Hệ thống quản lý và phân tích sự kiên an ninh thông tin và ứng dụng Hệ thống quản lý và phân tích sự kiên an ninh thông tin và ứng dụng Hệ thống quản lý và phân tích sự kiên an ninh thông tin và ứng dụng luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN VĂN VƠN HỆ THỐNG QUẢN LÝ VÀ PHÂN TÍCH SỰ KIỆN AN NINH THƠNG TIN VÀ ỨNG DỤNG Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SĨ KỸ THUẬT CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS NGUYỄN LINH GIANG Hà Nội - 2018 MỤC LỤC LỜI CẢM ƠN I LỜI CAM ĐOAN II DANH MỤC TỪ VIẾT TẮT III DANH MỤC BẢNG IV DANH MỤC HÌNH VẼ .V MỞ ĐẦU VI CHƯƠNG I: NGUY CƠ MẤT AN TOÀN AN NINH MẠNG VÀ HỆ THỐNG SIEM 1.1 Tổng quan chung tình hình an ninh mạng 1.2 Các mối đe dọa an ninh mạng 1.3 1.4 1.2.1 Bot 1.2.2 Phishing 1.2.3 Ransomeware – mã độc tống tiền 1.2.4 Virus 1.2.5 Phần mềm gián điệp 1.2.6 Tấn cơng có chủ đích (APT) 10 1.2.7 Tấn công từ chối dịch vụ (DDoS) 10 Tổng quan hệ thống SIEM 11 1.3.1 Tầm quan trọng hệ thống SIEM 12 1.3.2 Thành phần hệ thống SIEM 13 1.3.3 Thành phần thu thập liệu, nhật ký 14 1.3.4 Thành phần phân tích lưu trữ liệu, nhật ký 16 1.3.5 Thành phần quản lý tập trung, giám sát 18 Những giải pháp SIEM có thị trường 19 1.4.1 Giải pháp HP ArcSight ESM 19 1.4.2 Giải pháp IBM Security Qradar 21 1.4.3 Giải pháp Mcafee ESM 22 1.4.4 Giải pháp MARS 24 1.4.5 Giải pháp AlienVault OSSIM 25 CHƯƠNG II: HỆ THỐNG SPLUNK 26 2.1 Tổng quan giải pháp splunk 26 2.1.1 2.2 2.3 2.4 Giới thiệu Splunk 26 Tính giải pháp Splunk 28 2.2.1 Quản lý ứng dụng: 28 2.2.2 Quản lý hoạt động công nghệ thông tin 30 2.2.3 An ninh thông tin 35 Thành phần Splunk 36 2.3.1 Splunk Forwarder 37 2.3.2 Splunk Indexer 39 2.3.3 Splunk Search Head 40 Cơ chế hoạt động 41 2.4.1 Giai đoạn nhập liệu 41 2.4.2 Giai đoạn lưu trữ liệu 42 2.4.3 Giai đoạn tìm kiếm liệu 43 CHƯƠNG III: XÂY DỰNG ỨNG DỤNG GIÁM SÁT MẠNG 44 CHO HỆ THỐNG MẠNG VIETNAM AIRLINES 44 3.1 Khảo sát hệ thống mạng Vietnam Airlines 44 3.1.1 Mơ hình hệ thống mạng 44 3.1.2 Hiện trạng hệ thống mạng 45 3.2 Phân tích, đánh giá nguy cơ, rủi ro hệ thống mạng 46 3.3 Đề xuất giải pháp, yêu cầu hệ thống giám sát kiện an ninh thông tin cho hệ thống CNTT Vietnam Airlines 50 3.4 3.5 3.3.1 Yêu cầu hệ thống giám sát kiện an ninh 50 3.3.2 Lựa chọn Giải pháp 50 Kiến trúc hệ thống 53 3.4.1 Thành phần thu thập thông tin Splunk 54 3.4.2 Thành phần phân tích, lưu trữ cảnh báo 58 3.4.3 Thành phần giám sát Dashboard 62 Thử nghiệm đánh giá kết 65 3.6 3.5.1 Thử nghiệm 65 3.5.2 Đánh giá kết 71 3.5.3 Khó khăn, tồn hệ thống xây dựng 71 Hướng phát triển 72 KẾT LUẬN .73 TÀI LIỆU THAM KHẢO 75 LỜI CẢM ƠN Để hoàn thành Luận văn Thạc sĩ mình, Tơi xin gửi lời cảm ơn chân thành đến Ban Giám Hiệu, Viện Đào Tạo Sau Đại Học, Viện Công Nghệ Thông Tin Truyền Thông Giảng viên trường Đại Học Bách khoa Hà Nội nhiệt tình truyền đạt kiến thức quý báu cho tơi suốt q trình học tập hồn thành Luận văn Thạc sĩ Tôi xin gửi lời cảm ơn tới PGS.TS Nguyễn Linh Giang – Người trực tiếp bảo, hướng dẫn tơi suốt q trình nghiên cứu hồn thành Luận văn Thạc sĩ Tơi xin chân thành cảm ơn anh, chị đồng nghiệp Phịng Hạ tầng Cơng nghệ thơng tin Cơng ty cổ phần tin học Viễn Thông – Hàng Không (AITS) giúp đỡ tơi suốt q trình thực đề tài Sau xin gửi lời biết ơn sâu sắc đến người thân gia đình ln tạo điều kiện tốt cho tơi suốt q trình học thực luận văn Do thời gian có hạn kinh nghiệm nghiên cứu khoa học chưa nhiều nên luận văn cịn nhiều thiếu sót, mong nhận ý kiến góp ý Thầy/Cơ anh chị học viên đồng nghiệp Hà Nội, ngày….tháng….năm 2018 Học viên Nguyễn Văn Vơn I LỜI CAM ĐOAN Tôi xin cam đoan luận văn thạc sĩ kỹ thuật nghiên cứu thực hướng dẫn khoa học PGS.TS Nguyễn Linh Giang Các kết tự nghiên cứu tham khảo từ nguồn tài liệu cơng trình nghiên cứu khoa học khác trích dẫn đầy đủ Nếu có vấn đề sai phạm quyền, tơi xin hồn tồn chịu trách nhiệm trước nhà trường Hà Nội, ngày… tháng……năm 2018 Học viên Nguyễn Văn Vơn II DANH MỤC TỪ VIẾT TẮT C&C Command and control DNS Domain name server IRC Internet relay chat DoS Denial of Service APT Advanced Persistent Threat SIEM Security information and event management CNTT Công nghệ thông tin SOC Security Operations Center LAN Local area network XSS Cross – site scripting AITS Aviation IT solutions IPS Intrusion Prevention Systems IDS Intrusion detection system SIEM Security Infomation and Event Management TCP Transmission Control Protocol UDP User Datagram Protocol API Application Programming Interface CNTT Cồn nghệ thông tin ANTT An ninh thơng tin SIM Security Infomation Management ATTT An tồn thông tin DDOS Distributed Denial of Service DMZ Demilitarized Zone IoT WAF Vietnam Airlines Internet of thing Web Application Firewall Tổng công ty Hàng Không Việt Nam III DANH MỤC BẢNG Bảng 2.1 : So sánh công cụ forwarder .38 Bảng 3.1: Các hệ thống CNTT Vietnam Airlines 45 Bảng 3.2: Log hệ thống thu thập .55 Bảng 3.3: Luật cảnh báo hệ thống 59 IV DANH MỤC HÌNH VẼ Hình 1.1 Mơ hình mạng botnet thường gặp .4 Hình 1.2: Mơ hình cơng phishing Hình 1.3: Dữ liệu, nhật ký hệ thống SIEM thu thập 14 Hình 2.1: Kiến trúc Splunk 26 Hình 2.2: Bảng đánh giá giải pháp SIEM Gartner 2017 .27 Hình 2.3: Các loại Data, log mà Splunk xử lý 28 Hình 2.4: Mơ hình kiến trúc Splunk 37 Hình 2.5: Mơ hình kiến trúc Splunk 41 Hình 3.1: Mơ hình mạng Vietnam Airlines .44 Hình 3.2: kiến trúc tổng quan hệ thống 53 Hình 3.3: Mơ hình hoạt động thành phần phân tích 60 Hình 3.4: Bộ truy vấn dùng để phân tích 61 Hình 3.6: Thống kê cảnh báo ANTT .63 Hình 3.7: Chi tiết kiện ANTT 64 Hình 3.8: Giao diện Admin hệ thống .64 Hình 3.8: Tập tin powershell 66 Hình 3.9: Đính kèm mã độc vào tập tin doc 66 Hình 3.10: Hệ thống cảnh báo phát kết nối tới địa IP 10.10.10.10 .67 Hình 3.11: Tấn cơng vét cạn công cụ hydra 68 Hình 3.12: Hệ thống giám sát cảnh báo đăng nhập lỗi .68 Hình 3.13: Email cảnh báo công hệ thống giám sát 69 Hình 3.14: Log hệ thống firewall modsecurity 70 Hình 3.15: Cảnh báo cơng web hệ thống giám sát .70 V MỞ ĐẦU Tính cấp thiết đề tài Thế giới bắt đầu bước vào cách mạng công nghiệp lần thứ tư, cách mạng sản xuất gắn liền với đột phá chưa có cơng nghệ, cơng nghệ cảm biến, thiết bị internet of thing đặc biệt liên quan đến kết nối internet Cuộc cách mạng công nghiệp lần thứ tư dự đoán tác động mạnh mẽ đến quốc gia, phủ, doanh nghiệp người dân khắp toàn cầu Trong thời kỳ hội nhập kinh tế mạnh mẽ nay, Việt Nam không nằm xu phát triển giới giới chịu ảnh hưởng mạnh mẽ cách mạng cơng nghiệp lần thứ tư Đây thách thức hội để đưa Việt Nam tiến xa trường quốc tế có bước tiến vượt bậc, thành tựu to lớn xây dựng đất nước thời kỳ đổi Đặc biệt, kỷ nguyên số ngày liệu, thơng tin thành phần vô quan trọng Doanh nghiệp Việc đảm bảo an tồn thơng tin, bảo vệ liệu nhiệm vụ mang tính sống cịn định đến thành bại công ty, doanh nghiệp Do đó, liệu thơng tin doanh nghiệp phải đối mặt với nhiều thách thức lớn nguy công từ tổ chức, cá nhân thù địch, đối thủ cạnh tranh hay tên tội phạm mạng Nghiêm trọng hơn, công mạng xảy ngày nhiều Việt Nam không dừng lại công với động tiền bạc mà xuất cơng mang động trị kinh tế rõ ràng Với sách phát triển phủ điện tử, Việt Nam xây dựng nhiều hệ thống thông tin điện tử quan tổ chức nhà nước mục tiêu liên tục nhắm tới công Năm 2016, Việt Nam Airlines hứng chịu công APT có tổ chức nhắm tới hệ thống thơng tin tổng công ty Hàng Không Việt Nam gây thiệt hại hàng chục tỷ đồng ảnh hưởng khơng nhỏ tới uy tín Việt Nam Cuộc công lời cảnh tỉnh rõ cho ta thấy vấn đề cấp thiết việc VI Splunk lưu trữ dạng phi cấu trúc Splunk thiết kế riêng biệt có Splunk truy xuất ta cần sử dụng DB riêng biệt để lưu trữ kết phần tích truy tìm dấu vết cách nhanh chóng, dễ dàng Hình 3.5: Cảnh báo an ninh lưu trữ sở liệu MongoDB Hệ thống sử dụng MongoDB sở liệu mã nguồn mở, không quan hệ phát triển MongoDB Cơ sở liệu MongoDB lưu trữ liệu dạng tập tin BSON (Binary json) Thông tin liên quan lưu trữ để truy cập truy vấn nhanh thông qua ngôn ngữ truy vấn MongoDB Việc sử dụng MongoDB tăng đáng kể hiệu suất truy vấn phù hợp với hệ thống cần tốc độ phản hồi nhanh khả mở rộng hệ thống cách linh hoạt, mềm dẻo Trong thành phân lưu trữ, phân tích có sử dụng luật, dấu hiệu phát công giúp cho việc phát cảnh báo nguy an ninh hệ thống cho quản trị nhanh chóng thơng qua email 3.4.3 Thành phần giám sát Dashboard Nhằm cung cấp cho người quản trị nhìn tổng quan, rõ ràng tồn vấn đề an ninh, an tồn thơng tin Ngồi ra, Dashboard cịn có mục đích tiết kiệm thời gian tìm kiếm, phân tích tổng hợp cảnh báo ANTT Giúp 62 người quản trị khơng chun có nhìn trực quan đơn giản để dễ dàng đưa phương án xử lý phù hợp cảnh báo ANTT mà hệ thống cảnh báo Dashboard viết ngơn ngữ lập trình PHP với giao diện đơn giản, dễ dàng sử dụng Giao diện hệ thống gồm có thành phần chính: - Dashboard: Gồm hai biểu đồ giúp thống kê cho người quản trị kiện bảo mật xảy nhiều Từ giúp người quản trị dễ dàng nhận định mức độ an toàn hay bảo mật toàn hệ thống Hình 3.6: Thống kê cảnh báo ANTT - Thơng tin chi tiết kiện bảo mật hệ thống: Thông tin chia làm trang cho hệ điều hành khác nhau: Windows, Linux Bao gồm nhiều thông tin chi tiết khác kiện bảo mật có hệ thống xây dựng kịch giám sát, giúp cho quản trị viên nắm rõ thực trạng hệ thống sớm có cách khắc phục kịp thời 63 Hình 3.7: Chi tiết kiện ANTT - Cung cấp giao diện quản trị: Cho phép admin cài đặt lại mật đồng thời xem lại truy cập vào hệ thống giám sát, giúp nhanh chóng ngăn chặn dấu hiệu đăng nhập bất thường Hình 3.8: Giao diện Admin hệ thống Ngoài ra, hệ thống gửi Email thông báo cho người quản trị với thông tin thay đổi hệ thống sau: BruteForce 64 3.5 New Service Installed Powershell TaskSchedule Created Chỉnh sửa tài khoản Cảnh báo công web Thử nghiệm đánh giá kết 3.5.1 Thử nghiệm Các hệ thống CNNT quan trọng chứa thơng bảo mật liên quan tới an tồn Hàng Khơng đa phần cài đặt hai tảng Windows Linux Trong kịch thử nghiệm học viên thử nghiệm áp dụng thực tế hệ điều hành Windows Linux Ubuntu Bên cạnh đó, webstie Vietnam Airlines public môi trường internet phải đối mặt với nhiều nguy cơng tới máy chủ web chiếm quyền kiểm sốt, thay đổi nội dung website Hiện Vietnam Airlines sử dụng giải pháp WAF (Web Application Firewall) nhằm hạn chế rủi ro cho website, kiện ANTT sinh từ hệ thống WAF kiện quan trọng cần phải theo dõi Các kịch công máy chủ windows – cài đặt mã độc vào tập tin văn bản, máy chủ Linux- công vét cạn mật khẩu, cảnh báo công lên máy chủ website mà hệ thống WAF phát được giám sát giao diện Dashboard với đầy đủ thống tin kiện cần thiết phục vụ cho việc thống kê, xử lý cảnh báo ANTT 3.5.1.1 Thử nghiệm phát công windows Kịch thử nghiệm phát công windows cách công máy windows người dùng cuối thông qua mã độc đính kèm tập tin tài liệu Đây kiểu công phổ biến, thường sử dụng đặc biệt hay bị mắc phải quan nhà nước Cuộc thử nghiệm chạy reverse shell thơng qua tính macro Microsoft Office 65 Bước 1: Xây dựng tập tin reverse shell chạy powershell thực kết nối đến địa IP 10.10.10.10 Hình 3.8: Tập tin powershell Bước 2: Thực đính kèm tập tin powershell vào tập tin tài liệu Hình 3.9: Đính kèm mã độc vào tập tin doc Bước 3: Thực chạy tập tin tài liệu có chứa mã độc kiểm tra hệ thống có cảnh báo 66 Hình 3.10: Hệ thống cảnh báo phát kết nối tới địa IP 10.10.10.10 Như vậy, với phương pháp cơng đính kèm mã độc vào tập tin tài liệu, hệ thống phát thành công kịp thời đưa cảnh báo cho người quản trị 3.5.1.2 Thử nghiệm phát công linux Kịch phát công Linux mô công vét cạn đến máy chủ nhiều tổ chức, doanh nghiệp lớn nhỏ phải đối mặt ngày Các quốc công diễn với nhiều quy mơ khác Nhưng mục đích cơng tìm sơ hở việc đặt mật người quản trị hệ thống, chủ quan khơng tn thủ sách việc đặt mật Do đó, Việc phát sớm cảnh báo IP công hệ thống giúp cho quản trị viên nhanh chóng có phương án xử lý kịp thời Cuộc thử nghiệm sử dụng máy khác nhau: - máy kẻ công với IP: 192.168.0.129 - máy chủ chạy Linux đóng giả nạn nhân với IP: 192.168.0.4 - máy chủ thu thập phân tích liệu gửi đến từ máy nạn nhân Bước 1: Tại máy kẻ công sử dụng công cụ Hydra (công cụ tiếng sử dụng công vét cạn) kết hợp với từ điện mật rockyou thực 67 công vét cạn mật với tài khoản “root” – tài khoản có quyền cao hệ thống Hình 3.11: Tấn cơng vét cạn công cụ hydra Bước 2: Kiểm tra hệ thống giám sát Hệ thống phát lượng lớn đăng nhập lỗi tới máy chủ có địa IP 192.168.0.129 với tài khoản “root” số lần đăng nhập lỗi lên tới 114 lần thời điểm Hình 3.12: Hệ thống giám sát cảnh báo đăng nhập lỗi 68 Bước 3: Kiểm tra email cảnh cáo Hệ thống gửi email cảnh báo công bruteforce xảy Hình 3.13: Email cảnh báo cơng hệ thống giám sát Email đính kèm địa liên kết tới Dashboard giúp người quản trị nhanh chóng truy cập tới Dashboard để theo dõi toàn việc xảy Như vậy, hệ thống phát cảnh báo thành công công môi trường Linux 3.5.1.3 Thử nghiệm phát công website Hiện tại, hầu hết trang web Vietnam Airlines public internet phải đối mặt với nhiều rủi ro nguy bị cơng Do đó, biện pháp Vietnam Airlines đặt sử dụng để phịng chống cơng tới doanh nghiệp giải pháp WAF (Web Application Firewall) Giải pháp WAF phát triển dựa modsecurity để phát dấu hiệu công tới hệ thống website Tất trang web đặt sau máy chủ reverse proxy máy chủ tiền hành cài đặt modsecurity nhằm ngăn chặn công Bất kỳ request công tới website phải qua modsecuriy request phân tích có phải request công hay không thông qua tập luật Modsecurity Hiện tại, giải pháp modsecurity thiết lập block 69 request bị nghi request kẻ công thực ghi lại nhật ký hệ thống Hình 3.14: Log hệ thống firewall modsecurity Tất log Splunk Universal Forwarder chuyển tới máy chủ tập trung để xử lý Tại máy chủ Splunk cài đặt Log source type cho modsecurity để hệ thống hiểu dễ dàng phân tích Sau triển khai, hệ thống giám sát phát công tới trang web Vietnam Airlines đưa cảnh báo đây: Hình 3.15: Cảnh báo công web hệ thống giám sát 70 Như vậy, hệ thống thu thập nhật ký firewall cảnh báo thành công xuất công lên hệ thống website 3.5.2 Đánh giá kết Hệ thống quản lý phân tích kiện an ninh thông tin ứng dụng xây dựng nhằm mục đích hỗ trợ việc giám sát phát sớm nguy cơ, cố gây an ninh, an tồn thơng tin hệ thống, hỗ trợ điều tra nguồn gốc công mạng xảy qua giúp tăng cường khả bảo mật cho toàn hệ thống mạng Vietnam Airlines Sau triển khai thực tế, hệ thống Vietnam Airlines giúp người quản trị nhận biết dễ dàng cố xảy hệ thống mạng Vietnam Airlines Đồng thời, hệ thống gửi cảnh báo tới người quản trị qua hệ thống thư điện tử phát cố, nguy hệ thống mạng, giúp người quản trị kịp thời đưa biện pháp phịng, chống thích hợp nhằm đảm bảo an ninh, an tồn thơng tin cho Vietnam Airlines Ngồi ra, Với việc thu thập lưu trữ liệu với chuẩn thống nhất, tập trung nguồn thông tin liệu hỗ trợ tích cực cho việc điều tra, thu thập chứng hệ thống xảy cố giúp cho người quản trị cập nhật, bổ sung sách an tồn thơng tin phù hợp nhằm nâng cao hiệu hoạt động cho tồn hệ thống Vietnam Airlines 3.5.3 Khó khăn, tồn hệ thống xây dựng Quy trình hoạt động đòi hỏi người quản trị phải liên tục theo dõi điều chỉnh sách hệ thống cho phù hợp Chưa có chế tương tác trực tiếp hình điều khiển giúp cho người quản trị xử lý cố từ xa, Với số lượng liệu, kiện an toàn thơng tin lớn chi phí mua quyền Splunk trở lên lớn làm ảnh hưởng tới việc trì hoạt động hệ thống 71 3.6 Hướng phát triển Tiếp tục hoàn thiện hệ thống, khắc phục khó khăn tồn hệ thống nêu Mở rộng nguồn liệu thu thập từ nhiều nguồn thiết bị khác thiết bị mạng, thiết bị Internet of thing có Vietnam Airlines Liên tục cập nhật, bổ sung chế phát công mạng, mã độc hệ thống Tích hợp hệ thống cảnh báo thơng qua gọi điện, nhắn tin SMS Nghiên cứu ứng dụng học máy, trí tuệ nhận tạo việc đưa cảnh báo, phát công sớm Xây dựng chức cho phép người quản trị ứng cứu, xử lý cố từ xa mà không cần phải đến thao tác trực tiếp thiết bị Kết luận chương III Chương III trình bày việc khảo sát hệ thống mạng Vietnam Airlines từ phân tích, đánh giá nguy cơ, rủi ro hệ thống mạng Vietnam Airlines Từ đề xuất giải pháp, mơ hình hệ thống giám sát kiện an ninh cho hệ thống Việt Nam Trình bày, mơ tả kiến trúc, thành phần hệ thống Thực thử nghiệm đánh giá kết hệ thống Vietnam Airlines 72 KẾT LUẬN Các kết đạt luận văn: Sau trình thực đề tài: “Hệ thống quản lý phân tích kiện an ninh thông tin ứng dụng” Em thu hoạch kết sau: Nghiên cứu mối đe dọa an ninh mạng: o Bot o Phishing o Ransomeware o Virus o Phần mềm gián điệp o Tấn cơng có chủ đích o Tấn cơng từ chối dịch vụ Nghiên cứu tổng quan hệ thống SIEM o Tầm quan trọng hệ thống SIEM o Thành phần hệ thống SIEM Phân tích, đánh giá hệ thống SIEM có thị trường o Giải pháp HP ArcSight ESM o Giải pháp IBM Security Qradar o Giải pháp Mcaffee ESM o Giải pháp MARS o Giải pháp AlienVault OSSIM Nghiên cứu chuyên sâu giải pháp SPLUNK o Tổng quan giải phá o Tính giải pháp Splunk o Thành phần Splunk Xây dựng hệ thống quản lý phân tích kiện an ninh thơng tin ứng dụng o Đánh giá tình trạng mạng Vietnam Airlines o Xây dựng giải pháp 73 o Kiểm thử thực tế Hướng nghiên cứu Tiếp tục hồn thiện hệ thống, khắc phục khó khăn tồn hệ thống nêu Mở rộng nguồn liệu thu thập từ nhiều nguồn thiết bị khác thiết bị mạng, thiết bị Internet of thing có Vietnam Airlines Tích hợp hệ thống cảnh báo thông qua gọi điện, nhắn tin SMS Nghiên cứu ứng dụng học máy, trí tuệ nhận tạo việc đưa cảnh báo, phát công sớm Xây dựng chức cho phép người quản trị ứng cứu, xử lý cố từ xa mà không cần phải đến thao tác trực tiếp thiết bị 74 TÀI LIỆU THAM KHẢO [1] Các quốc gia có nguồn cơng vào Việt Nam http://www.vncert.gov.vn/baiviet.php?id=20, Truy cập lần cuối: 30/06/2018 [2] Trung tâm Ứng cứu cố máy tính Việt Nam VNCert (2015) – Tham luận “CÁC NGUY CƠ TẤN CÔNG GÂY MẤT ATTT HỆ THỐNG THÔNG TIN TRỌNG YẾU VÀ MỘT SỐ GIẢI PHÁP”, VNCert [3] Botnet mối nguy hiểm internet http://antoanthongtin.vn/Detail.aspx?CatID=c74b5c11-1141-471b-95c8a05fe6e7d3a6&NewsID=a42439ee-fb34-41e8-94ea-77479ba349ec, truy cập lần cuối: 31/06/2018 [4] Phishing cách để bảo vệ https://securitydaily.net/phishing-la-gi-va-cach-de-ban-bao-ve-minh/, truy cập lần cuối ngày 31/06/2018 [5] Ransomeware https://securitybox.vn/571/ransomware-tat-tan-tat-ve-ma-doc-ransomwaresecuritybox-vn/, truy cập lần cuối ngày 31/06/2018 [6] Virus https://www.bkav.com.vn/ho_tro_khach_hang/-/chi_tiet/51025/virus-maytinh-la-gi-, truy cập lần cuối ngày 01/07/2018 [7] Phần mềm gián điệp https://securitydaily.net/phan-mem-gian-diep-spyware-la-gi/, truy cập lần cuối ngày 01/07/2018 [8] Tấn cơng APT: đặc điểm cách phịng chống http://antoanthongtin.vn/Detail.aspx?CatID=afad3c1b-8ab0-41b3-9364fe76366f1531&NewsID=67c8bfab-af23-4e68-8256-6cb16b533a59, truy cập lần cuối ngày 01/07/2018 [9] Tìm hiểu công từ chối dịch vụ https://securitydaily.net/tim-hieu-ve-tan-cong-tu-choi-dich-vu-dos/, truy cập lần cuối ngày 01/07/2018 [10] Giải pháp quản lý phân tích kiện an tồn thơng tin http://antoanthongtin.vn/Detail.aspx?CatID=afad3c1b-8ab0-41b3-9364fe76366f1531&NewsID=738aa8aa-5a16-44a7-aec1-b2f7bc49a831,Truy cập lần cuối ngày 03/07/2018 [11] David R.Miller, Shon Harris, Allen A Harper, Stephen VanDyke, Chris Blask, Security Information and Event Management (SIEM) Implementation, 2010 75 [12] Integrated Security Solutions http://www8.hp.com/us/en/software-solutions/integrated-security-solutionsarcsight/index.html, Truy cập lần cuối: 02/07/2018 [13] Sản phẩm IBM Qradar SIEM http://www-03.ibm.com/software/products/en/qradar-SIEM, Truy cập lần cuối: 03/07/2018 [14] McAfee Enterprise Security Manager https://www.mcafee.com/enterprise/en-us/products/enterprise-securitymanager.html,Truy cập lần cuối: 06/07/2018 [15] Monitoring, Analysis and response system (MARS): https://www.securitywizardry.com/index.php/products/siem/monitoring-analysisand-response-system-mars.html,Truy cập lần cuối: 06/07/2018 [16] Tài liệu Alienvault https://www.alienvault.com/documentation/, Truy cập lần cuối: 08/07/2018 [17] Tổng quan phần mềm Splunk http://docs.splunk.com/Documentation/ES/4.2.0/User/Overview, Truy cập lần cuối: 10/07/2018 76 ... khách quan tình trạng hoạt động nguy an tồn thơng tin tồn hệ thống mạng Vietnam Airlines Hệ thống quản lý phân tích kiện an ninh thơng tin ứng dụng thực thu thập, chuẩn hóa, lưu trữ phân tích tồn... OSSIM phân tích để tìm mối liên hệ kiện khác đưa thông tin tổng hợp có liên quan đến an ninh hệ thống Những thông tin OSSIM sau phân tích, tổng hợp đưa vào báo cáo cụ thể, kết đánh giá mức độ an ninh. .. Tổng quan hệ thống SIEM Hệ thống SIEM [10] viết tắt từ Security Information and Event Management – có nghĩa hệ thống an tồn thơng tin quản lý kiện SIEM kết hợp từ hai giải pháp Quản lý an tồn