Khóa luận tốt nghiệp An toàn thông tin: Xây dựng một hệ thống Honeypot có khả năng thích ứng

Vụ việc chấn động nói trên đã khiến ít nhất 18.000 khách hàng của SolarWinds buộc phải rà soát lại xem liệu hệ thống của họ đã bị đột nhập hay chưa, đồng thời đánh giá thiệt hại và lên k

ĐẠI HỌC QUỐC GIA TP HÒ CHÍ MINH

KHOA MẠNG MAY TÍNH VÀ TRUYEN THONG

NGUYEN CONG TIEN

DOAN NGUYEN QUOC HUY

KHOA LUAN TOT NGHIEP

XÂY DỰNG HE THONG HONEYPOT

CO KHA NANG THICH UNG

BUILDING AN ADAPTIVE HONEYPOT SYSTEM

KY SU NGANH AN TOAN THONG TIN

TP Hồ Chi Minh — Thang 07/2022

ĐẠI HỌC QUỐC GIA TP HÒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN

KHOA MẠNG MAY TÍNH VÀ TRUYEN THONG

NGUYEN CONG TIEN — 18520165

DOAN NGUYEN QUOC HUY — 18520065

KHOA LUAN TOT NGHIEP

XAY DUNG HE THONG HONEYPOT

CO KHA NANG THICH UNG

BUILDING AN ADAPTIVE HONEYPOT SYSTEM

KY SU NGANH AN TOAN THONG TIN

GIANG VIEN HUONG DAN ThS LE MINH KHANH HOI

THONG TIN HOI DONG CHAM KHOA LUẬN TOT NGHIỆP

Hội đồng chấm khoá luận tốt nghiệp, thành lập theo Quyết định số :

ngày của Hiệu trưởng Trường Đại học Công nghệ Thông tin.

FY Nv > CcKets < OQ 5

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

TRƯỜNG ĐẠI HỌC Độc Lập - Tự Do - Hạnh Phúc

CÔNG NGHỆ THÔNG TIN

TP HCM ngày tháng năm 2022

NHẬN XÉT KHOÁ LUẬN TÓT NGHIỆP

(CUA CAN BỘ HƯỚNG DAN)

Tên khóa luân:

XÂY DỰNG HỆ THÓNG HONEYPOT

CÓ KHẢ NĂNG THÍCH ỨNG

BUILDING AN ADAPTIVE HONEYPOT SYSTEM

SV thực hiện: Cán bộ hướng dẫn:

Nguyễn Công Tiến 18520165 ThS Lê Minh Khánh Hội

Đoàn Nguyễn Quốc Huy 18520065

Đánh gia Khóa luận

Vé cuôn báo cáo:

Số bảng số liệu: Số hình vẽ:

Số tài liệu tham khảo: Sản phẩm:

Một sô nhận xét vê hình thức cuôn báo cáo:

<Nhận xét về định dạng, cách thức viết báo cáo, phân bồ nội dung, chương mục có

hợp lý không ?>

Về nội dung nghiên cứu:

<Nhận xét về kiên thức, phương pháp mà sinh viên đã tìm hiệu, nghiên cứu nhận xét

uu điểm và hạn chê>

Về chương trình ứng dụng:

Về thái độ làm việc của sinh viên:

<Nhận xét về thai độ, wu khuyết diém cua từng sinh viên tham gia>

Đánh gia chung:

<Khóa luận dat/khong đạt yêu câu của một khóa luận tốt nghiệp kỹ sư/cử nhân, xếp

loại Gioi/Kha/Trung bình>

Điểm của sinh viên:

Nguyễn Công Tiến: /10

Đoàn Nguyễn Quốc Huy: 10

Người nhận xét

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

TRƯỜNG ĐẠI HỌC Độc Lập - Tự Do - Hạnh Phúc

CÔNG NGHỆ THÔNG TIN

TP HCM ngày tháng năm 2022

NHẬN XÉT KHOÁ LUẬN TÓT NGHIỆP

(CUA CÁN BỘ PHAN BIEN)

Tên khóa luân:

XÂY DỰNG HỆ THÓNG HONEYPOT

CÓ KHẢ NĂNG THÍCH ỨNG

BUILDING AN ADAPTIVE HONEYPOT SYSTEM

SV thực hiện: Cán bộ phản biện:

Nguyễn Công Tiến 18520165

Đoàn Nguyễn Quốc Huy 18520065

Đánh gia Khóa luận

Vé cuôn báo cáo:

Số bảng số liệu: Số hình vẽ:

Số tài liệu tham khảo: Sản phẩm:

Một sô nhận xét vê hình thức cuôn báo cáo:

<Nhận xét về định dạng, cách thức viết báo cáo, phân bồ nội dung, chương mục có

hợp lý không ?>

Về nội dung nghiên cứu:

<Nhận xét về kiên thức, phương pháp mà sinh viên đã tìm hiệu, nghiên cứu nhận xét

uu điểm và hạn chê>

Về chương trình ứng dụng:

Về thái độ làm việc của sinh viên:

<Nhận xét về thai độ, wu khuyết diém cua từng sinh viên tham gia>

Đánh gia chung:

<Khóa luận dat/khong đạt yêu câu của một khóa luận tốt nghiệp kỹ sư/cử nhân, xếp

loại Gioi/Kha/Trung bình>

Điểm của sinh viên:

Nguyễn Công Tiến: /10

Đoàn Nguyễn Quốc Huy: 10

Người nhận xét

LỜI CẢM ƠN

Lời đầu tiên, nhóm em xin trân trọng cảm ơn quý thầy, cô đang công tác và giảng

day tại khoa Mang máy tinh và Truyền thông, cũng như toàn thé thầy, cô khác công tác

tại trường Đại học Công nghệ Thông tin - ĐHQG HCM đã truyền đạt những kiến thức,bài học, kinh nghiệm quý báu cho chúng em trong suốt quãng thời gian hơn bốn nămvừa qua Nhóm em xin kính chúc khoa Mạng máy tính và Truyền thông nói riêng và

trường Đại học Công nghệ Thông tin nói chung luôn thành công rực rỡ trên con đường

giảng dạy đào tạo nhân tài, sẽ mãi là niềm tin vững chắc cho các thế hệ sinh viên trên

con đường giáo dục.

Tiếp theo, với tất cả sự biết ơn, chúng em xin gửi lời cảm ơn tới Giảng viên, TS

Lê Kim Hùng cùng với các thầy cô, anh chị, các bạn trong nhóm em nghiên cứu đã hỗ

trợ tận tình, đóng góp ý kiến và định hướng trong quá trình thực hiện đề tài

Đặc biệt, nhóm em xin gửi lời cảm ơn chân thành nhất đến Giảng viên hướng dẫn,

ThS Lê Minh Khánh Hội Nhờ những kinh nghiệm, bai học quý báu được chia sẻ từ cô,

cô đã luôn quan tâm và giúp đỡ chúng em giải quyết những vấn đề phát sinh, khó khăntrong quá trình thực hiện Nhờ có cô, chúng em đã có cơ hội hoàn thành tốt khóa luậntốt nghiệp này

Chúng em xin cảm ơn về phía gia đình đã luôn luôn tin tưởng, động viên chúng

em trong suốt quá trình học tập tại trường Dai học Công nghệ Thông tin — ĐHQG HCM,giúp nhóm em có thêm nguồn năng lượng dé đi đến được như ngày hôm nay

Cuối cùng, nhóm em xin gửi lời cảm ơn đến các anh, chị và các bạn sinh viên tạitrường Dai học Công nghệ Thông tin - ĐHQG HCM đã luôn nhiệt tình hỗ trợ, chia sẻ ýkiến và góp ý cho chúng em trong quãng thời gian thực hiện khóa luận

TP Hồ Chí Minh, ngày tháng năm 2022

ĐẠI HỌC QUOC GIA TP HO CHI MINH CONG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

TRƯỜNG ĐẠI HỌC Độc Lập - Tự Do - Hạnh Phúc

CÔNG NGHỆ THÔNG TIN

DE CƯƠNG CHI TIẾT

TÊN ĐÈ TÀI:

— Tiếng Việt: Xây dựng hệ thống Honeypot có khả năng thích ứng

- Tiéng Anh: Building an adaptive honeypot system

Cán bộ hướng dẫn: ThS Lê Minh Khánh Hội

Thời gian thực hiện: Từ ngày 21/02/2022 đến ngày 11/06/2022

Sinh viên thực hiện:

Doan Nguyễn Quốc Huy- MSSV: 18520065 — SBT: 0348385279

Nguyễn Công Tién— MSSV: 18520165 — SĐT: 0564106101

Nội dung đề tai:(M6 ta chỉ tiết mục tiêu, phạm vi, đối tượng, phương pháp thực hiện,kết quả mong đợi của dé tai)

Ngữ cảnh đề tài:

Sự bùng nỗ của công nghệ thông tin và Internet đã tạo tiền dé cho sự phát triển của nhiềulĩnh vực như công nghiệp, nông nghiệp, y tế, giáo dục góp phần nâng cao chất lượng

đời sống con người Bên cạnh những tác động tích cực đó song vẫn tồn tại những rủi ro,

thách thức về bảo mật thông tin người dùng Trong suốt những năm gần đây, các cuộctan công ngày càng phức tap với quy mô ngày càng lớn đã tạo nên một thách thức không

lồ trong việc phân tích bảo mật và điều tra pháp chứng đề phát hiện và phòng chống cáccuộc tấn công Bên cạnh đó, việc duy trì và đảm bảo an toàn cho dữ liệu của người dùngcũng là một khía cạnh cần được chú trọng trong việc phòng thủ các cuộc tấn công mạng

Một sô cuộc tân công có thê điêm qua:

e Tháng 8/2020, công ty viễn thông T-Mobile bị tan công máy chủ tại Mỹ, làm lộ

thông tin cá nhân của gần 2 triệu người dùng Thông tin bị lộ bao gồm tên, mãbưu chính gửi hóa đơn, số điện thoại, địa chỉ email, số tài khoản và loại tài khoản

e Vào 12/2020, một cuộc tan công và đánh cắp công cụ quét lỗ hông bao mật của

một công ty an ninh mạng hàng dau thé giới — FireEye đã diễn ra, đe dọa tới khảnăng bảo mật của hơn 8.800 khách hàng khách hàng, bao gồm một số liên bang,tiểu bang, các chính quyền địa phương và các tập đoàn lớn trên toàn cau

e Cuối năm 2020, SolarWinds tiết lộ rằng họ đã bị hacker xâm nhập vào hệ thống

phân phối bản cập nhật phần mềm Vụ việc chấn động nói trên đã khiến ít nhất

18.000 khách hàng của SolarWinds buộc phải rà soát lại xem liệu hệ thống của

họ đã bị đột nhập hay chưa, đồng thời đánh giá thiệt hại và lên kế hoạch khắc

dé thông qua việc thu hút tin tặc và bị tấn công, những thông tin liên quan của những kẻtan công và hành vi tan công có thé được thu thập, thông tin này thường được thực hiệnthông qua việc triển khai phần mềm hay dịch vụ, ghi lại dữ liệu giao tiếp mạng giữa tin

tặc và máy chủ Honeypot Sau đó sử dụng các công cụ phân tích dé diễn giải và phân

tích các dữ liệu này, từ đó tìm ra phương thức và động cơ của những kẻ tan công xâmnhập vào hệ thống

Nhìn thấy được những ưu điểm của Honeypot, nhóm hướng tới việc xây dựng một hệthống Honeypot đem lại được một khả năng thích ứng cũng như mở rộng tốt dé có thé

phục vụ công việc phòng thủ, cũng như mục đích nghiên cứu, thu thập các dữ liệu mạng cho việc tạo ra các bộ dữ liệu, từ đó có thê nâng cao năng suât của các mô hình học máy

cũng như mô hình học sâu cho hệ thống AI-IDS.

Mục tiêu đề tài:

— Tìm hiểu tổng quan về các công nghệ như Honeypot, hệ thống ElasticSearch —

Logstash — Kibana, máy học cũng như các công cụ hỗ trợ triển khai, ứng dụng

vào thực tiễn.

— Xây dựng, phát triển kiến trúc hệ thống kết hợp hệ thống Honeypot với bộ công

cu ELK stack dé có thé visualize log cho quản trị viên.

— Xây dung, phát trién hé thong máy hoc hoặc hoc sâu (tùy chọn thêm) dé phat hién

các điểm bất thường trong lưu lượng mang dé phát hiện các cuộc tấn công

Fingerprinting vào hệ thống Honeypot

— Kết hợp hệ thông Honeypot với hệ thống AI-IDS đề tăng cường khả năng cảnh

báo các cuộc tân công cho hệ thông.

Đôi tượng nghiên cứu:

— Xây dựng hệ thống Honeypot: Sử dụng Docker Container dé triển khai hệ thống

một cách ảo hóa.

— Xây dựng hệ thống quản ly log: Hệ thống ElasticSearch —Logstash — Kibana

— _ Xây dựng mô hình phát hiện tan công Fingerprinting tới hệ thống Honeypot: Deep

Neural Network (DNN).

Kết quả mong đợi:

— Hoàn thiện triển khai hệ thống Honeypot thích ứng, kết hợp sử dụng bộ công cụ

ELK Stack giúp quản trị viên có thé theo dõi, tổng hợp các log cũng như theo dõi

các hành vi của attacker trên môi trường máy ảo.

— Xây dựng được một hệ thống giúp phát hiện các cuộc tấn công Fingerprinting tới

hệ thống Honeypot

— Đưa ra tài liệu báo cáo về mô hình tổng quan của hệ thống, đưa ra được những ưu

và nhược điêm còn tôn đọng so với các hệ thong Honeypot trước.

— Đặt vấn đề về tính thực tiễn khi áp dụng hệ thống và đưa ra những định hướng

mở rộng trong tương lai.

Kế hoạch thực hién:(M6 ta kế hoạch làm việc, thời gian biểu và phân công công việc

cho từng sinh viên tham gia)

Thời gian Nội dung Phân công công việc

21/02/2022 — 07/03/2022 | Tìm hiểu, lựa chọn đề tài và Nguyễn Công Tiến,

xây dựng đê cương khóa luận Đoàn Nguyễn Quốc Huy

08/03/2022 — 18/03/2022 | Nghiên cứu về hệ thống Nguyễn Công Tiến,

Honeypot, Docker Đoàn Nguyễn Quốc Huy

Tìm hiểu về bộ công cụ ELK

Stack.

19/03/2022 — 09/04/2022 | Xây dung hệ thống Honeypot, | Nguyễn Công Tiến

hệ thông ELK Stack, trangquan trị hệ thống dé giúp quảntrị viên có thê tương tác với hệ

thống.

10/04/2022 — 01/05/2022 | Tìm hiểu, nghiên cứu triển khai | Nguyễn Công Tiến,

Honeypot cho kiến trúc mạng Đoàn Nguyễn Quốc Huy

SDN.

02/05/2022 — 19/05/2022 | Xây dựng các mô hình máy Đoàn Nguyễn Quốc Huy

học, học sâu cho việc phát hiện

tan công Fingerprint

20/05/2022 — 11/06/2022 | Thử nghiệm va danh gia ưu Nguyễn Công Tiến,

nhược điêm của hệ thông và Đoàn Nguyễn Quốc Huy

mô hình.

12/06/2022 — 27/06/2022 | Tổng hợp kết quả và số liệu Nguyễn Công Tiền,

thực nghiệm Đoàn Nguyễn Quốc Huy

Viết báo cáo khóa luận

28/06/2022 — 03/07/2022 | Phản biện khóa luận Nguyễn Công Tiến,

Đoàn Nguyễn Quốc Huy

06/07/2022 — 07/07/2022 | Bảo vệ khóa luận Nguyễn Công Tiến,

Đoàn Nguyễn Quốc Huy

Xác nhận của CBHD

(Ký tên và ghi rõ họ tên)

ThS Lê Minh Khánh Hội

h1 rốn ẽẽẽẽ 2

1.2 Đặt vấn GE ecccsssecssscssecsnecssscssscsnecssscencenscsasccsscsnscssscssscssscsnscssscsasccascenscesscsascenscensccasceascensceascensceascenscensessees 2 1.3 Mục tiêu của đề tai sscssssssssssssecsssscsssessssessssecsssecsssessnsecsnsessssecsssecsssecsssecsnsessnsecssscssnsessnscssnecssneessusessacessaseess 3

1.4 _ Đối tượng và phạm vi nghiên cứu

2.2.4 Ứng dụng SDN trong các hệ thống mạng hiện đại

2.3 Hệ thống phát hiện xâm nhập IIDS 2-«°s©©Ss©++s©v+s£EESs£E2A£E7AeSEEAEETEaeErxseorsserrsseorssrre 16

2.3.1 — Kháiniệm 222cC22L22E E12 221211 221 22T 2 .EE Eeere 17

2.3.2 Phân loai IDS vieccesescsesssssssesssssesesssssecssssscssssvscssssscssssvessssuscsssvecssssecssssvscssssscsssuvessssssesesueesssseecssssvessssees 18

No 75 6 ẽ 19

2.4.1 Low-interaction Honeypot

2.4.2 High-interaction Honeypot

2.5 ELK Stack co HH HH HO HH TH 0 0 0 00000 00000000600 8000000000080 21

2.5.1 P0140 21

2.5.2 Logstash ve 2.5.3 Si

CHƯƠNG3 KIÊN TRÚC HE THONG e-s-ssccsecssessecseesss-s 25 3.1 Téng 6 ẽ ẽ 25

3.2 co acc 5 ẽố ẽố ẽ ẽẽẽ ,ÔÔ 25 3.2.1 I/[(0834051580i1150519)01121217 25

3.2.2 H6 thong Honeypot N44 34

3.2.3 Hệ thống ELK Stack cccccccscsssessssssssessseessscssecssscssscssscssecssscssecssessuscssssssecssssssecsuscssessuecsseesseessecssecssecssecs 40 CHƯƠNG4 ÁP DUNG MÔ HÌNH HỌC SAU CHO IDS 41

4.1 Tổng qua cseccssscssssssssecsssecsssecssnecssnecsssecessecessscessecssnecsssecsssecensecsssccsssecsasecsssecsssecsnsecsssecsssecsanecssnecsssecssseesseees 41 4.2 Các giai đoạn trong quá trình đào tao tập dữ lỆU <5 5< 5-5 << S5 S9 95 9 65 9830585068850 58 42 4.2.1 Data Collection: 0011010108 3 42

4.2.2 Data-Preprocesinib .GN IF eo SN f1 / 44

4.2.3 Feature Sele@ilonn’ NA đ“_`ˆ57.” £“ 46

4.2.4 Resampling Data: hố 48

4.2.5 Choosing Model and Classification: A8888 n6 50

4.3 Deep Neural Network (DNN) GÌ HH TH HH g0 00010000 800080080 51 4.3.1 Deep Neural Network architechture N6 51

4.3.2 Y0) 000U08801001/000) 020000086888 52

4.4 Các (tiêu chí đánh giá s-<-< << TH TT 0000000000000 0004040000010000 04 55 HT 0 00) 57

4.5.1 Data Collection 01110787 58

4.5.2 Data Pre-processing N66 58

4.5.3 100811) 0)000 0008666 59

4.5.4 Resampling Data 0 e - 59

4.5.5 Choosing Model and Classification ¿- 6 << 21 1211512311 111111 3111 1 1H HH HH HH, 59 4.6 cổ ốc ca 61

4.6.1 000 01 6l 4.6.2 CO “ 62

4.6.3 K10 0 62

4.6.4 b4 0 62

4.6.5 O0 63

CHUONG5 THỰC NGHIỆM VÀ ĐÁNH GIÁ -s scs<ssesssese 64

5.I Thực nghiệm << <4 0 HH HT Hi Hi II 00 00.00.0808 050008007

CHUONG6 TONG KET VA HƯỚNG PHAT TRIEN 5-s-se<e 79

in Két qua dat AO scccsecssesssesssesssesssesssssssessssscssessneessssasecssecesecsuscancessecssecanseasecanceasecanecanecanecanceanecanecasecaseass 79 6.2 Hướng phat triễn cs-< << ©ss©E+£EESSEES4EE34E235E714E734732E71407140713073407330713073473302132130233 2422356 80

DANH MỤC HÌNH ẢNH

Hình 2.1: Kiến trúc mạng truyền thống và kiến trúc mang SDN -. -: 9

Hình 2.3: Các khả nang Attacker có thé tấn công vào mang SDN - 16

Hình 2.5: Phân loại IDS - 2< E2 2111E1122311111 1193311111 93111 K19 11kg ven 18

Hình 2.6: Kiến trúc bộ ELK Staek :ccccc2ccvctttErktrrrrrktrrrrtrrrrrrrrtrrrrrrrrrrrrrk 21

Hinh 2.7: Elasticsearch 0088 22 Hinh 2.8: Logstash i15 Ả 23 Hinh 2.9: Kibama cee eecessceseeesceseeeceseeecececeeeaeeescecsaeceaeeeaceesceceaeecaeeseeeceaeeeaeeseeeseareaee 24

Hình 3.1: Mô hình tổng quan kiến trúc hệ thong cc.cccscccssessseesssecssesssecsseessecsseseseeessees 25

Hình 3.6: Các host sau khi được tạo và kiểm tra kết nồi -cc+ccccceerre 28

Hình 3.7: Các host sau khi được tao và kiểm tra kết nồi - ss+s+s+z+xszszszx+s+z 28

Hình 4.7: Đồ thị của sigmoid (xanh) va đạo hàm (đỏ) của ChUNg - 53

Hình 4.8: Qua trình học qua các hidden layer trước và sau khi áp dung Dropout 55

in 2600iìì)1300/ 80/0072 56

Hình 4.10: Tổng quan về mô hình DNN sử dung ce.ceeceeccseesesseeseeseesessesesseesesseeseesees 60Hình 4.11: Confusion Matrix của 20% tập dữ liệu kiểm thts 61Hình 4.12: Các thông số đánh giá của 20% tập dữ liệu kiểm thử -‹ 61

Hình 5.2: Flowchart giai đoạn khai thắc - - c5 + SE EskEirerrkrererrrree 67

Hinh 5.3: Cac céng dịch vụ được mở tại máy nan nhân - - +5 ++++s++sx+sss2 67

Hình 5.4: Các công dịch vụ được mở tại máy Honeypot - -«++<s<++sxssess 68

Hình 5.5: Kết qua trả về tại máy tan công khi sử dụng công cu Nmap 68

Hình 5.6: Kết quả sau khi thực hiện dự đoán tap dữ liệu +++s<++s++<+2 69 Hình 5.7: Máy Attacker ping tới may Victim khi chưa thiết lập flow - 70

Hình 5.8: May Attacker ping tới may Victim sau khi thiết lập flow 1 - 70

Hình 5.9: Máy Attacker ping tới máy Victim sau khi thiết lập flow 2 71

Hình 5.10: Kết quả khi thực hiện lại quá trình scan tai máy Attacker - 72

Hình 5.11: Giao diện đăng nhập trang quan fTỊ - - 5+ S+ + + +*kEseeeexeeresreerrsee 73 Hình 5.12: Giao diện Dashboard quản ly các Honeytrap - «<< <++s++s<2 73 Hình 5.13: Bản ghi nhật ký được hiển thị tại trang Kibana - -«++ss+<xs+sss+ 74 Hình 5.14: Kích hoạt Cowrie và ModSec c1 S321 vs ng re, 74 Hình 5.15: Attacker xác thực thành công tới COWFI€ 5 S5 + s+xssesersrreses 75 Hình 5.16: Một số câu lệnh khai thác COWFi€ -¿- -¿- - 2x5 +E+E£EE+E£EE£EeEeEEererkerereexee 75 Hình 5.17: File log của Cowrie ghi nhận hành vi được hiển thị tại Kibana 75

Hình 5.18: Form đăng nhập giả của ModSec - - - c Ss + k+seesereersseerrree 76 Hình 5.19: File log của ModSec ghi nhận hành vi được hién thị tại Kibana 76

DANH MỤC BANG

Bảng I: So sánh kiến trúc mạng truyền thống và kiến trúc mạng SDN 8

Bang TI: Cac Honeytrap được sử dung - - s5 tt HH ng nnriệt 37

Bảng IV: Chỉ tiết tập dit liệu CSE-CIC-IDS2018 2-52c©52c22+2cxscxcsrsvees 44

DANH MỤC TỪ VIET TAT

TỪ KHOA | NỘI DUNG DIEN GIẢI

SDN Software Define Networking Mạng khả lập trình

ELK Elasticsearch-Logstash-Kibana Bộ công cụ ELK Stack

IDS Intrution Detection System Hệ thông phat hiện xâm nhập

DL Deep Learning Thuật toán/ mô hình học sâu

DNN Deep Neural Network M6 hinh mang no-ron

OS Operating System Hệ điều hành

TOM TAT KHOA LUẬN

Các cuộc tan công mạng ngày càng gia tăng đã ảnh hưởng tới nhiều khía cạnh của

cuộc sống Đề chống lại cũng như đưa ra cảnh báo về các cuộc tấn công, nhiều hệ thống,

giải phap đã được đề xuất Trong số đó, Honeypot đóng một vai trò quan trọng trongviệc phân tích các hành vi va dấu hiệu của một cuộc tấn công, đồng thời thu hút sự chú

ý của những kẻ tan công tới hệ thống máy tinh.

Tuy nhiên, hệ thống Honeypot vẫn tồn tại những hạn chế riêng Khóa luận này sẽ

đề xuất một hệ thông Honeypot đem đến khả năng thích ứng, giúp mở rộng thuận tiệnvới từng nhu cầu sử dụng Đồng thời góp phần khắc phục được một phần nào đó nhược

điểm của hệ thống Honeypot nhờ vào những điểm mạnh của kiến trúc mạng khả lập trình

và việc áp dụng các thuật toàn máy học — học sâu cho hệ thong phát hiện xâm nhập.

Thêm vào đó, hệ thống Honeypot được đề xuất có thê được dùng vào mục đíchnghiên cứu cũng như thu thập các dữ liệu mạng dé phục vu cho việc tạo ra các bộ dữliệu, từ đó có thể nâng cao năng suất của các mô hình học máy cũng như mô hình học

sâu.

CHUONG 1 MỞ ĐẦU

1.1 Tên đề tài

e Tiếng Việt: Xây dựng hệ thống Honeypot có khả năng thích ứng

e Tiếng Anh: Building an adaptive Honeypot system

1.2 Dat van dé

Xã hội ngày càng phat triển khiến cho nhu cầu sử dung Internet ngày càng tăngcao Điều này đồng nghĩa với việc các cuộc tấn công mạng cũng sẽ gia tăng theo từngngày Hiện nay, đã có nhiều giải pháp được cung cấp dé ngăn chặn các cuộc tấn côngnày như sử dụng hệ thống tường lửa, hệ thống phát hiện và ngăn ngừa xâm nhập (IDPS),switch, router, băng cách đưa ra các cảnh báo và tiến hành ngăn chặn các cuộc tấncông Tuy nhiên các giải pháp trên xử lý một lượng dữ liệu rất lớn nên khả năng phântích dữ liệu gặp nhiều khó khăn và việc phát hiện có thê không chính xác Vì thế việctriển khai một hệ thống Honeypot đóng vai trò mồi nhử nhằm hướng kẻ tấn công nhắmvào chính Honeypot dé có thê ghi nhận được các hành vi mà kẻ tan công thực hiện Từ

đó, quản trị viên có thé đưa ra các giải pháp phòng chống các cuộc tấn công mạng hiệu

quả hơn.

Một hệ thống Honeypot bao gồm nhiều bay được triển khai với các mục đích khác

nhau Tuy nhiên, hiện nay, các bẫy được triển khai một cách riêng lẻ và khá ít hệ thống

Honeypot được xây dựng dé quan lý tập trung các bay cũng như khả năng tùy biến cho người quản lý chưa thực sự cao Điều này khiến cho việc xây dựng một hệ thống Honeypot có thể tích hợp nhiều bẫy và giúp quản trị viên dễ dàng hơn trong việc quản

lý là một nhu cầu can thiết

Ngoài ra van đề kẻ tan công phát hiện ra hệ thống Honeypot cũng là một van đềcần được quan tâm, đa số các cuộc tan công dé phát hiện hệ thống Honeypot là tan công

2

kiểu Fingerprinting Kẻ tan công thường sử dụng các kĩ thuật quét dé thăm dò hệ thốngmạng Đã có nhiều kĩ thuật phòng chống tan công kiêu Fingerprinting nhắm tới hệ thống

được đề ra, tuy nhiên điều này trái với mục đích của Honeypot là thu thập các hành vi

của kẻ tan công Thay vì ngăn chặn việc tan công thì việc cho phép kẻ tan công quét vào

hệ thống nhưng không phát hiện ra chính xác và từ đó thu thập được các hành vi mà kẻ

tấn công đã thực hiện Thêm vào đó, hiện nay các giải pháp xử lý triệt dé việc bị quét

vào hệ thống trong thời gian thực vẫn còn hạn chế do khó khăn trong việc cô lập các

cuộc tan công Fingerprinting với các cuộc tan công khác Vì thế, ngoài việc xây dựng

một hệ thông Honeypot dé thu thập hành vi thì việc triển khai một giải pháp dé phát hiệncác cuộc tấn công Fingerprinting vào hệ thông trong thời gian thực là hoàn toàn cần thiết

Nhìn thấy được những ưu điểm cũng như các van đề của một hệ thống Honeypot,nhóm em (gọi tắt là nhóm) hướng tới việc xây dựng một hệ thống Honeypot đem lạiđược một khả năng thích ứng và mở rộng tốt dé có thé phục vụ công việc phòng thủ,

cũng như mục đích nghiên cứu, thu thập các dữ liệu mạng cho việc tạo ra các bộ dữ liệu,

từ đó có thé nâng cao năng suất của các mô hình học máy cũng như mô hình học sâu cho

hệ thong AI-IDS

1.3 Mục tiêu của đề tài

Như vậy, mục tiêu của đề tài này là tìm hiểu tổng quan về các công nghệ baogồm: Honeypot, hệ thống ElasticSearch —Logstash — Kibana, máy học cũng như các công

cụ hỗ trợ triển khai, ứng dụng vảo thực tiễn Từ đó, nhóm sẽ thực hiện xây dựng, pháttriển kiến trúc hệ thống kết hợp hệ thống Honeypot với bộ công cụ ELK stack để có thểhiển thị các bản ghi nhật ký cho quản trị viên Thêm vào đó, nhóm thực hiện xây dựng,phát triển hệ thống phát hiện xâm nhập dé đưa ra cảnh báo về các điểm bat thường tronglưu lượng mạng giúp phát hiện các cuộc tấn công Fingerprinting vào hệ thống Honeypot

3

1.4 Đối tượng và phạm vi nghiên cứu

1.4.1 Đối tượng

— Hệ thống Honeypot

— Hệ thống quản lý log

— Môi trường mang SDN

— Mô hình phat hiện xâm nhập cho hệ thống mạng

— Môi trường mang SDN: Sử dung Floodlight Controller va Containernet.

— Mô hình phat hiện xâm nhập cho hệ thống mạng sử dụng mô hình DNN

CHUONG 2 CƠ SỞ LÝ THUYET

2.1 Tổng quan

Hệ thống được triển khai trong bài nghiên cứu này bao gồm bồn thành phan chính:

hệ thống Honeypot, ELK Stack, môi trường mang SDN, mô hình phát hiện tan công

Fingerprinting và mô hình phát hiện xâm nhập.

Hệ thống Honeypot sẽ bao gồm các Honeytrap Cac Honeytrap có thé là các dịch

vụ giả được mô phỏng sao cho giống các dịch vụ thật dé thu hút sự chú ý của kẻ tan công

và ghi nhận lại các hành vi của kẻ tan công đó Các bản ghi nhật ký các hành vi sẽ đượctong hợp và gửi về tập trung về một noi để quản trị viên có thé theo ddi một cách dédàng H Almohannadi [1] sử dụng bộ công cu ELK Stack dé hỗ trợ trong quá trình quan

lý và phân tích các bản ghi nhật ký từ Honeypot Trong phạm vi thực hiện khóa luận nay,

nhóm sẽ sử dụng bộ công cụ ELK Stack dé thu thập các bản ghi và hiển thi cho quan triviên dé dàng theo dõi Đồng thời hệ thống sẽ thu thập các lưu lượng mang tấn công dé

phục vụ cho mô hình phát hiện xâm nhập và mô hình phát hiện xâm nhập.

Môi trường mạng SDN sẽ được triển khai ảo hóa nhằm mục đích nghiên cứu.Nhóm sử dụng Containernet để có thể triển khai các Host và Switch có trong mạng.Controller được sử dụng trong phạm vi khóa luận tốt nghiệp này là Floodlight, cung cấpmột giao diện người dùng đơn giản, dễ dàng sử dụng.

Sajaan Ravji [2] thực hiện triển khai một hệ thống Honeypot cùng với hệ thốngphát hiện và ngăn chặn xâm nhập giúp cải thiện hiệu suất và tính bảo mật cho hệ thốngmạng Nhóm sẽ thực hiện triển khai một hệ thống phát hiện xâm nhập giúp đưa ra cáccảnh báo tới quản trị viên Mô hình phát hiện xâm nhập sẽ sử dụng mô hình học sâu dé

có thé phát hiện các cuộc tan công Chúng em sử dụng tap đữ liệu CSE-CIC-IDS2018

cho mục đích phân loại Trong phạm vi khóa luận, nhóm sé tập trung vào việc xác định

5

cuộc tấn công Fingerprinting Vì vậy, chúng em sẽ quan tâm đến hai nhãn chính là

Benign va Infilteration của tập dữ liệu CSE-CIC-IDS2018 Các nhãn nay được phân loại

dựa vào các dấu hiệu có trong các gói tin thu thập được.

2.2 Kiến trúc mạng khả lập trình SDN

Trong những năm gần đây, cách mạng công nghiệp lần thứ 4 đang diễn ra nhanhchóng, số lượng các hoạt động chuyên dịch lên hạ tầng công nghệ thông tin ngày càng

lớn Cùng với đó, sự phát triển bùng nổ của mạng Internet đã làm cho hệ thống mang

không ngừng trở nên đồ sộ về cả số lượng lẫn quy mô, kiến trúc, cơ sở hạ tầng

Như một hệ quả, việc quản trị và vận hành hệ thống trở nên khó khăn hơn trênkiến trúc mạng có quy mô lớn, đòi hỏi sự thay đồi liên tục dé tương thích với mục đích

sử dụng ngày càng linh hoạt Một trong những nguyên nhân cơ bản gây nên sự khó khan

này là do các thiết bị của hạ tầng mạng hay các dịch vụ hạ tầng được xây dựng riêng biệt

và độc quyền, với nhiều cơ chế khác nhau, bởi các nhà sản xuất khác nhau Việc phânmảnh, thiếu đồng bộ trong cơ chế quản lý, cấu hình gây khó khăn trong việc vận hành

toàn bộ hệ thống.

Với sự phát triển của các công nghệ ảo hóa, ảo hóa mạng dang là xu hướng đượcquan tâm và đang ngày càng được triên khai rộng rãi với sự ra đời của kiến trúc mạngđiều khiển băng phần mềm Mang SDN được phát triển nhằm mục dich làm cho cácmạng trở nên linh hoạt hơn, phân tách các quá trình điều khiển lưu lượng mạng ra khỏi

hạ tang phần cứng là các thiết bị vật lý, nhằm đảm bảo việc quản lý và kiêm soát thôngqua các API trở nên hoàn chỉnh và thống nhất hơn, cho phép các kỹ sư và người quản trịnhanh chóng tạo ra các yêu cầu hoạt động thông qua một bộ điều khiến tập trung

2.2.1 Tong quan về mang khả lập trình SDN

Software Define Network (SDN) là một kiến trúc mạng cho phép kỹ sư hoặc quản

6

trị viên có thé quản ly mạng và cau hình toàn bộ hệ thống hiệu quả theo một chươngtrình giúp giảm chi phí vận hành và tăng hiệu suất làm việc, đồng thời tăng tốc thời gian

đáp ứng khi có yêu cầu thay đổi hoặc cung cấp thêm dịch vụ.

SDN phân tách hạ tầng mạng thành ba thành phần chính được biểu diễn ở Hình2.1, bao gồm:

— Lớp ứng dụng (Application Layer): Là những ứng dụng hoặc chức nang

mà hệ thống mạng cần sử dụng như các hệ thống phát hiện xâm nhập, cânbăng tải, tường lửa Đề thực hiện các chức năng này trong kiến trúc mạngtruyền thống, cần phải sử dụng một thiết bị chuyên dụng riêng biệt Trongkhi với SDN, các ứng dụng phần mềm với các chúc năng tương đươngđược triển khai kết hợp với các API do bộ điều khiển cung cấp dé quản lýviệc điều khiến lưu lượng mạng, thay thé cho các thiết bi phần cứng tuyénthống

— Lớp điều khiến (Control Layer/Control Plane): Đại diện cho phan mềm

điều khiển SDN tập trung, hoạt động như não bộ của mạng Bộ điều khiếnnày nằm trên một máy chủ, quản lý các chính sách và luồng lưu lượng trêntoàn mạng, cũng như cung cấp các API dé có thé xây dựng cho hệ thống

mạng.

— Lớp hạ tầng (Infrastructure Layer/Data Plane): Bao gồm các thiết bị vật lý

trong mạng, thực hiện việc chuyên các gói tin trong hệ thống theo sự điềukhiển thông qua các giao thức như OpenFlow Các bộ chuyền mạch tronglớp hạ tầng giao tiếp với lớp điều khiển thông qua các Southbound API

Bộ điều khiển SDN quản lý tập trung các thiết bị vật lý cũng như các dịch vụmạng, bat ké loại thiết bị hay dịch vụ Dựa vào bộ điều khiển SDN, các nhà khai thác và

7

quản trị mạng có thê lập trình đề cấu hình tự động thay vì phải thực hiện thủ công từngcâu lệnh cấu hình trên từng thiết bị riêng lẻ vốn có thé bị phân bồ ở nhiều vị trí địa lý.Điều nay giup việc triển khai các ứng dụng mới và các dịch vụ mạng diễn ra nhanhchóng, kiến trúc mạng trở nên linh hoạt cũng như hiệu suất sử dụng cao và dễ quản lýhơn Sự khác biệt cơ bản giữa mạng truyền thống và mạng SDN được nhóm tổng kết lại

Phần điều khiển được

tách riêng ra khỏi thiết bịmạng và được chuyên

đến một thiết bị được gọi

là bộ điều khiển SDN

Phan thu thập và xử lý

các thông tin.

Được thực hiện ở tất cảcác phần tử trong mạng

Xử lý tập trung ở bộ điềukhiển SDN

Kha năng lập trình décau hình bởi ứng dung

Không thê được lập trình

trong mạng.

Traditional network architecture SDN network architecture

Distributed control Concentrated control

vào năm 2008, dự án này đã giúp mang SDN trở nên khả thi hơn.

OpenFlow là giao thức mạng cho phép điều khiến mạng xác định đường đi củagói tin của mang qua các Switch (Bộ chuyên mạch) OpenFlow cho phép chuyên mạch

từ các nhà cung cấp và các nhà phát triển khác nhau Openflow đóng vai trò là lớp giaotiếp giữa phần điều khiển và phần chuyên tiếp, cung cấp các API cho phép khả năng lậptrình cho lớp điều khiển OpenFlow là tiêu chuan đầu tiên, cung cấp khả năng giao tiếpgiữa các giao điện của lớp điều khién và lớp chuyên tiếp trong kiến trúc SDN OpenFlowcho phép truy cập trực tiếp và điều khiển lớp chuyền tiếp của các thiết bị mạng nhưswitch và router, cả thiết bị vật lý lẫn thiết bị ảo

2.2.3 Các công nghệ hỗ trợ giả lập kiến trúc mạng

2.2.3.1 Các bộ điều khiển SDN

Bộ điều khiển SDN là một ứng dụng trong kiến trúc mạng được định nghĩa bằng

phần mềm, có chức năng quản lý, kiêm soát luồng dữ liệu dé cải thiện hiệu suất quản lý

và cau hình ứng dụng mang SDN controller (bộ điều khiển SDN) là trái tim của toàn

mạng SDN và thường được cài đặt trên một máy chủ chuyên dụng.

Các SDN controller điều hướng lưu lượng truy cập theo chính sách được thiết đặtbởi quản trị viên của mang, do đó giảm thiểu được việc cau hình thủ công cho các thiết

bị mạng riêng lẻ Khi triển khai SDN các công ty, tô chức nên sử dụng nhiều hơn một

bộ điều khiển, thêm một bản sao lưu đề dự phòng Với các giải pháp thương mại haythậm chí mã nguồn mở, các chuyên gia khuyến nghị rằng nên có khoảng ba SDNcontroller Sự dư thừa này sẽ cho phép mạng tiếp tục chạy trong trường hợp mắt kết nối

va giúp dam bảo tính an toàn cho các SDN controller cũng như toàn bộ mạng.

2.2.3.2 Bộ điều khiến Floodlight

Floodlight là một bộ điều khiển SDN mã nguồn mở được xây dựng dựa trên nền

tảng Java và được cấp phép bởi Apache Ngoài ra, Floodlight còn được hỗ trợ bởi một

cộng đồng các nhà phát trién bao gồm các kỹ sư đến từ Big Switch Networks Kiến trúccủa bộ điều khiển Floodlight được thể hiện tại Hình 2.2

Bộ điều khiển Floodlight đem đến lợi thế cho nhà phát triển nhờ vào việc demđến khả năng điều chỉnh phần mềm và phát triển ứng dụng Thêm vào đó, Floodlight còn

cung cấp REST API giúp giao tiếp với bộ điều khiển một cách đễ dàng Trang chủ của

Floodlight cũng cung cấp các đoạn mã ví dụ hỗ trợ cho nhà phát triển trong việc xâydựng các sản phẩm

Bộ điều khiển Floodlight có thé hoạt động trong nhiều môi trường khác nhau vàcũng có thé đáp ứng được môi trường có sẵn của các doanh nghiệp Nó còn có thé hỗ trợ

10

Thread Mgmt.

Learning Static-Flow

Packet Stream Foowariing Switch Entry Hub

——————) Internal Dependent Services Core-Services

StOrage Module ae

—- Topology & Path Mgmt Manager | rovider

Test-Support Link n Switch-Mana | Performance

a Routing

Discovery ger Monitor

Counters F :

Device Flow Message _ mm

Jython Server Manager Caching Filtering | Cang

Hình 2.2: Kiến trúc của bộ điều khiển F loodlight

2.2.3.3 Trinh gia lập mang Mininet

Mininet là một trình gia lập mạng cho phép gia lập một môi trường mang SDN

bao gồm các host, switch, controller và các kết nói Các host tạo bởi Mininet sử dụng

chuẩn hệ điều hành Linux, các switch sẽ được hỗ trợ giao thức Openflow dé có thé sử

dụng với mang SDN Mininet thích hợp trong việc hỗ trợ nghiên cứu, phát triển, học tập,

tạo mau, thử nghiệm, gỡ rối và bất kỳ tác vụ nào khác có thé đem lại lợi ích từ việc có

một mạng thử nghiệm hoàn chỉnh trên laptop hoặc máy tính cá nhân.

Một số tính năng có thé kê đến của Mininet:

— Cung cấp một môi trường thử nghiệm mang đơn giản và ít tốn kém dé phát

triển các ứng dụng sử dụng giao thức Openflow

— Cho phép nhiều nhà phát triển đồng thời hoạt động độc lập trên cùng một

II

cấu trúc liên kết.

— Hỗ trợ kiểm tra hồi quy ở cấp hệ thống, có thé lap lại va dé dang đóng gói

— Cho phép kiểm tra cấu trúc liên kết phức tạp mà không cần kết nối mạng

vật lý.

— Bao gồm một Command Line Interface (CLI) nhận biết cấu trúc liên kết

và nhận biết OpenFlow, dé gỡ lỗi hoặc chạy thử nghiệm trên toàn mạng

— Có thể sử dụng được mà không cần lập trình.

Mang Mininet được tạo dựa trên tiêu chuẩn các ứng dụng mang Unix/Linux cũngnhư kernel Linux Chính bởi điều này, việc phát triển và kiểm thử trên Mininet chocontroller, Openflow switch hoặc các host có thé áp dụng lên hệ thống thực tế mà không

cần nhiều điều chỉnh.

2.2.3.4 Trình giả lập mạng Containernet

Containernet là một nhánh của trình gia lập mạng Mininet Containernet cho phép

sử dụng các Docker container làm các host trong môi trường mô phỏng mạng SDN Điều

này cho phép có thêm nhiều chức năng đa dạng hơn đề xây dựng môi trường mạng cầnthử nghiệm Bên cạnh đó, Containernet được cộng đồng nghiên cứu tích cực sử dụng,

tập trung vao các thí nghiệm trong lĩnh vực điện toán đám mây, điện toán sương mù, ảo

hóa chức năng mạng (NFV) và điện toán cạnh đa truy cập (MEC).

2.2.4 Ứng dung SDN trong các hệ thống mạng hiện đại

Trong những năm qua, SDN đã được các nhà nghiên cứu và các nhà khoa học

quan tâm và phát triển SDN được cho là một giải pháp cung cấp khả năng thích ứng một

cách hiệu quả không những về mặt chi phí mà còn về kha năng mở rộng Vì thế, các nhà

nghiên cứu hy vọng đây sẽ là một kiến trúc mới, nhằm thay thế các thiết bị mạng vật lýtruyền thống bang cơ sở hạ tầng mang được lập trình và điều khiển bởi phần mềm Sự

12

linh động của SDN cho phép hệ thống mạng đáp ứng được nhiều yêu cầu phức tạp từcác ứng dụng Mặc dù vậy, hiện nay kiến trúc mạng SDN vẫn chưa thực sự phô biến

trong thực tế, nhưng cũng đã có một só trường hợp sử dụng SDN để giải quyết các vấn

đề đặc thù một cách hiệu quả hơn so với mạng truyền thống.

Một số trường hợp thực tế đã sử dụng mang SDN có thé ké đến như:

— Sonus Network tiết lộ rang họ đã sử dung SDN trong các dịch vu video va

nền tang công tác mà công ty dang vận hành Bang cách kết hop SDN vớinên tảng ảo hóa mạng của Jupiter, công ty có khả năng quản lý các phiênhoạt động của khách hàng một cách linh hoạt Sonus Network tin rằng việc

sử dụng SDN giúp họ có khả năng kiêm soát mạng nhiều hơn, từ đó linhđộng hơn trong việc phục hồi các nhu cầu của khách hàng một cách hiệu

quả hơn.

— Điều phối các dịch vu di động: Các chức năng mạng ảo hóa (NVF) và SDN

đều đã được sử dụng trong hệ thống của các công ty cung cấp dịch vụ mạng

di động viễn thông Các nhà cung cấp đã bắt đầu sử dụng chúng dé quản

lý mạng của họ nhằm đảm bảo sử dụng tài nguyên hiệu quả nhất, đồng thời

tận dụng chúng dé quản lý mang của họ nhàm dam bảo sử dụng tài nguyên

hiệu quả nhất, đồng thời tận dụng được khả năng điều phối, cung cấp cácdịch vụ một cách nhanh chóng Điều này cho phép hệ thống hạ tầng đáp

ứng được nhu cầu của các nhà mạng một cách linh hoạt, giảm thời gian

triển khai, từ đó gia tăng hiệu suất tổng thể của toàn hệ thống

— Tăng độ linh động trong trung tâm dữ liệu: Trong thời gian gần đây, các

nhà nghiên cứu tại trường Đại học Illinois đang cố gắng sử dụng các bộchuyền mạch SDN để thử nghiệm một hệ thống mạng mới được triển khai

13

cho một trung tâm dữ liệu Các nhà nghiên cứu đã nhận định rằng quá trình

mở rộng của hệ thống mạng sẽ không gây phát sinh quá nhiều về chỉ phíphần cứng

SD-WAN (Software Define Wide Area Network): SD-WAN là một hệ

thống mạng diện rộng được định nghĩa bởi phần mềm Một trong nhữnglợi ích mà SD-WAN mang lại là hệ thống cho phép các công ty tổng hợpnhiều kết nối, bao gồm cả MPLS, 4G LTE va DSL IDC- cho rang thi

trường SD-WAN sẽ đạt 4,5 tỷ đô la vào năm 2022, và sẽ tăng trưởng với

tốc độ hơn 40% hàng năm

Một số nhà sản xuất lớn như Cisco đã sử dung SDN làm nền tang dé triểnkhai một kiến trúc mạng tiên tiến hơn là Intent-Based Networking vận

hành tự động theo ngữ cảnh với sự hỗ trợ của trí tuệ nhân tạo Ngoài ra,

cũng đã có nhiều sản phâm, hệ thống SDN được triển khai trong thực tếnhư: hệ thống mạng B4 của Google, hệ thống mạng truyền tải của

Huawel

2.2.5 Các van dé an ninh trong mạng SDN

Mặc dù mang đến nhiều lợi ích, nhưng mạng SDN cũng đi kèm theo những thách

thức trong vân dé an ninh Một sô vân đê vê an ninh có thê kê đên như:

— Truy cập trái phép (Unauthorized Access): Nếu hệ thống không có cơ chế quan

lý điều khiến, và kiểm soát ứng dụng phủ hợp, các ứng dụng có thé bị kẻ tan cônglợi dụng dé thao tác, đánh cắp thông tin quan trọng của hệ thống mang SDN

— Lỗi câu hình (Misconfiguration): Việc câu hình sai ở bộ điêu khién có thê dan dén

tạo lỗ hồng cho kẻ tấn công khai thác và chiếm đoạt hệ thống

— Mã độc (Malware): Bộ điều khiển có thể bị nhiễm mã độc, hoặc các ứng dụng

14

mạng ở tang ứng dụng bị nhiễm độc Điều này có thé làm thay đồi hành vi của bộ

điều khiển, gây anh hưởng tới hoạt động của toàn mạng.

Tấn công từ bên trong (Insider attacks): Hệ thống có thể tấn công từ bên trong

(các nhân viên quản trị/những người dùng được cấp quyền trong hệ thống)

Tan công từ chối dịch vụ (DDoS): Mạng SDN có thé bị gián đoạn nếu như bộđiều khiển bị tan công (mục tiêu DDoS là bộ điều khiến tập trung) làm cạn kiệttài nguyên xử lý Ngoài ra, kẻ tan công có thé tan công làm tràn bảng luồng (mộtkiểu tan công DDoS nhắm vào switch) trên các thiết bị switch cũng làm gián đoạnhoạt động chuyên tiếp dữ liệu

15

2.3 Hệ thống phát hiện xâm nhập IDS

Với sự phát triển và tiến bộ vượt bậc của truyền thông và Internet trong thập kiqua, các cuộc tan công mạng ngày càng trở nên tinh vi và khó đoán hơn Vì thé, an ninhmạng nồi lên như một lĩnh vực nghiên cứu quan trọng Một SỐ công cụ như tường lửa,các phần mềm chống virus và hệ thống phát hiện và ngăn ngừa xâm nhập (IDPS) dé đảm

bảo an ninh mang và bảo vệ thông tin có gia tri.

Ý tưởng về IDS được Jim Anderson đề xuất lần đầu tiên vào năm 1980 với mục

đích là nghiên cứu và dò tìm các hành vi bất thường trên mạng Mãi đến năm 1997 thì

16

khái niệm nay mới được phổ biến rộng rãi do sự bùng nỗ của công nghệ thông tin vàInternet Ké từ đó, rất nhiều sản phẩm IDS đã được phát triển và hoàn thiện dé đáp ứngnhu cầu an ninh mạng.

2.3.1 Khái niệm

IDS (Intrusion Detection System hay “Hệ thống phát hiện xâm nhập”) được cấuthành từ hai từ “xâm nhập” và “hệ thống phát hiện” Xâm nhập nói đến việc truy cập trái

phép vào thông tin hoặc hệ thống mạng làm ảnh hưởng đến ba yếu tố gồm: bảo mật

(Confidentiality), toàn vẹn (Integrity) và khả dụng (Availability) Hệ thống phát hiện là

cơ chế bảo mật phát hiện các xâm nhập bat hợp pháp Vì vậy IDS là một hệ thống hoạtđộng thường trực với nhiệm vụ là giám sát hệ thống mạng và kiểm tra lưu lượng mạng,kiểm tra xem có hoạt động nào đáng ngờ và làm ảnh hưởng đến ba yếu tố C-I-A Hình2.4 thé hiện một hệ thống mang cơ bản có lắp đặt các IDS

AI-IDS là áp dụng trí tuệ nhân tạo vào IDS giúp cho IDS có khả năng phát hiện

tốt hơn, học hỏi được các loại tấn công mới trong lưu lượng mạng và tự động phát hiện

được lưu lượng bat thường nham tăng khả năng phát hiện xâm nhập tốt hơn

Host-based IDS/IPS

Server

Host-based IDS/IPS

Firewall Router Server

Host-based IDS/IPS

Server

based IDS/IPS

Network-Untrust

Hình 2.4: Hệ thong mang cơ bản có lắp đặt các IDS

17

2.3.2 Phan loại IDS

IDS có thé được phân loại theo phạm vi giám sát và theo kĩ thuật thực hiện Việcphân loại IDS được thể hiện rõ ở Hình 2.5:

Intrusion Detection System (IDS)

Deployment Method based IDS | Detection Method based IDS

Host based Network based Signature based Anomaly based IDS IDS IDS IDS

Deep Learning Models

Hinh 2.5: Phan loai IDS

2.3.2.1 IDS dựa trên phạm vi giảm sat

Dựa vào phạm vi giảm sat thi IDS được chia thành hai loại: dựa trên Host (HIDS)

và dựa trên Network (NIDS) HIDS được triển khai trên host với nhiệm vụ giám sát hoạt

động của host được triển khai để phát hiện những hành vi vi phạm tới chính sách và

những hành vi bất thường NIDS được triển khai trên hệ thong mang với mục dich bảo

vệ hệ thông mạng khỏi sự xâm nhập trái phép NIDS giám sát liên tục lưu lượng mạng

và xem xét các packet trong mang dé phát hiện xâm nhập trái phép

2.3.2.2 IDS dựa trên kỹ thuật thực hiện

IDS dựa trên kỹ thuật thực hiện được chia làm hai loại: dựa trên dau hiệu nhậnbiết (Signature-based IDS hay S-IDS) và dựa trên sự bat thường (Anomoly-based IDS

hay A-IDS).

S-IDS, hay còn có thé gọi là phát hiện dựa trên những dấu hiệu, ý tưởng đã biết

đê xác định dâu hiệu nhận biệt cho các loại tan công Các dâu hiệu nhận biệt này được

18

lưu trữ trong cơ sở dữ liệu các dau hiệu nhận biết và các mẫu dữ liệu được khớp với các

dau hiệu được lưu trữ này dé phát hiện các cuộc tấn công Ưu điểm của S-IDS là cực kì

hiệu quả khi phát hiện các cuộc tấn công đã biết từ trước Mặt khác, phương pháp nàythiếu kha năng phát hiện các cuộc tan công biến thé và mới do không có các mẫu dấuhiệu có sẵn trong cơ sở dữ liệu Việc dé phát hiện được nhiều dấu hiệu mới đòi hỏi cơ

sở dữ liệu phải lưu trữ rất nhiều dấu hiệu và khi một cuộc tấn công có ý định xâm nhập

vào hệ thống thì việc kiểm tra các mẫu dé xác định kiểu tan công cũng sẽ làm tiêu tốn

tài nguyên.

A-IDS hay "IDS dựa trên hành vi" dựa trên ý tưởng xác định ngưỡng hoạt động

nao là bình thường, ngưỡng nao là bất thường Bat kì sai lệch nào so với ngưỡng bìnhthường sẽ được coi là hành vi bất thường Ưu điểm của A-IDS là khả năng phát hiện cáccuộc tấn công mới chưa biết và khả năng điều chỉnh các ngưỡng bình thường cho cácmạng và ứng dụng khác nhau Tuy nhiên, nhược điểm chính là tỉ lệ báo động giả cao vìkhó tìm ra ranh giới giữa ngưỡng bình thường và bat thường dé phát hiện xâm nhập

2.4 Hệ thống Honeypot

Hệ thống Honeypot cung cấp giải pháp hỗ trợ giám sát hành vi từ các tác nhântiêu cực bên ngoài Nó được thiết kế nhằm đánh lừa, thu thập thông tin về mục đích vàhành vi của kẻ tan công dé cung cấp một hệ thống cảnh báo sớm và hoạt động như mộtphương pháp thấu hiểu tư duy của kẻ tan công nhằm xác định xu hướng tan công mới.Nói cách khác, Honeypot là hệ thống môi nhử có giá trị cốt lỗi nằm ở việc cố gắng đánhlừa kẻ tan công dé thông qua việc thu hút tin tặc và bị tan công, những thông tin liênquan của những kẻ tấn công và hành vi tan công có thé được thu thập, thông tin nàythường được thực hiện thông qua việc triển khai phần mềm hay dịch vụ, ghi lại dữ liệugiao tiếp mạng giữa tin tặc và máy chủ Honeypot Sau đó sử dụng các công cụ phân tích

19

dé diễn giải và phân tích các dit liệu này, từ đó tìm ra phương thức và động cơ của những

kẻ tấn công xâm nhập vào hệ thống

Tuy nhiên, Honeypot cũng tồn tại những hạn chế Honeypot sẽ không thé phat

hiện và giám sát được những hành vi đang diễn ra tại hệ thống chính mà Honeypot chỉ

phát hiện những xâm nhập vào nó Trong thực tẾ, quản trị viên không nên cho rằng tin

tặc không tan công vào hệ thống Honeypot thì sẽ không thé tan công vào hệ thống thực.

Vi vậy, chỉ dựa vào tinh trạng của hệ thống Honeypot dé xác định độ an toàn của toàn

bộ hệ thống sẽ dễ gây ra các sai lầm không đáng có.

Hiện nay, các hệ thống Honeypot được triển khai với hai hình thức:

Low-interaction Honeypot và High-Low-interaction Honeypot.

2.4.1 Low-interaction Honeypot

Low-interaction Honeypot được trién khai dé thu hút hoặc phát hiện những kẻ tan

công bang cách sử dụng các phần mềm dé mô phỏng các đặc tính của một hệ điều hành

cụ thể và các dịch vụ mạng đang hoạt động trên hệ điều hành đó Lý tưởng nhất, các hoạt

động tấn công sẽ chỉ giới hạn trong tài nguyên của hệ thống honeypots, điều này giúpcho hệ điều hành máy chủ không bị xâm phạm Nhật ký hoạt động của kẻ tấn công sẽ

được lưu trữ tại hệ thống của máy chủ lưu trữ, hệ thống này tách biệt với Honeypot nên

sẽ tương đối an toàn trước kẻ tan công

2.4.2 High-interaction Honeypot

High-interaction Honeypot với chi phi triển khai khá cao, sử dụng các hệ điều

hành chính thay vì các hệ điều hành mô phỏng, dé có cho kẻ tan công một cảm giác đang

tan công vào hệ thống thật và thu thập thêm thông tin về mục đích của các cuộc tan công.High-interaction Honeypot rất hữu ích trong các tình huéng mà quan trị viên muốn nắmbắt thông tin chỉ tiết về các lỗ hồng hoặc cách khai thác các lỗ héng mà chưa được công

20