ĐỎ AN TOT NGHIỆPDANH MỤC TU VIET TAT Từ viết tắt Tiếng Anh Tiếng Việt ACF Applied Collection Framework Khung thu thập ứng dụng Hệ thống phát hiện xâm nhậ HIDS Host Intrusion Detection Sy
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIÊN THÔNG
KHOA AN TOAN THONG TIN
1
DE TÀI: NGHIÊN CỨU VÀ TRIEN KHAI HỆ THONG GIÁM
SÁT AN TOÀN MẠNG VỚI SECURITY ONION
Giảng viên hướng dẫn ThS Ninh Thị Thu Trang
Sinh viên thực hiện Phạm Khánh Hưng
Mã sinh viên B19DCAT096
D19CQAT04-B 2019-2024
Dai hoc chinh quy
Hà Nội, thang I năm 2024
Trang 2ĐÔ ÁN TOT NGHIỆP
LỜI CAM ĐOAN
Tôi xin cam đoan rằng đồ án tốt nghiệp “Nghiên cứu và triển khai hệ thốnggiám sát an toàn mang với Security Onion” là công trình nghiên cứu của ban thânmình Những phần có sử dụng tài liệu tham khảo có trong đồ án đã được liệt kê và nêu
rõ tại phan tài liệu tham khảo Đồng thời những số liệu hay kết quả trình bày trong đồ
án đều mang tính chất trung thực, không sao chép, đạo nhái
Nêu như sai, tôi xin chịu hoàn toàn trách nhiệm và chịu tat cả các ky luật của khoa cũng như nhà trường đê ra.
Hà Nội, tháng 1 năm 2024
Phạm Khánh Hưng
PHAM KHÁNH HUNG-B19DCAT096 i
Trang 3ĐỎ AN TOT NGHIỆP
LỜI CẢM ƠN
Trên thực tế không có sự thành công nào mà không gan liền với những sự hỗ
trợ và giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác Trong suốt
thời gian từ khi bắt đầu học tập ở giảng đường đại học đến nay, em đã nhận được rất
nhiều sự quan tâm, giúp đỡ của quý thầy cô và bạn bè
Với lòng biết ơn sâu sắc nhất, em xin gửi đến quý thầy cô khoa An toàn thôngtin - Học Viện Công Nghệ Bưu Chính Viễn Thông đã cùng với tri thức và tâm huyếtcủa mình dé truyền đạt vốn kiến thức quý báu cho em trong suốt thời gian học tập tại
trường.
Đề hoàn thành đồ án này, em xin chân thành cảm ơn Cô ThS Ninh Thị Thu
Trang là người đã tận tình giúp đỡ em hoàn thành đề tài đồ án này Cô là một cô giáorất nhiệt tình và tuyệt vời
Bước đầu đi vào thực tế, tìm hiểu về lĩnh vực sáng tạo trong nghiên cứu khoahọc, kiến thức của em còn hạn chế và bỡ ngỡ Do vậy không tránh khỏi những thiếusót là điều chắc chắn, em rất mong nhận được những đóng góp quý báu của thầy cô và
các bạn đề kiến thức của em trong lĩnh vực này ngày càng hoàn thiện hơn
Một lân nữa em xin chân thành cảm on thay cô và các bạn!
Hà Nội, thang 1 năm 2024
Phạm Khánh Hưng
PHAM KHÁNH HUNG-B19DCAT096 il
Trang 4DANH MỤC TU VIET TẮTT 2: 5+2++2ES+2EE+22EE+2EE122211273122212211221 211211 ix
1.2.1 Thu thap an no 5
1.2.2 Phát hiện xâm nhập - - c2 3221132111391 1311 1111118511111 1 11111 xrE 9 1.2.3 Phan tích dữ liệu - - 6 2c S211 111 118 1111811811811 xe, 151.3 Thách thức đối với hệ thống giám sát an toàn mạng - 25+ 191.4 Ứng dụng của giám sát an toàn mạng + s+s+c++E++E++EzEerxrxerersred 20KẾT chương - 5c ST 1EE121111111112111111151101111111111011121 11101111 at a 21CHUONG 2: KHAO SAT CAC HE THONG GIAM SAT AN TOÀN MANG 22
Pin 0i 7n e- 5 22
2.1.1 Tổng quan về Snort và SuriCafa -¿- 2 52 SeSE+ES2E£EE2E£EEEEEEEEEEEerrrkrees 222.1.2 So sánh Snort và SUTIC8fA c3 112311 11111111 11111111111 11 1g kg kết 23
°ˆÄÄ\\vÀìi 00777878 25
2.2.1 Tổng quan về Wazuh -¿- + Ss+S< E2E12E12E1211211171111111111.1111 1x cxe 25
2.2.2 Kiến trúc của Wazuh :- 2+222+22112221122112211211211211211211211 1c 262.2.3 Ưu điểm và nhược điểm của Wazuh 5-5: St St SE2E+E+EEEEEEEEEEEeEsrseseree 272.3 Security ONION 0777 a A 282.3.1 Tổng quan về Security Onion ¿2-5 +s+2E+EE£EE£EE£EEEEE2EE2EE2E222xzEcree 28
2.3.2 Kiến trúc của Security Onion - +: St E2 2 12E1211111E1111211111 1xx cxeE 342.3.3 Ưu điểm và nhược điểm của Security Onion - 25-5 s+cx+zx+xecxzz 38
Kết chương, ¿5c s St SE E21 E12111211211111111111 1111111111111 0121111 1g 39
MẠNG VOI SECURITY ONION - S2 21 211211211811 1511 1811181118111 1x kg 40
PHAM KHÁNH HUNG-B19DCAT096 11
Trang 5ĐỎ AN TOT NGHIỆP
3.1 Kịch ban thử nghiệm và hiện cảnh bảo 5 c2 33325 1£+*Exesseeerees 40 3.1.1 Kịch bản thử nghiệm Ì - c2 3322132112351 351 15 1119111119111 key 41 3.1.2 Kịch ban thử nghiệm 2 - 2 ¿Sẻ St ÉEEEEEEEEE XE 1811111111111 11111 42 3.1.3 Kịch bản thử nghiệm 3 - c2 3220122113321 35111 5 1119111111811 1 118111 42
Kết chương -¿- + + S2SE2E12E 2E E21E2111111121111211211111111111111 1121.1211 rre 81
KET LUAN ioe eececceccsscssessessessessesscsscsessecsessessssessssissussissussusssssessesiessessesiesisssessasaneaeeess 82
TÀI LIEU THAM KHẢO 5 5c Ss SE ềEEEEEEEEEE2E12112111111111111111 111111 c1y 6 83
PHU LUC 1: CÀI ĐẶT HỆ THNG 2-2 2+S22E£+EE2E2EEEEEEEEEEEEEEEEEEkrrrrrrrs 85
PHAM KHANH HUNG-B19DCAT096 iv
Trang 6ĐỎ AN TOT NGHIỆP
DANH MỤC HÌNH VE
Hình 1 1 So sánh mục tiêu của NSÌM 2 - Q02 20111112223 1111111 xxx ven 2
Hình 1 3 Phương pháp thu thập ACE - - c1 2.11121112111151 1181 1111811111811 1181 x£, 5
Hình 1 4 So sánh kích thước dữ liệu NSM 2-55 2221111322221 11 12x svee 7
Hình 1 5 Phân loại các kỹ thuật phát hiện xâm nhập dựa trên sự bất thường 10
Hình 2 1 Chức năng của Wazuh 24
Hình 2 2 VỊ trí của Security Onion trong mạng - - s-c + s + sseerseerreeerres 28
Hình 2 3 Giao diện A Ï€f - - - - 2211111223311 1 1953111111153 11111903 11 ket 29
Hình 2 4 Giao diện Dashboard + - 2 5323221113322 1 111125111 119811111 1x sa 30
Hình 2 5 Giao diện Hun[ - 22 E3 E22221111E 122531181 122531 111 19531111111 ke rrr 30
I0) 2 6 Giao di€n Case an 31
Hinh 2 7 Giao dign PCAP in 31 Hình 2 8 Giao diện CyberCheF c1 22 1221132311311 1111 1112111111181 8811101118 11 kg 32Hình 2 9 Kiến trúc ÏmpO -2- 2: ©5¿+22+2x92E22E12EEE2125122122121121122121211 212.2 34Hình 2 10 Kiến trúc Evaluation - 2Sc + E2 EEE1E11211211211211211 11.111 cty 35Hình 2 11 Kiến trúc Standalone -::-::+22++t2£xtt2ExxttEEvttrrtrrrtrrrrrrrrrrrrree 36Hình 2 12 Kiến trúc Distributed .-:-cccc22ttttttrtrrtttrrrrrrrrrrrrtrirrrerrierie 37
Hình 3 1 Sơ đồ mạng triển khai hệ théng40
Hình 3 2 So đồ mạng kịch bản 1io cc.cceccccscsssssessessssssessesssessesseesesssessessessessestseesesseesess 41Hình 3 3 Cảnh báo khi quét nmap c2 322 3221113311351 11 5121111111111 42Hình 3 4 Cảnh báo khi máy chủ bị tan công bruteforce ffp - - +ccs+s+s+2 42
Hình 3 5 Cảnh báo khi phản hồi của máy chủ đến máy tan công có ky tự id và liên
quan đến quyén TOOI 2c s + k£S‡EE£EE£EE2EE2E1211211211111111111111211111111 1111 1x6 43
Hình 3 6 Sơ đồ mang s05 43
Hình 3 7 Cảnh báo quét công bằng nmap mặc định 2-2 2s + s+Sz£+xz£ezx2 44
Hình 3 8 Cảnh báo khi bị tan công sqÏÌi - 5-2-5 SS2SE2EeEE‡EEEEE2EEEEEEEEEEEErErrrree 44Hình 3 9 Cảnh báo khi upload file định dang php nguy hiểm - - 2-5 2- 46Hình 3 10 Cảnh báo khi phát hiện lệnh whoami được thực hiện - - 46Hình 3 11 Sơ đồ mạng kịch bản 3 c.ccscscssesssssesssssessessssssessessecssesessssscseseesseseeseeees 47Hình 3 12 Cảnh báo bị tan công sqli bang sqÌmap - 5-2-5 22s2E£z+Ez£zxzEerx2 48Hình 3 13 Cảnh báo khi bị tan công LFI dé xem file passwd - 2 25-5: 48Hình 3 14 Cảnh báo khi bị tấn công LFI dé xem file knockd.conf - 48Hình 3 15 Cảnh báo khi bi tan công brute force S$hi c.ceeecescsseseseesesseseesesseseeeeeseees 49
Hình 3 17 Log sau khi [ỌC - - c1 21 3211112111331 1151119111115 111 11811118111 18g11 ru 51Hình 3 18 Thống kê các số lượng log ứng với destination IP cu thể - 52Hình 3 19 Loc những log chỉ liên quan đến địa chi IP 192.168.248.128 52
PHAM KHANH HUNG-B19DCAT096 Vv
Trang 720 Sắp xếp log theo trình tự thời gian - 2 St SEE2EEEEEEEEErkerrkeex 52
21 GPL ATTACK RESPONSE id check returned root - «+ <»+ 53
22 network.data.decoded cecccccccscccsseeseesseeeseceseeeeseeeseeesseeeseeeseeesseeeeenaas 53
23 Tạo CASE IMỚI - - c2 211111111111112129531 1111 1n nu 54
24 Tài khoản của hai nhà phân tich ec eeeeceeseeeeeeeneeeeeeeeeeneeeeneneeeeseaes 54
25 Comment ban đầu về case Lo.ececcccsceccsssssessesessessesessesessesesesssscsesessseseseees 55
26 Thống kê log liên Quaten ccescssssssessssssessessssssesssessessessesssessessessessesuseesseesees 55
27 Cảnh báo trong mốc Ì -¿- 2-5252 E+E2E2EEEEEEEEEEEEEE21212111111 11L xE 56
28 Sửa lại comment mốc Ì + St +t+E+EEEEEEEEEEEEEE2EEEEEEEEEEESESEEEErErkrkrker 56
29 Cảnh báo ở mốc 2 :-22++222+2E2322221122211122111211112711127111 2 tre, 57
30 Log liên quan đến brute force cceecccscsseseesessessesessessesessssssssssesessesesseeeees 58
31 Chỉnh sửa comment mốc 2 c.ccsscssssssssessessessessessessessessessessesesisseseeseseeees 58
32 network.data.decoded - - + 112131211 125115113 1111181111111 8111 18k xrr 59
33 Log liên quan đến port 620( ¿- 2 5+ +E£EE+E£EE2EEEEEEE2EEEEEEEEEEEkrkrkea 59
34 Chỉnh sửa comment mốc 3 2: ¿2 ++EE++E£+EE£EEt2E+2EtEEEEEzErxrrrzei 60
35 Log đăng nhập SSÌH L2 031211121111 11111111 11181111111 811 8111 xrrrg 60
36 Comment của nhà phan tich hung 6 5 + 1+ vs sreeerek 61 E90 ác ca Ả ÔỐ 62
38 Log saul 840 vn '›ÕÖŒ1 63
39 Cảnh báo tấn công sdJÌi - 2-52 2S2+E2E2EEEEEEEEE12121111712121 11112 te 63
40 Tạo comment nhận định ban đầu cho case 2 - ¿5 +2 +sSss+x+x+s£z£zz+z 64
41 Log cảnh báo của mốc ] -¿- 2: ©2¿+2++2x+2E+2EE2EE£EE2EE2EEerErkerrzrrred 65
42 Log cảnh báo mốc 2 -+- + ++S+EE9EE2EE2E12E12E121121111211171111111 E11 1e 65
43 network.data.decoded - c1 1121112211 119211 11011111011 111 1n 11 re 66
44 network.data.decoded ở cảnh báo SaU - - - S11 vs hs 66
45 Log sau khi lọc mốc 3 c.cccccscsscssessesessessssessesessesscsesscsessesssesecstsvsvsssessesesesees 67
46 network.data.decoded của upload fiÌe - eeeeeneeseeneeeesteeeeeteeeenees 68
47 Log iu ca a 1ÄẦa.aAa 68
48 Kiểm tra file tải lên bằng virus tOfal 52s 2E EEEEErkrrerres 69
49 Giao trách nhiệm nhiệm và đặt lại trang thải case ‹ 5s ++ 69
50 Log cảnh báo mốc 4 ¿- +: 2 St 2EEEE2EEEEEE12EEE12111111111711 1111111 70
hủ ⁄0y đi n vo 70
52 Các thông số của log cảnh báo xuất hiện port 1234 - s55: 71
53 Có log liên quan đến port 1234 - + + +s+E*EEE2E£E£EEEEEEEEEEEEEErrkrees 71
54 Comment thêm thông tin về mốc 4 2 2 2+ +E+£E+EE+EE+EE+E+2Ezzzeez 72
55 Log sau Khi 10C iII II 73
56 Cảnh bao tấn công Sqlic e.cccceccessessecsessessessessssssessessessesscsesessesesnseeseseeeeeees 74
57 Tao comment nhận định ban đầu - ¿+ ¿St +x+EEE+E+EEEE+E+EEEEzEeErrrrrrea 75
Trang 8ĐỎ AN TOT NGHIỆP
Hình 3 63 Thống kê log liên quan đến ssh 2- 2 2 S22 E£EE+E£EEEEzEeEEEEeEerxzee 78
Hình 3 64 Hai trường hợp brute force thành công - - - 5 + svssveseeeesee 78
Hình 3 65 File knock(.COTIF - c3 3321112113351 1351 1195115111191 1111111181 E111 ru 78Hình 3 66 Chỉnh sửa lại comment hai mốc - + + St SE+E+E+E£E+E+E+E+EEEvErxzezsrs 78
PHAM KHÁNH HUNG-B19DCAT096 Vil
Trang 9ĐỎ AN TOT NGHIỆP
DANH MỤC BANG BIEU
Bang 2 1 So sánh tính năng và chức năng của Snort và Suricafa - -‹+ 23Bang 2 2 So sánh hiệu suất và khả năng mở rộng của Snort và Suricafa - 23Bang 2 3 So sánh việc sử dụng va cau hình của Snort và Suricata -. - 23Bảng 2 4 So sánh cộng đồng và sư hỗ trợ của Snort và Suricata -. :- :5- 24
Bảng 2 5 So sánh về giá tri của Snort và SuriCafa 5c sec EeErxrerxrreree 24
Bảng 3 1 Thông số của các máy trong kịch bản 1
Bảng 3 2 Thông số của các máy trong kịch bản 2
Bảng 3 3 Thông số của các máy trong kịch bản 3
PHAM KHÁNH HUNG-B19DCAT096 Vili
Trang 10ĐỎ AN TOT NGHIỆP
DANH MỤC TU VIET TAT
Từ viết tắt Tiếng Anh Tiếng Việt
ACF Applied Collection Framework Khung thu thập ứng dụng
Hệ thống phát hiện xâm nhậ
HIDS Host Intrusion Detection System gin0npP a yD xam nhập
máy chủ
IDS Intrusion Detection System Hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nha
HIDS Host Intrusion Detection System ý thông phát hiện xâm nhập
mạng
LAN Local Area Network Mạng cục bộ
Kỹ thuậ fil 6 của hệ
LFI Local file inclusion ÿ thuật đọc ve cục bộ của hệthông
NIC Network interface card Card mang
NIDS Network Intrusion Detection System Hệ thong phát hiện xâm nhập
mạng
NSM Network security monitoring Giam sat an ninh mang
SO Security Onion B6 cung cu Security Onion
: C—— ra le củ
SOC Security Onion console Giao diện điện conse © cuaSecurity Onion
Bộ phân tích công thiết bi chuyé
SPAN Switch port analyzer phan ten cong mer Dị cauyen
mach
Trang 11DO AN TOT NGHIỆP
MO ĐẦU
Trong thời đại công nghệ thông tin phát triển mạnh mẽ như hiện nay, mạng máy
tính đã trở thành một phần không thể thiếu trong đời sống của con người Mạng máy
tính được sử dụng trong các lĩnh vực như giáo dục, y tế, tài chính, kinh doanh Tuy
nhiên, mạng máy tính cũng tiềm ấn nhiều rủi ro về an toàn thông tin Các cuộc tấn
công mạng ngày càng trở nên tinh vi va phức tap, gây ra nhiều thiệt hai cho các tổchức, doanh nghiệp.
Trong bối cảnh đó việc trién khai hệ thống giám sát an toàn mạng không chỉ
đóng vai trò quan trọng trong việc phòng ngừa và phát hiện các mối đe dọa mạng một
cách hiệu quả, mà còn hỗ trợ trong việc giảm thiểu tôn thất về mat mát thông tin và
dam bảo tính toàn vẹn của dữ liệu Đồng thời, sự đồng bộ giữa các thành phan trong
hệ thống cũng đặt ra thách thức lớn, đòi hỏi kiến thức sâu rộng và sự hiểu biết sâu sắc
về các phương pháp và công nghệ an toàn mạng
Tác giả lựa chọn Security Onion, một giải pháp tích hợp dựa trên hệ điều hành
Ubuntu Linux, để xây dựng hệ thống giám sát an toàn mạng Security Onion không
chỉ cung cấp các công cụ mạnh mẽ dé phân tích dữ liệu mạng, ma còn kết hợp nhiều
ứng dụng phổ biến như Suricata, Elasticsearch, Kibana, Zeek, Elastic Agent dé tạo ra
một hệ thống hoàn chỉnh và linh hoạt
Đồ án tốt nghiệp mang tựa đề "Nghiên cứu và triển khai hệ thống giám sát antoàn mạng với Security Onion" đặt ra mục tiêu quan trong là nghiên cứu, phân tích, vatriển khai một hệ thống giám sat an toàn mạng hiệu quả, đặc biệt sử dụng nền tảng mãnguồn mở Security Onion dé phát hiện xâm nhập và tiễn hành phân tích cảnh báo détìm ra được những hành xâm nhập trái phép vào hệ thống mạng của kề tấn công
Nội dung trong đồ án bao gồm 3 chương như sau:
Chương 1: Nghiên cứu tổng quan về hệ thống giám sát an toàn mạng
Chương 2: Khảo sát các hệ thống giám sát an toàn mạng
Chương 3: Cài đặt và thử nghiệm hệ thống giám sát an toàn mạng với Security Onion
PHAM KHÁNH HƯNG-B19DCAT096 1
Trang 121.1 Giới thiệu về giám sát an toàn mạng
NSM (Network Security Monitoring) hay giám sát an toàn mạng đề cập đến việcthu thập và phân tích thông tin bảo mật của hệ thống mạng của cơ quan té chức déphát hiện bat kỳ hành vi xâm phạm nào tim cách vượt qua các biện pháp phòng thủ vàngăn chặn chúng trước khi chúng có thê gây ra bất kỳ thiệt hại nghiêm trọng nào
Trong các hệ thống giám sát An ninh mạng hiện đại khả năng phát hiện xâm nhậpchỉ là một khía cạnh ngoài ra hệ thống còn hướng tới việc: nhận thức được khả năngbảo mật của hệ thống mạng của chủ thé, xác định được chiến thuật của kẻ tấn công đãtiến hành để xâm nhập vào mạng của mình và cuối cùng là phân tích những thông tin
mạng có được dé phát hiện cách những kẻ tan công này có thé đã làm dé xâm nhậpvào mạng của mình.
Khác với hệ thống phát hiện xâm nhập IDS (Intrusion Detection System) dựa trên
mô hình bảo mật cũ hơn tập trung vào các đặc điểm sau:[10]
e Phòng thủ tập trung vào lỗ hồng: IDS sử dụng phương pháp phổ biến nay để
bảo mật các hệ thống mang mà có các lỗ hong được xác định là mục tiêu tiềmnăng của kẻ tấn công Những lỗ hồng này được giải quyết trước các mối đe dọa
đã biết với mục tiêu ngăn chặn việc khai thác ngay từ đầu
e Tap trung vào phát hiện: Mặc dù IDS thu thập dir liệu mang, quá trình nay
thiếu sự tập trung Các công nghệ IDS thu thập toàn bộ dữ liệu mà không kết
nỗi chúng với các chiến lược phát hiện được định rõ
e Phat hiện dựa trên chữ ky: Hầu hết các công nghệ IDS sử dụng dấu hiệu của
các cuộc tấn công đã biết và liên kết chúng với mẫu của dấu hiệu tấn công Vìvậy việc phát hiện hành vi bất thường phụ thuộc vào những mẫu có sẵn nàykhiến cho hệ thống IDS trở nên kém linh hoạt hơn khi bị tan công 16 hỗngZero-day.
e Tập trung vào tự động hóa: công nghệ IDS mục tiêu đơn giản hóa quá trình thu
thập và sử dụng toàn bộ dữ liệu được tạo ra bởi hệ thong giam sat Tuy nhién,
thực tế cho thay hành vi của kẻ tan công không ngừng chuyền biến Tự động
hóa dựa trên các quy tắc cô định, có thé trở nên ít linh hoạt trong tương lai và
không phải là một chiến lược hiệu quả đối với sự phát triển liên tục của tội
phạm mạng.
PHAM KHÁNH HƯNG-B19DCAT096 2
Trang 13DO AN TOT NGHIỆP
Quy trình NSM hiện đại thu thập dữ liệu mang, sử dung mô hình AI dé phat hién
hành vi xâm nhập, sử dung kiến thức này dé cải thiện quy trình thu thập dữ liệu và tập
trung vào các số liệu mạng phù hợp nhằm cải thiện khả năng phát hiện của hệ thống
NSM Nó thu thập, phân tích và nâng cấp dữ liệu mạng dé ứng phó hiệu quả với các
mối de doa bảo mật Việc quan sat trực tiếp toàn bộ mạng giúp hiểu được bản chất củacác sự kiện bảo mật khi chúng xảy ra và giảm thiểu tác động tiêu cực của chúng Điềunày mang lại cho quản trị viên mạng và chuyên gia bảo mật khả năng hiển thị hoạtđộng mạng hiện tại trong các ứng dụng thực tế NSM giúp xác định các vi phạm bao
mật, lưu lượng truy cập độc hại và các mối đe dọa tiềm ân khác bằng cách phân tích
các mẫu lưu lượng truy cập, dữ liệu nhật ký và hành vi hệ thống Quản trị viên mạng
nhận được thông báo tức thì thông qua cảnh báo bảo mật tự động Tuy nhiên, công cụ
giám sát mạng vẫn bất lực trước những hành vi khai thác zero-day không thể ngăn
` downtime vy security threats
Increase visibility into current network activity
Hinh 1 1 So sanh muc tiéu cua NSM
NSM áp dụng những nguyên tắc dưới đây: [5]
e Phong thủ theo mối đe dọa: Thay vì đặt tất cả nỗ lực vào việc ngăn chặn cuộc
tấn công mạng hoặc xâm nhập mạng, NSM hướng tới việc xác định ai là ngườimuốn tan công vào hệ thống mang của tổ chức và hiểu rõ lý do tại sao họ thựchiện cuộc tan công mạng Tuy nhiên điều này không phải là một việc dé dàng
và nó đòi hỏi khả năng hién thị chỉ tiết về hành vi lưu lượng truy cập mạng, khanăng nắm bat thông tin và phân tích mọi thông tin tình báo liên quan đến lưulượng truy cập bất thường cũng như hiểu rõ động cơ của kẻ tan công thông qua
thông tin tình báo.
PHAM KHÁNH HƯNG-B19DCAT096 3
Trang 14DO AN TOT NGHIỆP
e = Thu thập dữ liệu chiến lược: Dữ liệu khi bị thu thập một cách tràn lan và không
có sự sắp xếp và lưu trữ một cách phù hợp sẽ dẫn đến việc tốn kém tài nguyênlưu trữ cũng như làm cho việc phân tích của các chuyên gia trở lên kém hiệuqua hon đo có quá nhiều di liệu dư thừa và gây nhiễu Do vậy việc thu thập và
xử lý đữ liệu hiệu quả là việc vô cùng quan trọng Một trong những chiến lượcđược các công cụ NSM hiện đại sử dụng là mô hình hóa hành vi của hệ thong
và đánh giá độ lệch của lưu lượng mang so với hành vi dự kiến của mô hìnhtrong thời gian thực Điều này đòi hỏi các công nghệ dựa trên mô hình học máytiên tiến
© Phan hồi theo chu trình: mô hình phát hiện xâm nhập cũ là một quy trình phan
hồi tuyến tính Ví dụ khi hệ thống cũ đánh giá mọi sự cố bảo mật một cáchriêng lẻ, mỗi lần phát hiện sự cố sẽ tạo ra cảnh báo dựa trên các quy tắc được
xác định trước và hành động ứng phó thích hợp sẽ được thực hiện ngay sau đó.
Khác với quy trình tuyến tính thì trên NSM phản hồi có tính chu trình Cụ thể
là tập dữ liệu thu thập được cung cấp cho việc phát hiện xâm nhập, việc phát
hiện xâm nhập được cung cấp cho việc phân tích dữ liệu và kết quả phân tích
lại được cung cấp quay trở lại cho tập dữ liệu Điều này cho phép hệ thống bảo
vệ tri thức mạng xây dựng được qua thời gian, và do đó phục vụ tốt hơn trongviệc bảo vệ mạng.
© Phong chống đến cùng cho dù thất bại: Một thách thức phải đối mặt là việc
chấp nhận thực tế rằng tài sản có thé bị mat Dù mọi biện pháp phòng thủ được
áp dùng và mọi phản ứng chủ động đã được triển khai, kẻ tắn công vẫn có khả
năng tìm thấy cách để xâm nhập vào hệ thống Thực tế là khi tổ chức xây dựng
một hệ thống phòng thủ mạnh mẽ, kẻ tấn công cũng sẽ phát triển các chiếnlược tấn công mạnh mẽ hơn Ví dụ, ngay cả khi doanh nghiệp đã triển khai
tường lửa và đảm bảo răng các máy chủ đã được vá lỗi đầy đủ thì kẻ tắn công
vẫn có thé sử dụng các kỹ thuật lừa đảo dé xâm nhập vào mạng hoặc sử dụng
khai thác lỗ hồng zero-day dé truy cập thư mục gốc trong máy chủ đã được vá
lỗi Ngoài ra việc kẻ tan công sử dụng kỹ thuật xã hội (Social engineering)
hoặc những mỗi de dọa từ nội bộ cũng rất khó phòng chống và chúng gây ra
những hậu quả vô cùng nghiêm trọng Vì vậy, khi đã chấp nhận khả năng tài
san bị tốn thất, tổ chức cần điều chỉnh chiến lược bảo vệ của minh Thay vì chỉ
tập trung vào phòng thủ, các tổ chức cần đặc biệt chú trọng vào khả năng pháthiện và phản ứng.
1.2 Chu trình NSM
Chu trình NSM bao gồm 3 giai đoạn tạo thành vòng tròn khép kín như Hình 1.2
bao gồm: thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu Các giai đoạn hỗ
trợ lẫn nhau bé sung cho nhau dé tạo nên quy trình hoàn chỉnh Vòng lặp trong chu
trình NSM được khép lại bằng cách rút ra bài học từ giai đoạn phát hiện và phân tích
PHAM KHÁNH HƯNG-B19DCAT096 4
Trang 15DO AN TOT NGHIỆP
Phat hién xam nhap
Hình 1 2 Chu trình NSM
1.2.1 Thu thập dữ liệu
1.2.1.1 Phương pháp thu thập
Chu trình NSM bắt đầu với bước quan trọng nhất là thu thập dit liệu vì nó sẽ định
hình khả năng của một tô chức trong việc phát hiện xâm nhập và phân tích dữ liệu
hiệu quả Việc tạo, sắp xếp và lưu trữ dữ liệu cho việc phát hiện xâm nhập và phântích đữ liệu trong hệ thống NSM được thực hiện với sự kết hợp của cả phần cứng và
phần mềm Mặc dù quan trọng nhưng nhiều t6 chức không hiểu day đủ về dữ liệu của
họ và không có cách tiếp cận có cấu trúc để xác định các mối de doa có thé đến với tổchức, mà chi đơn giản là nắm bắt lấy bat kỳ dir liệu có sẵn dé xây dựng chương trình
và với lượng đữ liệu lớn có thé dẫn đến tình trạng không đủ tài nguyên dé lưu trữ dữ
liệu.
Dé tránh tình trạng trên tác giả sẽ trình bày một khung làm việc ACF (Khung thuthập ứng dụng - Applied Collection Framework) là khung làm việc được xây dựng délàm giảm sự phức tạp của việc thu thập dữ liệu Bao gồm 4 giai đoạn: Xác định mối
đe dọa, định lượng rủi ro, xác định nguồn dữ liệu phù hợp và chọn lọc dữ liệu
PHAM KHÁNH HƯNG-B19DCAT096 5
Trang 16Giai đoạn 1: Define Threat (Xác định mối đe dọa)
Môi de dọa là bat kỳ yêu tô nào có thé gây tôn hại cho tai sản của tô chức.
Trong trường hợp giám sát an ninh mạng, môi đe dọa có thê bao gôm các cuộc tân
công mang, chăng hạn như xâm nhập, mã độc, hoặc các sự cô bảo mật khác.
Đề xác định mối de dọa, cần phải hiểu sứ mệnh, mục tiêu và mục đích của tổchức Từ đó, xác định các tài sản quan trọng trong việc đạt được sứ mệnh kinh doanh.Khi đã xác định được sứ mệnh và các tài sản liên quan, việc cần thiết là phải xác định
và định nghĩa các mối đe dọa đối với những tài sản đó Việc xác định mối đe doa nên
được thực hiện phối hợp chặt chẽ với ban lãnh đạo an ninh Ban lãnh đạo an ninh cóthé cung cấp thông tin chuyên môn về các mối đe dọa hiện tai và tiềm an Từ đó, có
thể xác định được danh sách các hệ thong cé thé bi tan công dẫn đến tôn thất về tàisản trí tuệ như máy chu web, máy chủ cơ sở dữ liệu, máy chủ lưu trữ tệp tin,
Giai đoạn 2: Assess & Qualify Risk (Đánh giá rủi ro)
Rủi ro là khả năng xảy ra một sự kiện và tác động của sự kiện đó Trong trường
hợp giám sát an ninh mạng, rủi ro là khả năng xảy ra một cuộc tân công mạng và tác
động của cuộc tấn công đó đối với các tài sản của tô chức
Đề đánh giá rủi ro, cần phải xác định khả năng xảy ra của cuộc tan công vàmức độ nghiêm trọng của tác động nếu cuộc tấn công xảy ra Điều này có thể thựchiện được bang cách tính toán rủi ro gây ra bới các mối đe dọa tiềm ấn theo công thức
sau:
Anh hưởng() x Xác suất(P) = Rui ro (R)
Anh hưởng là tác động cua mối de dọa đến tổ chức, được đo trên thang điểm từ
1 đến 5 trong đó 1 là mối đe dọa có tác động ít nhất và 5 là mối đe dọa tác động lớnnhất Xác định mức độ ảnh hưởng liên quan đến các vấn đề như tài chính, khả năngphục hồi đữ liệu bị mắt và thời gian cần để làm cho tổ chức có thể hoạt động lại bình
thường.
Xác suất là khả năng mối đe doa xuất hiện, cũng được đo trên thang điểm từ 1
đến 5, với ý nghĩa 1 là có một xác suất rất thấp mối đe đọa xuất hiện, và 5 là có một
xác suất rất cao mối đe dọa xuất hiện Việc xác định xác suất có liên quan đến việc
thấy được mối đe dọa đến tài sản, hoặc mức độ mà mạng có thể bị tấn công, hoặc
PHAM KHÁNH HƯNG-B19DCAT096 6
Trang 17DO AN TOT NGHIỆP
thậm chi là kha năng mà một người nào đó có thể truy cập vat lý tới tài sản, Theo
thời gian, xác suất khai thác một lỗ hồng sẽ tăng lên Như vậy, xác suất sẽ chỉ thể hiện
tại từng thời điểm và nó cần được xác định lại theo thời gian
Kêt quả là mức độ rủi ro mà môi đe dọa gây ra đôi với sự an toàn của mạng,
ảnh hưởng tới tô chức được đo trên thang điêm từ 1 đên 25, và chia thành 3 loại như
sau:
0-9: Rui ro thap10-16: Rui ro trung binh
17-25: Rui ro cao
Giai đoạn 3: Xác định nguồn dữ liệu tiềm năng
Nguôn dữ liệu tiêm năng là bat ky nguôn nào có thê cung cap thông tin vê các môi đe dọa và rủi ro Trong trường hợp giám sát an ninh mạng, nguôn dir liệu tiêm năng có thê bao gôm:
¢ Dựa trên mạng:
“ May chủ lưu trữ tệp tin VLAN:
o Dữ liệu bắt gói tin đầy đủ
o Dữ liệu phiên
o Dữ liệu thống kê thông lượng
o Dữ liệu cảnh báo NIDS dựa theo chữ ký
o Dữ liệu cảnh báo IDS dựa theo bất thường
« Upstream Router — Dữ liệu nhật ký tường lửa
* Dựa trên may chủ:
« Máy chủ lưu trữ tệp tin:
o Dữ liệu nhật ký sự kiện OS
o Dữ liệu cảnh báo vi-rút
o Dữ liệu cảnh báo HIDS
Đề xác định nguồn dữ liệu tiềm năng, cần phải xem xét kiến trúc mạng và vi tri
của các tài sản CNTT (Công nghệ thông tin) trong kiến trúc tổng thể Mục đích là xác
định đường dẫn mà dữ liệu đi qua trên mạng dé thực hiện mục tiêu của nó và những
người có quyền truy cập vào các tài sản CNTT
PHAM KHÁNH HƯNG-B19DCAT096 7
Trang 18DO AN TOT NGHIỆP
Giai đoạn 4: Chon lọc dữ liệu
Sau khi xác định được danh sách các nguồn dữ liệu tiềm năng, cần phải thu hẹpphạm vi và lọc ra các nguồn dữ liệu quan trọng nhất Điều này giúp đảm bảo rằng tổ
chức chi thu thập dữ liệu cần thiết, tránh dư thừa dir liệu và chi phí vận hành
Dé thu hẹp phạm vi, cần phải xem xét các yếu t6 sau:
« - Mức độ rủi ro của các mối đe dọa liên quan đến nguồn dit liệu
* Gia trị của thông tin được cung cấp bởi nguồn dữ liệu
« Chi phí thu thập và lưu trữ dữ liệu từ nguồn dữ liệu
Sau khi đã xác định được danh sách chỉ tiết các loại dữ liệu cần quan tâm, cần xây
dựng cơ sở hạ tầng thích hợp cho việc thu thập dữ liệu Việc này có thể tốn kém về chiphí, nhưng đây là việc cần làm sau khi đã hoàn tất các giai đoạn ACF Mục tiêu của
mô hình này là xác định được những dit liệu muốn thu thập và tầm quan trọng của các
nguôn dir liệu đó Việc này có thé dựa trên phân tích chi phí/lợi ích, nghĩa là tam quan
trọng của dữ liệu thu thập về các mối đe doa đối với những mục tiêu của tổ chức.[12]1.2.1.2 Các loại đữ liệu trong NSM
Alert,
Statistical
and Lag
Variable)
——*
PHAM KHÁNH HƯNG-B19DCAT096 8
Trang 19hợp trong ngữ cảnh của việc phân tích Các loại dit liệu khác, như dir liệu thống kê
hay đữ liệu chuỗi trong gói tin, thường bắt nguồn từ đữ liệu FPC
Dữ liệu phiên Dữ liệu phiên (session data) là tập hợp các thông tin liên quanđến một phiên làm việc giữa hai hoặc nhiều thiết bị hoặc ứng dụng trên mạng, là bảntóm tắt các thông tin giữa hai thiết bị mạng và là một trong những hình thức linh hoạt
và hữu ích nhất của dữ liệu NSM Tuy dữ liệu phiên không cung cấp mức độ chi tiếtnhư dữ liệu FPC, nhưng với kích thước nhỏ nó sẽ được lưu lại trong khoảng thời giandài hơn nhiều, và điều này là vô cùng quý giá khi thực hiện phân tích lại quá khứ
Dữ liệu thống kê Là dữ liệu tổ chức, phân tích, giải thích và biểu dién các loại
dữ liệu khác Dữ liệu thống kê có thể bao gồm nhiều hình thức khác nhau
Dữ liệu kiểu chuỗi trong gói tin (PSTR) Được lay từ dữ liệu FPC, và tồn tại
như một dạng đữ liệu trung gian giữa dữ liệu FPC và dữ liệu phiên Định dạng dữ liệu
này bao gồm các chuỗi văn bản rõ từ tiêu đề (header) của các giao thức (ví dụ, đữ liệutrong phần tiêu đề của HTTP) Kết quả là có được dạng dữ liệu chỉ tiết gần giống với
dữ liệu FPC và duy trì một kích thước dễ quản lý hơn và cho phép tăng lượng dữ liệu
lưu trữ.
Dữ liệu nhật ký Dữ liệu nhật ký là các tệp tin nhật ký thô được tạo ra từ cácthiết bị, hệ thống hoặc ứng dụng, bao gồm nhật ký web-proxy, nhật ký tường lửa định
tuyến, nhật ký chứng thực VPN, nhật ký bảo mật Windows và đữ liệu SYSLOG Loại
dữ liệu này thay đổi kích thước và tính hữu dụng của nó tùy thuộc vào nguồn gốc
Dữ liệu cảnh báo Khi công cụ phát hiện ra bất kỳ một bất thường nào trong
dữ liệu mà nó kiểm tra, thì nó sẽ tạo ra một loại di liệu gọi là dữ liệu cảnh báo Dữliệu nay thường chứa mô tả của các cảnh báo, và một con trỏ chi đến dữ liệu bất
thường Nói chung, kích thước của dữ liệu cảnh báo thường rất nhỏ, có khi chỉ là con
trỏ chỉ đến đữ liệu khác Việc phân tích NSM thường dựa trên các thế hệ của dữ liệucảnh báo.
1.2.2 Phát hiện xâm nhập
Phát hiện xâm nhập là một chức năng của phần mềm thực hiện phân tích dữ
liệu thu thập được dé tao ra dữ liệu cảnh báo Có hai phương pháp phát hiện xâm nhập
PHAM KHÁNH HƯNG-B19DCAT096 9
Trang 20DO AN TOT NGHIỆP
dựa trên mạng (NIDS) là phát hiện xâm nhập dựa trên chữ ky va phat hiện xâm nhậpdựa trên bất thường
1.2.2.1 Phát hiện xâm nhập dựa trên chữ ky
Phát hiện xâm nhập dựa trên chữ ky (Signature-based intrusion detection) làmột phương pháp phát hiện xâm nhập băng cách so sánh đữ liệu thu thập được vớimột cơ sở đữ liệu các mẫu tấn công đã biết Nếu đữ liệu khớp với một mẫu tấn công,
hệ thống sẽ phát ra cảnh báo
Phát hiện xâm nhập dựa trên chữ ký là phương pháp phát hiện xâm nhập lâu
đời nhất và phô biến nhất hiện nay Phương pháp này có những ưu điểm sau:
e Hiéu quả: Phát hiện xâm nhập dựa trên chữ ky có thé phát hiện chính xác các
cuộc tan công đã biết
- Tinh đơn giản: Phát hiện xâm nhập dựa trên chữ ký tương đối dễ triển khai và
quản lý.
Tuy nhiên, phương pháp nay cũng có những nhược điểm sau:
¢ Khong thé phát hiện các cuộc tan công mới: Nếu một cuộc tấn công mới chưa
được thêm vào cơ sở dữ liệu chữ ký, hệ thống sẽ không thể phát hiện được
cuộc tan công đó
« - Có thé gây ra cảnh báo giả: Nếu dữ liệu thu thập được khớp với một mẫu tan
công không phải là tan công thực sự, hệ thống sẽ phát ra cảnh báo giả
Cơ sở dữ liệu chữ ký
Cơ sở dit liệu chữ ký là một tập hợp các mẫu tan công đã biết Các mẫu này cóthể được tạo ra bởi các chuyên gia bảo mật hoặc được thu thập từ các cuộc tấn côngthực tế
Các mau tan công thường được lưu trữ dưới dạng các quy tắc Một quy tac baogồm một tập hợp các điều kiện và hành động Nếu dữ liệu thu thập được đáp ứng tất
cả các điều kiện của một quy tắc, hệ thống sẽ thực hiện hành động được chỉ định trong
quy tắc
Các loại chữ ký
Có hai loại chữ ký cơ bản:
- Chi ký tinh: Chữ ký tĩnh là các mẫu tan công không thay đổi theo thời gian Ví
dụ, một chữ ký tinh có thể mô tả một gói tin có chứa một chuỗi cụ thể
* Chit ký động: Chữ ký động là các mau tan công thay đổi theo thời gian Vi dụ,
một chữ ký động có thể mô tả một hành vi mạng bất thường
PHAM KHÁNH HƯNG-B19DCAT096 10
Trang 21DO AN TOT NGHIỆP
Các ứng dung của phat hiện xâm nhập dựa trên chữ ky
Phát hiện xâm nhập dựa trên chữ ký có thể được áp dụng cho nhiều loại hệthống khác nhau, bao gồm:
e Hệ thống mạng: Phát hiện xâm nhập dựa trên chữ ký có thể được sử dụng để
giám sát lưu lượng mạng và phát hiện các cuộc tấn công mạng
e Hệ thống máy chủ: Phát hiện xâm nhập dựa trên chữ ký có thé được sử dụng để
giám sát các hoạt động của hệ thống máy chủ và phát hiện các cuộc tấn công
nhắm vào hệ thống máy chủ
« Hệ thống ứng dụng: Phát hiện xâm nhập dựa trên chữ ký có thé được sử dụng
để giám sát các hoạt động của các ứng dụng và phát hiện các cuộc tấn côngnhắm vào các ứng dụng
1.2.2.2 Phát hiện dựa trên sự bất thường
Phát hiện xâm nhập dựa trên bất thường (Anomaly-based Intrusion Detection)
là một phương pháp sử dụng trong hệ thong bao mat dé phát hiện các hành vi xâmnhập bằng cách xác định các hoạt động không bình thường hoặc không tuân thủ quytắc trong mạng hoặc hệ thống
Phương pháp này dựa trên việc xây dựng một mô hình hành vi bình thường của
hệ thống dựa trên dữ liệu được ghi lại từ các hoạt động hợp lệ Mô hình này có thể sử
dụng các kỹ thuật thống kê, học máy hoặc học sâu để xác định các biểu đồ, xu hướng
và quy tắc hành vi bình thường Khi một hoạt động không phù hợp xảy ra và không
phù hợp với mô hình đã xây dựng, hệ thống sẽ phát hiện ra rằng có sự xâm nhập xảy
ra.
Clustering
Association rule Discovery
Computer Immunology ‡ Data Mining based Classification
|
User Intention Mi th
Identification iol ana
Anomaly Detection Markov process’ eu
Techniques + Market Decision tree
+ si Time Series Finite State Description |
Outlier Detection Ý Machines Scripts Exe sian
Í Univariate
Hình 1 5 Phân loại các Kỹ thuật phat hiện xâm nhập dựa trên sự bắt thường [2]
PHAM KHÁNH HƯNG-B19DCAT096 11
Trang 22DO AN TOT NGHIỆP
Các kỹ thuật phát hiện xâm nhập dựa trên bất thường bao gồm:
Statistical-based techniques (Kỹ thuật dựa trên thống kê): kỹ thuật sử dụngcác thuộc tính thống kê như giá trị trung bình và phương sai trong các giao tiếp mạng
thông thường dé xây dựng hồ sơ giao tiếp mạng tiêu chuẩn Khi hệ thống phát hiệnthấy một giao dịch hoặc hoạt động mạng khác với hồ sơ tiêu chuẩn, hệ thống sẽ phát
tế khác với dự đoán, hệ thống sẽ phát ra cảnh báo
Ưu điểm của kỹ thuật phát hiện xâm nhập dựa trên thong kê
Có thé phát hiện các cuộc tan công zero-day: Kỹ thuật phát hiện xâm nhập dựa
trên thống kê không phụ thuộc vao việc biết trước về các cuộc tan công Do đó,chúng có thé phát hiện các cuộc tan công mới, chưa được biết đến
Không cần cập nhật chữ ký: Kỹ thuật phát hiện xâm nhập dựa trên thống kê
không cần cập nhật chữ ký khi có các cuộc tấn công mới xuất hiện Điều này
làm cho chúng dễ dàng bảo trì hơn so với các kỹ thuật phát hiện xâm nhập dựa
trên chữ ký.
Có thể phát hiện các cuộc tấn công DoS: Kỹ thuật phát hiện xâm nhập dựa trênthống kê có thé được sử dụng dé phát hiện các cuộc tấn công DoS bang cáchtheo dõi các mẫu lưu lượng bất thường
Nhược điểm của kỹ thuật phát hiện xâm nhập dựa trên thống kê
Yêu cầu phân phối thống kê chính xác: Kỹ thuật phát hiện xâm nhập dựa trênthống kê phụ thuộc vào việc phân phối thống kê của lưu lượng mạng hoặc hoạt
động hệ thống là chính xác Nếu phân phối thống kê không chính xác, hệ thống
có thê phát ra cảnh báo sai
Tốn thời gian để đào tạo: Kỹ thuật phát hiện xâm nhập dựa trên thống kê cầnthời gian để học các mẫu thông thường Trong thời gian này, hệ thống có thể
phát ra cảnh bao sai.
Cognitive-based or knowledge-based techniques (Kỹ thuật dựa trên kiến thức)
PHAM KHÁNH HƯNG-B19DCAT096 12
Trang 23DO AN TOT NGHIỆP
Kỹ thuật phát hiện xâm nhập dựa trên kiến thức sử dụng kiến thức về các cuộc
tấn công cụ thể và các lỗ hồng hệ thống dé phát hiện các cuộc xâm nhập hoặc tấn
công Kiến thức này được thu thập thông qua phân tích các cuộc tấn công trong quá
khứ, phân tích các lỗ hông hệ thống và phân tích các mẫu lưu lượng mạng
Các kỹ thuật phát hiện xâm nhập dựa trên kiến thức có thé được chia thành ba loạichính:
‹ Phan tích chuyên trạng thái: Kỹ thuật này sử dụng các mô hình toán hoc dé mô
tả các trạng thái của hệ thống Khi hệ thống chuyển sang một trạng thái khôngbình thường, hệ thống sẽ phát ra cảnh báo
+ Hé thống chuyên gia: Kỹ thuật này sử dụng các quy tắc được tạo ra bởi các
chuyên gia bảo mật đề phát hiện các cuộc tấn công
¢ Phan tích chữ ký: Kỹ thuật này sử dụng các chữ ký được tao ra từ các cuộc tan
công trong quá khứ dé phát hiện các cuộc tan công tương tự
Uu điểm của kỹ thuật phát hiện xâm nhập dựa trên kiến thức
* C6 độ chính xác cao: Kỹ thuật phát hiện xâm nhập dựa trên kiến thức có thé
phát hiện các cuộc tấn công mới, chưa được biết đến
« Ty lệ cảnh báo sai thấp: Kỹ thuật phát hiện xâm nhập dựa trên kiến thức có thé
giảm thiểu việc phát ra cảnh báo sai
« C6 thé phát hiện các cuộc tân công phức tạp: Kỹ thuật phát hiện xâm nhập dựa
trên kiến thức có thể phát hiện các cuộc tấn công phức tạp sử dụng nhiều kỹthuật khác nhau.
Nhược điểm của kỹ thuật phát hiện xâm nhập dựa trên kiến thức
« Yéu câu nhiêu kiên thức: Kỹ thuật phát hiện xâm nhập dựa trên kiên thức yêu
cầu nhiều kiến thức về các cuộc tan công và lỗ hồng hệ thống.
- Tốn thời gian và công sức dé xây dựng: Kỹ thuật phat hiện xâm nhập dựa trên
kiến thức tốn thời gian và công sức dé xây dung
« _ Phải cập nhật thường xuyên: Kỹ thuật phát hiện xâm nhập dựa trên kiến thức
phải được cập nhật thường xuyên dé phát hiện các cuộc tan công mới
Data mining-based techniques (Kỹ thuật dựa trên khai thác dữ liệu)
Kỹ thuật phát hiện xâm nhập dựa trên khai thác dữ liệu sử dụng các kỹ thuật
khai thác dit liệu dé phát hiện các cuộc tan công Kỹ thuật này có thé phát hiện cáccuộc tan công mới, chưa được biết đến, bao gồm cả các cuộc tan công bên trong
Các kỹ thuật khai thác dit liệu được sử dụng trong phát hiện xâm nhập bao gồm:
PHAM KHÁNH HƯNG-B19DCAT096 13
Trang 24DO AN TOT NGHIỆP
¢ Phan cụm: Phân cụm chia đữ liệu thành các nhóm dựa trên các đặc điểm
chung Các cuộc tan công có thé được phát hiện bằng cách xác định các nhóm
dữ liệu bất thường
- Kham phá quy tắc kết hợp: Khám phá quy tắc kết hợp tìm kiếm các quy tắc kết
hợp các đặc điểm để chỉ ra một sự kiện nhất định Các quy tắc này có thể được
sử dụng dé phát hiện các cuộc tan công
¢ Phan loại: Phân loại gan các điểm dữ liệu vào các lớp Các cuộc tan công có thé
được phát hiện bằng cách đào tạo một mô hình phân loại trên dữ liệu tấn công
và đữ liệu bình thường.
« K-lang giéng gần nhất: K-láng giéng gần nhất xác định các điểm dữ liệu gan
nhất với một điểm dữ liệu nhất định Các cuộc tấn công có thể được phát hiệnbăng cách xác định các điểm dữ liệu bất thường có các điểm đữ liệu bìnhthường gần nhất
¢ Phuong pháp cây quyết định: Phương pháp cây quyết định sử dung một cây
phân nhánh dé đưa ra dự đoán Các cuộc tấn công có thê được phát hiện bangcách đào tạo một cây quyết định trên dữ liệu tấn công và đữ liệu bình thường
Uu điểm của kỹ thuật phát hiện xâm nhập dựa trên khai thác đữ liệu
«Có thể phát hiện các cuộc tấn công mới, chưa được biết đến
« C6 thé phát hiện các cuộc tấn công bên trong
« - Có thé xử lý dữ liệu chiều cao
« C6 thể tao ra các mẫu ở chế độ không giám sát
Nhược điểm của kỹ thuật phát hiện xâm nhập dựa trên khai thác đữ liệu
« Cac phương pháp này xác định những bat thường là sản phẩm phụ của quá
trình phân cụm và không được tối ưu hóa đề phát hiện sự bất thường
- Ching yêu cầu dung lượng lưu trữ cao và phân loại chậm do có nhiều chiêu
Machine learning or soft computing-based techniques (Kỹ thuật dựa trên máyhọc hoặc điện toán mềm)
Học máy là một lĩnh vực của trí tuệ nhân tạo (AI) cho phép các chương trình tự
học va cải thiện hiệu suất của chúng theo thời gian Học máy được sử dụng trongnhiều ứng dụng khác nhau, bao gồm phát hiện xâm nhập, phân loại hình ảnh và nhậndạng giọng nói.
Có nhiều kỹ thuật học máy khác nhau, mỗi kỹ thuật có ưu và nhược điểm riêng.Một số kỹ thuật học máy phô biến bao gồm:
PHAM KHÁNH HƯNG-B19DCAT096 14
Trang 25DO AN TOT NGHIỆP
¢ Phuong pháp Bayesian: Phương pháp Bayesian sử dung xác suất dé đưa ra dự
đoán.
« May vectơ hỗ trợ: Máy vectơ hỗ trợ sử dụng các đường thăng hoặc mặt phẳng
dé phân loại đữ liệu
¢ Mang lưới thần kinh: Mạng lưới thần kinh mô phỏng hoạt động của não người
« Logic mờ: Logic mờ sử dụng các khái niệm fuzzy dé đưa ra dự đoán
e Thuật toán di truyền: Thuật toán di truyền sử dụng các thuật toán tiễn hóa dé
tìm kiếm giải pháp tối ưu
Học máy có một số wu điểm so với các phương pháp truyền thống bao gém:
« Tinh linh hoạt: Học máy có thé được sử dụng dé giải quyết nhiều loại van dé
khác nhau.
¢ Kha năng thích ứng: Học máy có thể học từ đữ liệu mới và cải thiện hiệu suất
theo thời gian.
¢ Nam bắt sự phụ thuộc lẫn nhau: Học máy có thé nam bắt các mối quan hệ phức
tạp giữa các biến
Tuy nhiên, học máy cũng có một số nhược điêm:
« D6 phức tạp thuật toán: Các thuật toán học máy có thé rất phức tạp và khó
hiểu
¢ - Thời gian đào tạo: Học máy có thé mat nhiều thời gian dé đào tạo các mô hình
User intention identification (nhận dạng mục đích người dùng)
Hệ thống phát hiện xâm nhập có thể được xây dựng dựa trên các tính năngphân loại người dùng hoặc cách sử dụng hệ thống, dé phân biệt các hoạt động bấtthường với các hoạt động bình thường Trong quá trình điều tra ban đầu về phát hiện
sự bat thường, trọng tâm chính là lập hồ sơ hệ thống hoặc hành vi của người dùng từnhật ký hệ thống hoặc dữ liệu nhật ký kế toán được giám sát Dữ liệu nhật ký hoặcnhật ký hệ thống có thể chứa các lệnh shell UNIX, lệnh gọi hệ thống, thao tác phím,
sự kiện kiểm tra và gói mạng được sử dụng.[2]
1.2.3 Phân tích dữ liệu
Phân tích là giai đoạn cuối cùng của chu trình NSM, và được thực hiện khi mộtngười điễn giải và xem xét đữ liệu cảnh báo Điều này thường sẽ liên quan đến việcxem xét thu thập dữ liệu bô sung từ các nguồn dữ liệu khác Điều này có thé bao gồm
các viéc sau:
e Phan tích gói tin
PHAM KHANH HUNG-B19DCAT096 15
Trang 26DO AN TOT NGHIỆP
e Phan tich mang
e Phân tích máy chu
e Phan tích phan mém déc hai
Phân tích đữ liệu là phần tốn thời gian nhất trong chu trình NSM Tại thời điểmnày một sự kiện có thể được chính thức nâng lên thành sự cố, và có thé bắt đầu vớicác biện pháp ứng phó Trong NSM, nói chung mỗi quy trình phân tích gồm 3 phan:
đầu vào, điều tra và đầu ra Phân tích là một cách tiếp cận có hệ thống dé xác định khimột sự cố xảy ra Các đầu vào thường là một số loại cảnh báo IDS hoặc một sự cé batthường, và đầu ra là các quyết định về một sự cô đã xảy ra Sau đây tác giả sẽ trìnhbày hai phương pháp phân tích bao gồm: điều tra quan hệ và chân đoán khác biệt [5]
1.2.3.1 Điều tra quan hệ
Các phương pháp quan hệ được dựa trên việc xác định các mối quan hệ tuyến
tính giữa các thực thê Đây là loại điều tra dựa trên các mối quan hệ tồn tại giữa các
đầu mối và các cá nhân liên quan đến tội phạm Một mạng lưới các máy tính có thểliên tưởng tới một mạng lưới của con người Tất cả mọi thứ được kết nối, và mỗihành động được thực hiện có thê dẫn đến hành động khác xảy ra Điều này có nghĩarằng nếu các chuyên gia phân tích có thể xác định đủ các mối quan hệ giữa các thựcthể, họ có thể tạo ra một trang web cho phép xem hình ảnh đầy đủ về những gì đangxảy ra trong quá trình điều tra một vụ việc Quá trình này sẽ bao gồm bốn bước được
trình bày bên dưới.
Bước 1: Điều tra các đôi tượng chính và thực hiện điêu tra sơ bộ về các cảnh báo.
Trong một cuộc điều tra NSM, các chuyên gia phân tích thường được thông
báo về một sự kiện từ đữ liệu cảnh báo, bao gồm cả các thông báo được tạo ra bởi một
IDS Cảnh báo này thường bao gồm các máy tính có liên quan với các sự kiện và tính
chất của các cảnh báo Trong trường hợp này, các cảnh báo tương tự như khiếu nại, và
các máy chủ cũng tương tự như các đối tượng Trong một chuỗi các sự kiện tương tự,các chuyên gia phân tích NSM phải thực hiện một xác định sơ bộ là liệu cảnh báo cógiá trị điều tra thêm hay không Thông thường, điều này có nghĩa là kiểm tra chỉ tiếtcác luật hoặc cơ chế phát hiện gây ra các cảnh báo, và xác định liệu những lưu lượnggan với nó có thực sự phù hợp với cảnh báo không Về cơ bản, đây là một nỗ lực dénhanh chóng xác định có dương tính giả xảy ra hay không Nếu những cảnh báokhông phải là đương tính giả, bước tiếp theo của việc phân tích nên bắt đầu với việcthu thập thông tin về các đối tượng chính gắn với các cảnh báo: các địa chỉ IP của cáctài nguyên mạng tin cậy và nguy hiểm
Bước 2: Điều tra mối quan hệ chính và tương tác hiện tại
Sau khi đã điêu tra vê đôi tượng, các chuyên gia phân tích NSM sẽ điêu tra các
môi quan hệ giữa máy tính cân bảo vệ và máy tính nguy hiêm, bao gôm quan hệ trước
PHAM KHÁNH HƯNG-B19DCAT096 16
Trang 27DO AN TOT NGHIỆP
lúc cảnh báo và các tương tác ở thời diém dién ra cảnh báo Bat dau băng việc xác định ban chat các két nôi trước đó giữa các máy Các câu hỏi sau có thê được đặt ra:
e Hai máy tính trên đã từng liên lạc với nhau trước đó hay chưa?
s® Nếu có liên lạc thì công, giao thức mang, va các dịch vụ nao dùng để
liên lạc?
Tiép theo, các chuyên gia phân tích sẽ điêu tra kỹ lưỡng các kêt nôi gan với các cảnh báo ban đâu Đây là nơi mà dữ liệu từ nhiêu nguôn được lây và phân tích đê tìm kiêm các két nôi, bao gôm các hoạt động như sau:
e Thu thập dữ liệu PCAP
se Thực hiện phân tích gói
e Thu thập dữ liệu PSTR
se Trích xuất các tệp tin và thực hiện phân tích phần mềm độc hại
© Tao thống kê từ dữ liệu phiên
Trong một số trường hợp, lúc này các chuyên gia phân tích có thé xác định liệu
một sự cô đã xảy ra hay không Khi đó, các điều tra có thê kết thúc ở đây Nếu vụ việckhông được định nghĩa rõ ràng vào thời điểm này hay không có quyết định cụ thể nào,
các bước tiếp theo sẽ được thực hiện
Bước 3: Điều tra các đối tượng thứ cấp và mối quan hệ
Các đối tượng thứ cấp là những đối tượng có liên quan đến đến cảnh báo phát
ra Trong cuộc điều tra NSM, khi điều tra mối quan hệ giữa hai máy tính, chuyên gia
phân tích nhận thấy rằng máy tính được bảo vệ đã có giao tiếp với các máy tính tấncông khác và ngược lại Ngoài ra các chuyên gia còn phân tích các tệp tin độc hạiđược gửi qua máy cần bảo vệ dé có thé biết thêm được các thông tin về các đối tượngthứ cấp khác chăng hạn như địa chỉ IP thứ 3 hay một công lạ khác Khi đối tượng thứcấp được xác định, chúng cần được điều tra theo cách tương tự như các đối tượngchính Tiếp đó, các mối quan hệ giữa các đối tượng thứ cấp và các đối tượng chính cầnđược kiểm tra
Bước 4: Điêu tra bô sung về quan hệ của các đôi tượng.
Tại thời điểm này, việc điều tra các đối tượng và các mối quan hệ nên lặp lại
nhiều lần khi cần thiết, và có thé đòi hỏi các đối tượng mức ba hoặc mức bốn Khithực hiện, nên đánh giá các đối tượng và các mối quan hệ một cách đầy đủ trên cơ sởcủa mỗi cấp độ, điều tra đầy đủ mỗi mức trước khi chuyển sang mức kế tiếp, nếu
không sẽ rat dé dàng mat dấu và bỏ quên các kết nối quan trọng khi xem xét các máy
tính khác Khi kết thúc, có thể mô tả mối quan hệ giữa các đối tượng và cách các hoạt
động độc hại đã xảy ra.
1.2.3.2 Chẩn đoán khác biệt
PHAM KHÁNH HƯNG-B19DCAT096 17
Trang 28DO AN TOT NGHIỆP
Phương pháp chân đoán khác biệt dựa trên một quá trình loại trừ, bao gồm năm
bước riêng biệt, mặc dù trong một số trường hợp chỉ cần có hai bước Quy trình chanđoán khác biệt như sau:
Bước 1: Xác định và liệt kê các dấu hiệu
Trong NSM, một dấu hiệu phổ biến nhất là một cảnh báo được tạo ra bởi một
số hình thức của hệ thống phát hiện xâm nhập hoặc các phần mềm phát hiện khác.Mặc dù bước này tập trung chủ yếu vào các dấu hiệu ban đầu, các dấu hiệu khác cóthé được bồ sung vào danh sách này khi tiến hành kiểm tra hoặc điều tra bổ sung
Bước 2: Xem xét và đánh giá chan đoán pho biến nhất đầu tiên
Chan đoán phổ biến nhất có khả năng là chính xác, vậy nên chân đoán này nênđược đánh giá đầu tiên Chuyên gia phân tích cần tập trung vào điều tra cần thiết dénhanh chóng xác nhận chan đoán này Nếu chan đoán phổ biến không thé khang địnhtrong bước đầu tiên thì chuyên gia phân tích cần tiến hành bước tiếp theo
Bước 3: Liệt kê tat cả chan đoán có thé cho các dau hiệu đã biết
Bước tiếp theo trong quy trình là liệt kê tat cả các chan đoán có thé dựa trên cácthông tin hiện có với các đấu hiệu được đánh giá ban đầu Bước này đòi hỏi một sốsuy nghĩ sáng tạo và thường là thành công nhất khi có nhiều chuyên gia phân tíchtham gia trong việc tao ra những ý tưởng Mỗi chan đoán có khả năng trong danh sáchnày sẽ được coi như một ứng cử viên.
Bước 4: Đánh giá mức ưu tiên trong danh sách ứng viên theo mức độ nghiêm
trọng
Trong trường hợp của một chuyên gia phân tích NSM, đánh giá mức ưu tiên
theo mức độ de doa đối với an ninh mạng của tổ chức Điều này sẽ phụ thuộc vào bảnchất của tô chức Ví dụ, nếu "MySQL Database Root Compromise" là một diéu kiéncần xem xét thì một công ty có cơ sở dữ liệu chứa số liệu an sinh xã hội sẽ được ưu
tiên đánh giá cao điều kiện này nhiều hơn so với một công ty sử dụng một cơ sở dữ
liệu đơn giản dé lưu trữ một danh sách bán hàng của nhân viên của mình
Bước 5: Loại bỏ các điêu kiện ứng viên, và bắt đầu với cái nghiêm trọng nhât
Bước cuối cùng là nơi mà phần lớn các hành động xảy ra Dựa trên danh sách
ưu tiên tạo ra trong bước trước, chuyên gia phân tích nên bắt đầu làm những gì là cầnthiết để loại bỏ các điều kiện ứng cử viên, bắt đầu với những điều kiện đặt ra mối đedọa lớn đối với an ninh mạng Quá trình này loại bỏ yêu cầu xem xét từng điều kiệnứng cử viên và thực hiện các kiểm tra, tiến hành nghiên cứu, điều tra các nguồn dữ
liệu khác nhằm loại trừ chúng ra khỏi danh sách các khả năng Trong một số trường
hợp, điều tra một điều kiện Ứng viên có thể loại trừ nhiều điều kiện ứng viên, từ đóthúc đây nhanh quá trình này Cuối cùng, mục tiêu của bước cuối cùng này là đưa ra
PHAM KHÁNH HƯNG-B19DCAT096 18
Trang 29DO AN TOT NGHIỆP
một chan đoán, vi vay mot su cố có thé được khai báo hoặc cảnh báo có thé bị loại bỏ
như một dương tính giả Lưu ý rằng "Liên lạc bình thường" là một chan đoán hoàn
toàn chấp nhận được, và sẽ là chân đoán phổ biến nhất mà một chuyên gia phân tíchNSM thường có.
1.3 Thách thức đối với hệ thống giám sát an toàn mang [2]
Vì NSM và phòng thủ theo mối de doa là một lĩnh vực mới phát triển gần đây nên
nó còn nhiều khó khăn và thách thức Đầu tiên là việc chuẩn hóa thuật ngữ và phươngpháp còn diễn ra không đồng nhất gây khó khăn cho việc trao đổi, tiếp thu kiến thức
và triển khai hệ thống Không có tiêu chuẩn chung cho NSM, khiến việc tích hợp cácgiải pháp từ các nhà cung cấp khác nhau trở nên khó khăn Một nghiên cứu củaForrester Research cho thấy, 60% các tô chức không có tiêu chuẩn NSM được xác
khó khăn trong việc tìm kiếm và thuê các chuyên gia NSM có kinh nghiệm Hơn thế
nữa việc đào tạo, xây dựng đội ngũ nguồn nhân lực thực hiện giám sát mạng chưađược chú trọng đúng mức Số lượng chuyên gia giám sát an toàn mạng còn thiếu hụt,chưa đáp ứng được nhu cầu của các cơ quan, tổ chức có sử dụng mạng Việc trang bịcác kỹ năng thực hành cho đội ngũ quản trị viên để có được hiệu quả tốt trong giám
sat an toàn mạng va ứng cứu sự cố mạng là một vấn đề khó khăn Trình độ, kỹ năng
về đảm bảo an toàn thông tin của người dùng tại các cơ quan, doanh nghiệp chưa đồng
đều, tạo ra lỗ hồng cho tội phạm mạng lợi dụng, khai thác
Tiếp theo là về mặt kỹ thuật với tốc độ phát trién nhanh chóng của công nghệ, các
kỹ thuật tắn công phức tạp cũng được thiết kế đặc biệt đề lân tránh khỏi sự phát hiệncủa các hệ thống bảo mật Các cuộc tấn công mạng hiện nay thường sử dụng các kỹ
thuật tinh vi khó bị hệ thống bảo mật phát hiện như tan công sử dụng lỗ hồng day, tan công kỹ nghệ xã hội (Social Engineering), tan công phát tán mã độc, tan công
zero-có chủ đích (APT) Quản trị viên thường chỉ phát hiện ra tấn công khi đã zero-có những
thiệt hại nhất định trên hệ thống Ngoài tấn công mạng, các hiểm họa tấn công từchính trong mạng nội bộ, mang LAN của cơ quan, tổ chức cũng là một trong nhữngmối đe dọa an toàn thông tin nghiêm trọng Các cuộc tấn công này rất khó bị phát hiệntheo các cách thức và kỹ thuật thông thường.
Thách thức tiếp theo mà khối lượng dữ liệu không 16 và phức tap được tạo rabởi hệ thống NSM Theo một nghiên cứu của Gartner, khối lượng dir liệu mạng sẽtăng gấp 5 lần từ năm 2020 đến năm 2025 Điều này làm cho việc thu thập, lưu trữ vàPHAM KHÁNH HƯNG-B19DCAT096 19
Trang 30DO AN TOT NGHIỆP
phân tích dữ liệu trở thành một thách thức lớn Hơn thế nữa dữ liệu mạng có thể rất
phức tạp bao gồm dữ liệu từ nhiều nguồn khác nhau, chang hạn như lưu lượng mạng,
nhật ký hệ thống và ứng dụng Điều này làm cho việc phân tích dữ liệu trở nên khó
khăn hơn, vì các chuyên gia NSM cần phải hiểu được các nguồn dữ liệu khác nhau và
cách chúng liên quan với nhau Các chuyên gia phân tích cũng có thé bị choáng ngợpbởi số lượng log không 16 và thường bỏ lỡ một số sự cố nào đó vì nó bị nhắn chìm bởimột biên thông tin dương tinh giả
Thách thức cuối cùng là về mặt chính sách khi mà chi phí để xây dựng vận
hành và duy trì một hệ thống giám sát an toàn mạng là không hề nhỏ và không phải tổchức nào cũng có thé đáp ứng được Trong đó bao gồm chi phi phần cứng cần thiết déthu thập và phân tích lượng đữ liệu lớn được tạo ra từ các chức năng giám sát mạng,chi phi chi trả cho lực lượng chuyên gia dé thuc hién phan tich giam sat an toan mang
và chi phí dé đầu tu cơ sở hạ tang
1.4 Ứng dụng của giám sát an toàn mạng
Có nhiều trường hợp an toàn thông tin trong thực tế cần theo dõi giám sát liên tục,
ví dụ như mười trường hợp dưới đây yêu cầu nhóm bảo mật cần triển khai càng sớmcàng tốt:
= Giám sát thực thé đặc quyên
= Xác thực thất bại do vét cạn
= Xác thực bất thường
e Tai khoản dich vụ được sử dụng dé đăng nhập tương tac
e Tai khoản dich vụ được sử dụng từ hệ thống nguồn không được ủy quyền
e Nguoi dùng đăng nhập cục bộ (trên mạng LAN) trong một cửa số của đăng
nhập VPN.
° Nguoi dùng đăng nhập nhiều hơn một tiếng đồng hồ trước hoặc sau khoảng
thời gian làm việc bình thường.
e - Xác thực người dùng tương tác từ nhiều hệ thống nguồn
e Sử dụng tài khoản dùng chung (không nên nhằm lẫn với việc chấp nhận ý
tưởng răng việc sử dụng tài khoản dùng chung được chấp nhận)
e Su dụng tai khoản mặc định (chú ý tương tự như trên).
= Phiên bất thường Có rất nhiều vi dụ trong lĩnh vực này
® Người dùng cuối thông thường phải có một phiên bắt đầu và kết thúc cách
nhau mười giờ đồng hồ (hoặc ít hơn)
¢ H6 sơ thay đôi đáng ké trong thói quen duyệt web
© Nhiéu từ chối từ tường lửa đối với kết nối ra
e Lién lạc giữa mang máy trạm tới mạng máy tram.
© Mu cắt hop lý cho các phiên là gi?
= Các bất thường về tài khoản
PHAM KHÁNH HƯNG-B19DCAT096 20
Trang 31DO AN TOT NGHIỆP
Các tài khoản được sử dung trước ngày bắt đầu của người dùng
Các tài khoản được sử dụng sau ngày kết thúc của người dùng
=" Các chỉ sô lọc dữ liệu
HTTP(S) Gui/Nhan không khớp Dữ liệu nhận được từ một trang webthường gấp nhiều lần dữ liệu được gửi đến một trang web, theo khối lượngbyte, vì phần lớn thời gian trình duyệt dang tải xuống tệp và hién thị tệp đó
cho người dùng.
(Các) giao thức truyền tệp được sử dụng từ các nguồn người dùng cuối hoặc
hệ thống không yêu cầu các dịch vụ này, chang hạn như FTP gửi đi từ máychủ in.
Sử dụng các trang web lưu trữ tệp (Dropbox, Box, Microsoft OneDrive, Google Drive, SugarSync, Leapfile, v.v.)
Sử dụng các trang web cho phép dễ dàng chia sẻ thông tin hoặc lưu trữ văn
bản, nơi người dùng có thé cắt/đán thông tin ma không được kiểm soát
“ Chữ ký khớp với kết quả quét lỗ hong bảo mật đã biết
= Bất kỳ lỗi dịch vụ nào thấy xuất hiện quá nhiều, ví dụ như các phần mềm
chống virus liên tục bị lỗi hoặc sao lưu không thành công Lưu ý là chức năng
phát hiện mat điện cũng cung cấp giá trị bao mật
= Chỉ báo mối đe dọa từ bên trong
Truy cập các trang web “nghiên cứu bảo mật”.
Sử dụng 6 USB
VỊ phạm vượt mức cơ sở cho xác thực.
Xác thực không thành công đối với chia sẻ tệp, ứng dụng, máy chủ, siteSharePoint nội bộ, v.v.
= Các điều kiện lỗi của dữ liệu nhật ký bảo mật [5]
Kết chương
Như vậy, chương 1 đã trình bày khái quát về NSM (network security monitoring):khái niệm, tính ứng dụng của nó trong thực tế, chu trình thực hiện NSM bao gồm thuthập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu Hiểu được những thách thức vàứng dụng của NSM trong thực tế
PHAM KHÁNH HƯNG-B19DCAT096 21
Trang 322.1 Snort và Suricata
2.1.1 Tổng quan về Snort và Suricata
Hệ thống phát hiện xâm nhập mạng (NIDS) là một công cụ bảo mật giám sátlưu lượng truy cập mạng để tìm hoạt động độc hại hoặc vi phạm chính sách, phát hiện
và cảnh báo quản trị viên về các mối đe dọa tiềm ẩn NIDS phân tích lưu lượng truycập và áp dụng các quy tắc được xác định trước dé xác định các mô hình hoặc hành viđáng ngờ, giúp bảo vệ mạng khỏi các nỗ lực xâm nhập, phần mềm độc hại và các mối
cảnh báo về các mối đe dọa tiềm ân trước khi chúng có thể xâm nhập vào mạng hoặc
lấy cắp dữ liệu nhạy cảm
Suricata là hệ thống phát hiện xâm nhập mạng nguồn mở (NIDS) được phát
triển bởi Tổ chức bảo mật thông tin mở (OISF) Suricata có thé được sử dụng làm hệ
thống ngăn chặn xâm nhập (IPS) và công cụ Giám sát an ninh mạng, mặc dù điều này
phụ thuộc phần lớn vào việc triển khai nó trong mạng của ta Nó được biết đến với
kiến trúc đa luồng, hiệu suất cao và tập trung vào việc cung cấp khả năng phát hiện và
ngăn chặn xâm nhập nâng cao Suricata hoạt động bằng cách phân tích lưu lượng truy
cập mạng, áp dụng các quy tắc được xác định trước dé xác định hoạt động độc hại vàcảnh báo quản tri viên về các mối đe dọa tiềm ấn Điều khiến Suricata khác biệt so vớicác NIDS khác là kiến trúc đa luồng của nó, cho phép nó xử lý đồng thời nhiều tác vụmột cách hiệu quả Điều này dẫn đến việc xử lý gói nhanh hơn và hiệu suất cao hơn sovới các hệ thông đơn luéng
Snort là Hệ thống phát hiện xâm nhập mạng (NIDS) mã nguồn mở phô biến,được tạo bởi Martin Roesch và được Cisco Systems duy trì Snort đã có mặt trên thịtrường gần một thập kỷ và có khả năng tương thích rộng rãi với nhiều thiết bị, hệ điều
hành và công cụ của bên thứ ba Trọng tâm chính của nó là phát hiện dựa trên quy tắc
và phân tích giao thức Snort hoạt động bằng cách giám sát lưu lượng mạng và ápdụng các quy tắc được xác định trước để phát hiện hoạt động độc hại, tạo cảnh báo dé
PHAM KHANH HUNG-B19DCAT096 22
Trang 33DO AN TOT NGHIỆP
quản tri viên thực hiện hành động thích hop Điểm mạnh của Snort nằm ở bộ quy tắc
mở rộng, có thể được tùy chỉnh để đáp ứng nhu cầu bảo mật cụ thể của một tổ
chức Khả năng thích ứng này cho phép Snort hoạt động vượt trội trong nhiều môi
trường khác nhau, cung cấp khả năng bảo vệ phù hợp trước nhiều mối đe dọa
nhập nâng cao
Tập trung vào phát hiện dựa trênquy tắc và phân tích giao thức
Hiệu suất tốt hơn trong môi trường có
lưu lượng truy cập cao
Hiệu suât tôt hơn trong môi trường có
nguôn lực hạn chê
Hỗ trợ chế độ nội tuyến và thụ động Hỗ trợ chế độ nội tuyến và thụ động
Vé hiệu suât và kha năng mở rộng
Bang 2 2 So sánh hiệu suất và khả năng mở rộng của Snort và Suricata [4]
Việc sử dụng tài nguyên hiệu qua cho
phép xử lý tốt hơn khối lượng lưu lượng
truy cập lớn
Việc sử dụng tài nguyên thấp hơn làmcho nó phù hợp với môi trường có nguồn
lực hạn chế
Kiên trúc đa luông mang lại hiệu suât
được cải thiện
Kiên trúc đơn luông có thê có những hạn chê về hiệu suât trong môi trường có lưu
lượng truy cập cao
Có thê mở rộng do sử dụng hiệuquả tài nguyên và khả năng xử lý lưu
lượng
Có thể có ít khả năng mở rộng hơn, đặcbiệt là trong môi trường có lưu lượng
truy cập cao
Về việc sử dụng và câu hình
Trang 34Không có giao diện web tích hợp (Có
san bên thứ ba)
Cau hình dựa trên YAML đơn giản hóa
việc thiết lập
Phương pháp câu hình truyền thông
lýThiết lập dé dang hơn nhờ giao diện web | Có thể yêu cau nhiều nỗ lực tùy chỉnh va
và cau hình YAML cầu hình hơn
Về cộng đồng và hỗ trợ
Bảng 2 4 So sảnh cộng đồng và sư hỗ trợ của Snort và Suricata [4]
Phát trién tích cực, luôn cập nhật và cải
tiến thường xuyên
Phạm vi tích hợp của bên thứ ba rộng hơn do đã có mặt trên thị trường lâu hơn
Tổ chức bảo mật thông tin mở (OISF) là
tô chức phát triển chính
Được duy trì bởi Hệ thống Cisco
Về giá trị
Bảng 2 5 So sánh về giá trị cua Snort và Suricata [4]
Yếu tố chi phí Suricata Snort
Giay phép Mã nguôn mở Mã nguồn mở
Tùy chọn hỗ trợ Cộng đồng (Miễn phí) Cộng đồng (Miễn phi)
Trả phí-Cá nhân
$30/năm-doanh nghiệp từ $300/năm
Tài nguyên dao tạo Trả phí hoặc miễn phí Miễn phí
(Bắt đầu khoảng 2.000
USD) Công cụ của bên thứ ba Trả phí Trả phí
(ví dụ: Khoảng $95/tháng) (Quy tắc Talos)-Cá nhân
Trang 35DO AN TOT NGHIỆP
$30/năm-Chuyên nghiệp
bat đầu từ $400/nam
Yêu cầu phần cứng Thay đối theo quy mô Thay đối theo quy mô
Tóm lại, cả Suricata và Snort đều là những hệ thống phát hiện xâm nhập mạng
mạnh mẽ, cung cấp khả năng bảo vệ mạnh mẽ cho môi trường mang Mặc du chúng
có nhiều điểm tương đồng nhưng chúng cũng có các tính năng độc đáo riêng, đặcđiểm hiệu suất và sự hỗ trợ của cộng đồng khác nhau khiến việc lựa chọn chúng phụthuộc vảo nhu cầu và nguồn lực cụ thé của tổ chức
2.2 Wazuh
2.2.1 Tổng quan về Wazuh
Wazuh là một dự án mã nguồn mở với các chức năng phát hiện xâm nhập, hiểnthị và giám sát an toàn thông tin Wazuh ban đầu được phát triển dựa trên OSSECHIDS và sau đó được tích hợp thêm Elastic Stack cùng với OpenSCAP để trở thành
một giải pháp an ninh toàn diện với các khả năng như:
4Q) | Prevention | Forensics | Telemetry Workflows
Hình 2 1 Chức năng cua Wazuh
Wazuh tự động thu thập và tông hợp dữ liệu bảo mật từ các hệ thống chạy hệ
điều hành Linux, Windows, macOS, Solaris, AIX và các hệ điều hành khác Hơn nữa
Wazuh cũng phân tích và đối chiếu dữ liệu dé phát hiện các điểm bat thường và xâm
nhập.
Phản ứng với sự cé là một tính năng tương đối hữu ich của Wazuh đối với các
mối đe dọa đang hoạt động Wazuh có các phản hồi hoạt động ngoài hộp, nghĩa là
người dùng không phải làm bat cứ điều gì dé thiết lập chúng Nếu hệ thống phát hiện
ra các môi đe dọa đang hoạt động, các biện pháp đối phó sẽ được hành động ngay lập
tức Ví dụ, nhiều tin tặc sử dụng các cuộc tấn công brute-force dé đoán tên người dùng
PHAM KHÁNH HƯNG-B19DCAT096 25
Trang 36DO AN TOT NGHIỆP
và mật khâu Wazuh sẽ lưu ý mỗi lần xác thực không thành công va phát cảnh báo
Với số lỗi đạt đến một ngưỡng nhất định, hệ thống sẽ nhận ra chúng là một phần của
cuộc tấn công bruteforce Ví dụ khi một tiêu chí nhất định được đáp ứng (ví dụ: mười
lần đăng nhập không thành công liên tục), nó sẽ chặn địa chỉ IP đó khỏi các lần thử
tiếp theo [3]
2.2.2 Kiến trúc của Wazuh
Kiến trúc của Wazuh xoay quanh mô hình: agent chạy trên các host được
giám sat va forward dtr liệu dén server trung tâm Bên cạnh đó, Wazuh cũng hỗtrợ các thiết bị agentless (firewall, switch, router, access point ) submit dữ liệuthông qua syslog, hoặc có thé bị động chờ hệ thống quét các thay đổi trong cau hìnhcủa chúng và sau đó forward đữ liệu đến server trung tâm Server trung tâm sẽ chịu
trách nhiệm giải mã và phân tích các thông tin được gửi đến và chuyền tiếp kết quả
đến Elasticsearch dé được index và lưu trữ
Một Elasticsearch cluster là một tập hợp của một hay nhiều node (server) giaotiếp với nhau dé thực hiện các thao tác đọc và ghi trên các index Một single nodeElasticsearch cluster có thể đễ dàng quản lý một hệ thống Wazuh cỡ nhỏ với khoảng
50 agent đồ lại Các multi-node Elasticsearch cluster thường được khuyến cáo khi cómột số lượng lớn hệ thống cần giám sát, hay có một lượng dữ liệu lớn, hoặc những hệ
thống có yêu cầu cao về tính sẵn sàng
Khi mà Wazuh server và Elasticsearch cluster nằm trên các host khác nhau,
Filebeat sẽ chiu trách nhiệm truyền tải các alert hoặc các sự kiện hệ thống đến các
Elasticsearch server bang giao thức TLS Khi triển khai hệ thống, các thành phan sẽ
được cài đặt trên các Host riêng biệt Kibana có thể được cài đặt trên cùng một Host
của nút Elasticsearch hoặc trên một Host riêng biệt Kiểu triển khai này phù hợp với
môi trường sản xuất vì nó cung cấp tính khả dụng và khả năng mở rộng cao của các
dịch vụ.
Các thành phần sẽ được cài đặt:
e May chủ Wazuh, bao gồm trình quản lý Wazuh dưới dạng một cụm nút
đơn(single-node) hoặc dưới dang cụm nhiều nit(multi-node), API Wazuh
và Filebeat.
e Elastic Stack, bao gom Open Distro cho Elasticsearch dưới dang một cum
nút don(single-node) hoặc dưới dang cụm nhiều nit(single-node) vàKibana, bao gồm cả plugin Wazuh Kibana, trên cùng một máy chủ lưu trữ
như nút Elasticsearch hoặc trên một may chủ riêng biệt.
Đối với các triển khai Wazuh quy mô nhỏ thì chúng ta sẽ cài đặt và cấu hìnhWazuh server và Elastic Stack trên cùng một máy chủ.
Các thành phần sau sẽ được cài đặt:
PHAM KHÁNH HƯNG-B19DCAT096 26
Trang 37Tài nguyên cần thiết của Elasticsearch, Logstash và Kibana: 8 cores, tối thiểu
can 32GB RAM, tối đa cho phép là 64G, dung lượng 6 cứng tối thiểu 1TB
Tài nguyên cần thiết của Wazuh Manager: 4 cores, 16GB RAM, dunglượng 6 cứng tối thiểu 1TB [3]
2.2.3 Uu điểm và nhược điểm của Wazuh
Về mặt ưu điểm:
Quản lý nhật ký bảo mật tập trung cho tất cả nhật ký Điểm cuối (máy chủ, thiết
bị mạng, Máy khách và ứng dụng) Vì công cụ tìm kiếm cơ bản của nó là
Elasticsearch và Kibana, nên có vô số tùy chọn về cách ta có thé tìm kiếm
trong nhật ký của minh và cách ta biểu diễn chúng
Nó có một tác nhân độc quyền, có thể được cài đặt trên các điểm cuối Linux
hoặc Windows đề thu thập nhật ký bảo mật và chúng được định dạng trên trình
quản lý Wazuh đề phân tích nhật ký Ngoài ra, trong trường hợp của Windows,
tác nhân có thể được triển khai thông qua Domain GPO, tuy nhiên tác nhân sẽđược xác thực và các giao dịch giữa tác nhân và người quản lý sẽ được mã hóa.
Tác nhân quét hệ thống được giảm sat dé tìm rootkit, phan mềm độc hai, cácđiểm bat thường đáng ngờ Cung cấp HIDS (Phát hiện xâm nhập dựa trên máychủ) hoàn chỉnh và nó thực hiện việc này rất hiệu quả
Tác nhân lấy dữ liệu kiểm kê phần mềm trên các điểm cuối và gửi thông tin
này đến người quản lý, nơi nó được đánh giá dựa trên cơ sở dữ liệu CVE nguồn
mở như NVD liên tục được cập nhật Nó cung cấp tính năng phát hiện lỗ hồngdựa trên tác nhân đầy đủ trên các hệ thống được giám sát
Giam sát tính toàn vẹn tệp File Integrity Monitoring hay (FIM) là một khía
cạnh thú vị khác của Wazuh Tại đây, ta có thể xác định một số tệp hoặc đườngdẫn cụ thé, ngay cả với mức đệ quy của chúng và dé nội dung của chúng được
theo dõi Ngay sau khi có sự thay đôi xảy ra, ta sẽ thấy những gi đã thay đổi
với file, ai là người thay đổi và những lệnh nào đã được dùng
Do tinh chất nguồn mở và nguồn từ cộng đồng của các công nghệ cơ bản
(Linux, Opendistro Elastic Stack Wazuh, cơ sở đữ liệu trực tuyến nguồn
mở ), ta sẽ không phải lo lắng về giấy phép cũng như số lượng hệ thống và
khối lượng đữ liệu được giám sát của mình
PHAM KHÁNH HƯNG-B19DCAT096 27
Trang 38DO AN TOT NGHIỆP
+ Kha năng mở rộng là một tinh năng rat quan trong khác Vì là Elasticsearch nên
ta có thê thêm các nút của mình và xây dựng cụm khi phát triển điểm cuối
Về nhược điêm:
e Mặc dù Wazuh cung cấp một số phản hồi tích cực sẵn có dé thực hiện nhiều
biện pháp đối phó khác nhau nhằm giải quyết các mối đe dọa đang hoạt động,chăng hạn như chặn quyền truy cập vào hệ thống từ nguồn de doa khi đáp ứngmột số tiêu chí nhất định nhưng điều này vẫn còn mới và Wazuh vẫn chưa đủphát triển dé kích hoạt nó trong môi trường sản xuất thực sự
¢ - Thiếu tai liệu đào tạo cho toàn bộ stack Ví dụ: trong nhiều trường hợp, người
ta cần xác định bộ giải mã của riêng mình (các kết quả khớp dựa trên RegEx détrích xuất các trường bắt buộc) và các quy tắc cho những bộ giải mã đó, và điều
đó không dé dàng [8]
2.3 Security Onion
2.3.1 Tổng quan về Securify Onion
Trong kỷ nguyên mà vấn đề về an ninh mạng không ngừng biến đổi, nền tảngSecurity Onion đã nổi lên như một công cụ quan trọng, cung cấp một giải pháp hoànhảo cho việc săn lùng mối đe dọa, giám sát an ninh doanh nghiệp và quản lý nhật kýhiệu quả Được biết đến như một sản phâm mã nguồn mở và miễn phi, Security Onion
đã nhận được sự ủng hộ mạnh mẽ từ cộng đồng an ninh mạng, đã được tải xuống hơn
2 triệu lần và đang được sử dụng rộng rãi bởi các đội an ninh trên toàn thế giới
Security Onion 2.4 đến với người dùng với hàng loạt cải tiến đáng chú ý Phiên bản
2.4.30 mang lại sự ôn định và tính năng mới cho người dùng bao gồm khả năng quan
sát mạng, khả năng quan sát máy chủ, honeypot phát hiện xâm nhập, quản lý log và quản ly case [1]
Trong sơ đồ hình 2.2, ta thay Security Onion trong mạng doanh nghiệp truyềnthống có tường lửa, máy trạm và máy chủ Ta có thể sử dụng Security Onion để giám
sát lưu lượng truy cập bắc/nam nhằm phát hiện kẻ thù xâm nhập vào môi trường, thiếtlập lệnh và kiểm soát (C2) hoặc có thé là trích xuất dữ liệu Ta cũng có thé muốn theodõi giao thông hướng đông/tây dé phát hiện chuyền động ngang Khi ngày càng nhiều
lưu lượng truy cập mạng của chúng ta được mã hóa, điều quan trọng là phải lap day
những điểm mù đó băng khả năng hiển thị bổ sung dưới dạng đo điểm cuối từ
xa Security Onion có thé sử dụng nhật ký từ máy chủ và máy trạm của ta dé sau đó ta
có thê tìm kiếm trên tất cả nhật ký mạng và máy chủ cùng một lúc mà không cần phải
dùng nhiều phần mềm khác
PHAM KHÁNH HƯNG-B19DCAT096 28
Trang 39Basic Network Setup
Created by Security Onion Solutions
Hinh 2 2 Vi tri cua Security Onion trong mang [11]
Đối với khả năng quan sát mang, Security Onion mang đến kha năng phát hiệndựa trên chữ ký thông qua Suricata, siêu dữ liệu giao thức phong phú và trích xuất tệpbang Zeek hoặc Suricata, thu thập gói dữ liệu đầy đủ thông qua Stenographer và phântích tệp thông qua Strelka Security Onion tạo cảnh báo NIDS (Hệ thống phát hiệnxâm nhập mạng) bằng cách giám sát lưu lượng truy cập mạng của ta và tìm kiếm dấuvân tay cũng như số nhận dạng cụ thể khớp với lưu lượng truy cập độc hại, bat thuonghoặc đáng ngờ đã biết Day là tinh năng phát hiện dựa trên chữ ky nên ta có thé nóirằng nó tương tự như chữ ký chống vi-rút cho mạng, nhưng nó sâu hơn và linh hoạthơn thế một chút Cảnh báo NIDS được tạo bởi Suricata
Đối với khả năng quan sát máy chủ, Security Onion cung cấp Elastic Agent, là
một công cụ quan trọng cho việc thu thập dữ liệu, truy vấn trực tiếp thông qua
Osquery và quản lý tập trung thông qua Elastic Fleet Dé tăng cường thêm khả năngquan sát doanh nghiệp, Security Onion cho phép tích hợp các honeypot phát hiện xâmnhập dựa trên OpenCanary vào triển khai của ta Tất cả các nhật ký này được tự độngluân phiên vào Elasticsearch và đội ngũ phát triển đã xây dựng các giao diện người
PHAM KHÁNH HƯNG-B19DCAT096 29
Trang 40DO AN TOT NGHIỆP
dùng riêng biệt cho cảnh báo, bang điêu khiên, tim kiêm môi de dọa, quản ly case va
quản lý mạng lưới.
Về công cụ phân tích thì với tất cả các nguồn dữ liệu được đề cập ở trên, có
một lượng dữ được tạo ra nhưng may thay Security Onion tích hợp chặt chẽ các công
cụ sau dé giúp hiểu rõ các dit liệu này [11]
Security Onion Console (SOC)
Security Onion Console (SOC) là giao diện đầu tiên ta nhìn thay khi đăng nhậpvào Security Onion Nó bao gồm giao diện Cảnh báo (Alert) của Security Onion cho
phép ta xem tat cả cảnh báo NIDS của minh từ Suricata
+ ET MALWARE Trickbot Ch high
4 ET POLICY HTTP traff rt 443 (POST) nediu
er acai 3 ET HUNTING GENER! CIOUS POST to Dotted Quad with Fake Browser 2 i
3 ET MALWARE VNI © BOTY
ET EXPLOIT ETERNALBLUE Pr high
ET EXPLOIT Possible ETERNALBLUE Probe MS17-010 high
ET HUNTING POST Body (ipconfig)
ET HUNTING POST Body (net config) suricata
Security Onion Console (SOC) cũng bao gồm giao diện Bang thông tin(Dashboard), giúp ta có cái nhìn tổng quan tuyệt vời không chỉ về các cảnh báo
NIDS/HIDS mà còn cả nhật ký siêu dữ liệu mang từ Zeek hoặc Suricata va bất kỳ nhật
ký nào khác mà ta có thê đang thu thập
PHAM KHÁNH HƯNG-B19DCAT096 30