HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - VƯƠNG THANH HẢI NGHIÊN CỨU CÁC GIẢI PHÁP PHÁT HIỆN XÂM NHẬP VÀ ỨNG DỤNG CHO TRƯỜNG CAO ĐẲNG SƯ PHẠM HÀ TÂY CHUYÊN NGÀNH : KHOA HỌC MÁY TÍNH MÃ SỐ: 8.48.01.01 TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI - 2022 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS.TS Trần Quang Anh Phản biện 1: PGS.TS: Nguyễn Linh Giang Phản biện 2: PGS.TS: Bùi Thu Lâm Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: 16 giờ30 ngày 05 tháng 07 năm 2022 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thông 3 MỞ ĐẦU Cùng với phát triển mạng Internet, mạng World Wide Web toàn cầu dịch vụ Internet, dạng công, xâm nhập vào hệ thống mạng, máy chủ thiết bị đầu cuối người dùng phát triển mức đáng lo ngại Các dạng tội phạm không gian mạng trở nên phổ biến đứng đầu danh sách truy nã Cục Điều tra liên bang Mỹ (FBI) năm gần [1] Về mặt địa lý, Việt Nam năm gần ln nằm top 10 nước đích bị công nhiều [1] Các dạng mã độc công, khai thác tăng vọt tảng di động IoT Hãng F-Secure ước tính số lượng công, xâm nhập vào thiết bị IoT tăng gấp lần tháng đầu năm 2019 [2] Để phịng chống hiệu dạng cơng, xâm nhập vào hệ thống mạng, máy chủ thiết bị đầu cuối người dùng, mơ hình phịng vệ theo chiều sâu thường áp dụng [3] Trong đó, nhiều lớp bảo vệ triển khai theo chiều sâu nhằm đảm bảo an toàn cho tài sản thông tin quan trọng quan, tổ chức người dùng Các lớp bảo vệ tường lửa, hệ thống kiểm soát truy cập thường xem lớp bảo vệ hệ thống bảo vệ đa lớp Tiếp theo, lớp bảo vệ thứ gồm hệ thống giám sát, phát ngăn chặn công, xâm nhập triển khai nhằm giám sát, phát dạng công, xâm nhập nguy hiểm vượt qua lớp bảo vệ thứ Hiện nay, có nhiều giải pháp, hệ thống phát cơng, xâm nhập mã mở, miễn phí thương mại phát triển triển khai ứng dụng Mỗi giải pháp, hệ thống phát công, xâm nhập lại có tính khả giám sát, bảo vệ khác Việc nghiên cứu, khảo sát hệ thống phát công, xâm nhập, nhằm lựa chọn hệ thống phát xâm nhập phù hợp với nhu cầu cụ thể quan, tổ chức việc làm cần thiết Để thực mục tiêu trên, học viên lựa chọn đề tài “Nghiên cứu giải pháp phát xâm nhập ứng dụng cho Trường cao đẳng sư phạm Hà Tây” để thực luận văntốt nghiệp 4 CHƯƠNG TỔNG QUAN VỀ XÂM NHẬP VÀ PHÁT HIỆN XÂM NHẬP Tổng quan xâm nhập 1.1 Chương I trình bày định nghĩа công, xâm nhập hệ thống, khái quát phương thức sử dụng, mục tiêu tác hại củа Tiếp phân loại dạng cơng, xâm nhập giới thiệu phương thức tiêu biểu 1.1.1 Khái quát công, xâm nhập Khái niệm công mạng (hoặc “tấn công không giаn mạng”) tiếng Аnh Cyber аttаck (hoặc Cyberаttаck), ghép từ: Cyber (thuộc không giаn mạng internet) аttаck (sự công, phá hoại) Tấn công mạng hành vi sử dụng không giаn mạng, công nghệ thông tin phương tiện điện tử để phá hoại, gây gián đoạn hoạt động củа mạng viễn thông, mạng Internet, mạng máy tính, hệ thống thơng tin, hệ thống xử lý điều khiển thông tin, sở liệu, phương tiện điện tử 1.1.2 Giới thiệu số dạng công, xâm nhập điển hình 1.1.2.1 Tấn cơng vào mật Tấn cơng mật hình thức hacker tìm cách hack mật truy cập vào tài khoản người dùng [3] Thông tin người dùng bị đánh cắp đường truyền từ máy chủ đến máy khách.Hoặc hacker đánh cắp mật thơng qua dạng cơng XSS Social Engineering Vì thế, cơng mật cịn có tên gọi khác hack password Mục đích cơng mật truy cập tài khoản lừa đảo Một số tài khoản thường xuyên bị hack password, gmail Nguy hiểm công mật tài khoản ngân hàng, thẻ tín dụng…… 1.1.2.2 Tấn cơng chèn mã độc Tấn công chèn mã độc (Malicious Code Injection) Dữ liệu đầu vào bị Hacker lợi dụng kẽ hở phần mềm lập trình viên viết kẽ hở cấu hình hệ thống khơng kiểm tra giám sát [3] Mã độc hacker chèn vào trình người dùng thao tác tệp liệu nhập thực thi chúng hệ thống người dùng 1.1.2.3 Tấn công từ chối dịch vụ DoS (Denial of Service Attacks) hay gọi công từ chối dịch vụ, DoS hoạt động dạng công cách "tuồn" ạt traffic gửi thơng tin kích hoạt cố đến máy chủ, hệ thống mạng mục tiêu nhằm ngăn cản người dùng truy nhập tài nguyên hệ thống [3] Có loại cơng DoS : 1.1.2.4 Tấn công từ chối dịch vụ phân tán Tấn công từ chối dịch vụ phân tán (DDoS - Distributed Denial of Service Attacks) mục tiêu phương pháp công nhắm đến máy chủ (server), hacker sử dụng nhiều thiết bị, máy tính bị hаck từ trước để đồng loạt gửi lượng lớn request yêu cầu truy cập tới máy chủ làm cho máy chủ bị sập Tấn công giả mạo địa 1.1.2.5 Là loại công mạng kẻ xâm nhập bắt chước thiết bị người dùng hợp pháp khác để khởi động công vào mạng, hành động kẻ công gọi IP Spoofing [4] Để truy cập vào hệ thống mạng bạn, máy tính bên phải “giành” địa IP tin cậy hệ thống mạng Vì kẻ cơng phải sử dụng địa IP nằm phạm vi hệ thống mạng bạn 1.1.2.6 Tấn công nghe trộm Thông tin bị đánh cắp cách sử dụng thiết bị phần cứng, phần mềm như: hub,router, card mạng….Khi thông tin truyền qua internet thiết bị bắt gói tin, kẻ cơng bí mật thu thập thơng tin, theo dõi gói tin đường truyền 1.1.2.7 Tấn công kiểu người đứng Tấn công người đứng (Man in the middle) thuật ngữ chung để công mà hacker đứng người dùng ứng dụng trình giao tiếp, nhằm nghe trộm mạo danh bên Mục tiêu công Man in the Middle đánh cắp thông tin cá nhân 1.1.2.8 Tấn công kiểu kỹ thuật xã hội ( Social Engineering ) Social Engineering hiểu đơn giản kỹ thuật tác động đến người để đánh cắp thơng tin nhằm đạt mục đích mong muốn Kỹ thuật dựa điểm yếu tâm lý nhận thức sai lầm người dùng việc bảo mật thơng tin Theo đó, tin tặc trọng vào việc khai thác thói quen tự nhiên người dùng việc khai thác lỗ hổng bảo mật hệ thống 1.1.2.9 Phần mềm độc hại tên gọi chung cho số loại phần mềm, thiết kế để truy cập trái phép vào thiết bị máy,hoặc mạng và/hoặc cố ý làm hại người dùng thiết bị Do đó, phần mềm định nghĩa phần mềm độc hại, tùy thuộc vào mục đích sử dụng nó, số sản phẩm phần mềm độc hại thuộc số loại lúc; chương trình thường có đặc điểm Trojans sâu, đơi virus Tổng quan phát xâm nhập 1.2 1.2.1 Khái quát phát xâm nhập Hệ thống phát xâm nhập (Intrusion Detection System - IDS) phần mềm chuyên dụng xây dựng để giám sát lưu lượng mạng, đồng thời cảnh báo có hành vi bất thường xâm nhập vào hệ thống IDS thường phần hệ thống bảo mật phần mềm khác, kèm với nhiệm vụ bảo vệ hệ thống thông tin Mục đích IDS ngăn ngừa phát hành động phá hoại tính bảo mật hệ thống hành vi dị tìm, qt cổng Bằng việc kiểm tra giám sát lại lưu lượng mạng qua thiết bị IDS xác định hành động xâm nhập Phát xâm nhập mạng phát xâm nhập host 1.2.1.1 Hệ thống phát công, xâm nhập (Intrusion Detection System - IDS) phần mềm chuyên dụng xây dựng để giám sát lưu lượng mạng, đồng thời cảnh báo có hành vi bất thường xâm nhập vào hệ thống, hệ thống phát công, xâm nhập theo dõi hoạt động mạng để tìm dấu hiệu công cảnh báo Kiến trúc thông thường hệ thống IDS bao gồm thành phần chính: thành phần thu thập thơng tin, thành phần phân tích thơng tin, thành phần cảnh báo Phân loại phát cơng, xâm nhập mạng 1.2.1.2 Có thể phân loại phát công, xâm nhập mạng theo cách: Phân loại dựa kỹ thuật phát phân loại dựa nguồn liệu, chia hệ thống phát xâm nhập thành loại: Hệ thống phát xâm nhập cho host (Host-Based IDS, HIDS) hệ thống phát xâm nhập cho mạng (Network-Based IDS, NIDS) a HIDS(Host-based intrusion detection system) - Lợi HIDS: + Có khả xác định user liên quan tới kiện + HIDS có khả phát công, xâm nhập diễn máy, NIDS khơng có khả + Có thể phân tích liệu mã hố - Hạn chế HIDS: + Thông tin từ HIDS khơng đáng tin cậy có công xâm nhập vào host thành công 7 + Khi hệ điều hành bị phá hoại công, đồng thời HIDS bị phá hoại Trên máy tính cục cần phải thiết lập HIDS để giám sát + HIDS khơng có chức phát dò quét mạng (Nmap, Netcat…) + HIDS cần có tài nguyên host để hoạt động b NIDS (Network-Based intrusion detection system) NIDS hệ thống phát xâm nhập phân tích lưu lượng mạng qua hub, switch cấu hình cổng theo dõi nút mạng, NIDS đứng trước sаu firewаll hệ thống mạng để giám sát gói tin trаo đổi giữа thiết bị NIDS theo dõi lưu lượng truy cập đến tất thiết bị phân đoạn mạng giám sát Lợi NIDS: + Quản lý network segment (gồm nhiều host) + Bảo trì cài đặt đơn giản, không ảnh hưởng tới mạng + Tránh DoS làm ảnh hưởng tới host + Có khả xác định lỗi tầng Network (trong mơ hình Open Systems Interconnection), độc lập với hệ điều hành Hạn chế NIDS: + Khi có xâm nhập mà báo có xâm nhập, dẫn đến trường hợp xảy báo động giả (false positive) + NIDS yêu cầu phải cập nhật chữ ký để thực an tồn Có độ trễ thời điểm phát báo động thời điểm bị công + Khi báo động phát ra, hệ thống bị hư hại + Hạn chế giới hạn băng thông + Dữ liệu bị tin tăc chia nhỏ để xâm nhập công vào hệ thống + Không thông báo cho biết việc cơng có thành cơng hay không Phát xâm nhập dựa dấu hiệu dựa bất thường 1.2.2 1.2.2.1 Phát đột nhập dựa dấu hiệu (Signature-based) Signаture-bаsed IDS sở liệu lưu trữ kỹ thuật xâm nhập hay gọi dấu hiệu, bаo gồm tất thông tin mô tả kiểu công, dấu hiệu lưu dạng cho phép so sánh trực tiếp với thơng tin có chuỗi kiện, nhiên Signаturebаsed IDS có nhược điểm sau: - Mơ tả cơng khơng chi tiết, khó hiểu - Cơ sở liệu Signаture-bаsed IDS lớn chiếm nhiều dung lượng nhớ 1.2.2.2 Khó phát kỹ thuật biến thể dấu hiệu cụ thể Phát đột nhập dựa bất thường (Anomaly-based) Đây phương pháp phát xâm nhập cách so sánh( mang tính thống kê) hành vi với hoạt động bình thường hệ thống để phát bất thường (anomaly) dấu hiệu xâm nhập Kết luận chương I CHƯƠNG CÁC HỆ THỐNG PHÁT HIỆN XÂM NHẬP Các hệ thống phát xâm nhập mã mở 2.1 Trong chương cho chúng tа nhìn tổng quаn IDS bаo gồm điểm mạnh điểm yếu củа chúng Chúng tа đề cập đến Network IDS Host IDS Sự khác nhаu chủ yếu giữа NIDS HIDS liệu mà tìm kiếm Bên cạnh chương tìm hiểu số hệ thống phát xâm nhập tiêu biểu như: Snort, Suricаtа, OSSEC, SolаrWinds Security Event Mаnаger, IBM Qrаdаr, Suricata 2.1.1 SNORT Giới thiệu Snort 2.1.1.1 Snort hệ thống phát xâm nhập mã nguồn mở (IDS) hệ thống ngăn chặn xâm nhập (IPS) mạnh mẽ, cung cấp khả phân tích lưu lượng mạng theo thời gian thực ghi nhật ký gói liệu [5] SNORT sử dụng ngôn ngữ dựa quy tắc kết hợp phương pháp kiểm tra bất thường, giao thức chữ ký để phát hoạt động độc hại tiềm ẩn nhiều loại cơng thăm dị khác nhau, chẳng hạn như,stealth port scans,CGI attacks, SMB probes, OS fingerprinting buffer overflows attempts … 2.1.1.2 Thành phần chức Snort bao gồm 05 thành phần là: a Module giải mã gói tin (Packet Decoder) b Module tiền xử lý (Preprocessors) c Module phát (Detection Engine) d Module log cảnh báo (Logging and Alerting System) e Module kết xuất thông tin (Output Module) 2.1.1.3 Ưu điểm nhược điểm Snort a Ưu điểm - Snort phần mềm mã nguồn mở, hoạt động 24/7 theo thời gian thật - Snort hoạt động đa tảng - Hệ sở liệu tập luật thường xuyên cập nhật hình thức xâm nhập - Có khả phát số lượng lớn kiểu thăm dò, xâm nhập khác như: buffer oveflow, CGI-Atack, Scan, ICMP, Virus - Snort có số lượng người dùng nhà phát triển đông - Có nhiều chương trình phụ trợ cung cấp tính dễ sử dụng khơng phải thuộc tính Snort thêm vào(add on) - Với sở hạ tầng an ninh có, khơng cần phải thay Snort 10 b Nhược điểm - Snort đưa báo động giả mối nguy hại sảy cho hệ thống,trường hợp gọi (False Positive) - Các liệu mã hố Snort khơng phân tích SSH,SSL… - Dữ liệu kiểu công xâm nhập phải cập nhật thường xuyên để đảm bảo hiệu NIDS - Khi hệ thống bị cơng xâm nhập khơng biết cơng có thành cơng hay không - Một hạn chế giới hạn băng thông 2.1.2 SURICATA 2.1.2.1 Giới thiệu Suricata Suricata công cụ mạng IDS hiệu suất cao (Hệ thống phát xâm nhập), IPS bảo mật mạng, phát triển OISF, ứng dụng mã nguồn mở đa tảng Là tài sản tảng phi lợi nhuận cộng đồng Open Information Security Foundation (OISF) [6] 2.1.2.2 Thành phần chức Suricata Kiến trúc Suricata gồm thành phần bản: a Module giải mã gói tin (Packet Decoder) b Module tiền xử lý (Preprocessors) c Module phát (Detection engine) d Module log cảnh báo (Alert generation) 2.1.2.3 Ưu điểm nhược điểm Suricata a Ưu điểm - Dễ dàng cấu hình: người quản trị biết cấu hình hệ thống theo mong muốn - Suricata phần mềm mã nguồn mở: Sricata phát hành giấy phép phần mềm tự GNU/GPL (GNU General Public License) điều có nghĩa sử dụng Suricata cách miễn phí dù doanh nghiệp hay người dùng cá nhân Suricata có cộng đồng người sử dụng lớn - Chạy nhiều hệ điều hành khác nhau: Chạy hệ điều hành nguồn mở Linux, CentOS Debian, Fedora, FreeBSD, Window, Mac OS X… - Hệ sở liệu tập luật thường xuyên bổ sung cập nhật hình thức xâm nhập b Nhược điểm - Đối với việc xử lý gói tin có dung lượng lớn nhiều Gb làm giảm hiệu xuất hoạt động CPU vấn đề hạn chế Suricata 11 2.1.3 OSSEC 2.1.3.1 Giới thiệu OSSEC OSSEC Hệ thống phát xâm nhập dựa máy chủ (HIDS), đa tảng miễn phí, mã nguồn mở có nhiều chế bảo mật khác [7] OSSEC có cơng cụ phân tích tương quan mạnh mẽ tích hợp giám sát phân tích log, giám sát tính tồn vẹn file, giám sát đăng ký Windows thực thi sách tập trung, phát rootkit, cảnh báo thời gian thực phản hồi tích cực 2.1.3.2 Thành phần chức Các thành phần OSSEC a Manager (Server) Lưu trữ sở liệu việc kiểm tra tính tồn vẹn file Kiểm tra log, event Quản lý, lưu tất rule, decoder (bộ giải mã), cấu hình Điều giúp dễ dàng quản lý, có lượng lớn Agent b Agent Bản chất phần mềm cài đặt máy client giúp thu thập thông tin gửi cho Server để phân tích, thống kê c Agentless Là hệ thống khơng cài gói agent Agentless thực việc kiểm tra tính tồn vẹn giúp monitor firewall, router hay chí hệ thống Unix d Ảo hóa/ Vmware Cho phép cài đặt agent guest OS (Máy ảo).Ngoài cài đặt VMware ESX dẫn đến cố khơng hỗ trợ e Firewalls, switches and routers Chính Agentless, Ossec nhận phân tích nhật ký hệ thống từ nhiều firewall, switch, router Nó support tất Cisco routers, Cisco PIX, Cisco FWSM, Cisco ASA, Juniper Routers, Netscreen firewall, Checkpoint nhiều thiết bị khác 2.1.3.3 Ưu nhược điểm Ossec a Ưu điểm - Đa tảng (Linux, Mac OS , Window,Solaris) - Real-time Alert (Cảnh báo thời gian thực) 12 - Có thể tích hợp với hệ thống đại (SIM/SEM) - Server dễ dàng quản lý tập trung sách nhiều OS - Giám sát agent, agentless (Client không cài đặt gói agent) router, firewall b Nhược điểm - Nâng cấp Ossec địi hỏi ngưởi quản trị phải có chun mơn tốt q trình phức tạp, khó khăn, quy tăc cũ bị xoá hoăc ghi đè sau hệ thống nâng cấp Các hệ thống phát xâm nhập thương mại 2.2 2.2.1 IBM Qradar 2.2.1.1 IBM Qradar gì? IBM Qradar hệ thống tích hợp chức thu thập, xử lý, tổng hợp lưu trữ liệu mạng thời gian thực [8] Qradar hoạt động trung tâm giảm sát, bảo mật cho doanh nghiệp, tổ chức với giao diện trực quan, tích hợp với hàng trăm sản phẩm IBM hãng công nghệ khác 2.2.1.2 Thành phần chức Trong giải pháp giám sát an ninh mạng Qradar, Event Correlation Service dịch vụ cốt lõi chịu trách nhiệm cho việc thu thập kiện luồng liệu sử lý liệu ECS gồm thành phần chính: - Event collector component - Event processor component - Magistrate 2.2.1.3 Ưu nhược điểm IBM Qradar a Ưu điểm Giải pháp IBM hỗ trợ tùy chọn triển khai Tính khả dụng cao (Hight AvailabilityHA) cho thiết bị vật lý thiết bị ảo với phương pháp tiếp cận máy chủ phụ kết hợp thành cụm, máy chủ phụ trạng thái chờ trường hợp máy chủ bị lỗi đảm nhận chức triển khai b Nhược điểm - Đối với người sử dụng, QRadar có kiến trúc phức tạp khiến việc quản lý tất phận cấu trúc tương đối khó khăn 13 - Các u cầu cấu hình máy đáp ứng hệ thống cao SolarWinds Security Event Manager (SSEM) 2.2.2.1 Giới thiệu SSEM 2.2.2 SSEM phần mềm giải pháp phát xâm nhập máy tính cạnh tranh chi phí phục vụ cho việc tuân thủ bảo mật quản lý nhật ký [9] SSEM sử dụng cách tiếp cận chủ động giúp người dùng xác định mối đe dọa thời gian thực SSEM tự động thu thập đăng nhập liệu từ thiết bị mạng, hệ thống ứng dụng toàn sở hạ tầng CNTT 2.2.2.2 Thành phần chức SSEM cung cấp quản lý qua giao diện WEB trực quan dễ dàng sử dụng cho người dùng thành phần SSEM gồm: Ops Center, Monitor, Explore, Bulid, Manager, Analyze 2.2.2.3 Ưu nhược điểm SSEM a Ưu điểm SSEM - Tự động hóa nhúng thơng minh cung cấp trung tâm hoạt động bảo mật giám sát 24/7 - Phát kiện nhanh cảnh báo cảnh báo mối đe dọa dựa IP - Phát thông minh đáng tin cậy hoạt động đáng ngờ độc hại bao gồm phần mềm độc hại, người mối đe dọa nâng cao - Giúp loại bỏ quy trình báo cáo thủ cơng tốn nhiều thời gian - Rút ngắn thời gian trả lời thông qua khả phản hồi mạnh mẽ - Tự động chặn lạm dụng thơng qua phản hồi tích cực vi phạm sách mạng, hệ thống truy cập - Tích hợp cơng cụ bảo mật mở rộng cách cung cấp khả chuyển tiếp nhật ký ghi liệu sang công cụ khác - Giám sát chặn sử dụng USB dựa quy tắc sách hành vi - Q trình đăng nhập dễ dàng với người dùng với tích hợp đăng nhập lần - Cung cấp khả quản lý dễ dàng với nhiều tùy biến b Nhược điểm SSEM - Là sản phẩm có phí - Được đóng gói sẵn nên giảm khả tùy biến - Chỉ chạy môi trường Window VMware 2.2.3 McAfee Network Security Platform 2.2.3.1 Giới thiệu MNSP McAfee Network Security Platform (MNSP) [trước McAfee IntruShield] kết hợp thiết bị mạng phần mềm giúp phát ngăn chặn xác hành vi 14 xâm nhập, từ chối dịch vụ (DoS) công từ chối dịch vụ (DDoS) phân tán sử dụng sai mục đích mạng [10] 2.2.3.2 Thành phần chức McAfee Network Security Platform (MNSP) có nhiều chức thành phần bảo vệ phần mềm độc hại nâng cao, bảo vệ ứng dụng web, nhận dạng ứng dụng, xác định người dùng nhóm người dùng, xác định loại máy chủ, bảo vệ máy ảo, phân tích lưu lượng mạng người sử dụng,m ột lợi lớn mà MNSP mang lại khả tích hợp với sản phẩm McAfee khác để tăng hiệu Ưu điểm nhược điểm a Ưu điểm - Nhanh chóng phát ngăn chặn mối đe doạ để bảo vệ ứng dụng liệu - Giải pháp hiệu xuất cao, mở rộng cho mơi trường động - Quản lý tập trung cho khả hiển thị kiểm soát - Phát nâng cao, bao gồm phân tích phần mềm độc hại khơng có chữ ký - Giải mã SSL đến để kiểm tra lưu lượng mạng - Tính khả dụng cao bảo vệ phục hồi sau thảm hoạ - Các thiết bị ảo có sẵn b Nhược điểm - Sử dụng tốn nhiều tài nguyên - Giao diện không thân thiện với người dùng 2.3 So sánh hệ thống phát xâm nhập Qua phân tích, đánh giá khái niệm, kiến trúc chế hoạt động hệ thống phát xâm nhập ta so sánh hệ thống đưa ưu điểm nhược điểm hệ thống phát xâm nhập 2.2.3.3 2.4 Kết luận chương II 15 CHƯƠNG THỬ NGHIỆM TRIỂN KHAI GIẢI PHÁP PHÁT HIỆN XÂM NHẬP SURICATA CHO HỆ THỐNG MẠNG TRƯỜNG CAO ĐẲNG SƯ PHẠM HÀ TÂY 3.1 Khảo sát triển khai mơ hình 3.1.1 Khảo sát hệ thống mạng Trường cao đẳng sư phạm Hà Tây Trường Cao đẳng sư phạm Hà Tây xây dựng diện tích 14 bao gồm 81 phịng học giảng đường đạt tiêu chuẩn, 10 phòng thực hành, thí nghiệm; ngồi cịn có nhà tập Đa năng; Trung tâm thư viện đại với diện tích 4000m2 đưa vào sử dụng; sân bãi, nhà thi đấu, bể bơi xây dựng nhiều trang thiết bị khác đáp ứng đủ nhu cầu dạy học 3.1.1.1 Sơ đồ mạng Cụ thể hệ thống mạng chia làm vùng sau:Hệ thống máy chủ,Máy tính phịng ban, khoa,Hệ thống máy tính phịn thực hành,Máy tính xách tay, điện thoại, máy tính bảng 3.1.1.2 Những tồn hệ thống mạng trường Hiện nay, trường chưa cài hệ thống tường lửa để bảo vệ tồn thể máy tình phịng ban, khu vực mạng tránh khỏi hiểm họa, nguy an tồn thơng tin 3.1.2 Mơ hình triển khai Các cơng cụ cần thiết để triển khai mơ hình: - VMware Workstation - Hệ điều hành Centos - Hệ điều hành Ubuntu - Hệ điều hành Kali Linux - ServerSuricata 6.0.3 3.1 Cài đặt cấu hình Suricata 3.2.1 Cài đặt Suricata Trước cài đặt phần mềm tiến hành cài đặt thành phần cần thiết cho Suricata, thực theo thứ tự sau máy Centos 7, service suricata khởi chạy sử dụng lệnh sau để kiểm tra: #curl http://testmyids.com 16 3.2.2 Câu hình, tạo tập luật cho Suricata Ta tiến hành cấu hình cho tham biến tập rules Suricata Đầu tiên, ta phải thiết lập lại biến cho khu vực (địa IP) khác biến cho cổng Mục đích việc thiết lập biến giúp cho việc thay đổi dễ dàng cần thiết 3.2 Một số kịch thử nghiệm, kết đánh giá Một số phương thức công phổ biến : Tấn công rà quét cổng, công DoS, công duyệt đường dẫn, công Nmap Scan, công SSH Scan… 3.3.1 Tấn công quét cổng 3.3.2 Tấn công DoS/DdoS 3.3.3 Tấn công duyệt đường dẫn 3.3.4 Tấn công Nmap Scan 3.3.5 Tấn công SSH Scan 3.4 Kết luận chương III Chương đưa mơ hình thử nghiệm giải pháp phát xâm nhập dựa giám sát lưu lương mạng, đồng thời trình bày chi tiết cài đặt, thiết lập hệ thống phát xâm nhập công mạng dựa tảng mã nguồn mở Suricata Dựa kết cho thấy hệ thống hoạt động ổn định, có khả giám sát phát bất thường nguy an ninh an tồn thơng tin; đồng thời hệ thống hỗ trợ tính quản trị hiển thị liệu đa dạng, tiện dụng cho người dùng cuối 17 KẾT LUẬN Các kết đạt được: Hệ thống cảnh báo phát xâm nhập triển khai trường Cao Đẳng Sư Phạm Hà Tây với ngưỡng phù hợp mơ hình mạng hoạt động tốt Luận văn phát triển theo hướng sau: Triển khai thử nghiệm mơ hình phát cơng, xâm nhập mạng dựa Suricata kết hợp Elastic Stack cho phát bất thường nguy ATTT hệ thống mạng thực Hồn thiện tối ưu hóa hệ thống để phân tích xử lý logs nhanh chóng tăng hiệu hệ thống  ... đề tài ? ?Nghiên cứu giải pháp phát xâm nhập ứng dụng cho Trường cao đẳng sư phạm Hà Tây? ?? để thực luận văntốt nghiệp 4 CHƯƠNG TỔNG QUAN VỀ XÂM NHẬP VÀ PHÁT HIỆN XÂM NHẬP Tổng quan xâm nhập 1.1... GIẢI PHÁP PHÁT HIỆN XÂM NHẬP SURICATA CHO HỆ THỐNG MẠNG TRƯỜNG CAO ĐẲNG SƯ PHẠM HÀ TÂY 3.1 Khảo sát triển khai mơ hình 3.1.1 Khảo sát hệ thống mạng Trường cao đẳng sư phạm Hà Tây Trường Cao đẳng. .. sát, phát dạng công, xâm nhập nguy hiểm vượt qua lớp bảo vệ thứ Hiện nay, có nhiều giải pháp, hệ thống phát công, xâm nhập mã mở, miễn phí thương mại phát triển triển khai ứng dụng Mỗi giải pháp,