HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN CÔNG HIẾU NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP PHÁT HIỆN XÂM NHẬP VÀ ỨNG DỤNG CHO HỌC VIỆN THANH THIẾU NIÊN VIỆT NAM LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – 2022 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN CÔNG HIẾU NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP PHÁT HIỆN XÂM NHẬP VÀ ỨNG DỤNG CHO HỌC VIỆN THANH THIẾU NIÊN VIỆT NAM CHUYÊN NGÀNH: KHOA HỌC MÁY TÍNH MÃ SỐ: 8.48.01.01 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS DƯƠNG TRẦN ĐỨC HÀ NỘI – 2022 LỜI CẢM ƠN Đề tài “ Nghiên cứu xây dựng giải pháp phát xâm nhập ứng dụng cho Học viện Thanh thiếu niên Việt Nam” nội dung mà em nghiên cứu làm luận văn tốt nghiệp sau thời gian theo học Khoa Sau Đại học trường Học viện Bưu Chính Viễn Thơng Trong q trình nghiên cứu hồn thành luận văn, em nhận nhiều quan tâm, giúp đỡ thầy giáo, đồng nghiệp, gia đình bạn bè Để hồn thiện luận văn thạc sĩ mình, trước tiên, em xin bày tỏ lòng biết ơn sâu sắc tới thầy - TS.Dương Trần Đức Sự gần gũi nhiệt tình hướng dẫn thầy nguồn động lực lớn em suốt thời gian thực luận văn Em xin gửi lời cảm ơn chân thành tới tất thầy cô Học viện Công nghệ Bưu viễn thơng nhiệt tình giảng dạy, cung cấp, hướng dẫn cho em kiến thức, kinh nghiệm suốt trình học tập Đồng thời em xin gửi lời cảm ơn đến người thân gia đình, bạn học viên, đồng nghiệp nơi tơi cơng tác giúp đỡ, động viên, tạo điều kiện tốt cho tơi suốt khóa học Học viện Cơng nghệ Bưu viễn thơng để tơi hồn thiện tốt luận văn thạc sĩ Tơi xin chân thành cảm ơn ! Hà Nội, ngày tháng năm 2022 Học viên Nguyễn Công Hiếu LỜI CAM ĐOAN Tôi cam đoan rằng, luận văn “Nghiên cứu xây dựng giải pháp phát xâm nhập ứng dụng cho Học viện thiếu niên Việt Nam” nghiên cứu tơi Ngoại trừ tài liệu tham khảo trích dẫn luận văn này, tơi cam kết khơng có nghiên cứu người khác sử dụng luận văn mà khơng trích dẫn theo quy định Trong toàn nội dung luận văn, điều trình bày cá nhân tổng hợp từ nhiều nguồn tài liệu khác Các số liệu, kết nêu luận văn thực chưa cơng bố cơng trình hay luận văn khác Luận văn chưa nộp để nhận cấp sở giáo dục khác./ Hà Nội, ngày tháng năm 2022 Học viên Nguyễn Công Hiếu i MỤC LỤC LỜI CẢM ƠN I LỜI CAM ĐOAN II MỤC LỤC III DANH MỤC VIẾT TẮT .V DANH MỤC HÌNH ẢNH VII DANH MỤC BẢNG BIỂU IX MỞ ĐẦU 1 Lý chọn đề tài Tổng quan vấn đề nghiên cứu Mục đích nghiên cứu Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu CHƯƠNG TỔNG QUAN VỀ PHÁT HIỆN XÂM NHẬP 1.1 KHÁI QUÁT VỀ TẤN CÔNG, XÂM NHẬP 1.1.1 Đối tượng bị công, xâm nhập .5 1.1.2 Mục đích cơng, xâm nhập 1.2 GIỚI THIỆU MỘT SỐ DẠNG TẤN CÔNG, XÂM NHẬP THƯỜNG GẶP 1.2.1 Hình thức cơng mạng phần mềm độc hại (MalwareAttack) .6 1.2.2 Hình thức cơng giả mạo (Phishing Attack) 1.2.3 Hình thức công trung gian (Man in the middle attack) 1.2.4 Hình thức cơng từ chối dịch vụ (DoS & DDoS) 1.3 PHÁT HIỆN XÂM NHẬP 11 1.3.1 Khái quát phát xâm nhập 11 1.3.2 Phân loại hệ thống phát xâm nhập 11 1.3.3 Các kỹ thuật phát xâm nhập 20 Kết luận chương 21 CHƯƠNG CÁC HỆ THỐNG PHÁT HIỆN XÂM NHẬP VÀ QUẢN LÝ LOG 22 2.1 CÁC HỆ THỐNG PHÁT HIỆN XÂM NHẬP 22 2.1.1 Snort .22 2.1.2 Suricata 26 2.1.3 Zeek 30 2.1.4 IBM Qradar 32 2.1.5 So sánh hệ thống phát xâm nhập .36 2.2 HỆ THỐNG QUẢN LÝ LOG ELK .37 ii 2.2.1 Elasticsearch 38 2.2.2 Logstash 39 2.2.3 Kibana 39 Kết luận chương 40 CHƯƠNG 41 XÂY DỰNG VÀ THỬ NGHIỆM MƠ HÌNH GIẢI PHÁP PHÁT HIỆN XÂM NHẬP DỰA TRÊN SNORT VÀ ELK CHO HỆ THỐNG MẠNG HỌC VIỆN THANH THIẾU NIÊN VIỆT NAM 41 3.1 KHẢO SÁT VÀ TRIỂN KHAI MƠ HÌNH 41 3.1.1 Khảo sát hệ thống mạng Học viện Thanh thiếu niên Việt Nam 41 b Hiện trạng tảng phần mềm .44 3.1.2 Mơ hình triển khai 45 3.2 LỰA CHỌN CÔNG NGHỆ SỬ DỤNG 46 3.3 CÀI ĐẶT VÀ CẤU HÌNH HỆ THỐNG PHÁT HIỆN XÂM NHẬP 48 3.3.1 Cài đặt snort IDS .49 3.3.2 Cài đặt snort IPS: snort inline mode 59 3.3.3 Cài đặt BASE quản lý phân tích Snort Log web .61 3.3.4 Cài đặt ELK Stack .67 3.3.5 Cài đặt Filebeat 69 3.4 THỬ NGHIỆM KHẢ NĂNG PHẢN ỨNG CỦA SNORT IDS/IPS .69 3.5 MỘT SỐ PHƯƠNG THỨC TẤN CÔNG VÀ CÁCH PHÒNG CHỐNG .73 3.5.1 ARP Spoofing Attack 73 3.5.2 SYN Flood Attack .74 3.5.3 Zero Day Attack 75 3.5.4 DOS - Ping Of Death Attack .76 Kết luận chương 76 KẾT LUẬN 78 Những đóng góp luận văn: 78 Các kết đạt được: 78 Hướng phát triển: 78 TÀI LIỆU THAM KHẢO 80 iii DANH MỤC VIẾT TẮT Viết tắt ADE Tiếng Anh Adverse Drug Event Tiếng Việt Công cụ phát dị thường Cơng nghệ mơ hình ảnh CGI Computer-Generated Imagery máy tính CIS Center for Internet Security Trung Tâm An Ninh Internet CPU Central Processing Unit Bộ xử lý trung tâm Tấn công từ chối dịch vụ phân DDOS Distributed Denial of Service tán DNS Domain Name Servers Hệ thống phân giải tên miền DOS Denial of Service Tấn công từ chối dịch vụ FIM Federated Identity Manager Hệ thống quản lý nhận dạng FTP File Transfer Protocol Giao thức truyền tải tập tin GNU/GPL GNU General Public License Giấy phép phần mềm tự Hệ thống phát xâm nhập HIDS Host Intrusion Detection System host Giao thức Truyền tải Siêu Văn HTTP Hypertext Transfer Protocol Bản Giao thức Thông điệp Điều ICMP Internet Control Message Protocol khiển Internet IDS Intrusion Detection System Hệ thống phát xâm nhập IP Internet Protocol Địa giao thức Internet LAN Local Area Network Mạng cục ML Machine Learning Phương pháp học máy NIC Network Interface Card Card giao tiếp mạng NIDS Network Intrusion Detection Hệ thống phát xâm nhập iv System mạng Payment Card Industry Data Bộ tiêu chuẩn bảo mật liệu PCI-DSS Security Standard thẻ toán RAM Random Access Memory Bộ nhớ truy xuất ngẫu nhiên SEM security event management quản lý kiện bảo mật Security Information and Event Quản lý thông tin kiện bảo SIEM Management mật SMB Server Message Block Hệ thống tệp Internet chung Simple Network Management Giao thức giám sát mạng đơn SNMP Protocol giản SSH Secure Shell Giao thức SSH SSL Secure Sockets Layer Chứng socket bảo mật TCP Transmission Control Protocol Giao thức TCP UDP User Datagram Protocol Giao thức UCP VPN Virtual Private Network Mạng riêng ảo Windows Management WMI Instrumentation Thiết bị quản lý Windows XSS Cross-site scripting Tấn công script độc hại v DANH MỤC HÌNH ẢNH Hình Các dạng phần mềm độc hại Hình 2: Mơ hình công kiểu người Hình 3: Kịch cơng kiểu người Hình 4: Tấn cơng từ chối dịch vụ phân tán .10 Hình 5: Vị trí hệ thống IDS IPS sơ đồ mạng 11 Hình 6: So sánh IDS IPS 13 Hình 7: Mơ hình NIDS 17 Hình 8: Mơ hình HIDS 18 Hình 9: Mơ hình kiến trúc hệ thống Snort 23 Hình 10: Snort-sensor đặt Router Firewall 25 Hình 11: Snort-sensor đặt vùng DMZ 26 Hình 12: Snort-sensor đặt sau Firewall 26 Hình 13: Mơ tả sơ đồ Suricata 27 Hình 14: Sơ đồ Zeek 30 Hình 15: Kiến trúc Zeek 31 Hình 16: Minh hoạ sơ đồ IBM Qradar 33 Hình 17: Kiến trúc Elastic Stack .37 Hình 18: Cơ chế hoạt động Elastic Stack 38 Hình 19: Phối cảnh tổng thể học viện Thanh thiếu niên Việt Nam 41 Hình 20: Mơ hình mạng máy tính trường Học viện Thanh thiếu niên Việt Nam 42 Hình 21: Một số tảng công nghệ sử dụng để quản lý liệu 46 Hình 22: Snort IDS hoạt động thành công 58 Hình 23: Snort IDS phát Ping icmp từ địa nguồn 192.168.11.10 tới địa đích 192.168.10.13 59 Hình 24: Snort IPS phát chặn (DROP) gói PING icmp từ Attacker 60 Hình 25: Các gói tin có giao thức ICMP bị chặn (drop) máy Attacker 61 Hình 26: Giao diện BASE web .67 Hình 27: Cấu hình kho lưu trữ RPM Elasticsearch 68 vi Hình 28: Cấu hình địa Ip máy chủ cho Elasticsearch .68 Hình 29: Truy cập vào base 70 Hình 30: Tạo rules với dấu hiệu 70 Hình 31: Kết khởi chạy Snort 71 Hình 32: Xem ARP Cache 74 ... đề tài ? ?Nghiên cứu xây dựng giải pháp phát xâm nhập ứng dụng cho Học viện thiếu niên Việt Nam? ?? có mục tiêu tập trung nghiên cứu xây dựng giải pháp phát xâm nhập dựa sử dụng hệ thống phát xâm nhập... luận văn ? ?Nghiên cứu xây dựng giải pháp phát xâm nhập ứng dụng cho Học viện thiếu niên Việt Nam? ?? nghiên cứu tơi Ngoại trừ tài liệu tham khảo trích dẫn luận văn này, tơi cam kết khơng có nghiên cứu... TRẦN ĐỨC HÀ NỘI – 2022 LỜI CẢM ƠN Đề tài “ Nghiên cứu xây dựng giải pháp phát xâm nhập ứng dụng cho Học viện Thanh thiếu niên Việt Nam? ?? nội dung mà em nghiên cứu làm luận văn tốt nghiệp sau thời