HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA AN TOÀN THÔNG TIN ĐỎ ÁN TÓT NGHIỆP Đề tài: Đánh giá hiệu quả của các hệ thống phát hiện Giảng viên hướng dẫn : TS Dinh Trường Duy Sinh viên thực hiện : Va Thanh Tú Mã sinh viên : BI9DCAT165 Lớp : DI9CQAT01-B Khoá : 2019-2024 Hệ : Đại học chính quy Hà Nội — 2024 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA AN TOÀN THÔNG TIN ĐỎ ÁN TÓT NGHIỆP Đề tài: Đánh giá hiệu quả của các hệ thống phát hiện xâm nhập dựa trên host trong việc bảo vệ hệ thống Giảng viên hướng dẫn : TS Dinh Trường Duy Sinh viên thực hiện : Va Thanh Tú Mã sinh viên : BI9DCATI65 Lớp : DI9CQAT01-B Khoá : 2019-2024 Hệ : Đại học chính quy Hà Nội — 2024 Đồ án tốt nghiệp đại học LỜI CAM ĐOAN Tôi xin cam đoan rằng đồ án tốt nghiệp “Đánh giá hiệu quả của các hệ thống phát hiện xâm nhập dựa trên host trong việc bảo vệ hệ thống” là công trình nghiên cứu của bản thân mình Những phan có sử dụng tai liệu tham khảo đã có trong đồ án và liệt kê và nêu rõ tại phần tài liệu tham khảo Đồng thời những kết quả được trình bày trong đồ án đều do tự mình làm, không sao chép, đạo nhái Nêu như sai, tôi xin chịu hoàn toàn trách nhiệm và chịu tat cả những ky luật của khoa cũng như nhà trường đê ra Hà Nội, tháng 1 năm 2024 Sinh viên thực hiện Vũ Thanh Tú Vũ Thanh Tú — B1I9DCAT165 Đồ án tốt nghiệp đại học LỜI CẢM ƠN Trong suốt quá trình học tập, thực tập và thực hiện đồ án tốt nghiệp, em luôn nhận được sự quan tâm và giúp đỡ từ các thay cô trong khoa An toàn thông tin — Học viện Công nghệ Bưu chính Viễn thông Lời đầu tiên, em xin gửi lời cảm ơn đến các thầy cô, cán bộ trong trường, đặc biệt là các thầy cô trong khoa An toàn thông tin đã truyền đạt những kiến thức hữu ích và giúp đỡ em trong thời gian em học tập tại trường Đặc biệt, em xin gửi lời cảm ơn sâu sắc tới thầy giáo hướng dẫn đồ án tốt nghiệp của em — TS Dinh Trường Duy Trong suốt thời gian em làm đồ án, thay đã tận tình giúp đỡ em, hướng dẫn, định hướng những phương hướng dé em có thể tiếp cận được với đồ án, chỉnh sửa những lỗi gặp phải trong quá trình thực hiện cho đến khi hoàn thành đồ án Cuối cùng, em xin cảm ơn gia đình, bạn bè đã đồng hành trong suốt quá trình học tập tại Học viện Công nghệ Bưu chính Viễn thông, giúp em có được một điều kiện và kiên thức đê hoàn thành đô án Do trình độ kiến thức cũng như kinh nghiệm thực tế còn hạn chế, nên trong đồ án của em cũng không tránh khỏi thiếu sót Vì vậy, em mong nhận được sự góp ý của thay cô dé đồ án của em được hoàn thiện hơn, giúp em có thêm được kiến thức và kỹ năng cho công việc sau nay Em xin chân thành cảm ơn! Hà Nội, tháng 1 năm 2024 Sinh viên thực hiện Vũ Thanh Tú Vũ Thanh Tú — B1I9DCAT165 Đồ án tốt nghiệp đại học NHAN XÉT, DANH GIÁ, CHO DIEM (Của người hướng dẫn) " Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp ? Hà Nội, ngày tháng năm 2024 CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN (ký, họ tên) Vũ Thanh Tú — BI9DCAT165 Đồ án tốt nghiệp đại học NHAN XÉT, ĐÁNH GIÁ, CHO DIEM (Của người phản biện) Hà Nội, ngày tháng năm 2024 CÁN BỘ - GIẢNG VIÊN PHAN BIEN Vũ Thanh Tú — BI9DCAT165 Đồ án tốt nghiệp đại học (ký, họ tên) Vũ Thanh Tú — BI9DCAT165 Đồ án tốt nghiệp đại học Danh mục MỤC LỤC MỤC LỤC .- ¿52-512 22122192121122122121121127111121121111111121111112112r1e11 i DANH MỤC HINH ANH scsccsssssessessssssessecsvsssessessssssessessnsevssssessesissessesseeeeseees iii DANH MỤC CAC BANGuu eessssessssssssessssssssssesssessecssssusssessessussusssessessusssessessssesseees v DANH MỤC CAC TU VIET TAT cecsecsccsscssessessessessessessessessessesssssesesssesesissesessees vi MỞ ĐẦU 1 S21 2 212212112112121 2 1111211211011211211211212 2221111111212 rre | CHƯƠNG 1 TONG QUAN VE HE THONG PHÁT HIỆN XÂM NHẬP 2 1.1 Bối cảnh an toàn thông tin hiện nay c.cecececcssessessecsessesesessesessesesessesesseeeees 2 1.2 Một số khái niệm về phát hiện xâm nhập 2-.2-.2 S.2 E+.E£E.+E.z£.x+E-cz-xz 3 1.2.1 Hệ thống phát hiện xâm nhập 2-.2:.©5.¿22.2+.2++.S2.+E.+E+.zE.zxr.zx.zxr-zx-ez 3 1.2.2 Hệ thống ngăn chặn xâm nhập ¿2 2 5.2 £E.+E£.E£.E+.2E.e£.Ez.Er.xz-xr-ed 4 1.2.3 Phân loại các hệ thống phát hiện xâm nhập -.2 2+.+.cz.+-s-+-2 5 1.3 Các mối de doa hệ thống phổ biến 2.-2.2.2 + S2.2E.+2.£+.2EE.zE.zz.zz.zz.zx-ez 7 1.3.1 Cco), A an 7 1.3.2 Tấn công từ chối dịch Vụ .s2.3 E.3 E3.115.1212.E15-515-1511-551¿111-11E:1E 1-E cxer8 1.3.3 ROOfkÏf -55- 2221 E1E21221127121121121121111121121111212 121e 212 11 9 1.3.4 n5 on 5 -:-:›:+- 10 IEmyi s0, 10 1.3.6 Tan công brufe-fOrCe ¿S.t ềEỀ.EE.E12.11.211.21.121.11.111.111.1.11.11-11-x-6 11 1.4 Kết chương Ì .2.-52.S2 E2.E.EE1E.712.1121.121.1211.211.2112.112.1121.111.1 21.10-121-1 r-e 13 CHƯƠNG 2 GIỚI THIỆU CÁC HỆ THÓNG PHÁT HIỆN XÂM NHẬP DỰA TREN HOST 2: 52221221 9211211221221121121121112112112111112112110111112111 1111g 212 14 2.1 Giới thiệu chung 2 2Sx.+2E.22E.E£E.E£2.E2 E12.212.712.112.112.71 711.21-11- 121-121 - e6 14 QD (:vAì1:NESS— 14 2.2.1 Tổng quan về Wazuh .5: ©.522.22x.2E2.212.212.212.12.122.121.212-112-1 221 2-e 14 2.2.2 Kiến tTÚC ¿5+ 21 2122122121121212111211112112211111211112112r1r1e 22 2.2.3 Tạo luật - ¿+51 12 122122112112112111211211211111211112112111 211e 121 24 2.3 SamhaIi c2 2223311 10111 1H n TT 90111 1kg 1 kg 29 2.3.1 Tổng quan về Samhain .2-.2 s2.+2.EE.2E2.2EE.2EE.EE.EEE.EEE.EEE.EEE.EE.EEe.rkr-krr-ee 29 2.3.2 Kiến trÚC . - 25t 21 E12E122121121212171211112112112112112112111111112r1e1 31 Vũ Thanh Tú — B1I9DCAT165 i Đồ án tốt nghiệp đại học Danh mục 2.3.3 (9ì 7 4 32 2.3.4 Chính sách .¿22.222 2 E 221 2212.212.712.212 112 1121.121.121.121- 121- 212¿ 111-112-11¿ 2 r-e 34 2.4 Kết chương 2 - -:- 5c tt 1E 121111211211121111 1111112111111 111 01 11g 38 CHƯƠNG 3 CÀI ĐẶT MOI TRUONG THU NGHIEM VÀ PHÂN TÍCH CÁC TIÊU CHÍ ĐÁNH GIA CHO CÁC HE THONG PHÁT HIỆN XÂM NHẬP 39 3.1 Cài đặt môi trường ¿-.¿+.©s 2x92 x2Ex E21 2212 1121.121 1211 211 2117 121.21 111- - tre 39 3.1.1 Cai đặt môi trường cho Wazuh - k g ng n.h - 39 3.1.2 Cài đặt môi trường cho Samhain .-. .2.2.3.2.23.1.13.3.2.2.Ex.+s.sev.ee.es.ss40 3.2 Tiêu chí đánh giá hiệu quả của các hệ thống phát hiện xâm nhập dựa trên 2 42 3.3 Kết chương  - 2-5252 222E2211211217111111111211211112211111121111111re1 43 CHƯƠNG 4 THU NGHIỆM VÀ DANH GIIÁ 2.©.22.E2.+E.++.Ex.tr.Ec.zr.se-rx-ee-s 44 4.1 Kết quả kiểm tra phần cứng và phần mềm 2-.2 2.2.+ +E.££.xe.£x.Ex.+2 44 4.1.1 Sử dụng CPU, RAM và dung lượng đĩa .- «cv 44 4.1.2 Khả năng tương thích với hệ thống -.¿.2.52 eS.E.2E.£E.zE.zE.er.xr.xe-2 45 4.2 So sánh kha năng phát hiện, cảnh báo và phản hồi 5-.5 52.+5.+-5246 4.2.1 Tan công vét cạn 2-5.2 5.2+E.22E.2E2.12.171.217.111.111.121.12-112-11 -1111¿11 -cxeE 46 4.2.2 Phần mềm độc hại ¿2 St EEE2E9EEEE2EEE1212EE212121111121111151x12e 33 4.2.3 ROO(KÏ( Q2: t2 12112121 212112121121112112111211110121211211 110t11r 11 61 4.3 Kết chương 4 - 5: St St 1EE12111121121712110111111110111011111012111e 11 66 KET LUAN.woescsscssssssesssssssssesssesssssesssssssssesssssessussssesessussusssessessusssessesssssesessetetseses 67 TAI LIEU THAM KHAO ccceccsscssessessessessessesecsessessessessessetistissussisseststitsesssesess 68 Vũ Thanh Tú — BI9DCAT165 il Đồ án tốt nghiệp đại học Danh mục DANH MỤC HÌNH ẢNH Hình 2.1 Các thành phần của Wazuh và luồng dữ liệu 5.-5 sc.cs.ccx.zE.er-xz-xc-zs 15 Hình 2.2 Kiến trúc của Wazuh S€TV€T 52-52252222 EEEE212212712112112112121 21 xe 17 Hình 2.3 Wazuh dashboard .- - s1 112 E1 nh TH ệt 18 Hình 2.4 Giám sát và cấu hình agent trên Wazuh dashboard . .2- s.s.s.c.s.¿ 19 Hình 2.5 Quan lý nền tảng trên Wazuh đashboard 25.s.+.x+.2+.+zz-zx-vz-+z-zz2zx-ez 19 Hình 2.6 Công cụ phát triển trên Wazuh dashboard 2-.5.s.52.+s.e£.x+.Ee.£e.£z.xz-xz-ed 20 Hinh 2.7 .Ji09u0i 1 45 20 Hình 2.8 Kiến trúc Wazuh ag€r( 2-5.2 S.22.9.EEE.EEE.1E7.157.121.1211.211.11.21.111.11-1 -xe 21 Hình 2.9 Kiến trúc Wazul ecceeecseescssesssnsesssesesnseessneessneessneesneesneeessneessneeenneenseeeanes 23 Hình 2.10 Cau trúc log của Samhain 2-.2:.©5¿.22£.+2E.+2E.£EE.+E£.E£E.E2E.EEE.tEE.zEe.rxe-rxe-ree 30 Hình 2.11 Kiến trúc Samhain -22¿¿222+++2EEEEvttEE tre 32 Hình 3.1 Cai đặt Wazuh ag€ft .L H H.H H.H.T.T T.H H.H H-ế-t 39 Hình 3.2 Cai đặt thành công Wazuh aØ€II L2 0112112 11191 11111111111 rret 40 Hình 3.3 Cấu hình Samhain ¿5.5+.5.+t2.Ext.2EE.vtE.EEv.rtt.Etr.ttt.rrr.trr.rrr.rrr.rrr-rir-rre 4I Hình 3.4 Cau hình Samhain khởi động cùng hệ thống 2.:2.2 22.2.2.52-52-2 41 Hình 3.5 Cai đặt thành công Samhain -.5 c.2.2.1.3.22.1.13.2.3.13.3 Ex-rrr-rs 41 Hình 3.6 Kiểm tra mức sử dụng CPU trên Linux .2.s.2s.++.z+.+z-x+-zx-+z-z+-zs¿ez 42 Hình 3.7 Kiểm tra mức sử dung RAM trên Linux + 5.+S.z+.E+.Ee.£x-zE-er-zx-er-ee-s 43 Hình 4.1 Địa chỉ IP máy tấn công .+ 2 Sk.9EE.2EE.EE.2EE.EE2.E1.21E.112.11.1 7.11-1-11-11¿-xe.47 Hình 4.2 Dia chỉ IP máy nạn nhân cai Wazuh agenI - á.c n e t - 47 Hình 4.3 Dia chi IP máy nạn nhân cai đặt SamhaIn - 5 55.-5 2.+ ‡.++.+s.e-xs-s 47 Hình 4.4 Tan công vét cạn sử dung công hydra .2.: 5.5.¿2.xc.c+.2z.zx.c-zx-sz-rs2xe-z 48 Hình 4.5 Cảnh báo tấn công vét cạn hiển thị trên Wazuh dashboard 5-:48 Hình Hình 4.6 Chi tiết cảnh báo ¿5+ 222t E222 2E ttEEt.trttrrrrrrrirrrrrrerre 49 Hình Hình 4.7 Cau hình phản ứng với tan công trên Wazuh serVer ¿5-:.5-2-5-2+-:49 Hình 4.8 Kiểm tra kết nối 22.2.S+.E22.E19.EE9.EE1.2E12.717.112.112.1171.712.117.111.21 -111-1 -re 50 Hình Hình 4.9 Tan công vét cạn sử dung công cụ hydra .ceccccscsscsssessessessssessesesesseseseeees 51 Hình Hinh 4.10 Cảnh báo chặn thành công địa chi IP của kẻ tấn công .-2-5 -51 Hình 4.11 Kiểm tra kết n6i ecceecseeecssesssssessnesesneessneessnecssnessnseesneesueessnsessneeenneesees 5] Hình Hình 4.12 Cau hình Sambain .cceccseeccssesssseesseessseeesssneesssneeesseessneesneesneeenees 52 Hình Hình 4.13 Samhain phát hiện bat thường trong file auth log cesses 52 Hình 4.14 Phat hién tan 050/204 0 -ăẢ 53 Hình Hình 4.15 Cau hình Samhain giám sát sự kiện đăng nhập đăng xuắt 53 4.16 Phát hiện cảnh báo bat thường trong file lưu trữ su kiện đăng nhập 54 4.17 Kiểm tra người dùng đăng nhập cuối cùng .5 2.+s.+c.z.+s.+-£+-zz-x-ze-+ 54 4.18 Cau hình giám sát tinh toàn ven sử dung module FIM 5 55 4.19 Chương trình tạo danh sách CDB từ dit liệu tải xuống .- - 56 4.20 Danh sách lưu trữ hàm băm SHA256 của các phần mềm độc hai 56 4.21 thêm danh sach vào file cấu hình -.2:.2.+2.s+.22+.E+.E£.££.zE+.Ez.Er.Ee.rxz.xe.rx-es 57 4.22 Viết luật để kích hoạt cảnh báo khi phát hiện phần mềm độc hại 57 Vũ Thanh Tú — BI9DCAT165 ili