DSpace at VNU: Nghiên cứu cải tiến tập luật trong hệ thống giám sát an ninh mạng tài liệu, giáo án, bài giảng , luận văn...
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ THU HẰNG NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG HỆ THỐNG GIÁM SÁT AN NINH MẠNG LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN Hà Nội - 2015 HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ THU HẰNG NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG HỆ THỐNG GIÁM SÁT AN NINH MẠNG Ngành: Công nghệ Thông tin Chuyên ngành: Hệ thống Thông tin Mã số: 60.48.01.04 LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN NGỌC HÓA Hà Nội - 2015 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ LỜI CẢM ƠN Luận văn Thạc sĩ đƣợc thực Đại học Công nghệ - Đại học Quốc gia Hà Nội dƣới hƣớng dẫn TS Nguyễn Ngọc Hóa Xin đƣợc gửi lời cảm ơn sâu sắc đến thầy Nguyễn Ngọc Hóa ý kiến quý báu liên quan đến định hƣớng khoa học, liên tục quan tâm, tạo điều kiện thuận lợi cho suốt trình nghiên cứu hồn thành luận văn Tơi xin đƣợc gửi lời cảm ơn đến thầy, cô Bộ môn Hệ thống Thông tin nhƣ Khoa Công nghệ Thông tin mang lại cho kiến thức vơ q giá bổ ích q trình theo học trƣờng Tơi xin gửi lời cảm ơn tới đồng chí lãnh đạo đơn vị nơi công tác tạo điều kiện thời gian để tơi hồn thành chƣơng trình học Bên cạnh tơi xin gửi lời cám ơn tới đồng nghiệp Ban yếu Chính phủ tạo điều kiện giúp đỡ tơi hồn thành khóa luận cách tốt Cuối tơi xin chân thành cảm ơn đến học viên cao học khóa K19, K20, K21 giúp đỡ tơi suốt thời gian học tập Do thời gian kiến thức có hạn nên luận văn khơng tránh khỏi thiếu sót định Tơi mong nhận đƣợc góp ý q báu thầy bạn Hà Nội, ngày tháng 10 năm 2015 Nguyễn Thị Thu Hằng TÓM TẮT Ngày với phát triển mạnh mẽ Internet làm tăng nguy an tồn rò rỉ thơng tin Để hạn chế đƣợc vấn đề hệ thống mạng cần có biện pháp cụ thể để kiểm sốt đƣợc tình trạng hệ thống có biện pháp đối phó cụ thể có cơng xảy Vậy vấn đề đặt ngƣời quản trị hệ thống cần có nhìn tổng qt tranh hệ thống mạng dựa việc thu thập liệu vào hệ thống từ thiết bị, dịch vụ ứng dụng đƣợc sử dụng hệ thống chẳng hạn nhƣ: Mail Server, Firewall, IDS (Intrusion Detection System), IPS (Intrusion Prevention System), Anti-Virus,… Những liệu sau đƣợc phân tích đối chiếu với dấu hiệu, tập luật có sẵn để đánh giá đƣa cảnh báo xác tới ngƣời quản trị hệ thống Tuy nhiên, số lƣợng nhật ký hệ thống từ thiết bị, dịch vụ ứng dụng hệ thống tƣơng đối lớn với nhiều định dạng khác Ngoài ra, khối lƣợng nhật ký hệ thống thu đƣợc lớn nên số thông tin cảnh báo quan trọng bị bỏ qua dẫn đến cố gây an tồn thơng tin khơng đƣợc cảnh báo xử lý kịp thời Do đó, cần có hệ thống để quản lý, tổ chức, theo dõi hiểm họa gây an tồn thơng tin xảy với hệ thống, từ đƣa biện pháp đối phó, ngăn chặn nhằm làm giảm thiệt hại xuống mức thấp Một hệ thống nhƣ đƣợc gọi hệ thống giám sát an ninh mạng Hệ thống giám sát an ninh mạng (GSANM) thực thu thập, quản lý, phân tích kiện an ninh, sau so sánh với dấu hiệu tập luật có sẵn nhằm đƣa đánh giá cảnh báo cho ngƣời quản trị hệ thống Tuy nhiên, việc cập nhật tập luật cách thƣờng xuyên việc làm vơ cần thiết, bên cạnh việc bổ sung định dạng liệu nhật ký chƣa có cho hệ thống quan trọng, nhằm nâng cao hiệu cho hệ thống GSANM Do vậy, luận văn hƣớng tới mục tiêu nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng để đƣa cảnh báo công Trong luận văn tiến hành (i) khảo sát thực tế tập luật có hệ thống giám sát Ban Cơ yếu Chính phủ; từ (ii) tiến hành đề xuất mơ hình cải tiến tập luật có; (iii) thử nghiệm mơ hình đề xuất cải tiến tập luật với định hƣớng nâng cao hiệu khả giám sát hệ thống mạng nhƣ đƣa cảnh báo xác tới ngƣời quản trị hệ thống Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and Event Management) LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng” cơng trình nghiên cứu cá nhân dƣới hƣớng dẫn TS Nguyễn Ngọc Hóa, trung thực khơng chép tác giả khác Trong toàn nội dung nghiên cứu luận văn, vấn đề đƣợc trình bày tìm hiểu nghiên cứu cá nhân tơi đƣợc trích dẫn từ nguồn tài liệu có ghi tham khảo rõ ràng, hợp pháp Tơi xin chịu trách nhiệm hình thức kỷ luật theo quy định cho lời cam đoan Hà Nội, ngày tháng 10 năm 2015 Nguyễn Thị Thu Hằng MỤC LỤC LỜI CẢM ƠN TÓM TẮT 1i LỜI CAM ĐOAN MỤC LỤC .4 DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT .6 DANH MỤC BẢNG Error! Bookmark not defined MỞ ĐẦU Error! Bookmark not defined CHƢƠNG I: KHẢO SÁT, ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT AN NINH MẠNG Error! Bookmark not defined 1.1 Tình hình chung Error! Bookmark not defined 1.1.1 Tình hình giám sát an ninh mạng số nƣớc giới Error! Bookmark not defined 1.1.2 Tình hình giám sát an ninh mạng Việt Nam Error! Bookmark not defined 1.2 Hệ thống GSANM đƣợc triển khai Error! Bookmark not defined 1.2.1 Giới thiệu hệ thống GSANM Error! Bookmark not defined 1.2.2 Các thành phần chức hệ thống GSANM Error! Bookmark not defined 1.2.3 1.3 Mơ hình hệ thống GSANM Error! Bookmark not defined Giao diện quản lý hệ thống GSANM Error! Bookmark not defined CHƢƠNG II: NGHIÊN CỨU MỘT SỐ DẠNG TẤN CÔNG PHỔ BIẾN VÀO ỨNG DỤNG WEB Error! Bookmark not defined 2.1 Các kỹ thuật công phổ biến vào ứng dụng Web Error! Bookmark not defined 2.1.1 Kỹ thuật công Tiêm mã SQL Error! Bookmark not defined 2.1.2 Kỹ thuật công XSS Error! Bookmark not defined 2.1.3 Kỹ thuật công Tràn đệm Error! Bookmark not defined 2.2 Các kỹ thuật công vƣợt qua Tƣờng lửa ứng dụng web Error! Bookmark not defined 2.2.1 Tƣờng lửa ứng dụng web gì? Error! Bookmark not defined 2.2.2 Một số phƣơng pháp công vƣợt thiết bị Tƣờng lửa ứng dụng web………………………………………………………………………… Error ! Bookmark not defined CHƢƠNG III: PHƢƠNG PHÁP TRÍCH XUẤT CÁC TRƢỜNG THƠNG TIN QUAN TRỌNG TỪ NHẬT KÝ HỆ THỐNG Error! Bookmark not defined 3.1 Yêu cầu thực tiễn Error! Bookmark not defined 3.2 Giải pháp trích xuất trƣờng thông tin quan trọng từ nhật ký hệ thống hệ thống……………………………………………………………………………… E rror! Bookmark not defined 3.2.1 Mơ hình chung Error! Bookmark not defined 3.2.2 Các bƣớc thực Error! Bookmark not defined CHƢƠNG IV: XÂY DỰNG TẬP LUẬT CẢNH BÁO TẤN CÔNG CHO HỆ THỐNG GIÁM SÁT AN NINH MẠNG VÀ TRIỂN KHAI THỬ NGHIỆM Error! Bookmark not defined 4.1 Thực trạng hệ thống GSANM Ban Cơ yếu Chính phủ Error! Bookmark not defined 4.2 Các luật bổ sung vào hệ thống GSANM Error! Bookmark not defined 4.3 Các bƣớc tạo luật cho hệ thống GSANM Error! Bookmark not defined 4.4 Thực nghiệm triển khai hệ thống GSANM TTCNTT&GSANM Error! Bookmark not defined 4.4.1 Mơ hình thực nghiệm Error! Bookmark not defined 4.4.2 Thu thập nhật ký hệ thống Error! Bookmark not defined 4.5 Kết thực nghiệm Error! Bookmark not defined KẾT LUẬN CHUNG Error! Bookmark not defined TÀI LIỆU THAM KHẢO .10 DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT API DOM Application Programming Interface Document Object Model EC Event Collecter EP Event Processor FC Flow Collector FP Flow Processor GSANM Giám sát an ninh mạng HTML Hyper Text Markup Language HTTP Hyper Text Transfer Protocol HTTPS Hyper Text Transfer Protocol Secure IBM International Business Machine IDS Instrusion Detection System IIS Internet Information Service IPS Instrusion Prevention System OSI Open Systems Interconnection Regex Regular Expression SIEM Security Information and Event Management SQL Structured Query Language SSH Secure Shell TTCNTT & GSANM Trung tâm Công nghệ Thông tin & Giám sát an ninh mạng URL Unifrom Resource Locator VPN Virtual Private Network W3C World Wide Web Consortium WAF Tƣờng lửa ứng dụng web XML Extensible Markup Language XSS Cross-site Scripting DANH MỤC HÌNH VẼ Hình 1.1: Các thành phần hệ thống GSANM Error! Bookmark not defined Hình 1.2: Mơ hình hệ thống GSANM phân tán Error! Bookmark not defined Hình 1.3: Mơ hình hệ thống GSANM độc lập Error! Bookmark not defined Hình 1.4: Tap Dashboard Error! Bookmark not defined Hình 1.5: Tap Offenses Error! Bookmark not defined Hình 1.6: Tap Log Activity Error! Bookmark not defined Hình 1.7: Network Activity Error! Bookmark not defined Hình 1.8: Tap Asset Error! Bookmark not defined Hình 1.9: Tap Report Error! Bookmark not defined Hình 1.10: Tab Admin Error! Bookmark not defined Hình 2.1: Ví dụ trang Web mua sắm trực tuyến Error! Bookmark not defined Hình 2.2: Minh họa trang web có lỗi XSS Error! Bookmark not defined Hình 2.3: Thơng điệp lỗi tự động đƣợc tạo Error! Bookmark not defined Hình 2.4: Các bƣớc thực hiên cơng Reflected XSS Error! Bookmark not defined Hình 2.5: Các bƣớc thực Stored XSS Error! Bookmark not defined Hình 2.6: Các bƣớc thực cơng DOM-Based XSS Error! Bookmark not defined Hình 2.7: Ví dụ mô tả tràn đệm Heap Error! Bookmark not defined Hình 3.1: Mơ hình trích xuất trƣờng thông tin quan trọng từ nhật ký hệ thống Error! Bookmark not defined Hình 3.2: Giao diện Adaptive Log Exporter Error! Bookmark not defined Hình 3.3: Định dạng mẫu chung log Error! Bookmark not defined Hình 3.4: Kết thực cú pháp tìm tên kiện FTP Error! Bookmark not defined Hình 3.5: Kết thực cú pháp tìm địa IP nguồn Error! Bookmark not defined Hình 3.6: Xác định tên kiện Error! Bookmark not defined Hình 3.7: Xác định thông tin cụ thể khác cho nhật ký hệ thống Error! Bookmark not defined Hình 3.9: Log đƣợc định dạng Error! Bookmark not defined Hình 3.10: Thêm định dạng vào hệ thống GSANM Error! Bookmark not defined Hình 4.1: Các luật có hệ thống Error! Bookmark not defined Hình 4.2: Các tập luật có sẵn hệ thống GSANM Error! Bookmark not defined Hình 4.3: Xác định lƣu lƣợng thiết bị, toàn lƣu lƣợng mạng hệ thống phút Error! Bookmark not defined Hình 4.4: Các bƣớc cải tiến tập luật cho hệ thống Error! Bookmark not defined Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0 Error! Bookmark not defined Hình 4.6: Cấu hình thu thập nhật ký hệ thống hệ thống GSNAM Error! Bookmark not defined Hình 4.7: Nhật ký hệ thống đƣợc hiển thị theo thời gian thực Error! Bookmark not defined Hình 4.8: Các thơng số khác nhật ký hệ thống Error! Bookmark not defined Hình 4.9: Khai báo máy chủ vào phần Web Server Error! Bookmark not defined Hình 4.10: Phân thích payload thu đƣợc xác đinh dấu hiệu cơng Error! Bookmark not defined Hình 4.11: Các bƣớc tạo luật Error! Bookmark not defined Hình 4.12: Xác định tham số cho luật Error! Bookmark not defined Hình 4.13: Định lƣợng mức độ rủi ro luật tham số khác Error! Bookmark not defined Hình 4.14: Kết thúc trình tạo luật Error! Bookmark not defined Hình 4.15: Mơ hình thực nghiệm Error! Bookmark not defined Hình 4.16: Nhật ký hệ thống thu thập đƣợc từ máy chủ web Error! Bookmark not defined Hình 4.17: Payload đƣợc hệ thống GSANM thu thập đƣợc Error! Bookmark not defined Hình 4.19: Các tập luật đƣợc đƣa vào hệ thống GSANM Error! Bookmark not defined Hình 4.20: Cảnh báo tƣợng bất thƣờng công vào hệ thống mạng đƣợc giám sát Error! Bookmark not defined Hình 4.21: Các cảnh báo cơng khác mà hệ thống GSANM thu đƣợc Error! Bookmark not defined Hình 4.22: Nhật ký hệ thống cảnh báo thu đƣợc Error! Bookmark not defined Hình 4.23: Hệ thống đƣa cảnh báo công LFI Error! Bookmark not defined Hình 4.24: Hệ thống đƣa cảnh báo công khác Error! Bookmark not defined 10 TÀI LIỆU THAM KHẢO [1] Symantec, ISTR 20 Internet Security Threat Report Appendices, Symantec, 2015 [2] James A Lewis, Katrina Timlin, “Cybersecurity and Cyberwarfare”, Center for Strategic and International Studies, 2011 [3] P.W Singer, Allan Friedman, Cybersecurity and Cyberwar, Oxford University Press, 2014 [4] Richard Bejtlich, The Practice of Network Security Monitoring, 2013 [5] IBM, IBM Security Qradar SIEM, IBM Corporation, 2013 [6] IBM, IBM Security Qradar Version 7.2.4 Hardware Guide, IBM Corporation, 2014 – 2015 [7] IBM, IBM Security Qradar 7.1.x and 7.2.x DSM Configuration Guide, IBM Coporation, 2015 [8] Pushkar Y.Jane, M.S.Chaudhari, “SQLIA: Detection and Prevention Techniques: A Survey”, IOSR Journal of Computer Engineering (IOSR-JCE), 2012 [9] Jeremiah Grossman, Robert Hansen, Petko D Petkov, Anton Rager, Seth Fogie, XSS Attacks Cross Site Scripting Exploits and Defense, Syngress Publishing, 2007 [10] Eric Chien and Péter Ször, Blended Attacks Exploit, Vulnerabilities and BufferOverflow Techniques in Computer Viruses, Symantec Security Response, 2002 [11] James C Foster, Vitaly Osipov, Nish Bhalla, Tràn đệm Attacks: Detect, Exploit, Prevent, Syngress Publishing, 2005 [12] Imperva, Web Application Attack Report #5, Imperva, 2014 [13] Juniper Networks, Security Threat Response Manager: Adaptive Log Exporter Users Guide, Juniper Network, 2012 [14] Jan Goyvaerts, Regular Expression: The Complete Tutorial, http://www.regularexpressions.info/print.html, 2007 [15] Michael Stanton, A Qradar Log Source Extension Walkthrough, SANS Institute InforSec Reading Room, 2014 Trang web [16] http://mic.gov.vn/gioithieu/Trang/Gi%E1%BB%9Bithi%E1%BB%87u.aspx [17] http://vnisa.org.vn/gioi-thieu-vnisa 11 ... hệ thống Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and Event Management) LỜI CAM ĐOAN Tôi xin cam đoan luận văn Nghiên cứu cải tiến tập luật hệ thống giám sát an ninh. .. GSANM Do vậy, luận văn hƣớng tới mục tiêu nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng để đƣa cảnh báo công Trong luận văn tiến hành (i) khảo sát thực tế tập luật có hệ thống giám. .. HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ THU HẰNG NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG HỆ THỐNG GIÁM SÁT AN NINH MẠNG Ngành: Công nghệ Thông tin Chuyên ngành: Hệ thống Thông tin Mã số: 60.48.01.04