ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ THU HẰNG NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG HỆ THỐNG GIÁM SÁT AN NINH MẠNG LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN Hà Nội - 2015 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ THU HẰNG NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG HỆ THỐNG GIÁM SÁT AN NINH MẠNG Ngành: Công nghệ Thông tin Chuyên ngành: Hệ thống Thông tin Mã số: 60.48.01.04 LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN NGỌC HÓA Hà Nội - 2015 LỜI CẢM ƠN Luận văn Thạc sĩ thực Đại học Công nghệ - Đại học Quốc gia Hà Nội hướng dẫn TS Nguyễn Ngọc Hóa Xin gửi lời cảm ơn sâu sắc đến thầy Nguyễn Ngọc Hóa ý kiến quý báu liên quan đến định hướng khoa học, liên tục quan tâm, tạo điều kiện thuận lợi cho suốt q trình nghiên cứu hồn thành luận văn Tôi xin gửi lời cảm ơn đến thầy, cô Bộ môn Hệ thống Thông tin Khoa Công nghệ Thông tin mang lại cho kiến thức vơ q giá bổ ích q trình theo học trường Tơi xin gửi lời cảm ơn tới đồng chí lãnh đạo đơn vị nơi công tác tạo điều kiện thời gian để tơi hồn thành chương trình học Bên cạnh tơi xin gửi lời cám ơn tới đồng nghiệp Ban yếu Chính phủ tạo điều kiện giúp đỡ tơi hồn thành khóa luận cách tốt Cuối xin chân thành cảm ơn đến học viên cao học khóa K19, K20, K21 giúp đỡ suốt thời gian học tập Do thời gian kiến thức có hạn nên luận văn khơng tránh khỏi thiếu sót định Tơi mong nhận góp ý quý báu thầy cô bạn Hà Nội, ngày tháng 10 năm 2015 Nguyễn Thị Thu Hằng i TÓM TẮT Ngày với phát triển mạnh mẽ Internet làm tăng nguy an tồn rị rỉ thông tin Để hạn chế vấn đề hệ thống mạng cần có biện pháp cụ thể để kiểm sốt tình trạng hệ thống có biện pháp đối phó cụ thể có cơng xảy Vậy vấn đề đặt người quản trị hệ thống cần có nhìn tổng qt tranh hệ thống mạng dựa việc thu thập liệu vào hệ thống từ thiết bị, dịch vụ ứng dụng sử dụng hệ thống chẳng hạn như: Mail Server, Firewall, IDS (Intrusion Detection System), IPS (Intrusion Prevention System), Anti-Virus,… Những liệu sau phân tích đối chiếu với dấu hiệu, tập luật có sẵn để đánh giá đưa cảnh báo xác tới người quản trị hệ thống Tuy nhiên, số lượng nhật ký hệ thống từ thiết bị, dịch vụ ứng dụng hệ thống tương đối lớn với nhiều định dạng khác Ngoài ra, khối lượng nhật ký hệ thống thu lớn nên số thông tin cảnh báo quan trọng bị bỏ qua dẫn đến cố gây an tồn thơng tin khơng cảnh báo xử lý kịp thời Do đó, cần có hệ thống để quản lý, tổ chức, theo dõi hiểm họa gây an toàn thơng tin xảy với hệ thống, từ đưa biện pháp đối phó, ngăn chặn nhằm làm giảm thiệt hại xuống mức thấp Một hệ thống gọi hệ thống giám sát an ninh mạng Hệ thống giám sát an ninh mạng (GSANM) thực thu thập, quản lý, phân tích kiện an ninh, sau so sánh với dấu hiệu tập luật có sẵn nhằm đưa đánh giá cảnh báo cho người quản trị hệ thống Tuy nhiên, việc cập nhật tập luật cách thường xuyên việc làm vơ cần thiết, bên cạnh việc bổ sung định dạng liệu nhật ký chưa có cho hệ thống quan trọng, nhằm nâng cao hiệu cho hệ thống GSANM Do vậy, luận văn hướng tới mục tiêu nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng để đưa cảnh báo công Trong luận văn tiến hành (i) khảo sát thực tế tập luật có hệ thống giám sát Ban Cơ yếu Chính phủ; từ (ii) tiến hành đề xuất mơ hình cải tiến tập luật có; (iii) thử nghiệm mơ hình đề xuất cải tiến tập luật với định hướng nâng cao hiệu khả giám sát hệ thống mạng đưa cảnh báo xác tới người quản trị hệ thống Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and Event Management) ii LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng” cơng trình nghiên cứu cá nhân hướng dẫn TS Nguyễn Ngọc Hóa, trung thực khơng chép tác giả khác Trong toàn nội dung nghiên cứu luận văn, vấn đề trình bày tìm hiểu nghiên cứu cá nhân tơi trích dẫn từ nguồn tài liệu có ghi tham khảo rõ ràng, hợp pháp Tơi xin chịu trách nhiệm hình thức kỷ luật theo quy định cho lời cam đoan Hà Nội, ngày tháng 10 năm 2015 Nguyễn Thị Thu Hằng iii MỤC LỤC LỜI CẢM ƠN i TÓM TẮT ii LỜI CAM ĐOAN iii MỤC LỤC iv DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT vi DANH MỤC BẢNG x MỞ ĐẦU CHƯƠNG I: KHẢO SÁT, ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT AN NINH MẠNG.3 1.1 Tình hình chung 1.1.1 Tình hình giám sát an ninh mạng số nước giới .3 1.1.2 Tình hình giám sát an ninh mạng Việt Nam 1.2 Hệ thống GSANM triển khai 1.2.1 Giới thiệu hệ thống GSANM 1.2.2 Các thành phần chức hệ thống GSANM 1.2.3 Mô hình hệ thống GSANM 1.3 Giao diện quản lý hệ thống GSANM 11 CHƯƠNG II: NGHIÊN CỨU MỘT SỐ DẠNG TẤN CÔNG PHỔ BIẾN VÀO ỨNG DỤNG WEB 16 2.1 Các kỹ thuật công phổ biến vào ứng dụng Web 16 2.1.1 Kỹ thuật công Tiêm mã SQL 16 2.1.2 Kỹ thuật công XSS 22 2.1.3 Kỹ thuật công Tràn đệm 31 2.2 Các kỹ thuật công vượt qua Tường lửa ứng dụng web 34 2.2.1 Tường lửa ứng dụng web gì? 34 2.2.2 Một số phương pháp công vượt thiết bị Tường lửa ứng dụng web………………………………………………………………………… 35 CHƯƠNG III: PHƯƠNG PHÁP TRÍCH XUẤT CÁC TRƯỜNG THƠNG TIN QUAN TRỌNG TỪ NHẬT KÝ HỆ THỐNG 39 3.1 Yêu cầu thực tiễn 39 3.2 Giải pháp trích xuất trường thông tin quan trọng từ nhật ký hệ thống hệ thống……………………………………………………………………………… 40 3.2.1 Mơ hình chung 40 3.2.2 Các bước thực 40 iv CHƯƠNG IV: XÂY DỰNG TẬP LUẬT CẢNH BÁO TẤN CÔNG CHO HỆ THỐNG GIÁM SÁT AN NINH MẠNG VÀ TRIỂN KHAI THỬ NGHIỆM 52 4.1 Thực trạng hệ thống GSANM Ban Cơ yếu Chính phủ 52 4.2 Các luật bổ sung vào hệ thống GSANM 53 4.3 Các bước tạo luật cho hệ thống GSANM 55 4.4 Thực nghiệm triển khai hệ thống GSANM TTCNTT&GSANM 62 4.4.1 Mơ hình thực nghiệm 62 4.4.2 Thu thập nhật ký hệ thống 63 4.5 Kết thực nghiệm 64 KẾT LUẬN CHUNG 69 TÀI LIỆU THAM KHẢO 70 v DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT API DOM Application Programming Interface Document Object Model EC Event Collecter EP Event Processor FC Flow Collector FP Flow Processor GSANM Giám sát an ninh mạng HTML Hyper Text Markup Language HTTP Hyper Text Transfer Protocol HTTPS Hyper Text Transfer Protocol Secure IBM International Business Machine IDS Instrusion Detection System IIS Internet Information Service IPS Instrusion Prevention System OSI Open Systems Interconnection Regex Regular Expression SIEM Security Information and Event Management SQL Structured Query Language SSH Secure Shell TTCNTT & GSANM Trung tâm Công nghệ Thông tin & Giám sát an ninh mạng vi URL Unifrom Resource Locator VPN Virtual Private Network W3C World Wide Web Consortium WAF Tường lửa ứng dụng web XML Extensible Markup Language XSS Cross-site Scripting vii DANH MỤC HÌNH VẼ Hình 1.1: Các thành phần hệ thống GSANM Hình 1.2: Mơ hình hệ thống GSANM phân tán Hình 1.3: Mơ hình hệ thống GSANM độc lập 11 Hình 1.4: Tap Dashboard 11 Hình 1.5: Tap Offenses 12 Hình 1.6: Tap Log Activity 12 Hình 1.7: Network Activity 13 Hình 1.8: Tap Asset 13 Hình 1.9: Tap Report 14 Hình 1.10: Tab Admin 14 Hình 2.1: Ví dụ trang Web mua sắm trực tuyến 23 Hình 2.2: Minh họa trang web có lỗi XSS 24 Hình 2.3: Thơng điệp lỗi tự động tạo 25 Hình 2.4: Các bước thực hiên công Reflected XSS 26 Hình 2.5: Các bước thực Stored XSS 28 Hình 2.6: Các bước thực cơng DOM-Based XSS 31 Hình 2.7: Ví dụ mơ tả tràn đệm Heap 34 Hình 3.1: Mơ hình trích xuất trường thơng tin quan trọng từ nhật ký hệ thống 40 Hình 3.2: Giao diện Adaptive Log Exporter 41 Hình 3.3: Định dạng mẫu chung log 45 Hình 3.4: Kết thực cú pháp tìm tên kiện FTP 47 Hình 3.5: Kết thực cú pháp tìm địa IP nguồn 47 Hình 3.6: Xác định tên kiện 48 Hình 3.7: Xác định thông tin cụ thể khác cho nhật ký hệ thống 49 Hình 3.9: Log định dạng 50 Hình 3.10: Thêm định dạng vào hệ thống GSANM 50 Hình 4.1: Các luật có hệ thống 52 Hình 4.2: Các tập luật có sẵn hệ thống GSANM 53 Hình 4.3: Xác định lưu lượng thiết bị, toàn lưu lượng mạng hệ thống phút 54 Hình 4.4: Các bước cải tiến tập luật cho hệ thống 55 Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0 56 Hình 4.6: Cấu hình thu thập nhật ký hệ thống hệ thống GSNAM 57 viii Để tạo tập luật cho hệ thống, vấn đề xác định rủi ro đối tượng áp dụng tập luật việc trước hết cần làm thu thập nhật ký hệ thống thiết bị Nội dung hướng tới luận văn tạo tập luật cảnh báo công vào ứng dụng web nhằm bổ sung vào hệ thống GSANM triển khai Sau ví dụ cụ thể để tạo tập luật cho hệ thống GSANM Trước hết, người quản trị cần cấu hình thu thập nhật ký hệ thống cho hệ thống GSNAM VD: Quá trình thu thập nhật ký hệ thống cho Web Server IIS 6.0 thực theo nhiều cách khác Tuy nhiên, ví dụ q trình thu thập thực từ hai phía:  Phía máy chủ IIS: Bật tính ghi nhật ký hệ thống rõ thư mục ghi nhật ký hệ thống  Phía hệ thống GSANM: Người quản trị cung cấp Username Password cho hệ thống GSANM đăng nhập vào máy chủ Web Server để lấy nhật ký hệ thống chuyển hệ thống GSANM Quá trình thực theo bước sau: Bước 1: Thực cấu hình ghi nhật ký hệ thống Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0 Bước 2: Khai báo thông tin chi tiết cho hệ thống GSANM thực lấy nhật ký hệ thống Phía hệ thống GSANM, người quản trị khai báo chi tiết thông tin về: Máy chủ, tài khoản cung cấp, giao thức sử dụng để thu thập nhật ký hệ thống, thư mục chứa nhật ký hệ thống 56 Hình 4.6: Cấu hình thu thập nhật ký hệ thống hệ thống GSNAM Sau nhật ký hệ thống IIS gửi hệ thống GSNAM, hệ thống hiển thị nhật ký hệ thống theo thời gian thực tab Log Activity Khi có người dùng truy cập web hệ thống GSANM hiển thị nhật ký hệ thống hình 4.7 Hình 4.7: Nhật ký hệ thống hiển thị theo thời gian thực Và số thông số khác nhật ký hệ thống hình 4.8 57 Hình 4.8: Các thông số khác nhật ký hệ thống Bước 3: Cập nhật thiết bị có hệ thống Thực khai báo máy chủ vừa thu thập nhật ký hệ thống vào phần thiết bị có hệ thống để thuận tiện cho trình tạo luật Hình 4.9: Khai báo máy chủ vào phần Web Server Bước 4: Xác định dấu công để đưa vào tập luật Trước hết, trường hợp người quản trị tạo luật nhận dạng công Tiêm mã SQL sử dụng kỹ thuật UNION, SELECT Để làm việc này, người quản trị cần phân tích payload mà hệ thống GSANM thu 58 Hình 4.10: Phân thích payload thu xác đinh dấu hiệu công Từ trường payload người quản trị xác định thông tin quan trọng như: IP Source, IP Destination,… nhận dấu hiệu công Tiêm mã SQL qua chuỗi request gửi có từ khóa UNION SELECT Bởi kỹ thuật cơng SQL phân chia thành nhiều loại khác nên tạo luật chặn bắt công người quản trị phải phân chia ghi rõ dấu hiệu loại Do trường hợp này, tập luật phát công Tiêm mã SQL sử dụng kỹ thuật UNION SELECT đưa cảnh báo yêu cầu tới máy chủ có kèm chuỗi ký tự Bước 5: Tạo luật Như người quản trị xác định xong yêu cầu trình tạo luật, người quản trị tạo tập luật tab Offenses Quá trình tạo luật thực theo thứ tự sau: a) Xác định nơi quản lý tập luật Rules  Action  New Event Rules (vì luật tạo từ kiện an ninh) Người quản trị chọn đối tượng Web Server khai báo phần để áp dụng cho luật Sau đó, người quản trị thực mô tả dấu hiệu công là: ―Trong nội dung payload có chứa từ khóa UNION SELECT‖ Người quản trị thực đặt tên cho cảnh báo: TAN CONG TIÊM MÃ SQL SU DUNG UNION, SELECT Trong trường hợp này, người quản trị không cần sử dụng ngôn ngữ Regular Expression dấu hiệu nhận dạng đơn giản Tuy nhiên, nhiều trường hợp khác người quản trị tạo nhóm, mẫu để phát công cách sử dụng Regex VD: Nếu kẻ công sử dụng chèn thêm chuỗi ‗or 1=1‘, trường hợp người quản trị không sử dụng Regex để lọc chuỗi chèn vào cơng vượt qua lập luật kẻ cơng chèn chuỗi ‗or 2=2‘ 59 Hình 4.11: Các bước tạo luật b) Xác định tham số cho tập luật Hình 4.12: Xác định tham số cho luật Bước 6: Định lượng mức độ cảnh báo đưa 60 Sau đó, người quản trị thực định lượng mức độ cảnh báo đưa thông số liên quan đến cảnh báo như: Xác định category, mức độ nguy hiểm, mức độ liên quan, hành động phản hồi tập luật áp dụng, gửi cảnh báo qua email hay có lựa chọn khác Hình 4.13: Định lượng mức độ rủi ro luật tham số khác Hình 4.14: Kết thúc trình tạo luật 61 4.4 Thực nghiệm triển khai hệ thống GSANM TTCNTT&GSANM 4.4.1 Mơ hình thực nghiệm Mơ hình thực nghiệm tiến hành TTCNTT&GSANM nhằm thiết kế, bổ sung tập luật đưa cảnh báo có công xảy hệ thống mạng giám sát Mơ hình thực nghiệm bao gồm thành phần sau:  Hệ thống GSANM sử dụng thiết bị phần cứng Qrada IBM hoạt động dạng độc lập có địa IP: 192.168.37.123  Máy chủ Web Server chạy hệ điều hành Windows Server 2003, sử dụng dịch vụ Web Server Internet Information Service (IIS) phiên 6.0 có địa IP: 192.168.37.131  Web ASP cấu hình máy chủ web sử dụng hệ quản trị sở liệu Microsoft Access Hình 4.15: Mơ hình thực nghiệm Mơ hình thực nghiệm tn thủ theo mơ hình GSANM hoạt động độc lập theo tiêu chuẩn SIEM trình bày chương I Việc cấu hình thu thập nhật ký hệ thống trình bày chi tiết chương Hệ thống thu thập nhật ký hệ thống từ máy chủ web theo yêu cầu đặt ra, nhật ký hệ thống hiển thị tab Log Activity giao diện web hệ thống GSANM IBM Qradar 62 Hình 4.16: Nhật ký hệ thống thu thập từ máy chủ web 4.4.2 Thu thập nhật ký hệ thống Webserver thu nhật ký hệ thống dạng sau: 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/mpt.css 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+ (Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20order%20by%2011 192.168.37.131 404 1795 391 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/1x1.gif 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+ (Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20order%20by%2011 192.168.37.131 404 1795 406 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/mpt.css 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+ (Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20UNION%20SELECT%201,2,3,4,5,6%2 0from%20admin 192.168.37.131 404 1795 419 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/1x1.gif 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+ (Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20UNION%20SELECT%201,2,3,4,5,6%2 0from%20admin 192.168.37.131 404 1795 434 63 Như với nhật ký hệ thống thu nhận thấy dạng cơng thực Tiêm mã SQL, từ khóa quan trọng mà kẻ cơng sử dụng UNION, ORDER BY, SELECT Hệ thống GSANM thu nhật ký hệ thống với payload hình 4.17 Với thông tin trường IP, port phân chia rõ ràng payload với nội dung nội dung nhật ký hệ thống mà Web Server thu Hình 4.17: Payload hệ thống GSANM thu thập Như dạng công web dấu hiệu cơng lưu lại hồn tồn nhật ký hệ thống phía server, để tạo luật người quản trị hệ thống phải dựa dấu hiệu mà nhật ký hệ thống lưu lại payload mà hệ thống GSANM thu để đưa cảnh báo Hình 4.18: Các nhật ký hệ thống khác web server thu 4.5 Kết thực nghiệm Các tập luật đưa vào hệ thống GSANM hình 4.19 64 Hình 4.19: Các tập luật đưa vào hệ thống GSANM Sau cảnh báo mà hệ thống GSANM gửi tới người quản trị hệ thống Hình 4.20: Cảnh báo tượng bất thường công vào hệ thống mạng giám sát 65 Hình 4.21: Các cảnh báo cơng khác mà hệ thống GSANM thu Hình 4.22: Nhật ký hệ thống cảnh báo thu Các cảnh báo khác hệ thống GSANM gửi tới người quản trị hệ thống hình 4.23 66 Hình 4.23: Hệ thống đưa cảnh báo cơng LFI Hình 4.24: Hệ thống đưa cảnh báo công khác Sau thu thập nhật ký hệ thống, cải tiến tập luật cho hệ thống mạng cụ thể hệ thống GSANM đưa cảnh báo công từ luật tạo góp phần vào việc nâng cao hiệu GSANM Trên hệ thống GSANM có khoảng 300 luật số luật chưa chỉnh sửa cho phù hợp với trạng mạng giám sát nên hệ thống luật chưa thực hoạt động hiệu Kết luận văn xây dựng khoảng 40 luật cho hệ thống GSANM bao gồm luật phát hiện tượng bất thường luật cảnh báo công web phổ biến Các luật dựa nguồn nhật ký hệ thống thu được, từ sử dụng biểu thức quy để lọc dấu hiệu cơng Q trình xác định biểu thức quy thử nghiệm nhật ký hệ thống ban đầu kết trả khớp với dấu hiệu xác định nhận dạng công tương tự trình bày phần xác đinh trường thông tin quan trọng 67 Tổng kết chương IV Chương tập trung vào việc thiết kế cập nhật tập luật vào hệ thống GSANM nhằm giúp đưa cảnh báo xác đến người quản trị hệ thống Sau thực triển khai thử nghiệm hệ thống GSANM TTCNTT&GSANM thu kết tích cực với tập luật thiết kế phù hợp với hệ thống mạng cụ thể hệ thống GSANM đưa tất cảnh báo kẻ công thực công vào hệ thống mạng giám sát 68 KẾT LUẬN CHUNG Các kết đạt luận văn - - - Giới thiệu tình hình giám sát an ninh mạng giới Việt Nam Đồng thời nghiên cứu mơ hình tổng quan hệ thống giám sát an ninh mạng Nghiên cứu số kỹ thuật công ứng dụng Web cụ thể số công vượt qua tường lửa ứng dụng Web Nghiên cứu phương pháp trích xuất trường thơng tin quan trọng từ nguồn nhật ký hệ thống để xây dựng định dạng cho nguồn liệu nhật ký chưa có hệ thống GSANM Nghiên cứu thiết kế luật cho hệ thống giám sát an ninh mạng Xây dựng tập luật phát số công vào ứng dụng Web tập luật phát hiện tượng bất thường hệ thống Những hướng nghiên cứu tiếp theo: - Nghiên cứu xây dựng tập luật phát tất cơng xảy hệ thống mạng giám sát - Nghiên cứu phát xác cơng vào hệ thống mạng giám sát - Nghiên cứu nâng cao tính xác cho cảnh báo đưa - Nghiên cứu ứng dụng cho hệ thống GSANM quan nhà nước 69 TÀI LIỆU THAM KHẢO [1] Symantec, ISTR 20 Internet Security Threat Report Appendices, Symantec, 2015 [2] James A Lewis, Katrina Timlin, ―Cybersecurity and Cyberwarfare”, Center for Strategic and International Studies, 2011 [3] P.W Singer, Allan Friedman, Cybersecurity and Cyberwar, Oxford University Press, 2014 [4] Richard Bejtlich, The Practice of Network Security Monitoring, 2013 [5] IBM, IBM Security Qradar SIEM, IBM Corporation, 2013 [6] IBM, IBM Security Qradar Version 7.2.4 Hardware Guide, IBM Corporation, 2014 – 2015 [7] IBM, IBM Security Qradar 7.1.x and 7.2.x DSM Configuration Guide, IBM Coporation, 2015 [8] Pushkar Y.Jane, M.S.Chaudhari, “SQLIA: Detection and Prevention Techniques: A Survey”, IOSR Journal of Computer Engineering (IOSR-JCE), 2012 [9] Jeremiah Grossman, Robert Hansen, Petko D Petkov, Anton Rager, Seth Fogie, XSS Attacks Cross Site Scripting Exploits and Defense, Syngress Publishing, 2007 [10] Eric Chien and Péter Ször, Blended Attacks Exploit, Vulnerabilities and BufferOverflow Techniques in Computer Viruses, Symantec Security Response, 2002 [11] James C Foster, Vitaly Osipov, Nish Bhalla, Tràn đệm Attacks: Detect, Exploit, Prevent, Syngress Publishing, 2005 [12] Imperva, Web Application Attack Report #5, Imperva, 2014 [13] Juniper Networks, Security Threat Response Manager: Adaptive Log Exporter Users Guide, Juniper Network, 2012 [14] Jan Goyvaerts, Regular Expression: The Complete Tutorial, http://www.regularexpressions.info/print.html, 2007 [15] Michael Stanton, A Qradar Log Source Extension Walkthrough, SANS Institute InforSec Reading Room, 2014 Trang web [16] http://mic.gov.vn/gioithieu/Trang/Gi%E1%BB%9Bithi%E1%BB%87u.aspx [17] http://vnisa.org.vn/gioi-thieu-vnisa 70 ... hệ thống Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and Event Management) ii LỜI CAM ĐOAN Tôi xin cam đoan luận văn ? ?Nghiên cứu cải tiến tập luật hệ thống giám sát an. .. GSANM Do vậy, luận văn hướng tới mục tiêu nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng để đưa cảnh báo công Trong luận văn tiến hành (i) khảo sát thực tế tập luật có hệ thống giám. .. cho hệ thống giám sát an ninh mạng Trong luận văn nghiên cứu hệ thống giám sát an ninh mạng triển khai, nghiên cứu kỹ thuật công phổ biến vào ứng dụng Web, nhằm đưa dấu hiệu công để thiết kế tập