ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ĐINH THỊ THÚY HƢỜNG NGHIÊN CỨU KĨ THUẬT ĐIỀU TRA SỐ TRONG GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH VÀ ỨNG DỤNG Chuyên ngành: Khoa học máy tính Mã số: 48 01 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Giáo viên hƣớng dẫn: TS Hồ Văn Hƣơng THÁI NGUYÊN - 2021 i LỜI CẢM ƠN Trong suốt trình học tập vừa qua, em đƣợc quý thầy cô cung cấp truyền đạt tất kiến thức chuyên môn cần thiết q giá Ngồi ra, em cịn đƣợc rèn luyện tinh thần học tập làm việc độc lập sáng tạo Đây tính cách cần thiết để thành cơng bắt tay vào nghề nghiệp tƣơng lai Đề tài luận văn thạc sĩ hội để em áp dụng, tổng kết lại kiến thức mà học Đồng thời, rút đƣợc kinh nghiệm thực tế quý giá suốt trình thực đề tài Sau thời gian em tập trung công sức cho đề tài làm việc tích cực, đặc biệt nhờ đạo hƣớng dẫn tận tình TS Hồ Văn Hƣơng với thầy cô trƣờng Đại học Công nghệ thông tin & Truyền thông - Đại học Thái Nguyên, giúp cho em hoàn thành đề tài cách thuận lợi gặt hái đƣợc kết mong muốn Bên cạnh kết khiêm tốn mà em đạt đƣợc, chắn khơng tránh khỏi thiếu sót thực luận văn mình, kính mong thầy thơng cảm Sự phê bình, góp ý q thầy học kinh nghiệm quý báu cho công việc thực tế em sau Em xin chân thành cảm ơn TS Hồ Văn Hƣơng tận tình giúp đỡ em hoàn thành đề tài Em xin chân thành cảm ơn! Thái Nguyên, tháng 01 năm 2021 Học viên Đinh Thị Thúy Hƣờng ii LỜI CAM ĐOAN Em xin cam đoan nội dung luận văn em thực hiện, số liệu thu thập kết phân tích báo cáo trung thực, không chép từ đề tài nghiên cứu khoa học Nếu sai, em xin hoàn toàn chịu trách nhiệm trƣớc Nhà trƣờng Thái Nguyên, tháng 01 năm 2021 Học viên Đinh Thị Thúy Hƣờng iii MỤC LỤC LỜI CẢM ƠN i LỜI CAM ĐOAN ii MỤC LỤC iii DANH MỤC CÁC TỪ VIẾT TẮT vi DANH MỤC BẢNG vii DANH MỤC HÌNH ẢNH viii LỜI MỞ ĐẦU 1 Tính cấp thiết đề tài Đối tƣợng phạm vi nghiên cứu Hƣớng nghiên cứu đề tài Những nội dung bố cục luận văn Phƣơng pháp nghiên cứu Ý nghĩa khoa học đề tài CHƢƠNG 1: TỔNG QUAN VỀ ĐIỀU TRA SỐ 1.1 Khái niệm điều tra số 1.1.1 Khái niệm 1.1.2 Mục đích điều tra số 1.1.3 Các bước thực điều tra 1.1.4 Một số loại hình điều tra phổ biến 1.2 Đặc điểm điều tra số 10 1.2.1 Tội phạm máy tính 10 1.2.2 Bằng chứng số 13 1.2.3 Vấn đề pháp lý 14 1.2.4 Các loại chứng số 15 1.3 Kết luận chƣơng 17 CHƢƠNG 2: KĨ THUẬT ĐIỀU TRA SỐ 18 2.1 Chuẩn bị 19 iv 2.2 Bảo vệ giám định trƣờng 22 2.3 Lập tài liệu trƣờng 24 2.4 Thu thập chứng 24 2.4.1 Thu thập liệu 24 2.4.2 Xác nhận tính tồn vẹn liệu 27 2.4.3 Nhân liệu 28 2.4.4 Công cụ sử dụng để thu thập 30 2.5 Đánh dấu, vận chuyển lƣu trữ 34 2.6 Kiểm tra 34 2.7 Phân tích 35 2.8 Thuật tốn lọc gói tin 36 2.9 Kết luận chƣơng 39 CHƢƠNG ÁP DỤNG KĨ THUẬT ĐIỀU TRA SỐ ĐỂ GIÁM SÁT AN TỒN MẠNG MÁY TÍNH UBND TỈNH QUẢNG NINH 40 3.1 Thực trạng nhu cầu giám sát an toàn mạng máy tính UBND tỉnh Quảng Ninh 40 3.2 Mô tả hệ thống 41 3.2.1 Kiến trúc thành phần hệ thống 43 3.3 Mơ hình triển khai 44 3.3.1 Triển khai chủ động 45 3.3.2 Triển khai thụ động 45 3.4 Thực điều tra số dựa hệ thống mô tả 46 3.4.1 Thu thập tập hợp liệu 47 3.4.2 Sàng lọc, chuẩn hóa tương quan liệu 47 3.4.3 Phân tích liệu 48 3.4.4 Cơng cụ phân tích gói tin Wireshark 50 3.5 Thực nghiệm 55 3.5.1 Xác định địa IP kẻ công nạn nhân 56 v 3.5.2 Xác định số phiên TCP file dump 57 3.5.3 Xác định thời gian công 58 3.5.4 Xác định dịch vụ bị công lỗ hổng dịch vụ bị công 58 3.6 Giải mã thông tin gói tin bị mã hóa 60 3.7 Mô lại công Hacker 63 3.7.1 Quét cổng 445 để xem cổng có mở khơng, điều thể qua gói tin SYN, SYN/ACK, ACK, FIN liên tục 63 3.7.2 Thiết lập kết nối IPC request đến SMB 64 3.8 Đề xuất xử lý tự động trình chặn bắt phân tích gói tin 64 3.9 Kết luận chƣơng 67 KẾT LUẬN VÀ ĐỀ NGHỊ 68 TÀI LIỆU THAM KHẢO 70 vi DANH MỤC CÁC TỪ VIẾT TẮT Viết Từ tiếng Anh tắt Từ tiếng Việt SHA Secure Hash Algorithm Giải thuật băm an toàn MD5 Message – Digest algorithm Thuật toán hàm băm PDA Personal digital assistant Thiết bị trợ giúp cá nhân MDS Maintenance Data System Hệ thống liệu bảo trì FAT File Allocation Table Bảng định vị tập tin NTFS New Technology File System Hệ thống tập tin công nghệ DNS Doman Name System Hệ thống tên miền Network Intrusion Detection Hệ thống phát xâm nhập System mạng Random Access Memory Bộ nhớ truy cập ngẫu nhiên NIDS RAM NFAT Network Forensics Analysis Tool Cơng cụ phân tích mạng ARP Address Resolution Protocol Giao thức phân giải địa vii DANH MỤC BẢNG Bảng 2.1: Thiết bị chống ghi phần cứng, phần mềm 21 Bảng 2-2: Công cụ phần mềm giúp thu thập 30 Bảng 2-3: Công cụ phần cứng giúp thu thập 32 viii DANH MỤC HÌNH ẢNH Hình Các bƣớc thực điều tra số Hình Sử dụng Regsshot quan sát thay đổi Registry Hình 3.Passware Encryption Analyzer xác định file đƣợc bảo vệ mật Hình Sử dụng Volatility liệt kê tiến trình chạy hệ thống Hình Sử dụng Wireshark phân tích cơng Teadrop Hình Sử dụng skypelogview xem liệu đƣợc trao đổi qua đƣờng truyền Hình Sử dụng WPDeviceManager để trích xuất SMS 10 Hình Qui trình điều tra số 19 Hình 9: Mơ hình thu thập thông tin 27 Hình 10: Lƣu đồ thuật tốn lọc gói tin 37 Hình 11: Hệ thống thu thập thơng tin 41 Hình 12: Triển khai chủ động 45 Hình 13: Quy trình phân tích gói tin 49 Hình 14: Cơng cụ Filter 52 Hình 15: CTRL+F 53 Hình 16 Mơ hình thực nghiệm 55 Hình 17 Quy trình xác định nguồn gốc nguyên nhân vụ cơng 56 Hình 18 Danh sách gói tin truy cập đến máy nạn nhân 57 Hình 19 Danh sách IP bắt đƣợc 57 Hình 20 Xem số phiên TCP có 57 Hình 21 Lọc packet theo info 58 Hình 22 Một tập luật để phát lỗi MS08-067 hệ thống Suricata59 Hình 23 Xuất chuỗi liệu “C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88” 59 Hình 24 Xuất chuỗi liệu “00 2E 00 2E 00 5C 00 2E 00 2E 00 5C” 60 Hình 25 Tìm gói tin bị mã hóa RSA 60 ix Hình 26 Xuất thơng tin file der sử dụng rsatool 61 Hình 27 Xuất modulus n 61 Hình 28 Chuyển n hệ thập phân 62 Hình 29 Phân tích n thành tích p q 62 Hình 30 Tạo khóa riêng private key 62 Hình 31 Nhập thơng tin địa IP gói tin cần giải mã chọn khóa riêng 63 Hình 32 Thơng tin đƣợc giải mã thành cơng 63 Hình 33 Q trình qt cơng 445 63 Hình 34 Thiết lập kết nối IPC request 64 Hình 35 Sử dụng Tshark bắt gói tin 65 Hình 36 Mã nguồn Lua 66 Hình 37 Mơ hình hoạt động hệ thống phân tích tự động 67 56 Để giải tình em đề xuất kịch cho tình Tạo chứng nghi ngờ file pcap nên thực lần lƣợt nhƣ sau: Bƣớc 1: Xác định địa IP kẻ công nạn nhân Bƣớc 2: Xác định số phiên TCP(TCP session) file dump Bƣớc 3: Tính thời gian cơng Bƣớc 4: Kiểm tra xem dịch vụ máy nạn nhân mục tiêu công Bƣớc 5: Giải mã thơng tin gói tin bị mã hóa Bƣớc 6: Mô lại công Hacker Để giải yêu cầu trên, lần lƣợt vƣợt qua vấn đề nhỏ Lƣu ý file dump có mở rộng pcap (packet capture), em sử dụng Wireshark cơng cụ phân tích Wireshark chƣơng trình bắt phân tích gói tin, giao thức mạnh nh 17 Quy tr nh xác định nguồn gốc nguyên nhân vụ công 3.5.1 Xác định địa IP kẻ công nạn nhân Đầu tiên mở file pcap Wireshark, thấy danh sách gói tin truy cập đến máy nạn nhân 57 nh 18 Danh sách gói tin truy cập đến máy nạn nhân Vào Menu Statistics/Enpoint List/IPv4 để xem danh sách IP bắt đƣợc nh 19 Danh sách IP bắt đƣợc Có tất IPv4, có địa IP đƣợc ý lƣợng liệu gửi nhận từ hai địa lớn nhiều so với địa khác:  192.168.40.128 IP nội (nghi ngờ địa IP kẻ công)  192.168.40.138 IP nội - địa IP máy tính nạn nhân (cũng máy sử dụng Wireshark để bắt phân tích gói tin) 3.5.2 Xác định số phiên TCP file dump Khi nhìn vào khung Wireshark bạn thấy có nhiều gói tin, nhƣng phần lớn chúng gói tin chào hỏi, xác thực, truyền nhận liệu phiên TCP Để xem số phiên TCP có, vào Menu Statistics –> Conversations, tab TCP Chúng ta thấy thực tế có phiên qua cổng khác nhau: nh 20 Xem số phiên TCP có 58 3.5.3 Xác định thời gian cơng Chỉ cần xem thời gian gói tin gói tin cuối câu trả lời Gói tin đầu tiên: Gói tin cuối cùng: Nhƣ công diễn khoảng giây 3.5.4 Xác định dịch vụ bị công lỗ hổng dịch vụ bị cơng Nhìn vào phiên TCP đƣợc liệt kê phía trên, em ý đến cổng 445 máy nạn nhân Đây cổng chạy giao thức SMB (Server Message Block), cung cấp khả chia sẻ file máy tính máy in máy tính SMB đƣợc biết đến với việc dính số lỗ hổng bảo mật Lọc Packet theo info, duyệt lần lƣợt em phát thêm nghi vấn mới: nh 21 Lọc packet theo info Máy tính nạn nhân bị kẻ cơng sử dụng giao thức SMB với tài khoản “\.” Đây dấu hiệu cho biết máy tính nạn nhân bị khai thác lỗ hổng phân tích cú pháp mã chuẩn hóa đƣờng dẫn NetAPI32.dll thơng qua Dịch vụ máy chủ Nếu bạn thử tìm kiếm Google thấy thƣ viện NETAPI32.dll chạy dịch vụ Local Security Authority Subsystem Service(LSASS) windows thông qua giao thức SMB tiềm ẩn nhiều lỗ hổng cơng đƣợc Từ thơng tin thu đƣợc, kết luận máy tính nạn nhân bị công vào giao thức SMB kèm thêm dấu hiệu riêng tài khoản “.\” đƣợc sử dụng để truy cập vào đƣờng dẫn “:\\192.168.40.138\IPC$” Do vậy, máy tính bị cơng thông qua lỗi bảo mật MS08- 59 067 (chi tiết tại: https://docs.microsoft.com/en-us/securityupdates/securitybulletins/2008/ms08-067) Lỗi bảo mật đƣợc công bố chi tiết CVE-20084250 (https://cve.mitre.org/cgibin/cvename.cgi?name=CVE-2008-4250) nh 22 Một tập luật để phát lỗi MS08-067 hệ thống Suricata Theo luật lọc gói tin Suricata (một hệ thống phát xâm nhập), công để khai thác lỗi CVE-20084250 có dấu hiệu xuất hai dãy liệu: “C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88” “00 2E 00 2E 00 5C 00 2E 00 2E 00 5C” Thử tìm kiếm giá trị từ Wireshark, em thu đƣợc nhƣ sau: nh 23 Xuất chuỗi liệu “C8 4F 32 4B 70 16 D3 01 12 78 5A 47 BF 6E E1 88” 60 nh 24 Xuất chuỗi liệu “00 2E 00 2E 00 5C 00 2E 00 2E 00 5C” Từ liệu thu đƣợc, khẳng định máy tính nạn nhân có địa 192.168.40.138 bị công máy mạng nội với địa 192.168.40.128 thông qua giao thức SMB để khai thác lỗi CVE-20084250 Vậy biết đƣợc số thông tin kẻ công, biết đƣợc dịch vụ máy nạn nhân mục tiêu công Em tạm dừng đây, phần phân tích kỹ cách hacker thực vụ cơng, làm nhƣ để khai thác lỗ hổng 3.6 Giải mã thơng tin gói tin bị mã hóa Tiếp theo tiến hành tìm gói tin chứa thơng tin đƣợc mã hóa RSA để tiến hành giải mã chúng Hình 25 Tìm gói tin bị mã hóa RSA 61 Sau xác định đƣợc gói tin bị mã hóa RSA, kích phải vào dịng có chữ Certificate nhƣ Hình 25 chọn Export Packet Bytes, lƣu lại file với phần mở rộng der (Distinguished Encoding Rules) Để đọc file der em xây dựng công cụ dịng lệnh đặt tên rsatool sử dụng ngơn ngữ Python Cơng cụ có số chức nhƣ tạo khóa cho hệ mã khóa cơng khai RSA, thực mã hóa giải mã RSA, đọc thơng tin lƣu file der… Sử dụng công cụ ta tiến hành đọc thông tin lƣu file der thu đƣợc Hình 26 Xuất thơng tin file der sử dụng rsatool Tiếp tục sử dụng rsatool để xuất modulus n Hình 27 Xuất modulus n Vì giá trị n đƣợc lƣu dạng hexa nên cần chuyển hệ thập phân 62 Hình 28 Chuyển n hệ thập phân Từ giá trị n thu đƣợc ta cần phân tích n thành tích số nguyên tố lớn p q Để làm việc ta truy cập trang http://factordb.com/ Hình 29 Phân tích n thành tích p q Sau có đƣợc giá trị p q ta tiến hành tạo khóa riêng dùng cho việc giải mã RSA Hình 30 Tạo khóa riêng private key Cuối sử dụng khóa riêng vừa thu đƣợc để giải mã thơng tin gói tin Chọn Edit -> Preferences -> Protocols -> SSL 63 Hình 31 Nhập thơng tin địa IP gói tin cần giải mã chọn khóa riêng Thơng tin gói tin gửi đến máy cơng đƣợc giải mã Qua Quản trị viên biết đƣợc thơng tin đƣợc gửi từ máy nạn nhân Hình 32 Thông tin giải mã thành công 3.7 Mô lại công Hacker 3.7.1 Quét cổng 445 để xem cổng có mở khơng, điều thể qua gói tin SYN, SYN/ACK, ACK, FIN liên tục nh 33 Q trình qt cơng 445 64 3.7.2 Thiết lập kết nối IPC request đến SMB nh 34 Thiết lập kết nối IPC request Bạn đọc tìm hiểu thêm hình thức kết nối IPC$, hacker gửi kết nối với giá trị username password rỗng, đƣợc biết đến với kiểu công Null Session Đến điều tra xem nhƣ đến hồi kết, tìm đƣợc số thơng tin hacker (mặc dù để tìm kẻ cơng ngồi đời cần phụ thuộc vào yếu tố pháp luật hơn) Dƣới góc độ kỹ thuật biết đƣợc cách hacker cơng hệ thống nhƣ nào, biết đƣợc hệ thống bị dính lỗ hổng nguy tiềm ẩn để cập nhật vá khắc phục cố không tái diễn tƣơng lai 3.8 Đề xuất xử lý tự động trình chặn bắt phân tích gói tin Q trình bắt gói tin phân tích gói tin đƣợc thực tay Tuy nhiên, thực tế hàng ngày có nhiều cơng vào hệ thống mạng, đặt yêu cầu phải xử lý tự động đƣợc q trình bắt gói tin phân tích nhƣ cảnh báo đến quản trị viên Trong khuôn khổ luận văn em xin đề xuất quy trình xử lý tự động nhƣ sau: Đầu tiên cần tự động q trình bắt gói tin, việc thực với cơng cụ dịng lệnh Wireshark Tshark Tshark cơng cụ dạng command-line nên ta xây dựng tệp batch bat để tự động q trình bắt gói tin 65 Hình 35 Sử dụng Tshark bắt gói tin Bƣớc sử dụng ngơn ngữ lập trình Lua để xuất file pcap xây dựng lọc tự động nhƣ phân tích tự động gói tin Wireshark tích hợp trình thông dịch Lua (Lua interpreter) để trợ giúp nhà phát triển việc phân tích gói tin Các file lua đƣợc thực thi cơng cụ Tshark nên đƣợc gọi cách tự động file bat Sử dụng Lua xây dựng lọc tự động, phát địa IP bất thƣờng, traffic đáng nghi ví dụ nhƣ trƣờng hợp thấy xuất địa IP có lƣu lƣơng trao đổi cao hẳn khác Tất bƣớc mục 3.5 đƣợc thực tự động với chƣơng trình đƣợc viết Lua Để tăng khả cho trình phân tích tự động cần xây dựng CSDL mẫu chuỗi liệu đặc trƣng cho việc khai thác lỗ hổng nhƣ chuỗi liệu xuất việc khai thác lỗ hổng CVE-20084250 mục Có thể xây dựng hệ chuyên gia dựa luật kết hợp học máy để nâng cao khả phá hành vi bất thƣờng xuất gói tin Trong Hình 36 đoạn mã nguồn em viết để tự động xuất file pcap 66 Hình 36 Mã nguồn Lua Bƣớc cuối gửi thông tin cảnh báo email đến cho quản trị viên dấu hiệu bất thƣờng xảy q trình phân tích tự động Q trình đƣợc tự động mã nguồn Lua Ngoài cách dùng Lua (chi tiết xem thêm https://www.wireshark.org/docs/wsdg_html/) trên, ta dùng thƣ viện Python có tên pyshark (https://github.com/KimiNewt/pyshark) để xây dựng hệ thống tự động bắt phân tích gói tin phục vụ cho q trình giám sát an tồn mạng máy tính Qua bƣớc phân tích trên, em đề xuất xây dựng hệ thống tự động phân tích gói tin theo bƣớc nhƣ sau: Bƣớc 1: Đầu tiên sử dụng Tshark để tự động bắt gói tin lƣu lại file pcap, trình đƣợc điều khiển file bat script viết AutoIT Bƣớc 2: Các file pcap đƣợc gửi đến server lƣu lại, sau đƣợc đƣa vào hàng đợi để chờ tới lƣợt xử lý Có mơđun kiểm tra trạng thái 67 tiến trình hệ thống, tiến trình chạy chƣa cho phép chạy file Bƣớc 3: Khi file đƣa vào hệ thống đƣợc đƣa vào máy ảo, có cài mơđun tự động phân tích viết Lua đƣợc điều khiển file bat script viết AutoIT, hành vi file đƣợc ghi lại sinh log file để đƣa máy ảo Bƣớc 4: Các log file đƣợc mơđun phân tích trích xuất thơng tin thành dạng dễ đọc hiểu Lúc có mơđun khác gửi kết phân tích đến quản trị viên Bƣớc 5: Sau thực xong hệ thống lại tự kiểm tra xem có file mẫu nằm hàng đợi khơng, có lại tự động xử lý tiếp, quay lại từ bƣớc Quá trình tiếp diễn nhƣ (Hình 36) Hình 37 Mơ hình hoạt động hệ thống phân tích tự động 3.9 Kết luận chƣơng Nhƣ giới thiệu phần trƣớc, mục tiêu luận văn áp dụng quy trình điều tra số phục vụ giám sát an tồn mạng máy tính UBND tỉnh Quảng Ninh Áp dụng quy trình, cơng cụ sử dụng việc phân tích mẫu chứng Đƣa đƣợc kết q trình phân tích Đồng thời mơ tả hệ thống điều tra số thực điều tra số hệ thống mô tả Em đƣa đề xuất xây dựng hệ thống có khả chặn bắt phân tích gói tin tự động 68 KẾT LUẬN VÀ ĐỀ NGHỊ Nghiên cứu quy trình điều tra số chủ đề nghiên cứu hấp dẫn áp dụng nhiều toán thực tế Đây toán phức tạp nhƣng đƣợc giải ta biết ứng dụng kỹ thuật an tồn thơng tin Trong đó, việc ứng dụng cơng cụ Wireshark, VMWare, Kali Linux giải pháp tốt Sau thời gian tìm hiểu nghiên cứu, luận văn trình bày đƣợc vấn đề sau: - Tìm hiểu kiến thức tổng quan điều tra số, trình bày khái niệm điều tra số, phân loại điều tra số, đặc điểm điều tra số xác định hợp lệ cơng cụ điều tra số - Tìm hiểu quy trình điều tra số, nội dung cần thiết phải chuẩn bị, bảo vệ giám định, lập tài liệu, thu thập chứng, đánh dấu, vận chuyển lƣu trữ, kiểm tra, phân tích, lập tài liệu báo cáo - Nghiên cứu tìm hiểu số cơng cụ phần cứng phần mềm đƣợc sử dụng bƣớc quy trình, so sánh, phân tích, đánh giá số công cụ - Mô tả hệ thống giám sát an ninh mạng, mô tả công nghệ việc áp dụng quy trình, kỹ thuật nhƣ cơng cụ để tiến hành điều tra, tìm manh mối nghi ngờ dựa liệu cung cấp - Phát đƣợc máy tính mạng bị cơng Sau nhờ cơng cụ phân tích phát máy bị cơng có lỗ hổng MS08 – 067 Từ kết đƣa phƣơng pháp chống lại công tƣơng tự cách cập nhập vá lỗi hệ điều hành máy tính nạn nhân Trong q trình thử nghiệm chƣơng trình, kết mơ cho thấy hồn tồn triển khai kỹ thuật thực tế Tuy nhiên, tốn mơ dừng lại phạm vi nghiên cứu đề tài chứng minh tính đắn sở lý thuyết Vì vậy, theo quan điểm em, đề tài cịn có số hướng phát triển sau: 69 Tiến hành đƣa đề tài vào triển khai thực tế Ủy ban nhân dân tỉnh Quảng Ninh Nghiên cứu tích hợp với phần mềm phát SMB Tiến hành xây dựng hệ thống hồn chỉnh có khả tự động bắt phân tích gói tin để phục vụ cho q trình giám sát hệ thống CNTT an tồn hiệu Do nhiều mặt hạn chế kiến thức kinh nghiệm nên so với thực tế luận văn dừng mức tìm hiểu khái niệm, nắm bắt đƣợc phƣơng thức giám sát, chế nghiên cứu công nghệ phát hiện, phân tích Wireshark Em mong nhận đƣợc đóng góp ý kiến thầy cơ, bạn đọc quan tâm để luận văn đƣợc hoàn thiện Một lần em xin đƣợc cảm ơn TS Hồ Văn Hƣơng tận tình giúp đỡ, hƣớng dẫn thời gian thực đề tài, cảm ơn giúp đỡ gia đình, bạn bè đồng nghiệp thời gian qua 70 TÀI LIỆU THAM KHẢO [1] Phạm Minh Thuấn, Học viện Kỹ thuật Mật mã, Giáo trình phịng chống điều tra tội phạm máy tính, 2013; [2] ThS Phạm Duy Trung, KS Hồng Thanh Nam, Học viện Kỹ thuật Mật mã, Thu thập phân tích thơng tin an ninh mạng, 2013; [3] Bill Nelson, Amelia Philips and Chrishtopher Steuart Guide to Computer Foresics and Investigations, 2010; [4] EC-Council Computer Foresics Investigations Computer and Tmage Files, 2010; [5] Carlisle Adams & Steve Lloyd, Understanding PKI: Concepts, Standards and Deployment Considerations, Addison-Wesley, 2003; [6] Hồ Văn Hƣơng, Nguyễn Quốc Uy, Nguyễn Anh Đồn, Tích hợp giải pháp bảo mật xác thực cho mạng riêng ảo, Tạp chí nghiên cứu Khoa học Cơng nghệ Quân Sự số 28, 2013; [7] Hồ Văn Hƣơng, Hoàng Chiến Thắng, Nguyễn Quốc Uy, Giải pháp bảo mật xác thực cho văn phòng điện tử, Hội nghị Quốc Gia điện tử truyền thông (REV 2013 - KC01); [8] Hồ Văn Hƣơng, Nguyễn Quốc Uy, Giải pháp bảo mật CSDL, Tạp chí An tồn thơng tin số (027), 2013; [9] Điều tra số: Hành trình truy tìm dấu vết, truy cập tại: http://m.antoanthongtin.vn/gp-attm/dieu-tra-so-hanh-trinh-truy-tim-dauvet-101016 [10] Điều tra số - Digital Forensics, truy cập tại: https://itstar.edu.vn/khoahoc/dieu-tra-so-Digital-Forensics.html; ... nhƣng điều tra số đƣợc chia thành loại hình điều tra máy tính, điều tra mạng điều tra thiết bị di động [4] Điều tra máy tính: Điều tra máy tính (Computer Forensics) nhánh khoa học điều tra số liên... liên quan đến việc phục hồi điều tra chứng số đƣợc tìm thấy thiết bị kỹ thuật số, đƣợc phân chia thành loại là: điều tra máy tính, điều tra mạng điều tra thiết bị di động Trong đó, điều tra mạng. .. thực điều tra Thuật ngữ điều tra mạng đƣợc đƣa chuyên gia bảo mật máy tính Marcus Ranum vào đầu năm 90 kỷ XX Điều tra mạng loại hình điều tra số liên quan đến việc giám sát phân tích lƣu lƣợng mạng