Khóa luận tốt nghiệp An toàn thông tin: Cơ chế triển khai bẫy và phòng thủ di chuyển mục tiêu giảm thiểu tấn công trong mạng khả lập trình

Mục tiêu của đề tài Tận dụng các đặc tính của công nghệ SDN dé triển khai các kỹ thuật lừa dốimạng đánh lừa kẻ tan công xâm nhập vào bay và kỹ thuật di chuyền phòng thủ mụctiêu MTD nhằm

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

KHOA MẠNG MÁY TÍNH VÀ TRUYÈN THÔNG

NGUYEN CAT HAI DAO PHUONG NAM

KHOA LUAN TOT NGHIEP

CO CHE TRIEN KHAI BAY VA PHONG THU DI CHUYEN MUC TIEU GIAM THIEU TAN CONG

TRONG MANG KHA LAP TRINH

A SCHEME OF VIRTUAL HONEYPOT DEPLOYMENT AND MOVING TARGET DEFENSE TO MITIGATE

CYBERATTACKS IN SDN-AWARE NETWORK

KY SU NGANH AN TOAN THONG TIN

TP HO CHi MINH, 2021

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

KHOA MẠNG MÁY TÍNH VÀ TRUYÈN THÔNG

NGUYEN CAT HAI - 17520426

DAO PHUONG NAM - 17520111

KHOA LUAN TOT NGHIEP

CO CHE TRIEN KHAI BAY VA PHONG THU DI

CHUYEN MUC TIEU GIAM THIEU TAN CONG

TRONG MANG KHA LAP TRINH

A SCHEME OF VIRTUAL HONEYPOT DEPLOYMENT

AND MOVING TARGET DEFENSE TO MITIGATE CYBERATTACKS IN SDN-AWARE NETWORK

KY SƯ NGANH AN TOAN THONG TIN

GIANG VIEN HUONG DAN

ThS DO THI THU HIEN

TP HO CHi MINH, 2021

THÔNG TIN HỘI ĐÒNG CHÁM KHÓA LUẬN TÓT NGHIỆP

Hội đồng châm khóa luận tốt nghiệp, thành lập theo Quyết định số

-ngày của Hiệu trưởng Trường Đại học Công nghệ Thông tin.

¬— cece cece eee eeceeeceeceeeeeeeeeeneeenes — Chủ tịch.

TP "— ~ Thư ký.

— —Uy viên

— te tent ene ee eee nee testes eeeeneenens ~ Ủy viên

LỜI CẢM ƠN

Lời đầu tiên, chúng em xin gửi lời tri ân sâu sắc đến cô ThS Đỗ Thị Thu Hiền

và thầy ThS Phan Thế Duy đã hướng dẫn, quan tâm, hỗ trợ tận tình dé chúng em cóthể hoàn thành khóa luận một cách tốt nhất

Em cũng gửi lời cảm ơn chân thành đến toàn thé quý thầy cô trường Đại họcCông nghệ thông tin, đặc biệt là các thầy cô khoa Mạng máy tính & Truyền thông,phòng thí nghiệm An toàn thông tin đã truyền đạt những kiến thức và kinh nghiệmquý báu trong suốt quãng thời gian học tập tại trường

Chúng em xin chân thành cảm ơn!

Thành phố Hồ Chí Minh, tháng 07 năm 2021

MỤC LỤC

Chương 1 GIỚI THIBU -.2 22£2E©+£2EEEEE+2EEEEE2+EEE2E1222211212222112 2222122 21,1 Mục tiêu của đề tài HH Huey 2

1.2 Phạm vi nghiên Cứu ¿- - - + +11 TT E1 HH1 1 10H gi 2

1.3 Đối tượng nghiên cứu -2:+++222222EY+ 2222211112 11 ee 2

1.4 Phương pháp nghién CỨU - - - 6 xxx 21.5 Cấu trúc khoá luận :iccccccccccvv treo 2Chương 2 KIEN THỨC NEN TẢNG - 22-22222221 EEEEEeccrrrkrcer 42.1 Mạng khả lập trình (Software-Defined Networking - SDN) 4

2.1.1 Tổng quan QE anc 8 0 na,, ii 42.1.2 Kiến trÚC Á.s65566 để tre hi 42.1.3 Cơ chế hoạt động - -222-2222229222212222111122221111227111222112 22211 te 52.1.4 Ưu did fie AT patter 1 E / 52.1.5 Nhược GSM os ssscsssscccecsecesesieetsesetinnsteessssssssssseceeeeeeceseeeeeiseetinesesssnnsssssseset 62.1.6 pennÏFÏOW S1 tt HH HT TH HH HH 62.2 Hệ thống phòng thủ di chuyển mục tiêu (Moving Target Defense - MTD) 72.2.1 Tổng quan

2.2.2 Nguyên tắc thiết kế

P88 9 2.2.3.1 Theo thời gian ¿+ tt tt HH HH 11210 re 9 2.2.3.2 Theo hoat d6ng nh 102.3 Hệ thống lừa dối mang (Cyber Deception) - ¿-222+zevccvxvcrrrree là2.3.1 TỔng quan -+©2222+t222E+2222221122221111222711122211112211111.22111 cty 112.3.2 Mô hình hệ thống lừa đối mang -2++++2cvvvrerrrxe+ 12

2.3.2.1 Mô hình lừa dối một vòng . -¿¿+++z++22++ze+crxxzeerrr 22.3.2.2 Các kế hoạch lừa đảo và các hành động phổ biến

2.3.3 Các kỹ thuật lừa đối -:¿-2222+2222222E221112222112 22211122111 ccrrker 62.3.3.1 Mô hình dựa trên lý thuyết trò choi

2.3.3.2 Lừa đối cấp mạng .-. :-222+222+2222221122222111222112 22211 tre 72.3.3.3 Lừa đối cấp máy chủ

2.3.3.4 Lừa dối dựa trên mật mã 2+¿-+22222vv+rrtttrtEEEvrrrrrrrrrrrrree §Chương 3 PHÂN TÍCH THIẾT KÉ HỆ THÓNG

3.1 Giới thiệu chung về hệ thống -++£©V+2+++++t22EEvvvrrrrrrrrrrrrer 93.2 Quy trình hoạt động hệ thống lừa dối mạng - ¿:z:c5++ 213.3 Quy trình hoạt động hệ thong phòng thủ di chuyền mục tiêu 2Chương 4 TRIEN KHAI, THỰC NGHIỆM VÀ ĐÁNH GIÁ - - 254.1 Triển khai hệ thỐng -222¿-©2222+222EE+22222311222211112222112 2221112221 Xe 254.1.1 Môi trường triển khai -¿ 522222222+22222EEYEErrrtrEEEEkrrrrrrrrrrrrrrrrrree 254.1.2 Xây dựng hệ thông mạng SDN - 2¿-22+z++2222+zevtrvxerrrrrree 264.1.3 Xây dựng hệ thống phát hiện xâm nhập . -z22zzz+czz+z 284.1.4 Xây dựng hệ thống thu thập,lưu trữ và hiển thi log ELK Stack + Filebeat

— 304.1.6 Xây dựng hệ thống phòng thủ di chuyển mục tiêu .Ÿ74.2 Thực nghiỆm - ¿+56 + *EEEk k2 9 23212113 111111010 11 12171011 0111p 38 4.2.1 Kịch bản Ì -:- tt tt TH HH HH Hư 38 4.2.2 Kịch bản 2 c- tt TH HH HH HH HH 41 4.2.3 Kịch bản 3 cành HH hư 46 4.3 Đánh giá - ch 2tr 52

4.3.1 Tiêu chí đánh g1á - - 6 + TT TH HH HH Hàn nh 52

4.3.2 Kết quả đánh gid escececcecccccssccscsscssessessesscssesessessessessessesscsessessessessesseesessease 53

4.3.2.1 Thời gian quét mạng khi có MTD va không có MTD 53

4.3.2.2 Độ trễ của gói tin khi có MTD và không có MTD 54

4.3.2.3 Thời gian phát hiện tan công, nhận cảnh báo và điều hướng 56

Chương 5 KET LUẬN VÀ HƯỚNG PHAT TRIẺN -s 2+5: 59

lì Kt 8 :‹+1 59

U‹ oi na a 59

PHY LỤC ⁄: “6ề đo <6 1 LH, 62

DANH MỤC HÌNH

Hình 2.1: Kiến trúc SDN - -¿ 22cct2E2tvttthtrtrtttrtrrrrrrrrirrrrrirrriiee 5

Hình 2.3: Phân loại MTD theo thời Ø1an - 5 5 2S E113 EESEEseeerseeerrseeree 10 Hình 2.4: Ki thuật Shuffing, Diversity và Redundancy trong MTD 11

Hình 2.5: Mô hình lừa dối một vòng w eceeccecsesseeseessessessecssessessessesssessessesseessessesseeseess 13

Hình 2.7: Những thông tin mang sử dụng làm lừa đảo - 5-55 <S<x>+<s+ss2 17

Hình 3.1: Mô hình hệ thống giảm thiểu tấn công trong SDN 5 20 Hình 3.2: Mô hình phát hiện xâm nhập và thay đồi luồng -2-5¿ 21 Hình 3.3: Cơ chế thu thập thông tin từ kẻ tấn công -: -:-+cs++cx5csze- 22 Hình 3.4: Gói tin từ host 1 đến host 2 - cccccttccktrrrerrrtrrrrtrrirrrrrrriirrrrk 23

Hình 4.2: Giao diện ONOS Web GUI - 5 1111111122311 1 111111 kkeerzzz 26

Hình 4.3: Giao diện ONOS CLÌ - 52 22 1332221112231 8E 2311 22311 211 2g ren 27

Hình 4.6: Mô hình cấu trúc liên kết trên ONOS Web GUI . -+ 28

Hình 4.8: Quy trình Snort gửi cảnh bao cho ONOS - Ă TS ssSeeeerey 30

Hình 4.9: Hệ thống ELK Stack + Filebeat 2¿-25¿©2+2Sz+cxc2Exerxeerxrsrxrrrrees 31

Hình 4.10: Phiên bản Logstash - c1 3211112111191 1 9 1119 11 811111 1g ng rry 31

Hình 4.11: Phiên bản ElastfICsearCh - s5 1121 2191111 9v ng ng ng ệt 31 Hình 4.12: Phiên bản KTbana s11 1 211939119119 1 H1 ng Hưng nh gưệp 32

Hình 4.13: Phiên bản EIlebeat - 1 21 21123111912 HH Hàng HH Hư 32

Hình 4.15: Cấu hình Filebeat lay log Honeypot -. ¿ ¿©s¿©++cs++zx+zszex 33

Elasticsearch lắng nghe trên Port 9200 -2 2¿s+2s++zx++zxzzxzex 34

Giao diện Web của KIbana <1 1133123111 vs ve, 35

Các port mở trên Opencamary - - - - + 11 E9 vn g erre 36

Các port mở trén (OWTIC - c1 v11 TH ng ng ve 37

Bảng ánh xạ dia chỉ IP that với địa chi IP giả - - 5-5-5 <+-<<++ 38 Thông tin từ viêc quét mạng của hOSt] server 39

Bảng ánh xạ địa chỉ IP that với địa chi IP giả - s5 555 <+<>>+ 40 Thông tin từ viéc quét mạng của hosfÌ - 5-55 ssxs+ss+eseeress 40

Host 1 ping tới Host 2 bằng địa chỉ IP thật và địa chỉ IP giả 41

Kẻ tan công quét mạng khi hệ thống chưa bật ControlFlow.py 42

ls[U¬0I8001:ấtì0(098i19)1/20000nHai - 42

Host] ping duoc host 1 43

Host] không ping được host 5 5 3+ *+vESseerseeereeeersere 43

Host] không ping được host6 - S323 EEseEEesteerssrrrsrrree 43

Kẻ tan công quét mạng khi hệ thống bật ControlFlow.py - 44

Host] không ping được host2, host3, hosf⁄4 «sec s<csscsssse 45

Host] ping được host5, hOoSf6 - 5S 323 vsvrsteiresrrrsrreree 46

Kẻ tấn công FTP vào Host csssessssssesssesssessssssssssecssecssscsscssecssecsesseeasecs 41

Log SSH trên Kibana 5 6 5x ST nHn HT HH ngư 48

5n 48

Log Telnet trên K1bana - . - c5 3112119 1 ng ng 48

Hình 4.46:

Hình 4.47:

Hình 4.48:

Hình 4.49:

Hình 4.50:

Hình 4.51:

Hình 4.52:

Hình 4.53:

Hình 4.54:

Hình 4.55:

Hình 4.56:

Hình 4.57:

Hình 4.58:

Hình 4.59:

Hình 4.60:

Hình 4.61:

Hình 4.62:

Hình 4.63:

Log Telnet trên KIbana - + 33139 119 11 g rrt 49

Nmap hOSt6 1 49

Kẻ tấn công SSH Host6 va thực hiện một số câu lệnh 50

IU-g¡v 2:89 50

IU›lii8.9i 8 51

Log trên Kibana ee eeeescceeseceseecececeseeeseecesneceaeeceaeceeeceeeceaeeeeaeceneeesaes 51

Log trén Kibanna 0 ee eeceseeccesccssecesecececseeeseeeaeceesseceseseaesceeaeeeaeeeeeesees 51

Thời gian Ping khi không có MITÌD - 5 S++*+++sexssexeesseeress 54

Thời gian Ping khi có MTÌD - 5c s33 *+eEEeeeeereeerrssrrrrrerrre 54

Thời gian Ping khi không có MTD eee cecccsseceteeeeeeeeseeeeseeesaeeeeneenaes 54 Thời gian Ping khi có MÏTÌD - ó5 + + x*x SE n n nrư 54

Thời gian Ping khi không có MITÌD - server 55 Thời gian Ping khi có MTÌD - - 5+ s + *+Exeexeereerrsereersrerrre 55

DANH MỤC BANG

Bảng 4.5: Số liệu thống kê thời gian Ping 2- 5+ s+c++EzEtzEerkerxerxersrree 55

DANH MỤC TU VIET TAT

API: Application Programming Interface

CLI: Command-line Interface

CPU: Central Processing Unit

ELK: Elastic Logstash Kibana

GUI: Graphical User Interface

HDD: Hard Disk Drive

ICMP: Internet Control Message Protocol

IDS: Intrusion Detection System

IP: Internet Protocol

IT: Information Technology

MTD: Moving Target Defense

NIDS: Network Intrusion Detection System

ONOS: Open Network Operating System

RAM: Random Access Memory

SDN: Software-Defined Networking

SSH: Secure Shell Protocol

URL: Uniform Resource Locator

VM: Virtual Machine

TÓM TÁT KHOÁ LUẬN

Mạng định nghĩa được bằng phần mềm hay Software Defined Network (SDN)

là một kiểu kiến trúc mạng mới cho phép việc điều khiển mạng bằng cách lập trình.Điều đó giúp hệ thong mạng năng động, dé quan lý, chi phí hiệu quả, dễ thích nghỉ,phù hợp với xu hướng phát triển trong tương lai

Với sự phát triển đó, van dé bảo mật cụ thé là dam bảo phát hiện chính xác cáccuộc tấn công từ đó có các biện pháp ngăn chặn kịp thời là vấn đề được đặt lên hàngđầu trong kỷ nguyên số và SDN cũng không phải ngoại lệ

Nhằm giải quyết vấn dé trên, khóa luận này hướng đến việc xây dựng một hệ

thống phòng thủ chủ động bằng việc kết hợp hai hệ thống đem lại hiệu quả cao là hệthống phòng thủ di chuyển mục tiêu và hệ thống lừa đối mạng Cụ thể hệ thống lừadối mạng sẽ tạo nhiều loại bẫy đề dụ kẻ tân công do thám và xâm nhập Đồng thời hệthống phòng thủ di chuyển mục tiêu sẽ liên tục thay đổi cấu hình hệ thống, từ đó sẽgiảm thiểu tối đa rủi ro khi có kẻ xâm nhập

Chương 1 GIỚI THIỆU

1.1 Mục tiêu của đề tài

Tận dụng các đặc tính của công nghệ SDN dé triển khai các kỹ thuật lừa dốimạng (đánh lừa kẻ tan công xâm nhập vào bay) và kỹ thuật di chuyền phòng thủ mụctiêu (MTD) nhằm cung cấp chiến lược phòng thủ chủ động cho mạng khả lập trình.Thiết kế kết nối tương tác giữa bộ phận lừa đối mạng và di chuyền phòng thủ mục

tiêu.

1.2 Phạm vi nghiên cứu

¢ Ky thuật lừa dối mạng (Cyber Deception) cho môi trường mạng khả lập trình

¢ Kỹ thuật di chuyển phòng thủ mục tiêu (Moving Target Defense) cho môi

trường mạng khả lập trình.

1.3 Đối tượng nghiên cứu

¢ Hệ thống mạng SDN

© Ky thuật lừa dối mạng

© Ky thuật di chuyển phòng thủ mục tiêu

1.4 Phương pháp nghiên cứu

e _ Nghiên cứu tài liệu hướng dẫn và thực hiện triển khai mang SDN

e Tham khảo các video mô tả, tài liệu giải thích và các phương pháp triển khai

hệ thống lừa dối mạng và hệ thông phòng thủ di chuyền mục tiêu

© _ Thực hiện các thử nghiệm khác nhau dé đánh giá hiệu năng và độ chính xác

1.5 Cấu trúc khoá luận

Khoá luận được trình bày với cấu trúc như sau:

Chương 1: Giới thiệu

Chương 2 Kiến thức nền tảng

Chương 3: Phân tích thiết kế hệ thống

Chương 4 Triển khai, thực nghiệm và đánh giáChương 5 Kết luận và hướng phát triển

Chương 2 KIÊN THUC NEN TANG

2.1 Mạng khả lập trình (Software-Defined Networking - SDN)

2.1.1 Tổng quan

Mạng định nghĩa được bằng phần mềm hay Software Defined Network (SDN)

là một kiểu kiến trúc mạng mới được thiết kế dé phân tách phần điều khiển mạng(Control Plane) và chức năng vận chuyền dữ liệu (Forwarding Plane hay Data Plane).Điều này cho phép việc điều khiển mạng bằng cách lập trình và hệ thống mạng sẽnăng động, dé quản lý, chi phí hiệu qua, dé thích nghi, phù hợp với nhu cầu ngày

càng tăng hiện nay.

2.1.2 Kiến trúc

Về cơ bản kiến trúc của SDN bao gồm ba lớp: lớp ứng dụng (ApplicationLayer), lớp điều khiển (Control Layer) và lớp hạ tang (Infrastructure Layer)

e Lop ứng dụng: chứa các ứng dụng hoặc các chức năng mang điển hình như:

các hệ thống phát hiện xâm nhập, cân bằng tải hoặc tường lửa Các mạngtruyền thống sẽ cần các thiết bị riêng biệt ứng với mỗi thành phần Trong khivới SDN các thiết bị này sẽ được thay thế bằng phần mềm sử dụng bộ điềukhiển để quản lý hành vi

¢ Lớp điều khiển đóng vai trò như não bộ, quan lý và đưa ra hầu hết các quyết

định về vận chuyền trong mạng Kết nối với lớp ứng dung qua interface cầubắc (northbound interface) và kết nối với lớp hạ tang qua interface cầu nam(southbound interface).

© - Lớp ha tang là ha tang mang truyền thống, nhưng chi còn giữ lại các chức năng

của tầng vật lý

Trong SDN, control plane quyết định cách các packet sẽ truyền qua mạng, còndata plane thì di chuyển các packet từ nơi này sang nơi khác.

Thiết bị data plane (Switch) truy vấn Controller và cung cấp các thông tin về lưulượng mà nó xử lí Khi gói tin đến Switch, các quy tắc tích hợp trong firmware chobiết nơi mà Switch cần chuyển tiếp gói tin đó và những cái quy tắc này được gửi từ

Controller.

2.1.4 Uu diém

e Cung cấp cho người quan tri quyền kiểm soát mạng một cách đơn giản và hiệu

quả mà không cần truy cập trực tiếp đến phần cứng

e _ Điều hướng gói tin dựa trên các yêu cầu lưu lượng một cách chính xác và tối

ưu.

e _ Cung cấp khả năng hiền thị trực quan

© _ Cung cấp cơ chế điều khiển duy nhất đối với cơ sở hạ tang mang và giảm bớt

sự phức tạp của các quá trình xử lý thông qua tự động hoá.

e _ Trong nhiều trường hợp, chi phí khi sử dung SDN thấp hơn so với mạng truyền

thống

2.1.5 Nhược điểm

¢ - Điểm yếu lớn nhất của SDN chính là tinh tập trung Nếu tin tặc có thê tan công

vào hệ thông thì chúng có thể truy cập các thiết lập và thay đổi chúng bất cứ ởnơi đâu, tại thời điểm nào và chúng có thể truy cập bất kỳ tập tin được mã hoá

nào miễn là nó ở trong mạng.

¢ SDN là một kiến trúc mạng mới, các giao thức tương tác giữa các Controller

với nhau còn chưa được phát triển toàn diện nên việc phổ biến nó còn nhiềuhạn chế

2.1.6 OpenFlow

OpenFlow là một trong những giao thức cốt lõi của mạng định nghĩa mềm(SDN) Nó cho phép tạo ra các giao tiếp giữa bộ điều khiển và thiết bị chuyển machcủa mạng OpenFlow là giao thức quan lý việc chuyền tiếp luồng gói tin giữa cácbang dé được chiêu đi gói tin theo ý muốn

Một thiết bị OpenFlow bao gồm ít nhất 3 thành phần: Bảng luồng (Flow table),

Kênh an toàn (Secure Chanel) và Giao thức Openflow (OpenFlow Protocol).

¢ Flow Table: một liên kết hành động với mỗi luồng, giúp thiết bị xử lý các

luéng

© Secure Channel: kênh kết nối thiết bị tới bộ điều khiển (controller), cho phép

các lệnh và các gói tin được gửi giữa controller và thiết bị

¢ OpenFlow Protocol: giao thức cung cấp phương thức tiêu chuẩn mở cho một

controller truyền thông với thiết bị

Công nghệ SDN trên cơ sở OpenFlow cho phép nhân viên IT giải quyết cácứng dụng băng thông cao và biến đổi động hiện nay, khiến cho mạng thích ứng vớicác nhu cầu kinh doanh thay đồi, và làm giảm đáng ké các hoạt động và quản lý phức

2.2.2 Nguyên tắc thiết kế

Nguyên tắc thiết kế cơ bản dé phát triển các kỹ thuật MTD nằm trong ba câuhỏi chính sau đây: di chuyển cái gì, di chuyền như thé nào và di chuyền khi nao [2]

© Di chuyền cái gì: đề cập đến thuộc tính cấu hình hệ thống (tức là bề mặt tan

công) có thể được thay đổi dé gây nhằm lẫn cho những kẻ tắn công Ví dụ nhưcác thuộc tính mạng có thể được thay đổi bao gồm tập lệnh, bố cục không gianđịa chỉ, địa chỉ IP, số cổng, proxy, máy ảo, hệ điều hành, hoặc phần mềm.Bảng 2.1 tóm tắt các yếu tố di chuyền trong SDN

Bảng 2.1: Các yếu tố di chuyển trong SDNLayers MTD Techniques

Shuffling Diversity Redundancy Application TCP/UDP ports Web: Appache, IIS, GWS | Web service

etc replica

App: Net Framework, Application

Java, PHP etc teplica

Database: SQL server, Database

MySQL, Oracle etc backup and

replica Others: Mail-server, Other service

Proxy-server etc replica

OS-Host IP address Windows: Windows Host OS and

server 2003/2008, VM replica Windows 9.x, 8, 10 etc.

Linux: Redhat, Debian,

Caldera etc.

Solaris

Others: Unix, HP-UX etc.

V/M-Instance Virtual IP address Same as OS

Virtual Failover, Switchover Xen Hypervisor’s Machine Vmware replica

Manager ESXi

Others: Kernel-based VM (KVM), Virtual-box

(Vbox), IBM vSphere

Hardware Hardware replacement Intel

Sun Solaris

Others: ARM, Atmega

Hardware backups and

replica

e Dichuyén như thé nào: xác định cách thay đổi các thuộc tinh dé tang sự phực

tap và tính ngẫu nhiên của hệ thống Có 3 kiểu thay đổi : Shuffling (xáo trộn),Diversity (đa dạng) và Redundancy (dự phòng).

Di chuyển khi nào: chọn thời gian tối ưu dé thay đổi trang thái hiện tại của hệthống sang trạng thái mới Có 3 kiểu thay đồi: Reactive (phản ứng), Proactive

(chủ động) hoặc Hybrid (hỗn hợp) Reactive tương ứng với đường màu xanh

ở hình 2.2, tức là thay đổi sau một khoảng thời gian được thiết lập sẵn;Proactive là đường màu cam, thay đổi khi có sự kiện được thiết lập xảy ra.Còn Hybrid là sự kết hợp của cả hai

Cac kỹ thuật MTD sẽ được phân loại theo thời gian va theo hoạt động.

2.2.3.1 Theo thời gian

Time-based: Phương pháp này kích hoạt MTD dựa trên một khoảng thời giannhất định được, có thé là khoảng cố định hoặc khoảng thay đổi, gọi là khoảngMTD Với khoảng thời gian cố định, cơ chế MTD thay đồi định kỳ bề mặt tancông (ví dụ: địa chỉ IP, Công, đổi hệ điều hành, di chuyển VM) sau một khoảngthời gian định sẵn Nếu khoảng thời gian quá dài, kẻ tan công có thể được phép

có đủ thời gian dé quét và tấn công hệ thống Mặt khác, nếu khoảng thời gianquá ngắn thì MTD sẽ kích hoạt ngay cả khi không có cuộc tan công nào vào

hệ thống, gây lãng phí tài nguyên và làm giảm hiệu suất Do đó, việc xác địnhkhoảng thời gian MTD phụ thuộc vào từng hệ thống và cực kì quan trọng để

có một cơ chế phòng thủ tốt

e Event-bascd: phương pháp này chỉ thực hiện một hoạt động MTD khi có một

sự kiện nhất định xảy ra Sự kiện có thé bao gồm bat kỳ dau hiệu nào cho thay

kẻ tan công đang cố gắng xâm nhập hay tắn công hệ thống Điều quan trọngnhất là người phòng thủ phải dự đoán chính xác các hành vi của kẻ tắn công

Từ dự đoán, người phòng thủ thiết lập các luật lệ Khi ai đó vi phạm các luật

lệ, cảnh bảo sẽ được bật và kích hoạt các hoạt động MTD được thiết lập sẵn

¢ Hybrid-based: phương pháp kết hợp Time-based và Event-based

© Shuffling: Kỹ thuật này sắp xếp lại và ngẫu nhiên hoá cấu hình hệ thống Vi

dụ như các kỹ thuật: IP Shuffling / Mutations / Host Randomization, Port Hoppin, Network Topology Shuffling, VM / Proxy Migration, Packet Header Randomization,

¢ Diversity: Kỹ thuật này sử dung triển khai các thành phan hệ thống với các

cách khác nhau cung cấp chức năng giống nhau Ví dụ như các kỹ thuật:Software Stack Diversity, Code Diversity, Programming Language Diversity,

Network Diversity,

10

© Redundancy: cung cấp nhiều bản sao thành phần hệ thống để tăng khả năng

hồi phục khi bị tấn công Ví dụ như các kỹ thuật: Redundancy of Software

Components, Redundancy of Network Sessions

Hinh 2.4: Ki thuat Shuffing, Diversity va Redundancy trong MTD

2.3 Hệ thống lừa đối mang (Cyber Deception)

Trong khi kỹ thuật phòng thủ di chuyển mục tiêu tập trung vào việc thay đổicác bề mặt bị tấn công sao cho kẻ tan công không thé xác định thông tin chính xáctrong giai đoạn trinh sát và khiến các hành động tan công không hiểu quả thì kỹ thuậtlừa đối mạng cô ý đưa những thông tin sai lệch dé đánh lừa kẻ tan công Hệ thốngnày sẽ sử dụng các mỗi nhử, thường được gọi là Honeypot, để dụ kẻ tấn công vàobẫy Đề thu hút những kẻ tấn công tiềm năng, honeypot tự giả dạng là máy chủ dịch

vụ có khả năng bị khai thác Bằng cách thu thập và ghi lại thông tin chỉ tiết các phương

11

pháp được sử dụng khi nỗ lực tan công các honeypot, những người bảo vệ có thé sửdụng dữ liệu này đề tăng cường bảo mật hệ thống Hơn thế nữa, đây cũng là một cáchhiệu quả dé giấu hệ thống thật trước kẻ tan công.

2.3.2 Mô hình hệ thống lừa dối mạng

2.3.2.1 Mô hình lừa đối một vòng

Các chiến lược lừa đảo là các hành động có kế hoạch được thực hiện để đánhlừa hoặc gây nhằm lẫn cho những kẻ tấn công và do đó khiến chúng thực hiện (hoặckhông thực hiện) các hành động tan công Trên thực tế, kẻ tấn công có thể tiếp tụcthăm dò hệ thống mục tiêu dé tim lỗ hồng tiềm ẩn, trong khi người bảo vệ có thé chọncập nhật hệ thống của nó thường xuyên dé đánh bại các hoạt động do thám và khaithác tiềm năng Khung phòng thủ dựa trên kỹ thuật lừa đối mạng có thể được mô hìnhhóa như một quá trình tương tác giữa hai bên Sự tham gia của kẻ tấn công và ngườiphòng thủ liên tục phát triển theo thời gian

12

Phase I: Planning Deception

- Determine the goal of deception under the context of cyber defense and define deception strategy

- Plan deception interactions with attackers in order to

engage and identify the attackers’ biases

Preplanning Ì

Phase II: Implementing & Deploying Deception |/Redesign ï

- Implement all essential components to deploy a based on |

Phase III: Monitor the feedback channels

- The defender monitors feedbacks to understand and

profile the behavior of attackers, to identify biases of

adversaries, to assess deception scheme success and

based on all above to plan for potential next round of

deception

Hình 2.5: Mô hình lừa đối một vòngĐối với mỗi đợt lừa dối mạng, nó có thế bao gồm 3 giai đoạn [4] như trong

hình 2.5.

© Giai đoạn I (lập kế hoạch lừa dối): trong giai đoạn lập kế hoạch đánh lừa, dựa

trên kiến thức ban đầu về kẻ thù như ý định, sở thích và khả năng của họ, trướctiên những người bảo vệ sẽ chỉ rõ mục tiêu dự kiến có thé đạt được của nhữnghành vi lừa dối Một kế hoạch đánh lừa bao gồm thiết kế về cách tương tác vớinhững kẻ tan công và những thông tin lừa dối có thể được sử dung dé tạo racác thành kiến về nhận thức, đây là chìa khóa thành công của biện pháp phòngthủ dựa trên kỹ thuật lừa dối Người bảo vệ sẽ cân đối cần thận các chỉ tiết của

kế hoạch lừa dối (ví dụ: số lượng và loại tiết lộ sự thật, kết hợp với thông tin

13

lừa dối, rủi ro tiềm ấn gây nhằm lẫn cho người dùng thông thường va chỉ philiên quan) đề tối đa hóa tỷ lệ thành công của chiến lược lừa dối trong khi cógắng giảm thiểu tac động đến hoạt động bình thường.

e Giai đoạn II (thực hiện và triển khai sự lừa dối): trong giai đoạn này, kế hoạch

lừa dối được thực hiện Tùy thuộc vào kế hoạch lừa dối, các thành phần lừadối có thé chứa cả thiết bị, thông tin về thiết bị và giao tiếp giữa các thiết bị.Đối với những đối thủ cao cấp hơn, những người phòng thủ cần chú ý đến cáckênh bên lề dé kế hoạch đánh lừa được triển khai hoàn hảo

© Giai đoạn III (theo doi và đánh giá kết quả lừa dối) là giai đoạn cuối cùng của

một vòng lừa dối Vì biện pháp phòng thủ dựa trên sự lừa đối tập trung vàoviệc thao túng kẻ thù cho nên điều cần thiết là phải theo dõi hành vi và quansát phản ứng của kẻ tan công sau khi áp dụng kỹ thuật lừa dối

Sự lừa dối về bản chất là một trò chơi tinh thần giữa kẻ tan công và ngườiphòng thủ Trong khi những người phòng thủ cố gắng hướng dẫn những kẻ tắn công

đi sai đường, thì một kẻ tan công thông minh có thé nghỉ ngờ hoặc thậm chí phát hiệnmột phần của kế hoạch lừa dối và thực hiện điều chỉnh hành động của họ cho phùhợp Bằng cách theo dõi can thận các phản hồi như sự thay đổi hành vi của kẻ tancông, người phòng thủ có thể đánh giá trạng thái của kẻ thù và ước tính kết quả củahành động lừa dối hiện tại

Bằng cách đánh giá can thận các phản hồi, những người phòng thủ sẽ xác địnhkết quả của việc triển khai kỹ thuật lừa dối hiện tại: thành công khi kế hoạch lừa dối

đã đánh lừa hoàn toàn kẻ tan công; bị nghỉ ngờ, khi kẻ tan công phát hiện một số tinhiệu bắt thường và có thể không hoàn toàn tin vào thông tin giả mạo dự định; và thấtbại, khi kẻ tan công xác định rằng chiến lược lừa dối đang được sử dụng Mặt khác,đánh giá của người bảo vệ về kết quả lừa dối phụ thuộc vào số lượng và chất lượngcủa phản hồi Khi thiếu phản hồi hoặc có mức độ không chắc chắn cao, những ngườibảo vệ chỉ có thể đưa ra dự đoán tốt nhất

14

2.3.2.2 Các kế hoạch lừa dao và các hành động pho biến

Phòng thủ mạng dựa trên lừa đối dựa trên hai loại hành động chính: giả mạo

thông tin và che dấu thông tin Các phương pháp phổ biến bao gồm masking,

repackaging, and dazzling.

Masking: cố gắng che giấu hoặc xóa thông tin quan trong khỏi mục tiêu déthoát khỏi sự phát hiện Các kỹ thuật che giấu dữ liệu, chẳng hạn như xáo trộn,thay thế hay mã hóa, thường được sử dụng đề bảo vệ thông tin quan trọng như

dé liệu nhận dang cá nhân.

Repackaging: đề cập đến việc biến đổi các đặc điểm chính của mục tiêu đểchúng trông không liên quan hoặc khác với ban đầu, với hy vọng rằng sự chú

ý của cuộc tấn công có thê bị phân tán khỏi mục tiêu IP address hopping làmột kỹ thuật Repackaging để các máy chủ trên mạng sẽ liên tục có các địa chỉ

IP khác nhau và các luồng mạng sẽ không dé dang bị theo dõi bởi kẻ tan công.Dazzling: làm mờ hoặc che đi các yếu tố chính của mục tiêu mà không loại

bỏ chúng để gây nhằm lẫn mục tiêu với các đối tượng khác Ví dụ, sự xáo trộnphần mềm, để che các phần quan trọng của mã nguồn hoặc mã đang chạy,đang được sử dụng như một phương pháp phô biến trong việc chống lại kỹ

thuật đảo ngược.

Gia mạo thông tin liên quan đến kỹ thuật mimicking, inventing, và decoying.Mục tiêu của giả mạo là tạo ra thông tin sai lệch đề đánh lạc hướng đối thủ.Mimicking: tạo ra một thực thé giả thông qua việc sao chép các đặc điểm chínhhoặc danh tính của một thực thé thực khác Nó là một trong những phươngpháp mô phỏng được sử dụng rộng rãi nhất Ví dụ, một honeypot có thể sao

chép một trang web thực.

Inventing: tạo ra các thực thể không tồn tại với các yếu tố chính và đặc điểmchính trông giống như thật Có những khác biệt nhỏ giữa Mimicking vàInventing Mặc dù yêu cầu chính của việc Mimicking là tạo ra một thực thểgiả trông giống như thực thể ban đầu, thì Inventing lại tạo ra một thực thể mớitrông giống như thật

15

¢ Decoying: là một phương pháp được sử dung rộng rãi trong tat cả các kỹ thuật

giả mạo Mỗi nhử thường có đặc điểm hoặc hoạt động giống như một dé that

Nó được sử dụng đề đánh lạc hướng sự chú ý vào một cái gì đó khác với mụctiêu thực Ví dụ, một máy chủ web mỗi nhử có thể được sử dụng đề thu hútnhững kẻ tắn công Decoying, mimicking và inventing thường được sử dụngcùng nhau Một máy chủ mỗi nhử có thé bắt chước chức năng của một máychủ thực của tổ chức (honeypot) hoặc nó có thé được phát minh ra chỉ nhằm

mục đích đánh lạc hướng.

Cả hai kỹ thuật giả mạo và kỹ thuật giấu thông tin thường được kết hợp trongmột kế hoạch đánh lừ:a.

2.3.3 Các kỹ thuật lừa dối

Tắn công và phòng thủ mạng là một cuộc chạy đua bat tận Trên không gianmạng, cả người phòng thủ và kẻ tấn công đều có gắng vượt qua nhau Hiện nay,những người phòng thủ đang tận dụng các ý tưởng về đánh lừa mạng để bảo vệ hệthống Như thể hiện trong hình 2.6, hiện nay có 4 loại lừa dối phổ biến: mô hình dựatrên lý thuyết trò choi, lừa dối cấp mạng, lừa dối cấp máy chủ hoặc thiết bị và lừa dốidựa trên mật mã Sau đây, chúng tôi xem xét và tóm tắt riêng lẻ bốn loại này

Cyber-deception based strategies in computer/network system

2.3.3.1 Mô hình dựa trên lý thuyết trò chơi

Lý thuyết trò chơi đã được áp dụng rộng rãi để mô hình hóa các tương tác giữangười bảo vệ và kẻ tấn công trong các cài đặt bảo mật khác nhau Một trò chơiStackelberg nhiều tang đã được sử dụng để tạo ra các chiến lược định tuyến lừa đảonhằm đánh bại việc gây nhiễu trong các mạng không dây Người phòng thủ trước tiêntriển khai chiến lược phòng thủ chủ động, và sau đó kẻ thù thực hiện theo giao thức

Vi đối thủ luôn có giới hạn về tài nguyên, nên nếu đối thủ lang phí tài nguyên có hạncủa nó, chang hạn như gây nhiễu nguồn trên luồng giả, thì các gói đữ liệu thực sẽ có

cơ hội đến đích cao hơn nhiều mà không bị gián đoạn Việc áp dụng mô hình trò chơigiữa nút nguồn gửi và bộ gây nhiễu giú cân bằng giữa chỉ phí đánh lừa và tác động,đồng thời cho phép người bảo vệ đề ra chiến lược hiệu quả nhất chống lại việc gây

Network-level

deception

Hình 2.7: Những thông tin mang sử dung lam lừa dao

17

Một số loại thông tin cấp mạng có thể được giả mạo để phục vụ mục đích lừađảo, như: thông tin cầu trúc mạng, thông tin may chủ, thông tin về lưu lượng mạng,

2.3.3.3 Lừa dối cấp máy chủ

Sự lừa dối trong hệ thống máy chủ thường cho phép kẻ tan công xâm nhập vàomục tiêu một cách có kiểm soát Hệ thống lừa đối trong mục tiêu được sử dụng khôngchỉ để đánh lừa mà còn giúp người bảo vệ thu thập thông tin cần thiết về kẻ tấn công

đã xâm nhập vào hệ thống

2.3.3.4 Lừa dối dựa trên mật mã

Một bản mã được honey-encrypted có một thuộc tính duy nhất mà khi kẻ tấncông sử dụng khóa không đúng đề giải mã thì vẫn ra nội dung thông tin hợp lệ, nhưng

kẻ tan công không thé phân biệt được đó có phải là nội dung chính xác hay không.Bằng cách áp dụng kỹ thuật lừa dối dựa trên mật mã, người bảo vệ có thé chống lại

kỹ thuật brute force khi kẻ tan công cô gắng đoán các khóa một cách ngẫu nhiên

18

Chương 3 PHAN TÍCH THIET KE HỆ THONG

3.1 Giới thiệu chung về hệ thống

Khóa luận này hướng đến việc giảm thiéu tan công trong mạng khả lập trìnhbằng cách triển khai hệ thống phòng thủ di chuyển mục tiêu và hệ thống lừa dối mạng.Đồng thời kết hợp thêm hệ thống phát hiện xâm nhập và hệ thống thu thập, hiển thị

log.

Cơ chế phòng thủ di chuyền mục tiêu là khái niệm về việc thay đổi câu hình

và hành vi của mạng một cách linh hoạt nhằm tăng tính không chắc chắn và độ phứctạp cho những kẻ tấn công, giảm cơ hội của chúng và tăng chỉ phí cho các nỗ lựcthăm dò và tan công Một số tinh năng của SDN, chang hạn như khả năng lập trìnhmạng, tập trung điều khiển mạng và chế độ xem mạng toàn cau giúp ích cho việc pháttriển và quản lý đột biến máy chủ ngẫu nhiên một cách hiệu quả và linh hoạt Ứngdụng của kỹ thuật này làm thay đổi địa chỉ IP của các thiết bị, máy chủ và xác địnhhành vi chuyền tiếp, vì vậy hệ thống có thé chủ động bảo vệ các cuộc tấn công dothám của kẻ thù Hơn nữa, dựa trên SDN, chúng tôi triển khai honeypots đề bắt chướccác máy chủ thật, tạo bẫy, thu hút những kẻ tân công cắn câu, cuối cùng nắm bắt đượcnhững kẻ tan công

Hệ thống gồm các thành phần như: phân tích viên về bảo mật (SecurityAnalyst), bộ điều khiển (SDN Controller), bộ chuyển mạch (Openflow Switch), hệthống phát hiện xâm nhập (IDS), hệ thống quản lý nhật ky (Logging), bay (Trap), cácthiết bị trong mạng (Host) Hình 3.1 mô tả tổng quan về kiến trúc hệ thống mà nhómnghiên cứu sẽ xây dựng trong khóa luận này.

19

Hình 3.1: Mô hình hệ thống giảm thiéu tan công trong SDN

Các thành phần và chức năng của chúng trong hệ thống mà nhóm đưa ra:

Security Analyst: phân tích viên có nhiệm vụ theo déi nhật ký để có thé pháthiện sớm cuộc tan công trong hệ thống Từ đó có thé thay đổi luồng dữ liệuqua lại giữa các thiết bị để ngăn chặn cuộc tấn công tốt nhất

SDN Controller: bộ điều khiển sẽ sử dụng giao thức Openflow dé giao tiếp vàgửi thông báo đến các bộ chuyển mạch nơi xử lý chuyền tiếp các gói tin Ngoài

ra, bộ điều khiển còn điều hướng lưu lượng truy cập theo chính sách được thiếtlập bởi quản trị viên hệ thống

Openflow Switch: bộ chuyên mạch được giám sát, quản lý bởi SDN Controller

thông qua giao thức Openflow.

IDS: hệ thống phát hiện xâm nhập có nhiệm vụ giám sát lưu lượng mạng, cáchành vi đáng ngờ sẽ được thông báo cho quản trị viên hệ thống

20

e Logging: hệ thống quản lý nhật ký có nhiệm vụ thu thập, lưu trữ, hiển thị nhật

ký theo thời gian thực giúp cho phân tích viên có thể phát hiện sớm các cuộctấn cống trong hệ thống

© Trap: bẫy được triển khai với những thông tin giả và lỗ hồng để dẫn dụ kẻ tan

công tương tác với bẫy thay vì với các thiết bị khác trong mạng Tại đây cónhiệm vụ ghi nhật ký với những hành vi của kẻ tan công

e Host: các máy tính trong mạng.

3.2 Quy trình hoạt động hệ thống lừa dối mạng

Openflow

SwitchHình 3.2: Mô hình phát hiện xâm nhập và thay đổi luồng

Hình 3.2 mô tả quy trình IDS giám sát lưu lượng mạng ở Openflow Switch.

Khi phát hiện tấn công, IDS lập tức gửi dữ liệu cảnh báo cho SDN Controller dé chặncác luồng qua lại giữa các máy tính trong mạng với máy bị phát hiện tan công vàđồng thời tạo luồng mới qua lại giữa máy bị phát hiện tấn công với các máy chứabẫy

21

Logging |

A A

Trap Trap Attacker

Hình 3.3: Cơ chế thu thập thông tin từ kẻ tấn công

Hình 3.3 mô tả quy trình hệ thống quản lý nhật ký sẽ thu thập nhật ký từ cácmáy bẫy [5] theo thời gian thực khi mà kẻ tấn công tương tác với những máy bẫy Từ

đó, phân tích viên có thé hiểu rõ hơn về kẻ tan công

3.3 Quy trình hoạt động hệ thống phòng thủ di chuyển mục tiêu

Trong MTD, các host giao tiếp với nhau bằng địa chỉ IP ảo [6][7], điều nàyđược điều khiển bởi Controller Sự giao tiếp cua host 1 va host 2 được mô tả như

trong hình 3.4.

22

Sre: Virtual Src: Virtual

Dst: Virtual Dst: Vitual SDN Controller

Hinh 3.4: Goi tin tir host 1 dén host 2

Hoạt động của mang như sau:

1 Gói tin gửi từ Host 1 đến Switch 1 với Source: Real & Destination: Virtual

2 Ở Switch 1: Source IP sẽ được đồi từ Real thành Virtual

Gói tin gửi từ Switch 1 đến Switch 2 với Source: Virtual & Destination: Virtual

3 G Switch 2: Destination IP sẽ được đổi tir Virtual thành Real

Goi tin gửi từ Switch 2 đến Host 2 với Source: Virtual & Destination: Real

Gói tin từ Host 1 đã đến được Host 2 Quá trình tương tự sẽ diễn ra khigói tin từ Host 2 gửi trả về Host 1

Thuật toán triển khai hệ thống phòng thủ đi chuyển mục tiêu:

Input:

packet: gói tin cần chuyển đổi IP

realIPList: danh sách những địa chỉ IP thật.

mtdIPList: danh sách những địa chỉ IP gia hợp lệ.

period: chu kỳ thay đổi địa chỉ IP

23

Output: newPacket: gói tin sau khi đổi IP.

Khởi tạo: timer

Khởi tạo: bang ánh xạ giữa realIPList và mtdIPPool một cách ngẫu nhiên

-ipMappingTable

'While true:

If ( timer mod period == 0 ):

ipMappingTable < Tạo lai bảng ánh xa giữa realIPList và mtdIPList ngẫu nhiên

newPacket < đổi IP cho packet

forward newPacket

24

Chương 4 TRIEN KHAI, THUC NGHIEM VÀ ĐÁNH GIÁ

4.1 Triển khai hệ thống

Để triển khai hệ thống, nhóm nghiên cứu đã tìm hiểu và đưa ra các công nghệ

có các chức năng phù hợp với hệ thông như Hình 4.1

Hệ thống được triển khai trên 3 máy ảo, cấu hình và chức năng của từng máy

được mô tả trong Bảng 4.1 sau:

Bảng 4.1: Môi trường triển khai

Máy ảo 1 Máy ảo 2 Máy ảo 3

Hệ điều hành Ubuntu 18.04 Ubuntu 18.04 Ubuntu 18.04

25

Câu hình 4 CPU, 8GB RAM, 4 CPU, 4GB RAM,

80GB HDD 40GB HDD 40GB HDD

Ung dung Docker ONOS Controller Logstash

Containernet ControlFlow.py Elasticsearch

ONOS có các cổng tương tác như:

e ONOS Web GUI (Hình 4.2)

: wiki.onosproject.org tutorials.onosproject.org : Lists.onosproject.org

Find out how at: contribute.onosproject.org

‘<tab>' for a list of available commands

'[cmd] help' for help on a specific command.

'<ctrl-d>' or type 'togout' to exit ONOS session.

Hình 4.3: Giao diện ONOS CLI

Containernet [9] là một nhánh của trình giả lập mạng nôi tiếng Mininet với ưuđiểm là cho phép sử dụng Docker container như là một host trong cấu trúc mạng ảo

Chính vì thế, nhóm nghiên cứu đã tạo các container và đóng gói lại thành cácimages phù hợp với từng thiết bị trong cấu trúc mang sẽ được triển khai triênContainernet như Hình 4.4.

eu ee €h

= beats = beats = = = Host

Hình 4.4: Cầu trúc mạng triển khai trên Containernet

27

Danh sách các images được sử dụng như trong Hình 4.5

er images

CREATED

39 minu

Hình 4.5: Danh sách các images cần dé triển khai hệ thống

Trên máy Containernet tạo file Topology.py với các thiết bị được kết nối vớinhau như trên Hình 4.4 và kết nối đến ONOS thông qua API phía nam

Chỉ tiết file Topology.py được đề cập ở phụ lục

Sau khi khởi chạy file Topology.py, ONOS sẽ nhận được thông tin các thiết

bị kết nối đến và hiện thị nó trên giao điện Web GUI như Hình 4.6

ai ñ ñ

Hình 4.6: Mô hình cau trúc liên kết trên ONOS Web GUI4.1.3 Xây dựng hệ thống phát hiện xâm nhập

Snort [10] là một hệ thống phát hiện xâm nhập mạng mã nguồn mở miễn phí

Nó sử dụng ngôn ngữ dựa trên quy tắc, thực hiện phân tích giao thức, tìm kiếm kếthợp nội dung và có thê được sử dụng để phát hiện nhiều loại tấn công và thăm dò

khác nhau.

28