các cơ quan. .. dữ liệu 23 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Việc xây dựng hệ thống theo dõi, phát hiện và cảnh báo hoạt động của Botnet trong mạng các cơ quan nhà nước là rất cần thiết nhằm mục đích hỗ trợ, cảnh báo các nguy cơ tấn công do mạng lưới Botnet gây ra cho các cơ quan nhà nước Qua đó giúp cảnh báo sớm, giảm bớt thiệt hại về tài sản cũng như về kinh tế của các đơn vị nhà nước do mạng lưới Botnet gây ra Đồng thời,... mạng Botnet điển hình trên, cũng như tác hại của nó gây ra vì vậy việc xây dựng các cơ chế cảnh báo tới các cơ quan nhà nước là rất cần thiết Xây dựng cơ chế cảnh báo các hoạt động của mạng Botnet đến các cơ quan, tổ chức nhà nước hay kênh trao đổi thông tin đến các cơ quan, tổ chức này để đảm bảo thông tin được trao đổi, cập nhật thường xuyên, và đảm bảo cho các hoạt động cảnh báo Botnet đến các cơ. .. HỆ THỐNG PHÁT HIỆN, CẢNH BÁO HOẠT ĐỘNG CỦA BOTNET TRONG MẠNG CƠ QUAN NHÀ NƢỚC 2.1 Một số hệ thống theo dõi và cảnh báo Botnet điển hình trên thế giới 2.1.1 Hệ thống của Hàn Quốc Hàn Quốc sử dụng hệ thống DNS Sinkhole để thu thập, phòng chống Botnet 2.1.2 Hệ thống của Nhật Bản Hệ thống phát hiện và phòng chống botnet của Nhật Bản sử dụng Honey-port để làm mồi và thu thập botnet 2.1.3 .Hệ thống “Anti Botnet. .. các giải pháp để tình hình an toàn thông tin của Việt Nam theo xu hướng tích cực hơn Với mục tiêu đặt ra là nghiên cứu, xây dựng một hệ thống quản lý, phát hiện và cảnh báo hoạt động của Botnet 24 trong mạng của các cơ quan nhà nước, bài luận văn đã đạt được các kết quả nghiên cứu chủ yếu sau đây: - Trình bày tổng quan về Botnet với các đặc trưng và phân loại mạng Botnet, nhu cầu theo dõi và cảnh báo. .. nghệ theo dõi, phát hiện, cảnh báo mới trên thế giới cho hệ thống đáp ứng tốt các chức năng đã đề ra - Nghiên cứu tiếp theo là cải tiến tốc độ và hiệu quả của phương pháp phát hiện (detection method) Điều này 26 rất quan trong và có ý nghĩa thực tiễn vì một hệ thống theo dõi, phát hiện, cảnh báo Botnet cần phải phát hiện được Botnet trong thời gian thực (ví dụ, Botnet cần được phát hiện chỉ sau một vài... nhập, đăng xuất, thực hiện cập nhật, so sánh, thông báo dữ liệu Botnet 2.2.5 Thiết kế cơ sở dữ liệu Hình 2.2 Mô hình cơ sở dữ liệu của hệ thống 2.2.6 Thiết kế các giao diện cho hệ thống Phần này đưa ra các thiết kế giao diện cho hệ thống như giao diện dành cho admin, quản trị viên và các giao diện cho người dùng (các cơ quan nhà nước) 17 2.3 Xây dựng cơ chế cảnh báo đến các cơ quan nhà nƣớc Từ những phân... (thông qua giám sát các địa chỉ IP của nguồn dữ liệu IP từ các tổ chức trong nước và ngoài nước) Quản lý danh sách địa chỉ IP của các cơ quan nhà nước 14 Xử lý và cảnh báo cho các đơn vị bị sự cố: Hệ thống gửi email cảnh báo khi địa chỉ IP của đơn vị nằm trong danh sách dữ liệu địa chỉ IP bị nhiễm Quản lý người dùng hệ thống 2.2.2 Mô hình kiến trúc của hệ thống Mô hình kiến trúc của hệ thống Hình 2.1 Mô... 06: Gửi cảnh báo (theo mẫu gửi cảnh báo có trong phần phụ lục) cho các cơ quan nhà nước có địa chỉ IP tham gia vào mạng Botnet (ii) Đối với các đơn vị (các cơ quan nhà nước) : Nhận được cảnh báo thông qua email mà chuyên viên quản trị đã gửi Truy cập vào website (thông qua user và password đã được cấp) để cập nhật và lấy thông tin, hướng dẫn xử lý sự cố Botnet 3.3 Các chức năng quản trị hệ thống Các chức . việc xây
dựng các cơ chế cảnh báo tới các cơ quan nhà nước là rất
cần thiết. Xây dựng cơ chế cảnh báo các hoạt động của
mạng Botnet đến các cơ quan, . nghiên cứu của bài luận văn là: Nghiên
cứu, xây dựng một hệ thống quản lý, phát hiện và cảnh
báo hoạt động của Botnet trong mạng của các cơ quan nhà
nước.
Ngày đăng: 17/02/2014, 09:45
Xem thêm: Thiết kế, xây dựng hệ thống theo dõi, phát hiện và cảnh báo hoạt động của BOTNET trong mạng các cơ quan nhà nước, Thiết kế, xây dựng hệ thống theo dõi, phát hiện và cảnh báo hoạt động của BOTNET trong mạng các cơ quan nhà nước