HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG - ĐẶNG HUY HOÀNG THIẾT KẾ, XÂY DỰNG HỆ THỐNG THEO DÕI, PHÁT HIỆN VÀ CẢNH BÁO HOẠT ĐỘNG CỦA BOTNET TRONG MẠNG CÁC CƠ QUAN NHÀ NƢỚC Chuyên ngành: Khoa học máy tính Mã số: 60.48.01.01 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS.TSKH HOÀNG ĐĂNG HẢI Phản biện 1: ………………………………………………… Phản biện 2: ………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thông MỞ ĐẦU Ngày nhắc đến Botnet (mạng máy tính ma), nhắc đến hiểm họa Internet Tấn công từ chối dịch vụ website tổ chức, phát tán thư rác với số lượng lớn, thu thập thông tin cá nhân người dùng v…v… hành vi nguy hiểm thường thấy Botnet Các công Botnet không ngừng gia tăng số lượng nạn nhân ngày nhiều Nói đến Botnet nói đến máy tính bị cài mã độc, kẻ công điều khiển từ xa, nhằm phục vụ cho mục đích cơng mạng diện rộng Theo thống kê chưa đầy đủ Cục A68- Bộ Cơng an năm 2011, có 1500 cổng thông tin điện tử Việt Nam bị tin tặc công xâm nhập vào hệ thống để cài mã độc nhằm đánh cắp thông tin nhạy cảm điều khiển hệ thống Cũng năm 2011, Việt Nam lọt TOP quốc gia có mạng lưới Botnet nhiều giới, điều cho thấy số lượng máy tính bị nhiễm mã độc Việt Nam lớn Trong năm 2012, Việt Nam tiếp tục “đích đến” “hacker” với 2.500 website bị cơng Số lượng máy tính bị nhiễm độc gấp lần giới với 18/1000 máy so với 7/1000 máy giới Các công sử dụng Botnet ngày trở nên phổ biến với nhiều thủ đoạn hình thức công Thiệt hại Botnet gây trở thành mối lo với nhà chức trách nói riêng cộng đồng người sử dụng Internet nói chung Tuy nhiên kết khảo sát tới cho thấy, nhận thức chung ảnh hưởng Botnet tổ chức, doanh nghiệp, người dân cịn chưa cao Nhiều nơi khơng rõ khơng biết máy tính, hệ thống máy tính bị xâm hại Đặc biệt năm gần đây, số lượng địa IP Việt Nam bao gồm nhiều địa IP quan nhà nước nằm mạng Botnet phát Điều nghiêm trọng quan chủ quản/đang sở hữu địa IP lại tồn mã độc mạng máy tính tổ chức Do việc giới thiệu, đề xuất hệ thống theo dõi, phát cảnh báo hoạt động Botnet mạng quan nhà nước cấp thiết Đó chủ đề nghiên cứu luận văn  Mục đích nghiên cứu: Mục đích nghiên cứu luận văn là: Nghiên cứu, xây dựng hệ thống quản lý, phát cảnh báo hoạt động Botnet mạng quan nhà nước  Phạm vi nghiên cứu: Luận văn tập trung vào nghiên cứu hệ thống chống Botnet số nước thuộc ENISA (các quan bảo mật an ninh thông tin châu âu - Europa ) như: Đức, Anh? số quốc gia khác Hàn Quốc, Nhật Bản để từ đưa hướng giải pháp áp dụng vào Việt Nam  Phương pháp nghiên cứu: Các phương pháp nghiên cứu sử dụng gồm: Khảo sát thực tiễn, nghiên cứu tình hình thực tế giới Việt Nam, nghiên cứu nhu cầu thực tế Việt Nam, khái quát hệ thống hóa Botnet hành vi Botnet, nghiên cứu cấu trúc nguồn liệu Botnet, sử dụng phương pháp tổng hợp, phân tích để đề xuất mơ hình phát hiện, cảnh báo Botnet  Cấu trúc luận văn: Ngoài phần mở đầu kết luận, nội dung luận văn triển khai theo ba chương sau: - Chương 1: trình bày khái niệm Botnet, đặc trưng Botnet, phân loại mạng Botnet, vấn đề theo dõi cảnh báo Botnet, phân tích kênh liên lạc cấu trúc nguồn liệu Botnet, khái quát hoạt động số mạng Botnet điển hình giới Việt Nam - Chương 2: trình bày số hệ thống theo dõi, cảnh báo Botnet giới đưa thiết kế xây dựng hệ thống phát hiện, cảnh báo hoạt động Botnet mạng quan nhà nước Việt Nam - Chương 3: trình bày số kết thử nghiệm hệ thống xây dựng bao gồm nội dung: mô hình kiểm thử, kịch kiểm thử, triển khai thử nghiệm đánh giá hệ thống CHƢƠNG I: TỔNG QUAN VỀ BOTNET VÀ PHÁT HIỆN, CẢNH BÁO BOTNET 1.1 Khái niệm botnet 1.1.1 Khái niệm bot, botnet Bot (là viết tắt Robot tức chương trình tự động hóa khơng phải người máy định nghĩa gọi) ứng dụng phần mềm tự động thực thi nhiệm vụ mạng Internet Thông thường Bot thực nhiệm vụ đơn giản lập trình sẵn có cấu trúc lặp lặp lại với tốc độ cao người bình thường Một Botnet định nghĩa “mạng gồm nhiều máy tính bị xâm nhập kẻ cơng điều khiển từ xa” “Máy tính bị xâm nhập” máy tính bị lây nhiễm phần mềm độc hại (Bot) Như vậy, Botnet tập hợp Bot sử dụng với mục đích xấu Botmaster người nhóm người điều khiển Botnet 1.1.2 Mục đích sử dụng Botnet Botnet khơng cơng cụ, có nhiều động khác để sử dụng chúng Chúng sử dụng phổ biến với mục đích phá hoại tài Botnet làm điều mà tưởng tượng làm với tập hợp máy tính kết nối mạng Khả sử dụng máy tính bị chiếm quyền điều khiển phụ thuộc vào trí tưởng tượng kỹ kẻ công Dựa liệu biết, khả sử dụng Botnet phổ biến phân loại liệt kê đây: - Lây nhiễm sang máy tính khác - Tấn cơng từ chối dịch vụ phân tán - Tấn công tràn ngập (Flooding attacks) - Tải cài đặt - Gửi thư rác Email lừa đảo - Lưu trữ phân phối liệu bất hợp pháp - Khai thác liệu - Lạm dung Google Adsence - Thao tác với thăm dò bầu cử/ thi trực tuyến 1.2 Đặc trƣng Botnet Đầu tiên, Botnet hệ thống Hệ thống giao tiếp với nhau, Bot cấp thấp báo cáo kết quét hệ thống thực đến trung tâm huy, tiếp nhận mệnh lệnh cập nhật Vì phân tích Botnet, nhà nghiên cứu khơng cần tìm chương trình độc hại mà cịn phải tìm hệ thống kẻ cơng Thứ hai, máy tính tham gia vào Botnet bị xâm nhập Máy tính bị xâm nhập nhiều cách khác nhau, ví dụ, thơng qua lỗ hổng ứng dụng hay hệ điều hành, khai thác đoạn mã tự động, phần mềm độc hại dựa web (lừa đảo, tải miễn phí),… Thứ ba, Bot điều khiển từ xa Bot báo cáo kết nhận mệnh lệnh từ hệ thống huy điều khiển (C&C) Do đó, kẻ cơng tận dụng khả hầu hết máy tính bị nhiễm Botnet Hệ thống điều khiển Botnet tập trung phân cấp 1.3 Phân loại mạng Botnet Có nhiều cách phân loại Botnet, khn khổ luận văn xin đưa cách phân loại dựa theo hoạt động Botnet là: mạng tập trung, mạng phân tán hay ngang hàng (Peer-to-Peer) 1.4 Các kênh liên lạc Botnet Botnet xem mối đe dọa an ninh nghiêm trọng Sự khác biệt đáng ý Botnet phần mềm độc hại truyền thống khác kênh huy điều khiển Botnet Kênh huy điều khiển Botnet tương đối ổn định không thay đổi Bot, chế cần thiết cho phép Botmaster đạo hành động Bot Botnet Ban đầu Botnet giới hạn mạng Botnet dựa IRC, Bot phần mềm Trojan backdoor Cùng với giao thức mạng khác tin tặc sử dụng Botnet, nhà nghiên cứu nhận chất Botnet, chế huy điều khiển ngày nhiều Kênh huy điều khiển máy chủ IRC, máy chủ Web, nút cấu trúc mạng Peer-to-Peer, máy chủ DNS, v.v 1.5 Các nguồn liệu phục vụ cho việc phát cảnh báo Botnet 1.5.1 Một số phương thức thu thập liệu phổ biến  Nguồn liệu từ DNS  Nguồn liệu từ Netflow  Nguồn liệu từ Packet Tap 12 CHƢƠNG II: NGHIÊN CỨU, GIỚI THIỆU HỆ THỐNG PHÁT HIỆN, CẢNH BÁO HOẠT ĐỘNG CỦA BOTNET TRONG MẠNG CƠ QUAN NHÀ NƢỚC 2.1 Một số hệ thống theo dõi cảnh báo Botnet điển hình giới 2.1.1 Hệ thống Hàn Quốc Hàn Quốc sử dụng hệ thống DNS Sinkhole để thu thập, phòng chống Botnet 2.1.2 Hệ thống Nhật Bản Hệ thống phát phòng chống botnet Nhật Bản sử dụng Honey-port để làm mồi thu thập botnet 2.1.3.Hệ thống “Anti Botnet HelpDesk” Đức Hệ thống Đức sử dụng bẫy thư rác (phân tích ghi rác) hệ thống honeyport để thu thập Botnet 2.1.4 Đánh giá chung 13 Thông qua cách xem xét ba hệ thống điển hình nêu Nhật Bản, Hàn Quốc CHLB Đức để phát Botnet ta phải: - Thiết lập máy chủ DNS để giám sát truy vấn, xây dựng hệ thống chống Botnet tạo lập DNS giả để kết nối với DNS thật để lấy thông tin cần thiết - Xây dựng hệ thống Honeypot, Honeynet phân cấp - Thiết lập hệ thống thu thập nguồn liệu thông qua DNS, Netflow, PacketTap, máy chủ liệu, honeypot… 2.2 Xây dựng hệ thống phát cảnh báo Botnet mạng quan nhà nƣớc Việt Nam 2.2.1 Yêu cầu chức hệ thống Đối với hệ thống cần có chức sau: Cập nhật liệu từ nhiều nguồn liệu khác (thông qua giám sát địa IP nguồn liệu IP từ tổ chức nước nước) Quản lý danh sách địa IP quan nhà nước 14 Xử lý cảnh báo cho đơn vị bị cố: Hệ thống gửi email cảnh báo địa IP đơn vị nằm danh sách liệu địa IP bị nhiễm Quản lý người dùng hệ thống 2.2.2 Mô hình kiến trúc hệ thống Mơ hình kiến trúc hệ thống Hình 2.1 Mơ hình kiến trúc hệ thống theo dõi, cảnh báo botnet Việt Nam 2.2.3 Nguyên lý hoạt động hệ thống Bước 01: Dữ liệu thu thập từ nguồn (thông qua kênh Email với tổ chức quốc tế Shadow Server, 15 Microsoft, Cert quốc tế… hệ thống thu thập logfile – Arcsight Việt nam) chuẩn hóa theo định dạng trước Bước 02: Dữ liệu sau chuẩn hóa chuyên viên quản trị liệu chuyển vào máy chủ sở liệu Bước 03: Module phát địa IP thực tìm kiếm địa IP quan nhà nước Bước 04: Trường hợp có địa IP quan nhà nước nằm danh sách liệu địa IP vừa chuẩn hóa bước 02 hệ thống hiển thị lên giao diện web gửi thông báo cho quản trị viên để quản trị viên biết địa IP nằm mạng botnet thực cảnh báo cho đơn vị Bước 05: Các quan có tài khoản hệ thống, nhận cảnh báo sử dụng tài khoản cấp để: Xử lý cảnh báo nhận từ bước 04 dựa tài liệu hướng dẫn có website theo dõi tình trạng cố 2.2.4 Biểu đồ Usecase a Các tác nhân hệ thống - Admin 16 - Quản trị viên - Các quan nhà nước b Usecase hệ thống - Đăng nhập, đăng xuất, thực cập nhật, so sánh, thông báo liệu Botnet 2.2.5 Thiết kế sở liệu Hình 2.2 Mơ hình sở liệu hệ thống 2.2.6 Thiết kế giao diện cho hệ thống Phần đưa thiết kế giao diện cho hệ thống giao diện dành cho admin, quản trị viên giao diện cho người dùng (các quan nhà nước) 17 2.3 Xây dựng chế cảnh báo đến quan nhà nƣớc Từ phân tích số mạng Botnet điển hình trên, tác hại gây việc xây dựng chế cảnh báo tới quan nhà nước cần thiết Xây dựng chế cảnh báo hoạt động mạng Botnet đến quan, tổ chức nhà nước hay kênh trao đổi thông tin đến quan, tổ chức để đảm bảo thông tin trao đổi, cập nhật thường xuyên, đảm bảo cho hoạt động cảnh báo Botnet đến quan, tổ chức bị nhiễm Botnet Kênh trao đổi thơng tin tối thiểu gồm có: Kênh cảnh báo: Email, Công văn, điện thoại, fax, thư điện tử Kênh hỗ trợ: Email, website, điện thoại Cũng qua kênh hỗ trợ hệ thống cảnh báo cho quan nhà nước có xâm nhập mạng Botnet cách xác, nhanh chóng Và giảm thiểu thiệt hại Botnet gây 18 CHƢƠNG : THỬ NGHIỆM HỆ THỐNG 3.1 Mô hình kiểm thử cho tình thực tế 3.1.1 Mơ tả tình Giả thiết đầu vào: khoảng tháng năm 2013 nhiều trang báo điện tử Việt Nam đồng loạt bị công từ chối dịch vụ dantri.com.vn, vietnamnet.vn, tuoitre.vn Theo thông tin Trung tâm VNCERT nhận qua trình theo dõi khảo sát, trung tâm VNCERT có nhiều địa IP Việt Nam tham gia công nhiều loại bot khác sử dụng để công Yêu cầu đầu ra: kiểm tra, tìm kiếm địa IP quan nhà nước nằm mạng Botnet tham gia công DDoS vào trang báo để cảnh báo hướng dẫn đơn vị loại bỏ mã độc hệ thống 3.1.2 Mơ hình kiểm thử cho tình Mơ hình kiểm thử hệ thống cho tình mơ tả hình 3.1 đây: 19 Hình 3.1 Mơ hình kiểm thử cho hệ thống 3.2 Các bƣớc triển khai kiểm thử hệ thống (i) Đối với chuyên viên quản trị thực bước sau: Bƣớc 01: Chuyên viên kiểm tra Email có thơng báo cố botnet Trong bước chuyên viên cần đảm bảo không nhận email giả mạo Bƣớc 02: Chuyên viên lấy liệu từ email (Có thể từ file đính kèm thơng báo, tải từ link- liên kết gửi thông báo) Chú ý: Trong bước chuyên viên quản trị đảm bảo an toàn cho liệu máy tính 20 Cần kiểm tra liên kết tệp tin tải có bị nhiễm mã độc khơng Bƣớc 03: Chuẩn hóa liệu theo định dạng trước Bƣớc 04: Truy cập vào trang quản trị cập nhật liệu chuẩn hóa bước 03 vào sở liệu Botnet Bƣớc 05: Hệ thống tự động so sánh liệu vừa cập nhật với bảng địa IP ban ngành (địa IP quan nhà nước) đưa cảnh báo cho quan nhà nước trường hợp trùng với địa IP ban ngành Bƣớc 06: Gửi cảnh báo (theo mẫu gửi cảnh báo có phần phụ lục) cho quan nhà nước có địa IP tham gia vào mạng Botnet (ii) Đối với đơn vị (các quan nhà nước): Nhận cảnh báo thông qua email mà chuyên viên quản trị gửi Truy cập vào website (thông qua user password cấp) để cập nhật lấy thông tin, hướng dẫn xử lý cố Botnet 3.3 Các chức quản trị hệ thống Các chức hệ thống là: 21 - Đăng nhập hệ thống - Cập nhật liệu IP Botnet - Chức so sánh liệu IP Botnet 3.4 Kết thử nghiệm xử lý tình đánh giá hệ thống 3.4.1 Kết thử nghiệm Với tình thực tế xảy mơ tả tình nêu phần 3.1, hệ thống đưa kết cụ thể sau: - Đưa chi tiết địa IP ban ngành bị nhiễm, hiểu thị danh sách địa IP bị nhiễm Botnet bao gồm trường liệu ID (thể số thứ tự ban ngành CSDL IP ban ngành), IP (địa IP cụ thể ban ngành sở hữu nó), đơn vị sở hữu, địa số điện thoại liên hệ - Thông báo cho đơn vị, ban ngành có địa IP bị nhiễm Botnet Đồng thời đưa hướng dẫn gỡ bỏ Botnet lên Website để đơn vị làm theo gỡ bỏ mã độc 3.4.2 Đánh giá hệ thống Ưu điểm: 22 - Độ tin cậy cao: - Truy vấn tìm kiếm liệu nhanh bảng liệu botnet lưu trữ liệu thời điểm Nhược điểm: - Dữ liệu botnet chưa chủ động: phụ thuộc vào nguồn gửi từ tổ chức nước - Khơng kiểm sốt độ tin cậy liệu gửi - Trong tương lai phát triển mở rộng hệ thống thu thập logfile hệ thống giám sát mạng để chủ động việc thu thập kiểm soát liệu 23 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Việc xây dựng hệ thống theo dõi, phát cảnh báo hoạt động Botnet mạng quan nhà nước cần thiết nhằm mục đích hỗ trợ, cảnh báo nguy công mạng lưới Botnet gây cho quan nhà nước Qua giúp cảnh báo sớm, giảm bớt thiệt hại tài sản kinh tế đơn vị nhà nước mạng lưới Botnet gây Đồng thời, góp phần tích cực cho hoạt động ngăn chặn hành vi Botnet gây Thông qua hệ thống theo dõi, phát cảnh báo hoạt động Botnet mạng quan nhà nước giúp cho quan chức việc theo dõi phát cảnh báo hoạt động Botnet cịn cho thấy được: tình hình an tồn, an ninh thơng tin quan nhà nước nhận thức quan nhà nước Từ quan chức đưa giải pháp để tình hình an tồn thơng tin Việt Nam theo xu hướng tích cực Với mục tiêu đặt nghiên cứu, xây dựng hệ thống quản lý, phát cảnh báo hoạt động Botnet 24 mạng quan nhà nước, luận văn đạt kết nghiên cứu chủ yếu sau đây: - Trình bày tổng quan Botnet với đặc trưng phân loại mạng Botnet, nhu cầu theo dõi cảnh báo Botnet, phân tích kênh liên lạc cấu trúc nguồn liệu Botnet, khái quát hoạt động số mạng Botnet điển hình giới Việt Nam - Nghiên cứu số hệ thống theo dõi, cảnh báo Botnet số quốc gia điển hình giới Hàn Quốc, Nhật Bản, CHLB Đức Trên sở tiếp thu công nghệ kinh nghiệm nước, luận văn đề xuất mơ hình kiến trúc đưa thiết kế xây dựng hệ thống phát hiện, cảnh báo hoạt động Botnet mạng quan nhà nước Việt Nam - Thực thử nghiệm hệ thống với nội dung: xây dựng mơ hình kiểm thử số kịch kiểm thử, triển khai thử nghiệm đánh giá hệ thống Các định hướng nghiên cứu gồm: 25 -Xây dựng hoàn chỉnh hệ thống theo dõi, phát hiện, cảnh báo Botnet mạng quan nhà nước Mặc dù phiên hệ thống theo dõi, phát hiện, cảnh báo Botnet làm việc hiệu danh sách đen chứa địa IP Botnet cập nhật kịp thời Tuy nhiên, trường hợp hacker cố tình thay đổi địa IP giữ nguyên phương thức công Botnet hệ thống chưa phát Chính vậy, tương lai chúng tơi mở rộng hệ thống cách xây dựng phương pháp phát dựa đồng thời danh sách đen mơ hình học máy thơng kê (statistical machine learning) có khả dự đốn (predictive models) Mơ hình học máy huấn luyện (training) liệu từ vết đột nhập (intrusive traces) Botnet sau mơ hình sử dụng để phát phương thức đột nhập Botnet - Tiếp tục nghiên cứu cập nhật công nghệ theo dõi, phát hiện, cảnh báo giới cho hệ thống đáp ứng tốt chức đề - Nghiên cứu cải tiến tốc độ hiệu phương pháp phát (detection method) Điều 26 quan có ý nghĩa thực tiễn hệ thống theo dõi, phát hiện, cảnh báo Botnet cần phải phát Botnet thời gian thực (ví dụ, Botnet cần phát sau vài giây đột nhập) Sau đó, đưa hệ thống chấp nhận đưa vào sử dụng thực tế quan tổ chức niềm mong muốn lớn đồng nghiệp - Đưa hệ thống vào phục vụ không cho quan nhà nước mà cho doanh nghiệp nước -ooo - ... THIỆU HỆ THỐNG PHÁT HIỆN, CẢNH BÁO HOẠT ĐỘNG CỦA BOTNET TRONG MẠNG CƠ QUAN NHÀ NƢỚC 2.1 Một số hệ thống theo dõi cảnh báo Botnet điển hình giới 2.1.1 Hệ thống Hàn Quốc Hàn Quốc sử dụng hệ thống. .. cực cho hoạt động ngăn chặn hành vi Botnet gây Thông qua hệ thống theo dõi, phát cảnh báo hoạt động Botnet mạng quan nhà nước giúp cho quan chức việc theo dõi phát cảnh báo hoạt động Botnet cịn... liệu Botnet, khái quát hoạt động số mạng Botnet điển hình giới Việt Nam - Chương 2: trình bày số hệ thống theo dõi, cảnh báo Botnet giới đưa thiết kế xây dựng hệ thống phát hiện, cảnh báo hoạt động