Khóa luận tốt nghiệp An toàn thông tin: Phương pháp triển khai kĩ thuật lừa dối dựa trên SDN phục vụ chiến lược phòng thủ chủ động sử dụng honeypot và honeypatch

các thiết bị HoT do SDN quản lý, dẫn đến thiệt hại lớn về công nghiệp.Mặc dù nhiều phương pháp tiếp cận ví dụ, hệ thống phát hiện xâm nhập IDS, tường lửa vàlọc ngược dòng đã được đề xuất

ĐẠI HỌC QUỐC GIA TP HÒ CHÍ MINHTRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TINKHOA MẠNG MÁY TÍNH VÀ TRUYÈN THÔNG

TRAN ANH ĐỨCNGUYEN THANH HUY

KHÓA LUẬN TÓT NGHIỆP PHƯƠNG PHAP TRIEN KHAI KĨ THUẬT LUA DOI DỰA TREN SDN PHỤC VỤ

CHIẾN LƯỢC PHÒNG THỦ CHỦ ĐỘNG SỬ DỤNG HONEYPOT VÀ

HONEYPATCH

SDN-BASED CYBER DECEPTION DEPLOYMENT FOR ACTIVE DEFENSE

STRATEGY USING HONEYPOT AND HONEYPATCH

KỸ SƯ NGÀNH AN TOÀN THÔNG TIN

TP HÒ CHÍ MINH, 2022

KHOA MẠNG MAY TÍNH VA TRUYEN THONG

TRAN ANH DUC - 18520020NGUYEN THANH HUY - 18520851

KHOA LUAN TOT NGHIEPPHƯƠNG PHAP TRIEN KHAI KĨ THUAT LỪA DOI DỰA TREN SDN PHUC VU

CHIEN LUQC PHONG THỦ CHU ĐỘNG SỬ DỤNG HONEYPOT VA

HONEYPATCH

SDN-BASED CYBER DECEPTION DEPLOYMENT FOR ACTIVE DEFENSE

STRATEGY USING HONEYPOT AND HONEYPATCH

KY SU NGANH AN TOAN THONG TIN

GIANG VIEN HUONG DAN

TS NGUYEN TAN CAM

ThS DO THỊ THU HIEN

TP HO CHi MINH, 2022

THÔNG TIN HỘI ĐÒNG CHÁM KHÓA LUẬN TÓT NGHIỆPHội đồng chấm khóa luận tốt nghiệp, thành lập theo Quyết định số ngày của Hiệu trưởng Trường Đại học Công nghệ Thông tin.

¬ cceee cette esse eeeeeeeeeeeeee ene es — Chu tich.

Qe eee — Thư ký.

3 — Uy viên.

Wooo cece ~ Ủy viên

ThS Đỗ Thị Thu Hiền và thầy ThS Phan Thế Duy đã hướng dẫn, quan tâm, hỗ trợ tận tình dé chúng em có thể hoàn thành khóa luận một cách tốt nhất.

Em cũng gửi lời cảm ơn chân thành đến toàn thể quý thầy cô trường Đại học Công nghệ thông tin, đặc biệt là các thầy cô khoa Mạng máy tính & Truyền thông, phòng thí nghiệm An toàn thông tin đã truyền đạt những kiến thức và kinh nghiệm quý báu trong suốt quãng thời gian học tập tại trường.

Chúng em xin chân thành cảm ơn!

Thành phé Hồ Chí Minh, tháng 06 năm 2022

ĐẠI HỌC QUOC GIA TP HO CHÍ MINH CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

TRƯỜNG ĐẠI HỌC Độc lập — Tự do — Hạnh phúc CÔNG NGHỆ THÔNG TIN

TP HCM, ngày 01 tháng 04 năm 2022

DE CƯƠNG CHI TIẾT

TÊN ĐÈ TÀI:

-_ Tên tiếng Việt: Phương pháp triển khai kĩ thuật lừa dối dựa trên SDN phục vụ

chiến lược phòng thủ chủ động sử dụng honeypot và honeypatch

- Tên tiếng Anh: SDN-based Cyber Deception deployment for active defense

strategy using honeypot and honeypatch

Cán bộ hướng dẫn: TS Nguyễn Tan Cầm, ThS Đỗ Thị Thu Hiền

Thời gian thực hiện: Từ ngày 14/02/2022 đến ngày 15/7/2022.

Sinh viên thực hiện:

Trần Anh Đức - 18520020

Nguyễn Thanh Huy — 18520851

Nội dung đề tài:

1 Tổng quan tình hình nghiên cứu:

Mạng định nghĩa được bằng phần mềm hay Software-Defined Network (SDN) là một kiểukiến trúc mạng mới, năng động, dễ quản ly, chi phí hiệu quả, dé thích nghi và rất phù hợp với

nhu cầu mạng ngày càng tăng hiện nay [1] Kiến trúc này phân tách phần điều khiển mạng

(Control Plane) và chức năng vận chuyền đữ liệu (Forwarding Plane hay Data Plane), điều nàycho phép việc điều khiển mạng trở nên có thể lập trình được dễ dàng và cơ sở hạ tầng mạng độc

lập với các ứng dụng và dịch vụ mạng Trong SDN, kỹ sư hoặc quản trị viên mạng có thê định

cứ khi nào chúng cần, bat kể các loại kết nối nào giữa server và thiết bi SDN càng ngày càng trở

thành một trong những cách thức phổ biến nhất cho mục đích triển khai ứng dụng của các tổchức Công nghệ này giúp cho nhiều tổ chức triển khai các ứng dụng nhanh hơn và giảm thiểuphần lớn chi phí triển khai Tan dụng mạng khả lập trình (SDN) dé quản lý các thiết bị Internet

vạn vật (IIoT) công nghiệp đã trở thành một xu hướng đầy hứa hẹn [2][3]

Software-Defined Networking

Network Applications

MAC Routing LG liad Application Layer

Learning Algorithm Darecuon Balancer

vào bộ điều khiển, nó sẽ gây ra một khu vực rộng lớn của dịch vụ mạng và ảnh hưởng đến toàn

bộ mạng được bao phủ bởi bộ điều khiển Thứ hai, việc kiểm soát tập trung khiến bộ điều khiển

dé bị tan công bởi các cuộc tan công cạn kiệt tài nguyên chẳng hạn như DDoS (từ chối dịch vụ

phân tán) Các cuộc tắn công DDoS đưa một số lượng lớn các gói có địa chỉ nguồn giả mạo vào

máy chủ SDN [4] Vì không thé tìm thấy quy tắc phù hợp nào trong bộ nhớ đệm cục bộ, hãychuyển tiếp các gói dữ liệu độc hại này đến bộ điều khiển mạng, bộ điều khiển này sẽ bị tắc

nghẽn để làm gián đoạn các dịch vụ Nghiêm trọng hơn, một khi cuộc tấn công DDoS thànhcông, rất có thể máy chủ SDN bị tấn công sẽ được sử dụng như một con rối để tấn công thêm vào

các thiết bị HoT do SDN quản lý, dẫn đến thiệt hại lớn về công nghiệp.

Mặc dù nhiều phương pháp tiếp cận (ví dụ, hệ thống phát hiện xâm nhập (IDS), tường lửa vàlọc ngược dòng) đã được đề xuất dé đối phó với các cuộc tan công DDoS, honeypot vẫn cho thaychúng có lợi thế lớn về khả năng bảo vệ và mức sử dụng tài nguyên [5] Ví dụ, vì một IDS có thể

phải theo dõi một số lượng lớn các hoạt động mạng với hàng nghìn tỷ byte mỗi giây, nên bộ nhớ

đệm của nó sẽ nhanh chóng bị cạn kiệt Ngược lại, honeypot chỉ nắm bắt và giám sát một phần

nhỏ các hoạt động của mạng lưới, không có vấn đề về cạn kiệt tài nguyên Bằng cách giả vờ làcác máy chủ bình thường để thu hút những kẻ tắn công, honeypot có thể tiêu tốn tài nguyên và

thời gian của những kẻ tấn công Chúng cũng có thé gây ảnh hưởng và cản trở sự lựa chọn củanhững kẻ xâm nhập, đồng thời phát hiện thêm ý định tấn công của những kẻ xâm nhập Tuy

nhiên, chiến lược honeypot đơn truyền thống rất dễ bị kẻ tấn công xác định vì hiệu suất mỗi nhử

thấp Nó có một phạm vi giám sát hạn chế và không thể bảo vệ toàn bộ mạng Hơn nữa, hầu hết

các chiến lược honeypot hiện có là phòng thủ tĩnh và không đủ để đối phó với các cuộc tấn công

động [6].

Tình hình nghiên cứu, phát triển trong và ngoài nước

Các kỹ thuật lừa đối đã được coi là một yếu tố thay đổi cuộc chơi trong phòng thủ mạng

Trong các bài báo [7][§], các nhóm tác gia đã xem xét các kỹ thuật đại diện trong honeypot,

honeytoken và bảo vệ mục tiêu di chuyên, kéo dai từ cuối những năm 1980 đến năm 2021 Các

kỹ thuật từ ba lĩnh vực này bổ sung cho nhau và có thể được tận dụng đề xây dựng một biện pháp

phòng thủ dựa trên sự lừa dối toàn diện

Điền hình trong nghiên cứu [9], các tác giả đã xây dựng một framework nhằm cung cấp khảnăng phòng thủ chủ động cho các hệ thống mạng SCADA [10] Kiến trúc được đề xuất bao gồmhai thành phần chính là vùng mạng bẫy (các thiết bị SCADA giả) và vùng mạng giám sát, tất cảcác sự kiện xảy ra trong vùng mạng bẫy đều được thu thập và gửi về vùng giám sát và quản trị

viên Ngoài ra các tác giả còn sử dụng kỹ thuật điều hướng nhằm hướng kẻ tấn công từ vùng

mạng thật vào vùng mạng bẫy

Portainer Frontend

Hình 2: Kiến trúc Decepti-SCADA [9]

Đối với công trình nghiên cứu [11], tác giả có nhắc đến một kỹ thuật gọi là honeypatch Thay

vi vá các lỗ hong đã được phát hiện một cách bình thường, ta cố gắng duy trì kết nối với kẻ tancông bằng cách dẫn dụ chúng đến một mồi nhử có lỗ hồng giống hệt, Cách tiếp cận này giữ lại

phần quan trọng nhất của bản vá lỗi từ nhà phát hành, nhưng thay thế mã khắc phục bằng mã

điều hướng Hình 3 là một ví dụ so sánh giữa mã giả về bản vá bình thường và honeypatch cho lỗ

hồng tràn bộ đệm.

1if(¡ > length(a)) 1if(¡ > length(a))

2 abort(); 2 fork_to_decoy();

1 read a[i] 3 read ali] 3 read ali]

Hình 3: Mã giả cho lỗ hồng tràn bộ đệm (trái), bản vá bình thường (giữa), và honeypatch (phải) [11]

2 Tính khoa học và tính mới của đề tài

Qua những khảo sát và công trình nghiên cứu trên, có thể thấy được sự kết hợp của SDN va

cơ chế lừa dối có thể cung cap một giải pháp phòng thủ chủ động tối ưu cho một hệ thống mạng[12].

Từ đó, chúng tôi đề xuất triển khai một mô hình mạng SDN kết hợp với cơ chế lừa dối mạng

nhằm tạo ra một hệ thống phòng thủ hiệu quả dưới các cuộc tấn công mạng Với sự linh hoạt củaSDN, việc triển khai các cơ chế lừa dối có thể được tối ưu và giảm bớt sự phức tạp khi cài đặt

Ngoài ra cơ chế lừa đối mạng còn cung cấp cho mạng SDN một lớp phòng thủ chủ động, tốt hơn

so với các phương pháp phòng thủ truyền thống Mô hình đề xuất của chúng tôi minh họa trongHình 4.

Snor† Aler†s

ONOS Controller Snort IDS

Hostl Host2 Hast3 Host4 Trapl — Trap2 — Trep3 [j

Hình 4: Mô hình dé xuất

Cụ thể, môi trường chúng triển khai cho hệ thống sẽ bao gồm một mạng SDN xây dựng bởiONOS Controller kết hợp với Containernet ONOS (Open Network Operating System) là một bộđiều khiển SDN mã nguồn mở, cung cấp mặt phẳng điều khiển cho mạng đo phần mềm xác định(SDN), quản lý các thành phần mạng, chẳng hạn như thiết bị chuyển mạch và liên kết, đồng thờichạy các chương trình hoặc mô-đun phần mềm để cung cấp dịch vụ truyền thông tới các máy chủ

cuối và các mạng lân cận Containernet là một nhánh của trình giả lập mạng Mininet nỗi tiếng và

cho phép sử dụng các Docker Containernet làm máy chủ trong các cấu trúc liên kết mạng môphỏng Đầu tiên, chúng tôi tạo ra các Docker Image thích hợp cho các host và bẫy trong hệ thống

SDN Sau đó tạo một mô hình mạng với Containernet, bằng cách tạo một file python để mô tả

cấu trúc mạng mong muốn với các Docker Image đã tạo

Hệ thống lừa đối mạng sẽ bao gồm các thành phần chính như IDS, Logging, honeypot và các

cơ chế lừa dối mạng khác Việc giám sát được thực hiện bởi Snort IDS kết hợp phương pháp port

mirroring dé sao chép tất cả lưu lượng mạng của hệ thống về IDS Sau khi phát hiện xâm nhậpSnort lập tức gửi cảnh báo về bộ điều khiển SDN Ở bộ điều khiển, chúng tôi viết một ứng dụng

để phản ứng với cảnh báo từ Snort, bộ điều khiển sau khi nhận được cảnh báo sẽ thực hiện điềuhướng kẻ tấn công vào vùng mạng chứa các bẫy đã được tạo sẵn ở phần trước Mô hình miêu tảquá trình trên có thể được thay ở Hình 5

Hình 5: Qué trình phản ứng khi có đầu hiệu xâm nhập

Đối với hệ thống bẫy, ngoài các cơ chế như honeypot, chúng tôi còn sử dụng các kỹ thuật như

honeypatch hay honeytoken nhằm tối ưu hóa khả năng đánh lừa và dẫn dụ kẻ xâm nhập Cuốicùng, các hoạt động hay hành vi của kẻ tan công được ghi lại bởi IDS hay các honeypot đều sẽ

được gửi về một hệ thống logging nhằm phục vụ cho việc phân tích sau này

Phần còn lại của đề tài nghiên cứu này, chúng tôi sẽ đánh giá hệ thống của mình dựa trên cáccuộc tấn công mạng cơ bản và đánh giá trên các tiêu chí gồm, hiệu năng, độ chính xác và tốc độ

phản hồi trước các cuộc tan công của mô hình của chúng tôi so với thời gian thực

3 Mục tiêu, đối tượng và phạm vi:

Mục tiêu:

e Triển khai hệ thống SDN tích hợp với IDS dé phát hiện sớm các cuộc tấn công và tận

dụng khả năng quản lý tập trung cua SDN để điều hướng các cuộc tan công đó vào vùngmạng mong muốn

e Xây dựng hệ thống lừa dối mạng (Cyber Deception) phục vụ việc phòng thủ chủ động Cụ

thể là triển khai một vùng mạng trong SDN gồm các máy có lỗ hỗng khác nhau nhằm dẫn

dụ và đánh lừa kẻ tấn công

e Đánh giá hiệu quả, độ chính xác và tốc độ phản ứng của hệ thống lừa dối trong mạng

SDN.

Đối tượng nghiên cứu:

- Hệ thống mang SDN và cách giám sát luồng dữ liệu trong mạng.

- Cyber Deception cụ thể là Honeypot, Honeypatch.

Phạm vi nghiên cứu: Hệ thống lừa dối mạng (Cyber Deception), phục vụ phòng thủ chủ động (active defense), được triển khai trong môi trường mạng SDN có khả năng

phát hiệu các tấn công, xâm nhập phổ biến dùng dé đánh giá tính hiệu quả của chiến

lược.

4 Nội dung, phương pháp dự định nghiên cứu

Nội dung, phương pháp nghiên cứu chính:

a Nội dung 1: Tìm hiểu kiến trúc,nguyên tắc hoạt động của mạng SDN Tìm hiểu về

kỹ thuật lừa đối mạng.

e Mục tiêu:

o_ Nắm được kiến trúc, quy tắc hoạt động của mạng SDN.

o Nắm được các định nghĩa, cách triển khai của cơ chế lừa dối mạng.

e Phuong pháp: Nghiên cứu tài liệu hướng dẫn

b Nội dung 2: Xây dựng mạng SDN

© = Mục tiêu: Triển khai được mạng SDN

e Phuong pháp:

o Tham khảo các video mô tả, tài liệu giải thích va các phương pháp triển khai mạng

SDN.

o Sử dụng ONOS Controller làm bộ điều khiển SDN.

o Sử dụng Containernet để giả lập các host trong mạng SDN bằng các Docker

o Honeypot: Sử dụng các Honeypot như Cowrie, HoneyPy.

o Honeypatch: Tìm hiểu và triển khai cơ chế honeypatch.

o IDS: Sử dung Snort IDS và kĩ thuật Port Mirroring đề giám sát lưu lượng mạng.

o Client/Parser: Viết một chương trình bằng python, nhận các cảnh báo từ Unix

Socket của Snort Sau đó gửi các cảnh báo lên Server bằng một Network Socket

o_ Server/Controller: Viết một chương trình bằng python, nhận cảnh báo từ Network

Socket, phân tích đữ liệu trên, từ đó gửi các API tương ứng đến ONOS nhằm phản ứng với các cuộc tan công.

d Nội dung 4: Thực nghiệm và đánh giá kết quả.

© Muc tiêu: Xây dựng và triển khai được môi trường SDN kết hợp lừa đối mạng Đánh giá

hiệu năng, độ chính xác và tốc độ phản ứng của hệ thống khi bị tấn công.

e Phuong pháp:

© Triển khai mang SDN kết hợp với kỹ thuật lừa dối mang.

o_ Thực hiện các cuộc tan công thử nghiệm khác nhau nhằm đánh giá được hiệu năng,

độ chính xác và tốc độ phản ứng của hệ thống.

Tài liệu tham khảo

[1] ZARCA, Alejandro Molina, et al Security management architecture for aware IoT systems [EEE Internet of Things Journal, 2019, 6.5: 8005-8020.

NFV/SDN-[2] FARRIS, Ivan, et al A survey on emerging SDN and NFV security mechanisms for IoT systems IEEE Communications Surveys & Tutorials, 2018, 21.1: 812-837.

[3] RAFIQUE, Wajid, et al Complementing IoT services through software defined

[12] DU, Miao; WANG, Kun An SDN-enabled pseudo-honeypot strategy for distributed denial of service attacks in industrial Internet of Things IEEE Transactions on Industrial Informatics, 2019, 16.1: 648-657.

“há

Nguyễn Thanh Huy

[TÓM TẮT KHOÁ LUẬN

1 GIỚI THIEU

2

11 Đặtvấn để| SỐ S

1.2 Các nghiên cứu liên

quan| -1.3 Mục tiêu của đề

tài -1.4 Phạm vinghiên

cứu| -.-.-1.5 Đối tượng nghiên

cứu| -1.6 Phương pháp nghiên

cứu| 1.7 Cấu trúc khóa luận| -

KIÊN THÚ NÊN TẢ. 2.1 Mạng khả lập trình (Software-Defined Network)|

%% ằằ ~S Bete

2.1.3 Cơ chế hoạt động| See eee ee [2.2_ Giao thức OpenFlow] Lee eee 2.2.1 Tong quan|

2.2.2

OpenFlowSwitch| -223 Hoạt động của

OpenFlow] -2.3 Kỹ thuật lừa dối mang Các nghiên cứu va ứng dung hiện nay dựa vào lừa dối mạng] [Mô hình dựa trên thuyết tò hơi,

[Lira đối cấp mang) -.-.

[Lita đối cấp máy chủ]|

[Eira đối đựa trên mã hóa]

xvi

2.3.3 Các honeypot được sử dung trong hệ thong] 20

Cowriel -.- cjScSV 20 Openeanap| co, 20 MMailoney| 20

HoneySMBỊ 21

2.4 Honeypatch| 2 2-22 eee eee 21 2.4.1 Giới thiệu| 21

2.4.2 Cơ chế hoạt động| 21

E5 Các công nghệ khác được sử dụng trong hệ thống| 2

2.5.1 Ansiblel 22

[Giới thiệu| 22 Kiến trúc 2 [Co chế hoạt động] 23 (25.2 Malware i 24 [Giới thiệu| 24 Các tính năng| 24

Cơ chế hoạt động| 25

27 3.1 Giới thiệu chung về hệ théng| 27 .2 Phan tích thiết kế hệ thống lừa dối mạng] ¬ 29 21 Các thành phan liên quan| 29

ạt độ à 30 B3 Phan tich thiét ké hé thong Cyber Threat Intelligence] ¬ eae 31 3.1 Hệ thong tim kiếm mối đe đọa| 31

3.32 Cơchếhoạtđộng| -.- cc So 32 B.4 Phan tích thiết kế hệ thống honeypatc h| See ee 33 3.4.1 Hệ thong máy chu Web| 33

3.4.2 Cơ chế hoạt động của hệ thông] —— eee 34 4.1 Triển khaihệthống| 36

4.1.1 Môi trường triển khai 37

[1⁄2 Xây dựng hệ thống mang SDN| 37

xvii

Xây dựng hệ thông lừa dối mạng 45

Xây dựng kho bây| - 46

'Viết các playbook để triển khai bay tự động| 48

¬" 54 4.17 Xây dựng hệ thống honeypatch| 59

[f2 Thực nghiệm và đánh giáị 61

4.2.1 Kichbản l| 61

422 Kichbản2| c., 71 #23 Kihbản3 73

5 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 79 #6⁄⁄⁄/4@ — Y\ 79

B11 Kếtquả|] 79

ám9 ) / 80

1 S\§./ 80

81

xviii

Danh sách hình vẽ

[L1 Kiến trúc

Decept-SCADA] 2.1 Kiến trúccủaSDNÌ

E2 Kiến trúc của OpenFlow Switch|

[2.3 Quá trình xử lý pipeline các gói tin trong OpenFlow Switch]

E4 So đồ xử lý gói tin trong OpenFlow Switch|

E5 Sơ dé quan hệ giữa Controller và thiết bị OpenFlow Switch] ¬ 2.6 Mô hình phòng thủ lừa

dỗi -E7 Phân loại các nghiên cứu gan đây dựa trên lừa dối mạng|

8 Những thông tin cấp độ mạng có thể thao túng]|

2.9 Mã gia bản vá thường cho lỗ hổng Heartbleed|

E10 Mã giả honeypatch cho lỗ hổng Heartbleed| eee 211 Kiến trúc Ansible|

2.12 Cơ chế hoạt động

Ansible| [2.13 Cơ chế hoạt động của MISP|

Ba Mô hình hệ thống phòng thủ chủ động trong SDN|

.2 Mô hình quản lý bay và thu thập log]

3.3 Mô hình phát hiện xâm nhập và thay đổi luỗng|

B-+4 Mô hình tìm kiếm và cập nhật mối đe dọa|

3.5 Mô hình hệ thống máy chủ Web|

3.6 Cơ chế hoạt động hệ thống honeypatch|

[1 Mô hình triển khai của hệ thống|

4.2_ Giao diện ONOS Web GUI|

3 Giao điện ONOS CHI

[44 Mô hình mạng triển khai trên Containernet|

xix

[49 Cấu hình outputfilebeatl 45

4.10 Quan sát log trên kibana| -.- 45

4.11 Kích thước của các bẫy| 46

4.12 Images chứa Cowrlel {SỐ 46 4.13 Images chứa Mailoney| - 4

4.14 Image chứa Opencanary] - 47

[4-15 Image chứa HoneySMB| - 48

[E16 Danh sách ñleplaybooR| 48

4.17 Cac tùy chọn trên trap-manager.py| - 50

[4.18 Hiện thị bay trên host| 51

[4.19 Tạo bấy Cowrie trên host 1| 52

4.20 Tạo bây Opencanary trên host 1| - 52

[2i Gõbấy Mailoney tênhoti| 53

[4.22 Gỡ bấy HoneySMB trên host 1Ì 53

4.23 Hệ thong Cyber Threat Intelligencel - 54

[4.24 Các nguồn thu thập mối de dọa| 41112121 .1.4 54

4.25 Các môi đe dọa trên MISP| 55

4.26 Bộ filter tim mỗi đe dọa trun; 56 [4.27 Lay một số thông tin từ memcached ghi vào elasticsearch] 57

4.28 API dé gan tag “new-threat” cho mối de doa| 58

4.29 API để update rule trên Snorft| -. 59

[4.30 Mô hình hệ thống honeypatch| - 60

4.31 File Config của Proxy Server| - 61

¬_ aaAM 61

4.33 Scan với nmap| -Ặ CV SE so 62 4.34 Kiểm tra giao tiếp từ máy kẻ tấn công| 63

[£35 Chạy chương trình nhận cảnh báo| 64

4.36 Chay snort và gửi các cảnh báo| - 64

4.37 Kết quả quét lần 2| cSSSSSS 65

XX

4.38 Kiểm tra giao tiếp từ máy kẻ tan công lần 2| 66

¬ố šWšW „ME 67

(£40 Tog thu thập từcowrfel 67

[£41 Tương tác với HoneySMB] 68

42 Log thu thập từ HoneySMB] 68

4.43 Tương tác với Malloney| - 69

4.44 Log thu thập từ Mailoney| 69

4.45 Tạo attribute mới vẻ ip-dst của event 1510| 71

[4 46 Kết qua tìm kiếm mối de dọa| - 72

4.47 Tag “new-threat” đã được gán| - 72

48 Cập nhật rule trên Snort| - 73

4.49 Payload bình thường| - 73

=o 74

[4.51 Request được hướng đến Backend Server 1] 74

[452 Kết qua request thường| - 74

4.53 Kết qua request tan công| - - 75

(4.54 Snort phat hiện xâm nhập và gửi cảnh báo đến Controller| ¬ 76 4.55 Controller nhận được cảnh báo va gửi API cho Proxy Server| 76

4.56 Request được hướng đến Backend Server 2|_ 76

[4.57 Kết qua tan công Honeypatch| 7

xxi

[41 Cấu hình máy triển

khai] -.-[4.3 Kết quả sau 10 lần tan công kịch bản 3|

xxii

Danh mục từ viết tắt

API

ELK IDS

ONOS SDN

SSH

CTI MISP

Application Programming Interface Elastic Logstash Kibana

Intrusion Detection System Open Network Operating System Software-Defined Networking

Secure Shell Protocol Cyber Threat Intellegence Malware Information Sharing Platform

xxiii

Mạng định nghĩa được bằng phần mềm hay Software Defined Network (SDN) làmột kiểu kiến trúc mạng mới cho phép việc điều khiển mạng bằng cách lập trình.

Điều đó giúp hệ thống mang năng động, dé quản lý, chi phí hiệu quả, dé thích

nghi, phù hợp với xu hướng phát triển trong tương lai

Với sự phát triển đó, van dé bảo mật cụ thể là đảm bảo phát hiện chính xác cáccuộc tan công từ đó có các biện pháp ngăn chan kịp thời là van dé được đặt lênhàng đầu trong kỷ nguyên số và SDN cũng không phải ngoại lệ

Nhằm giải quyết van đề trên, khóa luận này hướng đến việc xây dựng một hệ

thống phòng thủ chủ động bằng việc triển khai kỹ thuật lừa đối mang bao gồm

hai giải pháp đem lại hiệu quả cao là honeypatch (honeypatch) và hệ thống bẫy

tự động Cụ thể hệ thống bay sé tạo nhiều loại bay để dụ kẻ tấn công do thám

và xâm nhập Đồng thời kết hợp với hệ thống honeypatch nhằm đánh lừa kẻ tấncông khai thác những lỗ hổng đã được vá từ trước Bên cạnh đó, từ các dữ liệuthu được từ hệ thống bay sẽ được phân tích để phục vụ cho mục tiêu phát hiện

và cập nhật mối đe đọa liên quan đến hạ tầng mạng đang giám sát

Chương 1

GIỚI THIỆU

1.1 Đặt van dé

Mang định nghĩa được bằng phan mềm hay Software-Defined Network (SDN) là

một kiểu kiến trúc mạng mới, năng động, dé quan lý, chi phí hiệu quả, dé thích

nghỉ và rất phù hợp với nhu cầu mạng ngày càng tăng hiện nay 6Ì Trong SDN,

kỹ sư hoặc quản trị viên mạng có thể định hình lưu lượng truy cập từ bộ điều

khiển tập trung mà không phải thiết lập trên từng thiết bị riêng lẻ trong mạng.

Bộ điều khiển SDN tập trung quản lý các thiết bị cung cấp các dich vụ mang bat

cứ khi nào chúng cần, bắt kể các loại kết nói nào giữa server và thiết bị SDN càng

ngày càng trở thành một trong những cách thức phổ biến nhất cho mục đích triển

khai ứng dụng của các tổ chức Công nghệ này giúp cho nhiều tổ chức triển khaicác ứng dụng nhanh hơn và giảm thiểu phan lớn chi phí triển khai

Tuy nhiên, việc kiểm soát tập trung SDN khiến bộ điều khiển có nguy cơ bị lỗi

một điểm (Single Point of Failure) Thứ nhất, việc kiểm soát tập trung của bộ điềukhiển khiến bộ điều khiển dé trở thành mục tiêu tấn công Một khi kẻ tấn côngthực hiện thành công cuộc tấn công vào bộ điều khiển, nó sẽ gây tác hai đến mộtkhu vực rộng lớn của dịch vụ mạng và ảnh hưởng đến toàn bộ mạng được baophủ bởi bộ điều khiển Thứ hai, việc kiểm soát tập trung khiến bộ điều khiển dé

bị tan công bởi các cuộc tấn công cạn kiệt tài nguyên chẳng hạn như DDoS (từ

chối dịch vụ phân tán)

Mặc dù nhiều phương pháp tiếp cận (ví dụ, hệ thống phát hiện xâm nhập (IDS),tường lửa) đã được đề xuất để đối phó với các cuộc tan công DDoS, honeypot vẫncho thấy chúng có lợi thế lớn về khả năng bảo vệ và mức sử dụng tài nguyên của

hệ thống (61 Ví du, vì một IDS có thé phải theo dõi một số lượng lớn các hoạt

động mạng với hàng nghìn tỷ byte mỗi giây, nên bộ nhớ đệm của nó sẽ nhanh

chóng bị cạn kiệt Ngược lại, honeypot chỉ nắm bắt và giám sát một phần nhỏ cáchoạt động của mạng lưới, không có van dé vẻ cạn kiệt tài nguyên Bang cách giả

vờ là các máy chủ bình thường để thu hút những kẻ tan công, honeypot có thểtiêu tốn tài nguyên và thời gian của những kẻ tấn công Chúng cũng có thể gâyảnh hưởng và cản trở sự lựa chọn của những kẻ xâm nhập, đồng thời phát hiện

thêm ý định tấn công của những kẻ xâm nhập Tuy nhiên, chiến lược honeypot

đơn truyền thống rat dé bị kẻ tắn công xác định vì hiệu suất mỗi nhử thấp Nó cómột phạm vi giám sát hạn chế và không thể bảo vệ toàn bộ mạng Hơn nữa, hầuhết các chiến lược honeypot hiện có là phòng thủ tĩnh và không đủ để đối phó

với các cuộc tan công động Ii0|.

1.2 Các nghiên cứu liên quan

Các kỹ thuật lừa đối đã được coi là một yếu tố thay đổi cuộc chơi trong phòng thủ

mạng Trong các bài báo (PIL, các nhóm tác giả da xem xét các kỹ thuật đại điện

trong honeypot, honeytoken và bảo vệ mục tiêu di chuyển, kéo dai từ cuối những

năm 1980 đến năm 2021 Các kỹ thuật từ ba lĩnh vực này bổ sung cho nhau và

có thể được tận dụng để xây dựng một biện pháp phòng thủ dựa trên sự lừa dối

toàn điện.

Điển hình trong nghiên cứu (2) các tác giả đã xây dựng một framework nhằm

cung cấp khả năng phòng thủ chủ động cho các hệ thống mạng SCADA [4| Kiếntrúc được đề xuất bao gồm hai thành phần chính là vùng mạng bẫy (các thiết bịSCADA giả) và vùng mạng giám sát, tất cả các sự kiện xảy ra trong vùng mạngbay đều được thu thập và gửi về vùng giám sát và quản trị viên Ngoài ra các tác

giả còn sử dụng kỹ thuật điều hướng nhằm hướng kẻ tấn công từ vùng mạng

thật vào vùng mạng bẫy.

Chương 1 GIỚI THIỆU

ELKSUR (Network Monitoring)

HINH 1.1: Kiến trúc Decepti-SCADA

Đối với công trình nghiên cứu (i), tác giả có nhắc đến một kỹ thuật gọi là

honey-patch Thay vì vá các lỗ hổng đã được phát hiện một cách bình thường, ta cố gắngduy trì kết nối với kẻ tan công bằng cách dẫn dụ chúng đến một mỗi nhử có lỗhổng giống hệt, Cách tiếp cận này giữ lại phần quan trọng nhất của bản vá lỗi từ

nhà phát hành, nhưng thay thế mã khắc phục bằng mã điều hướng Hình 1.2 là

một ví dụ so sánh giữa mã giả về ban vá bình thường và honeypatch cho lỗ hổng

tràn bộ đệm.

1if(¡ > length(a)) 1if(¡ > length(a))

2 abort(); z_ fork_to_decoy();

tread a[i] 3 read a[i] 3 read a[i]

HINH 1.2: Ma giả cho lỗ hổng tràn bộ đệm

Ở công trình nghiên cứu tác giả đã trình bày mô hình có thể xử lý các log từ

hạ tang đang giám sát để tìm được các mối đe dọa liên quan Các đữ liệu log từ

có thu thập từ các nguồn như: firewall, IDS, server, honeypot Sau đấy được trích

4

xuất để tìm các Indicators of compromise (IOCs) tương ứng của threat đã đượcthu thập từ MISP, đây là hệ thống thu thập, lưu trữ, chia sẽ mối đe dọa từ nhiềunguồn OSINT Sau khi các mối đe doa liên quan đã tim được thì di liệu có thểđược chuyển đến SIEM, IDS, để quan sát, đánh giá và xử lý tiếp tục.

Qua những khảo sát và công trình nghiên cứu trên, có thể thấy được sự kết hợpcủa SDN và cơ ché lừa dối có thể cung cấp một giải pháp phòng thủ chủ động tối

ưu cho một hệ thống mạng 6Ì.

Từ đó, nhóm nghiên cứu dé xuất triển khai một mô hình mang SDN kết hợp với

cơ ché lừa đồi mạng nhằm tạo ra một hệ thống phòng thủ hiệu quả dưới các cuộc

tan công mạng Với sự linh hoạt của SDN, việc triển khai các cơ chế lừa dối có thể

được tối ưu và giảm bớt sự phức tạp khi cài đặt Ngoài ra cơ chế lừa đối mang còncung cấp cho mạng SDN một lớp phòng thủ chủ động, tốt hơn so với các phươngpháp phòng thủ truyền thống

1.3 Mục tiêu của đề tài

* Triển khai hệ thống SDN tích hợp với IDS dé phát hiện sớm các cuộc tấn

công và tận dụng khả năng quản lý tập trung của SDN để điều hướng cáccuộc tấn công đó vào vùng mạng mong muốn

® Xây dựng hệ thống lừa dối mang (Cyber Deception) phục vụ việc phòngthủ chủ động Cụ thể là triển khai một vùng mạng trong SDN gồm các máy

có lỗ hổng khác nhau nhằm dẫn dụ và đánh lừa kẻ tan công

s Xây dựng hệ thống Web Server có chứa lỗ hổng và triển khai cơ chế

honey-patch

® Đánh giá hiệu quả, độ chính xác và tốc độ phản ứng của hệ thống lừa dối

trong mạng SDN.

1.4 Phạm vi nghiên cứu

* Kỹ thuật điều hướng trên môi trường mạng khả lập trình

* Kỹ thuật triển khai bay tự động dựa trên Ansible

5

Chương 1 GIỚI THIỆU

¢ Kỹ thuật honeypatch

» Hệ thống Cyber Threat Intelligence kết hợp với hệ thống phát hiện xâm

nhập

15 Đối tượng nghiên cứu

»_ Hệ thống mang SDN với Controller ONOS

¢ Công cụ mô phỏng mang Containernet

© Kỹ thuật lừa dối mang và honeypatch

s Hé thống Cyber Threat Intelligence

1.6 Phương pháp nghiên cứu

¢ Nghiên cứu tài liệu hướng dẫn và thực hiện triển khai mạng SDN.

¢ Tham khảo các video mô tả, tài liệu giải thích và các phương pháp triểnkhai hệ thống lừa dối mạng, cơ chế honeypatch và hệ thống Cyber Threat

Intelligence.

¢ Thực hiện các thử nghiệm khác nhau để đánh giá hiệu năng và độ chính

xác.

1.7 Cấu trúc khóa luận

Khoá luận được trình bày với cấu trúc như sau:

s Chương 1: Giới thiệu tổng quan về dé tài nghiên cứu, mục tiêu, đối tượng,

* Chương|4| Triển khai, thực nghiệm và đánh giá các hệ thống đã triển khai.

° Chương] Kết luận và hướng phát triển.

Chương 2

KIÊN THỨC NEN TANG

2.1 Mạng kha lập trình (Software-Defined Network) 2.1.1 Tổng quan

Mang định nghĩa được bằng phan mềm hay Software-Defined Network (SDN) làmột kiểu kiến trúc mang mới, năng động, dé quản ly, chi phí hiệu quả, dé thíchnghỉ và rất phù hợp với nhu cầu mạng ngày càng tăng hiện nay Kiến trúc nàyphân tách phần điều khiển mạng (Control Plane) và chức năng vận chuyển dữliệu (Forwarding Plane hay Data Plane), điều này cho phép việc điều khiển mạngtrở nên có thể lập trình được dé dàng và cơ sở hạ tầng mạng độc lập với các ứng

dụng và dịch vụ mạng Trong SDN, kỹ sư hoặc quản trị viên mạng có thể định hình lưu lượng truy cập từ bộ điều khiển tập trung mà không phải thiết lập trên

từng thiết bị riêng lẻ trong mạng Bộ điều khiển SDN tập trung quản lý các thiết

bị cung cấp các dịch vụ mạng bắt cứ khi nào chúng cần, bắt kể các loại kết nối

nào giữa server và thiết bị

2.1.2 Kiến trúc SDN

Về cơ bản kiến trúc của SDN bao gồm ba lớp: lớp ứng dụng (Application Layer),lớp điều khiển (Control Layer) và lớp hạ tầng (Infrastructure Layer)

s Lớp ứng dụng, đúng như tên gọi của nó, chứa các ứng dụng hoặc các chức

năng mạng điển hình mà các tổ chức sử dụng như các hệ thống phát hiệnxâm nhập, cân bằng tải hoặc tường lửa Điều này khác với một mạng truyềnthống, với kiến trúc mạng truyền thống, trong mạng truyền thống, để thực

hiện các chức năng này, mạng sẽ cần sử dụng một thiết bị chuyên dụng,

như tường lửa hoặc thiết bị cân bằng tải riêng biệt Trong khi với SDN cácthiết bị này sẽ được thay thế bằng một ứng dụng phần mềm sử dụng bộ

điều khiển để quản lý hành vi của mặt phẳng dữ liệu

® Lớp điều khiển đại diện cho phần mềm điều khiển SDN tập trung hoạtđộng như bộ não của mạng Bộ điều khiển này nằm trên một máy chủ và

quan lý các chính sách và luéng lưu lượng trên toàn mạng.

¢ Lớp hạ tầng bao gồm các thiết bị chuyển mach vat lý trong mạng.

Ba lớp này giao tiếp bằng cách sử dụng các giao điện lập trình ứng dụng (API)

cầu bắc (northbound API) và cầu nam (southbound API) tương ứng Các phanmềm phía tầng ứng dụng giao tiếp với lớp điều khiển thông qua northbound

API, trong khi lớp điều khiển va các bộ chuyển mạch trong lớp ha tang giao tiếp

với nhau thông qua các southbound API, như OpenFlow Khi nghe đến SDNchúng ta hay nghe đến OpenFlow, thực chất thì OpenFlow chính là một giao thứcsouthbound API cho phép giao tiếp giữa lớp hạ tầng và lớp điều khiển Trên thực

tế có rất nhiều các giao thức khác tồn tại, nhưng OpenFlow vẫn tương đối phổ

biến vì lí do lịch sử và là tiêu chuẩn đầu tiên cho các southbound API.

Đối với các northbound API hiện nay chưa có tiêu chuẩn chung như OpenFlow

cho southbound API Tuy nhiên, OpenDaylight đang nổi lên như một tiêu chuẩn thực tế được sử dụng và được hỗ trợ rộng rãi bởi các nhà cung cấp.

Chương 2 KIÊN THUC NEN TANG

Ý tưởng của SDN dựa trên sự kết hợp của việc tách biệt các chức năng điều khiển

và chuyển tiếp dữ liệu, ảo hóa mạng và tu động hóa thông qua kha năng lập

trình.

Ban đầu, công nghệ SDN chỉ tập trung vào việc tách mặt phẳng điều khiển mạngkhỏi mặt phẳng dữ liệu Mặt phẳng điều khiển đưa ra quyết định về cách các gói

dữ liệu sẽ truyền qua mạng, mặt phẳng dữ liệu thực hiện việc di chuyển các gói

từ nơi này sang nơi khác Một gói tin khi đến bộ chuyển mạch của mạng sẽ được

các quy tắc được tích hợp trong phần sụn độc quyền của bộ chuyển mạch định

hướng đến nơi chuyển tiếp gói Các quy tắc xử lý gói này được gửi đến bộ chuyển

mạch từ bộ điều khiển tập trung.

Các thiết bị chuyển mạch - còn được gọi là thiết bị mặt phẳng dw liệu - truy van

10

bộ điều khiển để nhận các chỉ thị và quy tắc định hướng khi cần thiết và cung cấpcho bộ điều khiển thông tin về lưu lượng mà nó xử lý Switch sẽ gửi mọi gói tinđến cùng một đích trên cùng một đường và xử lý tat cả các gói tin khác theo cùngmột cách được chỉ định Chế độ hoạt động của SDN thường được gọi là thích ứng(adaptive) hoặc động (dynamic), trong đó một bộ chuyển mạch đưa ra yêu cầuđịnh tuyến tới bộ điều khiển cho gói tin chưa được định tuyến cụ thể Quá trìnhnày khác với cơ chế định tuyến thích ứng trong các mạng truyền thống Trongcác mạng truyền thống, switch gửi các yêu cầu định tuyến thông qua các bộ địnhtuyến và thuật toán định tuyến của bộ định tuyến sẽ hoạt động dựa trên cấu trúcliên kết của mạng (topo mạng) mà không thông qua bộ điều khiển tập trung.

2.2 Giao thức OpenFlow

2.2.1 Tổng quan

OpenFlow cung cấp một giao diện giao tiếp cho phép khả nang thực thi các điềukhiển mức cao độc lập với phần cứng OpenFlow là giao thức mạng cho phépđiều khiển mạng xác định đường di của gói tin của mạng qua các Switch (Bộchuyển mạch) Nó cho phép chuyển mạch từ các nhà cung cấp và các nhà pháttriển khác nhau Open Networking Foundation (ONF) sử dụng giao thức Open-Flow OpenFlow là tiêu chuẩn đầu tiên, cung cấp khả năng giao tiếp giữa các giao

điện của lớp điều khiển và lớp chuyển tiếp trong kiến trúc SDN OpenFlow cho

phép truy cập trực tiếp và điều khiển lớp chuyển tiếp của các thiết bị mạng nhưswitch và router, cả thiết bị vật lý lẫn thiết bị ảo Trong OpenFlow, tat cả “phan

thông minh” được đưa lên trên một server trung tâm, vì vậy nó thực hiện các hoạt động phức tạp một cách đơn giản hơn.

2.2.2 OpenFlow Switch

Openflow switch là một thiết bị chuyển mach thuộc lớp data plane trong kiến

trúc SDN Được phát hành bởi tổ chức ONE Hiện nay Openflow switch đã được

sử dụng bởi nhiều hãng trong các sản phẩm của mình như Nokia, Cisco, Huawei,

NEC Openflow Switch được giám sát, quản lý bởi SDN controller thông qua giao thức Openflow.

11

Chương 2 KIÊN THUC NEN TANG

Flow Flow Flow Port

Table Table Table Pon

HINH 2.2: Kiến trúc của OpenFlow Switch

Trong mỗi Openflow switch sẽ chứa một hoặc nhiều bang flow table Trong mỗi

bảng flow table này sẽ chứa một tập các flow entry Các flow entry này được

thêm, sửa đổi hoặc loại bỏ đi bởi SDN controller Mỗi flow entry sẽ bao gồm các

thành phan sau:

Match fields: Bao gồm các thông tin về packet header và ingress port dùng

dé so khớp các gói tin, khi một gói tin match với một flow entry thì gói tin

đó sẽ được xử lý bằng các hành động đã được định nghĩa trong flow entry

đó.

Priority: Mức độ ưu tiên của flow entry đó Mỗi gói tin có thể match vớinhiều flow entry khi đó gói tin sẽ được xử lý bởi flow entry có priority cao

hơn.

Counters: Bộ đếm sẽ cập nhật mỗi khi gói tin được xử lý bởi flow entry đó

Instructions: Định nghĩa các hành động để xử lý gói tin.

Timeouts: Thời gian tối đa để xử lý gói tin

Cookie: giá trị được chọn bởi Controller được sử dung để lọc số liệu thống

kê của flow entry, sửa đổi flow entry hoặc xóa flow entry

12

Ngoài các flow entry mỗi flow table còn chứa một table miss flow entry được sửdụng để xử lý các gói tin khi không có flow entry nào trong flow table match vớigói tin đó Table miss flow entry có thể sẽ chuyển tiếp gói tin đó đến controller,

gửi gói tin tới flow table tiếp theo hoặc loại bỏ gói tin

Với các openflow switch chứa nhiều bảng flow table, các flow table sẽ được đánh

số bắt đầu từ table 0 Việc xử lý pipeline sẽ luôn được bắt đầu tại table 0 Các tablekhác có thể sẽ được sử dụng phụ thuộc vào lối ra của match entry trong table đầu

tiên Việc chia ra nhiều flow table thay vì chỉ sử dụng một flow table sẽ tiết kiệm

thời gian xử lý các gói tin hơn.

Packet In Start at table 0

Match in

table n?

Update counters Execute instructions:

* update action set

+ update packetmaich set fields

Chương 2 KIÊN THÚC NEN TANG

Việc xử lý một gói tin bởi Openflow switch sẽ được thực hiện như trên hình vẽ Khi một gói tin từ ngoài mạng được gửi tới Switch, quá trình xử lý gói tin được

bắt đầu từ table 0 Gói tin sẽ được kiểm tra có một flow entry nào match với góitin, trỏ gói tin tới table thứ n nào không? Nếu không có chúng sẽ được tìm kiếmtrong table miss flow entry Nếu tiếp tục không tìm thấy thì gói tin lập tức bịdrop Ngược lại nếu tồn tai một flow entry nào đó match với gói tin bên trong

flow table hoặc table miss flow entry thì counter sẽ được update và thực thi các

câu lệnh: Cập nhật thiết lập hành động, cập nhật các trường thiết lập gói tin, cậpnhật metadata Gói tin được gửi đến table thứ n, tại đây gói tin sẽ tiếp tục kiểmtra xem có cần phải gửi đến table nào khác không, nếu có thì gói tin tiếp tục đượcgửi đến table đó Nếu không thì thực thi hành động đã được thiết lập

2.2.3 Hoạt động của OpenFlow

OpenFlow tách rời các chức năng của lớp truyền dữ liệu và lớp điều khiển ra khỏinhau Chức năng liên quan đến truyền dir liệu vẫn được thực hiện trên thiết bịchuyển mạch như cũ, còn các quyết định vẻ định tuyến cấp cao trong OpenFlowthì do bộ điều khiển (Controller) thực hiện Controller và các thiết bị chuyểnmạch giao tiếp với nhau thông qua giao thức Giao thức chuyển mạch Openflow

(OpenFlow Switching Protocol).

Controller có thể ra lệnh cho các switch thực hiện các luật nhằm phân luéng dữ

liệu mang Những luật này có thể là: truyền dữ liệu theo tuyến đường nhanh

nhất, hoặc theo tuyến đường có ít hops nhất

14

2 thành phần chính: Giao diện lập trình dành cho việc kiểm soát chuyển tiếp gói

tin qua các bộ chuyển mach mạng và bộ các giao điện toàn cầu (global interface),

trên cơ sở những giao diện này có thể tạo ra các công cụ quản lý cấp cao

2.3 Kỹ thuật lừa dối mang

Sự lừa dối trên mạng gần đây đã nhận được sự quan tâm ngày càng nhiều nhưmột cơ ché day hứa hen để chủ động phòng thủ trên không gian mạng Mục dichcủa kỹ thuật lừa dối là ngăn chặn tội phạm mang đã tìm cách xâm nhập vào mang

để gây ra bất kỳ thiệt hại đáng kể nào Công nghệ này hoạt động bằng cách tạo

ra các bẫy hoặc môi nhử lừa dối bắt chước các tài sản công nghệ hợp pháp trongtoàn bộ cơ sở hạ tầng Những mỗi nhử này có thể chạy trong môi trường hệ điềuhành ảo hoặc thực và được thiết kế để đánh lừa tội phạm mạng nghĩ rằng chúng

đã phát hiện ra cách để leo thang đặc quyền và đánh cắp thông tin đăng nhập.Khi một cái bẫy được kích hoạt, các thông báo sẽ được truyền tới một máy chủ

đánh lừa tập trung để ghi lại mdi nhử bị ảnh hưởng và các vectơ tan công đã được

tội phạm mạng sử dụng Tóm lại, lừa dối mạng là việc đánh lừa, nghiên cứu, điều

tra, lấy dâu vân tay và hút những kẻ tan công ra ngoài

15

Chương 2 KIÊN THUC NEN TANG

2.3.1 Các giai đoạn trong kỹ thuật lừa dối

Các cơ chế phòng thủ mạng truyền thống dành cho các hệ thống máy tính vàmạng về bản chất chủ yếu là phản ứng, đồng thời giải quyết van dé phát hiện vàgiảm thiểu tan công sau hành động tan công, nhưng đưa ra các biện pháp đối phókhông hiệu quả ở các giai đoạn đầu của chuỗi tan công mạng (cyber kill chain)

Phòng thủ bằng cách sử dụng lừa dối mạng không chỉ là một hành động đơn lẻ

mà thường bao gồm nhiều vòng kết hợp để có hiệu quả Với mỗi vòng lừa dốimạng, nó có thể bao gồm 3 giai đoạn, như Hình 2.6

Phase I: Planning Deception

- Determine the goal of deception under the context of cyber defense and define deception strategy

- Plan deception interactions with attackers in order to.

engage and identify the attackers’ biases

; : : Preplanning

Phase II: Implementing & Deploying Deception /Redesign

~ Implement all essential components to deploy a based on

deception scheme and to engage with adversaries feedbacks

= for the

` next-round

Phase III: Monitor the feedback channels

- The defender monitors feedbacks to understand and

profile the behavior of attackers, to identify biases of

adversaries, to assess deception scheme success and based on all above to plan for potential next round of deception

_.

a J —^_

cơ aa “igs(Believed) Guspected Cisbetieved

HINH 2.6: Mô hình phòng thủ lừa dối

s Giai đoạn I (lập kế hoạch đánh lừa) Trong giai đoạn lập kế hoạch đánh lừa,dựa trên kiến thức ban đầu về kẻ thù như ý định, sở thích và khả năng của

họ, những người bảo vệ trước tiên sẽ chỉ rõ mục tiêu của hành vi lừa dối mà

có thể dự kiến một cách hợp lý là có thể đạt được Một kế hoạch lừa dối sẽ

bao gồm thiết kế về cách tương tác với những kẻ tấn công và thông tin lừa

16

đối có thể được sử dụng để tạo ra các thành kiến về nhận thức, đây là chìakhóa thành công của biện pháp phòng thủ dựa trên sự lừa dối tổng thể.Người bảo vệ sẽ cân đối cẩn thận các chỉ tiết của kế hoạch lừa đối (ví dụ: sốlượng và loại tiết lộ sự thật, kết hợp với thông tin thiên vị để lừa đồi, rủi rotiềm ẩn gây nhằm lẫn cho người dùng thông thường và chỉ phí liên quan)

để tối đa hóa tỷ lệ thành công của chiến lược lừa dồi trong khi cố gắng giảmthiểu tác động đến các hoạt động bình thường

* Giai đoạn II (thực hiện và triển khai lừa déi) Trong giai đoạn này, kế hoạchlừa dối được thực hiện Tùy thuộc vào kế hoạch lừa dối, các thành phần lừađối có thể chứa cả thiết bị (máy chủ hoặc máy chủ), thông tin về thiết bị vàgiao tiếp giữa các thiết bị Đối với các đối thủ tiên tiến hơn, người phòngthủ cũng có thể can chú ý đến các kênh bên lẻ để kế hoạch đánh lừa được

triển khai sẽ càng dé bị đánh lừa càng tốt.

* Giai đoạn II (theo déi và đánh giá kết quả lừa đối) là giai đoạn cuối cùngcủa một vòng lừa dồi Vì biện pháp phòng thủ dựa trên sự lừa dối tập trungvào việc thao túng kẻ thù, điều cần thiết là phải theo đõi hành vi của kẻ tancông và quan sát phản ứng của kẻ tan công sau khi áp dụng hành vi lừa dồi

Bằng cách đánh giá cẩn thận các phản hồi, những người bảo vệ sẽ xác định kết

quả của việc triển khai vòng đánh lừa hiện tại:

¢ Tin tưởng, khi kế hoạch lừa dối đã đưa ra thành công những thành kiến cho

kẻ tần công

* Bị nghỉ ngờ, khi kẻ tan công phát hiện một số tín hiệu bat thường và có thể

không hoàn toàn tin vào thông tin giả mạo dự định.

s Không tin tưởng, khi kẻ tấn công xác định được rằng có một chiến lược lừađối đang được sử dụng Điều này thể hiện sự thất bại toàn điện của người

phòng thủ.

Kịch bản thứ ba tạo ra một tình huống khó khăn cho người phòng thủ: quyết địnhkhó khăn là liệu có nên từ bỏ kế hoạch lừa dối hoàn toàn hay bắt đầu một trò chơi

lừa đối hoàn toàn mới Mặt khác, đánh giá của người bảo vệ về kết quả lừa dối

phụ thuộc vào số lượng và chất lượng của phản hồi Khi thiếu phản hồi hoặc có

17