Đánh giá hiệu quả của các hệ thống phát hiện xâm nhập dựa trên host trong việc bảo vệ hệ thống

Đồ án tốt nghiệp đại học Danh mụcKý hiệu Ý nghĩa Tiếng Anh Ý nghĩa Tiếng Việt DDoS Distrubuted Denial of Service Tan công từ chéi dich vu Detection System xâm nhập dựa trên host HIPS Hos

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

ĐỎ ÁN TÓT NGHIỆP

Đề tài: Đánh giá hiệu quả của các hệ thống phát hiện

Giảng viên hướng dẫn : TS Dinh Trường Duy

Sinh viên thực hiện : Va Thanh Tú

Mã sinh viên : BI9DCAT165

Lớp : DI9CQAT01-B

Khoá : 2019-2024

Hệ : Đại học chính quy

Hà Nội — 2024

Trang 2

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA AN TOÀN THÔNG TIN

ĐỎ ÁN TÓT NGHIỆP

Đề tài: Đánh giá hiệu quả của các hệ thống phát hiện xâm nhập dựa trên host trong việc bảo vệ hệ thống

Giảng viên hướng dẫn : TS Dinh Trường Duy

Sinh viên thực hiện : Va Thanh Tú

Mã sinh viên : BI9DCATI65

Lớp : DI9CQAT01-B

Khoá : 2019-2024

Hệ : Đại học chính quy

Hà Nội — 2024

Trang 3

Đồ án tốt nghiệp đại học

LỜI CAM ĐOAN

Tôi xin cam đoan rằng đồ án tốt nghiệp “Đánh giá hiệu quả của các hệ thống pháthiện xâm nhập dựa trên host trong việc bảo vệ hệ thống” là công trình nghiên cứu củabản thân mình Những phan có sử dụng tai liệu tham khảo đã có trong đồ án và liệt kê

và nêu rõ tại phần tài liệu tham khảo Đồng thời những kết quả được trình bày trong đồ

án đều do tự mình làm, không sao chép, đạo nhái

Nêu như sai, tôi xin chịu hoàn toàn trách nhiệm và chịu tat cả những ky luật của

khoa cũng như nhà trường đê ra.

Hà Nội, tháng 1 năm 2024

Sinh viên thực hiện

Vũ Thanh Tú

Vũ Thanh Tú — B1I9DCAT165

Trang 4

LỜI CẢM ƠN

Trong suốt quá trình học tập, thực tập và thực hiện đồ án tốt nghiệp, em luôn nhận

được sự quan tâm và giúp đỡ từ các thay cô trong khoa An toàn thông tin — Học viện

Công nghệ Bưu chính Viễn thông.

Lời đầu tiên, em xin gửi lời cảm ơn đến các thầy cô, cán bộ trong trường, đặc biệt

là các thầy cô trong khoa An toàn thông tin đã truyền đạt những kiến thức hữu ích và

giúp đỡ em trong thời gian em học tập tại trường.

Đặc biệt, em xin gửi lời cảm ơn sâu sắc tới thầy giáo hướng dẫn đồ án tốt nghiệp

của em — TS Dinh Trường Duy Trong suốt thời gian em làm đồ án, thay đã tận tìnhgiúp đỡ em, hướng dẫn, định hướng những phương hướng dé em có thể tiếp cận đượcvới đồ án, chỉnh sửa những lỗi gặp phải trong quá trình thực hiện cho đến khi hoànthành đồ án

Cuối cùng, em xin cảm ơn gia đình, bạn bè đã đồng hành trong suốt quá trình học

tập tại Học viện Công nghệ Bưu chính Viễn thông, giúp em có được một điều kiện và

kiên thức đê hoàn thành đô án.

Do trình độ kiến thức cũng như kinh nghiệm thực tế còn hạn chế, nên trong đồ áncủa em cũng không tránh khỏi thiếu sót Vì vậy, em mong nhận được sự góp ý của

thay cô dé đồ án của em được hoàn thiện hơn, giúp em có thêm được kiến thức và kỹ

năng cho công việc sau nay.

Em xin chân thành cảm ơn!

Hà Nội, tháng 1 năm 2024

Sinh viên thực hiện

Vũ Thanh Tú

Vũ Thanh Tú — B1I9DCAT165

Trang 5

NHAN XÉT, DANH GIÁ, CHO DIEM

(Của người hướng dẫn)

"

Đồng ý/Không đồng ý cho sinh viên bảo vệ trước hội đồng chấm đồ án tốt nghiệp ?

Hà Nội, ngày tháng năm 2024CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN

(ký, họ tên)

Vũ Thanh Tú — BI9DCAT165

Trang 6

NHAN XÉT, ĐÁNH GIÁ, CHO DIEM

(Của người phản biện)

Hà Nội, ngày tháng năm 2024CÁN BỘ - GIẢNG VIÊN PHAN BIEN

Trang 7

(ký, họ tên)

Trang 8

Đồ án tốt nghiệp đại học Danh mục

CHƯƠNG 1 TONG QUAN VE HE THONG PHÁT HIỆN XÂM NHẬP 2

1.1 Bối cảnh an toàn thông tin hiện nay c.cecececcssessessecsessesesessesessesesessesesseeeees 21.2 Một số khái niệm về phát hiện xâm nhập 2-2-2 S2 E+E£E+Ez£x+Eczxz 31.2.1 Hệ thống phát hiện xâm nhập 2-2: ©5¿222+2++S2+E+E+zEzxrzxzxrzxez 31.2.2 Hệ thống ngăn chặn xâm nhập ¿2 2 52 £E+E£E£E+2Ee£EzErxzxred 41.2.3 Phân loại các hệ thống phát hiện xâm nhập - - 2 2+ +cz+s +2 51.3 Các mối de doa hệ thống phổ biến - 2-22 2 + S22E+2£+2EEzEzzzzzzzxez 7

1.3.1 C co), A an 7

1.3.2 Tấn công từ chối dịch Vụ -¿-:-c s23 E3 E31151212E15515151155111111E1E 1E xer 8

1.3.3 ROOfkÏf -55- 2221 E1E212211271211211211211111211211112112121211 2e 9

1.3.4 n5 on 5 -:-:›:+- 10

IEmyi s0, 10

1.3.6 Tan công brufe-fOrCe - ¿St ềEỀEEE12112112112111111111 1111111 x6 111.4 Kết chương Ì - 2-52 S2 E2 EEE1E71211211211211211211211211211111 21101211 re 13CHƯƠNG 2 GIỚI THIỆU CÁC HỆ THÓNG PHÁT HIỆN XÂM NHẬP DỰA

2.3.1 Tổng quan về Samhain 2-2 s2 +2EE2E22EE2EEEEEEEEEEEEEEEEEEEEerkrkrree 29

2.3.2 Kiến trÚC - 25t 21 E12E1221211212121712111121121121121121121111111211 1 re 31

Vũ Thanh Tú — B1I9DCAT165 i

Trang 9

2.3.3 (9ì 7 4 32

2.3.4 Chính sách ¿ ¿- ¿222222 E22122122127122121121121121121121121212111 112112 re 34

2.4 Kết chương 2 - -:- 5c tt 1E 121111211211121111 1111112111111 111 01 11g 38

CHƯƠNG 3 CÀI ĐẶT MOI TRUONG THU NGHIEM VÀ PHÂN TÍCH CÁC

TIÊU CHÍ ĐÁNH GIA CHO CÁC HE THONG PHÁT HIỆN XÂM NHẬP 39

3.1 Cài đặt môi trường ¿- ¿+ ©s2x92x2ExE212212112112112112112117121 21111 tre 39

3.1.1 Cai đặt môi trường cho Wazuh - - kg ng nh 39

3.1.2 Cài đặt môi trường cho Samhain - 2 2 322311332 2Ex+sseveeesss 403.2 Tiêu chí đánh giá hiệu quả của các hệ thống phát hiện xâm nhập dựa trên

2 42

3.3 Kết chương Â - 2-5252 222E221121121711111111121121111211211111 211112111 re 43CHƯƠNG 4 THU NGHIỆM VÀ DANH GIIÁ - 2 ©22E2+E++ExtrEczrserxees 444.1 Kết quả kiểm tra phần cứng và phần mềm 2-2 2 2+ +E££xe£xEx+2 44

4.1.1 Sử dụng CPU, RAM và dung lượng đĩa - «cv 44

4.1.2 Khả năng tương thích với hệ thống - - ¿252 eSE2E£EzEzEerxrxe2 454.2 So sánh kha năng phát hiện, cảnh báo và phản hồi - 5-5 52+5+52 464.2.1 Tan công vét cạn -¿- 2-52 52+E22E2E2121712171111111211211211 111111 cxeE 46

4.2.2 Phần mềm độc hại ¿2 St EEE2E9EEEE2EEE1212EE2121211111211111511e x2 33

4.2.3 ROO(KÏ( Q2: t2 12112121 212112121121112112111211110121211211101111 1tr 61

4.3 Kết chương 4 - 5: St St 1EE12111121121712111111111121111 0111110101110 1e 66

KET LUAN woescsscssssssesssssssssesssesssssesssssssssesssssessussssesessussusssessessusssessesssssesessetetseses 67

TAI LIEU THAM KHAO ccceccsscssessessessessessesecsessessessessessetistissussisseststitsesssesess 68

Vũ Thanh Tú — BI9DCAT165 il

Trang 10

DANH MỤC HÌNH ẢNHHình 2.1 Các thành phần của Wazuh và luồng dữ liệu - 5-5 sccsccxzEerxzxczs 15Hình 2.2 Kiến trúc của Wazuh S€TV€T 52-52252222 EEEE212212712112112112121 21 xe 17

Hình 2.11 Kiến trúc Samhain -22¿¿222+++2EEEEvttEE tre 32

Hình 3.1 Cai đặt Wazuh ag€ft LH HH HH TT TH HH Hết 39 Hình 3.2 Cai đặt thành cơng Wazuh aØ€II L2 0112112 11191 11111111111 rret 40

Hình 3.3 Cấu hình Samhain ¿55+ 5+t2Ext2EEvtEEEvrttEtrtttrrrtrrrrrrrrrrrrirrre 4IHình 3.4 Cau hình Samhain khởi động cùng hệ thống 2:22 22 2252522 41

Hình 3.5 Cai đặt thành cơng Samhain - 5 c2 2132211323133 Exrrrrs 41

Hình 3.6 Kiểm tra mức sử dụng CPU trên Linux -¿ 2 s2s++z++zx+zx+zz+zsez 42Hình 3.7 Kiểm tra mức sử dung RAM trên Linux - + 5 +Sz+E+Ee£xzEerzxerees 43Hình 4.1 Địa chỉ IP máy tấn cơng -¿- + 2 Sk9EE2EEEE2EEEE2E121E112111 71111111 xe 47

Hình 4.2 Dia chỉ IP máy nạn nhân cai Wazuh agenI - - ác net 47

Hình 4.3 Dia chi IP máy nạn nhân cai đặt SamhaIn - 5 55-5 2+ ‡+++sexss 47

Hình 4.4 Tan cơng vét cạn sử dung cơng hydra -2- 2: 55¿2xcc+2zzxczxszrsxez 48Hình 4.5 Cảnh báo tấn cơng vét cạn hiển thị trên Wazuh dashboard - 5: 48Hình 4.6 Chi tiết cảnh báo ¿5+ 222t E222 2E ttEEt.trttrrrrrrrirrrrrrerre 49Hình 4.7 Cau hình phản ứng với tan cơng trên Wazuh serVer -. ¿5:52 52+: 49

Hình 4.8 Kiểm tra kết nối - 22 2 S+E22E19EE9EE12E12717112112117171211711121 1111 re 50

Hình 4.9 Tan cơng vét cạn sử dung cơng cụ hydra ceccccscsscsssessessessssessesesesseseseeees 51Hình 4.10 Cảnh báo chặn thành cơng địa chi IP của kẻ tấn cơng 2-5 - 51Hình 4.11 Kiểm tra kết n6i ecceecseeecssesssssessnesesneessneessnecssnessnseesneesueessnsessneeenneesees 5]Hình 4.12 Cau hình Sambain cceccseeccssesssseesseessseeesssneesssneeesseessneesneesneeenees 52

Hình 4.13 Samhain phát hiện bat thường trong file auth log cesses 52

Hinh 4.14 Phat hién tan 050/204 0 -ăẢ 53Hình 4.15 Cau hình Samhain giám sát sự kiện đăng nhập đăng xuắt 53Hình 4.16 Phát hiện cảnh báo bat thường trong file lưu trữ su kiện đăng nhập 54Hình 4.17 Kiểm tra người dùng đăng nhập cuối cùng - 5 2+s+cz+s+£+zzxze+ 54

Hình 4.18 Cau hình giám sát tinh tồn ven sử dung module FIM 5- - 55

Hình 4.19 Chương trình tạo danh sách CDB từ dit liệu tải xuống - - 56Hình 4.20 Danh sách lưu trữ hàm băm SHA256 của các phần mềm độc hai 56Hình 4.21 thêm danh sach vào file cấu hình - - 2: 2+2s+22+E+E£££zE+EzErEerxzxerxes 57Hình 4.22 Viết luật để kích hoạt cảnh báo khi phát hiện phần mềm độc hại 57

Vũ Thanh Tú — BI9DCAT165 ili

Trang 11

Cai đặt Rootkit Diamorphine c2 222 33211333 E2 EEEerreves 64

Rootkit Diamorphine ân khỏi nhân 2-22 2 22S2+E+£++Ezx+zxzzzzxez 65

Cảnh báo phát hiện rootkit trên Wazuh 5 2 11112 xsrreeree 65

DANH MUC CAC BANG

Vũ Thanh Tú — BI9DCAT165 iv

Trang 12

Bảng 1.1 So sánh IDS và IPS - . 2 2 02211121111 11111111 1110111011181 10111011811 re 5

Bảng 2.1 Các chỉ mục trong Wazuh - eeeeeeeseceeenecesessecesessecsaesneesseeseneeeens 16

Bang 2.2 Danh sách các công được Wazuh sử dụng - 2-52 scs2tsErxzEerzxers 24

Bảng 2.3 Phân loại luật trong Wazuh - - c1 112 1112 1111111118 111181111 ng vn 25 Bảng 2.4 Cú pháp bộ giải mã Wazuh c1 332111211 13511111119 111111119111 1g key 27

Bảng 2.5 Cú pháp luật Wazuh c1 1121112111111 1111111111111 101 110111011 E011 g1 1 hưu 27Bảng 2.6 Các mã được sử dụng dé chỉnh sửa chính sách -¿¿ 5x52: 35

Bảng 2.7 Mức độ nghiêm trọng của sự KIỆn 2 2c 3321111335111 ESrres 36

Bang 2.8 Các đầu ra nhật ký - - 5c St St E3 121211211121111 1121.1111110 re, 37

Bảng 3.1 Cai đặt môi trường cho Wazuh - c 11121112 1111111119111 11911111911 re 39

Bang 3.2 Cai đặt môi trường cho Samhain - - - 2 2 222 33211 11%335Exxzerxes 40

Bảng 4.1 Cau hình phần cứng và phần mềm 2 2£ ++S¿+S£+£x+£x+zE++zx+z+zx+2 45

Bảng 4.2 Mức sử dụng CPU - c1 2 122111211 32511 111111111 1118111 11 11911 ng như 45

Bảng 4.3 Mức sử dụng RAM - Q11 11H S n1 TH TH TH ng ket 46

Bang 4.4 Dung lượng đĩa sử dụng - - - c3 1123 v12 1n ng ng kh key 46

Bang 4.5 Kết quả đánh giá hiệu quả của hai hệ thống phát hiện xâm nhập 66

DANH MUC CAC TU VIET TAT

Vũ Thanh Tú — BI9DCAT165 V

Trang 13

Ký hiệu Ý nghĩa Tiếng Anh Ý nghĩa Tiếng Việt

DDoS Distrubuted Denial of Service Tan công từ chéi dich vu

Detection System xâm nhập dựa trên host

HIPS Host-based Prevention System Hệ thống ngăn chặn xâm

nhập dựa trên hostIDS Intrusion Detection System Hệ thông phát hiện

xâm nhập

IPS Intrusion Prevention System Hệ thông ngăn chặn

xâm nhập NBA Network Behavior Analysis Phan tich hanh vi mang

NIDS Network-based Intrusion Hé thong phat hién

Detection System xâm nhập dựa trên mangNIPS Network-based Intrusion Hệ thông ngăn chặn

Prevention System xâm nhập dựa trên mang

PCI-DSS Payment Card Industry Data Tiêu chuân bảo mat dit liệu

Security Standard trong ngành thẻ thanh toán

PIN Personal Identification Mã số xác thực cá nhân

Number

POSIX Portable Operating System Tập hợp tiêu chuan dé

Interface for Unix tương thích trên Linux

SIEM Security Information and Hé thong quan lý sự kiện va

Event Management thông tin bảo mật

WIPS Wireless Intrusion Prevention Hệ thông ngăn chặn

System truy cập không dây

XDR Extended Detection and Hệ thông phát hiện và

Response phản hồi mở rộng

Trang 14

Đồ án tốt nghiệp đại học Mở đầu

MỞ ĐẦU

Ngày nay, với sự phát triển mạnh mẽ của công nghệ thông tin và các cuộc tan công

mạng ngày càng nhiều thì việc các doanh nghiệp đang dần quan tâm đến việc bảo vệ

hệ thống của mình cũng như dữ liệu người dùng mà họ quản lý, giúp đảm bảo hoạt

động kinh doanh của doanh nghiệp được thông suốt Tuy nhiên, chi phí xây dựng một

hệ thống giám sát và phát hiện xâm nhập không hè rẻ đối với các doanh nghiệp.Những doanh nghiệp sẽ hướng đến các hệ thống giám sát và phát hiện xâm nhập mãnguồn mở mà đem lại hiệu quả cao, phù hợp với tình hình kinh doanh của doanh

nghiệp.

Với đề tài “Đánh giá hiệu quả của các hệ thống phát hiện xâm nhập dựa trên

host trong việc bảo vệ hệ thống”, đồ án này tập trung vào việc xây dựng các tiêu chícho phép đánh giá hiệu quả của các HIDS trong việc bảo vệ hệ thống, làm tài liệutham khảo cho các doanh nghiệp hoặc người dùng mới chưa có kinh nghiệm lựa chọn

được một HIDS phù hợp với doanh nghiệp, nhu cầu cá nhân trong việc bảo vệ hệ

thống, phù hợp với tài nguyên, nguồn lực của doanh nghiệp và cá nhân và dem lại hiệuquả cao nhất Đồ án này sẽ sử dụng hai open-source HIDS là Wazuh và Samhain

Về bố cục của đồ án được chia thành 4 phần chính như sau:

Chương 1: Giới thiệu tổng quan về bối cảnh an toàn thông tin hiện nay, tong quan

về hệ thông phát hiện xâm nhập, giới thiệu các khái niệm va một sô môi de doa phô

biên hiện nay.

Chương 2: Giới thiệu về các hệ thống phát hiện xâm nhập dựa trên host được sử

dụng là Wazuh va Samhain.

Chương 3: Cài đặt môi trường thử nghiệm phân tích các tiêu chí đánh giá cho các

hệ thống phát hiện xâm nhập

Chương 4: Thử nghiệm và đánh giá.

Do kiến thức và kỹ năng của em còn hạn chế nên trong quá trình xây dựng đồ án sẽ

không tránh khỏi thiêu sót Em rât mong nhận được ý kiên đóng góp từ các thây cô đê

em có thê hoàn thiện tôt hơn.

Em xin chân thành cảm on!

Vũ Thanh Tú — B1I9DCAT165 1

Trang 15

Đồ án tốt nghiệp đại học Chương 1: Tổng quan về hệ thống phát hiện xâm nhập

CHƯƠNG 1 TONG QUAN VE HE THONG PHÁT HIỆN XÂM NHAP

1.1 Bối cảnh an toàn thông tin hiện nay

Ngày nay, với sự bùng nổ của khoa học kỹ thuật với sự phát trién mạnh mẽ của

internet và các thiết bị công nghệ đã hỗ trợ con người trong các lĩnh vực như quân sự,

y học, giáo dục, nông nghiệp, ngân hàng hay cuộc sông hăng ngày Với nhu cầu tiếp

cận với công nghệ ngày càng lớn của con người thì các thiết bị được kết nối với

internet ngày càng nhiều dé phục vụ con người hằng ngày Các thiết bị đó được gọi là

“endpoint”.

Endpoint là bat ky thiết bi nào có thé kết nối được với mạng máy tinh va nó có théthực hiện giao tiếp qua lại với mạng mà nó được kết nối Một số endpomt có thé kếđến như là: máy tính (desktop, laptop), điện thoại, các máy trạm, máy chủ hay xu thếgan đây là các thiết bị IoT (Internet of Things)

Tuy nhiên, với sự phát triển mạnh mẽ của các thiết bị sẽ gây ra một vấn đề lớn cho

việc bảo vệ an toàn cho các thiết bị đó Các đữ liệu được tạo ra bởi người dùng và cácthiết bị này vô cùng nhạy cảm, ví dụ như các dữ liệu về quân sự, y học, hay tài khoảnngân hàng, thông tin cá nhân người dùng sẽ là mục tiêu hàng đầu của kẻ tan công,nếu rơi vào tay kẻ xấu thì gây ra hậu quả vô cùng lớn với tổ chức, cá nhân nắm giữ dữ liệu đó, chúng có thé sử dụng dé phạm tội, tống tiền

Các cuộc tấn công dựa trên endpoint ngày càng gia tăng nhanh chóng khiến cho

các mối đe doạ vào các endpoint đáng quan tâm hơn bao giờ hết Trong báo cáo

Endpoint, Identity and Cloud, Top Cyber Attacks 2023 So Far (Endpoint, Danh tính và

Cloud, những mối de doa hang đầu 2023 cho đến nay) của SentinelOne viết về các

cuộc tan công dựa trên Endpoint, những cuộc tấn công này thường tấn công vào cácmáy tính đặc quyên, điện thoại thông minh, và các thiết bi IoT Các mối đe doa chínhbao gồm ransomware, tấn công dựa trên kỹ thuật xã hội, tấn công từ chối dịch vụ, khai

thác các lỗ héng zero-day, fileless malware [1]

Cũng theo như báo cáo trên của SentinelOne, trong 3 quý đầu năm 2023, các cuộctan công ransomware đã nhằm vào các công ty lớn: [1]

- Reddit Blackcat Ransomware: cuộc tấn công mạng vào Reddit thông qua một

chiến dịch lừa đảo đã đánh cắp được 80GB dữ liệu bao gồm tài liệu nội bộ, mã

nguồn, thông tin quảng cáo và nhân viên

- _ Công ty thực phẩm Dole: Một cuộc tấn công ransomware vào tháng Hai đã gây

rò rỉ hồ sơ của nhân viên khiến các nhà máy ở Bắc Mỹ bị đóng cửa tạm thời,ảnh hưởng đến dữ liệu về nhân viên của các nhà máy

Trang 16

- Dich vụ tư pháp Hoa Kỳ (United State Marshals Service): là một cuộc tan công

lớn vào một cơ quan thực thi pháp luật liên bang của Bộ Tư Pháp đã xâm phạm

vào đữ liệu thực thi pháp luật nhạy cảm bao gồm dữ liệu quy trình pháp lý, đữliệu hành chính và thông tin nhận dạng cá nhân của các đối tượng điều tra

Ngoài ra, còn một số cuộc tấn công ransomware lớn vào đữ liệu của thành phốOregon gây thiệt hại lớn lên tới hàng triệu USD, hay cuộc tan công vào công ty sinh

học Enzo Biochem gây rò rỉ thông tin cá nhân của 2.500.000 người, dữ liệu xét

nghiệm và 600.000 số an sinh xã hội Theo báo cáo của Cơ quan An ninh mạng Châu

Âu (ENISA) vào năm 2022, những cuộc tan công gây ra mỗi đe doạ đến tính toàn vẹn

và san dùng Cơ quan nay đã phân loại ra làm 8 loại mối đe doa chính: Ransomware,

Malware, Social Engineering, DDoS, đánh cắp dit liệu, tan công chuỗi cung ứng, sai

lệch thông tin, các mối đe doạ đến tính khả dụng [2]

Từ những số liệu trên, chúng ta thấy các mối de doa nhằm vào các endpoint ngàycàng tăng mặc dù có rất nhiều biện pháp bảo vệ được đưa ra và tiếp tục phát triển đểbảo vệ khỏi các cuộc tấn công trên nhưng các cuộc tan công vẫn ngày càng gia tăng vàmức độ của nó ngày cảng tinh vi hơn, gây thiệt hại lớn cho cá nhân, tổ chức và doanh

IDS sử dụng hai phương pháp để phát hiện xâm nhập chính: phát hiện xâm nhập

dựa trên chữ ký và phát hiện xâm nhập dựa trên bất thường.

- Phat hiện xâm nhập dựa trên chữ ký là hình thức phát hiện xâm nhập lâu đời

nhất, nó thực hiện bằng cách duyệt qua tập dữ liệu dé tìm ra các mẫu đã biết Vi

dụ đơn giản về hình thức này là một địa chỉ IP hoặc một chuỗi văn bản, hayphúc tạp hơn là sỐ lượng byte null xuất hiện sau một chuỗi xác định sử dụng

một giao thức nào đó Khi các mẫu được chia thành các mẫu nhỏ độc lập với

nên tang hoạt động thì chúng sẽ trở thành dấu hiệu tan công Các dấu hiệu tan

công mà được mô tả trong một nên tảng của một cơ chế phát hiện xâm nhập thì

chúng sẽ trở thành chữ ký Tuy nhiên, nhược điểm lớn của phương pháp này làphải cập nhật liên tục, thường xuyên về các mối de doa mới Hệ thống sẽ khôngthể phát hiện được một cuộc tấn công mới nếu không có chữ ký về cuộc tấn

công đó [3]

Vũ Thanh Tú — BI9DCAT165 3

Trang 17

- Phat hiện xâm nhập dựa trên bất thường là một hình thức mới của phát hiện

xâm nhập Hình thức phát hiện xâm nhập này dựa vào việc quan sát sự cô mạng

và nhận biết các lưu lượng mạng bat thường thông qua các chân đoán và thống

kê Thay vì chỉ đơn giản cảnh báo khi phát hiện mẫu tan công, cơ chế phát hiệnxâm nhập dựa trên bat thường có khả năng nhận ra các mẫu tan công khác biệtvới hành vi mạng thông thường Đây là cơ chế phát hiện tốt nhưng rất khó thựchiện bởi vì phải xây dựng một hồ sơ các hành vi các hành vi bình thường vàviệc này mat một thời gian rat dai dé xây dung va phát hiện xâm nhập dựa trênbất thường cũng có thể gây ra dương tính giả như hoạt động người dùng truycập lần đầu tiên vào hệ thống nhưng cũng có thé kích hoạt cảnh báo IDS [3]

1.2.2 Hệ thong ngăn chặn xâm nhập

Hệ thống ngăn chặn xâm nhập (Intrusion Prevention System — IPS) là một công cụ

an ninh mang (có thé là phần cứng hoặc phần mềm) thực hiện nhiệm vụ giám sát mang

dé phát hiện ra những hành động độc hại và thực hiện các hành động dé ngăn chặn

chúng, như là báo cáo, ngăn chặn hoặc loại bỏ khi nó xảy ra.

Các hệ thống ngăn chặn xâm nhập sẽ được đặt bên trong luồng lưu lượng mạng va

thường nằm phía sau tường lửa Tương tự như IDS, các IPS cũng sử dụng một số

phương pháp để phát hiện tấn công là phát hiện xâm nhập dựa trên chữ ký và bất

thường, ngoài ra các IPS còn sử dụng một phương pháp nữa là dựa trên chính sách Phương pháp dựa trên chính sách sẽ sử dụng các chính sách bảo mật do doanh nghiệpxác định và ngăn chặn các hành vi vi phạm các chính sách đó Người quản trị viên cần

thiết lập va cài đặt các chính sách bao mật cho các IPS này

Một số hệ thống ngăn chặn xâm nhập:

- Hé thống ngăn chặn xâm nhập mạng (NIPS): được cài đặt tại các điểm quan

trong dé giám sát tat cả lưu lượng mạng và chủ động quét các mối đe doa

- Hệ thống ngăn chặn xâm nhập dựa trên host (HIPS): được cải đặt trên các

endpoint và giám sát các lưu lượng đến và đi từ máy đó

- Phan tích hành vi mang (NBA): Phân tích lưu lượng mạng dé phát hiện các lưu

lượng truy cập mạng bat thường như các cuộc tấn công từ chối dich vụ phân tán

DDoS.

- Hé thống ngăn chặn truy nhập không dây (WIPS): Chi đơn giản quét mang

Wi-Fi để ngăn chặn truy nhập trái phép và loại bỏ các thiết bị truy cập trái phép ra

khỏi mạng.

So sánh giữa IDS và IPS được trình bay trong bang 1.1:

Trang 18

Bang 1.1 So sánh IDS và IPS

Là hệ thông giám sát mạng dùng dé phát

hiện các hành động đáng ngờ và cảnh

báo khi hành động đó được phát hiện.

Thay vì chỉ cảnh báo và phát hiện như IDS, các IPS sẽ thực hiện hành động ngăn chặn và loại bỏ các hành động đáng

ngờ đó.

Sử dụng các phương pháp phát hiện xâm

nhập là dựa trên chữ ký và dựa trên hành

vi bất thường

Cũng sử dụng các phương pháp phát

hiện xâm nhập dựa trên chữ ký, hành vi

bất thường, ngoài ra còn có phát hiện

xâm nhập dựa trên chính sách

IDS có hai loại là phát hiện xâm nhập

dựa trên mạng NIDS và phát hiện xâm

nhập dựa trên host HIDS.

IPS cũng có ngăn chặn truy cập dựa trên

mạng NIPS và ngăn chặn truy cập dựa

trên host HIPS, ngoài ra còn có 2 loại

dụng kết hợp cả IDS và IPS Trong phạm vi đồ án này sẽ đi sâu vào tìm hiểu các hệ

thống phát hiện xâm nhập IDS, đặc biệt là hệ thống phát hiện xâm nhập dựa trên host

1.2.3 Phân loại các hệ thống phát hiện xâm nhập

Các hệ thống phát hiện xâm nhập được chia làm hai loại chính: hệ thống phát hiệnxâm nhập mạng (NIDS) và hệ thống phát hiện xâm nhập dựa trên host (HIDS)

NIDS (Network-based Intrusion Detection System) là một hệ thống giám sát và

phân tích lưu lượng mạng để phát hiện ra các hành động độc hại, các truy cập không

được trao quyên và vi phạm chính sách bảo mật và cảnh báo cho người quan trị mang

NIDS hoạt động bằng cách kiểm tra các gói dtr liệu cho các mẫu cụ thê và hành vi để

dự đoán một cuộc tan công mạng Nó có thé phát hiện và cảnh báo cho người quan tri

mạng về một cuộc tan công mạng như DoS, hay quét cổng, virus và malware

Các NIDS thường hoạt động ở hai chế độ là passive mode (thụ động) va inlinemode (nội tuyến) Ở chế độ thụ động thì NIDS chi giám sát lưu lượng mang ma không

can thiệp vao nó Còn ở chế độ nội tuyến, NIDS can thiệp vào dé phát hiện được các

cuộc tấn công nhưng sé gây gián đoạn mạng Khi phát hiện một cuộc tan công thìNIDS sẽ tạo ra cảnh báo bao gồm các thông tin: loại tan công là gì, dia chỉ IP nguồn,

Trang 19

IP đích và thời gian xảy ra tấn công NIDS cũng có thể ngăn chặn các cuộc tấn côngbăng cách sửa đôi lưu lượng mạng hoặc chặn địa chỉ IP

NIDS sử dụng một số phương pháp phát hiện tan công như dựa trên chữ ký, dựa

trên dấu hiệu bất thường hoặc kết hợp cả hai Ở chế độ hỗn hợp thì nó sẽ sử dụng phát

hiện dựa trên chữ ký trước dé phat hiện những cuộc tấn công đã biết, nếu nó thuộc loại

tân công chưa biết thì sẽ sử dụng thêm cả dấu hiệu bất thường

Một số ưu điểm của NIDS có thé ké tới như nó có thé ngăn chặn và phát hiện các

cuộc tấn công; tìm kiếm những lỗ hồng, điểm yếu trên mạng, phần mềm cũ hoặc

những kết nối không an toàn; bảo vệ những thông tin nhạy cảm; giám sát theo thờigian thực Tuy nhiên, nó cũng có một vài nhược điểm như cần phải cập nhật thườngxuyên với những mối đe doạ mới; tốn thời gian trong việc cấu hình và bảo trì

Một loại hệ thống phát hiện xâm nhập khác là HIDS (Host-based IntrusionDetection), thay vì giám sát trên mạng như NIDS thì HIDS giám sát trên từng mayriêng biệt có thể là server, các máy tính, hay bat kì thiết bị nao có thé sinh ra log, dữliệu phục vụ cho việc giám sát HIDS sẽ thu thập các đữ liệu này sau đó phân tích để

phát hiện ra các hành động bat thường Dữ liệu mà các công cụ HIDS có thé phân tích

bao gồm nhật ký xác thực (ví dụ như ghi lại các sự kiện đăng nhập), ngoài ra còn một

số loại dữ liệu khác như nhật ký ứng dụng (application logs) hoặc nhật ký hệ điều hành

(syslogs) dé có thé phát hiện ra các hành động bat thường

HIDS được chia làm hai loại chính:

- HIDS dựa trên agent: Sử dụng các agent được cài đặt trên các host dé giám sát

và thu thập các dữ liệu trên các host này và sau đó gửi chúng về server dé tiếnhành phân tích Việc cài đặt thêm các agent để giám sát sẽ làm tăng lượng tải

nguyên sử dụng.

- HIDS không sử dụng agent: các thông tin được thu thập từ các host mà không

sử dụng agent, ví dụ sẽ được vận chuyên qua mạng Mặc dù sẽ ít tiêu tốn tàinguyên nhưng sẽ cấu hình và triển khai phức tạp hơn và đôi khi không thể truycập nhiều đữ liệu băng HIDS dựa trên agent

HIDS gồm 3 thành phần chính:

- Bộ thu thập dữ liệu: Sử dụng dựa trên agent hoặc không sử dụng agent, sử dụng

các cảm biến đề thu thập đữ liệu

- Luu trữ dt liệu: Sau khi được thu thập thi dữ liệu sẽ được tổng hợp và lưu trữ ở

vị trí trung tâm Các dữ liệu này được lưu trữ trong một khoảng thời gian cầnthiết để phân tích

Trang 20

Công cụ phân tích: HIDS sử dụng công cụ phân tích và đánh giá các nguồn đữ liệukhác nhau mà nó thu thập Mục đích của việc phân tích dữ liệu là tìm kiếm các mẫu dữliệu bất thường, sau đó đánh giá chúng là kết quả của một cuộc tấn công hoặc rủi ro

bảo mật.

Đề phát huy hiệu quả tốt nhất của HIDS, người quản trị cần giám sát tất cả các host

để phát hiện các cuộc tấn công một cách khái quát nhất, hoặc ngăn chặn sự lây langiữa các host với nhau Nên thu thập dữ liệu từ nhiều nguồn dé đánh giá một cách tốtnhất, tránh trường hợp dương tính giả và tạo cảnh báo chính xác Ngoài ra, người quản

trị cũng nên phân loại mức độ nghiêm trọng của các cảnh báo dé cân nhắc ưu tiên các

cảnh báo nào Cuối cùng, tuỳ thuộc vào khả năng giám sát, cân nhắc giữa sử dụng

HIDS dựa trên agent hoặc không sử dụng agent Mặc dù HIDS là một công cụ phòng

thủ nhưng nó cũng chỉ là một lớp, nên sử dụng kết hợp với các công cụ và dịch vụ bảo

mật bổ sung dé chống lại các mối đe doa từ bên ngoài một cách tốt nhất

1.3 Các mối de doa hệ thống pho biến

Trong bao cao Endpoint, Indentity and Cloud, Top Cyber Attacks 2023 So Far

(Endpoint, Danh tinh, Cloud, những mối de doa hang đầu 2023 cho đến nay) của

SentinelOne đã chỉ ra rằng, các mối đe doạ chính đối với hệ thống bao gồm

ransomeware, tấn công từ chối dịch vụ, fileless malware (tan công không dựa trên

file) Cũng theo như báo cáo 2022 Unit 42 Incident Response Report (Báo cáo ứng

phó sự cố) cũng chỉ ra rằng, các cuộc tan công vét cạn cũng góp 20% các cuộc tan

công thành công [4] Báo cáo Endpoint Security Visibility Report 2022 của Tanium

cũng chỉ ra rang Malware (Ransomeware, Trojan, Rootkit ) cũng là mối de doa lớn

nhất đối với các tổ chức hiện nay Phần nay của đồ án sẽ tìm hiểu về một số mối de

doa phổ biến đối với các tổ chức hiện nay

1.3.1 Ransomware

Theo Endpoint Security Visibility Report 2022 của Tanium, mối de doa lớn nhấtđối với các hệ thong của tô chức là Malware (Ransomware, Trojan ) chiếm tới 35%các mối đe doạ Ransomware là một phần mềm độc hại [5] Cũng trong báo cáo

Endpoint, Identity and Cloud, Top Cyber Attacks 2023 So Far, ransomware là một

trong những mối de doa lớn đối với các hệ thống [1]

Ransomware là một phần mềm độc hại sử dụng để mã hoá các thông tin của nạn

nhân dé nhằm các mục đích xấu như đòi tiền chuộc, phá hoại hệ thông Các dữ liệu

quan trọng của người dùng hoặc tô chức khiến họ không thể truy cập được vào file, cơ

sở dữ liệu hoặc ứng dụng Ransomware thường được thiết kế dé lây lan trên mạng vànhăm mục tiêu vào cơ sở dữ liệu hoặc máy chủ file và do đó có thé làm tê liệt toàn bộ

tổ chức Các tội phạm sẽ yêu cầu một khoản tiền vô cùng lớn dé có thé cấp quyền truy

cập và sẽ gây thiệt hại vô cùng lớn cho doanh nghiệp và các tô chức

Trang 21

Ransomware sử dụng mã hoá bất đối xứng, sử dụng một cặp khoá dé mã hoá vàgiải mã và do kẻ tan công năm giữ Kẻ tan công chỉ cung cấp khoá riêng cho nạn nhânkhi mà nạn nhân trả được số tiền mà chúng yêu cầu dé giải mã các file trên hệ thống bị

chúng mã hoá Thông thường, ransomware được đính kèm trong các email độc hại.

Sau khi khai thác thành công, ransomware sẽ thực thi một file nhị phân độc hại trên hệ

thống bị nhiễm File nhị phân này sẽ tìm kiếm và mã hoá các file có giá trị nhưMicrosoft Word, hình ảnh, cơ sở dữ liệu Chúng cũng có thé khai thác các lỗ hỗngtrên hệ thống và mạng đề có thê lây lan sang hệ thống khác

1.3.2 Tấn công từ chối dịch vụ

Tấn công từ chối dich vu (Denial Of Service) là một cuộc tan công làm gián đoạn,

“sập” một hệ thống, hoặc mạng khiến người dùng không thẻ truy cập được Tan công

từ chối dịch vụ thực hiện bằng cách gây ngập lụt lượng truy cập vào hệ thống nạn nhân

hoặc gửi cho nạn nhân những thông tin gây ra sự có

Có hai phương pháp chính của tấn công từ chối dịch vụ đó chính là floodingservices (gây ngập lụt) và crashing services (gây sập) Tan công ngập lụt xảy ra khi hệ

thống nạn nhân nhận quá nhiều lưu lượng truy cập khiến máy chủ bị quá tải, khiếnchúng chạy chậm lại thậm chí là dừng han Một số cuộc tấn công phổ biến:

- Tan công tràn bộ đệm: Là việc một ứng dụng cố gang ghi dữ liệu vượt ra khỏi

phạm vi của bộ đệm (cả giới hạn trên và giới hạn dưới) Kết qua là dir liệu cóthé đè lên các bộ nhớ liền kề Dữ liệu bị ghi đè có thé bao gồm các dữ liệu khác,

hoặc cả luồng hoạt động của chương trình Lỗi tràn bộ đệm có thể khiến

chương trình dừng hoạt động, gây mat dữ liệu hoặc thậm chí giúp kẻ tan công

kiểm soát được hệ thống [6]

- ICMP Flood: Hay còn được gọi là Smurf/Ping of Death là một cuộc tan công

trong đó kẻ tấn công gửi một lượng lớn gói tin ICMP với dia chỉ IP nguồn là địachỉ máy nạn nhân đến một mạng sử dụng địa chỉ quảng bá (IP BroadcastAddress) Các máy trong mạng nhận được thông điệp ICMP sẽ gửi trả lời đếnđịa chỉ IP nguồn trong thông điệp ICMP (máy nạn nhân) Nếu số lượng phảnhôi rất lớn sẽ khiến máy nạn nhân bị ngập lụt

- SYN Flood: Kẻ tan công gửi một lượng lớn gói tin yêu cầu kết nối (SYN-REQ)

đến máy tính nạn nhân, máy tính nạn nhân sẽ ghi nhận yêu cầu kết nối và dành

một chỗ trong bảng lưu kết nối lưu yêu cầu kết nối và gửi một gói tin xác nhận

kết nối đến máy kẻ tấn công (SYN-ACK) Kẻ tấn công sẽ không trả lời xácnhận kết nối, máy tính của nạn nhân vẫn lưu một lượng lớn yêu cầu kết nốikhiến những người dùng khác không thê kết nối được

Trang 22

Tan công từ chối dịch vu phân tán (Distributed Denial of Service Attack) là mộtloại tấn công DoS gây ngập lụt các máy nạn nhân với một lượng lớn các yêu cầu kếtnối giả mạo Ddos khác DoS ở phạm vi tan công, số lượng máy tham gia tan công DoSthường rất nhỏ, chỉ gồm một số ít máy tại một địa điểm có định nên việc truy vết kẻtan công rất dé Tuy nhiên, số lượng máy tham gia tan công DDoS thường rất lớn, cóthê lên đến hàng ngàn, hàng trăm ngàn máy từ rất nhiều địa điểm khác nhau trên thế

ĐIỚI.

1.3.3 Rootkit

Rootkit là một chương trình hoặc tập hợp của các chương trình độc hại cung cấpcho các mối đe doạ quyền truy cập và kiểm soát từ xa trên máy tính hoặc hệ thốngkhác Các rootkit đều tạo một cửa hậu trên hệ thống nạn nhân dé đưa phần mềm độchại bao gồm virut, ransomware, chương trình keylogger và các phần mềm độc hại kháchoặc để sử dụng cho các cuộc tan cong tiép theo Rootkit ngăn chan việc phát hiệnbằng cách vô hiệu quá các phần mềm chống virus

Vi rootkit không thé lây lan nên nó dựa vào một số phương pháp dé lây nhiễm vàomáy tính Khi người dùng không may cài đặt các chương trình có rootkit trên hệ thống,

các rootkit sẽ tự cài đặt và an giấu cho đến khi tin tặc kích hoạt chúng Rootkit sẽ chứa

các phần mềm độc hại, bao gồm đánh cắp các thông tin nhạy cảm, trình vô hiệu hoá

các phần mềm chống virus, keylogger, đánh cắp quyền điều khiển máy tinh dé biến nó

thành bot, phục vụ cho các cuộc tấn công từ chối dịch vụ phân tán

Rootkit có thể được cài đặt thông qua một số kỹ thuật tấn công xã hội, qua các

email lừa đảo, cài đặt các phần mềm độc hại, các file PDF hay Microsoft Word độc

hại, kết nối với máy tính, USB đã bị nhiễm hoặc tải các phần mềm bị nhiễm rootkit từ

các trang web không an toàn.

Một số hậu quả khi hệ thống bị nhiễm rootkit:

- Nhiễm các phần mềm độc hại: Rootkit có thể cài đặt các phần mềm độc hại lên

máy tính, hệ thống hoặc mạng như virus, sâu, ransomware, trojan, phần mềmgián điệp, các phần mềm quảng cáo

- Loại bỏ các tập tin: Rookit có thé xoá các tập tin trên hệ thống

- _ Đánh cắp các thông tin cá nhân: Rootkit sẽ cài các keylogger lên hệ thống nan

nhân để theo dõi các thao tác của nạn nhân, chúng cũng có thể spam các emailchứa rootkit khi người dùng mở email Rootkit có thể đánh cắp các thông tin

của người dùng như mật khẩu, thông tin ngân hàng và sau đó chuyền lại cho

tin tặc.

- Thay đổi cấu hình hệ thống: Rootkit có thé sửa đổi cấu hình hệ thống, an đi và

xoá dấu vết khiến các phần mềm bảo mật không thể phát hiện được chúng

Trang 23

Rootkit cũng có thê tạo ra các spam khiến việc tắt hoặc huỷ bỏ chúng là rất khókhăn Nó cũng cung cấp cho kẻ tan công quyên truy cập hoặc thay đổi quyền dé

kẻ tan công có thé dé dàng thao tác trên hệ thống

1.3.4 Virus, Sâu, Trojan

Virus là một chương trình có thể nhiễm vào các chương trình khác băng cách sửađổi các chương trình này Nếu các chương trình đã bị sửa đổi chứa virus được kíchhoạt thì nó sẽ tiếp tục lây nhiễm sang các chương trình khác Virus có khả năng lây lansang các chương trình mà nó tiếp xúc giống như virus sinh học Nó có thể thực hiện

mọi việc như một chương trình bình thường Khi đã lây nhiễm vào một chương trình,

virus sẽ tự động thực hiện khi chương trình này chạy Có nhiều con đường lây nhiễmvirus như: sao chép file, tải các phần mềm độc hại từ nguồn không tin cậy, qua các

email lừa đảo

Sâu (Worms) có khả năng lây nhiễm từ máy này sang máy khác mà không cần sự

trợ giúp của người dùng (khác với email virus) Khi sâu lây nhiễm vào một máy, nó sẽ

tan công lây nhiễm sang các máy khác Các sâu trên mang sử dụng các kết nối mang

dé lây lan từ may này sang máy khác và cách thức hoạt động của sâu tương tự virus.Một số phương pháp lây lan của sâu:

- Lay lan qua thư điện tử: sử dụng email để gửi ban copy của sâu đến các máy

khác.

- Lay lan thông qua khả năng thực thi từ xa: Sâu thực thi một ban copy của nó

nhờ lợi dụng các lỗ hong trên hệ điều hành, các dich vu hoặc phần mềm ứng

dụng.

- Lay lan qua đăng nhập từ xa: sâu đăng nhập vào hệ thống ở xa như một người

dùng và sử dụng lệnh copy bản thân từ máy này sang máy khác.

Trojan là một loại mã độc, thường giả danh các chương trình có ích nhằm lừangười dùng kích hoạt chúng Trojan thường sử dụng để thực thi gián tiếp các tác vụ màtác giả của chúng không thé thực hiện trực tiếp do không có quyền truy nhập Khi máytính bị nhiễm trojan thì cũng có thể lây sang máy tính khác Kẻ tan công sẽ biến máytinh này thành một Zombie, nghĩa là kẻ tan công có quyền điều khiển từ xa mà ngườidùng không biết Sau đó, kẻ tan công sử dụng máy tinh zombie này dé chiếm quyềnđiều khiển nhiều máy tính khác tạo thành mạng botnet, sử dụng cho cuộc tấn công từchối dịch vụ phân tán Trojan cũng có thê lây nhiễm vào điện thoại thông minh hoặcmáy tính bảng bằng cách sử dụng các phần mềm độc hại trên thiết bị di động

1.3.5 Fileless malware

Theo truyền thống, các phần mềm chống virus và bảo mật hệ thống tập trung vàocác tệp thực thi dé phát hiện và ngăn chặn các phần mềm độc hại Theo báo cáo (Báo

Trang 24

cáo chi số rủi ro doanh nghiệp HI 2018) cho thấy các cuộc tan công không dựa trênfile đã tăng 94% trong khoảng thời gian từ tháng 1 đến tháng 6 [7] Các cuộc tan côngPowershell đã tăng vọt từ 2.5 cuộc tấn công trên 1000 hệ thống vào cuối tháng 5 năm

2018 lên 5,2 cuộc tấn công trên 1000 hệ thống vào cuối tháng 6 năm 2018

Tan công phần mềm độc hại không dùng file là mã độc không yêu cầu sử dụng tệp

thực thi trên hệ thống file của endpoint Nó thường được đưa vào các tiến trình đang chạy và chỉ thực thi trên RAM Điều này khiến các phần mềm chống virus truyền thống không thé phát hiện do không có tệp dé quét.

Một số cách để chạy mã này trên thiết bị mà không sử dụng tệp thực thi Chúngthường sử dụng các tiến trình hệ thong có sẵn và được hệ điều hành tin cậy

- VBScript

- Jscript

- Batch files

- Powershell

- Windows Manager Instrumentation (WMI)

- Mshta và runddl32 (hoặc một số file có chữ ky của Windows khác có kha năng

chạy mã độc).

Dạng phổ biến nhất là kẻ tan công sử dụng các kỹ thuật xã hội khiến người dùng

mở các liên kết trong email lừa đảo hoặc trên các trang web lừa đảo Sau đó liên kết

hoặc trang web đó sẽ tải ứng dụng Flash và thực hiện một số hành động khai thắc dé

lay nhiém vao máy của nan nhân Sau đó, phần mềm độc hại sử dụng shellcode déchạy lệnh cho phép nó tải xuống và thực thi các payload trong bộ nhớ va sẽ không dé

lại dấu vét Tuy theo mục đích của kẻ tấn công, các phần mềm độc hại có thể xâmphạm vào dữ liệu nhạy cảm, gây hư hỏng cho máy tính nạn nhân hoặc thực hiện các

hành động có hại khác như đánh cắp và mã hoá dir liệu

Loại phần mềm độc hại này sử dụng các phần mềm hoặc tiến trình sẵn có trên hệ

điều của máy tính bị nhiễm Các phần mềm chống virus truyền thống không thể phát

hiện các hành vi của nó và không có mã hoặc chữ ký nhận đạng Ngoài ra, phần mềm

độc hại không nằm trong bộ nhớ của hệ thống Các phần mềm độc hại dùng tệp ở mức

độ nâng cao hơn có thể kết hợp với các phần mềm độc hại khác dé tạo điều kiện cho

kẻ tan công thực hiện tan công mạng phức tạp

1.3.6 Tan công brute-force

Brute-force attack là một tan công sử dụng phương pháp thử và sai dé bẻ khoá mật

khẩu, thông tin đăng nhập và các khoá mã hoá Đây là một tấn công đơn giản nhưng

đem lại hiệu quả cao dé có được quyền truy cập trái phép vào các tài khoản cá nhâncũng như hệ thống và mang của tổ chức Kẻ tan công thử nhiều lần tên người dùng và

Trang 25

mật khâu, thường sử dung máy tinh dé kiểm tra các t6 hợp khác nhau cho đến khi tìmthấy thông tin đăng nhập chính xác Cái tên “brute-force” xuất phát từ việc những kẻ

tấn công có gang giành quyền truy cập vảo tài khoản người dùng Tuy đây là một

phương pháp tan công cũ, nhưng tan công brute-force van là một cách thức tan công

phổ biến đối với tin tặc

Một số loại tan công brute-force:

Simple Brute Force Attack (Tan công vét cạn đơn giản): Loại tan công này xảy

ra khi kẻ tấn công cố gắng đăng nhập vào tài khoản người dùng mà không sử

dụng phần mềm nào Loại tan công nay thường thông qua việc kẻ tan công nhập

các tô hợp mật khẩu hoặc mã PIN Loại tan công này phô biến do người dùng thường đặt các mật khâu dé đoán và thông dụng như “123456”, “abc123” hay

liên quan tới các thông tin cá nhân như họ tên, ngày sinh

Dictionary Attack (Tan công từ điển): Kẻ tấn công sẽ xây dựng một danh sách

từ điển mật khâu và sau đó tấn công vào nạn nhân Kiểu tấn công này thườngtốn thời gian và tỉ lệ thành công thấp, kém hiệu quả hơn so với các phương

pháp mới hơn.

Hybrid Brute Force Attack (Tan công vét cạn hỗn hợp): Loại tan công nay xây

ra khi kẻ tan công kết hợp tan công từ điển và tấn công vét cạn đơn giản Điều

này xảy ra khi kẻ tấn công biết tên người dùng, sau đó thực hiện một cuộc tấn

công từ điển và tan công vét cạn đơn giản dé khám phá các tổ hợp mật khâu Kẻ

tấn công sẽ bắt đầu với một danh sách mật khâu có tiềm năng, sau đó thửnghiệm các tổ hợp ký tự, chữ cái để tìm ra kết quả chính xách Cách tiếp cận

này cho phép tin tặc phá được các mật khâu kết hợp từ các từ thông dụng với

số

Reverse Brute Force Attack (Tan công vét cạn đảo ngược): Loại tấn công này

xảy ra khi kẻ tan công biết mật khẩu trước (mật khâu được phát hiện thông quacác vi phạm mạng) Sau đó kẻ tấn công sẽ có danh sách hàng triệu tên người

dùng dé tìm thông tin đăng nhập chính xác Kẻ tan công cũng sử dụng mật khâu

yếu hay được sử dụng dé tìm kiếm thông tin đăng nhập trùng khớp trong cơ sở

dữ liệu người dùng.

Credential Stuffing (Chèn thông tin xác thực): Loại tan công này thường nhắmvào những mật khẩu yếu Kẻ tan công thu thập được các tô hợp tên người ding

và mật khẩu mà chúng đã đánh cắp, sau đó chúng kiểm tra trên các nơi đăng

nhập khác xem liệu có sử dụng được cho các nơi khác hay không Ví dụ chúng

ta sử dụng một mật khâu hoặc tài khoản cho rất nhiều mạng xã hội khác nhau(do thói quen người dùng đặt để tiện và tránh quên), điều này vô tình giúp kẻ tan công có thé sử dụng và đánh cắp được thông tin của chúng ta trên nhiều nền tảng khác nhau.

Trang 26

1.4 Kết chương 1

Chương | cũng đã trình bày về bối cảnh an toàn thông tin hiện nay, thách thức mà

con người phải đối mặt khi khoa học kỹ thuật phát triển, thực trạng mất an toàn thông

tin, các cuộc tan công mạng đang ngày càng gia tăng dưới nhiều hình thức Bên cạnh

đó cũng trình bày các khái niệm về hệ thống phát hiện xâm nhập IDS và hệ thống ngăn

chặn xâm nhập IPS, phân loại của từng hệ thống, nêu ra ưu điểm và nhược điểm của

từng loại hệ thống Ngoài ra, chương này cũng đề cập đến các mối de doa phổ biến

hiện nay như sâu, virus, trojan, ransomware, tấn công từ chối dịch vụ, tấn công vét cạn

hay tan công mã độc không sử dung file (fileless malware), giúp người dùng có thénăm được các kiến thức về các mối đe doạ này, cách thức mà chúng hoạt động, tác hạicủa chúng, từ đó có những biện pháp phù hợp để phòng chống Ở chương 2 sẽ trìnhbày về các hệ thống phát hiện xâm nhập dựa trên host (HIDS), đặc biệt là hai hệ thống

mã nguồn mở Wazuh và Samhain

Trang 27

Đồ án tốt nghiệp đại học Chương 2: Giới thiệu các hệ thống phát hiện xâm nhập

CHƯƠNG 2 GIỚI THIỆU CÁC HỆ THÓNG PHÁT HIỆN XÂM NHẬP

DỰA TRÊN HOST2.1 Giới thiệu chung

Hệ thong phát hiện xâm nhập dựa trên host (HIDS) là một hệ thong phát hiện xâm

nhập được cài trên các endpoint để thu thập các log do các thiết bị này sinh ra nhằm

mục đích phát hiện ra các hành vi bat thuong trén hé thong Dữ liệu mà các công cu

HIDS thu thập có thể phân tích bao gồm nhật ký xác thực (ví dụ các nhật ký ghi lại sự

kiện đăng nhập), ngoài ra còn một số loại đữ liệu khác như nhật ký ứng dụng

(application logs) hoặc nhật ký hệ điều hành (syslog) để phát hiện ra các hành vi bấtthường Khi phát hiện ra hành vi bất thường, HIDS sẽ tạo ra cảnh báo để người quảntrị có thê đưa ra các biện pháp phản ứng và ngăn chặn

Các phương pháp phát hiện mà HIDS sử dụng bao gồm phát hiện xâm nhập dựatrên chữ ký và phát hiện xâm nhập dựa trên bất thường Phát hiện xâm nhập dựa trên

chữ ký là hình thức phát hiện bang việc so sánh các mẫu hoặc chữ ký của các cuộc tan

công đã biết với các hoạt động hiện tại trên hệ thong và đưa ra cảnh báo nếu khớp.Phát hiện xâm nhập dựa trên sự bất thường là một hình thức mới của phát hiện xâmnhập, hình thức phát hiện xâm nhập này dựa vào việc quan sát các sự cố mạng và nhậnbiết các bất thường thông qua chân đoán và thống kê

Hiện nay trên thị trường có rất nhiều HIDS mà các doanh nghiệp va người dùng có

thé lựa chọn bao gồm các HIDS thương mại và các HIDS mã nguồn mở Một số HIDS

thương mại nổi tiếng có thé ké đến hiện nay như Tripwire Enterprise, AlienVault,

McAfee, Symantec Endpoint Protection Tuy nhiên, việc trả phí để sử dụng các bảnthương mại này là một khoản tiền không hề nhỏ đối với các doanh nghiệp và ngườidùng Dé tiết kiệm chi phí, các doanh nghiệp và người dùng thường hướng tới các

HIDS mã nguồn mở và đem lại hiệu quả tốt Một số HIDS mã nguồn mở hiện nay có

thé ké đến như Wazuh, Samhain, Security Onion, OSSEC Trong pham vi đồ án này

sẽ sử dụng hai HIDS phổ biến được nhiều người dùng và các doanh nghiệp sử dụng

hiện nay là Wazuh và Samhain dé đánh giá hiệu quả sử dụng của chúng Phan tiếp theotrong đồ án này sẽ giới thiệu tổng quan, kiến trúc, tạo luật về hai hệ thống phát hiện là

Wazuh va Samhain.

2.2 Wazuh

2.2.1 Tổng quan về Wazuh

Được ra đời vào năm 2015, Wazuh nhanh chóng trở thành giải pháp hàng đầu cho

nhiều doanh nghiệp Wazuh là một nền tảng bảo mật miễn phí và mã nguồn mở, nó kếthợp kha năng của XDR (Extended Detection and Response — Hệ thống phát hiện vàphản hồi mở rộng) va SIEM (Security Information and Event Management — Hệ thống

quản lý sự kiện và thông tin bảo mật) Wazuh bảo vệ một khối lượng công việc lớn

trên môi trường tại chỗ (on-premise), môi trường ảo hoá và môi trường dựa trên cloud.

Trang 28

Đồ án tốt nghiệp đại học Chương 2: Giới thiệu các hệ thông phát hiện xâm nhập

Nó giúp các tô chức và cá nhân bảo vệ các tài sản dữ liệu của mình trước các môi đe doa bao mật từ bên ngoài Do Wazuh là một nên tang mã nguôn mở miên phí nên nó được sử dụng rât rộng rãi từ doanh nghiệp nhỏ đên các doanh nghiệp lớn [8]

Wazuh là một nền tảng giúp cung cấp các tính năng của XDR và SIEM giúp bảo vệcloud, các máy chủ hay các máy tính Nó bao gồm các chức năng như phân tích log đữ

liệu, phát hiện xâm nhâp, phát hiện malware, giám sát sự toàn vẹn file, đánh giá cấuhình hệ thống, phát hiện các lỗ hồng và hỗ trợ trong việc tuân thủ các quy định

Giải pháp chính của Wazuh là dựa trên Wazuh agent, được xây dựng để giám sátcác endpoint và trên 3 thành phần trung tâm là Wazuh server, Wazuh indexer và Wazuh

dashboard.

Endpoint security agent Central components

©————€—Q_ Agent connectionservice —© ox Threat intelligence

Agent modules Agent daemon aS 2-0 Ag Analysis engine 9

Decoding and rule matching

Data encryption O—O Agent enrollment service

Correlation and enrichment

Reports engine Long term storage ‘Agent monitoring

Hình 2.1 Các thành phan của Wazuh và luong đữ liệu

Wazuh indexer: (bộ chỉ mục) là một công cụ phân tích và tìm kiếm văn bản có khảnăng mở rộng cao Thành phần trung tâm này lập chỉ mục và lưu trữ các cảnh báo doWazuh server tạo ra, đồng thời cung cấp khả năng phân tích và tìm kiếm dữ liệu theothời gian thực Wazuh indexer được cấu hình dưới dạng cụm một nút hay nhiều nút,cung cấp khả năng mở rộng và tính sẵn sàng cao

Wazuh indexer lưu trữ dir liệu dưới dạng JSON Mỗi dữ liệu tương quan với một

tập hợp khoá, tên trường hoặc thuộc tính với các giá tri tương ứng có thé là chuỗi, số,

kiểu boolean, ngày thang, mảng giá tri, vi tri địa lý hoặc các kiểu đữ liệu khác

Mỗi chỉ mục là một tập hợp các dữ liệu liên quan với nhau Các dữ liệu được lưu

trữ trong bộ chỉ mục của Wazuh và được phân phối trên các vùng chứa khác nhauđược gọi là phân đoạn Việc phân đoạn sẽ giúp hệ thống thoát khỏi lỗi phần cứng vàtăng khả năng truy vấn

Trang 29

Wazuh sử dụng bốn chỉ mục khác nhau để lưu trữ các loại dữ liệu khác nhau:

Bang 2.2 Các chỉ mục trong Wazuh

Tên chỉ mục Mô tả

wazuh-alerts Lưu trữ các cảnh báo được tạo bởi Wazuh server Chúng được

tạo ra mỗi khi sự kiện vượt qua các luật có mức độ ưu tiên đủ

cao.

wazuh-archives | Lưu trữ tất cả các sự kiện và dữ liệu nhận được từ Wazuh

server cho du chúng có vi phạm luật hay không.

wazuh-monitoring | Lưu trữ dit liệu liên quan đến Wazuh agent theo thời gian Nó

được giao diện web sử dụng dé hién thi các agent độc lap dang

hoặc đã hoạt động, ngắt kết nối hoặc không bao giờ kết nối.

wazuh-statistics | Lưu trữ dit liệu liên quan đến hiệu năng của Wazuh server Nó

sử dụng bởi giao diện web để hiện thị các thống kê về hiệu

năng

Bộ lập chỉ mục Wazuh rất phù hợp cho việc phân tích bảo mật và giám sát cơ sở hạtầng vì đây là nền tảng tìm kiếm theo thời gian thực Độ trễ từ khi lập chỉ mục cho tớikhi tìm kiếm thường rất ngăn, chỉ khoảng một giây Ngoài ra, bộ lập chỉ mục Wazuhgiúp tìm kiếm và lưu trữ dữ liệu hiệu quả hơn như cuộn dir liệu, cảnh bao, phát hiện va

quản lý vòng đời chỉ mục.

2.2.1.1 Wazuh server

Wazuh server phân tích dữ liệu nhận được từ agent va đưa ra cảnh bao nếu phát

hiện mối đe doạ hoặc hành vi bất thường Nó xử lý thông qua bộ giải mã và các luật,

sử dụng thông tin về các mỗi đe doa để tìm kiếm các chỉ số từ sự thoả hiệp IoC(Indicators of Compromise) Một server đơn lẻ có thể phân tích dữ liệu từ hàng trămhoặc hàng ngàn agent và được chia tỉ lệ theo chiều ngang khi được sắp xếp thành cụm.Thành phần trung tâm này được sử dụng để quản lý các agent, câu hình và nâng cấpcác agent từ xa khi cần thiết

Wazuh server sử dụng các nguồn thông tin về mối đe doạ để cải thiện khả năng

phát hiện Nó sử dung đữ liệu cảnh báo từ MITRE ATTACK framework va các yêu

cầu tuân thủ quy định như PCI-DSS, GDPR, CIS, NIST 800-53, Ngoai ra, nó cũng

sử dụng thêm các hệ thống bên ngoài như hệ thống ServiceNow, Jira và PagerDuty

Kiến trúc của Wazuh server: Wazuh server sử dụng công cụ phân tích, API Restful

Wazuh, dịch vụ đăng ký máy khách, dịch vụ kết nối máy khách, Wazuh Cluster

Daemon và Filebeat Wazuh server được cài trên hệ điều hành Linux và thường chạy

Trang 30

trên máy vật lý, máy ảo, docker hoặc cloud Hình ảnh dưới đây mô tả kiên trúc của Wazuh server và các thành phân của nó:

R Threat intelligence | MITRE ATT&CK R Vulnerability detection ee

status

IP reputation Threat modeling CVE database API service

File hashes Adversary techniques Inventory correlatio

Correlation Security alerts -Ÿ

Analysis engine s

Enrichment Raw data events Filebeat 7

Master or worker

Agent connection service

PCIDSS, HIPAA File state databases Third-party API node

NIST 800-53, GPG 13 System invetory databases Ticketing systems Cluster service

B Regulatory compliance R State of the endpoint B Integration daemon

Hình 2.2 Kiên trúc của Wazuh server

Wazuh server gồm một số thành phần sau: đăng ký agent mới, dịch vụ kết nối tới

các agent, các công cụ phân tích, API Wazuh Restful, Wazuh cluster daemon, Filebeat.

- Pang ky agent mới: cung cấp và phân phối các khoá xác thực duy nhất cho mỗi

agent.

- Dich vụ kết nối tới các agent: Sử dụng các khoá được chia sẻ bởi dịch vụ đăng

ký để xác thực danh tính các agent và mã hoá thông tin liên lạc giữa Wazuh

agent và Wazuh server, ngoài ra còn cho phép cài dat agent từ xa.

- _ Công cụ phân tích: Thực hiện phân tích dữ liệu, thực hiện giải mã để xác định

loại thông tin dang được xử lý (các sự kiện Windows, SSH logs, web server

logs ) Các bộ giải mã thực hiện trích xuất các thông tin như địa chỉ IP, ID của

sự kiện, username Sau đó sử dụng các luật, xác định các mẫu cụ thể trong sựkiện được giải mã dé kích hoạt cảnh báo

- API Restful: Cung cấp giao diện để tương tác với cơ sở hạ tầng Wazuh Nó

được sử dụng để quản lý cai đặt của agent va server, theo dõi trạng thai cơ sở hạtầng và chỉnh sửa bộ giải mã và luật của Wazuh cũng như truy vấn về trạng thái

của các endpoint được giảm sát.

- Wazuh cluster daemon: Mở rộng quy mô Wazuh server theo chiều ngang, triển

khai dưới dạng cụm và kết hợp với bộ cân bằng tải mạng giúp đem lại tính khảdụng và cân bằng tải cao

- Filebeat: Gửi các sự kiện và gửi cảnh báo đến bộ lập chỉ mục của Wazuh

2.2.1.2 Wazuh dashboard

Trang 31

Wazuh dashboard là một giao điện web giúp trực quan hoá và biểu diễn dit liệu trởnên dễ dàng hơn Nó bao gồm các bảng thông tin dùng ngay cho các sự kiện bảo mật,

tuân thủ quy định (vi dụ PCI-DSS, GDPR, CIS, NIST 800-53 ), phát hiện ra những

lỗ hồng trong ứng dụng, giám sát tính toàn vẹn của file, kết quả đánh giá cấu hình,giám sát các sự kiện trên hạ tầng cloud Nó được sử dụng dé quản lý cau hình Wazuh

và giám sát các trạng thái Ngoài ra nó còn cung cấp các tính năng kiểm soát truy cậpdựa trên vai trò (RBAC — Role-based access control) va đăng nhập một lần SSO

(Single sign-on).

Trực quan hoá và phân tích đữ liệu: Giao diện web giúp người dùng điều hướngqua các loại dữ liệu khác nhau do Wazuh agent thu thập, cũng như các cảnh báo domáy chủ Wazuh tạo ra Người dùng cũng có thé tạo báo cáo, tạo bảng điều khiển vatrực quan hoá các tuỳ chỉnh.

= Ê wazuh ~ | Modules @\«

Total agents Active agents Disconnected agents Pending agents Never connected agents

SECURITY INFORMATION MANAGEMENT AUDITING AND POLICY MONITORING

so Security events =] Integrity monitoring 41 Policy monitoring ee System auditing

Browse through your security Alerts related to file changes, Verify that your systems are Audit users behavior, alerts, identifying issues and including permissions, content configured according to your monitoring command execution

threats in your environment ownership and attributes security policies baseline and alerting on access to

Hinh 2.3 Wazuh dashboard

Giám sát và cau hình agent: Wazuh dashboard cho phép người dùng quan ly cấu hình

và giám sát các trạng thái của agent.

Trang 32

002 vuthanhtu_b 19dcat165s_agent_window 192.168.126.136 default a Microsoft Windows 10 Pro 10.0.19045.2965 node01 v4.5.4 @ disconnected @® bà

004 'windows10_agentt 192.168.126.144 default a Microsoft Windows 10 Pro 10.0.19045.2965 node01 v4.5.4 @ disconnected ® g&

Hình 2.4 Giám sát và cấu hình agent trên Wazuh dashboard

Quản lý nền tảng: Wazuh dashboard cung cấp một giao diện người dùng dành riêngcho việc quản lý triển khai của người dùng, cho phép theo dõi trạng thái, nhật ký vàthống kê của các thành phần khác nhau của Wazuh Nó bao gồm cấu hình của Wazuhserver, việc tạo các luật và bộ giải mã cho việc phân tích và phát hiện mối de doa

Manage your Wazuh cluster configuration.

Hình 2.5 Quản lý nên tảng trên Wazuh dashboard

Công cụ phát triển: Wazuh dashboard bao gồm bộ công cụ kiểm tra luật cho phép xử

ly log dé kiểm tra xem nó giải mã như nao và nó có khớp với luật phát hiện mối đe doa

Trang 33

hay không Tính năng này hữu ích cho việc người dùng kiểm tra luật và bộ giải mã dongười dùng viết ra có hoạt động hay không

= QO wazuh ~ ieee

Ruleset Test

Feb 18 17.012 1

Hình 2.6 Công cụ phát triển trên Wazuh dashboard

Wazuh dashboard cũng bao gồm một API Console cho phép người dùng tương tác với

Wazuh API, được sử dụng để quản lý việc triển khai Wazuh (quản lý cấu hình serverhoặc agent, giám sát trạng thái và thông báo nhật ký, thêm hoặc xoá các Wazuh agent.

= QO wazuh ~ ‘iene nóc jexpattern — wazuh-alerte ¬

Wazuh agent: được cai đặt trên các endpoint như laptop, desktop, server, cloud

instances và máy ảo Chúng cung cấp khả năng ngăn chặn, phát hiện và phản hồi với

Trang 34

các mối de doa Chúng chạy trên các hệ điều hành như Linux, Windows, MacOS,Solaris, HP-UX và AIX Nó được sử dụng dé thu thập các loại dữ liệu ứng dụng, dữliệu hệ thống khác nhau sau đó chuyền tiếp đến Wazuh server thông qua một kênh

được mã hoá và xác thực.

Wazuh agent có kiến trúc module Mỗi thành phần làm một nhiệm vụ riêng baogồm giám sát hệ thống, đọc thông báo log, thu thập dữ liệu kiểm kê, quét cấu hình hệthống và kiểm tra các phần mềm độc hại

Log messages

Log collector System inventory Container security monitoring Windows events œ

Bash

Applications installed Docker Engine API

Command execution Running processes Container runtime monitoring

PowerShell

File integrity monitoring Agent daemon

Secure and authenticated

Audit data w Data flow contro

Security configuration assessment

Hình 2.8 Kiến trúc Wazuh agent

Các module của Wazuh agent:

- Bộ thu thập log (Log collector): Thu thập các thông báo, sự kiện của hệ điều

hành Bộ thu thập log cũng hỗ trợ bộ lọc Xpath cho các sự kiện của Windows

và nhận dạng các định dạng nhiều dong cua Linux Audit logs Nó cũng có thé

bé sung thêm các sự kiện JSON bằng siêu dữ liệu bố sung

- - Thực thi lệnh (Command Excution): Agent được chạy các lệnh định ki và thu

thập đầu ra của các lệnh và báo cáo cho Wazuh server dé phân tích thêm

- _ Giám sát tính toàn vẹn của file (File Integrity Monitoring): Giám sát hệ thống

file, báo cáo khi file được tạo, xoá, sửa đổi Nó theo dõi sự thay đổi về thuộc

tính, quyền, quyền sở hữu và nội dung của tệp Ngoài ra, module FIM còn duytrì cơ sở dữ liệu về trạng thái của các file được giám sát

- Đánh giá câu hình bảo mật (Security Configuration Assessment): Cung cấp

đánh giá cấu hình liên tục, sử dụng các bước kiểm tra sẵn dùng dựa trên tiêu

chuẩn của Trung tâm Bao mật Internet Người dùng cũng có thé tự tạo các kiểmtra SCA của mình để theo dõi và thực thi các chính sách bảo mật dành riêng cho

hệ thong của mình

Trang 35

- _ Kiểm kê hệ thống (System Inventory): Thực hiện quét định ky, thu thập dữ liệu

kiểm kê như phiên bản hệ điều hành, giao diện mạng, tiến trình đang chạy, ứngdụng đã cài đặt và các công đang mở Kết quả kiểm kê được lưu trữ trong cơ sởdir liệu SQLite va có thé được truy cập từ xa

- Phat hiện phần mềm độc hại (Malware Detection): Sử dụng phương pháp không

dựa trên chữ ký, thành phan này có khả năng phát hiện các điểm bat thường vàrootkit Ngoài ra nó có thé tìm các tiến trình ân, tệp ấn và cổng ẩn trong khigiám sát các cuộc gọi hệ thống

- Phan hồi tích cực (Active Response): Module này chạy các hành động tự động

khi phát hiện các mối đe doạ, kích hoạt phản hồi để chặn kết nối mạng, dừng

quá trình chạy hoặc xoá tệp độc hại.

- Giám sát bảo mật cloud (Cloud Security Monitoring): Giám sát các nhà cung

cấp cloud như Amazon AWS, Microsoft Azure, phát hiện các thay đôi trên cơ sở

hạ thằng cloud (người dùng mới được tạo, nhóm bảo mật bị sửa đôi hay các

dịch vụ bị dừng hoạt động ) và có khả năng thu thập dữ liệu nhật ký dam mây (AWS CloudTrail, AWS Macie, Azure Active Directory).

Ngoài kha năng giám sát dựa trên agent, Wazuh còn thực hiện giám sát không duatrên tác nhân như switch, router, firewall, NIDS Vi dụ như nhật ký hệ thống syslog

và câu hình của nó có thé theo dõi thông qua việc theo dõi dữ liệu định kỳ qua SSHhoặc API.

2.2.2 Kiến trúc

Kiến trúc của Wazuh dựa trên agent, chạy trên các endpoint dùng để giám sát và

sau đó chuyên tiếp các đữ liệu bảo mật đến máy chủ trung tâm Các thiết bị không dựa

trên agent như tường lửa, switch, router và các điểm truy cập được hỗ trợ có thé gửi dit

liệu một cách chủ động thông qua SSH, Syslog hoặc sử dung API của chúng Cac máy

chủ trung tâm sẽ giải mã và phân tích các thông tin được chuyển đến và chuyên kếtquả đến bộ chỉ mục của Wazuh dé lập chỉ mục và lưu trữ

Một cụm bộ lập chỉ mục Wazuh làm một tập hợp của một hay nhiều node có thé

kết nối với các node khác và thực hiện các thao tác đọc ghi trên chỉ mục Việc triển

khai Wazuh nhỏ, không yêu cầu xử lý lượng lớn dit liệu, có thé dé dang xử lý bởi cum

nút đơn Nên sử dụng nhiều cụm nút khi có nhiều endpoint được giám sát khi mà cần

xử lý một lượng lớn dữ liệu và yêu cầu tính sẵn sàng cao Sơ đồ sau đây thể hiện kiếntrúc của Wazuh:

Trang 36

Endpoints Wazuh central components

và kiểm tra các tập luật từ các sự kiện đã nhận được sử dụng công cụ phân tích Các sựkiện vi phạm luật sẽ được tăng cường bang dữ liệu cảnh báo như ID và tên của luật

Các sự kiện có thé được lưu vào hai file sau:

- /var/ossec/logs/archives/archives.json là file chứa tat cả các sự kiện kế cả có vi

phạm luật hay không.

- _var/ossec/logs/alerts/alerts.json là file chỉ chữa các sự kiện vi phạm luật với độ

ưu tiên đủ cao.

Giao thức tin nhắn của Wazuh sử dụng mã hoá AES-128 và sử dụng khoá 256 bit

Đối với kết nối giữa Wazuh server và bộ chỉ mục của Wazuh, Wazuh server sẽ sửdụng Filebeat dé gửi cảnh báo va dữ liệu sự kiện tới bộ chỉ mục của Wazuh, sử dụng

mã hoá TLS Filebeat sẽ đọc dữ liệu đầu ra từ Wazuh server và gửi nó tới bộ lập chỉmục Wazuh trên công 9200/TCP Ngay khi dữ liệu được đánh chỉ mục bởi bộ lập chỉmục, Wazuh dashboard sẽ sử dụng chúng dé trực quan hoá thông tin

Wazuh dashboard sẽ truy vấn Wazuh Restful API (mặc định cổng 55000/TCP) dé

hién thị cau hình và trạng thái có liên quan tới Wazuh server và agent Nó có thể chỉnh

sửa cấu hình của agent và server thông qua việc gọi API Việc kết nối sẽ được mã hoábang TLS và xác thực qua tài khoản và mật khẩu

Trang 37

Một số công được Wazuh sử dụng được đề cập trong bảng 2.2:

Bảng 2.3 Danh sách các cổng được Wazuh sử dụng

Thành phần Công Giao thức Mục đích

Wazuh server 1514 TCP/UDP Dịch vụ kết nỗi Agent

1515 TCP Dich vu dang ky Agent

1516 TCP Wazuh cluster daemon

514 TCP/UDP B6 thu thap Syslog

55000 TCP Wazuh server Resful

Cả dữ liệu cảnh bao và không cảnh báo được lưu trữ trong một file ở trên Wazuh

Server ngoài việc gửi đến bộ lập chỉ mục Các file này có thể được lưu trữ ở định dạngJSON (.json) hoặc ở dang văn bản (.log) Các file này sẽ được nén và ký lên đó hằng

ngày sử dụng MD5, SHA1 và SHA256.

2.2.3 Tạo luật

Phân tích đữ liệu log là quá trình đánh giá log được tạo ra bởi các thiết bị mạng,endpoint va ứng dụng dé có thé thay được tinh trang hién tai cua một cơ hở ha tangcông nghệ thong tin Tinh trạng của một co sở ha tang bao gồm rất nhiều mục, bao

gồm phát hiện mối đe doạ, giám sát hiệu năng hệ thống, khắc phục lỗi hệ thống, kiểm

toán tuân thủ chính sách, phát hiện các hành vi bất thường Việc phân tích dtr liệu log

bao gồm 3 giai đoạn:

- _ Tiền giải mã (Pre-Decoder): Ở giai đoạn tiền giải mã, công cụ phân tích log sẽ

trích xuất các thông tin như thời gian, tên hệ thống, tên chương trình từ phần

mở đầu của log

- _ Giải mã (Decoder): Công cụ phân tích log sẽ tìm log phù hợp với nhật ky mau.

- _ Khớp luật (Rule-Matching): Công cụ sẽ so sánh log thu được với luật va sẽ đưa

ra cảnh báo nếu khớp luật có mức độ lớn hơn 2 và sẽ hiển thị cảnh báo trênWazuh dashboard.

Người dùng có thé chỉnh sửa lại luật theo mục dich dé tăng kha năng phat hiện, các

phân tiép theo trong mục này sẽ trình bay về cú pháp của bộ giải mã và luật, phân loại

luật theo mức độ và cách tuỳ chỉnh luật và bộ giải mã.

Trang 38

2.2.3.1 Tu) chính luật và bộ giải mã

Tuy chỉnh tập luật và bộ giải mã của Wazuh giúp tang kha năng phát hiện Người

dùng có thê sửa những tập luật và bộ giải mã được định nghĩa san của Wazuh hoặc có

thê viet luật và bộ giải mã mới.

Để viết một bộ giải mã và luật mới, người dùng sẽ viết trong file local_rules.xml và localdecoderxml ( hai file này nằm nam _trong thư mục /var/ossec/etc/rules và thư mục /var/ossec/etc/decoders) và id nên nằm trong khoảng

100000 đến 120000

Sửa đổi luật được định nghĩa trước: Người dùng có thể thay đổi luật được định

nghĩa trước băng cách thêm thuộc tính overwrife= ”yes ”

</rule>

Sua đôi bộ giải mã được định nghĩa trước: Người dùng sé việt bộ giải mã mới va loại bỏ bộ giải mã gôc.

2.2.3.2 Phân loại luật

Luật được phân loại theo nhiều mức độ, từ thấp nhất (mức 0) đến cao nhất (mức

16).

Bang 2.4 Phan loại luật trong Wazuh

Mức Tiêu đề Mô tả

0 lgnored Không có hành động nào được thực hiện.

(Bỏ qua) Mức này được sử dụng dé tránh dương tính

giả Các luật ở mức này sẽ được quét trước tât cả những luật khác Bao gôm các sự kiện không liên quan đến bảo mật.

2 System low Bao gôm các thông báo hệ thông hoặc thông

priority notification điệp trang thái Bao gồm các sự kiện không

(Thông báo hệ thống có ưu tiên | liên quan đến bảo mật

thấp)

3 Successful/Authorized Events Cac sự kiện như đăng nhập thành công, cho

(Xác thực thành công) phép tường lửa

4 System low priority error Các lỗi liên quan đến câu hình sai hoặc các

(Lỗi hệ thống có mức ưu tiên | thiết bị, ứng dụng không sử dụng Những sự

thấp) kiện này không liên quan đến bảo mật và

thường xuyên gây ra bởi việc cải đặt hoặc

Trang 39

kiêm thử phân mềm

5 User generated error Bao gom các sự kiện như sai mật khẩu, từ

(Lỗi do người dùng) chối hành động nào đó và không liên quan

đến bảo mật

6 Low relevance attack Các sự kiện này chỉ ra có sâu hay virus

(Tấn công có mức độ liên quan | nhưng không ảnh hưởng tới hệ thống Chúng

thấp) cũng bao gồm các sự kiện IDS và các lỗi

thường xuyên.

7 “Bad word” matching Bao gồm các từ như “bad”, “error” Các sự

(Khớp từ) kiện này thường không được phân loại và có

liên quan đến bảo mật.

8 First time seen Bao gôm các sự kiện lần đầu được nhìn thấy

(Lần đần nhìn thấy) (ví dụ lần đầu tiên người dùng đăng nhập)

Bao gồm các sự kiện liên quan tới bảo mật(ví dụ bắt đầu bắt gói tin)

9 Error from Invalid source Bao gồm các nỗ lực đăng nhập từ người

(Lỗi từ nguồn không xác định) dùng không xác định hoặc nguồn không xác

định.

Có thé liên quan đến sự kiện bảo mật (nếu

lặp lại nhiều lần) và bao gồm các lỗi liên

quan tới tài khoản quản trị.

10 | Multple user generate errors Bao gom các sự kiện như đăng nhập sai

(Lỗi từ người dùng) nhiều lần, điều này chỉ ra một cuộc tấn công

hoặc người dùng quên thông tin đăng nhập của mình

11 Integrity check warning Bao gôm các thông báo liên quan đến việc

(Cảnh báo kiểm tra tính toàn | sửa đổi các tệp nhị phân hoặc sự hiện diện

vẹn) cua rootkit.

Có thé chỉ ra một cuộc tan công thành công,

các sự kiện bị IDS bỏ qua với số lần lặp lại

cao

12 | High important event Bao gồm các lỗi hoặc cảnh báo từ hệ thống,

(Sự kiện có độ quan trọng cao) | nhân Chi ra một cuộc tan công lên một ứng

dụng cụ thể

13 | Unusual error (high importance) | Hau hết các lân đều khớp với một kiểu tan

(Lỗi bất thường có tầm quan | công phổ biến

Trang 40

2.2.3.3 Cú pháp bộ giải mã

Chương 2: Giới thiệu các hệ thống phát hiện xâm nhập

Bộ giải mã trích xuất thông tin từ sự kiện nhận được Khi một sự kiện được nhận,

bộ giải mã phân chia thông tin thành các khôi đê chuân bị cho giai đoạn phân tích.

Dưới đây là các lựa chọn đê câu hình bộ giải mã:

Bang 2.5 Cú pháp bộ giải mã Wazuh

Lựa chọn Gia tri M6 ta

decoder Tên của bộ giải mã Thuộc tính này định nghĩa một bộ giải mã parent Tên của bộ giải mã Tham chiêu đên bộ giải mã cha và bộ giải

mã hiện tại sẽ trở thành bộ giải mã con accumulate Cho phép theo dõi các sự kiện thông qua

thông điệp nhật ký

program_ nam

e

Biéu thức chính quy

(regex, sregex, pcre2)

Thiết lập tên chương trình như một điêukiện để áp dụng bộ giải mã Tiêu đề logphải chứa tên chương trình khớp với biéu

thức chính quy

prematch Biéu thức chính quy Thiết lập biêu thức chính quy như một

(regex, pcre2) điều kiện dé áp dụng bộ giải mã Log phải

khớp với biểu thức chính quyregex Biêu thức chính quy Bộ giải mã sẽ sử dụng lựa chọn này đê

(regex, pcre2) tìm kiếm các trường và trích xuất chúng

order Các giá trị mà biêu thức chính quy sẽ trích

xuất được lưu trong các nhóm này

fts Lan dau tién nhin thay (first time seen)

fts comment String Thêm comment cho thẻ fts

var Tén cua bién Định nghĩa một biến có thê sử dung trong

cùng một file

khớp

2.2.3.4 Cú pháp luật

Tập luật của Wazuh kết hợp với bat kỳ luật tuỳ chỉnh nào được sử dung dé phân

tích các sự kiện sắp xảy ra và tạo cảnh báo Tập luật của Wazuh đang ngày càng được

mở rộng giúp tăng khả năng phát hiện Các nhãn XML được sử dụng để cấu hình luật:

Bang 2.6 Cu pháp luật Wazuh

Lựa chọn Gia tri M6 ta

rule Định nghĩa một luật

match Biêu thức chính quy Tìm kiêm kêt quả khớp trong log

Định dạng
Số trang	81
Dung lượng	27,18 MB

Tiêu đề	Đánh giá hiệu quả của các hệ thống phát hiện xâm nhập dựa trên host trong việc bảo vệ hệ thống
Tác giả	Vũ Thanh Tú
Người hướng dẫn	TS. Dinh Trường Duy
Trường học	Học viện Công nghệ Bưu chính Viễn thông
Thể loại	Đồ án tốt nghiệp đại học
Năm xuất bản	2024
Thành phố	Hà Nội