ĐỀ TÀI: NGHIÊN CỨU CÁC HỆ THỐNG GIÁM SÁT VÀ CẢNH BÁO AN NINH MẠNG Nguyễn Kim Ngân 2033181049 Nguyễn Thị Thu Hồng 2033180026 Tổng quát SIEM 01 02 Tại SIEM quan trọng Nghiên cứu hệ thống giám sát an ninh kiện (SIEM) 03 SIEM hoạt động nào? 04 05 Lợi ích SIEM Các cơng cụ tính 01 SIEM gì? Tổng quan SIEM SIEM: Security Information and Event Management (SIEM) giải pháp phần mềm để tổng hợp phân tích hoạt động từ nhiều nguồn tài nguyên khác toàn sở hạ tầng SIEM thu thập liệu bảo mật từ thiết bị mạng, máy chủ, điều khiển miền, v.v SIEM lưu trữ, chuẩn hoá, tổng hợp áp dụng phâp tích vào liệu để khám phá xu hướng, phát mối đe doạ cho phép tổ chức điều tra cảnh báo Tại SIEM 02 lại quan Kết hợp quản lý thông tin bảo mật(SIM – Security SIEM giải pháp bảo mật giúp cho doanh Information Management) quản lý kiện bảo mật nghiệp nhận mối đe doạ lỗ hổng bảo mật (SEM – Security Event Management), SIEM cung cấp trước chúng gián đoạn hoạt động kinh doanh khả giám sát phân tích kiện thời gian doanh nghiệp Nó hành vi bất thường thực theo dõi ghi lại liệu cho mục đích kiểm tốn người dùng sử dụng AI để tự động hố quy trình thủ cơng kết hợp với phát mối đe doạ phản hồi biến cố trở thành yếu tố trung tâm điều hành an ninh (SOCs – Security Operation Centers) SIEM hoạt 03 động nào? Tất giải pháp SIEM thực số chức tổng hợp, hợp phân loại liệu để xác định mối đe dọa tuân thủ yêu cầu tuân thủ liệu Mặc dù số giải pháp khác khả năng, hầu hết cung cấp chức cốt lõi Quản lý nhật ký Tương quan kiện phân tích Giám sát cố cảnh báo an ninh Quản lý tuân thủ báo cáo SIEM thu thập liệu kiện từ nhiều nguồn toàn mạng tổ chức Nhật ký luồng liệu từ người dùng, ứng dụng, nội dung, môi trường đám mây mạng thu thập, lưu trữ phân tích thời gian thực, mang lại Quản lý nhật ký cho nhóm “CNTT bảo mật” khả tự động quản lý nhật ký kiện mạng liệu luồng mạng vị trí tập trung Một số giải pháp SIEM tích hợp với nguồn cấp liệu thơng tin tình báo mối đe dọa bên thứ ba để tương quan liệu bảo mật nội chúng với chữ ký hồ sơ mối đe dọa cơng nhận trước Tích hợp với nguồn cấp liệu mối đe dọa thời gian thực cho phép nhóm chặn phát loại chữ ký công Tương quan kiện phần thiết yếu giải pháp SIEM Sử dụng phân tích nâng cao để xác định Tương quan kiện phân tích hiểu mẫu liệu phức tạp, tương quan kiện cung cấp thông tin chi tiết để nhanh chóng xác định vị trí giảm thiểu mối đe dọa tiềm ẩn bảo mật doanh nghiệp Các giải pháp SIEM cải thiện đáng kể thời gian trung bình để phát (MTTD) thời gian trung bình để cộng hưởng (MTTR) cho nhóm bảo mật CNTT cách giảm tải quy trình cơng việc thủ cơng liên quan đến phân tích chun sâu kiện bảo mật Một số lợi ích bao gồm: Phát mối đe dọa nâng Tiến hành điều tra pháp y cao không xác định Đánh giá báo cáo Giám sát người dùng ứng tuân thủ dụng Các giải pháp SIEM giảm thiểu Thực điều tra pháp y Là nhiệm vụ cần thiết đầy Theo dõi tất hoạt động mạng tất thành công vi phạm bảo mật thời kỹ thuật số cố bảo mật xảy thách thức nhiều tổ chức người dùng, thiết bị ứng dụng, cải đại như: Các giải pháp SIEM cho phép tổ giúp giảm đáng kể chi phí tài nguyên thiện đáng kể tính minh bạch tồn Mối đe dọa từ nội chức thu thập phân tích hiệu cần thiết để quản lý trình Tấn công lừa đảo liệu nhật ký từ tất tài sản cách cung cấp đánh SQL Injjection kỹ thuật số Có khả tạo lại giá thời gian thực báo cáo theo Tấn công DDoS cố khứ phân tích yêu cầu việc tuân thủ quy định Lọc liệu cố để điều tra hoạt động cần • • • • • đáng ngờ thực quy trình bảo mật hiệu sở hạ tầng phát mối đe dọa nơi tài sản dịch vụ kỹ thuật số truy cập 05 Các cơng cụ tính Các cơng cụ tính năng: Khả hiển Phân tích thị mạng Quản lý Mối đe dọa liệu nhật ký thơng minh Các cơng cụ tính năng: Tích hợp bảo Trang tổng quan mật & CNTT báo cáo Cảnh báo thời gian thực Tuân thủ CNTT Nghiên cứu thuật Long Short-Term Memnory gì? 01 toán máy học ứng dụng Phát bất thường 02 Mơ hình LSTM LSTM (Long Short-Term Memnory) gì? Deep learning có mơ hình lớn Convolutional Neural Network (CNN) xử lý thơng tin với input hình ảnh Recurrent neural network (RNN) xử lý thông tin dạng chuỗi (sequence/time-series), RNN có tượng bất ổn số học tính gradient (đạo hàm) – vanishing gradient problem, LSTM dạng đặc biệt RNN, hoạt động hiệu nhiều toán khác nên dần trở nên phổ biến Có khả nhớ thơng tin suốt thời gian dài ta khơng cần huấn luyện để nhớ được, điều mà RNN không làm Mô hình LSTM Mạng LSTM bao gồm nhiều tế bào LSTM (LSTM memory cell) liên kết với Ý tưởng LSTM thêm trạng thái bên tế bào cell state cổng sàng lọc thông tin đầu vào đầu cho tế bào LSTM có cổng: input gate, forget gate, output gate, bên cạnh cịn nhớ có kích thước giống bới hidden state thiết kế để ghi lại thông tin bổ sung Dữ liệu đưa vào cổng LSTM input X t hidden state Ht-1 đầu vào xử lý FC layer ( tầng kế nối đầu đủ hàm kích hoạt sigmoid) để tính giá trị input gate, forget gate, output gate Kết số khoảng [0,1] cho số trạng thái tế bào Ct-1 Mơ hình LSTM Mơ hình LSTM Mỗi minibatch có kích thước n kích nxd thước đầu vào d Vậy, input Xt ∈ R , nxd hidden state Ht-1 ∈ R Vậy cổng định nghĩa: Input gate It ∈ R nxh Forget gate Ft ∈ R , nxh Output gate Ot ∈ R , nxh Cơng thức tính sau: Ft = σ(Uf Xt + Wf Ht-1 + bf), It = σ(Ui Xt + Wi Ht-1 + bi), Ot = σ(Uo Xt + Wo Ht-1 + bo) Mơ hình LSTM Tiếp theo, thiết kế ô nhớ - ô nhớ tiềm ( candidate memory cell ) Ĉ t ∈ R nxh Theo phương trình sau thời gian t: Ĉt = tanh(Uc Xt + Wc Ht-1 + bc) dxh hxh 1xh Với Uc ∈ R Wc ∈ R tham số trọng số bc ∈ R hệ số điều chỉnh Trong LSTM, ta có tham số It liệu lấy thông qua Ĉt tham số Ft định lượng thông tin cũ cần giữ lại ô nhớ nxh Ct-1 ∈ R Sử dụng phép nhân theo pointwise, ta có phương trình sau: Ct = Ft ⊙ Ct-1 + It ⊙ Ĉt Nếu giá trị forget gate xấp xỉ inputgate xấp xỉ 0, giá trị nhớ q khứ C t-1 lưu lại truyền tới bước thời gian Đây bước nhằm giảm bớt vấn đề vanishing gradient ( đạo hàm bị triệt tiêu) nắm bắt phụ thuộc dài hạn chuỗi thời gian tốt Mơ hình LSTM Mơ hình LSTM Cuối cùng, ta xác định trạng thái ẩn H t ∈ R nxh – nơi cổng đầu sử dụng Điều phiên có kiểm sốt hàm kích hoạt nhớ (memory cell)- để đảm bảo giá trị H t nằm khoảng (-1,1) Ht = Ot ⊙ tanh(Ct) Khi giá trị output gate = đưa tồn thơng tin nhớ tới dự đoán Ngược lại, giá trị output gate = 0, chúng đưa tất thông tin nhớ khơng xử lý Mơ hình LSTM Thực nghiệm Demo Cảm ơn thầy cô lắng nghe CREDITS: This presentation template was created by Slidesgo, including icons by Flaticon, and infographics & images by Freepik Please keep this slide for attribution ... SIEM quan trọng Nghiên cứu hệ thống giám sát an ninh kiện (SIEM) 03 SIEM hoạt động nào? 04 05 Lợi ích SIEM Các cơng cụ tính 01 SIEM gì? Tổng quan SIEM SIEM: Security Information and Event Management... chức cốt lõi Quản lý nhật ký Tương quan kiện phân tích Giám sát cố cảnh báo an ninh Quản lý tuân thủ báo cáo SIEM thu thập liệu kiện từ nhiều nguồn toàn mạng tổ chức Nhật ký luồng liệu từ người... 05 Các cơng cụ tính Các cơng cụ tính năng: Khả hiển Phân tích thị mạng Quản lý Mối đe dọa liệu nhật ký thông minh Các cơng cụ tính năng: Tích hợp bảo Trang tổng quan mật & CNTT báo cáo Cảnh báo