Bài tập lớn môn học an toàn mạng máy tính báo cáo bài tập lớn Đề tài tìm hiểu nghiên cứu các kỹ thuật phát hiện xâm nhập mạng trong hệ thống idps

Trong bối cảnh các cuộc tấn công mạngngày càng trở nên phức tạp và nguy hiểm, IDPS cung cấp khả năng giám sát liên tục, phântích lưu lượng mạng và phát hiện các hành vi bất thường hoặc c

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÀI TẬP LỚN MÔN HỌC AN TOÀN MẠNG MÁY TÍNH

BÁO CÁO BÀI TẬP LỚN

Sinh viên thực hiện:

Nguyễn Viết Nhật Anh – AT180103 Nguyễn Tuấn Anh – AT180104

Nguyễn Thùy Linh – AT180130

MỤC LỤC

CÁC THUẬT NGỮ VIẾT TẮT 6

LỜI GIỚI THIỆU 7

CHƯƠNG 1: TỔNG QUAN 8

1.1 Lý do chọn đề tài 8

1.2 Phân tích hiện trạng 8

1.3 Ý nghĩa thực tiễn của đề tài 11

CHƯƠNG 2: GIỚI THIỆU VỀ HỆ THỐNG IDPS 12

2.1 Tổng quan về hệ thống IDPS: 12

2.2 Phân loại hệ thống IDPS 13

2.1.1 Network based 13

2.1.2 Host based 15

2.1.3 Wireless IDPS 17

2.3 Cơ chế hoạt động của IDPS 19

2.3.1 Thu Thập Dữ Liệu 20

2.3.2 Tiền Xử Lý Dữ Liệu 20

2.3.3 Phân Tích Dữ Liệu 20

2.3.4 Gửi Cảnh Báo 21

2.3.5 Phản Hồi và Ngăn Chặn 22

2.3.6 Ghi Lại và Báo Cáo 22

2.3.7 Cập Nhật và Bảo Trì 24

2.4 Các công cụ phát hiện xâm nhập mạng phổ biến 24

2.4.1 Snort 24

2.4.2 Suricata 29

2.4.3 Zeek 33

2.4.4 OSSEC 37

CHƯƠNG 3: MỘT SỐ KỸ THUẬT TẤN CÔNG MẠNG PHỔ BIẾN 42

3.1 Tấn công từ chối dịch vụ (Denial of Service - DoS) 42

3.1.1 Mục tiêu 42

3.1.2 Cách thức hoạt động 42

3.2 Tấn công phân tán từ chối dịch vụ (Distributed Denial of Service - DDoS) 42

3.2.1 Mục tiêu 42

3.2.2 Cách thức hoạt động 43

3.3 Tấn công khai thác lỗ hổng (Exploit Attacks) 43

3.3.1 Mục tiêu 43

3.3.2 Cách thức hoạt động 43

3.4 Tấn công bởi phần mềm độc hại (Malware Attacks) 44

3.4.1 Mục tiêu 44

3.4.2 Cách thức hoạt động 44

3.5 Tấn công mạng (Network Attacks) 45

3.5.1 Mục tiêu 45

3.5.2 Cách thức hoạt động 46

3.6 Tấn công dựa trên ứng dụng (Application Layer Attacks) 46

3.6.1 Mục tiêu 46

3.6.2 Cách thức hoạt động 47

3.7 Tấn công tấn công xã hội (Social Engineering Attacks) 47

3.7.1 Mục tiêu 47

3.7.2 Cách thức hoạt động 48

3.8 Tấn công từ bên trong (Insider Threats) 48

3.8.1 Mục tiêu 48

3.8.2 Cách thức hoạt động 48

CHƯƠNG 4: CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP MẠNG TRONG HỆ THỐNG IDPS 50

4.1 Signature-Based Detection (Phát hiện dựa trên chữ ký) 50

4.1.1 Nguyên tắc hoạt động của Signature-Based Detection .50

4.1.2 Ưu điểm của Signature-Based Detection 51

4.1.3 Nhược điểm của Signature-Based Detection 51

4.1.4 Ứng dụng của Signature-Based Detection 51

4.1.5 Ví dụ 52

4.2 Anomaly-Based Detection (Phát hiện bất thường) 52

4.2.1 Nguyên tắc hoạt động của Anomaly-Based Detection .53

4.2.2 Ưu điểm của Anomaly-Based Detection 54

4.2.3 Nhược điểm của Anomaly-Based Detection 54

4.2.4 Ứng dụng của Anomaly-Based Detection 54

4.3 Heuristic-Based Detection (Phát hiện dựa trên heuristic) 55

4.3.1 Nguyên tắc hoạt động của Heuristic-Based Detection .55

4.3.2 Ưu điểm của Heuristic-Based Detection 57

4.3.3 Nhược điểm của Heuristic-Based Detection 57

4.3.4 Ứng dụng của Heuristic-Based Detection 57

4.3.5 Ví dụ 57

4.4 Behavior-Based Detection (Phát hiện dựa trên hành vi) 58

4.4.1 Nguyên tắc hoạt động của Behavior-Based Detection .58

4.4.2 Ưu điểm của Behavior-Based Detection 59

4.4.3 Nhược điểm của Behavior-Based Detection 59

4.4.4 Ứng dụng của Behavior-Based Detection 60

4.4.5 Ví dụ 60

4.5 Hybrid Detection (Phát hiện kết hợp) 60

4.5.1 Nguyên tắc hoạt động của Hybrid Detection 61

4.5.2 Ưu điểm của Hybrid Detection 62

4.5.3 Nhược điểm của Hybrid Detection 62

4.5.4 Ứng dụng của Hybrid Detection 63

4.5.5 Ví dụ 63

4.6 Protocol-Based Detection (Phát hiện dựa trên giao thức) 63

4.6.1 Nguyên tắc hoạt động của Protocol-Based Detection .64

4.6.2 Ưu điểm của Protocol-Based Detection 64

4.6.3 Nhược điểm của Protocol-Based Detection 64

4.6.4 Ứng dụng của Protocol-Based Detection 65

4.6.5 Ví dụ 65

4.7 Statistical-Based Detection (Phát hiện dựa trên thống kê) 66

4.7.1 Nguyên tắc hoạt động của Statistical-Based Detection .66

4.7.2 Ưu điểm của Statistical-Based Detection 66

4.7.3 Nhược điểm của Statistical-Based Detection 67

4.7.4 Ứng dụng của Statistical-Based Detection 67

4.7.5 Ví dụ 67

CHƯƠNG 5: THỰC NGHIỆM : PHÁT HIỆN CÁC HOẠT ĐỘNG 69

XÂM NHẬP MẠNG 69

5.1 Triển khai mô hình thực nghiệm sử dụng Snort 69

5.2 Các kịch bản tấn công 70

5.2.1 Tấn công dò quét (Scanning Attacks) 70

5.2.2 Tấn công dò quét dịch vụ và cổng (Service and Port Scanning) 74

5.2.3 Kết luận: 77

TÀI LIỆU THAM KHẢO 79

CÁC THUẬT NGỮ VIẾT TẮT

IDPS Intrusion detection and prevention

systemNIDS network intrusion detection systems

NIPS Network Intrusion Prevention System

management

LỜI GIỚI THIỆU

An toàn thông tin đóng vai trò ngày càng quan trọng trong cuộc sống hiện đại, nơi màmọi hoạt động từ công việc, học tập đến giải trí đều dựa vào công nghệ số Sự phát triểnkhông ngừng của Internet và các thiết bị thông minh mang lại nhiều tiện ích vượt trội,nhưng cũng đồng thời mở ra các nguy cơ tiềm ẩn về bảo mật Việc bảo vệ thông tin cá nhân

và dữ liệu doanh nghiệp trở thành ưu tiên hàng đầu trong bối cảnh các cuộc tấn công mạngngày càng tinh vi Không chỉ các tổ chức lớn mà ngay cả cá nhân cũng cần nhận thức rõ tầmquan trọng của việc bảo mật thông tin Đảm bảo an toàn thông tin không chỉ giúp ngăn chặncác vụ vi phạm mà còn xây dựng niềm tin cho người sử dụng dịch vụ trực tuyến Những giảipháp bảo mật tiên tiến, như mã hóa dữ liệu và xác thực hai yếu tố, đang được áp dụng rộngrãi để tăng cường an toàn Đào tạo nhân viên và nâng cao nhận thức cộng đồng về các biệnpháp bảo mật cũng là yếu tố then chốt Tất cả những nỗ lực này hướng đến mục tiêu tạo ramột môi trường số an toàn và đáng tin cậy

Tuy nhiên, đi kèm với sự phát triển công nghệ là những nguy cơ tiềm ẩn về an toànthông tin mà chúng ta phải đối mặt hàng ngày Tấn công mạng, lừa đảo trực tuyến, và xâmphạm quyền riêng tư đang trở thành những mối đe dọa nghiêm trọng Các hình thức tấncông ngày càng đa dạng và tinh vi, từ việc đánh cắp thông tin cá nhân, tấn công từ chối dịch

vụ (DDoS) đến ransomware, gây thiệt hại lớn về tài chính và uy tín cho cá nhân và tổ chức.Người dùng mạng xã hội và các dịch vụ trực tuyến thường xuyên đối mặt với nguy cơ bị lừađảo và đánh cắp danh tính Ngoài ra, việc thiếu kiến thức và kỹ năng về bảo mật thông tincũng khiến nhiều người trở thành mục tiêu dễ dàng cho các cuộc tấn công Sự phụ thuộc quámức vào công nghệ số mà không có các biện pháp bảo vệ phù hợp có thể dẫn đến những hậuquả nghiêm trọng Vì vậy, cần có sự đầu tư nghiêm túc vào hệ thống bảo mật và liên tục cậpnhật kiến thức để phòng ngừa và ứng phó hiệu quả với các mối đe dọa này

Trong đề tài này, chúng em sẽ tập trung trao đổi và giới thiệu về những kỹ thuật pháthiện xâm nhập mạng bằng cách sử dụng công nghệ IDPS Công nghệ hệ thống phát hiệnxâm nhập (IDPS) đóng vai trò thiết yếu trong việc bảo vệ hạ tầng công nghệ thông tin hiệnđại khỏi các mối đe dọa mạng ngày càng tinh vi Trong bối cảnh các cuộc tấn công mạngngày càng trở nên phức tạp và nguy hiểm, IDPS cung cấp khả năng giám sát liên tục, phântích lưu lượng mạng và phát hiện các hành vi bất thường hoặc có hại Bằng cách phát hiệnsớm các mối đe dọa và cảnh báo kịp thời, IDPS giúp các tổ chức ngăn chặn các cuộc tấncông trước khi chúng có thể gây ra thiệt hại nghiêm trọng Hơn nữa, công nghệ IDPS còn hỗtrợ trong việc phân tích các sự cố bảo mật, giúp xác định nguyên nhân và cải thiện các biệnpháp phòng ngừa trong tương lai Do đó, việc triển khai và duy trì một hệ thống IDPS hiệuquả là cực kỳ quan trọng để đảm bảo an toàn thông tin và duy trì hoạt động ổn định của các

tổ chức trong thời đại số hóa hiện nay

CHƯƠNG 1: TỔNG QUAN

1.1 Lý do chọn đề tài

Trong bối cảnh sự gia tăng nhanh chóng của các mối đe dọa mạng, việc phát hiện vàứng phó kịp thời với các cuộc tấn công trở nên vô cùng quan trọng Các hệ thống IDPS đóngvai trò thiết yếu trong việc bảo vệ dữ liệu và tài nguyên mạng khỏi các cuộc tấn công có chủđích và các hành vi độc hại Do đó, nghiên cứu về các phương pháp phát hiện xâm nhập vàcải thiện chúng không chỉ giúp nâng cao khả năng bảo mật của hệ thống mà còn góp phầnđảm bảo an toàn thông tin cho tổ chức

Số vụ tấn công mạng từ tháng 8/2021 đến tháng 7/2022

Chúng em mong muốn thông qua bài tập lớn này có thể đề xuất các giải pháp hiệuquả và ứng dụng công nghệ tiên tiến để nâng cao độ chính xác và giảm thiểu các báo độnggiả, từ đó nâng cao hiệu quả của hệ thống IDPS Chúng em tin rằng những nghiên cứu này

sẽ cung cấp những hiểu biết quan trọng và ứng dụng thực tiễn trong việc bảo vệ mạng lướikhỏi các mối đe dọa ngày càng tinh vi

1.2 Phân tích hiện trạng

Hiện nay, vấn đề xâm nhập mạng đang trở nên ngày càng nghiêm trọng và phức tạp.Các cuộc tấn công mạng không ngừng gia tăng về số lượng và mức độ tinh vi, đe dọanghiêm trọng đến sự an toàn của thông tin và hệ thống mạng Các nhóm hacker và tội phạmmạng sử dụng nhiều kỹ thuật khác nhau như tấn công phishing, ransomware, và các lỗ hổngbảo mật để xâm nhập và gây hại

Các cuộc tấn công xâm nhập mạng gần đây:

 Tấn công vào MOVEit Transfer (2023): Một lỗ hổng nghiêm trọng trong phầnmềm trao đổi tập tin MOVEit đã bị khai thác bởi nhóm tin tặc Clop, dẫn đếnviệc rò rỉ dữ liệu nhạy cảm của hàng triệu người dùng và doanh nghiệp Sựkiện này làm nổi bật nguy cơ từ các lỗ hổng trong các công cụ trao đổi dữ liệu

 Tấn công vào 3CX (2023): Tin tặc đã khai thác lỗ hổng trong phần mềm 3CX,một hệ thống điện thoại VoIP phổ biến, dẫn đến việc phân phối phần mềm độchại và tấn công vào hệ thống của nhiều tổ chức lớn Vụ tấn công đã ảnh hưởngđến hàng ngàn khách hàng trên toàn cầu

Hơn 300 doanh nghiệp và tổ chức tài chính có thể đã là nạn nhân APT vào 3CX

 Cuộc tấn công vào LastPass (2023): LastPass, một dịch vụ quản lý mật khẩu,

đã bị tấn công hai lần trong năm 2023 Các cuộc tấn công này đã dẫn đến việc

lộ thông tin mã hóa và dữ liệu nhạy cảm của hàng triệu người dùng, gây lo ngại

về bảo mật thông tin cá nhân

 Tấn công vào MGM Resorts (2023): MGM Resorts đã bị tấn công bởiransomware, dẫn đến việc hệ thống của họ bị tê liệt và ảnh hưởng nghiêmtrọng đến hoạt động kinh doanh Các cuộc tấn công đã làm gián đoạn dịch vụkhách sạn và casino, gây thiệt hại lớn về tài chính và uy tín

Thông báo sự cố an ninh của MGM Resorts

 Cuộc tấn công vào Viasat (2022): Viasat, một nhà cung cấp dịch vụ truyềnthông vệ tinh, đã bị tấn công trước khi cuộc xung đột Nga-Ukraine bắt đầu,dẫn đến việc mất kết nối internet cho hàng ngàn khách hàng ở châu Âu Tấncông này đã thể hiện sự nhắm mục tiêu chiến lược vào cơ sở hạ tầng quantrọng

Chảo vệ tinh Internet Viasat ở bang Virginia, Mỹ

1.3 Ý nghĩa thực tiễn của đề tài

 Nghiên cứu các vấn đề kỹ thuật của hệ thống phát hiện và ngăn chặn xâmnhập

 Phân tích, đánh giá được các nguy cơ xâm nhập trái phép đối với hệ thốngmạng

 Đưa ra một giải pháp an ninh hữu ích cho hệ thống mạng của tổ chức, doanhnghiệp

CHƯƠNG 2: GIỚI THIỆU VỀ HỆ THỐNG IDPS

 Phát hiện xâm nhập (Detection) : IDPS giám sát lưu lượng mạng và hoạt độngcủa hệ thống để phát hiện các hành vi bất thường hoặc có dấu hiệu của cáccuộc tấn công mạng, như các cuộc tấn công theo kiểu khai thác lỗ hổng, phầnmềm độc hại, hay các hành vi truy cập trái phép Khi phát hiện một mối đe dọa,IDPS sẽ tạo ra các cảnh báo hoặc báo cáo cho các quản trị viên hệ thống

 Phòng ngừa xâm nhập (Prevention) : Ngoài việc phát hiện các mối đe dọa,IDPS còn thực hiện các biện pháp chủ động để ngăn chặn hoặc giảm thiểu thiệthại từ các cuộc tấn công Điều này có thể bao gồm việc chặn các địa chỉ IP độchại, ngắt kết nối phiên, điều chỉnh các quy tắc bảo mật, hoặc thực hiện cáchành động khác để bảo vệ hệ thống

Mô hình IDPS

Tóm lại, IDPS là một giải pháp toàn diện nhằm bảo vệ hệ thống mạng không chỉ bằngcách phát hiện các mối đe dọa mà còn bằng cách thực hiện các biện pháp phòng ngừa đểngăn chặn các mối đe dọa đó ngay lập tức.

2.2 Phân loại hệ thống IDPS

từ các điểm chiến lược trong mạng, sau đó phân tích dữ liệu đó để nhận diện các mối đe dọadựa trên các phương pháp phát hiện khác nhau

 Bảo vệ toàn diện: Do được triển khai tại các điểm chiến lược trong mạng,IDPS dựa trên mạng có khả năng bảo vệ toàn bộ mạng, bao gồm các máy chủ,thiết bị và ứng dụng, mà không phụ thuộc vào việc cài đặt phần mềm trên từngthiết bị.

 Giám sát và phân tích tập trung: Network-based IDPS cung cấp khả năng giámsát và phân tích lưu lượng mạng tập trung, giúp dễ dàng phát hiện các mẫu tấncông có thể không rõ ràng nếu chỉ dựa trên các thiết bị riêng lẻ

 Phân tích lịch sử và báo cáo: Hệ thống lưu trữ dữ liệu phân tích lịch sử chophép các quản trị viên xem xét và phân tích các sự cố trước đây, giúp cải thiệncác biện pháp bảo mật trong tương lai

 Phát hiện tấn công chưa biết: Phương pháp phát hiện dựa trên hành vi có khảnăng phát hiện các tấn công chưa được biết đến bằng cách nhận diện các hoạtđộng bất thường trong lưu lượng mạng

d) Hạn Chế

 Báo động giả: Một trong những thách thức lớn nhất của network-based IDPS

là khả năng tạo ra các báo động giả Khi hệ thống không được cấu hình hoặctinh chỉnh chính xác, nó có thể báo động các hoạt động bình thường là tấncông, dẫn đến việc các quản trị viên phải đối mặt với số lượng lớn các cảnh báokhông chính xác

 Tải trọng hệ thống: Việc phân tích lưu lượng mạng có thể tạo ra tải trọng caođối với hệ thống, đặc biệt trong các mạng lớn với lượng dữ liệu khổng lồ Điềunày có thể ảnh hưởng đến hiệu suất của hệ thống mạng

 Khả năng mã hóa dữ liệu: Nếu lưu lượng mạng được mã hóa, network-basedIDPS có thể gặp khó khăn trong việc phân tích dữ liệu mã hóa, dẫn đến việcgiảm khả năng phát hiện các tấn công bên trong các kết nối mã hóa

 Cần cập nhật thường xuyên: Để duy trì hiệu quả, cơ sở dữ liệu chữ ký tấn công

và các phương pháp phát hiện phải được cập nhật thường xuyên Việc này yêucầu quản lý và duy trì liên tục, có thể làm tăng chi phí và công sức

 Không bảo vệ chống lại các tấn công nội bộ: Trong khi network-based IDPSrất hiệu quả đối với các tấn công từ bên ngoài, nó không cung cấp sự bảo vệđầy đủ chống lại các tấn công từ bên trong mạng nội bộ Các tấn công này cóthể không gây ra hành vi bất thường đáng kể trong lưu lượng mạng và có thểkhông bị phát hiện bởi hệ thống

vi xâm nhập hoặc tấn công.

b) Theo chức năng

 IDS: Theo dõi và phân tích hoạt động trên một máy chủ hoặc thiết bị cá nhân

để phát hiện các mối đe dọa hoặc hành vi đáng ngờ

 IPS: Theo dõi, phân tích và thực hiện các hành động để ngăn chặn các mối đedọa trên máy chủ hoặc thiết bị cá nhân

c) Lợi Thế

 Giám sát chính xác: Cung cấp khả năng giám sát chi tiết và bảo vệ sâu cho cáchoạt động cụ thể trên máy chủ hoặc thiết bị cá nhân, bao gồm các cuộc tấncông vào ứng dụng hoặc hệ điều hành.

 Phát hiện các tấn công không qua mạng: Có thể phát hiện các cuộc tấn côngnội bộ và các hành vi đáng ngờ mà không liên quan đến lưu lượng mạng,chẳng hạn như các cuộc tấn công vào các ứng dụng hoặc tấn công thông quaviệc khai thác lỗ hổng phần mềm

 Bảo mật cá nhân hóa:

 Cấu hình tùy chỉnh: Có khả năng cấu hình để theo dõi và phân tích các hoạtđộng cụ thể dựa trên nhu cầu bảo mật của từng máy chủ hoặc thiết bị cá nhân

 Bảo vệ chống lại các mối đe dọa nội bộ:

 Giám sát nội bộ: Có thể phát hiện các mối đe dọa đến từ bên trong mạng,chẳng hạn như hành vi xâm nhập hoặc lạm dụng quyền hạn của người dùngnội bộ

d) Hạn Chế

 Khó mở rộng:

 Quản lý phức tạp: Khi số lượng máy chủ và thiết bị trong mạng tăng lên, việctriển khai và quản lý Host-Based IDPS trở nên phức tạp và tốn thời gian, vì cầnphải cài đặt và cấu hình phần mềm trên từng thiết bị cá nhân

 Chi phí cao: Chi phí cài đặt và bảo trì có thể gia tăng khi mở rộng quy mô doyêu cầu phần mềm và tài nguyên hệ thống

 Tải trọng hệ thống:

 Ảnh hưởng hiệu suất: Host-Based IDPS có thể làm giảm hiệu suất của máychủ hoặc thiết bị cá nhân do việc giám sát và phân tích liên tục Điều này đặcbiệt quan trọng đối với các hệ thống có tài nguyên hạn chế.

 Khả năng bị vô hiệu hóa:

 Rủi ro từ người dùng: Người dùng hoặc ứng dụng trên máy chủ có thể vô hiệuhóa hoặc thay đổi cấu hình của Host-Based IDPS, dẫn đến giảm hiệu quả của

hệ thống bảo mật

 Tính năng bảo mật có thể bị bỏ qua:

 Phát hiện thiếu sót: Nếu không được cấu hình chính xác, Host-Based IDPS cóthể bỏ sót các hành vi đáng ngờ hoặc không phát hiện được các tấn công phứctạp

 Tầm nhìn hạn chế:

 Không bảo vệ toàn mạng: Host-Based IDPS chỉ bảo vệ từng máy chủ hoặcthiết bị cá nhân, không cung cấp cái nhìn tổng quan về hoạt động của toàn bộmạng

b) Lợi Thế

 Bảo vệ mạng không dây từ các mối đe dọa:

 Phát hiện các cuộc tấn công không dây: Wireless IDPS có khả năng phát hiệncác cuộc tấn công không dây đặc trưng như tấn công DoS (Denial of Service),tấn công giả mạo điểm truy cập (Evil Twin), và tấn công giả mạo mạng

 Ngăn chặn sự truy cập trái phép: Có khả năng phát hiện và ngăn chặn các thiết

bị không được phép kết nối vào mạng không dây

 Theo dõi hoạt động mạng không dây: Cung cấp cái nhìn tổng quan về lưulượng và hoạt động trong mạng không dây, bao gồm cả các điểm truy cập, thiết

bị kết nối, và các hoạt động không bình thường

 Phát hiện xâm nhập từ xa: Giám sát các mối đe dọa từ xa và các cuộc tấn công

có thể xảy ra từ bên ngoài khu vực mạng không dây

 Tinh chỉnh và cấu hình:

 Cấu hình tùy chỉnh: Có thể được cấu hình để phù hợp với yêu cầu bảo mật cụthể của mạng không dây, bao gồm các chính sách và quy tắc bảo mật riêngbiệt

 Tính năng bảo mật linh hoạt: Cung cấp các tính năng bảo mật linh hoạt và tùychỉnh cho các môi trường mạng không dây đa dạng

 Phản hồi kịp thời:

 Cảnh báo và ngăn chặn: Cung cấp cảnh báo và khả năng ngăn chặn các mối đedọa ngay khi chúng được phát hiện, giúp giảm thiểu thiệt hại từ các cuộc tấncông

c) Hạn Chế

 Phạm vi giám sát:

 Giới hạn phạm vi: Phạm vi của các cảm biến không dây có thể bị hạn chế bởikhoảng cách và vật cản, làm giảm khả năng giám sát toàn diện của hệ thốngtrong các khu vực lớn hoặc phức tạp

 Sự nhiễu loạn tín hiệu: Các tín hiệu không dây có thể bị nhiễu bởi các thiết bịkhông dây khác, ảnh hưởng đến khả năng phát hiện chính xác

 Khả năng phân tích dữ liệu:

 Khó khăn trong việc phân tích: Phân tích lưu lượng không dây có thể gặp khókhăn do tính chất không đồng nhất của lưu lượng và các vấn đề về mã hóa.Điều này có thể làm giảm khả năng phát hiện các mối đe dọa tinh vi

 Báo động giả: Có thể xảy ra khi hệ thống không phân biệt rõ ràng giữa cáchành vi bình thường và các mối đe dọa, dẫn đến việc tạo ra các cảnh báo khôngchính xác

 Tải trọng hệ thống và hiệu suất:

 Tải trọng tài nguyên: Wireless IDPS có thể tạo ra tải trọng cao cho các thiết bịgiám sát không dây, ảnh hưởng đến hiệu suất của hệ thống và khả năng xử lý

dữ liệu

 Ảnh hưởng đến băng thông: Các quá trình giám sát và phân tích có thể ảnhhưởng đến băng thông mạng không dây, đặc biệt trong các môi trường với lưulượng cao

 Bảo mật bổ sung cần thiết:

 Tích hợp với các giải pháp khác: Wireless IDPS thường cần phải được tíchhợp với các giải pháp bảo mật khác như hệ thống mạng không dây an toàn, mãhóa và các biện pháp kiểm soát truy cập để đảm bảo bảo vệ toàn diện

2.3 Cơ chế hoạt động của IDPS

2.3.1 Thu Thập Dữ Liệu

 Nguồn Dữ Liệu:

 Lưu lượng mạng: Dữ liệu được thu thập từ các gói tin mạng đang đi qua cácthiết bị mạng như router hoặc switch

 Hoạt động hệ thống: Dữ liệu được thu thập từ các log của hệ thống, ứng dụng,

và các tài nguyên hệ thống như CPU, bộ nhớ, và đĩa cứng

 Cảm biến (Sensors):

 Cảm biến mạng (Network Sensors): Được cài đặt trên các điểm quan trọngtrong mạng để thu thập và phân tích lưu lượng mạng Ví dụ: các thiết bị phântích gói tin hoặc phần mềm giám sát lưu lượng mạng

 Cảm biến hệ thống (Host Sensors): Cài đặt trực tiếp trên các máy chủ hoặcthiết bị đầu cuối để theo dõi hoạt động của hệ thống và ứng dụng Ví dụ: phầnmềm giám sát hoạt động hệ thống hoặc hệ thống log

2.3.2 Tiền Xử Lý Dữ Liệu

 Lọc Dữ Liệu:

 Loại bỏ Dữ Liệu Không Cần Thiết: Loại bỏ các gói tin không liên quan, chẳnghạn như các gói tin kiểm tra (ping) hoặc các gói tin không phải là mục tiêu củaphân tích

 Xử Lý Dữ Liệu Không Định Kỳ: Loại bỏ các dữ liệu từ các nguồn đáng ngờhoặc không đáng tin cậy

 Chuyển Đổi Dữ Liệu:

 Chuyển Đổi Định Dạng: Chuyển đổi dữ liệu từ định dạng gốc (như định dạnggói tin) thành định dạng có thể phân tích, ví dụ như cấu trúc đối tượng hoặcbảng

 Tổng Hợp Dữ Liệu: Tập hợp dữ liệu từ nhiều nguồn để có cái nhìn tổng quanhơn về hoạt động hệ thống hoặc mạng

2.3.3 Phân Tích Dữ Liệu

 Phân Tích Dựa Trên Chữ Ký:

 Cơ Sở Dữ Liệu Chữ Ký: So sánh dữ liệu thu thập được với cơ sở dữ liệu chứacác mẫu chữ ký tấn công đã biết Các chữ ký này có thể là chuỗi byte, mẫu giaothức, hoặc các đặc điểm tấn công đã biết

 Khớp Mẫu: Tìm kiếm các mẫu dữ liệu trong các gói tin hoặc hoạt động hệthống để xác định xem chúng có khớp với các chữ ký tấn công hay không Nếukhớp, hệ thống tạo cảnh báo về một cuộc tấn công

 Phân Tích Dựa Trên Hành Vi:

 Xây Dựng Mô Hình Hành Vi: Tạo ra mô hình hành vi bình thường của hệthống hoặc mạng bằng cách phân tích dữ liệu lịch sử để xác định các mẫu hành

vi bình thường

 So Sánh và Phát Hiện: So sánh hành vi hiện tại với mô hình hành vi bìnhthường để phát hiện các bất thường Ví dụ: nếu một ứng dụng thường xuyêngửi dữ liệu đến một địa chỉ IP cụ thể và đột nhiên gửi dữ liệu đến nhiều địa chỉ

IP khác, đây có thể là hành vi đáng ngờ

 Phân Tích Dựa Trên Anomaly:

 Thiết Lập Ngưỡng: Xác định các ngưỡng cho các chỉ số bất thường, chẳng hạnnhư số lượng yêu cầu không hợp lệ, lưu lượng mạng cao bất thường, hoặc sựgia tăng đột ngột của các lỗi hệ thống

 Phát Hiện Bất Thường: Phát hiện các hành vi hoặc sự kiện vượt quá cácngưỡng đã thiết lập Ví dụ: nếu một dịch vụ web thường chỉ nhận 100 yêu cầumỗi phút và đột nhiên nhận 1.000 yêu cầu mỗi phút, hệ thống sẽ phát hiện điềunày là bất thường

2.3.4 Gửi Cảnh Báo

 Tạo Cảnh Báo:

 Xử Lý Sự Kiện: Khi phát hiện một cuộc tấn công hoặc hành vi bất thường,IDPS tạo ra một sự kiện hoặc cảnh báo Cảnh báo này bao gồm thông tin chitiết về sự cố, chẳng hạn như loại tấn công, nguồn gốc (địa chỉ IP của kẻ tấncông), và thời gian xảy ra

 Thông Tin Cảnh Báo:

 Chi Tiết Cảnh Báo: Cung cấp thông tin chi tiết như ID của sự kiện, mô tả củatấn công hoặc hành vi bất thường, và các dấu hiệu đặc trưng của tấn công.

 Thông Báo Cho Người Quản Trị: Gửi thông báo qua email, SMS, hoặc giaodiện người dùng của hệ thống quản lý để thông báo cho người quản trị về sựcố

2.3.5 Phản Hồi và Ngăn Chặn

 Chặn Kết Nối:

 Ngăn Chặn IP: Đối với IPS, khi phát hiện một cuộc tấn công, hệ thống có thể

tự động chặn địa chỉ IP của kẻ tấn công hoặc cắt đứt các kết nối từ địa chỉ đó

 Điều Chỉnh Tường Lửa: Cập nhật cấu hình tường lửa để chặn các yêu cầukhông hợp lệ hoặc các giao thức nghi ngờ

 Thay Đổi Cấu Hình:

 Cập Nhật Quy Tắc Bảo Mật: Điều chỉnh quy tắc bảo mật hoặc cấu hình hệthống để ngăn chặn các cuộc tấn công tương tự trong tương lai

 Tăng Cường An Ninh: Cập nhật phần mềm, sửa chữa lỗ hổng bảo mật, và thựchiện các biện pháp bảo mật bổ sung để cải thiện khả năng phòng chống

 Cách Ly Hệ Thống:

 Ngắt Kết Nối: Cách ly các phần của hệ thống hoặc mạng bị nghi ngờ để ngănchặn sự lây lan của tấn công Ví dụ: tạm thời ngắt kết nối máy chủ bị tấn côngkhỏi mạng

 Khôi Phục Từ Sao Lưu: Khôi phục hệ thống từ bản sao lưu sạch nếu hệ thống

 Phân Tích Sau Sự Kiện: Xem xét các log, kết hợp phân tích đối sánh với cácnguồn thông tin về các cuộc tấn công từ trước và ghi chép để xác định nguyênnhân gốc rễ của sự cố và các biện pháp khắc phục cần thiết.

Cơ sở dữ liệu ATT&CK của MITRE là khung phổ biến cung cấp các kỹ thuật và thủ đoạn của kẻ tấn công, giúp hiểu rõ về cách hoạt động và thông tin chi tiết của các cuộc tấn công

CVE: Cung cấp thông tin về các lỗ hổng đã biết và các mối đe dọa liên quan đến chúng

 Tạo Báo Cáo:

 Báo Cáo Định Kỳ: Tạo báo cáo định kỳ về tình trạng bảo mật, số lượng sự cốphát hiện, và hiệu quả của các biện pháp phản ứng

 Báo Cáo Theo Yêu Cầu: Cung cấp các báo cáo chi tiết về các sự cố bảo mật cụthể khi được yêu cầu, bao gồm phân tích nguyên nhân và các hành động khắcphục

 Đánh Giá và Tinh Chỉnh: Đánh giá hiệu quả của các mô hình phân tích hành vi

và anomaly, và thực hiện các điều chỉnh cần thiết để cải thiện khả năng pháthiện và giảm thiểu cảnh báo sai

 Tối Ưu Hóa Hiệu Suất: Tinh chỉnh cấu hình và các tham số phân tích để cânbằng giữa độ chính xác và hiệu suất hệ thống

 Bằng cách thực hiện các bước này, IDPS có thể cung cấp khả năng phát hiện

và phản ứng nhanh chóng đối với các mối đe dọa bảo mật, giúp bảo vệ hệthống và mạng khỏi các cuộc tấn công và hành vi xâm nhập

2.4 Các công cụ phát hiện xâm nhập mạng phổ biến

Trong lĩnh vực bảo mật mạng, hệ thống phát hiện và phòng chống xâm nhập (IDPS)đóng vai trò quan trọng trong việc bảo vệ các tài nguyên số Các công cụ trong IDPS giúpxác định và ngăn chặn các cuộc tấn công mạng, từ các mã độc đến các cuộc xâm nhập tinh

vi, bằng cách theo dõi và phân tích lưu lượng mạng một cách liên tục Chúng cung cấp khảnăng phản ứng nhanh chóng với các mối đe dọa, giúp bảo vệ thông tin nhạy cảm và duy trì

sự hoạt động ổn định của hệ thống Việc tích hợp các công cụ này không chỉ giúp nâng caomức độ bảo mật mà còn hỗ trợ quản trị viên trong việc phân tích và ứng phó với các sự cốbảo mật hiệu quả hơn

2.4.1 Snort

Snort là một công cụ phát hiện và ngăn chặn xâm nhập mạng (Intrusion Detectionand Prevention System - IDPS) mã nguồn mở nổi tiếng, được phát triển bởi Sourcefire (naythuộc Cisco) Nó rất phổ biến nhờ khả năng linh hoạt, hiệu suất cao, và khả năng tùy chỉnh

Logo Snort 2.4.1.1 Khái Niệm Cơ Bản về Snort

Snort là một công cụ IDS/IPS được thiết kế để phân tích lưu lượng mạng theo thờigian thực, phát hiện các cuộc tấn công, và thực hiện các hành động phản hồi Nó hoạt độngnhư một trình phân tích gói tin, có thể xử lý nhiều loại tấn công và mối đe dọa bảo mật bằngcách sử dụng các quy tắc chữ ký để xác định các mẫu tấn công

2.4.1.2 Các Tính Năng Chính của Snort

 Phát Hiện Dựa Trên Chữ Ký: Snort sử dụng cơ sở dữ liệu quy tắc chữ ký đểphát hiện các mẫu tấn công đã biết Các chữ ký này có thể nhận diện các loạitấn công cụ thể như tấn công SQL Injection, XSS, và các mối đe dọa khác

 Phát Hiện Dựa Trên Hành Vi: Snort có khả năng phân tích lưu lượng mạng đểphát hiện các hành vi bất thường hoặc không bình thường so với mẫu hành vibình thường

 Ngăn Chặn Xâm Nhập (IPS): Snort có khả năng hoạt động trong chế độ ngănchặn, tức là có thể chặn các kết nối mạng nghi ngờ hoặc không hợp lệ

 Ghi Nhận và Báo Cáo: Snort ghi lại các sự kiện và tạo báo cáo chi tiết về cácmối đe dọa và sự cố bảo mật

 Tùy Biến Quy Tắc: Người dùng có thể viết và tùy chỉnh các quy tắc chữ ký đểphát hiện các loại tấn công mới hoặc cụ thể cho môi trường của họ

 Hỗ Trợ Đa Nền Tảng: Snort có thể chạy trên nhiều hệ điều hành khác nhau nhưLinux, Windows, và macOS

2.4.1.3 Cấu Trúc và Hoạt Động của Snort

 Cấu Trúc Snort

 Cảm Biến và Trình Phân Tích (Sensor and Analyzer):

Cảm Biến: Snort có khả năng thu thập dữ liệu từ lưu lượng mạng thông qua các giaodiện mạng của hệ thống

Trình Phân Tích: Dữ liệu được phân tích theo thời gian thực để tìm kiếm các mẫu tấncông hoặc hành vi bất thường

 Cơ Sở Dữ Liệu Quy Tắc (Rule Database):

Chữ Ký Tấn Công: Cung cấp các quy tắc định nghĩa các mẫu tấn công đã biết Mỗiquy tắc bao gồm các điều kiện và hành động liên quan đến phát hiện một loại tấn công cụthể

Tùy Chỉnh Quy Tắc: Người dùng có thể thêm, sửa đổi hoặc xóa các quy tắc tùy thuộcvào yêu cầu bảo mật của họ

Cấu trúc quy tắc Snort

 Giao Diện Người Dùng và Hệ Thống Báo Cáo (User Interface and ReportingSystem):

Giao Diện Điều Khiển: Cho phép người dùng cấu hình và quản lý Snort, kiểm tra cáclog và sự kiện

Snort hiển thị trên giao diện CLI

Báo Cáo: Cung cấp thông tin chi tiết về các sự cố phát hiện được và các hành độngcần thiết

Khi gói tin khớp với quy tắc, hiển thị ra thông báo (msg) trong cấu trúc quy tắc Snort đã được

định nghĩa từ trước

 Ghi Lại và Xử Lý:

Ghi Lại Sự Kiện: Snort ghi lại các sự kiện phát hiện được và lưu vào các tệp log hoặc

cơ sở dữ liệu

Gửi Cảnh Báo: Tạo và gửi cảnh báo tới người quản trị hệ thống hoặc hệ thống quản

lý sự kiện bảo mật (SIEM)

 Phản Hồi (Trong Chế Độ IPS):

Ngăn Chặn Kết Nối: Nếu được cấu hình trong chế độ ngăn chặn, Snort có thể thựchiện các hành động như chặn địa chỉ IP hoặc từ chối kết nối để ngăn chặn các mối đe dọa

2.4.1.4 Cấu Hình và Quản Lý Snort

 Tích Hợp với SIEM: Snort có thể tích hợp với hệ thống quản lý sự kiện bảomật (SIEM) để cung cấp cái nhìn tổng quan về các mối đe dọa và các sự kiệnbảo mật.

 Phân Tích và Đánh Giá: Phân tích các log và cảnh báo để đánh giá hiệu quảcủa các quy tắc và cấu hình Snort, điều chỉnh theo nhu cầu bảo mật

 Cập Nhật và Bảo Trì: Đảm bảo rằng Snort và cơ sở dữ liệu quy tắc được cậpnhật thường xuyên để duy trì khả năng phát hiện các mối đe dọa mới

Snort là một công cụ mạnh mẽ cho việc phát hiện và ngăn chặn các cuộc tấn côngmạng, và với khả năng tùy chỉnh cao, nó có thể được cấu hình để đáp ứng nhu cầu bảo mật

cụ thể của các tổ chức khác nhau

2.4.2 Suricata

Suricata là một công cụ phát hiện và ngăn chặn xâm nhập mạng (Intrusion Detectionand Prevention System - IDPS) mã nguồn mở, được phát triển bởi Open InformationSecurity Foundation (OISF) Nó là một sự thay thế mạnh mẽ và hiện đại cho Snort, vớinhiều tính năng nâng cao và khả năng mở rộng Dưới đây là một giới thiệu chi tiết vềSuricata, bao gồm các tính năng chính, cấu trúc, và cách sử dụng

Logo Suricata 2.4.2.1 Khái Niệm Cơ Bản về Suricata

Suricata là một công cụ IDS/IPS và hệ thống phân tích lưu lượng mạng có khả năngthực hiện cả phân tích dựa trên chữ ký và dựa trên hành vi Nó hỗ trợ phân tích lưu lượngmạng theo thời gian thực, cung cấp khả năng phát hiện và ngăn chặn các mối đe dọa bảomật.

2.4.2.2 Các Tính Năng Chính của Suricata

 Phát Hiện Dựa Trên Chữ Ký: Suricata sử dụng cơ sở dữ liệu quy tắc chữ ký đểphát hiện các tấn công đã biết, tương tự như Snort

 Phát Hiện Dựa Trên Anomaly: Suricata có khả năng phân tích hành vi mạng

để phát hiện các bất thường, giúp nhận diện các mối đe dọa mới hoặc chưađược biết đến

 Ngăn Chặn Xâm Nhập (IPS): Suricata có thể hoạt động trong chế độ IPS để tựđộng chặn các kết nối mạng nghi ngờ hoặc hành vi xâm nhập

 Khả Năng Phân Tích Dựng Hình: Suricata hỗ trợ phân tích các giao thức mạngphức tạp như HTTP, DNS, FTP, và SMTP Nó cũng có thể phân tích các tệptin đính kèm để phát hiện các mối đe dọa tiềm tàng

 Ghi Nhận và Báo Cáo: Suricata ghi lại các sự kiện và hoạt động mạng để tạo racác báo cáo chi tiết về các mối đe dọa và sự cố bảo mật

 Hỗ Trợ Nhiều Luồng (Multithreading): Suricata hỗ trợ xử lý đa luồng, giúptăng cường hiệu suất phân tích và xử lý lưu lượng mạng

 Hỗ Trợ Đa Nền Tảng: Suricata có thể chạy trên nhiều hệ điều hành như Linux,Windows, và macOS

2.4.2.3 Cấu Trúc và Hoạt Động của Suricata

 Cấu Trúc Suricata

 Cảm Biến và Trình Phân Tích (Sensor and Analyzer):

Cảm Biến: Suricata thu thập dữ liệu từ lưu lượng mạng thông qua các giao diện mạngcủa hệ thống

Trình Phân Tích: Dữ liệu được phân tích theo thời gian thực để kiểm tra các quy tắcchữ ký, phát hiện hành vi bất thường, và phân tích các giao thức

Chữ Ký Tấn Công: Cung cấp các quy tắc định nghĩa các mẫu tấn công đã biết.Suricata có thể sử dụng các quy tắc từ Snort và các quy tắc của cộng đồng khác.

Tùy Chỉnh Quy Tắc: Người dùng có thể viết và chỉnh sửa các quy tắc để phù hợp vớinhu cầu bảo mật cụ thể

 Giao Diện Người Dùng và Hệ Thống Báo Cáo (User Interface and ReportingSystem):

Giao Diện Điều Khiển: Cung cấp các công cụ để cấu hình và quản lý Suricata, cũngnhư kiểm tra các log và sự kiện

Báo Cáo: Tạo các báo cáo chi tiết về các sự cố phát hiện được và các hành động cầnthực hiện

Gửi Cảnh Báo: Tạo và gửi cảnh báo tới người quản trị hệ thống hoặc hệ thống quản

lý sự kiện bảo mật (SIEM)

 Phản Hồi (Trong Chế Độ IPS):

Ngăn Chặn Kết Nối: Chặn các kết nối mạng nghi ngờ hoặc hành vi xâm nhập theocấu hình đã định

Điều Chỉnh Cấu Hình: Cập nhật cấu hình và quy tắc để nâng cao khả năng bảo mật vàngăn chặn các mối đe dọa

2.4.2.4 Cấu Hình và Quản Lý Suricata

 Phân Tích và Đánh Giá: Phân tích các log và cảnh báo để đánh giá hiệu quảcủa các quy tắc và cấu hình Suricata, điều chỉnh theo nhu cầu bảo mật

 Cập Nhật và Bảo Trì: Đảm bảo rằng Suricata và cơ sở dữ liệu quy tắc được cậpnhật thường xuyên để duy trì khả năng phát hiện các mối đe dọa mới

Suricata là một công cụ mạnh mẽ và linh hoạt cho việc phát hiện và ngăn chặn cáccuộc tấn công mạng, với nhiều tính năng nâng cao và khả năng mở rộng Với khả năng hỗtrợ nhiều luồng, phân tích sâu về giao thức, và khả năng tích hợp với các hệ thống bảo mậtkhác, Suricata là một lựa chọn hàng đầu cho các tổ chức tìm kiếm giải pháp bảo mật mạng

2.4.3 Zeek

Zeek, trước đây được gọi là Bro, là một công cụ phát hiện và phân tích sự kiện mạng

mã nguồn mở nổi tiếng Zeek không chỉ là một hệ thống phát hiện xâm nhập mạng (IDS) màcòn là một nền tảng phân tích mạng mạnh mẽ với khả năng giám sát và phân tích lưu lượngmạng ở mức độ sâu Nó được thiết kế để cung cấp cái nhìn chi tiết về hoạt động mạng vàgiúp các tổ chức phát hiện, phân tích và phản hồi các mối đe dọa bảo mật

Logo Zeek 2.4.3.1 Khái Niệm Cơ Bản về Zeek

Zeek là một công cụ phân tích lưu lượng mạng có khả năng theo dõi và phân tích tất

cả các giao thức mạng và lưu lượng đi qua mạng Nó không chỉ phát hiện các mối đe dọa màcòn cung cấp thông tin chi tiết về các sự kiện mạng, giúp các tổ chức hiểu rõ hơn về hoạtđộng mạng của họ

2.4.3.2 Các Tính Năng Chính của Zeek

 Phân Tích Mạng Toàn Diện: Zeek phân tích tất cả các giao thức mạng, từHTTP và DNS đến các giao thức phức tạp như SIP và FTP Nó cung cấp cáinhìn sâu về các phiên giao tiếp và các hành vi mạng

 Giám Sát và Phát Hiện: Zeek theo dõi lưu lượng mạng và phát hiện các hành vibất thường hoặc mối đe dọa dựa trên các quy tắc và script phân tích

 Ghi Nhận và Lưu Trữ Dữ Liệu: Zeek ghi lại thông tin chi tiết về các sự kiệnmạng, bao gồm các phiên giao tiếp, các truy vấn DNS, các giao dịch HTTP, vànhiều loại sự kiện khác

 Khả Năng Mở Rộng: Zeek hỗ trợ viết các script tùy chỉnh để mở rộng khảnăng phân tích và phát hiện theo nhu cầu của người dùng

 Tích Hợp với Các Công Cụ Khác: Zeek có thể tích hợp với các hệ thống quản

lý sự kiện bảo mật (SIEM), các công cụ phân tích mạng, và các công cụ khác

để cung cấp cái nhìn toàn diện về bảo mật mạng

 Phân Tích Thời Gian Thực: Zeek cung cấp khả năng phân tích và theo dõi sựkiện mạng theo thời gian thực, giúp phát hiện nhanh chóng các mối đe dọa và

sự cố bảo mật

2.4.3.3 Cấu Trúc và Hoạt Động của Zeek

 Cấu Trúc Zeek

 Cảm Biến và Trình Phân Tích (Sensor and Analyzer):

 Cảm Biến: Zeek thu thập dữ liệu từ lưu lượng mạng thông qua các giao diệnmạng của hệ thống

 Trình Phân Tích: Dữ liệu được phân tích theo thời gian thực để phát hiện các

sự kiện mạng và hành vi bất thường

 Cơ Sở Dữ Liệu Quy Tắc và Script (Rule and Script Database):

Script Phân Tích: Zeek sử dụng các script viết bằng ngôn ngữ Zeek Script để xácđịnh các sự kiện và hành vi cần theo dõi Các script này có thể được tùy chỉnh để đáp ứngnhu cầu phân tích cụ thể

Quy Tắc Phát Hiện: Các script có thể được sử dụng để phát hiện các mối đe dọa và sựkiện mạng đáng ngờ

Ví dụ về 1 script của Zeek: ghi lại thông tin chi tiết về các kết nối mạng mới, bao gồm địa chỉ IP

và cổng nguồn cũng như đích, vào log với thông báo “New Connection Found!”

Kết quả của script

 Giao Diện Người Dùng và Hệ Thống Báo Cáo (User Interface and ReportingSystem):

Giao Diện Điều Khiển: Cung cấp công cụ để cấu hình và quản lý Zeek, cũng nhưkiểm tra các log và sự kiện

Sử dụng các trình soạn thảo để kiểm tra file nhật ký của Zeek

Báo Cáo: Tạo báo cáo chi tiết về các sự cố phát hiện được và các hành động cần thựchiện

 Hoạt Động Zeek

 Thu Thập Dữ Liệu: Zeek thu thập lưu lượng mạng từ các giao diện mạng vàchuyển đổi dữ liệu gói tin thành các dạng có thể phân tích

 Tiền Xử Lý Dữ Liệu:

Lọc: Loại bỏ dữ liệu không cần thiết để giảm khối lượng dữ liệu phải phân tích

Chuyển Đổi: Chuyển đổi dữ liệu gói tin thành các cấu trúc dễ dàng phân tích, nhưphân tách các trường dữ liệu quan trọng

 Ghi Lại và Xử Lý:

Ghi Lại Sự Kiện: Ghi lại thông tin chi tiết về các sự kiện mạng và lưu vào các tệp loghoặc cơ sở dữ liệu

Gửi Cảnh Báo: Tạo và gửi cảnh báo tới người quản trị hệ thống hoặc hệ thống quản

lý sự kiện bảo mật (SIEM)

 Phân Tích và Đánh Giá:Phân tích các log và cảnh báo để đánh giá hiệu quả củacác script và cấu hình Zeek, điều chỉnh theo nhu cầu bảo mật

 Cập Nhật và Bảo Trì: Đảm bảo rằng Zeek và các script phân tích được cập nhậtthường xuyên để duy trì khả năng phát hiện các mối đe dọa mới và cải thiệnkhả năng phân tích mạng.

Zeek là một công cụ phân tích mạng mạnh mẽ và linh hoạt, với khả năng giám sát vàphân tích sâu các sự kiện mạng Với khả năng mở rộng và tích hợp với các hệ thống khác,Zeek cung cấp cái nhìn chi tiết về hoạt động mạng và giúp các tổ chức phát hiện và phản hồinhanh chóng các mối đe dọa bảo mật

2.4.4 OSSEC

OSSEC (Open Source Security) là một hệ thống phát hiện xâm nhập và quản lý bảomật mã nguồn mở, chuyên cung cấp các khả năng giám sát, phân tích và bảo mật cho các hệthống và mạng OSSEC nổi bật với khả năng phân tích log, phát hiện hành vi bất thường, vàcung cấp phản hồi cho các mối đe dọa bảo mật

Logo OSSEC 2.4.4.1 Khái Niệm Cơ Bản về OSSEC

OSSEC là một hệ thống IDS (Intrusion Detection System) dựa trên phân tích log vàgiám sát hệ thống Nó cung cấp một cái nhìn toàn diện về trạng thái bảo mật của hệ thống vàmạng bằng cách phân tích log và kiểm tra các sự kiện bảo mật

2.4.4.2 Các Tính Năng Chính của OSSEC

 Phân Tích Log: OSSEC thu thập và phân tích log từ các nguồn khác nhau như

hệ điều hành, ứng dụng, và thiết bị mạng để phát hiện các hoạt động đáng ngờ

và các sự cố bảo mật

 Giám Sát Tập Tin (File Integrity Monitoring): OSSEC kiểm tra sự thay đổitrên các tập tin quan trọng, giúp phát hiện các hành vi không mong muốn hoặccác tấn công vào hệ thống

 Phát Hiện Các Mối Đe Dọa và Hành Vi Bất Thường: OSSEC sử dụng các quytắc và thuật toán để phát hiện các hành vi bất thường hoặc các mối đe dọa bảomật dựa trên phân tích log và trạng thái hệ thống.

 Cảnh Báo và Phản Hồi: OSSEC cung cấp các cảnh báo chi tiết về các sự cố bảomật và có thể thực hiện các hành động phản hồi như tự động chặn IP hoặc gửithông báo cho người quản trị

 Tích Hợp và Tùy Chỉnh: OSSEC có thể tích hợp với các công cụ khác nhưSIEM (Security Information and Event Management) và có thể được tùy chỉnh

để đáp ứng nhu cầu bảo mật cụ thể của tổ chức

 Hỗ Trợ Đa Nền Tảng: OSSEC có thể hoạt động trên nhiều hệ điều hành khácnhau, bao gồm Linux, Windows, và macOS

2.4.4.3 Cấu Trúc và Hoạt Động của OSSEC

 Cấu Trúc OSSEC

 Máy Chủ OSSEC (OSSEC Server):

Quản Lý: Máy chủ OSSEC là trung tâm điều khiển, thu thập và phân tích dữ liệu từcác tác nhân OSSEC (agents) Nó xử lý các cảnh báo, tạo báo cáo và thực hiện các hànhđộng phản hồi

Phân Tích và Điều Khiển: Chạy các quy tắc phân tích log, kiểm tra sự thay đổi tập tin,

và xử lý các sự kiện bảo mật

 Tác Nhân OSSEC (OSSEC Agents):

 Thu Thập Dữ Liệu: Các tác nhân OSSEC được cài đặt trên các hệ thống vàthiết bị, thu thập log, theo dõi sự thay đổi tập tin, và gửi dữ liệu về máy chủOSSEC

 Giám Sát Hệ Thống: Theo dõi các hoạt động trên hệ thống và gửi thông tin vềmáy chủ OSSEC để phân tích

 Giao Diện Quản Lý và Báo Cáo:

 Giao Diện Web: Cung cấp giao diện người dùng để quản lý và cấu hìnhOSSEC, xem các log, cảnh báo, và báo cáo

 Báo Cáo: Tạo các báo cáo chi tiết về các sự cố và mối đe dọa bảo mật

Giao diện báo cáo OSSEC 2.4.4.4 Hoạt Động OSSEC

 Thu Thập và Phân Tích Dữ Liệu:

 Thu Thập Log: Các tác nhân OSSEC thu thập log từ hệ thống và gửi về máychủ OSSEC

 Phân Tích Log: Máy chủ OSSEC phân tích các log dựa trên các quy tắc đã cấuhình để phát hiện các sự kiện và hành vi đáng ngờ