Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)Nghiên Cứu Biện Pháp Phát Hiện Tấn Công Có Chủ Đích Apt Để Bảo Vệ Trung Tâm Tích Hợp Dữ Liệu Tỉnh Long An (LV thạc sĩ)
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN QUỐC TUẤN NGHIÊN CỨU BIỆN PHÁP PHÁT HIỆN TẤN CƠNG CĨ CHỦ ĐÍCH APT ĐỂ BẢO VỆ TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH LONG AN LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) TP.HỒ CHÍ MINH -2017 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN QUỐC TUẤN NGHIÊN CỨU BIỆN PHÁP PHÁT HIỆN TẤN CƠNG CĨ CHỦ ĐÍCH APT ĐỂ BẢO VỆ TRUNG TÂM TÍCH HỢP DỮ LIỆU TỈNH LONG AN CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS VÕ VĂN KHANG TP HỒ CHÍ MINH -2017 i LỜI CAM ĐOAN Tôi cam đoan cơng trình nghiên cứu riêng tơi Các số liệu, kết nêu luận văn trung thực chưa công bố công trình TPHCM, Ngày 15 tháng năm 2017 Học viên thực luận văn Nguyễn Quốc Tuấn ii LỜI CÁM ƠN Lời em xin gửi lời cảm ơn đến tồn thể q thầy, giáo Học viện Cơng nghệ Bưu Viễn thơng tận tình bảo em suốt thời gian học tập nhà trường Em xin gửi lời cảm ơn sâu sắc đến thầy TS.Võ Văn Khang, người trực tiếp hướng dẫn, tạo điều kiện thuận lợi tận tình bảo cho em suốt thời gian làm luận văn tốt nghiệp Bên cạnh đó, để hồn thành luận văn tốt nghiệp, em nhận nhiều giúp đỡ, lời động viên quý báu bạn bè, gia đình đồng nghiệp Em xin chân thành cảm ơn Tuy nhiên, thời gian có hạn, nỗ lực mình, luận văn em khó tránh khỏi thiếu sót Em mong nhận thông cảm bảo tận tình q thầy bạn Trân trọng cảm ơn TPHCM, ngày 15 tháng năm 2017 Học viên thực luận văn Nguyễn Quốc Tuấn iii MỤC LỤC LỜI CAM ĐOAN i LỜI CÁM ƠN ii MỤC LỤC iii DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT v DANH SÁCH BẢNG vi DANH SÁCH HÌNH VẼ vii MỞ ĐẦU .1 Chương - TỔNG QUAN VỀ TẤN CÔNG APT 1.1 Tổng quan cơng có chủ đích APT .4 1.2 Lịch sử phát triển công APT 1.3 Tấn công APT thông qua công cụ malware 1.4 Tấn công APT thông qua hình thức khác 1.5 Xác định đặc tính APT 10 1.6 Sự khác biệt APT với mối đe dọa truyền thống 12 1.7 Kết luận chương 15 Chương - CÁCH THỨC TẤN CÔNG APT VÀ PHƯƠNG PHÁP PHÒNG CHỐNG .16 2.1 Phân tích giai đoạn cơng APT 16 2.2 Các thuật toán điều khiển cập nhật tính APT 21 2.3 Phương pháp phát công APT 22 2.3.1 Phân tích tĩnh 22 2.3.2 Phân tích động .24 2.3.3 Cập nhật phân tích thơng qua cơng cụ .26 2.4 Các công cụ phòng chống APT đại nguyên lý hoạt động .27 2.4.1 Công cụ hãng bảo mật FireEye .27 2.4.2 Công cụ hãng bảo mật McAfee 31 2.4.3 Công cụ hãng bảo mật NPCore .33 2.5 Kết luận chương 35 Chương - XÂY DỰNG VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO ĐẢM AN TOÀN THƠNG TIN CHO TRUNG TÂM TÍCH HỢP DỮ LIỆU TRƯỚC CÁC CUỘC TẤN CÔNG APT 36 3.1 Hiện trạng hạ tầng Trung tâm tích hợp liệu tỉnh Long An .36 iv 3.2 Các nguy an toàn hệ thống thông tin 40 3.3 Giới thiệu cần thiết bảo đảm an tồn thơng tin Trung tâm tích hợp liệu tỉnh Long An .43 3.4 Mơ hình hóa biện pháp bảo vệ Trung tâm Tích hợp liệu tỉnh Long An chống lại công APT 47 3.4.1 Một số phương pháp phòng chống APT .47 3.4.2 Mơ hình an tồn cho Trung tâm THDL 51 3.4.3 Khuyến nghị áp dụng yêu cầu kỹ thuật cho Trung tâm THDL .52 3.5 Phương pháp đánh giá an tồn thơng tin theo hướng tiếp cận phòng chống APT 55 3.5.1 Giới thiệu công cụ đánh giá .55 3.5.2 Thực nghiệm công 57 3.5.3 Kịch công 57 3.5.4 Mô công 58 3.5.5 Đề xuất giải pháp cho Trung tâm TTDL .62 3.5.6 Kết thử nghiệm đánh giá 63 3.6 Kết luận chương 65 KẾT LUẬN VÀ KIẾN NGHỊ 66 DANH MỤC TÀI LIỆU THAM KHẢO 67 v DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Viết tắt APT DNS FTP HTTP HTTPS IP ISO Tiếng anh Tiếng việt Advanced Persistent Threat Domain Name System File Transfer Protocol Hyper Text Transfer Protocol Hyper Text Transfer Mối đe dọa liên tục nâng cao Hệ thống tên miền Giao thức chuyển nhượng tập tin Giao thức truyền tải siêu văn Protocol Secure mật Internet Internet Protocol International Organization Giao thức kết nối Internet Trao đổi thông tin cách bảo Tổ chức tiêu chuẩn hóa quốc tế for Standardization WAF SIEM Web Application Firewall Security Information Tường lửa ứng dụng web Giám sát an toàn mạng Event Managemet TTDL Data Center AV Antivirus DLP NAC URL DMZ Data Leak Prevention Network Access Control Uniform Resource Locator Demilitarized Zone Trung tâm tích hợp liệu Phần mềm phòng chống virút Ngăn chặn rò rỉ liệu Điều khiển truy cập mạng Tham chiếu tài nguyên mạng Internet Vùng mạng trung lập mạng nội mạng internet SSL IDS/IPS Secure Sockets Layer Tiêu chuẩn công nghệ bảo mật Intrusion detection Phát xâm nhập/ phát system/Intrusion Prevention ngăn chặn xâm nhập System C&C Command and control Máy chủ điều khiển vi DANH SÁCH BẢNG Số hiệu bảng Tên bảng Trang 1.1 Những khác biệt công APT công truyền 14 thống 3.1 Hiện trạng sở hạ tầng Trung tâm THDL 36 3.2 Hiện trạng máy chủ 37 3.3 Chi tiết tường lửa 39 3.4 Danh sách trang thông tin điện tử 44 3.5 Số lượng Email tháng 02/2017 45 3.6 Tình hình giải hồ sơ Quý I/2017 tỉnh 46 3.7 Tình hình trao đổi văn tính đến ngày 16/4/2017 46 vii DANH SÁCH HÌNH VẼ Số hiệu hình vẽ Tên hình vẽ Trang 1.1 Giả mạo email với nội dung đính kèm có mã độc 1.2 Kỹ thuật watering hole 10 1.3 Tấn công vào điểm yếu hệ thống 13 2.1 Các giai đoạn công APT 16 2.2 Các cửa hậu kết nối với máy chủ C&C 17 2.3 Đoạn script sử dụng trinh sát dò qt thơng tin 19 2.4 Thuật tốn DGA mã độc Locky 22 2.5 Dấu hiệu nhận biết phần mềm Darkcomet 27 2.6 Các thành phần FireEye tích hợp tạo thành giải 27 pháp phòng chống APT tổng thể FireEye 2.7 Mơ hình tích hợp FireEye 29 2.8 Môi trường giả lập FireEye MVX 30 2.9 Xử lý song song môi trường MVX 31 2.10 Giải pháp hãng McAfee 31 2.11 Mơ hình triển khai 32 2.12 Bảo mật hãng NPCore 33 2.13 Mơ hình hệ thống Zombie ZERO 34 3.1 Mơ hình Trung tâm THDL 40 3.2 Cơng khai tiến độ giải hồ sơ hành 46 văn điện tử tỉnh 3.3 Mơ hình Trung tâm TTDL hồn chỉnh 51 3.4 Qt Cổng thơng tin điện tử tỉnh (longan.gov.vn) 52 3.5 Giao diện Kali Linux 56 3.6 Giao diện Veil-Evasion 57 3.7 Tạo IP Port để lắng nghe 59 3.8 Công cụ mFileBinder 59 viii 3.9 Giả mạo email 60 3.10 Lắng nghe kết nối 61 3.11 Kết nối tạo 62 3.12 Giao diện USM 63 3.13 Giao diện ghi nhận cố 64 3.14 Giao diện chi tiết cố 64 54 - Lưu trữ quản lý tập trung nhật ký hệ thống hệ thống quản lý nhật ký hệ thống tập trung, gửi liệu nhật ký hệ thống hệ thống trung tâm theo thời gian thực; - Lưu trữ nhật ký hệ thống thiết bị tối thiểu 03 tháng * Yêu cầu phòng chống xâm nhập: - Có phương án phòng chống xâm nhập để bảo vệ vùng mạng máy chủ công cộng, máy chủ nội bộ, máy chủ sở liệu vùng mạng nội bộ; * Yêu cầu phòng chống phần mềm độc hại: - Có phương án phòng chống phần mềm độc hại môi trường mạng để bảo vệ vùng mạng nội bộ; - Tự động cập nhật thời gian thực sở liệu cho hệ thống phòng chống phần mềm độc hại - Bảo đảm lực hệ thống bảo đảm đáp ứng đủ theo yêu cầu theo quy mô số lượng người dùng dịch vụ, ứng dụng hệ thống cung cấp * Yêu cầu bảo vệ thiết bị hệ thống: - Hạn chế số lần đăng nhập sai quản trị kết nối quản trị từ xa theo địa IP nguồn; - Phân quyền truy nhập, quản trị thiết bị tài khoản quản trị có quyền hạn khác * Yêu cầu xác thực: - Hạn chế số lần đăng nhập sai khoảng thời gian định với tài khoản định; - Thiết lập cấu hình để vơ hiệu hóa tài khoản tài khoản đăng nhập sai nhiều lần vượt số lần quy định * Yêu cầu kiểm soát truy nhập máy chủ: - Thay đổi cổng quản trị mặc định máy chủ; - Giới hạn địa IP nguồn phép truy nhập, quản trị máy chủ từ xa; 55 - Thiết lập hệ thống để không cho phép quản trị máy chủ trực tiếp từ mạng bên ngồi; thực gián tiếp thơng qua kết nối mạng riêng ảo phương thức khác tương đương 3.5 Phương pháp đánh giá an tồn thơng tin theo hướng tiếp cận phòng chống APT 3.5.1 Giới thiệu công cụ đánh giá 3.5.1.1 VMware Workstation 12 Máy ảo chương trình đóng vai trò máy vi tính ảo Nó chạy hệ điều hành (hệ điều hành chủ) cung cấp phần cứng ảo tới hệ điều hành khách VMware phần mềm ảo hóa máy tính mạnh mẽ dành cho nhà phát triển, kiểm tra phần mềm chuyên gia IT cần chạy nhiều hệ điều hành lúc máy PC Chức VMware: - Giúp máy tính chạy song song nhiều hệ điều hành - Giúp khai thác tối đa cơng suất máy tính - Tăng tính linh hoạt nâng cấp phần cứng 3.5.1.2 Kali Linux Kali Linux OS hữu ích chuyên gia đánh giá bảo mật, OS tập hợp phân loại gần tất công cụ thiết yếu mà chuyên gia đánh giá bảo mật cần sử dụng để tác nghiệp Kali Linux nâng cấp cao cấp BackTrack 56 Hình 3.5: Giao diện Kali Linux Kali cài đặt 200 công cụ tùy theo nhu cầu đánh giá Nếu công cụ không xếp phân loại rõ ràng khả sử dụng thực đánh giá bảo mật không tối ưu So với BackTrack, tất công cụ Kali phân loại dựa mục đích sử dụng Phân loại Information Gathering (Thu thập thơng tin) Nhóm phân loại gồm công cụ tập trung vào việc thu thập thông tin mục tiêu Trong phân loại có số lượng lớn cơng cụ phân chia theo loại thông tin cần thu thập Ví dụ, OS Fingerprinting (Thu thập thơng tin hệ điều hành), Network Scanners (Dò quét cổng, dò quét mạng, dò qt phiên dịch vụ), SSL Analysis (Phân tích giao thức SSL), VoIP Analysis (Phân tích giao thức VoIP) nhiều cơng cụ khác Từ cơng cụ này, chọn cơng cụ tiếng, hiệu thực đánh giá bảo mật hạ tầng mạng, Nmap Đây cơng cụ thăm dò, phân tích, thám mạng hữu dụng Sniffing/Spoofing (Nghe lén/Giả mạo) cung cấp công cụ để intercept lưu lượng mạng đường truyền, Web lưu lượng VoIP Một chương trình Sniffer tốt Wireshark Với Wireshark bạn 57 intercept lưu lượng mạng xác định giao thức sử dụng, phân tích highlight liệu quan trọng 3.5.1.3 Veil-Evasion Veil-Evasion công cụ Veil-Framework sử dụng để tạo payload có khả qua mặt phần mềm antivirus [23] Hình 3.6 thể Veil-Evasion cài đặt Kali linux Hình 3.6: Giao diện Veil-Evasion 3.5.2 Thực nghiệm công Máy công: Sử dụng HĐH Kali Linux 2.0 Máy nạn nhân: Windows Công cụ: mFileBinder, Veil-Evasion, Armitage Lỗ hổng khai thác: sử dụng payload từ công cụ Veil-Evasion 3.5.3 Kịch công Một cán quan X tỉnh Long An trang bị máy tính để làm việc Trên máy tính có chứa tài liệu quan trọng gói thầu dự án Một kẻ cơng cơng vào máy tính cán đánh cắp liệu quan trọng 58 Kẻ cơng sử dụng file pdf có chứa mã độc gửi cho nạn nhân, phương pháp Social Engineering (kỹ thuật xã hội), kẻ công tạo email với nội dung hấp dẫn để dụ nạn nhân download file pdf Sau nạn nhân download mở file pdf, kẻ cơng chiếm quyền điều khiển máy tính thực hành vi cần thiết để khai thác, đánh cắp liệu 3.5.4 Mô cơng - Giai đoạn thăm dò: Kẻ cơng xác định mục tiêu cần công, anh cán quan X tỉnh Long An - Giai đoạn chuẩn bị công: + Sau xác định thông tin nạn nhân, kẻ cơng sử dụng chương trình Armitage nhằm khai thác lỗ hổng xâm nhập + Máy công: Sử dụng HĐH Kali Linux 2.0 + Công cụ: Armitage + Lỗ hổng: payload tạo từ công cụ Veil-Evasion - Giai đoạn công: Kẻ công tiến hành thực nội dung sau: Cài đặt Veil-Framework vào HĐH Kali, sau thực mở cơng cụ VeilEvasion dòng lệnh /Veil-Evasion.py, chương trình có giao diện hình 3.6 Tiếp theo, kẻ cơng xác định payload cần tạo chương trình, kẻ cơng tạo payload vị trí số (c/meterpreter/rev_tcp) với lệnh hình 3.7 Sử dụng cú pháp LHOST 192.168.1.4 để đặt địa IP máy dùng để công LPORT 4444 cổng dùng để lắng nghe 59 Hình 3.7: Tạo IP Port để lắng nghe Sau dùng lệnh generate, chương trình tự động tạo file mã độc exe (madocAPT.exe) Tiếp theo, kẻ công sử dụng công cụ mFileBinder để chèn mã độc vào file pdf để thực giả mạo email hình 3.8 Hình 3.8: Cơng cụ mFileBinder 60 Tiến hành gửi file pdf chứa mã độc cho nạn nhân qua email Kẻ công sử dụng kỹ thuật social engineering để tăng độ tin cậy dễ dàng đánh lừa nạn nhân, kẻ công giả mạo tài khoản email quen biết với nạn nhân Hình 3.9: Giả mạo email Kẻ công tiếp tục sử dụng công cụ Armitage, tạo listener loại meterpreter với port lắng nghe 4444, để chờ kết nối từ máy nạn nhân hình 3.10 61 Hình 3.10: Lắng nghe kết nối Ngay nạn nhân mở mail tải file xem, payload nhanh chóng khởi tạo kết nối đến máy kẻ công Từ đây, kẻ công có quyền truy cập vào máy tính nạn nhân 62 Hình 3.11: Kết nối tạo 3.5.5 Đề xuất giải pháp cho Trung tâm TTDL Để ngăn chặn mối đe dọa từ công APT, bên cạnh trang thiết bị firewalls có Trung tâm TTDL cần có giải pháp tồn diện để giám sát an toàn cho hệ thống, sớm phát mối đe dọa giúp tổ chức nhanh chóng ứng phó cố, hạn chế bị cơng Đề xuất sử dụng giải pháp hãng AlienVault, Unified Security Management (USM), USM kết hợp tính bảo mật chủ yếu để tổ chức đối phó với mối đe dọa giảm thiểu việc triển khai tích hợp nhiều sản phẩm, bao gồm: - Quản lý tài sản (Asset Discovery): Nhận thông tin máy tính hoạt động người dùng có hệ thống - Đánh giá lỗ hổng (Vulnerability Assessment): quét hệ thống để phát máy tính đánh giá lỗ hổng hướng dẫn khắc phục - Phát xâm nhập (Intrusion Detection): kiểm tra lưu lượng thiết bị bảo vệ máy tính quan trọng hệ thống 63 - Giám sát hành vi (Behavioral Monitoring): giúp xác định hành vi đáng ngờ máy tính có khả bị xâm nhập - Hệ thống giám sát an toàn mạng (Siem): phân tích liệu kiện bảo mật từ hệ thống có 3.5.6 Kết thử nghiệm đánh giá Sau triển khai hệ thống AlienVault Unified Security Management vào hệ thống Trung tâm TTDL tỉnh Long An, kết cho thấy máy tính hệ thống giám sát tồn diện Hình 3.12 cho thấy USM cảnh báo 01 hành động đáng ngại hệ thống Hình 3.12: Giao diện USM Hình 3.13 cho thấy USM ghi nhận máy tính (IP: 10.180.96.69) hệ thống mở port 49521 để kết nối C&C bên ngồi (IP: 113.171.226.38) 64 Hình 3.13: Giao diện ghi nhận cố Hình 3.14: Giao diện chi tiết cố 65 3.6 Kết luận chương Chương phần đầu cung cấp trạng Trung tâm THDL tỉnh Long An, nguy ảnh hưởng đến Trung tâm THDL Tiếp theo đề xuất thiết kế tổng thể hệ thống Trung tâm THDL, khuyến nghị cần áp dụng để bảo đảm an toàn cho Trung tâm THDL kết triển khai giải pháp USM giám sát toàn diện hệ thống, cảnh báo mối nguy hại hệ thống 66 KẾT LUẬN VÀ KIẾN NGHỊ Qua nghiên cứu luận văn đạt số kết sau: Trình bày tổng quan cơng APT bao gồm đặc tính, giai đoạn cơng, mức độ nguy hiểm APT với cơng thơng thường Trình bày số biện pháp, kỹ thuật cơng nghệ phòng chống cơng APT hãng bảo mật tiếng Kết nghiên cứu rằng: để đảm bảo an toàn bảo mật thơng tin trước cơng APT áp dụng kỹ thuật, công cụ hay cơng nghệ mà cần phải áp dụng tổ hợp cơng nghệ để đạt hiệu Tìm hiểu trạng Trung tâm THDL tỉnh Long An, nguy ảnh hưởng đến Trung tâm THDL Đề xuất mơ hình mạng an toàn cho Trung tâm THDL, khuyến nghị cần áp dụng để bảo đảm an toàn cho Trung tâm THDL, đề xuất triển khai hệ thống giám sát an toàn thông tin USM cho Trung tâm THDL, hệ thống hoạt động đạt hiệu tiền đề tham mưu lãnh đạo triển khai thời gian tới Tuy nhiên, thời gian nghiên cứu kinh nghiệm có hạn, nên luận văn đề xuất mơ hình mạng an toàn, khuyến nghị kỹ thuật cần áp dụng cho Trung tâm THDL triển khai hệ thống giám sát an tồn thơng tin USM Định hướng nghiên cứu phát triển tiếp theo: Trên kết làm luận văn nghiên cứu phát triển theo hướng tiếp tục nghiên cứu dạng công APT từ đề biện pháp tốt để bảo vệ Trung tâm THDL giảm thiểu rủi ro Nghiên cứu phương pháp truy tìm dấu vết công APT; triển khai nhân rộng hệ thống giám sát an tồn thơng tin USM cho hệ thống thơng tin tỉnh 67 DANH MỤC TÀI LIỆU THAM KHẢO Tiếng Anh: [1] Li, F., Lai, A., & Ddl, D (2011), "Evidence of Advanced Persistent Threat: A case study of malware for political espionage", Malicious and Unwanted Software (MALWARE), 2011 6th International Conference on, IEEE [2] Binde, B., McRee, R., & O’Connor, T J (2011), “Assessing outbound traffic to uncover advanced persistent threat”, SANS Institute, Whitepaper [3] Jason Andress (2011), “Advanced persistent threat-attacker sophistication continues to grow”, Information System Security Association, pages 18–24 [4] Shuai, Zhang "The Detection and Defense about APT Attack." Information Security and Technology (2011): 028 [5] Jon Oltsik (2012), Understanding and Addressing APTs, The Enterprise Strategy Group [6] De Vries, J A (2012), “Towards a roadmap for development of intelligent data analysis based cyber attack detection systems” [7] Caglayan, A., Toothaker, M., Drapeau, D., Burke, D., & Eaton, G (2012), “Behavioral analysis of botnets for threat intelligence”, Information Systems and E-Business Management, 10, 491-519 [8] Sloan, R (2014), “Advanced Persistent Threat”, Engineering & Technology Reference, 1(1) [9] Mirza, N A S., Abbas, H., Khan, F., & Al Muhtadi, J (2014), "Anticipating Advanced Persistent Threat (APT) countermeasures using collaborative security mechanisms", Biometrics and Security Technologies (ISBAST), 2014 International Symposium on, IEEE [10] Chen, P., Desmet, L., & Huygens, C (2014, September), “A study on advanced persistent threats”,In IFIP International Conference on Communications and Multimedia Security (pp 63-72), Springer Berlin Heidelberg 68 [11] Slot, T., & Kargl, F (2015), “Detection of APT Malware through External and Internal Network Traffic Correlation” [12] Damballa Advanced Persistent Threats (APTs) [13] Kern Issa The Evolution of APTs (Advanced Persistent Threats) [14] Mandiant APT1: Exposing One of China's Cyber Espionage Units Các trang web: [15] networkworld.com,http://www.networkwold.com/article/2199388/security/w hat-is-an-advanced-persistent-threat-anyway.html, truy cập ngày 11/5/2016 [16] Pcworld.com,http://www.pcwold.com/article/kinh-doanh/an-toan-thongtin/2014/1223019/ngan-ngua-tham-hoa-ro-ri-thong-tin-voi-dlp/, truy cập ngày 30/5/2016 [17] Svtech.com, http://www.svtech.com.vn/article/1214/, truy cập ngày 05/6/2016 [18] Pcworld.com.vn,http://www.pcworld.com.vn/b/chuyenmuc/chuyenmuc/2009 /11/1 194927/tan-cong-ma-doc-doi-pho truy cập ngày 05/6/2016 [19] gfi.com,http://www.gfi.com/blog/advanced-persisdent-threat-apt-a-hyped-upmarketing-term-or-a-security-conern/, truy cập ngày 15/7/2016 [20] securitydaily.net, http://securitydaily.net/ky-thuat-tan-cong-watering-hole- attack/, truy cập ngày 20/10/2016 [21] en.wikipedia.org,https://en.wikipedia.org/wiki/Domain_generation_algorith m, truy cập ngày 24/3/2017 [22] openioc.org, http://www.openioc.org/, truy cập ngày 20/4/2017 [23] veil-framework.com, https://www.veil-framework.com/, truy cập ngày 20/4/2017 ... vệ Trung tâm tích hợp liệu tỉnh Long An để có nhìn tổng quan cơng APT, nghiên cứu giải pháp phòng chống từ đề xuất giải pháp phòng chống cơng cho Trung tâm tích hợp liệu tỉnh Long An Tổng quan... Trung tâm tích hợp liệu tỉnh Long An; cách thức công APT vào hệ thống thông tin; giải pháp khắc phục, biện pháp bảo vệ chống lại công APT Phạm vi nghiên cứu :Nghiên cứu phương pháp công công có chủ. .. thiệu cần thiết bảo đảm an tồn thơng tin Trung tâm tích hợp liệu tỉnh Long An .43 3.4 Mơ hình hóa biện pháp bảo vệ Trung tâm Tích hợp liệu tỉnh Long An chống lại công APT 47 3.4.1