Đang tải... (xem toàn văn)
Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)Nghiên cứu về hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính LÀO – LaoCERT (LV thạc sĩ)
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - THIENXAY BOLIBOUN NGHIÊN CỨU VỀ HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG CHO TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH LÀO - LaoCERT LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI – 2017 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - THIENXAY BOLIBOUN NGHIÊN CỨU VỀ HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG CHO TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH LÀO - LaoCERT CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS HOÀNG ĐĂNG HẢI HÀ NỘI – 2017 i LỜI CAM ĐOAN Trước hết em xin gửi lời cảm ơn chân thành đến thầy cô trường Học viện Công nghệ Bưu Viễn thông nói chung, thầy cô Khoa Quốc tế Đào tạo sau đại học nói riêng, truyền đạt kiến thức quý báu cho em suốt trình học tập Đặc biệt, trình làm đề tài luận văn em xin gửi lời cảm ơn sâu sắc tới PGS.TSKH Hoàng Đăng Hải (Phó Giám đốc Học viện Công nghệ Bưu Viễn thông) người tận tình định hướng, hướng dẫn em hoàn thành luận văn tốt nghiệp Trong trình làm luận văn, em Trung tâm ứng cứu khẩn cấp máy tính Lào (LaoCERT) tạo điều kiện thuận lợi cung cấp cho em số trang thiết bị, máy chủ thông tin tài liệu hữu ích cảm ơn tới Trung tâm ứng cứu khẩn cấp máy tính Việt nam (VNCERT) cung cấp cho em số tài liệu hữu ích, chia sẻ kinh nghiệm hệ thống giám sát an toàn mạng Nhân dịp này, em xin bày tỏ lòng biết ơn sâu sắc tới hỗ trợ quý báu Tôi xin cam đoan công trình nghiên cứu riêng hướng dẫn PGS.TSKH Hoàng Đăng Hải Các số liệu, kết nêu luận văn trung thực chưa công bố công trình khác Hà Nội, tháng 08 năm 2017 Tác giả luận văn ký ghi rõ họ tên THIENXAY BOLIBOUN ii MỤC LỤC Trang Lời cam đoan i Mục lục ii Danh mục từ viết tắt v Danh mục hình vẽ vii LỜI MỞ ĐẦU Chương I TỔNG QUAN VỀ GIÁM SÁT AN TOÀN MẠNG 1.1 Giới thiệu chương 1.2 Tổng quan số loại công mạng điển hình 1.2.1 Các giai đoạn trình công mạng 1.2.2 Tấn công thăm dò 1.2.3 Tấn công từ chối dịch vụ 1.2.4 Một số loại công khác 1.3 Nhu cầu vai trò hệ thống giám sát an toàn mạng 16 1.4 Kiến trúc hệ thống mạng Internet Lào khả triển khai áp dụng hệ thống giám sát an toàn mạng 18 1.5 Kết luận chương 19 Chương II CÁC THÀNH PHẦN HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG 20 2.1 Giới thiệu chương 20 2.2 Mô hình kiến trúc hệ thống giám sát an toàn mạng 20 2.2.1 Mô hình chức hệ thống giám sát an toàn mạng 21 2.2.2 Thành phần trung tâm hệ thống giám sát an toàn mạng 21 2.2.3 IP sec VNP gateway 22 2.2.4 IDS / IPS 22 2.3 Các chức tối thiểu hệ thống giám sát an toàn mạng 22 2.3.1 Bốn hoạt động thiết yếu 22 iii 2.3.2 Các chức chủ yếu hệ thống giám sát an toàn mạng 23 2.3.3 Các kỹ thuật phân tích 24 2.3.4 Các kỹ thuật phát 24 2.3.5 Cảnh báo hệ thống giám sát an toàn mạng 25 2.4 Kiến trúc hệ thống thu thập thông tin 26 2.4.1 Kiến trúc hệ thống 26 2.4.2 Các thiết bị phục vụ thu thập mẫu, thu thập thông tin 27 2.4.3 Các module 30 2.5 Một số phương pháp phát bất thường 31 2.6 Các mô hình điển hình cho phát bất thường 33 2.6.1 Nhóm mô hình thống kê 34 2.6.2 Nhóm mô hình dựa vào tri thức 35 2.6.3 Nhóm mô hình dựa vào khai phá liệu (Data mining) 36 2.6.4 Nhóm mô hình học máy (Machine Learning Models) 36 2.7 Kết luận chương 38 Chương III TRIỂN KHAI HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG TỐI THIỂU CHO LAOCERT 39 3.1 Giới thiệu chương 39 3.2 Kiến trúc hệ thống thu thập thông tin từ mạng 39 3.3 Hệ thống trung tâm giám sát an toàn mạng LaoCERT 41 3.4 Vấn đề truyển liệu từ Sensor trung tâm 42 3.5 Một số tiện ích phần mềm hệ thống giám sát 43 3.5.1 Phần mềm Snort 43 3.5.2 Phần mềm Suricata 46 3.6 Demo số kết thử nghiệm 48 3.6.1 Tải Snort mạng để cài đặt 47 3.6.2 Khởi tạo Snort Suricata cho việc phát xâm nhập 52 3.6.3 Cấu hình Snort Suricata 53 3.7 Khả triển khai cho quan, tổ chức, doanh nghiệp Lào 60 iv 3.8 Kết luận chương 60 KẾT LUẬN 61 TÀI LIỆU THAM KHẢO 63 v DANH MỤC TỪ VIẾT TẮT Từ viết Tiếng Anh Tiếng Việt tắt CSDL Database File System Hệ thống file sở liệu DNS Domain Name System Hệ thống tên miền IDS Intrusion Detection System Hệ thống phát đột nhập Internet Control Massage Giao thức điểu kiển Internet IP Internet Protocol Giao thức mạng Internet IPS Internet Protection System Nhà cung cấp dịch vụ mạng ICPM Internet FTP File Transfer Protocol Giao thức truyền tập tin NSM Network Security Monitoring Hệ thống giám sát an toàn mạng Network Intrusion Detection Sys Hệ thống phát đột nhập tem mạng NFS Network File System Hệ thống flie LAN Local Area Network Mạng cục Lao Computer Emergency Respon Trung tâm ứng cứu khẩn cấp se Team máy tính Lào NIDS LaoCERT vi LANIC Lao National Internet Center Trung tâm mạng Internet quốc gia Lào SIEM SNMP Security information and Event Hệ thống thu thập thông tin Manager phân tích liệu Simple Network Management Pro Giao thức sử dụng để giám sát tocol SMTP Simple Mail transfer Protocol Giao thức truyền thư SVM Support Vector Machines Hổ trợ máy Vector TCP Transmission Control Protocol Bộ giao thức Internet UDP User Datagram Protocol Những gói tin có điểm xuất phát điểm đích xác định WAN Wide Area Network Khung kết nối mạng vii DANH MỤC HÌNH VẼ Trang Hình 1.1: Tấn công kiểu Syn Flood Hình 1.2: Tấn công kiểu DDoS Hình 1.3: Tấn công kiểu DRDoS Hình 1.4: Tấn công kiểu Smurf Attack Hình 1.5: Tấn công kiểu giả mạo địa IP Hình 1.6: Tấn công kiểu nghe trộm 10 Hình 1.7: Tấn công kiểu người đứng 10 Hình 1.8: Tấn công kiểu Social Engineering 11 Hình 1.9: Tấn công kiểu phishing 11 Hình 1.10: Tấn công kiểu Pharming 12 Hình 1.11: Tấn công ứng dụng Web 13 Hình 1.12: Chèn mã thực thi trình duyệt 14 Hình 1.13: Kiến trúc hệ thống mạng Internet Lào 19 Hinh 2.1: Mô hình kiến trúc hệ thống giám sát LaoCERT 20 Hình 2.2: Mô hình chức hệ thống giám sát LàoCERT 21 Hình 2.3: Hoạt động thiết yếu hệ thống giám sát an toàn mạng 22 Hình 2.4: Giám sát đưa cảnh báo 26 Hình 2.5: Sơ đồ kiến trúc vị trí chặn bắt gói tin 27 Hình 2.6: Thiết bị Tap dùng để kế nối trích lấy mẫu 29 Hình 2.7: Phương án sử dụng thiết bị Tap dùng để trích lấy mẫu 33 Hình 2.8: Phân loại nhóm mô hình phát bất thường 33 Hình 3.1: Hệ thống trung tâm xử lý thông tin 40 Hình 3.2: Hệ thống giám sát an toàn mạng trung tâm LaoCERT 41 Hình 3.3: Kết nối thiết bị Sensor trung tâm giám sát an toàn mạng 42 Hình 3.4: Mô hình hệ thống sử dụng SNORT 43 viii Hình 3.5: Cơ chế hoạt động SNORT 44 Hình 3.6: Thành phần SNORT 45 Hình 3.7: Mô tả kiến trúc đa luồng Suricata 46 Hình 3.8: Kiến trúc tổng quan Suricata 47 Hình 3.9: Quá trình bắt gói tin Suricata 48 Hình 3.10: Đăng ký cài đặt snort 48 Hình 3.11: Tạo tải khoản snort Org 49 Hình 3.12: Cài đặt Snort PFSense 49 Hình 3.13: Cấu hình giao diện Snort 50 Hình 3.14: Tạo giao diện Snort 51 Hình 3.15: Cấu hình chức tường lửa cho Snort 51 Hình 3.16: System Log 52 49 Hình 3.11: Tạo tải khoản snort org Bước 3: down load flie: community- rules snort 2.9.9.0.tar.gz Cài đặt Snort PFSense nhập vào system ->Packet Manager->available Packages tìm kiếm với từ khóa Snort sau nhập vào nút Install->confirm vào trình cài đặt Hình 3.12: Cài đặt Snort PFSense 50 Service –>Snort–> nhập Add chọn WAN LAN cần cho Snort giám sát kiểm tra chặn thông tin mà không hợp lệ Hình 3.13: Cấu hình giao diện Snort 51 Giao diện bổ sung cho mạng WAN LAN Snort không chạy Bấm vào chữ thập (add) nút bắt đầu dịch vụ IDS snort giao diện mạng WAN LAN Thông báo cảnh báo hiển thị hình 3.13 Do snort uy tắc nên thêm vào sau quy tắc thông tin cập nhật bước Màn hình sau xuất sau nhập vào toàn cầu thiết thực đơn cài đặt quy tắc snort Hình 3.14: Tạo giao diện Snort Như thể ảnh chụp snort sau chạy giao diện mạng WAN LAN Hình ảnh sau xuất sau nhập vào toàn cầu thiết thực đơn cài đặt quy tắc snort Hình 3.15: Cấu hình chức tường lửa cho Snort 52 Sau nhấp vào nút chỉnh sửa, chọn loại LAN tùy chọn cho quy tắc snort Hãy chọn quy tắc mong muốn từ danh sách toàn diện cho giao diện mạng LAN WAN Hình 3.16: System Log Trên hình ảnh cảnh báo Alert system log Module quan trọng Snort Nó chịu trách nghiệm phát dấu hiệu xâm nhập Module phát sử dụng Rules định nghĩa trước để so sánh với dũ liệu thu thập từ xác định xem cho hợp lệ hay không Một module phát có khả tánh phần gói tin áp dụng luật lên phần gói tin Các phần 3.6.2 Khởi tạo Snort Suricata cho việc phát xâm nhập Để chạy Snort Suricata với mục đích phát xâm nhập, tất cần làm xác định vị trí tệp tin cấu hình hợp lệ với tùy chọn dòng lệnh c giao diện giám sát với tùy chọn -i Snort: sudo snort -c snort.conf -i eth1 Suricata: sudo suricata -c suricata.yaml -i eth1 53 Trước thực việc này, điều quan trọng xác minh tệp tin cấu hình hợp lệ cách thêm tham số -T, để chạy công cụ IDS với tệp tin cấu hình cung cấp nhằm đảm bảo chúng khởi động thành công với cấu hình cung cấp Snort: sudo snort -Tc snort.conf -i eth1 Nếu tất thứ kiểm tra với Snort, thấy thông báo xác nhận thành công cấu hình Nếu Suricata khởi tạo thành công, thấy thông báo cấu hình cung cấp nạp thành công, 3.6.3 Cấu hình Snort Suricata Snort Suricata dựa vào tệp tin cấu hình và/hoặc tham số dòng lệnh để kiểm soát cách chúng hoạt động Snort sử dụng tệp tin gọi snort.conf, Suricata sử dụng suricata Những tập tin sử dụng để kiểm soát tinh chỉnh hành vi ứng dụng, bao gồm đặc điểm công cụ phát hiện, vị trí tệp tin luật, việc kê khai biến sử dụng luật 3.6.3.1 Các biến Snort sử dụng biến tệp tin cấu hình để đường dẫn chung Một biến quy định lần để nạp Snort thực thi, sau tham chiếu thời điểm tệp tin cấu hình luật Snort Có ba loại biến sử dụng như: biến IP, biến cổng, biến chuẩn Biến IP Biến IP sử dụng để xác định địa mạng dải địa để sử dụng luật IDS đề cập đến nguồn đích lưu lượng kiểm tra Bằng cách sử dụng biến để xác định phạm vi IP thường xuyên tham chiếu, cần cập nhật biến lần để áp dụng thay đổi luật tham chiếu phạm vi 54 Biến cổng Biến cổng xác định cổng tầng (tầng giao vận) dải cổng dùng luật IDS đề cập đến cổng nguồn đích lưu lương kiểm tra Với Snort, biến tạo cách sử dụng từ khóa portvar snort.conf Sau số ví dụ: Khai báo số cổng mà sử dụng để giao tiếp HTTP: # Set up the external network addresses Leave as "any" in most situations ipvar EXTERNAL_NET !$HOME_NET # List of DNS servers on your network ipvar DNS_SERVERS $HOME_NET # List of SMTP servers on your network ipvar SMTP_SERVERS $HOME_NET # List of web servers on your network ipvar HTTP_SERVERS $HOME_NET # List of sql servers on your network ipvar SQL_SERVERS $HOME_NET # List of telnet servers on your network ipvar TELNET_SERVERS $HOME_NET # List of ssh servers on your network ipvar SSH_SERVERS $HOME_NET # List of ftp servers on your network ipvar FTP_SERVERS $HOME_NET # List of sip servers on your network ipvar SIP_SERVERS $HOME_NET 55 # List of ports you run web servers on portvar HTTP_PORTS [36,80,81,82,83,84,85,86,87,88,89,90,311,383,555,591,593,631,801,808,818,901,9 72,1158,1220,1414,1533,1741,1830,1942,2231,2301,2381,2578,2809,2980,3029,30 37,3057,3128,3443,3702,4000,4343,4848,5000,5117,5250,5450,5600,5814,6080,61 73,6988,7000,7001,7005,7071,7144,7145,7510,7770,7777,7778,7779,8000,8001,80 08,8014,8015,8020,8028,8040,8080,8081,8082,8085,8088,8090,8118,8123,8180,81 81,8182,8222,8243,8280,8300,8333,8344,8400,8443,8500,8509,8787,8800,8888,88 99,8983,9000,9002,9060,9080,9090,9091,9111,9290,9443,9447,9710,9788,9999,10 000,11371,12601,13014,15489,19980,29991,33300,34412,34443,34444,40007,410 80,44449,50000,50002,51423,53331,55252,55555,56712] Biến chuẩn Biến chuẩn loại biến sử dụng Snort Các biến tạo cách sử dụng từ khóa var, thường sử dụng để định thư mục Ví dụ, để xác định thư mục có chứa loại khác quy tắc Snort: var RULE_PATH /etc/NSM/rules var SO_RULE_PATH /etc/NSM/rules var PREPROC_RULE_PATH /etc/NSM/rules Phần lớn khai báo biến tìm thấy phần snort.conf Xác định tệp tin luật Snort Trong snort.conf, phần cuối tệp tin cấu hình nơi khai báo luật Chúng ta cần định thư mục luật đường dẫn tên tệp tin luật Ví dụ: include $RULE_PATH/emerging-exploit.rules Snort cho phép sử dụng loại luật không tiêu chuẩn Bao gồm: Luật tiền xử lý: Các luật phụ thuộc vào chức cung cấp tiền xử lý phân tích trước luật phân tích engine phát Luật đối tượng chia sẻ: Các luật biên dịch thay thông dịch từ 56 dòng văn Chúng có ích việc tạo luật tiên tiến, triển khai luật mà không tiết lộ chi tiết IOC luật Những luật đặt vị trí khác nhau, đó, chúng có biến đường dẫn luật riêng Tệp tin luật khai báo sử dụng biến này: include $PREPROC_RULE_PATH/preproc.rules include $SO_RULE_PATH/sharedobj.rules Xác định tệp tin luật Suricata Với Suricata, tệp tin luật xác định cách đặt chúng vào phần thích hợp suricata.yaml Để làm điều này, đường dẫn luật mặc định phải xác định, sau tệp tin luật liệt kê tiêu đề rule-files, với tệp tin xác định dòng với dấu gạch ngang default-rule-path: /etc/nsm/rules/rule-files: - local.rules - downloaded.rules 3.6.3.2 Đầu cảnh báo Snort Suricata linh hoạt cách liệu cảnh báo xuất để phân tích, hữu ích cho việc áp dụng chúng vào loạt tình Trong Snort, đầu cảnh báo kiểm soát phần plugin đầu snort.conf Để định plugin đầu cụ thể sử dụng từ khóa đầu ra, theo sau tên plugin tùy chọn output < plugin name >: < options > Nếu không quy định thời gian chạy với tham số -l, thư mục log mặc định Snort /var/log/snort Trong Suricata, đầu cảnh báo kiểm soát phần kết đầu 57 Suricata.yaml Bên tiêu đề outputs, tùy chọn đầu liệt kê, với tùy chọn liên quan tương ứng outputs: - < output type >: < options > Nếu không quy định thời gian chạy với tham số -l, thư mục log mặc định Suricata /var/log/suricata 3.6.3.3 Các tiền xử lý Trong phần lớn tính Suricata xây dựng với kiến trúc cốt lõi nó, đa phần số tính cung cấp Snort xây dựng cách sử dụng tiền xử lý riêng rẽ Trong kiến trúc Snort, tiền xử lý có hai loại sử dụng cho liệu chuẩn hóa, trước phân tích công cụ phát hiện, sử dụng để cung cấp thêm tính linh hoạt cho luật Snort sử dụng công cụ phát Điều quan trọng tiền xử lý liệt kê tệp tin cấu hình thực theo thứ tự Nên tận dụng lợi tiền xử lý có lúc thấy tiền xử lý làm cho việc viết luật phức tạp trở nên đơn giản nhiều Ví dụ: Danh tiếng: Được sử dụng để phát ngăn chặn liên lạc với địa IP định dựa danh tiếng Arpspoof: Được thiết kế để phát xuất ARP spoofing SFportscan: Phát quét trinh sát Frag3: Thực chống phân mảnh gói tin IP ngăn chặn việc tránh né IDS Stream5: Cho phép theo dõi trạng thái kết nối TCP tạo luật có trạng thái HTTP_Inspect: chuẩn hóa lưu lượng HTTP để phân tích đắn với công cụ phát Cung cấp số dẫn sử dụng 58 luật Snort Luồng thông tin Để hiểu tùy chọn luồng làm việc chúng lại quan trọng, cần nhớ lại tạo nên phiên TCP Trong phiên TCP bình thường, có máy khách máy chủ giao tiếp với Máy khách thiết bị bắt đầu kết nối đến máy chủ cách gửi gói tin SYN đến máy chủ cổng lắng nghe Máy chủ thời điểm phản hồi cho máy khách với gói tin SYN/ACK Khi nhận được, máy khách phản hồi lại cho máy chủ gói tin ACK Tại thời điểm này, giao thức bắt tay ba bước hoàn tất, máy khách máy chủ trao đổi số chúng chấm dứt kết nối theo hai cách, đột ngột ngắt với gói tin RST, bình thường với loạt gói tin FIN Đây tiền đề làm nên phiên TCP Như vậy, tùy chọn luồng cho luật có vài lựa chọn riêng Chúng chia thành ba loại: tùy chọn trạng thái, tùy chọn hướng, trạng thái mô hình hóa lưu lượng Các tùy chọn cấu hình cách sử dụng định dạng sau Cần tùy chọn bổ sung khác tùy ý: flow: , , ; Hai tùy chọn trạng thái sẵn sàng thiết lập trạng thái Tùy chọn thiết lập phù hợp với lưu lượng có tồn phiên TCP Tùy chọn không trạng thái thỏa mãn dù có kết nối thiết lập hay không Có bốn tùy chọn hướng: to_server: lưu lượng từ máy khách đến máy chủ from_server: lưu lượng từ máy chủ đến máy khách to_client: lưu lượng từ máy chủ đến máy khách from_client: lưu lượng từ máy khách đến máy chủ Các tùy chọn phát tiêu đề giao thức Snort Suricata cung cấp khả phát giá trị tiêu đề 59 gói liệu kiểm tra Nó bao gồm hầu hết giá trị tiêu đề ICMP, IP, TCP, UDP Một số giá trị sử dụng nhiều gồm: TTL: so sánh với giá trị TTL xác định Có thể giá trị xác (=) sử dụng toán tử quan hệ (>,> =, ,track < by_s rc|by_dst >,ip < value > Các mục sau sử dụng để ngăn chặn cảnh báo tạo SID 20000 với địa IP nguồn 192.168.32.34: suppress gen_id 1, sig_id 20000, track by_src, ip 192.168.32.34 Bộ lọc phát cảnh báo Snort Suricata cung cấp khả sử dụng lọc phát để thiết lập ngưỡng số so sánh luật cần phải xảy trước cảnh báo 60 tạo Một lọc phát áp dụng cho luật dựa địa nguồn địa đích lưu lượng, áp dụng ngưỡng dựa số lượng so sánh luật phát khoảng thời gian xác định 3.7 Khả triển khai cho quan, tổ chức, doanh nghiệp Lào Như trình bày phần trên, hệ thống giám sát an toàn mạng áp dụng hạ tầng công nghệ thông tin Lào sau Triển khai áp dụng hệ thống giám sát an toàn mạng cho trung tâm mạng Internet quốc gia Lào Bộ bưu Viễn thông Lào Triển khai cho quan, đơn vị, tổ chức doanh nghiệp vừa nhỏ Thủ đô Viêng Chăn 3.8 Kết luận chương Chương trình bày kiến trúc hệ thống thu thập thông tin từ mạng việc thu thập, xử lý phân tích thông tin an toàn mạng truyển liệu từ sensor trung tâm xử lý Ngoài sử dụng phần mềm snort để bắt gói tin đưa kết thử nghiệm hệ thống 61 KẾT LUẬN Qua thời gian nghiên cứu nội dung: “Hệ thống giám sát an toàn mạng cho trung tâm ứng cứu khẩn cấp máy tính Lào - LaoCERT” em có hội tìm hiểu sâu thành phần, module tạo nên hệ thống giám sát an toàn mạng Trong khuôn khổ thời gian có hạn, luận văn không tránh khỏi thiếu sót, thực thử nhiệm hệ thống Xây dựng hệ thống giám sát an toàn mạng nhu cầu thực tế Lào, đặc biệt cho Trung tâm ứng cứu khẩn cấp máy tính Lào – LaoCERT Trong thời gian tới, em tiếp tục nghiên cứu, hoàn thiện phương án thiết kế, xây dựng để tạo nên sản phẩm hoàn chỉnh để áp dụng vào trung tâm mạng Internet quốc gia Lào, quan, đơn vị, tổ chức doanh nghiệp vừa nhỏ Lào Vì em mong nhận góp ý thẳng thắn từ thầy cô, chuyên gia bạn nhiều để hoàn thiện tốt đề tài kiến thức thân Trong nội dung luận văn giải số vấn đề sau: Nghiên cứu tìm hiểu số kiểu công điển hình bước triển khai công, tìm hiểu tổng quan hệ thống giám sát an toàn mạng Nghiên cứu mô hình triển khai hệ thống giám sát, thành phần cần thiết để tạo nên hệ thống giám sát, phương pháp kỹ thuật cho thu thập liệu, phân tích phát công mạng, phát bất thường, đưa cảnh báo Nghiên cứu, đưa kiến trúc hệ thống giám sát an toàn mạng LaoCERT, bao gồm thành phần bản, số tiện ích phần mềm triển khai đưa số kết thử nghiệm Một số vấn đề nội dung chưa giải được: Chưa xây dựng tường lửa để ngăn chặn công Chưa có nhiều demo chưa nhiều kết thử nghiệm hệ thống giám sát an toàn mạng Trong thời gian tới, em tiếp tục nghiên cứu, phát triển thêm số chức bổ sung cho hệ thống, ví dụ như: 62 Phân tích thống kê kịp thời dạng công mà hệ thống chưa đưa được; Nghiên cứu kết hợp phần cứng để triển khai cho mạng có số lượng người dùng lớn Demo sô kết thử nghiệm hệ thống giám sát an toàn mạng cho LaoCERT toàn diện Bộ bưu Viễn thông Lào Triển khai áp dụng hệ thông giám sát an toàn mạng cho quan, đơn vị, tổ chức doanh nghiệp vừa nhỏ Thủ đông Viêng chăn 63 TÀI LIỆU THAM KHẢO Tiếng Việt: [1] Hoàng Đăng Hải, tài liệu giảng An toàn thông tin nâng cao giám sát an toàn mạng” Học viện Công nghệ Bưu Chính Viễn thông năm 2010 [2] Đề tài khoa học công nghệ “ Nghiên cứu hệ thống giám sát mạng quốc gia” Trung tâm ứng cứu khẩn cấp máy tính việt nam – VNCERT, 2010-2013 [3] Nguyễn Ngọc Điệp “Bài giảng Kỹ thuật theo dõi, Giám sát An toàn mạng” Học viện Công nghệ Bưu Viễn thông năm 2015” [4] Hà Văn Tiến “ Nghiên cứu xây dựng hệ thống phát nhanh lưu lương bất thường để cảnh báo công mạng”, Luận văn Thạc sỹ, Học viện Kỹ thuật Mật mã năm 2016 [5] Hoàng Xuân Dậu “Bài giảng môn học an toàn thông tin nâng cao – Khoa CNTT 1” Học viện Công nghệ Bưu Viễn thông, năm 2016 Tiếng Anh: [6] Chris Sanders, Jason Smith, David J Bianco, “Applied Network Security Monitoring: Collection, Detection and Analysis” Elsevier 2014 [7] Evan Cooke, Michael Bailey, David Watson, Farnam Jahanian, Jose Nazario, “The Internet monitor sensor: A distributed global scoped Internet threat monitoring system”, Proceedings of the Network and Distributed Security Symposium, San Diego, CA, January 2005 [8] [9] [10] [11] [12] [13] Các trang website tìm kiếm, tham khảo: http://www.vncert.vn , truy nhập 03/02/2017 http://www.laocert.gov.la , truy nhập 02/01/2017 http://www.suricata-ids.org , truy nhập 15/02/2017 http://www.snort.org truy nhập 10/01/2017 http://www.pfsense.org truy nhập 11/01/2017 http://www.appliednsm.com truy nhập 20/01/2017 ... hình chức hệ thống giám sát LaoCERT 2.2.2 Thành phần trung tâm hệ thống giám sát an toàn mạng Thành phần trung tâm hệ thống giám sát an toàn mạng có tên Bộ quản lý kiện thông tin an toàn mạng (SIEM... nhu cầu vai trò hệ thống giám sát an toàn mạng kiến trúc hệ thống mạng Lào khả triển khai áp dụng hệ thống giám sát hệ thống trung tâm LANIC Phần giới thiệu mô hình hệ thống giám sát, trình bảy... CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - THIENXAY BOLIBOUN NGHIÊN CỨU VỀ HỆ THỐNG GIÁM SÁT AN TOÀN MẠNG CHO TRUNG TÂM ỨNG CỨU KHẨN CẤP MÁY TÍNH LÀO - LaoCERT CHUYÊN NGÀNH: HỆ THỐNG