Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 74 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
74
Dung lượng
3,13 MB
Nội dung
ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TÔN ĐỨC CƯỜNG lu an n va p ie gh tn to d oa nl w TÌM HIỂU VÀ XÂY DỰNG CƠNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM ll u nf va an lu oi m z at nh LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH z m co l gm @ an Lu Thái Nguyên, năm 2016 n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TÔN ĐỨC CƯỜNG lu an n va p ie gh tn to TÌM HIỂU VÀ XÂY DỰNG CƠNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM d oa nl w Chuyên ngành : Khoa học máy tính Mã số chuyên ngành: 60 48 01 01 ll u nf va an lu oi m z at nh LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH z m co l gm @ NGƯỜI HƯỚNG DẪN KHOA HỌC TS TRẦN ĐỨC SỰ an Lu n va Thái Nguyên, năm 2016 ac th si LỜI CAM ĐOAN Tôi là: Tôn Đức Cường Lớp: CK13B Khoá học: 2014 - 2016 Chuyên ngành: Khoa học máy tính Mã số chuyên ngành: 60 48 01 01 Cơ sở đào tạo: Trường Đại học Công nghệ thông tin Truyền thông - Đại học Thái Nguyên Giáo viên hướng dẫn: TS Trần Đức Sự lu Tơi xin cam đoan luận văn “Tìm hiểu xây dựng công cụ phát công an n va mạng dựa công nghệ SIEM” công trình nghiên cứu riêng tơi Các luận văn chưa cơng bố cơng trình khác gh tn to số liệu sử dụng luận văn trung thực Các kết nghiên cứu trình bày p ie Thái Nguyên, ngày 21 tháng 09 năm 2016 d oa nl w HỌC VIÊN an lu nf va Tôn Đức Cường z at nh oi lm ul z m co l gm @ an Lu ac th http://www.lrc.tnu.edu.vn n va Số hóa Trung tâm Học liệu – ĐHTN si i LỜI CẢM ƠN Sau tháng nỗ lực tìm hiểu, nghiên cứu thực luận văn Cao học với nội dung “Tìm hiểu xây dựng cơng cụ phát công mạng dựa công nghệ SIEM” hoàn thành Ngoài nỗ lực thân, tơi cịn nhận nhiều quan tâm, giúp đỡ thầy cô trường Đại học Công nghệ thông tin Truyền thông, Viện Công nghệ thông tin để tơi hồn thành tốt luận văn Trước hết xin gửi lời cảm ơn chân thành đến thầy cô trường Đại học Công nghệ thông tin Truyền thông – Đại học Thái Nguyên, thầy cô giáo sư, tiến sỹ công tác Viện Công nghệ thông tin truyền đạt kiến thức quý báu lu suốt thời gian học thạc sỹ trường Đặc biệt, xin gửi lời cảm ơn tới thầy an n va giáo TS Trần Đức Sự tận tình hướng dẫn bảo suốt thời gian làm luận mại Du lịch nơi công tác tạo tạo điều kiện, giúp đỡ số trang gh tn to văn Bên cạnh tơi xin gửi lời cảm ơn tới lãnh đạo trường Cao đẳng Thương ie thiết bị hỗ trợ thử nghiệm cho công cụ xây dựng p Do thời gian, kiến thức trang thiết bị hạn chế, luận văn chưa thực nl w nghiệm nhiều, kết đạt mang tính chất thử nghiệm, mong nhận d oa góp ý từ phía thầy cơ, bạn bè để luận văn tơi hồn thiện an lu nf va Thái Nguyên, tháng 07 năm 2016 HỌC VIÊN z at nh oi lm ul Tôn Đức Cường z m co l gm @ an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si ii MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC TỪ VIẾT TẮT iv DANH MỤC HÌNH VẼ v LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG MẠNG lu an n va p ie gh tn to 1.1 TẤN CƠNG TRONG MẠNG MÁY TÍNH .3 1.1.1 Khái niệm công mạng 1.1.2 An toàn mạng 1.1.3 Lỗ hổng bảo mật 1.1.4 Các kiểu công mạng phổ biến 1.1.5 Mô hình cơng mạng 1.1.6 Một số dấu hiệu phát hệ thống bị công 12 1.2 HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS 13 1.2.1 Hệ thống phát xâm nhập IDS .13 1.2.2 Network-based IDS 13 1.2.3 Host-based IDS 15 1.2.4 Hệ thống ngăn chặn xâm nhập IPS 17 1.3 HỆ THỐNG GIÁM SÁT AN NINH MẠNG 18 1.3.1 Giới thiệu hệ thống giám sát an ninh mạng 18 1.3.2 Mơ hình giám sát an ninh mạng 18 1.3.3 Các công nghệ giám sát an ninh mạng .20 d oa nl w nf va an lu lm ul CHƯƠNG PHÁT HIỆN TẤN CÔNG MẠNG VỚI CÔNG NGHỆ SIEM 22 z at nh oi 2.1 GIỚI THIỆU VỀ CÔNG NGHỆ SIEM 22 2.1.1 Quản lý nhật ký kiện an ninh 25 2.1.2 Tuân thủ quy định CNTT 26 2.1.3 Tương quan liên kết kiện an ninh .26 2.1.4 Cung cấp hoạt động ứng phó 27 2.1.5 Đảm bảo an ninh thiết bị đầu cuối .27 2.2 THÀNH PHẦN VÀ HOẠT ĐỘNG CỦA SIEM 27 2.2.1 Thiết bị Nguồn .28 2.2.2 Thu thập Log 30 2.2.3 Chuẩn hóa tổng hợp kiện an ninh .32 2.2.4 Tương quan kiện an ninh 33 z m co l gm @ an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si iii 2.2.5 Lưu trữ Log 36 2.2.6 Giám sát cảnh báo 37 2.3 MỘT SỐ HỆ THỐNG TRIỂN KHAI SIEM 39 2.3.1 MARS 39 2.3.2 IBM Qradar 39 2.3.3 Splunk 40 2.3.4 AlienVault OSSIM .41 CHƯƠNG XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM VỚI MÃ NGUỒN MỞ ALIENVAULT OSSIM 42 lu an n va p ie gh tn to 3.1 MỤC TIÊU XÂY DỰNG CÔNG CỤ 42 3.2 HỆ THỐNG VÀ MƠ HÌNH PHÁT HIỆN TẤN CƠNG MẠNG .42 3.2.1 Hệ thống mã nguồn mở AlienVault OSSIM 42 3.2.2 Một số chức AlienVault OSSIM 43 3.2.3 Mơ hình tổng quan hệ thống phát công mạng dựa công nghệ Siem sử dụng công cụ AlienVault OSSIM 44 3.3 TRIỂN KHAI XÂY DỰNG 46 3.3.1 Triển khai OSSIM vào hệ thống mạng 46 3.3.2 Một số công cụ sử dụng OSSIM .46 3.3.3 Đánh giá rủi ro .48 3.3.4 Chuẩn hóa log 48 3.3.5 Xây dựng luật Ossim 51 3.4 THỬ NGHIỆM VÀ KẾT QUẢ 53 3.4.1 Mơ hình thử nghiệm thực tế 53 3.4.2 Tấn cơng thăm dị 54 3.4.3 Tấn công đăng nhập 57 3.4.4 Tấn công từ chối dịch vụ 60 3.4.5 Tấn công vào hệ quản trị sở liệu SQL .62 3.4.6 Đánh giá, kết 64 d oa nl w nf va an lu z at nh oi lm ul KẾT LUẬN .65 TÀI LIỆU THAM KHẢO 66 z m co l gm @ an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si iv DANH MỤC TỪ VIẾT TẮT lu an n va Từ viết tắt 01 TCP Transmision control protocol 02 Dos Denial of Service (Từ chối dịch vụ) 03 Ddos Distributed Denial of Service 04 Drdos Distributed Reflection Denial of Service 05 IDS 06 NIDS Network-based Intrusion Detection Systems 07 HIDS Host-based Intrusion Detection Systems 08 CNTT Công nghệ thông tin 09 SIEM Security Infomation and Event Management 10 ARP Address Resolution Protocol 11 CSDL Nội dung Intrusion Detection Systems (Phát xâm nhập) Cơ sở liệu p ie gh tn to Stt Open Source Security Information OSSIM Management IIS Internet Information Services d 13 oa nl w 12 nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si v DANH MỤC HÌNH VẼ Hình 1.1: Mơ hình công phân tán 10 Hình 1.2: Các bước cơng mạng 10 Hình 1.3: Mơ hình triển khai hệ thống NIDS 14 Hình 1.4: Mơ hình hệ thống HIDS 16 Hình 1.5: Mơ hình giám sát an ninh mạng dạng phân tán 19 Hình 1.6: Mơ hình giám sát an ninh mạng dạng độc lập 19 Hình 1.7: Giao diện web phần mềm NMS 20 Hình 2.1: Hệ thống phát công mạng 24 lu an Hình 2.2: Mơ tả chuẩn hóa kiện 33 n va Hình 2.3: Sự kiện an ninh theo thời gian thực 35 Hình 2.5: Báo cáo AlienVault OSSIM .41 gh tn to Hình 2.4: Giao diện Web Splunk .40 p ie Hình 3.1: Mơ hình hoạt động OSSIM .43 Hình 3.2: Mơ hình tổng quan phát cơng mạng 44 nl w Hình 3.3: Quản lý kiện theo thời gian thực 52 d oa Hình 3.4: Mơ hình thử nghiệm thực tế 53 an lu Hình 3.5: Phần mềm Nmap .56 nf va Hình 3.6: Cảnh báo công quét cổng 56 Hình 3.7: Chi tiết cảnh báo công quét cổng 57 lm ul Hình 3.8: Các kiện tương quan cho cảnh báo quét cổng 57 z at nh oi Hình 3.9: Kết nối tới máy chủ Web dịch vụ Remote desktop 59 Hình 3.10: Cảnh báo cơng đăng nhập 59 Hình 3.11: Các kiện tương quan cho cảnh báo đăng nhập 60 z gm @ Hình 3.12: Công cụ công từ chối dịch vụ 61 Hình 3.13: Cảnh báo có cơng dos từ ip nội 62 l co Hình 3.14: Tấn công SQL injection 63 m Hình 3.15: Cảnh báo cho công SQL injection 64 an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si LỜI NÓI ĐẦU Hiện với phát triển mạnh mẽ khoa học kỹ thuật nói chung cơng nghệ thơng tin nói riêng, việc ứng dụng cơng nghệ thơng tin, Internet ngày trở lên phổ biến đời sống ngày hầu hết lĩnh vực Song song với phát triển hàng loạt nguy an tồn thơng tin Trong năm gần đây, website internet, liệu cá cá nhân, tổ chức, phủ … bị nhiều đợt công tội phạm mạng Có nhiều website, hệ thống mạng bị ngừng hoạt động nhiều giờ, nhiều liệu quan trọng lu bị đánh cắp Những vụ công gây thiệt hại nghiêm trọng có tác động tiêu an cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp… Vấn đề đảm bảo an toàn va n thông tin quan, tổ chức đặt lên hàng đầu Tuy nhiên hàng năm Để đảm bảo tốt cho hệ thống mạng tránh khỏi đợt cơng ie gh tn to vụ công mạng liên tục gia tăng mà chưa có biện pháp khắc phục hiệu p chủ động phát công đưa phản ứng thích hợp Để làm nl w cần phải có hệ thống có khả giám sát tồn hành động vào oa bất thường bên hệ thống mạng cần bảo vệ, có vấn đề công d cụ bảo vệ hệ thống triển khai nước ta hầu hết mua nước với giá lu nf va an thành cao khó khăn lớn tổ chức vừa nhỏ Mặt khác sản phẩm thương mại nên công nghệ kỹ thuật hệ thống ln ln lm ul giữ kín phát sinh dạng công mới, nhà quản trị nước z at nh oi tự phát triển mở rộng Để giảm bớt khó khăn cho quan, tổ chức vừa nhỏ việc giám sát bảo vệ hệ thống mạng cách hiệu Tôi chọn đề tài “Tìm hiểu xây z l gm dẫn TS Trần Đức Sự @ dựng công cụ phát công mạng dựa công nghệ Siem” hướng Sau phần mở đầu, nội dung luận văn vào tìm hiểu phương pháp co m công mạng, kỹ thuật phát công công nghệ quản lý thông tin kiện an an Lu ninh Luận văn gồm chương sau: n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si Chương 1: Tổng quan công phát cơng mạng Khái qt tình hình an ninh mạng, kiểu cơng mạng phổ biến, sâu tìm hiểu hệ thống phát cơng, mơ hình giám sát an ninh mạng áp dụng Chương 2: Kỹ thuật phát công mạng với công nghệ Siem Phân tích thành phần cách thức hoạt động Siem Một số phần mềm ứng dụng công nghệ Siem Chương 3: Xây dựng công cụ phát công mạng dựa công nghệ Siem Đưa mơ hình hệ thống giám sát, phát tận cơng thực tế Xây dựng công cụ phát công mạng dựa công nghệ Siem lu Cuối phần đánh giá, kết luận hướng phát triển đề tài an n va p ie gh tn to d oa nl w nf va an lu z at nh oi lm ul z m co l gm @ an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 52 Hình 3.3: Quản lý kiện theo thời gian thực lu Ưu điểm việc tự viết luật tùy biến cập nhật cách an va nhanh chóng hệ thống mạng có bất thường n Trong OSSIM luật biên tập file user.xml to gh tn Cấu trúc luật để đưa cảnh báo phát bất thường hệ thống ie sau: p nl w Các luật xếp thành nhiều lớp nhằm đánh giá xác kiện tăng độ tin cậy kiện z m co l gm @ an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 53 3.4 Thử nghiệm kết 3.4.1 Mơ hình thử nghiệm thực tế Đưa hệ thống phát công mạng OSSIM vào thử nghiệm với mơ hình: Internet (HIDS) (HIDS) SQL Server Web Server Modem lu OSSIM Server Switch an n va p ie gh tn to Wireless Access point w Pc2 oa nl Pc1 Pc3 Pcn d Hình 3.4: Mơ hình thử nghiệm thực tế lu an * Mô tả: Hệ thống bao gồm nf va - Thiết bị mạng bao gồm: lm ul + Modem (Dùng kết nối internet) z at nh oi + Switch ( Thiết bị chuyển mạch kết nối thiết bị mạng) + Wireless Access point (Thiết bị thu phát sóng wifi) - Máy chủ Web z + Địa IP: 192.168.1.22 m an Lu + Địa IP: 192.168.1.102 co - Máy chủ SQL Server l + HIDS: OSSEC Agent gm + Cài đặt IIS làm webserver @ + Hệ điều hành: Windows Server 2008 n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 54 + Hệ điều hành: Windows Server 2012 + Hệ quản trị sở liệu: Microsoft SQL Server 2008 R2 + HIDS: OSSEC Agent - Máy chủ Phát công mạng OSSIM + Địa IP: 192.168.1.212 - Các máy trạm từ pc1, pc2 đến pcn Hệ điều hành máy trạm đa dạng từ Windows xp, Windows 7, Windows 8, windows 10 Các máy trạm có địa IP nằm vùng 192.168.1.0/24 lu * Các trường hợp thử nghiệm: an va - Tấn công thăm dò (Sử dụng phần mềm Nmap) n - Tấn công đăng nhập vào dịch vụ Remote desktop gh tn to - Phát máy trạm nội nằm mạng lưới botnet bị điều khiển để thực ie công DDOS p - Tấn công SQL Ịnection nl w Chúng ta thử nghiệm theo dõi cảnh báo qua giao diện Web hệ thống phát d oa công OSSIM an lu 3.4.2 Tấn cơng thăm dị nf va Trong thử nghiệm tơi sử dụng phần mềm quét cổng Nmap từ máy trạm Internet tới địa web server lm ul - Luật viết sau để đưa cảnh báo với kiểu công này: z at nh oi co 2001579,2001580,2001581,2001582,2001583,2001609,2001610,2001611,2001689, n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 55 lu an va - Với ý nghĩa sau: n Tạo thị có id 40001 với tên thị “Phat hien tan cong quet cong” gh tn to độ ưu tiên ie Trong thị bao gồm luật với mức độ tin cậy tăng dần Luật thứ có độ tin p cậy số lần xuất kiện 1, địa nguồn từ !HOME_NET (địa bất nl w kỳ nằm vùng địa mạng nội bộ) đến địa đích địa thuộc mạng nội bộ, d oa cổng dịch vụ Dữ liệu kiện lấy từ nguồn có ID 1001 ( Dữ liệu NIDS) nf va 2000545, 2000546 an lu với kiện có ID 2000536, 2000537, 2000538, 2000540, 2000543, 2000544, Luật thứ hai đươc đặt tên “Lap lai hanh dong quet cong” Xuất kiểu kiện lm ul liệt kê Plugin_SID hai lần 1000 giây từ ip nguồn luật thứ đến ip z at nh oi mạng nội Các cổng Thì tăng độ tin cậy lên z m co l gm @ an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 56 lu an n va p ie gh tn to d oa nl w an lu Hình 3.5: Phần mềm Nmap nf va - Cảnh báo giao diện web: z at nh oi lm ul z m co l gm @ an Lu Hình 3.6: Cảnh báo cơng qt cổng n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 57 lu an Hình 3.7: Chi tiết cảnh báo công quét cổng n va p ie gh tn to d oa nl w an lu Hình 3.8: Các kiện tương quan cho cảnh báo quét cổng nf va Trong thử nghiệm quét cổng Nmap hệ thống thu thập kiện quét cổng từ IP: 113.175.198.200 đến cổng dịch vụ fpt, http, mg-term-serv máy lm ul hệ thống mạng Tương quan kiện OSSIM đưa cảnh báo hệ thông 3.4.3 Tấn cơng đăng nhập z at nh oi có hành động quét cổng bất thường z Tấn công đăng nhập (Bruteforce attack) dạng công hoạt động cách thử tất gm @ chuỗi mật để tìm mật Hiện dạng công phổ l biến chế đăng nhập vào dịch vụ hệ điều hành windows dễ dàng công tìm mật vấn đề thời gian m co Bruteforce attack đơn giản, dễ hiểu khó để phịng chống triệt để Kiểu an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 58 Thử nghiệm cách sử dụng phương pháp dò mật đăng nhập vào dịch vụ Remote windows server 2008 máy chủ SQL Server (IP: 192.168.1.22) từ máy tính bên hệ thống mạng Thiết lập luật cho kiểu công sau: lu an n va p ie gh tn time_out="300" port_to="ANY" plugin_id="1001" nl w z gm @ Thực đăng nhập thử nhiều lần dịch vụ Remote Desktop với tên mật l co sai vào máy chủ web server Server có IP nội 192.168.1.22 địa mở m cổng dịch vụ Remote desktop modem để sử dụng Internet là: an Lu cdtm1.dyndns.org:3388 Tấn công thử nghiệm từ máy tính ngồi hệ thống mạng n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 59 lu an va n Hình 3.9: Kết nối tới máy chủ Web dịch vụ Remote desktop p ie gh tn to Sau thử sai nhiều lần mật hệ thống đưa cảnh báo sau: d oa nl w nf va an lu lm ul Hình 3.10: Cảnh báo công đăng nhập z at nh oi z m co l gm @ an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 60 lu Hình 3.11: Các kiện tương quan cho cảnh báo đăng nhập an n va Trong thử nghiệm OSSIM dựa vào kiện có ID 2012709 thu thập từ 3.4.4 Tấn công từ chối dịch vụ gh tn to NIDS để đưa cảnh báo ie Trong thử nghiệm này, giả sử máy tính mạng nội bị nhiễm mã độc p thuộc mạng lưới botnet Luật xây dựng nhằm phát máy tính bị nhiễm mã nl w độc bị điều khiển công Dos đến mục tiêu d oa Luật thiết lập cho kiểu công sau: an lu nf va co n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 61 Trên máy trạm mạng nội sử dụng công cụ công từ chối dịch vụ vào địa cdtm1.dyndns.org lu an n va p ie gh tn to d oa nl w nf va an lu lm ul z at nh oi Hình 3.12: Cơng cụ công từ chối dịch vụ Ngay sau công cụ công gửi đạt ngưỡng lớn 100 kết nối thời gian 60 giây OSSIM đưa cảnh báo sau: z m co l gm @ an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 62 Hình 3.13: Cảnh báo có cơng dos từ ip nội lu an Từ cảnh báo người quản trị biết máy bị nhiễm mã độc hệ n va thống SQL injection kỹ thuật cho phép kẻ công lợi dụng lỗ hổng việc gh tn to 3.4.5 Tấn công vào hệ quản trị sở liệu SQL p ie kiểm tra liệu đầu vào ứng dụng web thông báo lỗi hệ quản trị sở liệu trả để inject (tiêm vào) thi hành câu lệnh SQL bất hợp pháp SQL injection nl w cho phép kẻ công thực thao tác, delete, insert, update,… d oa sở liệu ứng dụng, chí server mà ứng dụng chạy, lỗi thường xảy an lu ứng dụng web có liệu quản lý hệ quản trị sở liệu nf va SQL Server, MySQL, Oracle, DB2, Sysbase - Luật thiết lập cho kiểu công sau: lm ul n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 63 lu an n va - Thực công thử nghiệm SQL injection vào máy chủ web Thực câu truy gh tn to p ie vấn sau để liệt kê cột id pass bảng user: d oa nl w UNION SELECT id,pass FROM user nf va an lu z at nh oi lm ul Hình 3.14: Tấn cơng SQL injection z Hệ thống OSSIM đưa cảnh báo dựa vào kiện có id 2006445 (Sự kiện có @ m co l SELECT bất thường) gm câu truy vấn SELECT FROM bất thường) 2006446 (Sự kiện có câu truy vấn UNION an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 64 Hình 3.15: Cảnh báo cho cơng SQL injection lu 3.4.6 Đánh giá, kết an n va Như sau tiến hành thử nghiệm chức hệ thống phát công Ta thấy chức hệ thống hoạt động ổn định Các luật thiết đặt hoạt động gh tn to mạng OSSIM công cụ hỗ trợ cài đặt Ossec, Suricata, Kismet, Nagios … p ie xác, công thử nghiệm thực nhiều lần phát đưa cảnh báo kịp thời nl w Độ trễ đưa cảnh báo hệ thống công thử nghiệm trung bình 25 an lu thấp d oa giây Độ trễ cao nguyên nhân tốc độ phần cứng máy chủ cài đặt OSSIM yếu tố: nf va Ngoài hoạt động ổn định chức chính, hệ thống cịn đảm bảo lm ul - Hoạt động giám sát hiệu mà không ảnh hưởng tới hiệu xuất hoạt động hệ - Trong suốt với người sử dụng z at nh oi thống mạng - Thích ứng nhanh có thay đổi từ phía người quản trị: Thêm luật, thay đổi cấu z gm @ hình, chỉnh sửa luật, … Hệ thống hồn tồn triển khai vào thực tế m co l an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 65 KẾT LUẬN An tồn thơng tin Việt Nam trở thành vấn đề nóng bỏng qua hàng loạt vụ việc hệ thống lớn bị công OSSIM công cụ phát cơng hiệu mà chi phí triển khai thấp, cần máy chủ với cấu hình vừa phải với hệ thống mạng nhỏ Sau thiết lập cấu hình, xây dựng luật cho phù hợp với hệ thống mạng Hệ thống OSSIM giúp cho người quản trị có nhìn tổng thể hệ thống mạng mình, mối nguy hại xảy đến đồng thời đưa biện pháp phòng tránh mối nguy hại gây hậu nghiêm trọng cho hệ thống mạng lu Tuy nhiên, để xây dựng hệ thống giám sát an ninh mạng hồn thiện an n va khơng phải cơng việc dễ dàng Nó địi hỏi phải có hiểu biết sâu rộng phần tin gh tn to mềm, kiến thức hệ thống, lập trình, kiến thức an tồn thơng ie Bên cạnh kết thu học viên tự thấy luận văn nhiều hạn chế p như: Kiến thức cịn hạn chế nên phần trình bày vấn đề tìm hiểu cịn nl w sơ sài Số lượng luật xây dựng để phát kiểu cơng cịn d oa Hướng phát triển luận văn: an lu - Thiết lập hoàn thiện luật cho hệ thống phát hầu hết nf va kiểu công mạng - Xây dựng Plugin chuẩn hóa Log cho số thiết bị mạng chưa lm ul OSSIM hỗ trợ z at nh oi - Bổ xung hoạt động ứng phó tự động cho cảnh báo công Trong thời gian hệ thống mã nguồn mở OSSIM hoạt động thực tế quan công tác theo dõi liên tục cập nhật luật cho phù hợp với z hệ thống mạng quan m co l gm @ kiểu công ngày hy vọng công cụ đảm bảo an ninh tốt cho an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si 66 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Phạm Thế Quế (2008), Công nghệ mạng máy tính, Nhà xuất Bưu điện, Hà Nội [2] Trần Đức Sự, Phạm Minh Thuấn (2013),Giáo trình Phịng chống điều tra tội phạm máy tính, Học viện mật mã [3] Vũ Bảo Thạch (2006), “Giáo trình Thực hành An toàn Mạng”, Học viện mật mã, Hà Nội [4] Nguyễn Đại Thọ (2008), An ninh mạng, Đại học quốc gia Hà Nội lu an Tiếng Anh n va [5] Steve Manzuik, Ken Pfeil, Andre (2007),Network Security Assessment [6] ITU (1999), “Internet protocol data communication service – IP packet gh transferand availability performance parameters”,ITU-T Recommendation tn to Syngress p ie Roberta Bragg, Mark Rhodes – Ousley, Keith Strassberg (2004), Network nl w [7] Y.1540,Feb Richard Bejtlich, The Practice of Network Security Monitoring, 2013 nf va Trang web an lu [8] d oa Security, McGraw-Hill Education [9] http://antoanthongtin.vn/Detail.aspx?CatID=afad3c1b-8ab0-41b3-9364- lm ul fe76366f1531&NewsID=738aa8aa-5a16-44a7-aec1-b2f7bc49a831 z at nh oi [10] http://securitydaily.net/tong-quan-ve-he-thong-giam-sat-an-ninh-mang/ [11] https://www.alienvault.com/documentation/ z [12] https://voer.edu.vn/m/mot-so-giai-phap-nham-dam-bao-an-toan-an-ninh- gm @ mang-va-bao-mat-du-lieu/7fd336a8 [13] http://docs.splunk.com/Documentation/ES/4.2.0/User/Overview l m co [14] http://www-03.ibm.com/software/products/en/qradar-siem an Lu n va http://www.lrc.tnu.edu.vn ac th Số hóa Trung tâm Học liệu – ĐHTN si