NGUYỄN VIỆT DŨNG BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Họ tên tác giả luận văn Nguyễn Việt Dũng CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN TÊN ĐỀ TÀI LUẬN VĂN Nghiên cứu phương pháp công cụ hỗ trợ quản trị giám sát an toàn – an ninh mạng LUẬN VĂN THẠC SĨ KỸ THUẬT KHOÁ 2012B Hà Nội – Năm 2015 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Họ tên tác giả luận văn Nguyễn Việt Dũng TÊN ĐỀ TÀI LUẬN VĂN Nghiên cứu phương pháp công cụ hỗ trợ quản trị giám sát an toàn – an ninh mạng Chuyên ngành : Công Nghệ Thông Tin LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN: TS TRẦN ĐỨC KHÁNH Hà Nội – Năm 2015 Mục lục LỜI CAM ĐOAN Danh mục ký hiệu, chữ viết tắt Danh mục hình ảnh Mở đầu Chương 1: Tiếp cận khái niệm lĩnh vực NSM 1.1 Chu Kỳ NSM 1.1.1 Collection 1.1.2 Detection 1.1.3 Analysis 1.2 NSM Data Type - Các kiểu liệu phạm vi NSM xử lý 1.2.1 Session Data 1.2.2 Full Packet Capture Data (FPC Data) 1.2.3 Packet string Data 1.2.4 Statistical Data 1.2.5 Log Data 1.2.6 Alert Data Chương 2: Nghiên cứu cách thức thu thập NSM Data 2.1 Chiến lược thu thập liệu 6 2.1.1 Define Threats - Xác định mối đe dọa tới hệ thống 2.1.2 Quantify Risk - Đánh giá rủi ro, mức độ thiệt hại 2.1.3 Identify Data Feeds - Xác định nguồn liệu cần bảo mật 2.1.4 Narrow Focus - Tập trung bảo mật nguồn liệu xác định 2.2 Xây dựng cảm biến thu thập 11 2.2.1 Các loại cảm biến 11 2.2.2 Phần cứng cảm biến 12 2.3 Nghiên cứu số công cụ thu thập log 16 2.3.1 Thu thập session data với Argus 16 2.3.2 Thu thập Full Packet Capture Data (FPC Data) với Netsniff-NG 19 2.3.3 Thu thập PSTR Data với Justniffer 21 Chương 3: Phát xâm nhập mạng 3.1 Tìm hiểu chi số IOC Signatures 23 23 3.1.1 IOC dựa Host Network 24 3.1.2 Phân loại IOC 24 3.1.3 Tính phát triển, kế thừa đào thải IOC 25 3.1.4 Quản lý IOC Signature 25 3.1.5 Quản lý IOC Signature đơn giản với CSV 26 3.1.6 IOC Signature Frameworks 26 3.2 Nghiên cứu hệ thống Bro IDS 27 3.2.1 Nền tảng Bro 27 3.2.2 Phát cảnh báo công Brute-Force với Bro IDS 34 Chương 4: Phân tích liệu mạng 40 4.1 Tìm hiểu gói tin 40 4.2 Bộ lọc gói tin Bakerley Packet Filters (BPF) 42 4.3 Giải pháp xây dựng hệ thống lưu trữ phân tích log môi trường doanh nghiệp với ElasticSearch, Logstash Kibana 44 4.3.1 Giới thiệu ElasticSearch, logstash, Kibana 4.3.2 Xây dựng hệ thống lưu trữ, quản lý phân tích log HTTP tích hợp hệ thống Bro IDS môi trường mạng doanh nghiệp 44 45 Kết luận 55 Tài liệu tham khảo 57 LỜI CAM ĐOAN Tôi xin cam đoan công trình nghiên cứu riêng Các số liệu kết Luận văn trung thực chưa công bố công trình Tôi xin cam đoan giúp đỡ cho việc thực Luận văn cảm ơn thông tin trích dẫn Luận văn rõ nguồn gốc Học viên thực luận văn Nguyễn Việt Dũng Danh mục ký hiệu, chữ viết tắt Từ viết tắt ET Diễn giải Applied Collection Framework Bakerley Packet Filters Central Processing Unit Damn Vulnerable Web Application Emerging Threats FPC Full Packet Capture HIDS IOC Host Intrusion Detection System Intrusion Detection System Indicators of compromise IRC Internet Relay Chat NIDS P2P PSTR RTFM Network Intrusion Detection System Network Security Monitoring Peer to Peer Packet String Data Real-time Flows Monitor SQLi SQL Injection TTL Time To Live VRT Vulnerability Research Team SO Security Onion XSS Cross Site Scripting ACF BPF CPU DVWA IDS NSM Dịch nghĩa Phương pháp ứng dụng thu thập liệu Bộ lọc gói tin Bakerley Bộ xử lý trung tâm Ứng dụng thực hành công Web Bộ Rule Emerrging Threats Snort Thu thập liệu gói đầy đủ Hệ thống phát xâm nhập máy chủ Hệ thống phát xâm nhập Các chi số thỏa hiệp Hệ thống nhắn tin thời gian thực Hệ thống phát xâm nhập mạng Giám sát an ninh mạng Kết nối điểm điểm Dữ liệu dạng chuỗi Giám sát liệu mạng thời gian thực Tấn công phá hoại câu lệnh truy vấn SQL Thời gian gói tin mạng đến địa chi đích Đội nghiên cứu lỗ hổng bảo mật chuyên cung cấp Rule cho Snort Tên hệ điều hành giám sát an ninh mạng Tấn công chèn mã độc vào ứng dụng Web Danh mục hình ảnh Hình 1: Mô tả chu kỳ NSM Hình 2: Mô tả NSM data type .5 Hình 3: Mô tả bốn bước xác định kế hoạch thu thập liệu Hình 4: Giao diện trình tạo IOC Webpage OpenIOC .26 Hình 5: Danh sách trường thông tin file HTTP log Bro 29 Hình 6: Nguyễn mẫu thông báo Bro phát kịch công Brute-Force 39 Hình 7: Mô tả gói tin capture Wireshark 41 Hình 8: Chuyển đổi dạng nhị phân hệ thập lục phân 42 Hình 9: Mô tả cú pháp lọc BPF 43 Hình 10: Hệ thống Website quản trị doanh nghiêp 45 Hình 11: Cơ chế hoạt động hệ thống lưu trữ, quản lý phân tích log với ElasticSearch, Logstash Kibana 48 Hình 12: Cấu hình Logstash-Forwarder 49 Hình 13: Cấu hình thông số truyền tiếp thông tin Logstash-Forwader Logstash server 50 Hình 14: Kiểm tra lọc trường thông tin Logstash đánh chi mục để gửi đến ElasticSearch .50 Hình 15: Giao diện Kibana với cột hiển thị lưu lượng HTTP thời gian thực 51 Hình 16: Mô tả thống kê http status code, top 10 ip chiếm session,geoip Kibana 52 Hình 17: Monitor Storage ElasticSearch với plugin Kopf 53 Hình 18: Monitor CPU, RAM, Process ElasticSearch với plugin bigdesk .54 Mở đầu Trong giới mạng ngày nay, ngày nhiều xuất tổ chức hacker phát hiện, tổ chức tập hợp đông đảo hacker toàn giới hậu thuẫn tiềm lực kinh tế mạnh mẽ Xu hướng thay đổi, cách khoảng năm năm, công mạng diễn giới hầu hết công vừa nhỏ chủ yếu vào người dùng đơn lẻ, hay doanh nghiệp Nhưng năm trở lại tổ chức tội phạm mạng công khai công vào tập đoàn lớn, máy an ninh phủ, xâm phạm liệu bảo mật mang tính trị Các công đánh sập hệ thống công ty lớn chuyện không Gần Việt Nam, vào tháng 10 năm 2014 hệ thống công ty thương mại điện từ hàng đầu Việt Nam bị đánh sập hoàn toàn sau đêm, với hình thức công cho có tính triệt hạ kẻ công xóa toàn liệu máy chủ hệ thống Toàn công ty lao đao cung cấp dịch vụ, thứ kiếm tiền trả lương cho hàng nghìn nhân viên công ty chốc ngừng lại vô thời hạn Có nhiều câu hỏi đặt cho mục đích kẻ công, thật quan trọng tương lai hàng nghìn người bị đặt dấu hỏi công ty vực dậy sau biến cố Dù nhằm vào mục đích trị hay cạnh tranh kinh tế người thiệt hại lớn người làm việc tổ chức bị công Bản thân em kỹ sư công nghệ thông tin công ty truyền thông chịu ảnh hưởng công mạng Đây lí thúc em chọn đề tài Nghiên cứu giải pháp công cụ giám sát an toàn – an ninh mạng Bài toán em đặt sau hoàn thành nghiên cứu lĩnh vực giám sát an toàn – an ninh mạng xây dựng hệ thống giám sát an ninh mạng, bao gồm công đoạn: - Xây dựng cảm biến thu thập mạng kết hợp với công cụ thu thập liệu mã nguồn mở để làm sở liệu cho hệ thống phát xâm nhập mạng hệ thống phân tích log - Nghiên cứu giải pháp phát xâm nhập mạng cách tìm hiểu, xây dựng cách vận hành hệ thống IDS mã nguồn mở Mục đích đặt vận hành hệ thống IDS bảo vệ an ninh cho hệ thống mạng - Tính toán, xây dựng hệ thống lưu trữ, quản lý log để thực phân tích Tìm hiểu công cụ mã nguồn mở lĩnh vực quản lý log hệ thống, network Các công cụ hỗ trợ hình ảnh, đồ họa trực quan tích hợp với hệ thống lưu trữ log đưa cách nhìn toàn cảnh rõ ràng cho công phân tích mạng Trong giai đoạn nghiên cứu để xây dựng hệ thống giám sát an ninh mạng em đưa vào Luận văn giải pháp nghiên cứu để giải khó khăn cho giai đoạn Cụ thể Luận văn em phân tách ba tác vụ cho hệ thống giám sát an toàn – an ninh mạng dựa vào yếu tố nêu trên, tác vụ thu thập liệu (Chương 2), tác vụ thứ hai Phát xâm nhập (Chương 3), tác vụ cuối xây dựng sở phân tích (Chương 4) Tác vụ tác vụ thu thập liệu, phần em đưa ba vấn đề để giải hoạch định chiến lược thu thập, xây dựng cảm biến, sử dụng giải pháp công cụ thu thập mã nguồn mở phù hợp với chiến lược hoạch định tảng cảm biến đáp ứng Trong tác vụ này, vấn đề hoạch định chiến lược thu thập liệu nhấn mạnh khâu quan trọng Việc xác định rõ yêu cầu bảo mật hệ thống, tính toán đánh giá mối nguy hiểm tiềm tàng hệ thống đưa để giải toán đầu vào cho hệ thống giám sát an toàn – an ninh mạng Qua Chương Luận văn, em muốn nhấn mạnh vào tầm quan trọng việc xác định rõ nhu cầu hệ thống, xem sở để xây dựng hệ thống giám sát an toàn – an ninh mạng hiệu Chương dành nghiên cứu công cụ IDS Trong hệ thống giám sát thiếu khả phát xâm nhập Đây phạm vi hoạt động hệ thống IDS Tác vụ phát hệ thống giám sát an toàn – an ninh mạng nằm giá trị tập Rule IDS Hệ thống IDS rà soát Một lọc sử dụng cú pháp BPF gọi biểu thức BPF Những biểu thức có quy tắc cấu trúc riêng, báo gồm nhiều giá trị nguyên thủy khai thác Một giá trị nguyên thủy sử dụng lọc chúng bao gồm nhiều giá trị nguyên thủy lọc Hình 9: Mô tả cú pháp lọc BPF Trong ví dụ ta thấy xuất số giá trị nguyên thủy lọc UDP port 53 địa máy chủ đích 192.0.2.2 Giá trị nguyên thủy nằm bên udp port, giá trị 53 Các giá trị nguyên thủy thứ hai dst host 192.0.2.2 Cả hai loại giá trị nguyên thủy kết hợp thành lọc qua ký tự nối && để tạo thành biểu thức Dựa vào cú pháp BPF giới thiệu ta hoàn toàn sử dụng cách hữu ích vài giao thức cụ thể Đây giới hạn kỹ thuật lọc kể Điểm mạnh BPF can thiệp lọc vào sâu header giao thức TCP/IP Ví dụ muốn kiểm tra Time to Live (TTL) gói tin IPv4 để cố gắng lọc kiến trúc hệ điều hành tồn hệ thống, thiết bị chạy Windows thường sử dụng TTL=128 máy chủ Linux sử dụng TTL=64 Điều có nghĩa ta phải tạo biểu thức lọc BPF để kiểm tra vào trường TTL IP header Bằng cách sử dụng đồ gói tin ta xác định vị trí TTL nằm vị trí 0x8 Với thông tin ta tạo biểu thức BPF để nói với tcpdump header giao thức cần kiểm tra Và sau thực đếm đến giá trị mà trường TTL sở hữu Và kết biểu thức BPF để thực mục đích trên: ip[8]>64 Nguyễn Việt Dũng – 2012BCNTT1 Trang 43 Biểu thức khai báo với tcpdump phải kiểm tra giá trị thứ tám bắt đầu đếm từ TCP header Nếu giá trị trường lớn 64, phù hợp trích xuất Giải pháp xây dựng hệ thống lưu trữ phân tích log môi 4.3 trường doanh nghiệp với ElasticSearch, Logstash Kibana 4.3.1 Giới thiệu ElasticSearch, logstash, Kibana 4.3.1.a Elastichsearch Elasticsearch công cụ hỗ trợ việc tìm kiếm kết cách nhanh chóng Nó trả kết nhanh thay việc tìm kiếm text tìm kiếm số (index) gắn với từ Có thể tưởng tượng lấy trang có chứa từ ngữ liên quan đến từ cần tìm kiếm thay vào trang tìm kiếm từ có trang hay không Kiểu index mà elasticsearch dùng inverted index ElasticSearch hỗ trợ mapping số kiểu liệu geo_point, geo_shape Ngoài ra, ElasticSearch cung cấp chức filter aggregation, để giải vấn đề như: Tìm điểm gần nhất, hay thống kê có điểm khu vực cho trước 4.3.1.b Logstash Logstash công cụ sử dụng để thu thập, xử lý log, viết Java, nhiệm vụ logstash thu thập log, phân tích ( đánh index) sau lưu trữ tất vào Elasticsearch LogStash công cụ dùng để quản trị tập trung log, nữa, sách TheLogStashBook miêu tả LogStash hệ sinh thái (EcoSystem) bao gồm nhiều thành phần LogStash cung cấp Framework tích hợp cho việc thực công việc liên quan đến thu thập log, tập trung log, phân tích thành phần log, lưu trữ log, tìm kiếm log LogStash công cụ nguồn mở theo giấy phép Apache 2.0 có nhiều chế thu thập nguồn liệu đầu vào, chẳng hạn TCP/UDP, Syslog, Windows Event log, file, STDIN, thể loại khác Đó liệu đầu vào, liệu đầu LogStash cho phép thích hợp với nhiều hệ Nguyễn Việt Dũng – 2012BCNTT1 Trang 44 thống khác TCP/UDP, email, files, HTTP, Nagios, … LogStash sử dụng kết hợp với nhiều công cụ cảnh báo, vẽ biểu đề, hệ thống lưu trữ riêng, xây dựng hệ thống tích hợp riêng môi trường cụ thể 4.3.2 Xây dựng hệ thống lưu trữ, quản lý phân tích log HTTP tích hợp hệ thống Bro IDS môi trường mạng doanh nghiệp  Quy mô hệ thống: o Hệ thống hoạt động môi trường doanh nghiệp tải cao o Phục vụ lượng truy cập tới Website khu vực toàn Miền Bắc o Cung cấp hạ tầng hệ thống quản trị 80 Website báo điện tử Hình 10: Hệ thống Website quản trị doanh nghiêp Hệ thống Website tổ chức  Yêu cầu: o Giám sát, thu thập thông tin lưu lượng truy cập HTTP đến hệ thống theo thời gian thực:  URL  HTTP type  IP client  Client port Nguyễn Việt Dũng – 2012BCNTT1 Trang 45  Time request, duration, queue, backend_response  Action connect, feconnect  http status code o Yêu cầu lưu trữ log 10 ngày o Thống kê phân tích lượng truy cập theo:  Khu vực  Timestamp  Danh sách IP truy cập chiếm dụng session  Thống kê mã trạng thái HTTP status codes o Chi phí vừa phải  Tính toán số liệu giải yêu cầu đặt ra: o Dung lượng log xử lý ngày: thống kê từ log HAProxy.log thực ngày = 200GB o Hệ thống lưu trữ: Hệ thống lưu trữ cần phân vùng trống 200GB x 10 = 2TB để đáp ứng đủ thời gian lưu trữ 10 ngày  Các công cụ thu thập, xử lý, phân tích thống kê log sử dụng giải pháp công cụ mã nguồn mở: o Thu thập Log: Sử dụng Log HAProxy.log hệ thống HAProxy sẵn có o Log Agent: Logstash-Forwarder o Audit Log: Logstash o Lưu trữ quản lý log: ElasticSearch o Giám sát: Kibana (Web-based)  Giải pháp hạ tầng, phần cứng: o Đường truyền với băng thông 1Gbps o server cài đặt logstash, ElasticSearch, Kibana:  Cấu hình server: 2xCPU 8core + 8GB Ram + 2TB Storage  Giải pháp xử lý thông tin môi trường tải cao: o Server Logstash - sử dụng công nghệ Ram Disk cho việc xử lý log Nguyễn Việt Dũng – 2012BCNTT1 Trang 46 o Server ElasticSearch - Sử dụng công nghệ Cluster tăng tốc độ xử lý truy xuất log  Các tác vụ hoạt động hệ thống: o Hệ thống thu thập log: Sử dụng Bro để thu thập log HTTP, đồng thời Bro mang chức IDS phát request HTTP nhiễm độc, mang dấu hiệu công mạng o Log agent: Sử dụng Logstash-Forwarder Logstash-Forwarder cấu hình để đọc ghi từ HTTP.log Bro thu thập Sau chuyển hệ thống Logstash để xử lý o Logstash : Hệ thống audit Log  Xử lý, đánh mục  Trích xuất thông tin đánh mục chuyển tới hệ thống lưu trữ, quản lý log ElasticSearch  Cấu hình Ram Disk tăng tốc độ xử lý log o ElasticSearch: Quản lý, lưu trữ log  Quản lý log theo mục Logstash gửi  Chức tìm kiếm thống kê  Truy vết, phân tích log statistical  Sử dụng công nghệ Cluster tăng tốc độ tìm kiếm phân tích o Kibana: Cung cấp giao diện Web để tìm kiếm hiển thị log  Trình diễn thống kê thông tin tìm kiếm từ ElasticSearch Nguyễn Việt Dũng – 2012BCNTT1 Trang 47 Hình 11: Cơ chế hoạt động hệ thống lưu trữ, quản lý phân tích log với ElasticSearch, Logstash Kibana  Cấu hình hệ thống: o Cấu hình Logstash-Forwader:  Khai báo địa server port gửi log tới Logstash: “10.3.17.152:5000”  Khai báo đường dẫn đến file HAProxy.log để lấy liệu đẩy Logstash: /var/log/haproxy/haproxy.log  Khai báo kiểu trường thông tin duyệt thu thập thông tin HAProxy.log: “type” “haproxy” Nguyễn Việt Dũng – 2012BCNTT1 Trang 48 Hình 12: Cấu hình Logstash-Forwarder o Cấu hình Logstash:  Port => 5000  Type => haproxy  Cấu hình thông tin đánh mục  Cấu hình geoip  Cấu hình đầu log đánh mục gửi tới hệ thống lưu trữ ElasticSearch Nguyễn Việt Dũng – 2012BCNTT1 Trang 49 Hình 13: Cấu hình thông số truyền tiếp thông tin Logstash-Forwader Logstash server Hình 14: Kiểm tra lọc trường thông tin Logstash đánh chi mục để gửi đến ElasticSearch o Cấu hình Ram Disk Server Logstash  Tạo thư mục Ram disk: mkdir /mnt/ramdisk  Mount thư mục ram disk vào nhớ ram: mount -t tmpfs -o size=512mb tmps /mnt/ramdisk  Đưa lệnh tạo ramdisk vào fstab để server khởi động lai hệ thống tự tạo ramdisk /etc/fstab: /mnt/ramdisk tmpfs tmpfs nodev,nosuid,noexec,nodiratime,size=512M 0 o Cấu hình ElasticSearch cluster: /opt/elasticsearch/config/elasticsearch.yml  Node 1:  cluster.name: LOGCENTER  node.name: "node1"  node.master: true  node.data: true  discovery.zen.ping.multicast.enabled: false Nguyễn Việt Dũng – 2012BCNTT1 Trang 50  discovery.zen.ping.unicast.hosts: ["node1.example.com"]  Node 2:  cluster.name: LOGCENTER  node.name: "node2"  node.master: false  node.data: true  discovery.zen.ping.multicast.enabled: false  discovery.zen.ping.unicast.hosts: ["node1.example.com"] Các node cấu hình tương tự với node o Cấu hình Kibana: /opt/kibana/config/kibana.yml  Khai báo địa IP address : localhost Kết sau xây dựng, hệ thống vào hoạt động Hình 15: Giao diện Kibana với cột hiển thị lưu lượng HTTP thời gian thực Nguyễn Việt Dũng – 2012BCNTT1 Trang 51 Hình 16: Mô tả thống kê http status code, top 10 ip chiếm session,geoip Kibana  Cài đặt ElasticSearch-Curator tự xóa log khoảng thời gian định sẵn Trong thực tế với hệ thống lưu trữ log với khối lượng log lớn đổ hệ thống lưu trữ hàng ngày, cần phải có quy trình tự động xóa log theo khoảng thời gian định ElasticSearch hỗ trợ công cụ nhỏ ElasticSearch-Curator Cài đặt ElasticSearch-Curator: sudo apt-get install python-pip && pip install elasticsearch-curator Sau đưa ElasticSearch-Curator vào crontab cấu hình curator tự xóa hết log khoảng thời gian định sẵn: 20 * * * /usr/local/bin/curator host 127.0.0.1 -d 10 -c Như lệnh trên, curator đóng tất log có thời hạn ngày thực xóa tất log 10 ngày Lệnh thực vào thời gian 0h20 phút hàng ngày  Giám sát hoạt động ElasticSearch ElasticSearch hỗ trợ nhiều Plugin để giám sát hoạt động ElasticSearch Việc giám sát quan trọng hệ thống cốt lõi thống kê lưu trữ log tính toán đưa kết phân tích ElasticSearch hỗ trợ số plugin để giám sát Nguyễn Việt Dũng – 2012BCNTT1 Trang 52 hoạt động plugin ElasticSearch-kopf giám sát hoạt động vùng lưu trữ log, ElasticSearch-bigdesk giám sát hoạt động CPU, RAM, tiến trình Process Các plugin cần thiết để bảo đảm hệ thống lưu trữ giám sát chặt chẽ Cài đặt: cd /opt/elasticsearch-1.4.4 bin/plugin install lmenezes/elasticsearch-kopf bin/plugin install lukas-vlcek/bigdesk Sau truy cập vào trình duyệt gõ địa chi theo đường dẫn: http:// IP address:9200/_plugin/kopf http:// IP address:9200/_plugin/bigdesk Hình 17: Monitor Storage ElasticSearch với plugin Kopf Nguyễn Việt Dũng – 2012BCNTT1 Trang 53 Hình 18: Monitor CPU, RAM, Process ElasticSearch với plugin bigdesk Với hệ thống xây dựng, không chi có chức thông kê, lưu trữ mà dựa vào liệu thống kê cách tường minh hệ thống, nhà phân tích phát điểm bất thường lưu lượng mạng dựa vào số thống kê HTTP status code, top 10 IP chiếm session, thống kê lượng truy cấp dựa vào location geoip khả để phát nguồn gốc công DDOS Để nâng cao khả cảnh báo phát xâm nhập, hệ thống tùy biến cài đặt công cụ IDS Snort, Suricata, Bro để xây dựng tường bảo vệ chắn cho hệ thống, làm cho hệ thống lưu trữ, phân tích, thống kê log xây dựng trở nên hoàn thiện Nguyễn Việt Dũng – 2012BCNTT1 Trang 54 Kết luận Trong Luận văn này, em bước nghiên cứu toán đặt phần mở đầu Luân văn giới thiệu Một hệ thống đặt với vai trò giám sát an ninh mạng phải hội đủ chức năng, thu thập liệu mạng, xây dựng sở liệu mạng, phát phòng vệ bảo đảm tính an toàn – an ninh mạng, sở phân tích liệu thống kê, quản lý, lưu trữ, khả cho phép rà soát truy vết dấu hiệu bất thường từ liệu thống kê Để xây dựng hệ thống giám sát an toàn – an ninh mạng hiệu Vấn đề quan trọng phải xác định yêu cầu hệ thống cần bảo mật gì? Luận văn đưa luận điểm việc xây dựng chiến lược thu thập liệu gồm bước: Xác định mối đe dọa, đánh giá mức độ thiệt hại rủi ro, xác định nguồn liệu cần bảo mật, tập trung bảo vệ nguồn liệu cần bảo mật Các tính toán thiết kế cảm biến thu thập đưa công cụ thu thập giải pháp phân tích chương Kết thúc chương Luận văn hoàn thành yêu cầu đặt giải vấn đề tác vụ thu thập liệu hệ thống giám sát an ninh mạng Hệ thống Bro IDS đề cập chương nhằm giải vấn đề tác vụ phát xâm nhập hệ thống giám sát an toàn – an ninh mạng Luận văn hoàn thành việc nghiên cứu cách thức vận hành, nghiên cứu chế hoạt động cấu trúc Bro script để thực việc phân tích phát xâm nhập Chương cuối với mục đích đặt xây dựng hệ thống lưu trữ, quản lý, thống kê phân tích log Trong mô hình hệ thống phân tích log em đưa ra, hệ thống mở tùy biến phát triển thực tế Với cốt lõi hệ thống có khả lưu trữ, truy xuất, thống kê phân tích log, ta tích hợp công cụ IDS Snort, Suricata, hay tảng Bro để đưa vào hệ thống Hiệu xử lý phát xâm nhập hoàn thiện có tính ứng dụng cao thực tế Kết thúc chương 4, vấn đề đặt xây dựng giải pháp lưu trữ, quản lý, thống kê phân tích log môi Nguyễn Việt Dũng – 2012BCNTT1 Trang 55 trường doanh nghiệp hoàn thành, với khả ứng dụng mở rộng hệ thống cung cấp giải pháp linh hoạt dựa vào hệ thống quản lý, thống kê log Qua trình nghiên cứu, thu thập kiến thức với hướng dẫn định hướng Thầy T.S Trần Đức Khánh, em có tảng kiến thức lĩnh vực giám sát an toàn – an ninh mạng đủ để hoạch định, thiết kế hệ thống giám sát an ninh mạng Thực công bảo vệ mạng với giải pháp sử dụng hệ thống IDS, tùy biến tập Rule để nâng cao giá trị tính phát hệ thống IDS Luận văn hoàn thành bước xây dựng, tính toán vận hành hệ thống lưu trữ, quản lý thống kê log để đưa số, nhìn cụ thể lĩnh vực phân tích, truy vết dấu hiệu xâm phạm mạng Nguyễn Việt Dũng – 2012BCNTT1 Trang 56 Tài liệu tham khảo AndrewLockhart (2006), Network Security Hack 2nd, O’Reilly Media, Inc., USA CharlieScott, PaulWolfe, BertHayes (2004), Snort For Dummies, Wiley Publishing, Inc., Indiana ChrisFry, MartinNystrom (2009), Security Monitoring, O’Reilly Media, Inc., USA ChrisSanders(2013), Applied Network Security Monitoring, Elsevier Inc, USA ChrisSanders (2011), Practical Packet Analysis Using Wireshark To Solve Real – World Network Problem 2nd Edition, William Pollock, San Francisco JohnAycock (2006), Computer Viruses and Malware, Springer, Canada RichardBejtlich (2013),The Practice Of Network Security Monitoring, William Pollock, San Francisco RichardBejtlich (2004), The Tao Of Network Security Monitoring, Addison Wesley, USA StuartMcClure, JoelScambray, GeorgeKurtz (2009), Hacking Exposed 6: Network Security Secrets & Solutions, The McGraw-Hill, USA Nguyễn Việt Dũng – 2012BCNTT1 Trang 57 ... DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI Họ tên tác giả luận văn Nguyễn Việt Dũng TÊN ĐỀ TÀI LUẬN VĂN Nghiên cứu phương pháp công cụ hỗ trợ quản trị giám sát an toàn – an. .. sư công nghệ thông tin công ty truyền thông chịu ảnh hưởng công mạng Đây lí thúc em chọn đề tài Nghiên cứu giải pháp công cụ giám sát an toàn – an ninh mạng Bài toán em đặt sau hoàn thành nghiên. .. hoàn thành nghiên cứu lĩnh vực giám sát an toàn – an ninh mạng xây dựng hệ thống giám sát an ninh mạng, bao gồm công đoạn: - Xây dựng cảm biến thu thập mạng kết hợp với công cụ thu thập liệu mã