ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ĐINH THỊ THÚY HƯỜNG NGHIÊN CỨU KĨ THUẬT ĐIỀU TRA SỐ TRONG GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH VÀ ỨNG DỤNG Chuyên ngành: Khoa học máy tính Mã số: 48 01 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Giáo viên hướng dẫn: TS Hồ Văn Hương THÁI NGUYÊN - 2021 LỜI CẢM ƠN Trong suốt trình học tập vừa qua, em quý thầy cô cung cấp truyền đạt tất kiến thức chuyên môn cần thiết q giá Ngồi ra, em cịn rèn luyện tinh thần học tập làm việc độc lập sáng tạo Đây tính cách cần thiết để thành cơng bắt tay vào nghề nghiệp tương lai Đề tài luận văn thạc sĩ hội để em áp dụng, tổng kết lại kiến thức mà học Đồng thời, rút kinh nghiệm thực tế quý giá suốt trình thực đề tài Sau thời gian em tập trung công sức cho đề tài làm việc tích cực, đặc biệt nhờ đạo hướng dẫn tận tình TS Hồ Văn Hương với thầy cô trường Đại học Công nghệ thông tin & Truyền thông - Đại học Thái Nguyên, giúp cho em hoàn thành đề tài cách thuận lợi gặt hái kết mong muốn Bên cạnh kết khiêm tốn mà em đạt được, chắn khơng tránh khỏi thiếu sót thực luận văn mình, kính mong thầy thơng cảm Sự phê bình, góp ý q thầy học kinh nghiệm quý báu cho công việc thực tế em sau Em xin chân thành cảm ơn TS Hồ Văn Hương tận tình giúp đỡ em hoàn thành đề tài Em xin chân thành cảm ơn! Thái Nguyên, tháng 01 năm 2021 Học viên Đinh Thị Thúy Hường LỜI CAM ĐOAN Em xin cam đoan nội dung luận văn em thực hiện, số liệu thu thập kết phân tích báo cáo trung thực, không chép từ đề tài nghiên cứu khoa học Nếu sai, em xin hoàn toàn chịu trách nhiệm trước Nhà trường Thái Nguyên, tháng 01 năm 2021 Học viên Đinh Thị Thúy Hường MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT Viết Từ tiếng Anh Từ tiếng Việt SHA Secure Hash Algorithm Giải thuật băm an tồn MD5 Message - Digest algorithm Thuật tốn hàm băm PDA Personal digital assistant Thiết bị trợ giúp cá nhân MDS Maintenance Data System Hệ thống liệu bảo trì FAT File Allocation Table Bảng định vị tập tin NTFS New Technology File System Hệ thống tập tin công nghệ DNS Doman Name System Hệ thống tên miền Network Intrusion Detection Hệ thống phát xâm nhập System mạng RAM Random Access Memory Bộ nhớ truy cập ngẫu nhiên NFAT Network Forensics Analysis Tool Công cụ phân tích mạng ARP Address Resolution Protocol tắt NIDS Giao thức phân giải địa DANH MỤC BẢNG DANH MỤC HÌNH ẢNH LỜI MỞ ĐẦU Tính cấp thiết đề tài Hiện công nghệ thông tin ngày phát triển, khơng ngừng đem đến nhiều lợi ích cho lĩnh vực kinh tế, thương mại, dịch vụ Bên cạnh đó, mơi trường thuận lợi để loại tội phạm công nghệ cao thực hành vi phạm tội đánh cắp thơng tin, phát tán mã độc hay hành vi chuộc lợi khác Để xác định hành vi tội phạm cơng nghệ cao cần phải dựa vào chứng mà chúng để lại Từ tiến hành bảo quản, thu thập, xác nhận, chứng thực, phân tích, giải thích, lập báo cáo trình bày lại thông tin thực tế từ nguồn kỹ thuật số với mục đích tạo điều kiện thúc đẩy việc tái lại kiện, nhằm tìm hành vi phạm tội hay hỗ trợ cho việc dự đoán hoạt động trái phép gây gián đoạn trình làm việc hệ thống Tất hành động liên quan đến ngành khoa học điều tra số Việc điều tra số không đơn yếu tố kĩ thuật, cịn địi hỏi người thực có kinh nghiệm nhận thức nên làm khơng nên làm Tình hình an tồn thơng tin mạng Thế giới nói chung Việt Nam nói riêng ngày diễn biến phức tạp, tinh vi, khó dự đốn Khơng nằm ngồi xu chung tồn cầu cơng tác đảm bảo giám sát an tồn thông tin mạng UBND Tỉnh Quảng Ninh đặt lên hàng đầu Là quan đầu não Tỉnh, vấn đề an tồn thơng tin Tỉnh đặt mức bảo vệ cao nên nhiệm vụ quan trọng, thiết yếu đặt vấn đề đảm bảo giám sát an tồn thơng tin cho mạng máy tính Tỉnh Vì mục tiêu luận văn nghiên cứu quy trình điều tra số, cơng cụ quy định pháp lý giá trị chứng số để áp dụng triển khai đảm bảo an toàn thơng tin mạng máy tính UBND Tỉnh Quảng Ninh Đối tượng phạm vi nghiên cứu + Vấn đề an ninh, an tồn mạng máy tính + Các công cụ, giải pháp giải vấn đề an ninh cho mạng máy tính: Thâm nhập, truy cập trái phép, công, phá hoại, lấy trộm liệu + Nghiên cứu số công cụ để ứng dụng phát nguy an ninh mạng máy tính + Triển khai thử nghiệm để giám sát an tồn thơng tin mạng máy tính UBND tỉnh Quảng Ninh Hướng nghiên cứu đề tài Điều tra CSDL máy tính: Thu thập chứng pháp lý tìm thấy máy tính phương tiện lưu trữ kĩ thuật số Điều tra mạng: Phân tích lưu lượng liệu truyền qua mạng máy tính nhằm phát xâm nhập khả nghi vào hệ thống Điều tra thiết bị di động: Thu thập chứng tài nguyên kĩ thuật liệu từ thiết bị di động Kết hợp phương pháp nghiên cứu tài liệu, phương pháp nghiên cứu điều tra phương pháp nghiên cứu thực nghiệm Những nội dung bố cục luận văn Chương 1: Tổng quan điều tra số Chương trình bày khái niệm điều tra số, phân loại điều tra số, đặc điểm điều tra số xác định hợp lệ công cụ điều tra số Chương 2: Quy trình điều tra số cơng cụ Chương trình bày quy trình điều tra số, nội dung cần thiết phải chuẩn bị, bảo vệ giám định, lập tài liệu, thu thập chứng, đánh dấu, vận chuyển lưu trữ, kiểm tra, phân tích, lập tài liệu báo cáo Nghiên cứu tìm hiểu số cơng cụ phần cứng phần mềm sử dụng bước quy trình, so sánh, phân tích, đánh giá số cơng cụ Chương 3: Áp dụng kĩ thuật điều tra số để giám sát an tồn mạng máy tính UBND Tỉnh Quảng Ninh Chương mô tả hệ thống giám sát an ninh mạng, mô tả công 10 nghệ việc áp dụng quy trình, kỹ thuật cơng cụ để tiến hành điều tra, tìm manh mối nghi ngờ dựa liệu cung cấp Phương pháp nghiên cứu Nghiên cứu, thu thập, đọc, tìm hiểu tài liệu xuất bản, báo tạp chí khoa học tài liệu mạng Internet có liên quan đến vấn đề nghiên cứu tác giả ngồi nước Từ chọn lọc xếp lại theo ý tưởng Khai thác, thực cài đặt triển khai số giải pháp an toàn cụ thể Triển khai áp dụng quy trình điều tra số để giám sát an tồn mạng máy tính UBND tỉnh Quảng Ninh Ý nghĩa khoa học đề tài Đề tài góp phần nghiên cứu, xác định nguyên nhân hệ thống công nghệ thông tin bị công, từ đưa giải pháp khắc phục điểm yếu nhằm nâng cao trạng an toàn hệ thống Kết tồn mạng nghiên máy tính cứu đềnghiên Ủy tài nhân ban cócứu giá dân trị Tỉnh thực Quảng tiễnNinh đảm bảo an tham khảo công tác mạng khác Bước 1: Xác định địa IP kẻ công nạn nhân Bước 2: Xác định số phiên TCP(TCP session) file dump Bước 3: Tính thời gian cơng Bước 4: Kiểm tra xem dịch vụ máy nạn nhân mục tiêu cơng Bước 5: Giải mã thơng tin gói tin bị mã hóa Bước 6: Mơ lại cơng Hacker Để giải yêu cầu trên, vượt qua vấn đề nhỏ Lưu ý file dump có mở rộng pcap (packet capture), em sử dụng Wireshark công cụ phân tích Wireshark chương trình bắt phân tích gói tin, giao thức mạnh nh 17 Quy tr nh xác định nguồn gốc nguyên nhân vụ công 3.5.1 Xác định địa IP kẻ công nạn nhân Đầu tiên mở file pcap Wireshark, thấy danh sách gói tin truy cập đến máy nạn nhân nh 18 Danh sách gói tin truy cập đến máy nạn nhân Vào Menu Statistics/Enpoint List/IPv4 để xem danh sách IP bắt Ethernet ■ IPv4 ■ IPv ■3 TCP Address 7-4.125-23.95 172.217.24.35 192.168.40.1 192.16R.4tl-? 192.168.40.128 192.168.40.138 192.168.40.255 224.0.0.251 224.0.0.252 Packets Bytes 306 10 18 458 453 600 1224 504 447k 447k 276 840 384 12 lx Packets 18 356 104 T x UD ■ 17 P Bytes 153 300 1224 102 349 431k 16k 0 Rx Bytes 153 300 Rx Packets 0 0 504 16k 431k 276 840 384 12 Coil — — — — — — — — — Hình 19 Danh sách IP bắt Có tất IPv4, có địa IP ý lượng liệu gửi nhận từ hai địa lớn nhiều so với địa khác: • 192.168.40.128 IP nội (nghi ngờ địa IP kẻ cơng) • 192.168.40.138 IP nội - địa IP máy tính nạn nhân (cũng máy sử dụng Wireshark để bắt phân tích gói tin) 3.5.2 Xác định số phiên TCP file dump Khi nhìn vào khung Wireshark bạn thấy có nhiều gói tin, phần lớn chúng gói tin chào hỏi, xác thực, truyền nhận liệu phiên TCP Để xem số phiên TCP có, vào Menu Statistics -> Conversations, tab TCP Chúng ta thấy thực tế có phiên qua cổng khác nhau: Ethernet • A Address A 192.168.40.1 28 192.168.40.1 28 192.168.40.1 28 192.168.40.1 28 IPv4 • IPv6 • Port A Address B 47598 172.217.24.35 36777 192.168.40.138 4444 192.168.40.138 44410 74.125.23.95 TCP -4 UDP • 11 Port B Pa k e Byt es 00 Packets A — B 50 8k 428 k 299 420k 153 80 445 1048 443 06 Bytes A - B Packets B 300 11k A Bytes B — A 300 919 701 153 Rel Start 0.0000 Durati on 23.082 00 14.282 797 14.410 959 24.845 50.1289 Bits/s A — B 103 684k 5.2845 636k 0.0416 29k 967 3.5.3 Xác định thời gian công Chỉ cần xem thời gian gói tin gói tin cuối câu trả lời Gói tin đầu tiên: Gói tin cuối cùng: Như cơng diễn khoảng giây 3.5.4 Xác định dịch vụ bị công lỗ hổng dịch vụ bị cơng • • • • O • • • O Nhìn vào phiên TCP liệt kê phía trên, em ý đến cổng 445 máy nạn nhân Đây cổng chạy giao thức SMB (Server Message Block), cung cấp khả chia sẻ file máy tính máy in máy tính SMB biết đến với việc dính số lỗ hổng bảo mật Lọc Packet theo info, duyệt em phát thêm nghi vấn mới: d.J£ • -LW • TV • x_íl_> X X X vư TU XXl_» JIIU _J Ư“T _»c LU|J HI IM7X I > c o p VI I o c J 11 I l_ll-_>-_»r _UI irvư I_I_I1KJI_ J l_ I I VI • -JI 192.168.40.128 192.168.40.138 SMB 482 Session SetupAndX Request, NTLMSSP_AUTH, User: \ 192.168.40.138 192.168.40.128 SMB 105 Session Setup Andx Response, Error: STATUS LO6ON FAILURE 192.168.40.128 192.168.40.138 SMB Session Setup —r —i - ■ ■ ■ ■—■ ' ■ — — 169 Andx Request, User: \ 192.168.40.138 192.168.40.128 SMB 158Session Setup Andx Response 192.168.40.128 192.168.40.138 SMB 142 Tree Connect Andx Request, Path: \\192.168.40.138\IPC$ nh 21 L ọ c packet theo info Máy tính nạn nhân bị kẻ công sử dụng giao thức SMB với tài khoản “\.” Đây dấu hiệu cho biết máy tính nạn nhân bị khai thác lỗ hổng phân tích cú pháp mã chuẩn hóa đường dẫn NetAPI32.dll thơng qua Dịch vụ máy chủ Nếu bạn thử tìm kiếm Google thấy thư viện NETAPI32.dll chạy dịch vụ Local Security Authority Subsystem Service(LSASS) windows thông qua giao thức SMB tiềm ẩn nhiều lỗ hổng cơng Từ thơng tin thu được, kết luận máy tính nạn nhân bị cơng vào giao thức SMB kèm thêm dấu hiệu riêng tài khoản “.\” sử dụng để truy cập vào đường dẫn “:\\192.168.40.138\IPC$” Do vậy, máy tính bị cơng thơng qua lỗi bảo mật MS08- 067 (chi tiết tại: https://docs.microsoft.com/en-us/securityupdates/securitybulletins/2008/ms08-067) Lỗi bảo mật công bố chi tiết CVE-20084250 (https: //cve.mitre.org/c gibin/cvename.cgi?name=CVE-2008-4250) Microsoft Windows NETAPI stack Overflow Inbound MSO8 067 (11) aLert top any any -> $HOME_NET 445 |mũg:"ET NETBIOS Microsoft Windows NETAPI Stack Overflow Inbound - MSO8-O67 (11}": flow:estabLished.to_server; co ntent" |OB|offset:?; depth: 1; conte nt:" I CE> 4F 32 4B 70 16 D3 O1 12 78 5A 47 BF 6E El 88|’’; í r efe re n ce: u rL.w w w m i c ros oft.co m/te ch n et/sec u r Ĩty/B IJ1Ic 11 n/M so o / ms px; refe re n ce CVS oo s - -4-2 50; ref ere nee: II rL w w w kb.cert.o rg/vu Ls/i d/8 27267 : refe re n ce: u rl.doc e me rg in gthreats.net/bin/view/Main/2O0870 1; classtype :attempted-ad min; sid:2OO87Ol; rev: 5: meta data: created at 2010J07 30 updated—at 2010 07 30;} nh 22 Một tập luật để phát lỗi MS08-067 hệ thống Suricata Theo luật lọc gói tin Suricata (một hệ thống phát xâm nhập), cơng để khai thác lỗi CVE-20084250 có dấu hiệu xuất hai dãy liệu: “C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88” “00 2E 00 2E 00 5C 00 2E 00 2E 00 5C” Thử tìm kiếm giá trị từ Wireshark, em thu sau: v Write AndX Request (0x2f) Word Count (WCT): 14 AndXCommand: No further commands (0xff) Reserved: 00 AndXOffset: - FID: 0x4004 (\BROWSER) [Opened in: 1271 [File Name: \BROWSER] > fCreate Flags: 0X000000161 0120 0130 0140 0150 0160 0170 0180 0190 0 c0 e ữ b e a ữ b e 0 C a a a f 0 c l d a P e d 0 1 8 0 e cr c a 0 e a e b C e q C 0 c 9a d c 9 81 0c ữ 09 af d ?2 0e 08 0 e / 0 2 e 0 l 0 a c 0 d b f9 0 e e el 0 I c f0 0 4 b 0 0 d d 8 8| j )mq L1 + H' >V ] ■•xZG-n■ _+ H •02Kp• ■ +H nh 23 Xuất chuỗi liệu “C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88” 0140 0150 0160 0170 48 59 ce 6e 44 la a7 fb dl Í9 91 81 91 91 c7 fb 91 f9 c9 35 c2 74 6e 44 02 c2 fb 91 c7 c2 c6 f9 93 d8 59 ce 6e dd 90 52 b8 57 ed 7f 52 00 2e 00 2e 00 5c 00 2e 00 2e 00 5c de 88 5c 41 00 44 nh 24 Xuất chuỗi liệu “00 2E 00 2E 00 5C 00 2E 00 2E 00 5C” Từ liệu thu được, khẳng định máy tính nạn nhân có địa 192.168.40.138 bị công máy mạng nội với địa 192.168.40.128 thông qua giao thức SMB để khai thác lỗi CVE-20084250 Vậy biết số thông tin kẻ công, biết dịch vụ máy nạn nhân mục tiêu công Em tạm dừng đây, phần phân tích kỹ cách hacker thực vụ công, làm để khai thác lỗ hổng 3.6 Giải mã thơng tin gói tin bị mã hóa Tiếp theo tiến hành tìm gói tin chứa thơng tin mã hóa RSA để tiến hành giải mã chúng Hình 25 Tìm gói tin bị mã hóa RSA Sau xác định gói tin bị mã hóa RSA, kích phải vào dịng có chữ Certificate Hình 25 chọn Export Packet Bytes, lưu lại file với phần mở rộng der (Distinguished Encoding Rules) Để đọc file der em xây dựng cơng cụ dịng lệnh đặt tên rsatool sử dụng ngôn ngữ Python Công cụ có số chức tạo khóa cho hệ mã khóa cơng khai RSA, thực mã hóa giải mã RSA, đọc thông tin lưu file der Sử dụng công cụ ta tiến hành đọc thông tin lưu file der thu Hình 26 Xuất thơng tin file der sử dụng rsatool Tiếp tục sử dụng rsatool để xuất modulus n iginB30 -/Desktop/whitehat 12/rsatool-Master$ igiựB38 -/Desktop/whitehat12/rsatool-Masters igi‘-B30 -/Desktop/whltehat12/rsatool-Masters ope - sl »509 -Infor í ER - public đe' -text Hình 27 Xuất modulus n Vì giá trị n lưu dạng hexa nên cần chuyển hệ thập phân Hình 28 Chuyển n hệ thập phân Từ giá trị n thu ta cần phân tích n thành tích số nguyên tố lớn p q Để làm việc ta truy cập trang http://factordb.com/ Hình 29 Phân tích n thành tích p q Sau có giá trị p q ta tiến hành tạo khóa riêng dùng cho việc giải mã RSA Hình 30 Tạo khóa riêng private key Cuối sử dụng khóa riêng vừa thu để giải mã thơng tin gói tin Chọn Edit -> Preferences -> Protocols -> SSL Hình 31 Nhập thơng tin địa IP gói tin cần giải mã chọn khóa riêng Thơng tin gói tin gửi đến máy công giải mã Qua Quản trị viên biết thơng tin gửi từ máy nạn nhân Hình 32 Thơng tin giải mã thành công 3.7 Mô lại công Hacker 3.7.1 Quét cổng 445 để xem cổng có mở khơng, điều thể qua gói tin SYN, SYN/ACK, ACK, FIN liên tục nh 33 Quá trình qt cơng 445 3.7.2 Thiết lập kết nối IPC request đến SMB 192.168.40.128 192.168.40.138 192.168.40.128 192.168.40.128 192.168.40.138 192.168.40.128 192.168.40.128 192.168.40.138 192.168.40.128 192.168.40.128 S 169 Session Setup Andx Request, User: \ M B 192.168.40.128 158 Session Setup Andx Response 192.168.40.138 TC 66 36777 445 [ACK] Seq=755 Ack=539 win=64128 Len=0 TSva P 192.168.40.138 S 142Tree Connect Andx Request, |Path: \\192.168.40.138\IPC$ 116 Tree M 192.168.40.128 Connect Andx Response B 192.168.40.138 TC 66 36777 -» 445 [ACK] Seq=831 Ack=589 win=64128 Len=0 TSva P 192.168.40.138 S 161 NT Create Andx Request, |Path: \SRVSVC M 192.168.40.128 105 NT Create Andx Response, FID: 0X0000, Error: STATUS_AC,„ B 192.168.40.138 TC 66 36777 ■» 445 [ACK] Seq=926 Ack=628 win=64128 Len=0 TSva P 192.168.40.138 SMB 162 NT Create Andx Request, FID: 0x4000, Path: \BROWSER 192.168.40.138 nh 34 Thiết lập kết nối IPC request Bạn đọc tìm hiểu thêm hình thức kết nối IPC$, hacker gửi kết nối với giá trị username password rỗng, biết đến với kiểu công Null Session Đến điều tra xem đến hồi kết, tìm số thơng tin hacker (mặc dù để tìm kẻ cơng ngồi đời cần phụ thuộc vào yếu tố pháp luật hơn) Dưới góc độ kỹ thuật biết cách hacker cơng hệ thống nào, biết hệ thống bị dính lỗ hổng nguy tiềm ẩn để cập nhật vá khắc phục cố không tái diễn tương lai 3.8 Đề xuất xử lý tự động trình chặn bắt phân tích gói tin Q trình bắt gói tin phân tích gói tin thực tay Tuy nhiên, thực tế hàng ngày có nhiều cơng vào hệ thống mạng, đặt yêu cầu phải xử lý tự động q trình bắt gói tin phân tích cảnh báo đến quản trị viên Trong khuôn khổ luận văn em xin đề xuất quy trình xử lý tự động sau: Đầu tiên cần tự động q trình bắt gói tin, việc thực với cơng cụ dịng lệnh Wireshark Tshark Tshark cơng cụ dạng command-line nên ta xây dựng tệp batch bat để tự động q trình bắt gói tin Hình 35 Sử dụng Tshark bắt gói tin Bước sử dụng ngơn ngữ lập trình Lua để xuất file pcap xây dựng lọc tự động phân tích tự động gói tin Wireshark tích hợp trình thông dịch Lua (Lua interpreter) để trợ giúp nhà phát triển việc phân tích gói tin Các file lua thực thi cơng cụ Tshark nên gọi cách tự động file bat Sử dụng Lua xây dựng lọc tự động, phát địa IP bất thường, traffic đáng nghi ví dụ trường hợp thấy xuất địa IP có lưu lương trao đổi cao hẳn khác Tất bước mục 3.5 thực tự động với chương trình viết Lua Để tăng khả cho trình phân tích tự động cần xây dựng CSDL mẫu chuỗi liệu đặc trưng cho việc khai thác lỗ hổng chuỗi liệu xuất việc khai thác lỗ hổng CVE-20084250 mục Có thể xây dựng hệ chuyên gia dựa luật kết hợp học máy để nâng cao khả phá hành vi bất thường xuất gói tin Trong Hình 36 đoạn mã nguồn em viết để tự động xuất file pcap function createDir (dirname) os.execute("rưdir " end dirname) if not src dmp then src dmp = Dumper, new for _current ( dir dumpers[ip _src] = src _drop end src _dmp:dump current() s rc dmp:flush() "/" ip src " pcap" ) E] dst _dmp = dumpers[ip dst] if not dst dmp then end dst dmp = Dumper new for _current ( dir dumpers [ip dst] = dst _drop "/•’ ip dst " pcap" ) dst _drrip:dump current() dst _dmp:flush() end Ffunction tap.draw () for ip _adcr,dumper in pairs(dumpers) : dumper:flush() end -end Afunction tap reset ()| n for ip _addr,dumper in pairs(dumpers) dumper:close() end -end dumpers = {} Hình 36 Mã nguồn Lua Bước cuối gửi thông tin cảnh báo email đến cho quản trị viên dấu hiệu bất thường xảy trình phân tích tự động Q trình tự động mã nguồn Lua Ngoài cách dùng Lua (chi tiết xem thêm https://www.wireshark.org/docs/wsdg _html/) trên, ta dùng thư viện Python có tên pyshark (https://github.com/KimiNewt/pyshark) để xây dựng hệ thống tự động bắt phân tích gói tin phục vụ cho q trình giám sát an tồn mạng máy tính Qua bước phân tích trên, em đề xuất xây dựng hệ thống tự động phân tích gói tin theo bước sau: Bước 1: Đầu tiên sử dụng Tshark để tự động bắt gói tin lưu lại file pcap, q trình điều khiển file bat script viết AutoIT Bước 2: Các file pcap gửi đến server lưu lại, sau đưa vào hàng đợi để chờ tới lượt xử lý Có mơđun kiểm tra trạng thái tiến trình hệ thống, tiến trình chạy chưa cho phép chạy file Bước 3: Khi file đưa vào hệ thống đưa vào máy ảo, có cài mơđun tự động phân tích viết Lua điều khiển file bat script viết AutoIT, hành vi file ghi lại sinh log file để đưa máy ảo Bước 4: Các log file môđun phân tích trích xuất thơng tin thành dạng dễ đọc hiểu Lúc có mơđun khác gửi kết phân tích đến quản trị viên Bước 5: Sau thực xong hệ thống lại tự kiểm tra xem có file mẫu nằm hàng đợi khơng, có lại tự động xử lý tiếp, quay lại từ bước Quá trình tiếp diễn (Hình 36) Hình 37 Mơ hình hoạt động hệ thống phân tích tự động 3.9 Kết luận chương Như giới thiệu phần trước, mục tiêu luận văn áp dụng quy trình điều tra số phục vụ giám sát an tồn mạng máy tính UBND tỉnh Quảng Ninh Áp dụng quy trình, cơng cụ sử dụng việc phân tích mẫu chứng Đưa kết trình phân tích Đồng thời mơ tả hệ thống điều tra số thực điều tra số hệ thống mô tả Em đưa đề xuất xây dựng hệ thống có khả chặn bắt phân tích gói tin tự động KẾT LUẬN VÀ ĐỀ NGHỊ Nghiên cứu quy trình điều tra số chủ đề nghiên cứu hấp dẫn áp dụng nhiều toán thực tế Đây toán phức tạp giải ta biết ứng dụng kỹ thuật an tồn thơng tin Trong đó, việc ứng dụng cơng cụ Wireshark, VMWare, Kali Linux giải pháp tốt Sau thời gian tìm hiểu nghiên cứu, luận văn trình bày vấn đề sau: - Tìm hiểu kiến thức tổng quan điều tra số, trình bày khái niệm điều tra số, phân loại điều tra số, đặc điểm điều tra số xác định hợp lệ công cụ điều tra số - Tìm hiểu quy trình điều tra số, nội dung cần thiết phải chuẩn bị, bảo vệ giám định, lập tài liệu, thu thập chứng, đánh dấu, vận chuyển lưu trữ, kiểm tra, phân tích, lập tài liệu báo cáo - Nghiên cứu tìm hiểu số công cụ phần cứng phần mềm sử dụng bước quy trình, so sánh, phân tích, đánh giá số cơng cụ - Mơ tả hệ thống giám sát an ninh mạng, mô tả cơng nghệ việc áp dụng quy trình, kỹ thuật công cụ để tiến hành điều tra, tìm manh mối nghi ngờ dựa liệu cung cấp - Phát máy tính mạng bị cơng Sau nhờ cơng cụ phân tích phát máy bị cơng có lỗ hổng MS08 - 067 Từ kết đưa phương pháp chống lại công tương tự cách cập nhập vá lỗi hệ điều hành máy tính nạn nhân Trong q trình thử nghiệm chương trình, kết mơ cho thấy hồn tồn triển khai kỹ thuật thực tế Tuy nhiên, tốn mơ dừng lại phạm vi nghiên cứu đề tài chứng minh tính đắn sở lý thuyết Vì vậy, theo quan điểm em, đề tài cịn có số hướng phát triển sau: Tiến hành đưa đề tài vào triển khai thực tế Ủy ban nhân dân tỉnh Quảng Ninh Nghiên cứu tích hợp với phần mềm phát SMB Tiến hành xây dựng hệ thống hồn chỉnh có khả tự động bắt phân tích gói tin để phục vụ cho trình giám sát hệ thống CNTT an tồn hiệu Do cịn nhiều mặt hạn chế kiến thức kinh nghiệm nên so với thực tế luận văn dừng mức tìm hiểu khái niệm, nắm bắt phương thức giám sát, chế nghiên cứu công nghệ phát hiện, phân tích Wireshark Em mong nhận đóng góp ý kiến thầy cơ, bạn đọc quan tâm để luận văn hoàn thiện Một lần em xin cảm ơn TS Hồ Văn Hương tận tình giúp đỡ, hướng dẫn thời gian thực đề tài, cảm ơn giúp đỡ gia đình, bạn bè đồng nghiệp thời gian qua TÀI LIỆU THAM KHẢO [1] Phạm Minh Thuấn, Học viện Kỹ thuật Mật mã, Giáo trình phịng chống điều tra tội phạm máy tính, 2013; [2] ThS Phạm Duy Trung, KS Hoàng Thanh Nam, Học viện Kỹ thuật Mật mã, Thu thập phân tích thơng tin an ninh mạng, 2013; [3] Bill Nelson, Amelia Philips and Chrishtopher Steuart Guide to Computer Foresics and Investigations, 2010; [4] EC-Council Computer Foresics Investigations Computer and Tmage Files, 2010; [5] Carlisle Adams & Steve Lloyd, Understanding PKI: Concepts, Standards and Deployment Considerations, Addison-Wesley, 2003; [6] Hồ Văn Hương, Nguyễn Quốc Uy, Nguyễn Anh Đồn, Tích hợp giải pháp bảo mật xác thực cho mạng riêng ảo, Tạp chí nghiên cứu Khoa học Công nghệ Quân Sự số 28, 2013; [7] Hồ Văn Hương, Hoàng Chiến Thắng, Nguyễn Quốc Uy, Giải pháp bảo mật xác thực cho văn phòng điện tử, Hội nghị Quốc Gia điện tử truyền thông (REV 2013 - KC01); [8] Hồ Văn Hương, Nguyễn Quốc Uy, Giải pháp bảo mật CSDL, Tạp chí An tồn thơng tin số (027), 2013; [9] Điều tra số: Hành trình truy tìm dấu vết, truy cập tại: http://m.antoanthongtin.vn/gp-attm/dieu-tra-so-hanh-trinh-truy-tim-dauvet-101016 [10] Điều tra số - Digital https://itstar.edu.vn/khoahoc/dieu-tra-so-Digital-Forensics.html; Forensics, truy cập tại: ... điều tra số CHƯƠNG 2: KĨ THUẬT ĐIỀU TRA SỐ Điều tra số lĩnh vực liên quan đến việc phục hồi điều tra chứng số tìm thấy thiết bị kỹ thuật số, phân chia thành loại là: điều tra máy tính, điều tra mạng. .. loại hình điều tra máy tính, điều tra mạng điều tra thiết bị di động [4] Điều tra máy tính: Điều tra máy tính (Computer Forensics) nhánh khoa học điều tra số liên quan đến việc phân tích chứng pháp... luận văn Chương 1: Tổng quan điều tra số Chương trình bày khái niệm điều tra số, phân loại điều tra số, đặc điểm điều tra số xác định hợp lệ cơng cụ điều tra số Chương 2: Quy trình điều tra số