i HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - lu an n va VƯƠNG THANH HẢI p ie gh tn to NGHIÊN CỨU CÁC GIẢI PHÁP PHÁT HIỆN XÂM NHẬP VÀ ỨNG DỤNG CHO TRƯỜNG CAO ĐẲNG SƯ PHẠM HÀ TÂY d oa nl w ll u nf va an lu LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) oi m z at nh z m co l gm @ HÀ NỘI - 2022 an Lu n va ac th si ii HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - lu an VƯƠNG THANH HẢI n va p ie gh tn to d oa nl w NGHIÊN CỨU CÁC GIẢI PHÁP PHÁT HIỆN XÂM NHẬP VÀ ỨNG DỤNG CHO TRƯỜNG CAO ĐẲNG SƯ PHẠM HÀ TÂY KHOA HỌC MÁY TÍNH CHUYÊN NGÀNH : an lu MÃ SỐ: nf va 8.48.01.01 lm ul LUẬN VĂN THẠC SĨ KỸ THUẬT z at nh oi NGƯỜI HƯỚNG DẪN KHOА HỌC: PGS.TS TRẦN QUANG ANH z m co l gm @ HÀ NỘI - 2022 an Lu n va ac th si iii LỜI CẢM ƠN Để thực hoàn thành đề tài luận văn thạc sĩ kỹ thuật này, xin chân thành cảm ơn Thầy, Cô Khoa Sau Đại học trường Học viện Bưu Chính Viễn Thơng tận tình dạy dỗ, truyền đạt cho nhiều kiến thức kỹ quý báu Tôi xin gửi lời cảm ơn sâu sắc đến giảng viên hướng dẫn trực tiếp – PGS.TS Trần Quang Anh Cảm ơn thầy lắng nghe quan điểm cá nhân đưa nhận xét q báu, góp ý dẫn dắt tơi hướng suốt thời gian thực đề tài luận văn thạc sĩ kỹ thuật Tôi xin chân thành cảm ơn giúp đỡ, quan tâm động viên nhiều lu an từ quan, tổ chức cá nhân trình thực đề tài n va Luận văn hoàn thành dựa tham khảo, đúc kết kinh nghiệm tn to từ sách báo chuyên ngành, kết nghiên cứu liên quan Tuy nhiên kiến gh thức thời gian có giới hạn nên đề tài khó tránh khỏi thiếu sót, kính mong q p ie thầy bạn đóng góp thêm để đề tài hồn chỉnh hơn! w Tôi xin chân thành cảm ơn ! năm 2022 oa nl Hà Nội, ngày tháng d Học viên nf va an lu z at nh oi lm ul Vương Thanh Hải z m co l gm @ an Lu n va ac th si iv LỜI CAM ĐOAN Tơi xin cam đoan cơng trình nghiên cứu riêng tôi, kết đạt luận văn sản phẩm riêng cá nhân, không chép lại người khác Trong toàn nội dung luận văn, điều trình bày tổng hợp từ nhiều nguồn tài liệu cá nhân Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Hà Nội, ngày tháng năm 2022 lu Học viên an n va p ie gh tn to Vương Thanh Hải d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si v MỤC LỤC LỜI CẢM ƠN iii LỜI CAM ĐOAN iv MỤC LỤC v DANH MỤC VIẾT TẮT vii DANH MỤC HÌNH ẢNH ix DANH MỤC BẢNG xi MỞ ĐẦU xii CHƯƠNG TỔNG QUAN VỀ XÂM NHẬP VÀ PHÁT HIỆN XÂM NHẬP .1 lu an 1.1 Tổng quan xâm nhập .1 1.1.1 Khái quát công, xâm nhập 1.1.2 Giới thiệu số dạng cơng, xâm nhập điển hình n va p ie gh tn to 1.2 Tổng quan phát xâm nhập .10 1.2.1 Khái quát phát xâm nhập 10 1.2.2 Phát xâm nhập dựa dấu hiệu dựa bất thường 17 Kết luận chương 18 w 1.3 oa nl CHƯƠNG CÁC HỆ THỐNG PHÁT HIỆN XÂM NHẬP 19 d 2.1 Các hệ thống phát xâm nhập mã mở 19 2.1.1 SNORT 19 2.1.2 SURICATA 22 2.1.3 OSSEC 25 nf va an lu z at nh oi lm ul 2.2 Các hệ thống phát xâm nhập thương mại 29 2.2.1 IBM Qradar 29 2.2.2 SolarWinds Security Event Manager (SSEM) 34 2.2.3 McAfee Network Security Platform 36 So sánh hệ thống phát xâm nhập 40 2.4 Kết luận chương 43 z 2.3 gm @ m co l CHƯƠNG THỬ NGHIỆM TRIỂN KHAI GIẢI PHÁP PHÁT HIỆN XÂM NHẬP SURICATA CHO HỆ THỐNG MẠNG TRƯỜNG CAO ĐẲNG SƯ PHẠM HÀ TÂY 44 an Lu 3.1 Khảo sát triển khai mơ hình 44 3.1.1 Khảo sát hệ thống mạng Trường cao đẳng sư phạm Hà Tây 44 n va ac th si vi 3.1.2 Mơ hình triển khai Error! Bookmark not defined 3.2 Cài đặt cấu hình hệ thống phát xâm nhập Suricata 47 3.2.1 Yêu cầu phần cứng phần mềm 47 3.2.2 Cài đặt 48 lu 3.3 Thử nghiệm đánh giá 50 3.3.1 Các thử nghiệm phát kết .50 3.3.1.1 Phát gói tin Ping 50 3.3.1.2 Phát công rà quét cổng dịch vụ 51 3.3.1.3 Phát công SSH brute force 52 3.3.1.4 Phát công DoS TCP SYN Flood 53 3.3.1.5 Phát công SQLi - OR 54 3.3.1.6 Phát công SQLi - UNION 55 3.3.1.7 Phát công duyệt đường dẫn 56 3.3.2 Nhận xét 57 an va n 3.4 Kết luận chương 58 gh tn to KẾT LUẬN .59 p ie DANH MỤC TÀI LIỆU THAM KHẢO 60 d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si vii DANH MỤC VIẾT TẮT lu an Tên Tiếng Anh Adverse Drug Event CGI Computer-Generated Imagery CIS CPU Center for Internet Security Central Processing Unit DDOS Distributed Denial of Service DNS DOS FIM FTP GNU/GPL Domain Name Servers Denial of Service Federated Identity Manager File Transfer Protocol GNU General Public License HIDS Host Intrusion Detection System n va Ký hiệu ADE gh tn to HTTP Hypertext Transfer Protocol p ie nf va z at nh oi lm ul z m co l gm @ an Lu SSH SSL an SMB SNMP lu RAM SEM SIEM d PCI-DSS Intrusion Detection System Internet Protocol Local Area Network Network Interface Card Network Intrusion Detection System Payment Card Industry Data Security Standard Random Access Memory security event management Security Information and Event Management Server Message Block Simple Network Management Protocol Secure Shell Secure Sockets Layer oa NIDS Internet Control Message Protocol nl IDS IP LAN NIC w ICMP Ý nghĩa Tiếng Việt Công cụ phát dị thường Công nghệ mô hình ảnh máy tính Trung Tâm An Ninh Internet Bộ xử lý trung tâm Tấn công từ chối dịch vụ phân tán Hệ thống phân giải tên miền Tấn công từ chối dịch vụ Hệ thống quản lý nhận dạng Giao thức truyền tải tập tin Giấy phép phần mềm tự Hệ thống phát xâm nhập host Giao thức Truyền tải Siêu Văn Bản Giao thức Thông điệp Điều khiển Internet Hệ thống phát xâm nhập Địa giao thức Internet Mạng cục Card giao tiếp mạng Hệ thống phát xâm nhập mạng Bộ tiêu chuẩn bảo mật liệu thẻ toán Bộ nhớ truy xuất ngẫu nhiên quản lý kiện bảo mật Quản lý thông tin kiện bảo mật Hệ thống tệp Internet chung Giao thức giám sát mạng đơn giản Giao thức SSH Chứng socket bảo mật n va ac th si viii TCP UDP VPN WMI Giao thức TCP Giao thức UCP Mạng riêng ảo Thiết bị quản lý Windows Transmission Control Protocol User Datagram Protocol Virtual Private Network Windows Management Instrumentation Cross-site scripting Machine Learning XSS ML Tấn công script độc hại Phương pháp học máy lu an n va p ie gh tn to d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si ix DANH MỤC HÌNH ẢNH Hình 1.1: Minh họa công Dos/DDos Hình 1.2: Một mơ hình dạng công nghe trộm Hình 1.3: Mơ hình cơng kiểu người đứng Hình 1.4: Các dạng phần mềm độc hại Hình 1.5: Các vị trí đặt IDS mạng 12 Hình 1.6: Kiến trúc thơng thường IDS 12 Hình 1.7: Mơ hình hệ thống HIDS mạng 14 Hình 1.8: Mơ hình hệ thống NIDS mạng 16 lu Hình 2.1: Mơ hình kiến trúc hệ thống Snort 20 an Hình 2.2: Mơ tả sơ đồ Suricata 23 va n Hình 2.3: Các thành phần OSSEC 27 tn to Hình 2.4: Minh hoạ sơ đồ IBM Qradar 31 ie gh Hình 2.5: Minh họa sơ đồ SolarWinds Security Event Manager 36 p Hình 2.6: Minh họа sơ đồ McAfee Network Security Platform 39 Hình 3.1:Phối cảnh tổng thể trường Sư phạm Hà Tây 44 w oa nl Hình 3.2:Mơ hình mạng máy tính trường Sư Phạm Hà Tây 45 d Hình 3.3: Mơ hình triển khai suricata 46 lu an Hình 3.4: Ping từ máy công đến máy Suricata 50 nf va Hình 3.5: Suricata cảnh báo phát gói tin Ping 50 lm ul Hình 3.6: Sử dụng nmap để quét cổng dịch vụ máy Suricata 51 z at nh oi Hình 3.7: Suricata cảnh báo phát công rà quét cổng dịch vụ 51 Hình 3.8: Sử dụng Hydra để cơng SSH brute force máy Suricata 52 Hình 3.9: Suricata cảnh báo phát công SSH brute force 52 z Hình 3.10: Sử dụng hping3 để công TCP SYN Flood máy Suricata 53 @ gm Hình 3.11: Suricata cảnh báo phát công TCP SYN Flood 53 co l Hình 3.12: Tấn cơng SQLi - OR vào ứng dụng web DVWA máy Suricata 54 m Hình 3.13: Suricata cảnh báo phát cơng SQLi - OR 54 an Lu Hình 3.14: Tấn cơng SQLi - UNION vào ứng dụng web DVWA máy Suricata 55 n va ac th si x Hình 3.15: Suricata cảnh báo phát công SQLi - UNION 55 Hình 3.16: Tấn cơng duyệt đường dẫn vào ứng dụng DVWA máy Suricata 56 Hình 3.17: Suricata cảnh báo phát công duyệt đường dẫn 56 lu an n va p ie gh tn to d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si 46 - Tấn công nghe trộm đường truyền - Tấn công vào từ chối dịch vụ vào hệ thống mạng văn phòng phòng, ban - Tấn công mã độc vào hệ thống mạng thông qua người dùng phương tiện khác - Mạng chưa có hệ thống dự phịng, hệ thống cân tải, vv tính sẵn sàng hệ thống cịn nhiều điểm hạn chế - Xâm nhập vật lý tới thiết bị cụ thể hệ thống 3.1.2 Giải pháp mơ hình triển khai lu an 3.1.2.1 Giải pháp n va biện pháp xử lí kịp thời tránh an tồn thơng tin gh tn to Sử dụng tường lửa Suricata để phát xâm nhập ngăn chặn lưu lượng, kiện bất ngờ xảy máy tính phịng ban để sớm có p ie  Hệ thống mạng trường chia làm khu vực - Khu vực mạng ngồi: có kết nối Internet - Khu vực mạng trong: khơng có kết nối Internet  Chức hệ thống oa nl w d - Truy cập Internet an toàn: Cho phép người dùng làm việc mạng nf va an lu trong, khơng có kết nối Internet, truy cập Internet bảo vệ an ninh liệu, chống thất liệu, thơng tin ngăn chặn phơi nhiễm mã độc  Bảng thành phần hệ thống Phòng thực hành z at nh oi lm ul Thành phần Ghi Tính chất Nơi thực hành bạn sinh viên 192.168.10.X z Nơi quản lí hồ sơ, giấy tờ, lưu trữ liệu 192.168.20.X sinh viên Phòng đào tạo Nơi tham mưu giúp hiệu trưởng định 192.168.30.X hướng, phát triển cơng tác đào tạo trường Quản lí thơng tin đào tạo trường m co l gm @ Phịng hành an Lu n va ac th si 47 Nơi sinh viên tìm hiểu, tra cứu tài 192.168.40.X liệu liên quan đến việc học tập Là nơi giáo viên làm việc , trao đổi 192.168.50.X họp q trình cơng tác Là nơi lưu trữ tài liệu, phầm mềm hỗ trợ 10.1.1.X học tập cho sinh viên Thư viện Văn phòng Khu vực DMZ Bảng 2: Các thành phần hệ thống mạng 3.1.2.2 Mơ hình triển khai Hệ thống thử nghiệm triển khai cài đặt gồm máy sau: - Máy Kali Linux sử dụng công cụ để thực kịch công lu mạng đến máy mục tiêu máy Ubuntu chạy Suricata an va - Máy Ubuntu cài đặt cấu hình hệ thống phát xâm nhập Suricata để n đưa cảnh báo p ie gh tn to d oa nl w nf va an lu z at nh oi lm ul Hình 3.3: Mơ hình triển khai suricata z 3.2 Cài đặt cấu hình hệ thống phát xâm nhập Suricata 3.2.1 Yêu cầu phần cứng phần mềm @ Linux với yêu cầu phần cứng phần mềm sau: l gm Hệ thống thử nghiệm triển khai máy ảo chạy hệ điều hành Ubuntu Hệ thống chạy CPU Intel Core i5, 4GB RAM, 100GB HDD - Ubuntu phiên 16.04 - Bộ phần mềm phát xâm nhập Suricata phiên 6.0.5 m co - an Lu n va ac th si 48 - Ứng dụng web chứa lỗi cho thử nghiệm (DVWA) - Kali Linux phiên 2021 (sử dụng làm máy công) 3.2.2 Cài đặt Hệ thống cài đặt theo bước sau: Bước 1: Cài đặt Suricata - Cập nhật hệ thống với kho chứa phần mềm Suricata $ sudo add-apt-repository ppa:oisf/suricata-stable - Cài đặt phần mềm Suricata sudo apt-get install suricata lu an - Thiết lập cho phép chạy tự động khởi chạy Suricata: va sudo systemctl enable suricata.service n Bước 2: Cấu hình lần đầu cho Suricata $ sudo pico /etc/suricata/suricata.yaml p ie gh tn to - Chỉnh sửa file cấu hình Suricata Chỉnh sửa interface mà Suricata giám sát ‘eth0’ giao diện mạng nl w máy cài đặt: nf va - interface: eth0 an lu af-packet: d oa # Linux high speed capture support # Number of receive threads "auto" uses the number of cores z at nh oi lm ul #threads: auto # Default clusterid AF_PACKET will load balance packets based on flow l gm vars: @ z cluster-id: 99 address-groups: m co # more specific is better for alert accuracy and performance an Lu HOME_NET: "[192.168.0.0/16,10.0.0.0/8,172.16.0.0/12]" n va ac th si 49 EXTERNAL_NET: "!$HOME_NET" Bước 3: Bổ sung luật phát vào file /etc/suricata/rules/users.rules - Chỉnh sửa file cấu hình Suricata /etc/suricata/suricata.yaml cho phép sử dụng luật từ file users.rules ## ## Configure Suricata to load Suricata-Update managed rules ## default-rule-path: /etc/suricata/rules rule-files: lu an - users.rules n va - Tạo luật file users.rules với nội dung sau: to # Luat phat hien tan cong quet cong dich vu"; fragbits:D; flags:S; threshold: type both, track by_src, count 100, p ie gh tn alert tcp any any -> $HOME_NET any (msg:"Phat hien tan cong quet cong seconds 5; sid:10000001;) nl w # Luat phat hien tan cong SYN Flood d oa alert tcp any any -> $HOME_NET any (msg:"Phat hien tan cong TCP SYN an lu Flood"; flow:to_server; flags: S,12; threshold: type both, track by_dst, count nf va 5000, seconds 5; classtype:misc-activity; sid:10000002;) # Luat phat hien tan cong SQLi - OR lm ul alert tcp any any -> any 80 (msg:"Phat hien tan cong SQLi - OR"; content:"or"; z at nh oi nocase; sid:10000009;) # Luat phat hien tan cong SQLi - UNION alert tcp any any -> any 80 (msg:"Phat hien tan cong SQLi - UNION"; z l gm # Phat hien tan cong duyet duong dan @ content:"union"; nocase; sid:10000010;) an Lu # Phat hien tan Brute force SSH m content:" /"; nocase; sid:10000012;) co alert tcp any any -> any 80 (msg:"Phat hien tan cong duyet duong dan"; n va ac th si 50 alert tcp any any -> $HOME_NET 22 (msg:"Phat hien tan cong SSH brute force"; flow:to_server,established; content:"SSH-"; depth:4; detection_filter:track by_src, count 3, seconds 30; metadata:service ssh; classtype:misc-activity;sid:10000007;) # Phat hien goi tin ping alert icmp any any -> $HOME_NET any (msg:"Phat hien goi tin Ping"; sid:10000008; classtype:icmp-event;) Bước 4: Kiểm tra cấu hình Suricata $ sudo suricata -T -c /etc/suricata/suricata.yaml -v lu Bước 5: Khởi động kiểm tra trạng thái hoạt động Suricata an n va $ sudo systemctl start suricata.service Bước 6: Xem kết chạy thử Suricata log $ sudo tail -f /var/log/suricata/suricata.log (log hoạt động) p ie gh tn to $ sudo systemctl status suricata.service w $ sudo tail -f /var/log/suricata/fast.log (log chứa cảnh báo) oa nl 3.3 Thử nghiệm đánh giá d 3.3.1 Các thử nghiệm phát kết lu nf va an 3.3.1.1 Phát gói tin Ping - Kịch bản: Trên máy công (Kali Linux) sử dụng lệnh ping để ping máy chạy Trên lm ul Suricata máy - Luật phát sử dụng: xem log phát file z at nh oi /var/log/suricata/fast.log Suricata alert icmp any any -> $HOME_NET any (msg:"Phat hien goi tin Ping"; z m co l gm - Kết cho hình 3.4 3.5 @ sid:10000008; classtype:icmp-event;) an Lu n va ac th si 51 Hình 3.4: Ping từ máy cơng đến máy Suricata lu an n va p ie gh tn to oa nl w Hình 3.5: Suricata cảnh báo phát gói tin Ping d 3.3.1.2 Phát công rà quét cổng dịch vụ lu an - Kịch bản: Trên máy công sử dụng lệnh nmap để quét cổng dịch vụ chạy nf va máy chạy Suricata Trên máy Suricata xem log phát file lm ul /var/log/suricata/fast.log - Luật phát sử dụng: z at nh oi alert tcp any any -> $HOME_NET any (msg:"Phat hien tan cong quet cong dich vu"; fragbits:D; flags:S; threshold: type both, track by_src, count 100, seconds z m co l gm - Kết cho hình 3.6 3.7 @ 5; sid:10000001;) an Lu n va ac th si 52 Hình 3.6 : Sử dụng nmap để quét cổng dịch vụ máy Suricata lu an n va p ie gh tn to w Hình 3.7: Suricata cảnh báo phát công rà quét cổng dịch vụ oa nl 3.3.1.3 Phát công SSH brute force d - Kịch bản: Trên máy công sử dụng công cụ Hydra để cơng brute force lu nf va an tìm mật dịch vụ SSH máy chạy Suricata Trên máy Suricata xem log phát file /var/log/suricata/fast.log lm ul - Luật phát sử dụng: z at nh oi alert tcp any any -> $HOME_NET 22 (msg:"Phat hien tan cong SSH brute force"; flow:to_server, established; content:"SSH-"; depth:4; detection_filter: track by_src, count 3, seconds 30; metadata:service ssh; classtype:misc-activity; z m co l gm - Kết cho hình 3.8 3.9 @ sid:10000007;) an Lu n va ac th si 53 Hình 3.8: Sử dụng Hydra để công SSH brute force máy Suricata lu an n va p ie gh tn to nl w d oa Hình 3.9: Suricata cảnh báo phát công SSH brute force an lu 3.3.1.4 Phát công DoS TCP SYN Flood nf va - Kịch bản: Trên máy công sử dụng công cụ hping3 để công TCP SYN lm ul Flood máy chạy Suricata Trên máy Suricata xem log phát file /var/log/suricata/fast.log z at nh oi - Luật phát sử dụng: alert tcp any any -> $HOME_NET any (msg:"Phat hien tan cong TCP SYN z Flood"; flow:to_server; flags: S,12; threshold: type both, track by_dst, count 5000, m co l - Kết cho hình 3.10 3.11 gm @ seconds 5; classtype:misc-activity; sid:10000002;) an Lu n va ac th si 54 Hình 3.10: Sử dụng hping3 để công TCP SYN Flood máy Suricata lu an n va gh tn to Hình 3.11: Suricata cảnh báo phát công TCP SYN Flood p ie 3.3.1.5 Phát công SQLi - OR nl w - Kịch bản: Trên máy công sử dụng trình duyệt để truy cập ứng dụng web d oa DVWA chạy máy chạy Suricata Nhập chuỗi “ 1’ or ‘1’ = ‘1 ” vào ô User an lu ID Trên máy Suricata xem log phát file /var/log/suricata/fast.log nf va - Luật phát sử dụng: nocase; sid:10000009;) z at nh oi lm ul alert tcp any any -> any 80 (msg:"Phat hien tan cong SQLi - OR"; content:"or"; - Kết cho hình 3.12 3.13 z m co l gm @ an Lu n va ac th si 55 lu an n va ie gh tn to p Hình 3.12: Tấn công SQLi - OR vào ứng dụng web DVWA máy Suricata d oa nl w nf va an lu z at nh oi lm ul Hình 3.13 :Suricata cảnh báo phát công SQLi - OR 3.3.1.6 Phát công SQLi - UNION z gm @ - Kịch bản: Trên máy công sử dụng trình duyệt để truy cập ứng dụng web DVWA chạy máy chạy Suricata Nhập chuỗi “ -1 union select user, l an Lu - Luật phát sử dụng: m file /var/log/suricata/fast.log co password from users ” vào ô User ID Trên máy Suricata xem log phát n va ac th si 56 alert tcp any any -> any 80 (msg:"Phat hien tan cong SQLi - UNION"; content:"union"; nocase; sid:10000010;) - Kết cho hình 3.14 3.15 lu an n va p ie gh tn to d oa nl w nf va an lu Hình 3.14: Tấn cơng SQLi - UNION vào ứng dụng web DVWA máy Suricata z at nh oi lm ul z gm @ m 3.3.1.7 Phát công duyệt đường dẫn co l Hình 3.15: Suricata cảnh báo phát cơng SQLi - UNION DVWA chạy máy chạy Suricata an Lu - Kịch bản: Trên máy công sử dụng trình duyệt để truy cập ứng dụng web Truy cập URL n va ac th si 57 http://192.168.11.147/DVWA/vulnerabilities/fi/?page= / / / / / / / /etc/pas sword để truy cập file chứa danh sách người dùng hệ thống Trên máy Suricata xem log phát file /var/log/suricata/fast.log - Luật phát sử dụng: alert tcp any any -> any 80 (msg:"Phat hien tan cong duyet duong dan"; content:" /"; nocase; sid:10000012;) - Kết cho hình 3.16 3.17 lu an n va p ie gh tn to d oa nl w nf va an lu Hình 3.16: Tấn cơng duyệt đường dẫn vào ứng dụng DVWA máy Suricata z at nh oi lm ul z @ 3.3.2 Nhận xét co l gm Hình 3.17: Suricata cảnh báo phát cơng duyệt đường dẫn m Sаu phát tình xâm nhập hệ thống, suricata tổng hợp logs an Lu chuyển quа phân tích chung sаu xuất rа cảnh báo n va ac th si 58 Hệ thống phát xâm nhập sử dụng Suricata phát xác kịch công hệ thống Cụ thể: - Phát gói tin ping rà quét cổng dạng cơng thám thính - Phát cơng DoS TCP SYN Flood - Phát công dị tìm tài khoản - mật - brute force - Phát số dạng công web, SQLi duyệt đường dẫn 3.4 Kết luận chương Chương mô tả việc triển khai thử nghiệm hệ thống phát xâm nhập lu an Suricata cho trường CĐSP Hà Tây, bao gồm giới thiệu trạng hệ thống mạng n va vấn đề bảo mật hệ thống mạng trường, mơ hình triển khai thử nghiệm, vấn tn to đề cài đặt, cấu hình Suricata thử nghiệm phát số dạng công sử dụng gh Suricata Các kết ban đầu cho thấy, hệ thống phát xâm nhập sử dụng Suricata p ie phát xác kịch công hệ thống d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va ac th si 59 KẾT LUẬN Các kết đạt được: Luận văn tập trung nghiên cứu thu thập, xử lý, phân tích log truy cập, phục vụ phát hành vi bất thường nguy an tồn thơng tin hệ thống mạng trường Cao Đẳng Sư Phạm Hà Tây Các nội dung thực luận văn bao gồm: - Trình tổng quan cơng, xâm nhập mạng, dạng công xâm nhập thường gặp; đồng thời khái quát phát xâm nhập kỹ thuật phát xâm nhập qua ta có nhìn rõ cơng, xâm nhập lu - Mô tả số tảng cơng cụ xử lý phân tích log truy nhập, từ rút an va so sánh, đánh giá để tìm mơ hình triển khai phù hợp n - Trình bày kiến trúc, hoạt động tính hệ thống xâm nhập mạng gh tn to phổ biến Snort, Suricata Từ đó, đưa so sánh ưu, nhược điểm hệ thống p ie - Cài đặt hệ thống phát công, xâm nhập mạng với tảng mã nguồn nl w mở Suricata Thử nghiệm kịch công cụ thể đưa kết cảnh d oa báo bị công an lu Luận văn phát triển theo hướng sau: nf va - Triển khai thử nghiệm mơ hình phát công, xâm nhập mạng dựa Suricata kết hợp Elastic Stack cho phát bất thường nguy ATTT lm ul hệ thống mạng thực Hồn thiện tối ưu hóa hệ thống để phân tích xử lý logs z at nh oi nhanh chóng tăng hiệu hệ thống - Xây dựng bổ sung thêm tập luật giám sát, phát bất thường nguy ATTT, đảm bảo khả phát kịp thời nguy an ninh z hợp tính cảnh báo qua email, telegram… m co l gm @ an tồn; đồng thời tích hợp thêm hệ thống ngăn chặn cơng mạng, tích an Lu n va ac th si 60 DANH MỤC TÀI LIỆU THAM KHẢO [1] NortonLifeLock Inc., 10 cyber security facts and statistics for 2018, https://us.norton.com/internetsecurity-emerging-threats-10-facts-about-todayscybersecurity-landscape-that-you-should-know.html, truy cập tháng 5.2022 [2] CSO, Top cybersecurity facts, figures and statistics for 2020, https://www.csoonline.com/article/3153707/top-cybersecurity-facts-figures-andstatistics.html, truy cập tháng 5.2022 [3] Hồng Xn Dậu, Giáo trình sở an tồn thơng tin, Học viện cơng nghệ BCVT, Nhà xuất Thông tin Truyền thông, 2020 lu an [4] https://resources.cystack.net/, truy nhập tháng 5.2022 [5] Snort, https://www.snort.org, truy cập tháng 5.2022 va n [6] Suricata, https://suricata-ids.org/, truy cập tháng 5.2022 tn to [7] OSSEC, https://www.ossec.net, truy cập tháng 5.2022 ie gh [8] IBM QRadar SIEM, https://www.ibm.com/vn-en/products/qradar-siem, truy cập p tháng 5.2022 nl w [9] SolarWinds Security Event Manager, https://www.solarwinds.com, truy cập McAfee Network Security Platform,https://www.mcafee.com/enterprise/en- d [10] oa tháng 5.2022 lu [11] nf va an us/products/network-security-platform.html, truy cập tháng 5.2022 https://www.fortinet.com/it/resources/cyberglossary/, nhập tháng lm ul 5.2022 truy z at nh oi [12] https://www.guru99.com/elk-stack-tutorial.html, truy nhập tháng 5.2022 z m co l gm @ an Lu n va ac th si