HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THONG VUONG THANH HAI NGHIEN CUU CAC GIAI PHAP PHAT HIEN XAM NHAP VA UNG DUNG CHO TRUONG CAO DANG SU PHAM HA TAY LUAN VAN THAC Si KY THUAT (Theo định hướng ứng dung) HÀ NỘI - 2022 il HOC VIEN CONG NGHE BUU CHINH VIEN THONG VUONG THANH HAI NGHIEN CUU CAC GIAI PHAP PHAT HIEN XAM NHAP VA UNG DUNG CHO TRUONG CAO DANG SU PHAM HA TAY CHUYEN NGANH : KHOA HOC MAY TINH MA SO: $.48.01.01 LUAN VAN THAC SI KY THUAT NGUOI HUONG DAN KHOA HOC: PGS.TS TRAN QUANG ANH HA NOI - 2022 ill LOI CAM ON Đề thực hoàn thành đề tài luận văn thạc sĩ kỹ thuật này, xin chân thành cảm ơn Thây, Cô Khoa Sau Đại học trường Học viện Bưu Chính Viễn Thơng tận tình dạy dỗ, truyền đạt cho nhiều kiến thức kỹ quý báu Tôi xin gửi lời cảm ơn sâu sắc đến giảng viên hướng dẫn trực tiếp — PGS.TS Trân Quang Anh Cảm ơn thầy lắng nghe quan điểm cá nhân đưa nhận xét quý báu, góp ý dẫn dắt hướng suốt thời gian thực đề tài luận văn thạc sĩ kỹ thuật Tôi xin chân thành cảm ơn giúp đỡ, quan tâm động viên nhiều từ quan, tô chức cá nhân trình thực đề tải Luận văn hoàn thành dựa tham khảo, đúc kết kinh nghiệm từ sách báo chuyên ngành, kết nghiên cứu liên quan Tuy nhiên kiến thức thời gian có giới hạn nên đề tài khó tránh khỏi thiểu sót, kính mong q thây bạn đóng góp thêm để đề tài hồn chỉnh hon! Tơi xin chân thành cảm ơn Ì Hà Nội, ngày tháng Học viên Vương Thanh Hải năm 2022 IV LỜI CAM ĐOAN Tôi xin cam đoan cơng trình nghiên cứu riêng tơi, kết đạt luận văn sản phẩm riêng cá nhân, không chép lại người khác Trong toàn nội dung luận văn, điều trình bày tổng hợp từ nhiều nguôn tài liệu cá nhân Tât tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Các số liệu, kết nêu luận văn trung thực chưa công bồ công trình khác Hà Nội ngày tháng năm 2022 Học viên Vương Thanh Hải MỤC LỤC 0909.) 09 iii LỜI CAM ĐOAN MỤC LỤC c1 1210122111111 1111111111111 11a c1 S121 1Ề1121212111101Ẹ111 211111 111121111 H111 11111 iv trg Vv DANH MUC VIET TAT oo ccccecccscccscsssesesececececevevevscscresvsvsvevssvssevavnvesecenvivavereeviees vii DANH MUC HINH ẢNH -S13 E33 15E17211111111111111 TH tt ix DANH MUC BANG uo.ecccccccecscscsscscscssecevsesveseesecevsvsususevscsvensesevevsvevsesevevsviveveveneeeten xi MO ĐẦU ST 1211111211111 0111111101111 1111011111111 t1 ng xii CHUONG TONG QUAN VE XAM NHẬP VÀ PHÁT HIỆN XÂM NHẬP I 1.1 Tổng quan xâm nhập + SE SE EEEE2E25215151E1E1EEEEEEEEEEEEEEtErereei 1.1.1 Khái quát tân công, xâm nhập -5 St 3E EEEEEEEEEEEEEErerrrsed 1.1.2 Giới thiệu số dạng tân cơng, xâm nhập điển hình 1.2 Tổng quan phát xâm nhập ¿+ 2222 SE SE +EEEE£E+EEEErEskserrre 10 13 Kết luận chương Ï S SE E1EEE12121511111 1E ng 18 1.2.1 1.2.2 Khai quát phát xâm nhập .-2t SE EEEEEEtEEEerErrrrrea 10 Phát xâm nhập dựa dấu hiệu dựa bất thường 17 CHUONG CAC HE THONG PHAT HIEN XÂM NHẬP 75s ccsc2 19 2.1 Cac théng phat hién x4m nhap m4 M0 cccceceeccecesesseeeseseeeeeeees 19 22 Các hệ thống phát xâm nhập thương mại +5 +++s52 29 2.1.1 2.1.2 2.13 SNORT iiocececccccccccecccsscscsesecscsesevsvsesevsvsesensesesecsesevecsusevevsvsevevensesevevereres 19 SURICATA Lo cecccccccccccccscsscscssecsesesevsssesevsvsesevsesesetsvsesevsnsevevererevesesenes 22 OSSEC 22H HH HH HH HH gi 25 2.2.1 — IBMM Qradar -QC 202 SSSSSnS SĐT ST TS TT cv xa 29 2.2.2 — SolarWimds Securtty Event Manager (SSEMI 34 2.2.3 McAfee Network Securtty Platform 755cc s2 36 2.3 So sánh hệ thông phát xâm nhập -¿2-2-2 2x2 ‡E+z£z£rzez 40 2.4 Kết luận chương ác nE SE EE11111112121111111 01 T1 TT E1 Hi 43 CHƯƠNG THỨ NGHIỆM TRIÊN KHAI GIẢI PHÁP PHÁT HIỆN XÂM NHẬP SURICATA CHO HỆ THÔNG MANG TRƯỜNG CAO ĐĂNG SƯ PHAM 7.0 44 3.1 Khảo sát triển khai mơ hình - 22T S55 SE SE nghe 44 3.1.1 Khảo sát hệ thống mạng Trường cao đăng sư phạm Hà Tây 44 3.1.2 Mơ hình triển khai 22 se n sen Error! Bookmark not defined 3.2 Cài đặt câu hình hệ thống phát xâm nhập Suricata -: 47 VỊ 3.2.1 Yêu cầu phần cứng phần mềm .-+ +s SE ‡EEEEEEEEEEEEEEEEErrrrsed 47 S159 ằốŠ5 3.3 Thử nghiệm 3.3.1 Các thử 3.3.1.1 Phát 3.3.1.2 Phát 3.3.1.3 Phát 3.3.1.4 Phat 48 đánh giIá - 2c 2201112122 2222211 111111111511 581 11111 tren nghiệm phát kết Qua c.c.c.cccccccccsesesesesesesesesesesseseevevsees gói tin Ping .- - - - 2c c1 1122322223111 xka tân công rà quét cổng dịch vụ -ccc+ssscsccxsrsre tân công SSH brute force cccccceseseseseseseseeseseseesesesesees hién tan cong DoS TCP SYN Flo0d .ceceseccsesceseseseseesesesesees 50 50 50 51 52 53 3.3.1.5 Phát tân công SQLi - OR .-E12 E2E 1E EEsEErrerereki 54 3.3.1.6 Phát tân công SQLi - UNION 2-5: Sc St vs Eexsrrererekg 55 3.3.1.7 Phát tân công duyệt đường dẫn St St 2E Exsrerrrsed 56 3.3.2 Nhận Xét Q01 H111 n1 TH 1n n TT KH KH k0 051111 kka 57 3.4 Kết luận chương ¿2-25-2222 2211211221211211211121121111211.11 E1 en 58 KẾT LUẬN 22 1222 212112212212212712111212112112112111111212121211211 E1 re 59 DANH MỤC TÀI LIỆU THAM KHẢO 5:55:25 22222222E22E2EErrxrrxrrrerrrreg 60 DANH MUC VIET TAT Ky hiéu ADE Tén Tiéng Anh Adverse Drug Event Ý nghĩa Tiếng Việt Công cụ phát dị thường vil CGI Computer-Generated Imagery Công nghệ mơ hình ảnh bang may tinh CIS Center for Internet Security Trung Tam An Ninh Internet CPU Central Processing Unit Bo xu ly trung tam DDOS Distributed Denial of Service a DNS Domain Name Servers Hệ thông phân giải tên miền DOS Denial of Service Tan cong tir chéi dich vu FIM Federated Identity Manager Hệ thống quản lý nhận dạng FTP File Transfer Protocol Giao thirc truyén tai tap tin cong tir chor dich vu phan GNU/GPL | GNU General Public License Giây phép phần mêm tự HIDS Host Intrusion Detection System hone HTTP Hypertext Transfer Protocol nia ICMP Internet Control Message Protocol Giao thức Thông điệp Điêu khiên Internet IDS IP Intrusion Detection System Internet Protocol Hệ thống phát xâm nhập Địa giao thức Internet LAN Local Area Network Mạng cục NIC Network Interface Card Card giao tiếp mạng NIDS Network Intrusion Detection System Hệ thống phát xâm nhập mang Payment Card Industry Data Bộ tiêu chuẩn bảo mật liệu PCI-DSS | RAM SEM SIEM SMB SNMP Security Standard Random Access Memory security event management Security Information and Event Management Server Message Block phát xâm nhập thức Truyền tải Siêu Văn the toan Bộ nhớ truy xuất ngẫu nhiên quản lý kiện bảo mật Quan lý thông tin kiện bảo mat Hệ thống tệp Internet chung SSH Simple Network Management Protocol Secure Shell Giao thirc giam sat mang don giản Giao thic SSH SSL Secure Sockets Layer Ching chi socket bao mat TCP Transmission Control Protocol Cao thức TCP UDP VPN User Datagram Protocol Virtual Private Network Giao thirc UCP Mạng riêng ảo WMI Windows Management Thiết bị quản lý Windows Instrumentation Vill XSS ML Cross-site scripting Tân công script độc hại Machine Learning Phuong phap hoc may DANH MUC HINH ANH Hình 1.1: Minh họa tân cơng Dos/DDos Hình 1.2: Một mơ hình dạng tân cơng nghe trộm -¿2+2 +xcxcx‡E‡E£EvEvEerrxsee: Hình 1.3: Mơ hình tân cơng kiều người đứng Hình 1.4: Các dạng phần mềm độc hai 1X Hình 1.5: Các vị trí đặt IDS mạng 22 2211111113133 111111111111 k2 12 Hình 1.6: Kiến trúc thông thường IDS . S133 3E SE SE E SE SE rưyn: 12 Hình 1.7: Mơ hình hệ thơng HIDS mạng 22 tt S2EE£E£E£EeErrsee, 14 Hình 1.8: Mơ hình hệ thông NIDS mạng - +2 ct St S2ESEEEcEEEsrrrsee: 16 Hình 2.1: Mơ hình kiến trúc hệ thông SnOrI - 5-2 tt E3 SEEEE£EEEESEEEEEEEEkkrrrees 20 Hình 2.2: Mơ tả sơ đỗ SuriCafa c1 kề E1 11151111111111E1E1211110111111 111 tu 23 Hình 2.3: Các thành phần OSSEC 2S E1 E11111112111111111 E1 11g 27 Hình 2.4: Minh hoạ sơ đồ IBM Qradar -2 S1 1311535313 1555515535251 1115511 1x55 1x Ee 3] Hình 2.5: Minh họa sơ đồ SolarWinds Security Event Manager -scscss sẻ 36 Hình 2.6: Minh họa sơ đồ MeAfee Network Security Platform 5sssczssc: 39 Hình 3.1:Phối cảnh tổng thể trường Sư phạm Hà Tây xxx #zEsErrsee: 44 Hình 3.2:Mơ hình mạng máy tính trường Sư Phạm Hà Tây ss + +55: 45 Hình 3.3: Mơ hình triển khai SuriCafa 5: 1S SEE2121EEEEEE11111111111E1111111 1A 46 Hình 3.4: Ping từ máy tân cơng đến máy Suricafa ¿+ - té E111 21E1 2111211 50 Hinh 3.5: Suricata canh bao phát gói tin Ping -5 - 222555 s*s*s>>>>>ss+ 50 Hình 3.6: Sử dụng nmap để qt cơng dịch vụ máy Suricata :-5-5¿ 5] Hình 3.7: Suricata cảnh báo phát tân công rà quét cổng dịch vụ - 51 Hình 3.8: Sử dụng Hydra để tắn công SSH brute force máy Suricata 52 Hình 3.9: Suricata cảnh báo phát công SSH brute force cece 52 Hình 3.10: Sử dụng hping3 đề tân cơng TCP SYN Flood máy Suricatfa 53 Hình 3.11: Suricata cảnh báo phát tân công TCP SYN Flood -.-5-5¿ 53 Hình 3.12: Tân cơng SQLi - OR vào ứng dụng web DVWA máy Suricata 54 Hình 3.13: Suricata cảnh báo phát công SQL - OR Hinh 3.14: Tan công SQLi - UNION vào ứng dụng web DVWA T1 101111111101 111111 KH KH ce ceeceeeceseseseeeeeteeeee 54 máy Suricata k kg kg E11 KH 11kg KT g1 E0 11T n0 15 55 Hình 3.15: Suricata cảnh báo phát tân công SQLi - UNION -5¿ 55 Hình 3.16: Tân cơng duyệt đường dẫn vào ứng dụng DVWA máy Suricata 56 Hình 3.17: Suricata cảnh báo phát tân công duyệt đường dẫn . 56 DANH MUC BANG Bảng 1: So sánh hệ thống phát xâm nhập - A] Bảng 2: Các thành phần hệ thông mạng - - - -:-: 47