Thiết kế, xây dựng hệ thống theo dõi, phát hiện và cảnh báo hoạt động của BOTNET trong mạng các cơ quan nhà nước

Do đó việc giới thiệu, đề xuất một hệ thống theo dõi, phát hiện và cảnh báo hoạt động của Botnet trong mạng các cơ quan nhà nước là rất cấp thiết.. Mục đích nghiên cứu của bài luận văn l

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

ĐẶNG HUY HOÀNG

THIẾT KẾ, XÂY DỰNG HỆ THỐNG THEO DÕI, PHÁT HIỆN VÀ CẢNH BÁO HOẠT ĐỘNG CỦA BOTNET TRONG MẠNG CÁC CƠ QUAN NHÀ NƯỚC

Chuyên ngành: Khoa học máy tính

Mã số: 60.48.01.01

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2013

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: PGS.TSKH HOÀNG ĐĂNG HẢI

Phản biện 1: ………

Phản biện 2: ………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MỞ ĐẦU

Ngày nay khi nhắc đến Botnet (mạng máy tính ma),

là nhắc đến hiểm họa của Internet Tấn công từ chối dịch

vụ website của các tổ chức, phát tán thư rác với số lượng lớn, thu thập thông tin cá nhân về người dùng v…v… là những hành vi nguy hiểm thường thấy của Botnet Các tấn công của Botnet không ngừng gia tăng và số lượng nạn nhân ngày một nhiều Nói đến Botnet là nói đến các máy tính bị cài mã độc, được kẻ tấn công điều khiển từ xa, nhằm phục vụ cho mục đích tấn công trên mạng diện rộng Theo thống kê chưa đầy đủ của Cục A68- Bộ Công an năm 2011, đã có hơn 1500 cổng thông tin điện tử của Việt Nam bị tin tặc tấn công xâm nhập vào hệ thống để cài mã độc nhằm đánh cắp thông tin nhạy cảm và điều khiển hệ thống Cũng trong năm 2011, Việt Nam đã lọt trong TOP

5 các quốc gia có mạng lưới Botnet nhiều nhất thế giới, điều này cho thấy số lượng máy tính bị nhiễm mã độc ở Việt Nam là rất lớn Trong năm 2012, Việt Nam tiếp tục là

“đích đến” của các “hacker” với 2.500 website bị tấn công

Số lượng máy tính bị nhiễm độc gấp 3 lần thế giới với 18/1000 máy so với 7/1000 máy của thế giới

Các cuộc tấn công sử dụng Botnet đang ngày một trở nên phổ biến hiện nay với rất nhiều thủ đoạn và hình thức tấn công mới Thiệt hại do Botnet gây ra đang trở thành một mối lo mới với các nhà chức trách nói riêng và cộng đồng người sử dụng Internet nói chung Tuy nhiên các kết quả khảo sát tới nay cho thấy, nhận thức chung về

sự ảnh hưởng của Botnet của các tổ chức, doanh nghiệp, người dân còn chưa cao Nhiều nơi không rõ hoặc không biết khi máy tính, hệ thống máy tính của mình đang bị xâm hại Đặc biệt hơn trong những năm gần đây, số lượng các địa chỉ IP của Việt Nam bao gồm rất nhiều địa chỉ IP của các cơ quan nhà nước nằm trong mạng Botnet đã được phát hiện Điều nghiêm trọng hơn là các cơ quan chủ quản/đang sở hữu địa chỉ IP này lại không biết sự tồn tại của các mã độc này trong các mạng máy tính của tổ chức

Do đó việc giới thiệu, đề xuất một hệ thống theo dõi, phát hiện và cảnh báo hoạt động của Botnet trong mạng các cơ quan nhà nước là rất cấp thiết Đó cũng là chủ đề nghiên cứu của bài luận văn này

 Mục đích nghiên cứu:

Mục đích nghiên cứu của bài luận văn là: Nghiên cứu, xây dựng một hệ thống quản lý, phát hiện và cảnh báo hoạt động của Botnet trong mạng của các cơ quan nhà nước

 Phạm vi nghiên cứu:

Luận văn tập trung vào nghiên cứu các hệ thống chống Botnet của một số nước thuộc ENISA (các cơ quan bảo mật an ninh thông tin châu âu - Europa ) như: Đức, Anh? và một số quốc gia khác như Hàn Quốc, Nhật Bản

để từ đó có thể đưa ra hướng giải pháp áp dụng vào Việt Nam

 Phương pháp nghiên cứu:

Các phương pháp nghiên cứu sử dụng gồm: Khảo sát thực tiễn, nghiên cứu tình hình thực tế trên thế giới và tại Việt Nam, nghiên cứu nhu cầu thực tế của Việt Nam, khái quát và hệ thống hóa về Botnet và các hành vi của Botnet, nghiên cứu các cấu trúc nguồn dữ liệu Botnet, sử dụng các phương pháp tổng hợp, phân tích để đề xuất mô hình phát hiện, cảnh báo Botnet

 Cấu trúc luận văn:

Ngoài các phần mở đầu và kết luận, nội dung của luận văn được triển khai theo ba chương như sau:

- Chương 1: trình bày khái niệm về Botnet, các đặc trưng của Botnet, phân loại mạng Botnet, vấn đề theo dõi và cảnh báo Botnet, phân tích các kênh liên lạc và cấu trúc các nguồn dữ liệu Botnet, khái quát về hoạt động của một số mạng Botnet điển hình trên thế giới và tại Việt Nam

- Chương 2: trình bày một số hệ thống theo dõi, cảnh báo Botnet trên thế giới và đưa ra thiết kế xây dựng

hệ thống phát hiện, cảnh báo hoạt động của Botnet trong mạng cơ quan nhà nước tại Việt Nam

- Chương 3: trình bày một số kết quả thử nghiệm hệ thống đã xây dựng bao gồm các nội dung: mô hình kiểm thử, kịch bản kiểm thử, triển khai thử nghiệm

và đánh giá hệ thống

CHƯƠNG I: TỔNG QUAN VỀ BOTNET

VÀ PHÁT HIỆN, CẢNH BÁO BOTNET 1.1 Khái niệm về botnet

1.1.1 Khái niệm bot, botnet

Bot (là viết tắt của Robot tức các chương trình tự động hóa chứ không phải người máy như định nghĩa chúng ta vẫn gọi) là ứng dụng phần mềm tự động thực thi các nhiệm vụ trên mạng Internet Thông thường Bot thực hiện các nhiệm vụ đơn giản được lập trình sẵn và có cấu trúc lặp đi lặp lại với tốc độ cao hơn một người bình

thường

Một Botnet được định nghĩa là một “mạng gồm rất

nhiều máy tính bị xâm nhập và có thể được kẻ tấn công điều khiển từ xa” “Máy tính bị xâm nhập” là máy tính bị

lây nhiễm phần mềm độc hại (Bot) Như vậy, Botnet là tập hợp các Bot được sử dụng với mục đích xấu Botmaster là

một người hoặc một nhóm người điều khiển Botnet

1.1.2 Mục đích sử dụng của Botnet

Botnet không hơn gì một công cụ, có nhiều động cơ khác nhau để sử dụng chúng Chúng được sử dụng phổ biến nhất với mục đích phá hoại và tài chính Botnet có thể

làm bất kỳ điều gì mà chúng ta có thể tưởng tượng làm được với một tập hợp các máy tính đã kết nối mạng Khả năng sử dụng các máy tính bị chiếm quyền điều khiển chỉ phụ thuộc vào trí tưởng tượng và kỹ năng của kẻ tấn công Dựa trên các dữ liệu đã biết, những khả năng sử dụng Botnet phổ biến có thể được phân loại như liệt kê dưới đây:

- Lây nhiễm sang máy tính khác

- Tấn công từ chối dịch vụ phân tán

- Tấn công tràn ngập (Flooding attacks)

- Tải về cài đặt

- Gửi thư rác và Email lừa đảo

- Lưu trữ và phân phối dữ liệu bất hợp pháp

- Khai thác dữ liệu

- Lạm dung Google Adsence

- Thao tác với thăm dò bầu cử/ các cuộc thi trực tuyến

1.2 Đặc trƣng của Botnet

Đầu tiên, Botnet là một hệ thống Hệ thống này có thể giao tiếp với nhau, các Bot cấp thấp báo cáo kết quả quét hệ thống đã thực hiện được đến trung tâm chỉ huy,

cũng như tiếp nhận mệnh lệnh và cập nhật Vì vậy khi phân tích Botnet, các nhà nghiên cứu không chỉ cần tìm ra các chương trình độc hại mà còn phải tìm được hệ thống của chính những kẻ tấn công

Thứ hai, các máy tính tham gia vào một Botnet khi

đã bị xâm nhập Máy tính có thể bị xâm nhập bằng nhiều cách khác nhau, ví dụ, thông qua lỗ hổng của ứng dụng hay hệ điều hành, khai thác các đoạn mã tự động, phần mềm độc hại dựa trên nền web (lừa đảo, tải về miễn phí),…

Thứ ba, Bot có thể được điều khiển từ xa Bot báo cáo kết quả và nhận mệnh lệnh từ hệ thống chỉ huy và điều khiển (C&C) Do đó, kẻ tấn công có thể tận dụng khả năng của hầu hết các máy tính bị nhiễm trong Botnet Hệ thống điều khiển Botnet có thể tập trung hoặc phân cấp

1.3 Phân loại mạng Botnet

Có nhiều cách phân loại Botnet, nhưng trong khuôn khổ luận văn này tôi xin đưa ra cách phân loại dựa theo hoạt động của Botnet đó là: mạng tập trung, mạng phân tán hay ngang hàng (Peer-to-Peer)

1.4 Các kênh liên lạc của Botnet

Botnet được xem là một trong những mối đe dọa an ninh nghiêm trọng nhất hiện nay Sự khác biệt đáng chú ý nhất giữa Botnet và các phần mềm độc hại truyền thống khác là kênh chỉ huy và điều khiển Botnet Kênh chỉ huy

và điều khiển Botnet tương đối ổn định và không thay đổi giữa các Bot, đây là cơ chế cần thiết cho phép Botmaster chỉ đạo hành động của các Bot trong Botnet Ban đầu Botnet chỉ giới hạn trong mạng Botnet dựa trên IRC, và Bot là phần mềm Trojan hoặc backdoor Cùng với các giao thức mạng khác được tin tặc sử dụng trong Botnet, các nhà nghiên cứu nhận ra bản chất của Botnet, cơ chế chỉ huy và điều khiển ngày càng nhiều Kênh chỉ huy và điều khiển

có thể là máy chủ IRC, máy chủ Web, các nút trong cấu trúc mạng Peer-to-Peer, các máy chủ DNS, v.v

1.5 Các nguồn dữ liệu phục vụ cho việc phát hiện

và cảnh báo Botnet

1.5.1 Một số phương thức thu thập dữ liệu phổ biến

 Nguồn dữ liệu từ DNS

 Nguồn dữ liệu từ Netflow

 Nguồn dữ liệu từ Packet Tap

 Nguồn dữ liệu từ cấp phát địa chỉ

 Nguồn dữ liệu từ Honeypot

 Nguồn dữ liệu từ máy chủ dữ liệu

1.5.2 Thu thập dữ liệu về Botnet thông qua các thiết

bị trên mạng

 Firewall (tường lửa)

 IDS/IPS (hệ thống phát hiện xâm nhập/ hệ thống phòng chống xâm nhập)

người với hàng ngàn mục đích bất chính khác nhau nhằm phục vụ lợi ích cho chính bản thân họ, gây ra các rủi ro cho người dùng khi sử dụng Internet Nó không những chỉ ảnh hưởng đến một cá nhân đặc biệt nào mà còn tiềm ẩn nguy cơ đến tất cả người dùng sử dụng môi trường Internet Đó được gọi là một dạng tội phạm công nghệ cao Việt Nam cũng chịu tác động không nhỏ từ những rủi

ro do Botnet gây ra Trong khuôn khổ luận văn này sẽ đề cập đến tình hình hoạt động của các mạng Botnet điển hình hiện nay trên thế giới như: flastflux, nitol, zbot/zeus cũng như ảnh hưởng của chúng tại Việt Nam

CHƯƠNG II: NGHIÊN CỨU, GIỚI THIỆU

HỆ THỐNG PHÁT HIỆN, CẢNH BÁO HOẠT ĐỘNG CỦA BOTNET TRONG MẠNG CƠ QUAN NHÀ NƯỚC

2.1 Một số hệ thống theo dõi và cảnh báo Botnet điển hình trên thế giới

2.1.4 Đánh giá chung

Thông qua cách xem xét ba hệ thống điển hình đã nêu ở trên của Nhật Bản, Hàn Quốc và CHLB Đức để phát hiện được Botnet ta phải:

- Thiết lập các máy chủ DNS để giám sát các truy vấn, xây dựng hệ thống chống Botnet có thể tạo lập DNS giả để kết nối với DNS thật để lấy thông tin cần thiết

- Xây dựng hệ thống Honeypot, Honeynet phân cấp

- Thiết lập các hệ thống thu thập nguồn dữ liệu thông qua DNS, Netflow, PacketTap, máy chủ dữ liệu, honeypot…

2.2 Xây dựng hệ thống phát hiện cảnh báo Botnet trong mạng các cơ quan nhà nước tại Việt Nam

2.2.1 Yêu cầu chức năng đối với hệ thống

Đối với hệ thống cần có các chức năng sau:

Cập nhật dữ liệu từ nhiều nguồn dữ liệu khác nhau (thông qua giám sát các địa chỉ IP của nguồn dữ liệu IP từ các tổ chức trong nước và ngoài nước)

Quản lý danh sách địa chỉ IP của các cơ quan nhà nước

Xử lý và cảnh báo cho các đơn vị bị sự cố: Hệ thống gửi email cảnh báo khi địa chỉ IP của đơn vị nằm trong danh sách dữ liệu địa chỉ IP bị nhiễm

Quản lý người dùng hệ thống

2.2.2 Mô hình kiến trúc của hệ thống

Mô hình kiến trúc của hệ thống

Hình 2.1 Mô hình kiến trúc của hệ thống theo dõi,

cảnh báo botnet tại Việt Nam.

2.2.3 Nguyên lý hoạt động của hệ thống

Bước 01: Dữ liệu thu thập từ các nguồn (thông qua

kênh Email với các tổ chức quốc tế như Shadow Server,

Microsoft, các Cert quốc tế… và hệ thống thu thập logfile – Arcsight tại Việt nam) được chuẩn hóa theo định dạng trước

Bước 02: Dữ liệu sau khi được chuẩn hóa bởi

chuyên viên quản trị dữ liệu sẽ được chuyển vào máy chủ

cơ sở dữ liệu

Bước 03: Module phát hiện địa chỉ IP thực hiện tìm

kiếm các địa chỉ IP của cơ quan nhà nước

Bước 04: Trường hợp nếu có địa chỉ IP của cơ quan

nhà nước nằm trong danh sách dữ liệu địa chỉ IP vừa được chuẩn hóa ở bước 02 thì hệ thống sẽ hiển thị lên giao diện web và gửi thông báo cho quản trị viên để quản trị viên biết được các địa chỉ IP đang nằm trong mạng botnet và thực hiện cảnh báo cho các đơn vị

Bước 05: Các cơ quan có tài khoản hệ thống, khi

nhận được cảnh báo sẽ sử dụng tài khoản được cấp để: Xử

lý cảnh báo đã nhận từ bước 04 dựa trên các tài liệu hướng dẫn đã có trên website và theo dõi tình trạng của sự cố

2.2.4 Biểu đồ Usecase

a Các tác nhân trong hệ thống

- Admin

- Quản trị viên

- Các cơ quan nhà nước

b Usecase chính trong hệ thống

- Đăng nhập, đăng xuất, thực hiện cập nhật,

so sánh, thông báo dữ liệu Botnet

2.2.5 Thiết kế cơ sở dữ liệu

Hình 2.2 Mô hình cơ sở dữ liệu của hệ thống 2.2.6 Thiết kế các giao diện cho hệ thống

Phần này đưa ra các thiết kế giao diện cho hệ thống như giao diện dành cho admin, quản trị viên và các giao diện cho người dùng (các cơ quan nhà nước)

2.3 Xây dựng cơ chế cảnh báo đến các cơ quan nhà nước

Từ những phân tích về một số mạng Botnet điển hình trên, cũng như tác hại của nó gây ra vì vậy việc xây dựng các cơ chế cảnh báo tới các cơ quan nhà nước là rất cần thiết Xây dựng cơ chế cảnh báo các hoạt động của mạng Botnet đến các cơ quan, tổ chức nhà nước hay kênh trao đổi thông tin đến các cơ quan, tổ chức này để đảm bảo thông tin được trao đổi, cập nhật thường xuyên, và đảm bảo cho các hoạt động cảnh báo Botnet đến các cơ quan, tổ chức đang bị nhiễm Botnet Kênh trao đổi thông tin tối thiểu gồm có:

Kênh cảnh báo: Email, Công văn, điện thoại, fax, thư điện tử

Kênh hỗ trợ: Email, website, điện thoại

Cũng qua các kênh hỗ trợ này hệ thống sẽ cảnh báo cho các cơ quan nhà nước nếu có sự xâm nhập của mạng Botnet một cách chính xác, nhanh chóng Và giảm thiểu thiệt hại do Botnet gây ra

CHƯƠNG 3 : THỬ NGHIỆM HỆ THỐNG 3.1 Mô hình kiểm thử cho tình huống thực tế

3.1.1 Mô tả tình huống

Giả thiết đầu vào: khoảng tháng 7 năm 2013 nhiều

các trang báo điện tử của Việt Nam đồng loạt bị tấn công

từ chối dịch vụ như dantri.com.vn, vietnamnet.vn, tuoitre.vn

Theo thông tin Trung tâm VNCERT nhận được và qua quá trình theo dõi khảo sát, trung tâm VNCERT có rất nhiều địa chỉ IP của Việt Nam tham gia tấn công và nhiều loại bot khác cùng được sử dụng để tấn công

Yêu cầu đầu ra: kiểm tra, tìm kiếm các địa chỉ IP

của cơ quan nhà nước đang nằm trong mạng Botnet và tham gia tấn công DDoS vào các trang báo này để cảnh báo và hướng dẫn các đơn vị loại bỏ mã độc trên hệ thống của mình

3.1.2 Mô hình kiểm thử cho tình huống

Mô hình kiểm thử hệ thống cho tình huống trên được mô tả như hình 3.1 dưới đây:

Hình 3.1 Mô hình kiểm thử cho hệ thống

3.2 Các bước triển khai kiểm thử hệ thống

(i) Đối với chuyên viên quản trị thực hiện các bước sau:

Bước 01: Chuyên viên kiểm tra Email khi có thông

báo sự cố botnet Trong bước này chuyên viên cần đảm bảo không nhận các email giả mạo

Bước 02: Chuyên viên lấy dữ liệu từ email (Có thể

từ file đính kèm thông báo, hoặc có thể tải về từ link- liên kết gửi cùng thông báo)

Chú ý: Trong bước này chuyên viên quản trị đảm bảo sự an toàn cho dữ liệu cũng như máy tính của mình

Cần kiểm tra các liên kết và các tệp tin tải về có bị nhiễm

Bước 06: Gửi cảnh báo (theo mẫu gửi cảnh báo có

trong phần phụ lục) cho các cơ quan nhà nước có địa chỉ

IP tham gia vào mạng Botnet

(ii) Đối với các đơn vị (các cơ quan nhà nước):

Nhận được cảnh báo thông qua email mà chuyên viên quản trị đã gửi

Truy cập vào website (thông qua user và password

đã được cấp) để cập nhật và lấy thông tin, hướng dẫn xử lý

sự cố Botnet

3.3 Các chức năng quản trị hệ thống

Các chức năng chính trong hệ thống là: