Bài viết đã đề cập đến việc giám sát an ninh mạng bằng phương pháp phân tích tệp tin nhật ký hệ thống. Các kết quả thực nghiệm minh chứng phương pháp đề xuất cho hiệu năng thực hiện cao, cả về độ chính xác và thời gian xử lý.
GIÁM SÁT AN NINH MẠNG BẰNG PHƢƠNG PHÁP PHÂN TÍCH TỆP TIN NHẬT KÝ HỆ THỐNG Nguyễn Trọng Minh Hồng Phƣớc, Nguyễn Hồng Duy, Nguyễn Minh Thắng Khoa Cơng nghệ Thơng tin, Đại học Cơng nghệ Tp Hồ Chí Minh, HUTECH TÓM TẮT Giám sát an ninh mạng ngày quan tâm nghiên cứu áp dụng cho việc theo dõi hệ thống mạng máy tính, xem xét thành phần hoạt động chậm lại không hoạt động thông báo cho quản trị viên mối đe doạ từ bên vấn đề gây máy chủ bị tải, hư hỏng Từ đó, người quản trị hệ thống có biện pháp giải cố, phòng ngừa ngăn chặn hành vi xâm nhập mạng trái phép Phương pháp phân tích tệp tin nhật ký hệ thống đóng vai trị quan trọng việc giám sát an ninh mạng Bài báo đề cập đến việc giám sát an ninh mạng phương pháp phân tích tệp tin nhật ký hệ thống Các kết thực nghiệm minh chứng phương pháp đề xuất cho hiệu thực cao, độ xác thời gian xử lý Từ khóa: An ninh mạng, điều tra số, giám sát mạng, khai thác liệu mạng, tệp tin nhật ký GIỚI THIỆU Giám sát an ninh mạng sử dụng nhiều loại liệu khác để phát hiện, xác minh khai thác Nhiệm vụ việc phân tích an ninh mạng xác minh thành công cố gắng khai thác cách sử dụng liệu công cụ giám sát an ninh mạng Điều tra số [1] phục hồi điều tra thơng tin tìm thấy thiết bị kỹ thuật số liên quan đến hoạt động tội phạm Thơng tin liệu thiết bị lưu trữ, nhớ điện tĩnh máy tính dấu vết tội phạm mạng lưu giữ liệu mạng, chẳng hạn tệp tin pcaps tệp tin nhật ký Các nhà phân tích an ninh mạng thấy tiếp xúc trực tiếp với chứng điều tra số chi tiết hành vi thành viên tổ chức Các nhà phân tích phải biết yêu cầu liên quan đến việc bảo quản xử lý chứng Khơng làm dẫn đến hình phạt hình cho tổ chức chí nhà phân tích an ninh mạng ý định phá hủy chứng thiết lập Security Onion [2] công cụ mã nguồn mở công cụ giám sát an ninh mạng chạy tảng Ubuntu Linux Security Onion cài đặt độc lập dạng tảng máy chủ Một số thành phần Security Onion sở hữu bảo trì tập đồn, chẳng hạn Cisco Riverbend Technologies, cung cấp dạng nguồn mở Mối đe dọa liên tục thay đổi lỗ hổng phát mối đe dọa phát triển Khi người dùng tổ chức thay đổi, phương thức công Các tác nhân đe dọa học cách nhanh chóng thay đổi tính khai thác để tránh bị phát Không thể thiết kế biện pháp để ngăn chặn tất khai thác Khai thác chắn trốn tránh biện pháp bảo vệ, chúng tinh vi đến mức Đơi khi, điều tốt thực phát khai thác sau chúng xảy Nói cách khác, tốt có cảnh báo đơi tạo lưu lượng truy cập khơng gây hại, có quy tắc bỏ lỡ lưu lượng độc hại Vì lý này, cần phải có nhà phân tích an ninh mạng lành nghề điều tra cảnh báo để xác định xem vụ khai thác có thực xảy hay không 263 PHƢƠNG PHÁP PHÂN TÍCH Phần trình phần việc giám sát hệ thống mạng phương pháp phân tích tệp tin nhật ký hệ thống 2.1 Tệp tin nhật ký (Log file) Log phần mở rộng tệp cho tệp tạo tự động có chứa ghi kiện từ số phần mềm hệ điều hành định Mặc dù chúng chứa số thứ, tệp nhật ký thường sử dụng để hiển thị tất kiện liên quan đến hệ thống ứng dụng tạo chúng [3] Điểm quan trọng tệp nhật ký theo dõi xảy hậu trường có chuyện xảy hệ thống phức tạp, bạn có quyền truy cập vào danh sách chi tiết kiện diễn trước cố 2.2 Các loại liệu mạng Dữ liệu phiên [4] ghi hội thoại hai điểm cuối mạng, thường máy khách máy chủ Máy chủ mạng doanh nghiệp địa điểm truy cập qua Internet Dữ liệu phiên liệu phiên, liệu khách hàng truy xuất sử dụng Dữ liệu phiên bao gồm thông tin nhận dạng, chẳng hạn địa IP nguồn đích, số cổng nguồn đích mã IP cho giao thức sử dụng Dữ liệu phiên thường bao gồm ID phiên, lượng liệu truyền theo nguồn đích thông tin liên quan đến thời lượng phiên Dữ liệu giao dịch [5] bao gồm tin nhắn trao đổi phiên mạng Nhật ký thiết bị giữ máy chủ chứa thông tin giao dịch xảy máy khách máy chủ Các giao dịch thể yêu cầu trả lời ghi vào nhật ký truy cập máy chủ Phiên tất lưu lượng truy cập liên quan đến việc tạo yêu cầu, giao dịch yêu cầu Giống liệu phiên, liệu thống kê [6] lưu lượng mạng Dữ liệu thống kê tạo thông qua việc phân tích dạng liệu mạng khác Từ phân tích này, kết luận đưa để mơ tả dự đốn hành vi mạng Các đặc điểm thống kê hành vi mạng bình thường so sánh với lưu lượng mạng nỗ lực phát bất thường Thống kê sử dụng để mơ tả số lượng biến thể thông thường mẫu lưu lượng mạng để xác định điều kiện mạng nằm ngồi phạm vi Sự khác biệt có ý nghĩa thống kê tăng báo động điều tra kịp thời Phân tích hành vi mạng (NBA) Phát bất thường hành vi mạng (NBAD) phương pháp tiếp cận giám sát an ninh mạng sử dụng kỹ thuật phân tích nâng cao để phân tích liệu từ xa NetFlow (Cisco) Xuất thông tin giao thức Internet (IPFIX) Các kỹ thuật phân tích dự đốn trí tuệ nhân tạo thực phân tích nâng cao liệu phiên chi tiết để phát cố bảo mật tiềm ẩn [7] 2.3 Điều tra liệu mạng Nhiệm vụ nhà phân tích an ninh mạng xác minh cảnh báo bảo mật Tùy thuộc vào tổ chức, công cụ sử dụng để làm điều khác Ví dụ, hệ thống bán vé sử dụng để quản lý tài liệu phân công nhiệm vụ Trong Security Onion, nơi mà nhà phân tích an ninh mạng đến để xác minh cảnh báo Sguil Sguil [8] tự động tương quan cảnh báo tương tự thành dòng cung cấp cách để xem kiện tương quan đại diện dịng Để hiểu xảy mạng, hữu ích xếp cột CNT để hiển thị cảnh báo với tần suất cao Sguil cung cấp khả cho nhà phân tích an ninh mạng xoay quanh nguồn thông tin công cụ khác Các tệp nhật ký có sẵn ELSA, gói chụp có liên quan hiển thị Wireshark phiên TCP thơng tin Bro có sẵn 264 Ngồi ra, Sguil cung cấp độ tin cậy cho Hệ thống phát tài nguyên thời gian thực thụ động (PRADS) [9] thơng tin cấu hình mạng phân tích bảo mật (SANCP) [10] PRADS thu thập liệu hồ sơ mạng, bao gồm thông tin hành vi tài nguyên mạng PRADS nguồn kiện, Snort OSSEC Nó truy vấn thông qua Sguil cảnh báo cho biết máy chủ nội bị xâm phạm Thực truy vấn PRADS từ Sguil cung cấp thơng tin dịch vụ, ứng dụng tải trọng liên quan đến cảnh báo Ngoài ra, PRADS phát tài sản xuất mạng 2.4 Biểu ngữ hình thức AWK [11] ngơn ngữ lập trình thiết kế để thao tác với tệp văn Nó mạnh mẽ đặc biệt hữu ích xử lý tệp văn dịng chứa nhiều trường, phân tách ký tự phân cách Các tệp nhật ký chứa mục nhập dòng định dạng dạng trường phân tách dấu phân cách, làm cho AWK trở thành cơng cụ tuyệt vời để chuẩn hóa 2.5 Phân tích xác định phân tích xác suất Các kỹ thuật thống kê sử dụng để đánh giá rủi ro khai thác thành công mạng định Kiểu phân tích giúp người định đánh giá tốt chi phí giảm thiểu mối đe dọa với thiệt hại mà việc khai thác gây Hai cách tiếp cận chung sử dụng để làm điều phân tích xác định xác suất Phân tích xác định [12] đánh giá rủi ro dựa biết lỗ hổng Nó giả định để khai thác thành công, tất bước trước quy trình khai thác phải thành cơng Loại phân tích rủi ro mơ tả trường hợp xấu Tuy nhiên, nhiều tác nhân đe dọa, nhận thức trình thực khai thác, thiếu kiến thức chun mơn để hồn thành thành cơng bước đường dẫn đến khai thác thành cơng Điều cung cấp cho nhà phân tích an ninh mạng hội để phát khai thác ngăn chặn trước tiến hành thêm Phân tích xác suất [13] ước tính thành cơng tiềm khai thác cách ước tính khả bước khai thác hoàn thành thành cơng bước thành cơng Phân tích xác suất đặc biệt hữu ích phân tích bảo mật mạng thời gian thực, có nhiều biến số diễn tác nhân đe dọa định đưa định chưa biết khai thác theo đuổi Phân tích xác suất dựa kỹ thuật thống kê thiết kế để ước tính khả xảy kiện dựa khả kiện trước xảy Sử dụng loại phân tích này, đường có khả khai thác ước tính ý nhân viên an ninh tập trung vào việc ngăn chặn phát khả khai thác Trong phân tích xác định, tất thơng tin để thực khai thác giả định biết Các đặc điểm khai thác, chẳng hạn việc sử dụng số cổng cụ thể, biết đến từ trường hợp khai thác khác cổng tiêu chuẩn hóa sử dụng Trong phân tích xác suất, người ta cho số cổng sử dụng dự đốn với mức độ tin cậy Trong tình này, khai thác sử dụng số cổng động, chẳng hạn, khơng thể phân tích cách xác định Khai thác tối ưu hóa để tránh bị phát tường lửa sử dụng quy tắc tĩnh KẾT QUẢ THỰC NGHIỆM Chương trình bày kết thực nghiệm phương pháp đề xuất Phương pháp đề xuất thực nghiệm tảng ảo hoá từ phần mềm Orcale VM VirutalBox, với hai máy tính tham gia vào mơ hình CyberOps Workstation Metaploit 265 3.1 Mơ hình thực nghiệm Chuyển đường dẫn truy cập lệnh cd đến thư mục /home/analyst/lab.support.files/ Log tìm thấy tập tin applicationX_in_epoch.log thuộc máy ảo CyberOps Workstation VM Chuyển đổi Epoch thành dấu thời gian đọc với AWK AWK ngơn ngữ lập trình thiết kế để thao tác với tệp văn Nó mạnh mẽ đặc biệt hữu ích xử lý tệp văn dịng chứa nhiều trường, phân tách ký tự phân cách Các tệp nhật ký chứa mục nhập dòng định dạng dạng trường phân tách dấu phân cách, làm cho AWK trở thành công cụ tuyệt vời để chuẩn hóa Tệp nhật ký tạo ứng dụng X Các khía cạnh liên quan tệp là: – Các cột phân tách phân tách dấu | thuộc tính Do đó, tập tin có năm cột – Cột thứ ba chứa dấu thời gian Unix Epoch – Các tập tin có dòng thêm vào cuối Điều quan trọng sau thử nghiệm Dùng lệnh AWK để chuyển đổi in kết hình: awk 'BEGIN {FS=OFS="|"}{$3=strftime("%c",$3)} {print}' applicationX_in_epoch.log Dùng lệnh AWK để chuyển đổi log ghi log tập tin applicationX_in_hman.log awk 'BEGIN {FS=OFS="|"}{$3=strftime("%c",$3)} {print}' applicationX_in_epoch.log > applicationX_in_human.log 266 Dùng lệnh AWK để chuyển đổi in kết hình 3.2 Kịch công Máy công (Attacker) thực mã lệnh công vào máy chủ liệu Metaploit Người quản trị tổ chức ngăn chặn công tạm thời thông qua công cụ hỗ trợ từ máy chủ CyberOps Worksation Sau hồn tất q trình ngăn chặn công từ Attacker, người quản trị truy cập vào máy chủ nhật ký Security Onion Truy cập thành công vào máy chủ nhật ký, người quản trị sử dụng hình giám sát truy vấn tập tin nhật ký từ máy chủ nhật ký Dùng liệu từ tập tin nhật ký để phân tích chi tiết cơng Từ việc phân tích trên, người quản trị có giải pháp khắc phục vá lỗ hỏng 3.3 ELSA log Dùng lệnh cd chuyển đường dẫn đến thư mục chứa tập tin nhật ký ELSA 3.4 Snort log Dùng lệnh cd chuyển đường dẫn đến thư mục chứa tập tin nhật ký Snort 267 3.5 Bro log Dùng lệnh cd chuyển đường dẫn đến thư mục chứa tập tin nhật ký Bro 3.6 Various log Dùng lệnh cd chuyển đường dẫn đến thư mục chứa tập tin nhật ký Sguil KẾT LUẬN Bài toán giám sát an ninh mạng phương pháp phân tích tệp tin nhật ký hệ thống vấn đề việc phân tích, xác định truy cập trái phép từ bên nội hệ thống mạng máy tính Từ đó, quản trị viên hệ thống mạng máy tính quan, doanh nghiệp sẻ đề biện pháp phòng tránh ngăn chặn mối đe dọa đến vận hành ổn định hệ thống Đề tài đề xuất phương pháp giám sát an ninh mạng việc phân tích tệp tin nhật ký hệ thống qua nhiều hình thức khác Bài tốn đặt thách thức lớn hệ thống việc nâng cao khả bảo mật, chống lại công từ tin tặc Hướng phát triển đề tài tiếp tục nâng cao tối ưu việc ghi nhận khai thác liệu từ tập tin nhật ký hệ thống, qua nâng cao hiệu việc giám sát TÀI LIỆU THAM KHẢO [1] Simson L.Garfinkel, Digital forensics research: The next 10 years, 2010 [2] Paul SyversonGene TsudikMichael ReedCarl Landwehr, Towards an Analysis of Onion Routing Security, 2001 [3] Lorraine F BarrettWilliam C Russell, Outputting a Network device Log file, 1995 [4] Gideon FostickGil Bul, Voice session Data session interoperability in the Telephony environment, 2004 [5] Edward W Fordyce, IIIBarbara Elizabeth Patterson, Payment account processing which Conveys financial transaction data and non Financial transaction data, 2008 [6] Jeffrey Heer, George Robertson, Animated Transitions in Statistical Data Graphics, 2007 [7] B Claise, Ed., Specification of the IP Flow Information Export (IPFIX) Protocol for the Exchange of IP Traffic Flow Information, 2008 268 [8] BS Chaudhari, DRRS PRASAD, Particle Swarm Optimization Based Intrusion Detection for Mobile Ad-hoc Networks, 2015 [9] TM Lin, CH Lee, JP Cheng, Prioritized random access with dynamic access barring for MTC in 3GPP LTE-A networks, 2014 [10] G Vandenberghe - International Workshop on Visualization for Computer, Network traffic exploration application: A tool to assess, visualize, and analyze network security events, 2008 [11] SA Edwards, The Programming Language Landscape, 2014 [12] EM Daly, M Haahr, Social network analysis for routing in disconnected delay-tolerant manets, 2007 [13] X Liu, X Zhang, D Yang - IEEE Communications Letters, Outage probability analysis of multiuser amplify-and-forward relay network with the source-to-destination links, 2011 269 ...2 PHƢƠNG PHÁP PHÂN TÍCH Phần trình phần việc giám sát hệ thống mạng phương pháp phân tích tệp tin nhật ký hệ thống 2.1 Tệp tin nhật ký (Log file) Log phần mở rộng tệp cho tệp tạo tự động... toán giám sát an ninh mạng phương pháp phân tích tệp tin nhật ký hệ thống vấn đề việc phân tích, xác định truy cập trái phép từ bên nội hệ thống mạng máy tính Từ đó, quản trị viên hệ thống mạng. .. tính quan, doanh nghiệp sẻ đề biện pháp phòng tránh ngăn chặn mối đe dọa đến vận hành ổn định hệ thống Đề tài đề xuất phương pháp giám sát an ninh mạng việc phân tích tệp tin nhật ký hệ thống