HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG KHOA AN TOÀN THÔNG TIN oe—— ĐỎ ÁN TÓT NGHIỆP ĐẠI HỌC DE TAI: UNG DUNG PHAT HIEN BAT THUONG TREN HE DIEU HANH MACOS Giảng viên hướng dẫn : PGS.TS Đỗ Xuân Chợ Sinh viên thực hiện : Nguyễn Thị Quỳnh Mai Mã sinh viên : BI9DCATI121 Lớp : DI9CQATT01-B Khóa : 2019-2024 Hệ : Đại học chính quy Hà Nội 2024 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THONG KHOA AN TOÀN THÔNG TIN oe—— ĐỎ ÁN TÓT NGHIỆP ĐẠI HỌC DE TAI: UNG DUNG PHAT HIEN BAT THUONG TREN HE DIEU HANH MACOS Giảng viên hướng dẫn : PGS.TS Đỗ Xuân Chợ Sinh viên thực hiện : Nguyễn Thị Quỳnh Mai Mã sinh viên : BI9DCATI121 Lớp : DI92CQAT01-B Khóa : 2019-2024 Hệ : Đại học chính quy Hà Nội 2024 Đồ án tốt nghiệp đại học LOI CAM ON Lời đầu tiên, em xin gửi lời cảm ơn sâu sắc tới Thầy giáo PGS.TS Đỗ Xuân Chợ đã tận tình chỉ bảo, hướng dẫn em trong quá trình thực hiện đề tài đồ án này Nhờ sự giúp đỡ nhiệt tình và những bài học vô cùng quý báu của Thầy mà em rút ra được nhiều bài học kinh nghiệm cũng như định hướng để có thê hoàn thành quá trình nghiên cứu và hoàn thiện dé tài đồ án tốt nghiệp này Em xin chân thành cảm ơn các Thầy, các Cô trong Khoa An toàn thông tin nói riêng vả toàn thể các cán bộ, giảng viên các bộ môn của Học viện Công nghệ Bưu chính Viễn thông nói chung đã tạo điều kiện để em có một môi trường học tập rất tốt dé hoàn thiện va phát triển bản thân Cảm ơn các Thầy, Cô đã chỉ cho em rất nhiều kiến thức không chỉ về kiến thức chuyên môn mà còn cả kinh nghiệm học tập, kỹ năng sống và làm việc Đó là hành trang tuyệt vời dé bản thân em cũng như các bạn khác học tập để có một hành trang vững chắc để đi tiếp những chặng đường tiếp theo đang chờ đón trong tương lai Do vốn kiến thức và tầm hiểu biết cũng như kỹ năng, kinh nghiệm chuyền môn của em còn nhiều hạn chế nên trong quá trình thực hiện và hoàn thiện đồ án em không tránh khỏi những thiếu sót Em rất mong nhận được sự góp ý của các thầy cô đề đề tài của mình được hoàn thiện hơn Em xin chân thành cảm ơn! Hà Nội, ngày 02 tháng 01 năm 2024 SINH VIÊN THỰC HIỆN ĐÒ ÁN Nguyễn Thị Quỳnh Mai Nguyễn Thị Quỳnh Mai - D19CQAT01-B Đồ án tốt nghiệp đại học NHAN XET, DANH GIA, CHO DIEM (Của người hướng dẫn) Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng châm đồ án tốt nghiệp Hà Nội, ngày 02 tháng 01 năm 2024 GIẢNG VIÊN HƯỚNG DẪN (Ký và ghi rõ họ tên) Nguyễn Thị Quỳnh Mai - D19CQAT01-B ii Đồ án tốt nghiệp đại học NHAN XET, DANH GIA, CHO DIEM (Của người phản biện) Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng châm đồ án tốt nghiệp Hà Nội, ngày 02 tháng 01 năm 2024 GIẢNG VIÊN PHÁN BIEN (Ký và ghi rõ họ tên) Nguyễn Thị Quỳnh Mai - D19CQAT01-B iii Đồ án tốt nghiệp đại học MỤC LỤC MỤC LUỤC 2 55-25222S 2E 2E1E212112712112111112112121111111121111111111r1e1 iv DANH MỤC HÌNH ẢNH 2-5.2 S22.E2.E52.15.211.211.21.121.12.112.112.11.211.21 11.11 ce vii DANH MỤC CÁC TỪ VÀ THUẬT NGỮ VIẾT TÁTT .2 s.2.2.s.+z.s.zs.z+-x2 X 0908957172257 ::.‹.1 1 CHUONG 1 TONG QUAN VE HE THONG PHAT HIEN XAM NHAP TREN THIET BI DAU CUOD 0 ccccccscsscsssessesssessesssessesssessessecssessessssssesessseaseseees 2 1.1 Giới thiệu về hệ thống phát hiện xâm nhập .2.- 2 s.2 zz.x.zc-e2 2 1.1.1 Khái niệm IDS 2.2.S.2.2E.E£.EEC.2E.EEE.EEE.EE.2E1.271.E7.1 7.17.11.12.112. re 2 1.1.2 Phân loại IIDS .2 2 S2.+SE.£EE.£2.EES.EEE.EE.2E1.27.171.122.17.112.11.211.21.1-T -crxe 3 1.1.3 Các kỹ thuật phát hiện xâm nhập .5 5.-5.+ SS.‡+.+.se.s.se-es.e.ee-r-ss 4 1.1.3.1 Phát hiện xâm nhập dựa trên chữ ký 5 55.s.S e x. 4 1.1.3.2 Phát hiện xâm nhập dựa trên bất thường .2 2 2.5.-s-: 4 1.2 Hệ thống phát hiện xâm nhập sử dụng Wazuh tích hợp Elastie Stack và liy 1 5 1.2.1 Giới thiệu về Wazuh 2 Ss S.T.T.T.E.2.12.11.21.11.11.11.1 -11.x er-rd 5 1.2.2 Thành phần của Wazuh .¿5.° s5.2 SS.ESE.E2E.EE.EEE.EEE.E2.EEE.EEE.12.1 1.E-e-rrred 6 IV) V?2)Ì)( 8 cọ: iitdá53aẠỊỤẶẠ4 6 IV À£y2ì) 0:20 4 7 IV“ \/šÀÌ Win a 8 1.2.2.4 Wazuh agent eccccceeecccesneecessneceeneeeeneesenaeeesnaeeeeesaeeeeesennaeeees 10 1.2.3 Gidi thidu vé Elastic Stack .c.c.cccccccccccsessessesssessessescseseseseeeeseeeees 12 1.2.4 Giới thiệu về Suri€ata .5.c s 1 1 E1.18.11.11.11.81-11-1 1-¿y-, 12 1.2.5 Uu điểm của hệ thống Wazuh tich hop Elastic Stack va Suricata dé giám sát thiêt bị đầu cuôi .-. -.c.2 13.21.133.21.11.35.111.5.111.1.11.11.1 1 kg.-n-gư 13 1.3 Kết chương 2-2 s22 E2 x2 12E15712111111211111111111111111ee 14 CHƯƠNG 2 CÀI ĐẶT VÀ CẤU HÌNH ỨNG DỤNG 25.5 55-2 15 2.1 M6 hinh trién khai hé thong cece ccseeceseeseeseeseeseeseessessesseeeseeseees 15 2.2 Cài đặt hệ thống 2.-52.2.S1.E.1 1.121.121.12.112.112.112.11.211.211.211.211.21.111.11.211 re l6 2.2.1 Môi trường cài đặt . nn.S S.H *HH.T.H n.g ng H.H.-ket 16 Nguyễn Thị Quỳnh Mai - D19CQAT01-B iv Đồ án tốt nghiệp đại học 2.2.2 Phương pháp cài đặt . - TH nn H.H T.H ng 11 n.g xen 16 2.2.2.1 Cai dat Wazuh va Elastic Stack cccccccceceseeeeeseeesseeeeeees 16 2.2.2.2 Cài đặt Suricafa . -.5:.cs.cct.c T2.1.2.21.101.121.10.112.12.11 1.e 22 2.3 Câu hình ứng dụng 2-.2-.2.®+.s+S.E£E.E£E.E£E.E£E.EEE.EEE.EEE.EEE.EEE.EEE.EEr.Err.krr.ker.kree 23 2.3.1 Giám sát các tiến trình ¡110.77 23 2.3.1.1 Câu hình macOS ageni css.ee.se.sss.ss.es.se.sse.ss.ss.ses.se.se.ese.es.te.ne-ees 23 2.3.1.2 Cầu hình Wazuh S€FVeT 5-52 St SE.SES.EEE.SEE.EES.EEE.EEE.EEk.rkr-krr-rree 24 2.3.2 Giám sát tài nguyên trên điểm cuối maeOS 2.5 5-5-: 24 2.3.2.1 Cấu hình điểm cuối maeOS .2-.2: 2 S2.x2.£x.c£.xz.xe.zx.er-ed 27 2.3.2.2 Cấu hình Wazuh $erVeT - 2-.52.s.22.E‡.EE.EE.EEE.EE.EE.Ek.rr.rr.rr.kr-ree 27 2.3.3 Phát hiện các lỗ hồng bảo mậtt .2.2 St.+x.+E.eE.z.Ee.Ee.Er.ke.r-er-xr-ed 30 2.3.4 Giám sát tính toàn vẹn của tệp fỉn -.-.¿5.5 S.25.*.+ ss.es.e.ee.es-es 34 2.3.5 Phát hiện phần mềm độc hại 2 2.2.+.£+.E£.£E.££.E£.+E£.xt.Ez.Er.rx.rr.eei 39 2.3.5.1 Phát hiện phần mềm độc hại sử dụng FIM tích hợp Virustotal .40 2.3.5.2 Phát hiện phần mềm độc hại sử dụng FIM tích hop YARA 41 2.3.6 Phát hiện xâm nhập sử dụng IDS — Suricata -. .-«.