NGHIÊN cứu các hệ THỐNG GIÁM sát và CẢNH báo AN NINH MẠNG

BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM KHOA CÔNG NGHỆ THÔNG TIN -o0o HỌC PHẦN: ĐỒ ÁN TÍN CHỈ ĐỀ TÀI: NGHIÊN CỨU CÁC HỆ THỐNG GIÁM SÁT VÀ CẢNH BÁO AN NINH MẠNG GVHD: ThS Trần Đắc Tốt SVTH: Nguyễn Thị Thu Hồng - 2033180026 Nguyễn Kim Ngân - 2033181049 Trường Đại học Công nghiệp Thực Phẩm TP.HCM NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN Nhóm sinh viên gồm : 1.Nguyễn Thị Thu Hồng…… MSSV: 2033180026 2.Nguyễn Kim Ngân…….… MSSV: 2033181049 Nhận xét : ………………………………………………………………………………………………….… ………………………………………………………………………………………………….… ………………………………………………………………………………………………….… ………………………………………………………………………………………………….… ………………………………………………………………………………………………….… ………………………………………………………………………………………………….… ………………………………………………………………………………………………….… ………………………………………………………………………………………………….… ………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… Điểm đánh giá: …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… …………………………………………………………………………………………………… Ngày ……….tháng ………….năm 2021 ( ký tên, ghi rõ họ tên) ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Mục Lục I Nghiên cứu hệ thống giám sát an ninh kiện (SIEM) SIEM gì? Tại SIEM lại quan trọng? SIEM hoạt động nào? 4 Lợi ích SIEM 5 Các cơng cụ tính II Nghiên cứu thuật toán máy học ứng dụng Phát bất thường LSTM (Long Short-Term Memnory) gì? Mô hình LSTM: ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM I Nghiên cứu hệ thống giám sát an ninh kiện (SIEM) SIEM gì? Security Information and Event Management (SIEM) giải pháp phần mềm để tổng hợp phân tích hoạt động từ nhiều nguồn tài nguyên khác toàn sở hạ tầng SIEM thu thập liệu bảo mật từ thiết bị mạng, máy chủ, điều khiển miền, v.v SIEM lưu trữ, chuẩn hoá, tổng hợp áp dụng phâp tích vào liệu để khám phá xu hướng, phát mối đe doạ cho phép tổ chức điều tra cảnh báo Tại SIEM lại quan trọng? Kết hợp quản lý thông tin bảo mật(SIM – Security Information Management) quản lý kiện bảo mật (SEM – Security Event Management), SIEM cung cấp khả giám sát phân tích kiện thời gian thực theo dõi ghi lại liệu cho mục đích kiểm toán Hiểu theo cách đơn giản, SIEM giải pháp bảo mật giúp cho doanh nghiệp nhận mối đe doạ lỗ hổng bảo mật trước chúng gián đoạn hoạt động kinh doanh doanh nghiệp Nó hành vi bất thường người dùng sử dụng AI để tự động hố quy trình thủ cơng kết hợp với phát mối đe doạ phản hồi biến cố trở thành yếu tố trung tâm điều hành an ninh (SOCs – Security Operation Centers) SIEM hoạt động nào? Ở cấp độ nhất, tất giải pháp SIEM thực số chức tổng hợp, hợp phân loại liệu để xác định mối đe dọa tuân thủ yêu cầu tuân thủ liệu Mặc dù số giải pháp khác khả năng, hầu hết cung cấp chức cốt lõi: Quản lý nhật ký SIEM thu thập liệu kiện từ nhiều nguồn toàn mạng tổ chức Nhật ký luồng liệu từ người dùng, ứng dụng, nội dung, môi trường đám mây mạng thu thập, lưu trữ phân tích thời gian thực, mang lại cho nhóm “CNTT bảo mật” khả tự động quản lý nhật ký kiện mạng liệu luồng mạng vị trí tập trung Một số giải pháp SIEM tích hợp với nguồn cấp liệu thơng tin tình báo mối đe dọa bên thứ ba để tương quan liệu bảo mật nội chúng với chữ ký hồ sơ mối đe dọa công nhận trước Tích hợp với nguồn cấp liệu mối đe dọa thời gian thực cho phép nhóm chặn phát loại chữ ký cơng Tương quan kiện phân tích ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Tương quan kiện phần thiết yếu giải pháp SIEM Sử dụng phân tích nâng cao để xác định hiểu mẫu liệu phức tạp, tương quan kiện cung cấp thơng tin chi tiết để nhanh chóng xác định vị trí giảm thiểu mối đe dọa tiềm ẩn bảo mật doanh nghiệp Các giải pháp SIEM cải thiện đáng kể thời gian trung bình để phát (MTTD) thời gian trung bình để cộng hưởng (MTTR) cho nhóm bảo mật CNTT cách giảm tải quy trình cơng việc thủ cơng liên quan đến phân tích chuyên sâu kiện bảo mật Giám sát cố cảnh báo an ninh Bởi chúng cho phép quản lý tập trung sở hạ tầng chỗ dựa đám mây, giải pháp SIEM xác định tất thực thể môi trường CNTT Điều cho phép công nghệ SIEM giám sát cố bảo mật tất người dùng, thiết bị ứng dụng kết nối đồng thời phân loại hành vi bất thường phát mạng Sử dụng quy tắc tương quan tùy chỉnh, xác định trước, quản trị viên cảnh báo thực hành động thích hợp để giảm thiểu trước thực hóa thành vấn đề bảo mật quan trọng Quản lý Tuân thủ Báo cáo Các giải pháp SIEM lựa chọn phổ biến cho tổ chức tuân theo hình thức tuân thủ quy định khác Do khả thu thập phân tích liệu tự động mà cung cấp, SIEM cơng cụ có giá trị để thu thập xác minh liệu tuân thủ toàn sở hạ tầng kinh doanh Các giải pháp SIEM tạo báo cáo tuân thủ theo thời gian thực cho PCI-DSS, GDPR, HIPPA, SOX tiêu chuẩn tuân thủ khác, giảm gánh nặng quản lý bảo mật phát sớm vi phạm tiềm ẩn để chúng giải Nhiều giải pháp SIEM kèm với tiện ích bổ sung có sẵn, xây dựng sẵn tạo báo cáo tự động thiết kế để đáp ứng yêu cầu tuân thủ Lợi ích SIEM Các giải pháp SIEM mang lại lợi ích cho doanh nghiệp theo nhiều cách khác trở thành thành phần quan trọng việc hợp lý hóa quy trình cơng việc bảo mật Một số lợi ích bao gồm: Nhận dạng mối đe dọa theo thời gian thực nâng cao Các giải pháp giám sát tích cực SIEM toàn sở hạ tầng bạn giúp giảm đáng kể thời gian cần thiết để xác định phản ứng với mối đe dọa lỗ hổng bảo mật tiềm ẩn mạng, giúp củng cố vị bảo mật tổ chức mở rộng quy mô Kiểm toán tuân thủ quy định Các giải pháp SIEM cho phép đánh giá báo cáo tuân thủ tập trung toàn sở hạ tầng kinh doanh Tự động hóa nâng cao hợp lý hóa việc thu thập phân tích nhật ký hệ thống ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM kiện bảo mật để giảm việc sử dụng tài nguyên nội đáp ứng tiêu chuẩn báo cáo tuân thủ nghiêm ngặt Tự động hóa AI điều khiển Các giải pháp SIEM hệ ngày tích hợp với khả Điều phối bảo mật, Tự động hóa Phản hồi (SOAR) mạnh mẽ, tiết kiệm thời gian tài nguyên cho nhóm CNTT họ quản lý bảo mật kinh doanh Sử dụng học máy sâu tự động thích ứng với hành vi mạng, giải pháp xử lý giao thức xác định mối đe dọa phức tạp phản ứng cố thời gian ngắn đáng kể so với nhóm vật lý Cải thiện hiệu tổ chức Do khả hiển thị cải thiện môi trường CNTT mà cung cấp, SIEM động lực thiết yếu để cải thiện hiệu phận Với nhìn thống nhất, liệu hệ thống SOAR tích hợp, nhóm giao tiếp cộng tác hiệu phản ứng với kiện nhận biết cố bảo mật Phát mối đe dọa nâng cao không xác định Xem xét bối cảnh an ninh mạng thay đổi nhanh nào, tổ chức cần có khả dựa vào giải pháp phát phản ứng với mối đe dọa bảo mật biết chưa biết Sử dụng nguồn cấp liệu thơng minh mối đe dọa tích hợp cơng nghệ AI, giải pháp SIEM giảm thiểu thành công vi phạm bảo mật thời đại như: ● Mối đe dọa từ nội - Các lỗ hổng bảo mật công bắt nguồn từ cá nhân có quyền truy cập vào mạng công ty tài sản kỹ thuật số Những cơng kết thông tin đăng nhập bị xâm phạm ● Tấn công lừa đảo - Các công kỹ thuật xã hội giả mạo thực thể đáng tin cậy, thường sử dụng để lấy cắp liệu người dùng, thơng tin đăng nhập, thơng tin tài thông tin kinh doanh nhạy cảm khác ● SQL Injjection - Mã độc hại thực thi qua trang web ứng dụng bị xâm nhập thiết kế để bỏ qua biện pháp bảo mật thêm, sửa đổi xóa ghi sở liệu SQL ● Tấn công DDoS - Một công từ chối dịch vụ phân tán (DDoS) thiết kế để bắn phá mạng hệ thống có mức lưu lượng khơng thể quản lý được, làm giảm hiệu suất trang web máy chủ chúng sử dụng ● Lọc liệu - Đánh cắp ép đùn liệu thường xảy cách lợi dụng mật phổ biến dễ bẻ khóa nội dung mạng thông qua việc sử dụng Mối đe dọa liên tục nâng cao APT Tiến hành điều tra pháp y ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Các giải pháp SIEM lý tưởng để thực điều tra pháp y kỹ thuật số cố bảo mật xảy Các giải pháp SIEM cho phép tổ chức thu thập phân tích hiệu liệu nhật ký từ tất tài sản kỹ thuật số họ nơi Điều mang lại cho họ khả tạo lại cố khứ phân tích cố để điều tra hoạt động đáng ngờ thực quy trình bảo mật hiệu Đánh giá báo cáo tuân thủ Đánh giá tuân thủ báo cáo nhiệm vụ cần thiết đầy thách thức nhiều tổ chức Các giải pháp SIEM giúp giảm đáng kể chi phí tài nguyên cần thiết để quản lý trình cách cung cấp đánh giá thời gian thực báo cáo theo yêu cầu việc tuân thủ quy định cần Giám sát người dùng ứng dụng Với gia tăng phổ biến lực lượng làm việc từ xa, ứng dụng SaaS sách BYOD (Mang thiết bị riêng bạn), tổ chức cần mức độ hiển thị cần thiết để giảm thiểu rủi ro mạng từ bên chu vi mạng truyền thống Các giải pháp SIEM theo dõi tất hoạt động mạng tất người dùng, thiết bị ứng dụng, cải thiện đáng kể tính minh bạch toàn sở hạ tầng phát mối đe dọa nơi tài sản dịch vụ kỹ thuật số truy cập Các cơng cụ tính Quản lý liệu nhật ký Thu thập liệu nhật ký tảng Quản lý Sự kiện Thông tin Bảo mật Thu thập, phân tích tương quan liệu thời gian thực tối đa hóa suất hiệu Khả hiển thị mạng Bằng cách kiểm tra việc thu thập gói liệu luồng mạng để biết luồng mạng, công cụ phân tích SIEM có thêm thơng tin chi tiết nội dung, địa IP giao thức để tiết lộ tệp độc hại việc đánh cắp liệu thông tin nhận dạng cá nhân (PII) di chuyển mạng Mối đe dọa thơng minh Có thể kết hợp nguồn cấp liệu thông minh độc quyền nguồn mở vào giải pháp SIEM bạn điều cần thiết để nhận chống lại lỗ hổng bảo mật dấu hiệu cơng ngày Phân tích Khơng phải tất giải pháp SIEM cung cấp mức độ phân tích liệu Các giải pháp kết hợp công nghệ hệ học máy trí tuệ nhân tạo giúp điều tra công phức tạp tinh vi chúng phát sinh ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Cảnh báo thời gian thực Các giải pháp SIEM tùy chỉnh theo nhu cầu doanh nghiệp, sử dụng cảnh báo thông báo theo cấp, xác định trước nhiều nhóm Trang tổng quan báo cáo Trong số tổ chức, hàng trăm chí hàng nghìn kiện mạng xảy hàng ngày Hiểu báo cáo cố chế độ xem tùy chỉnh, khơng có thời gian trễ điều cần thiết Tuân thủ CNTT Các yêu cầu tuân thủ quy định khác đáng kể tổ chức với tổ chức Mặc dù tất công cụ SIEM cung cấp phạm vi tuân thủ đầy đủ, tổ chức ngành quản lý chặt chẽ ưu tiên kiểm toán báo cáo theo yêu cầu tính khác Tích hợp bảo mật & CNTT Khả hiển thị tổ chức bắt đầu việc tích hợp SIEM với nhiều nguồn nhật ký bảo mật không bảo mật; tổ chức thành lập hưởng lợi từ SIEM tích hợp với khoản đầu tư có vào bảo mật cơng cụ CNTT II Nghiên cứu thuật toán máy học ứng dụng Phát bất thường LSTM (Long Short-Term Memnory) gì? Deep learning có mơ hình lớn Convolutional Neural Network (CNN) xử lý thơng tin với input hình ảnh Recurrent neural network (RNN) xử lý thông tin dạng chuỗi (sequence/time-series), RNN có tượng bất ổn số học tính gradient (đạo hàm) – vanishing gradient problem, LSTM dạng đặc biệt RNN, hoạt động hiệu nhiều toán khác nên dần trở nên phổ biến Có khả nhớ thơng tin suốt thời gian dài ta khơng cần huấn luyện để nhớ được, điều mà RNN không làm Mơ hình LSTM: Mạng LSTM bao gồm nhiều tế bào LSTM (LSTM memory cell) liên kết với Ý tưởng LSTM thêm trạng thái bên tế bào cell state cổng sàng lọc thông tin đầu vào đầu cho tế bào ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Nguồn: https://d2l.ai/chapter_recurrent-modern/lstm.html LSTM có cổng: input gate, forget gate, output gate, bên cạnh cịn nhớ có kích thước giống bới hidden state thiết kế để ghi lại thông tin bổ sung Dữ liệu đưa vào cổng LSTM input Xt hidden state Ht-1 đầu vào xử lý FC layer ( tầng kế nối đầu đủ hàm kích hoạt sigmoid) để tính giá trị input gate, forget gate, output gate Kết số khoảng [0,1] cho số trạng thái tế bào Ct-1 ThS Trần Đắc Tốt Trường Đại học Cơng nghiệp Thực Phẩm TP.HCM Giả sử có h nút ẩn, minibatch có kích thước n kích thước đầu vào d Vậy, input Xt ∈ Rnxd , hidden state Ht-1 ∈ Rnxd Vậy cổng định nghĩ: inputgate It ∈ Rnxh, forget gate Ft ∈ Rnxh output gate Ot ∈ Rnxh Công thức tính sau: Ft = σ(Uf Xt + Wf Ht-1 + bf), It = σ(Ui Xt + Wi Ht-1 + bi), Ot = σ(Uo Xt + Wo Ht-1 + bo) Trong đó, Uf , Ui , Uo ∈ Rdxh Wf , Wi , Wo ∈ Rhxh ma trận trọng số bf , bi , bo ∈ R1xh hệ số điều chỉnh ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Tiếp theo, thiết kế ô nhớ - ô nhớ tiềm ( candidate memory cell ) Ĉt ∈ Rnxh Theo phương trình sau thời gian t: Ĉt = tanh(Uc Xt + Wc Ht-1 + bc) Với Uc ∈ Rdxh Wc ∈ Rhxh tham số trọng số bc ∈ R1xh hệ số điều chỉnh ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Trong LSTM, ta có tham số It liệu lấy thông qua Ĉt tham số Ft định lượng thông tin cũ cần giữ lại ô nhớ Ct-1 ∈ Rnxh Sử dụng phép nhân theo pointwise, ta có phương trình sau: Ct = Ft ⊙ Ct-1 + It ⊙ Ĉt Nếu giá trị forget gate xấp xỉ inputgate ln xấp xỉ 0, giá trị ô nhớ khứ Ct-1 lưu lại truyền tới bước thời gian Đây bước nhằm giảm bớt vấn đề vanishing gradient ( đạo hàm bị triệt tiêu) nắm bắt phụ thuộc dài hạn chuỗi thời gian tốt ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Cuối cùng, ta xác định trạng thái ẩn Ht ∈ Rnxh – nơi cổng đầu sử dụng Điều phiên có kiểm sốt hàm kích hoạt nhớ (memory cell)- để đảm bảo giá trị Ht nằm khoảng (-1,1) Ht = Ot ⊙ tanh(Ct) Khi giá trị output gate = đưa tồn thơng tin nhớ tới dự đoán Ngược lại, giá trị output gate = 0, chúng đưa tất thông tin ô nhớ không xử lý III Thực nghiệm LSTM Code Đầu tiên nạp tập liệu từ The Time Machine Tiếp theo cần định nghĩa khởi tạo tham số mơ hình, num_hid số lượng nút ẩn ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Trong hàm khởi tạo, trạng thái ẩn cần trả nhớ có giá trị kích thước (kích thước batch, số lượng nút ẩn) Sau định nghĩa hàm, ta tạo lớp bao hàm lại lưu trữ tham số ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Huấn luyện LSTM cách gọi hàm RNNModelScratch Kết Đây đoạn nhỏ tập liệu: Và kết máy học: ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Lần 1: ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Lần 2: ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Đây đồ thị thể máy học sâu trình huấn luyến máy học tập liệu: ThS Trần Đắc Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM Tài liệu tham khảo : https://www.ibm.com/topics/siem?fbclid=IwAR13SwBGZqQJ6hP9irBkhcOgNKgGjqLqTEFpj -0mPlCx3JwgSBU4a6Cuy8A https://d2l.ai/ ThS Trần Đắc Tốt ... Lục I Nghiên cứu hệ thống giám sát an ninh kiện (SIEM) SIEM gì? Tại SIEM lại quan trọng? SIEM hoạt động nào? 4 Lợi ích SIEM 5 Các cơng... Tốt Trường Đại học Công nghiệp Thực Phẩm TP.HCM I Nghiên cứu hệ thống giám sát an ninh kiện (SIEM) SIEM gì? Security Information and Event Management (SIEM) giải pháp phần mềm để tổng hợp phân... (MTTD) thời gian trung bình để cộng hưởng (MTTR) cho nhóm bảo mật CNTT cách giảm tải quy trình cơng việc thủ cơng liên quan đến phân tích chuyên sâu kiện bảo mật Giám sát cố cảnh báo an ninh Bởi chúng