Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 73 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
73
Dung lượng
1,47 MB
Nội dung
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - a lu n HOÀNG VĂN TÙNG n va p ie gh tn to oa nl w NGHIÊN CÚU FILE LOG VÀ ỨNG DỤNG TRONG d BẢO MẬT SERVER a nv a lu ll u nf LUẬN VĂN THẠC SĨ KỸ THUẬT m (Theo định hướng ứng dụng) tz n oi z m co l gm @ an Lu HÀ NỘI – 2020 n va ac th si HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - a lu n HOÀNG VĂN TÙNG n va p ie gh tn to NGHIÊN CÚU FILE LOG VÀ ỨNG DỤNG TRONG BẢO MẬT SERVER MÃ SỐ: 8.48.01.04 d oa nl w Chuyên ngành : Hệ thống thông tin a nv a lu u nf ll LUẬN VĂN THẠC SĨ KỸ THUẬT m (Theo định hướng ứng dụng) tz n oi z NGƯỜI HƯỚNG DẪN KHOA HỌC: TS PHAN THỊ HÀ m co l gm @ an Lu HÀ NỘI – 2020 n va ac th si a lu n n va p ie gh tn to d oa nl w a nv a lu ll u nf m tz n oi z m co l gm @ an Lu n va ac th si i LỜI CAM ĐOAN Tơi cam đoan cơng trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình khác Học viên luận văn ký ghi rõ họ tên Hoàng Văn Tùng a lu n n va p ie gh tn to d oa nl w a nv a lu ll u nf m tz n oi z m co l gm @ an Lu n va ac th si ii LỜI CẢM ƠN Để hoàn thành luận văn, nghiên cứu cố gắng thân, xin cảm ơn cô giáo TS Phan Thị Hà - người cô trực tiếp hướng dẫn, tận tình bảo định hướng cho tơi suốt trình thực luận văn Một lời cảm ơn chắn khơng thể diễn tả hết lịng biết ơn sâu sắc tới cô – người cô phương diện! Tôi xin gửi lời cảm ơn chân thành cảm ơn tất thầy cô giáo Học a lu viện Công nghệ Bưu Viễn thơng giảng dạy, quan tâm nhiệt tình dìu dắt n n va tơi trong suốt trình học tập trường p ie gh tn to Cuối cùng, xin gửi lời cảm ơn tới gia đình, bạn bè người ln bên cổ vũ, động viên, tạo điều kiện thuận lợi cho học tập, tạo động lực tinh thần vơ giá để tơi hồn thiện luận văn ngày hồn thiện d oa nl w thân a lu Trong trình nghiên cứu thực luận văn, hướng a nv dẫn nhiệt tình giáo TS Phan Thị Hà nỗ lực thân u nf khơng thể tránh khỏi thiếu sót hạn chế Tôi mong nhận ý kiến ll đóng góp, sửa chữa từ q Thầy, Cơ bạn bè đồng nghiệp để luận văn tz n oi Trân trọng cảm ơn! m hoàn thiện z gm @ Học viên Hoàng Văn Tùng m co l an Lu n va ac th si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC BẢNG BIỂU v DANH MỤC HÌNH VẼ vi MỞ ĐẦU a lu Chương 1.TỔNG QUAN VỀ FILE LOG SERVER n n va 1.1 Giới thiệu toán 1.1.2 Bài tốn ứng dụng phân tích log server vào bảo mật p ie gh tn to 1.1.1 Tổng quan bảo mật server 1.2 Giới thiệu file log server 1.2.1 File log server oa nl w 1.2.2 Ứng dụng File log server 12 1.3 Ứng dụng file log bảo mật server 14 d a lu 1.3.1 Tổng quan phân tích log 14 a nv 1.3.2 Một số cơng nhận biết qua file log .14 u nf 1.3.3 Hệ thống phân tích log server 19 ll 1.4 Kết luận 21 m n oi Chương NGHIÊN CỨU VÀ THIẾT KẾ HỆ THỐNG PHÂN TÍCH LOG tz SERVER 22 z 2.1 Giới thiệu tảng cơng cụ phân tích log 22 gm @ 2.1.1 Giới thiệu ElasticSearch .24 l 2.1.2 Giới thiệu LogStash .24 co 2.1.3 Giới thiệu Kibana 25 m 2.2 Mơ hình xử lý file log server .26 Lu an 2.3 Các kỹ thuật phân tích log 32 n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an iv 2.4 Xây dựng hệ thống phân tích log 35 2.5 Kết luận 37 Chương ÁP DỤNG THỬ NGHIỆM HỆ THỐNG PHÂN TÍCH FILE LOG SERVER VÀO THỰC TIỄN 38 3.1 Cài đặt hệ thống phân tích log server 38 3.1.1 Giới thiệu hệ thống máy chủ công ty iNET 38 3.1.2 Mơ hình thử nghiệm 41 3.1.3 Cài đặt hệ thống phân tích log ELK stack .41 3.2 Vận hành thử nghiệm 49 a lu 3.3 Phân tích liệu thu từ log Server 51 n n va 3.4 Đánh giá, đề xuất bảo mật cho server 55 tn to 3.5 Kết luận 56 KẾT LUẬN 58 p ie gh DANH MỤC CÁC TÀI LIỆU THAM KHẢO 60 d oa nl w a nv a lu ll u nf m tz n oi z m co l gm @ an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an v DANH MỤC BẢNG BIỂU Bảng 1.1 Định nghĩa tiền tố mở rộng W3C .11 Bảng 1.2 Định nghĩa trường mở rộng W3C 12 Bảng 1.3 Mã trạng thái HTTP 17 Bảng 2.1 Các điều tra phân tích log 30 Bảng 3.1 Danh sách hệ thống máy chủ iNET 38 Bảng 3.2 Danh sách hệ điều hành cài serever iNET 39 a lu n n va p ie gh tn to d oa nl w a nv a lu ll u nf m tz n oi z m co l gm @ an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an vi DANH MỤC HÌNH VẼ Hình 1.1 Dữ liệu log Server bị DDos 17 Hình 2.1 Bốn giai đoạn phân tích log .26 Hình 2.2 Phân tích đa biến Temporal Size 31 Hình 2.3 Phân tích đa biến Source Destination Linkage 31 Hình 2.4 Mô hình phân tích log server 36 Hình 3.1 Mơ hình hoạt động server iNET 39 a lu Hình 3.2: Mơ hình xây dựng hệ thống phân tích log 41 n n va Hình 3.3 Mơ hình xử lý liệu file config logstash 44 tn to Hình 3.4: Giao diện quản lý liệu log tổng quan Kibana 49 p ie gh Hình 3.5 Hệ thống gửi mail báo lỗi cho quản trị viên .50 Hình 3.6 Giao diện hiển thị theo thời gian thực việc lấy liệu log 51 oa nl w Hình 3.7 Biểu đồ phản hồi từ server client .51 Hình 3.8 Các phản hồi 404 từ Server 52 d Hình 3.9 Chi tiết lượng phản hồi 404 ngày 30/3 53 a lu a nv Hình 3.10 Thống kê IP nhận phản hồi 404 cao ngày 30/3 53 u nf Hình 3.11 Tìm kiếm script message 54 ll Hình 3.12 Nội dung message chi tiết có chứa mã script 55 m tz n oi z m co l gm @ an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an MỞ ĐẦU Hiện nay, Internet phát triển cách mạnh mẽ có nhiều bước chuyển vượt bậc đóng góp tích cực việc phát triển kinh tế, xã hội đặc biệt người Sự phát triển internet kéo theo website trực tuyến tạo ngày nhiều Và tất nhiên server lưu trữ web (như hosting, vps) tăng nhanh chóng nhằm đáp ứng nhu cầu tạo website, đồng thời tạo thêm môi trường thu lợi tin tặc Với nhiều thủ đoạn lẫn cách thức tinh vi, việc đảm bảo an tồn cho server lưu trữ web ln tốn vơ a lu nan giải n va n Tháng 2/2019, Tập đoàn Bkav phát cảnh báo việc có tn to chiến dịch cơng có chủ đích hacker nước ngồi nhằm vào server p ie gh public Việt Nam Hàng trăm quan, tổ chức Việt Nam bị hacker cơng, xâm nhập máy chủ, sau thực mã hóa tồn liệu server [1] oa nl w Hay công DDoS vào Wikipedia – website bách khoa hàng đầu giới – khiến cho website bị ngừng hoạt động gần ngày [2] Theo Báo cáo an d ninh mạng hàng năm năm 2019 từ Bulletproof, công DoS a lu DDoS gây thiệt hại cho công ty doanh nghiệp triệu đô la lên a nv tới 120.000 đô la cho công ty nhỏ [4] u nf Khi bị tin tặc công, server bị ảnh hưởng nhiều dẫn đến ll m việc hoạt động hệ thống bị ngưng trệ hay mát liệu Điều không n oi làm tốn thời gian khắc phục cho người quản trị hệ thống mà kéo theo hệ lụy tz kinh tế an ninh Do mà cần phát sớm công z vào server @ gm Để ngăn chặn nhanh công vào server từ tin tặc, người l quản trị cần sớm biết mối nguy hại tiềm ẩn tác động đến hệ thống an Lu tác động vào server đưa cách xử lý nhanh chóng [6] m co Phân tích log server giúp người quản trị biết có n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 50 to => "htv.sky.1994@gmail.com" via => "smtp" body => "%{message}" } a lu - Cấu hình Elasticsearch Kibana n va n Sau thiết lập cài đặt Filebeat Logstash hoàn thành, liệu tn to chuyển sang lập mục Elasticsearch hiển thị thông qua Kibana Với p ie gh mô hình sử dụng luận văn này, cài đặt có sẵn Elasticsearch đủ để đáp ứng nhu cầu cho việc phân tích log server oa nl w Để hiển thị liệu lập mục ElasticSearch, học viên cấu hình port chạy Kibana lẫn port ElasticSearch: d # Kibana is served by a back end server This setting specifies the port to use a nv a lu server.port: 5601 ll u nf m # The URLs of the Elasticsearch instances to use for all your queries tz n oi elasticsearch.hosts: ["http://localhost:9200"] z m co l gm @ an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 51 3.2 Vận hành thử nghiệm Sau cài đặt tồn hệ thống phân tích ELK server, tồn liệu log thu thập hiển thị Kibana Kibana cung cấp giao diện trực quan dễ nhìn dễ dàng sử dụng tạo thuận lợi cho việc quản trị log server Dữ liệu log chia trường hình ảnh kèm theo filter bên trái cho phép lựa chọn trường liệu cần thiết cho việc phân tích a lu n n va p ie gh tn to d oa nl w a nv a lu ll u nf m tz n oi Hình 3.4: Giao diện quản lý liệu log tổng quan Kibana z Khi đưa giải pháp ELK vào xây dựng hệ thống quản lý log, liệu log @ gm thu thập theo thời gian thực (real-time) Ngay hệ thống nhận bất co l thường hệ thống, tự động gửi email cảnh báo cho quản trị viên biết m để có thức xử lý Quản trị viên thông qua việc nhận mail báo lỗi thể biết an Lu vấn đề mà hệ thống gặp phải Điều so với việc giám sát liệu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 52 thủ công thường thấy bước đắn, giúp quản trị viên có phương án thích hợp cho server server bị cơng Trong phần cấu hình Logstash cài đặt phát truy cập bị chặn lại hệ thống tiến hành gửi mail cho quản trị viên a lu n n va p ie gh tn to d oa nl w a nv a lu Hình 3.5 Hệ thống gửi mail báo lỗi cho quản trị viên u nf Dữ liệu log theo dõi thủ công gặp nhiều vấn đề hạn chế việc dõi tiến ll trình sinh log hay theo dõi nhiều file log lúc gây thời gian Để cải m n oi thiện vấn đề hệ thống phân tích log server ELK cung cấp biểu đồ thông qua tz Kibana cho phép quản trị viên theo dõi liệu log thu thập theo thời gian thực Từ biểu đồ, quản trị viên hồn tồn nắm thời điểm z server thu nhiều m co l gm @ có bao nhiều dịng log sinh có cách thức xử lý hiệu log an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 53 a lu n n va Hình 3.6 Giao diện hiển thị theo thời gian thực việc lấy liệu log 3.3 Phân tích liệu thu từ log Server tn to Từ liệu log thu sau cài đặt hệ thống phân tích log server ELK p ie gh stack, học viên dựa vào liệu để kiểm tra xem hệ thống có Phân tích cơng DDoS dựa liệu log oa nl w - gặp vấn đề hay không DDoS phương thức công không lạ khó để ngăn d a lu chặn hồn tồn Trong có cách thức cơng phổ biến dựa việc khiến server a nv bị hết băng thông hay gửi nhiều yêu cầu liệu sai khiến phần cứng không u nf đáp ứng đủ Cách thức công đa phần dựa công cụ dẫn đến đường ll dẫn, thư mục phổ biến dùng mục tiêu quét đầu tiên, nhiên m n oi việc cài đặt web server nên phản hồi 404 nhiều tz phản ánh vấn đề với hệ thống Do việc theo dõi phản hồi 404 nhiều bất thường giúp ích việc phân tích cơng DDoS z gm @ Do học viên tiến hành lập biểu đồ kiểm tra phản hồi từ server client m co l an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 54 a lu Hình 3.7 Biểu đồ phản hồi từ server client n va n Biểu đồ dựa vào liệu log hình cho thấy số lượng phản hồi tn to request đến từ server, phản hồi 404 có số lượng nhiều nhiều so với p ie gh phản hồi khác Đây lỗ hổng có nhiều lượt truy cập vào server lại đến trang không nằm hệ thống Quản trị viên cần phải khai thác xem thời gian hệ thống gặp nhiều oa nl w request 404 IP Dựa số liệu log thu được, quản trị viên hồn d tồn biết thời điểm hệ thống có số lượng yêu cầu 404 gia tăng a nv a lu ll u nf m tz n oi z m co l gm @ an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 55 a lu n n va p ie gh tn to oa nl w Hình 3.8 Các phản hồi 404 từ Server Qua biểu đồ lọc phản hồi 404 theo thời gian, nhận thấy vào ngày 30 d tháng số lượng phản hồi 404 tăng cao bất thường, tiếp tục nhấp vào ngày 30 để a lu a nv có thêm thông tin vào khoảng thời gian ll u nf m tz n oi z m co l gm @ an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 56 a lu n va n Hình 3.9 Chi tiết lượng phản hồi 404 ngày 30/3 p ie gh tn to Sau tiến hành lọc IP gửi nhiều request đến server thời điểm truy xét d oa nl w a nv a lu ll u nf m tz n oi z m co l gm @ an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 57 Hình 3.10 Thống kê IP nhận phản hồi 404 cao ngày 30/3 Thơng qua biểu đồ nhận thấy IP 192.99.15.199 có lượng phản hồi 404 cao cụ thể 10 phút tiến hành gửi 120 lần request đến server, IP đưa vào danh sách nghi vấn chặn lượt phản hồi cao tiếp diễn đặn Trong thời gian cài đặt thử nghiệm hệ thống không ghi nhận công, nên trường hợp hoạt động cách thức tìm IP công sever Tuy nhiên việc theo dõi lượng request lỗi cao hồn tồn giúp quản trị viên chủ động việc phòng tránh bị công DDoS a lu n - Phát công XSS với hệ thống phân tích log n va tn to Như đề cập chương 1, cơng XSS phát p ie gh thơng qua việc tìm thẻ script, frame,… Thơng qua liệu log tiến hành tìm kiếm thẻ có khả bị chèn mã độc d oa nl w a nv a lu ll u nf m tz n oi z m co l gm @ an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 58 Hình 3.11 Tìm kiếm script message Qua việc tìm kiếm, nhận có số lượng script bị chèn server nhiên bị chặn Firewall ModSecurity Nhấp chi tiết vào quản trị viên xem chi tiết liệu script a lu n n va p ie gh tn to oa nl w Hình 3.12 Nội dung message chi tiết có chứa mã script d Dựa thơng tin thu được, srcipt chèn vào nhằm a lu crawl liệu server Với script crawl liệu dẫn đến tình trạng a nv ăn tài nguyên hệ thống website hoạt động không cài đặt ban đầu u nf ll Tuy nhiên script chặn lại tường lửa nên điều khơng ảnh hưởng m n oi đến hệ thống tz 3.4 Đánh giá, đề xuất bảo mật cho server z Sau thực cấu hình thử nghiệm hệ thống phân tích log server @ gm trình bày trên, học viên đánh giá kết đạt giải l số vấn đề đặt toán đề cập chương mục giới thiệu toán m co như: an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 59 Xây dựng hệ thống phân tích log có khả cập nhật liệu theo thời gian thực, giúp cho việc phân tích log server dễ dàng trực quan với Kibana Hệ thống phân tích log server giúp cho việc bảo mật server dễ dàng phát cảnh báo hệ thống gặp lỗi, dấu hiệu bất thường giúp quản trị viên nhận thơng báo lỗi cách sớm xác So với việc phân tích thủ cơng theo cố lựa chọn hồn tồn hợp lý a lu Việc giải hai vấn đề đồng nghĩa với việc giải phần n hạn chế sử dụng quản lý giám sát liệu log server n va công ty iNET đề cập đầu chương tn to - Các đề xuất bảo mật cho Server p ie gh Qua việc triển khai hệ thống phân tích log server cơng ty iNET, học viên nhận thấy vấn đề cần thực để đảm bảo hệ thống oa nl w an toàn nhất: Phân tích liệu log có ý nghĩa vơ quan trọng bảo mật d server, sử dụng riêng hệ thống phân tích log dựa ELK stack a lu a nv chưa đủ để đảm bảo an tồn bảo mật cho server Việc kết hợp với u nf công cụ giám sát khác giám sát mạng, giám sát hệ thống để nâng cao khả ll truy tìm, chặn lỗ hổng hay thông báo lỗi đến quản trị viên cần thiết m Tường lửa, công cụ antivirus phần mềm quan trọng n oi tz việc bảo mật hệ thống server Các phần mềm giúp cho hệ thống ngăn chặn từ đầu tác nhân gây hại giúp giảm thiểu khối lượng công việc cần làm cho z phần mềm tường lửa, antivirus nhanh sớm l Là hệ thống server dịch vụ lưu trữ online nên liệu thứ thiết yếu co gm @ quản trị viên Điều đồng nghĩa với việc hệ thống server cần cập nhật m nhất, nên hệ thống cần ổ để lưu lại toàn liệu đưa lên Lu server dịch vụ Trong trường hợp xấu nhất, việc lưu liệu giúp giải an n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 60 vấn đề khách hàng trước có động thái tìm kiếm lỗ hổng server Kiểm tra liệu log để nắm thông tin hệ thống định kỳ xây dựng tự động báo lỗi để tránh việc để sót thơng tin quan trọng 3.5 Kết luận Chương luận văn trình bày chi tiết việc triển khai hệ thống phân tích log server cơng ty iNET dựa công nghệ ELK stack cho phép quản trị viên quản lý log tập trung, nhận thông báo lỗi từ sớm giúp sớm khắc phục a lu lỗi hệ thống Bên cạnh mơ hình vận hành hệ thống phân tích luồng lấy n n va liệu log học viên thiết kế hoạt động theo ý muốn giúp liệu log Việc cài đặt thành công hệ thống phân tích log server cơng ty iNET p ie gh tn to tập trung toàn hệ thống phục vụ cho việc phân tích dễ dàng tạo tiền đề cho việc triển khai cho server khác nâng cao khả phòng ngự bảo mật Một số thử nghiệm đánh giá liệu log thu server công oa nl w ty iNET học viên thực Với việc chọn yếu tố quan trọng, loại bỏ yếu tố dư thừa phân tích liệu log; học viên xác định d a lu nguy xảy công nhằm vào server Bên cạnh chương tổng a nv hợp số đề xuất cho server nhằm nâng cao khả chống công cho sever, ll m nhiều u nf hạn chế mức thấp tác động gây hại giảm tải việc phải giám sát hệ thống tz n oi z m co l gm @ an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 61 KẾT LUẬN Những đóng góp luận văn: Với mục tiêu nghiên cứu tốn tìm hiểu file log ứng dụng file log vào bảo mật server Luận văn sâu vào nghiên cứu vấn đề xung quanh file log, ứng dụng file log server Những kết đạt luận văn: Tìm hiểu tổng quan file log server, ứng dụng file log server việc vận hành lẫn bảo mật hệ thống, cách thức phân tích cách nhận a lu n biết công thông qua file log n va Tìm hiểu cơng nghệ ELK stack dựa vào công nghệ học viên xây Tìm hiểu hệ thống máy chủ cơng ty iNET, sau tiến hành xây dựng p ie gh tn to dựng mơ hình tổng qt hệ thống phân tích log server mơ hình hệ thống phân tích log cho máy chủ Thơng qua mơ hình hệ oa nl w thống phân tích log, học viên cấu hình chạy thử nghiệm thành cơng hệ thống phân tích liệu log cảnh báo lỗi đến quản trị viên d Hướng phát triển luận văn a lu a nv Tuy đạt số kết nêu trên, luận văn có hạn ll u nf chế điều kiện mặt thời gian lẫn trình độ học viên Vì vậy, hướng nghiên m cứu học viên là: n oi Áp dụng thêm cơng cụ khác vào hệ thống phân tích file log nhằm nâng tz cấp tính năng, nâng cao khả quản trị server lẫn liệu log z Những hình thức cơng vào hệ thống server phát triển không @ gm ngừng theo thời gian Tin tặc áp dụng hình thức cơng đa dạng l hơn, khó để phát ngăn chặn tốn khó bảo mật server m co quản trị viên Luận văn phát triển theo hướng tìm hiểu hình Lu thức cơng nhất, thơng qua tìm hiểu cách thức để áp dụng vào việc phân tích an log n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 62 Không dùng liệ phân tích log vào bảo mật server, luận văn phát triển theo hướng ứng dụng vào vấn đề liên quan đến người dùng nhằm cải thiện chất lượng hệ thống Ứng dụng file log server vào bảo mật server vô lớn Quản trị viên hồn tồn phát triển hệ thống SIEM (hệ thống giám sát an ninh mạng) liệu log server để quản lý server cách toàn diện a lu n n va p ie gh tn to d oa nl w a nv a lu ll u nf m tz n oi z m co l gm @ an Lu n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an 63 DANH MỤC CÁC TÀI LIỆU THAM KHẢO Tiếng Việt [1] Kim Thanh (2019), Đang có chiến dịch cơng có chủ đích nhằm vào Server Public Việt Nam https://www.sggp.org.vn/dang-co-mot-chien-dich-tan-cong-co-chu-dichnham-vao-cac-server-public-cua-viet-nam-575735.html [2] Kiến Văn (2019), Wikipedia xác nhận cố ngừng hoạt động bị công DDoS a lu https://thanhnien.vn/cong-nghe/wikipedia-xac-nhan-su-co-ngung-hoat-dong- n do-bi-tan-cong-ddos-1123957.html va n Tiếng Anh to Increase the Effectiveness of the Website Using Web Mining Tool”, p ie gh tn to [3] Arvind K Sharma1, P.C Gupta (2013), “Analysis of Web Server Log Files International Journal of Advanced Computer and Mathematical Sciences, vol 4, oa nl w issue 1, pp1-8 [4] BulletProof (2019), BulletProof Annual Cyber Security Report 2019 d https://www.bulletproof.co.uk/industry-reports/2019.pdf a lu [5] Krishnamoorthi R., K R Suneetha (2009), “Identifying User Behavior by a nv Analyzing Web Server Access Log File” International Journal of Computer u nf Science and Network Security, vol 9, no ll m n oi [6] Karen Kent, Murugiah Souppaya (2006), Guide to Computer Security Log tz Management, National Institute of Standards and Technology, Gaithersburg [7] Mohammed Hamed Ahmed Elhiber and Ajith Abraham (2013), “Access z l gm Computing, ISSN 2160-2174, pp 348-355 @ Patterns in Web Log Data: A Review” Journal of Network and Innovative co [8] Merve Bas ß SeyyarFerhat, Ozgur Catak, Ensar Gul (2017), “Detection of m attack-targeted scans from the Apache HTTP Server access logs” Applied Lu an Computing and Informatics, Volume 14, Issue 1, January 2018, Pages 28-36 n va ac th Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn si C.vT.Bg.Jy.Lj.Tai lieu Luan vT.Bg.Jy.Lj van Luan an.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Stt.010.Mssv.BKD002ac.email.ninhd.vT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.LjvT.Bg.Jy.Lj.dtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn