Áp dụng thực tế với hệ thống tại đơn vị, hiện hệ thống phát hiện bất thường (SDM) đã được triển khai và thực hiện phân tích được dữ liệu thực trên hệ thống công nghệ thông tin VTNet. Hệ thống SDM với 11 node phân tán lưu trữ và xử lý 50 TB dữ liệu được lưu trong 60 ngày dùng cho việc phân tích bất thường. Và hệ thống được lên lịch (job) để chạy 1 lần/ngày để phân tích và cảnh bảo các hành vi đăng nhập bất thường vào hệ thống trong ngày. Hệ thống SDM được liên kết với hệ thống giám sát và cảnh báo an toàn thông tin (Security Management) thông qua máy chủ Redis6 để cảnh báo các bất thường về việc đăng nhập trên các hệ thống quan trọng như Email, AD, SSO, VPN .v.v... Kết quả trên hệ thống giám sát các tháng gần đây, hệ thống SDM đã phân tích và đẩy cảnh báo về đăng nhập bất thường trên các hệ thống công nghệ thống của VTNet và được xác minh là chính xác. Như trong Hình 3.10, hệ thống giám sát ATTT đã nhận thông tin từ hệ thống SDM cảnh bảo đang nhập VPN của người dùng từ IP ngoài Viêt Nam.
6Redis là tên biết tắt của REmote DIctionary Server) là một mã nguồn mở được dùng để lưu trữ dữ liệu có cấu trúc, có thể sử dụng như một cơ sở dữ liệu, bộ nhớ đệm hay một trình chuyển tiếp tin nhắn và danh sách tác vụ chờ xử lý. Nó là hệ thống lưu trữ dữ liệu với dạng khóa-giá trị (KEY- VALUE) rất mạnh mẽ và phổ biến hiện nay.
Hình 3.10. Cảnh báo trên hệ thống.
Với việc áp dụng vào thực tế, hệ thống phát hiện bất thường trong hoạt động vận hành khai thác các hệ thống CNTT tại VTNet và cụ thể với bài toàn đăng nhập bất thường vào hệ thống mà luận văn đã trình bày bước đầu đã có những kết quả nhất định. Hệ thống này đã tích hợp được cùng các công cụ giám sát ATTT khác hiện có tạo nên hệ thống quản lý toàn diện về ATTT của VTNet.
Như vậy, trong các đề xuất được đưa ra ở Chương 2 và trong Chương này, luận văn đã trình bày việc xây dựng công cụ phân tích và mô hình sử dụng thuật toán để tính điểm của hành vi đăng nhập vào hệ thống của người sử dụng và mô hình hóa kết quả thử nghiệm nhằm hỗ trợ xác định ngưỡng tối ưu cho việc xác định hành vi bất thường. Việc hoàn thành xây dựng phần mềm và chạy thử trên tập dữ liệu thực nghiệm cho thấy hệ thống đã hoạt động và mô hình hóa được kết quả phân tích trực quan để hỗ trợ đưa ra quyết định về việc đặt ngưỡng để phát hiện bất thường. Với các hành vi được đánh giá là bất thường, hệ thống sẽ đẩy cảnh bảo về hệ thống giám chung về ATTT của VTNet để các bộ phận chuyên trách xử lý. Hiện công cụ này đã được áp dụng và đã phát hiện nhiều trường hợp đăng nhập bất thường vào các hệ thống quan trọng và đang hỗ trợ tốt cho công tác quản lý giám sát ATTT tại đơn vị.
Kết luận
Trong bối cảnh ngành công nghệ thống tin phát triển, vấn đề an toàn thông tin cũng là chủ đề nóng và cần được quan tâm. Các thiệt hại do việc mất an toàn thông tin gây ra ngày càng lớn và nguy cơ các hệ thống bị tấn công cũng tăng lên. Các sự cố ATTT đã xảy ra năm 2019 tại Việt Nam và trên thế giới đã cho thấy các thiệt hại to lớn về việc mất dữ liệu, mất uy tín và có thể dẫn đến phá sản cả tổ chức. Do đó, nhu cầu thực tiễn cần xây dựng và triển khai các giải pháp để giám sát, cảnh báo, ngăn chặn kịp thời các nguy cơ mất ATTT tin khi vận hành các hệ thống là vô cùng cần thiết. Luận văn này đã trình bày một số thông tin về tình hình ATTT tại Việt nam và trên thế giới trong năm gần đây và sự cần thiết phải triển khai giải các giải pháp về ATTT trong đó có bài toán về phân tích bất thường trên hệ thống. Nội dung luận văn đã trình bày các tìm hiểu về lý thuyết, các kiến thức cơ bản về bất thường và các phương pháp phát hiện bất thường cũng như các thách thức với bài toàn này. Đồng thời luận văn cũng đề đề xuất cách thức phát hiện hành vi bất thường trên các hệ thống, xây dựng giải pháp, mô hình phần mềm để phân tích và thực hiện áp dụng cụ thể với bài toàn xác định hành vi đăng nhập bất thường vào hệ thống. Ngoài việc tìm hiểu lý thuyết, luận văn cũng đã trình bày cách thức vận dụng các công cụ đã có như cài đặt hệ thống quản lý hệ thống lưu trữ phân tán và xử lý dữ liệu phân tán Hadoop. Đồng thời xây dựng thành công ứng dụng trên nền tảng dữ liêu phân tán và kiểm thử thuật toán, xác định ngưỡng cảnh báo để phát hiện các hành vi bất thường trên hệ thống và dụng thực tế tại VTNet – một đơn vị quản lý hạ tầng công nghệ thông tin, viễn thông lớn của Viettel.
Kết quả nghiên cứu của luận văn đã được thể áp dụng cho các dự án về tăng cường bảo vệ an toàn thông tin tại VTNet, nhằm phát hiện các hành vi đăng nhập bất thường trên hệ thống như truy cập hệ thống bất thường về thời gian, địa chỉ IP truy cập v.v..để từ đó cảnh báo trên hệ thống để bộ phận quản lý ATTT có những những biện pháp kiểm tra và hành động xử lý kịp thời với các bất thường này. Nó đã góp phần hiệu quả vào công tác đảm bảo an toàn thông tin các hệ thống dữ liệu quan trọng của VTNet.
Tuy nhiên, với thời gian có hạn, đề tài trong luận văn mới triển khai được cho việc phát hiện hành vi đăng nhập bất thường vào hệ thống trong rất nhiều loại bất thường cần phải mở rộng như kết nối bất thường trên hệ thống mạng, tiến trình trên máy chủ mở cổng bất thường, hệ thống khi có tiến trình tạo tiến tình khác bất thường, tiến trình rundll32 trên hệ thống thực thi với tham số bất thường v.v. Ngoài ra, hệ thống công cụ cho việc phát hiện bất thường còn nhiều nội dung tiếp tục phải cải tiến như tối ưu
tài nguyên hệ thống sử dụng để lưu trữ, phân tích (tài nguyên cho hệ thống hiện tại đang sử dụng được đánh giá là khá lớn). Và hiện nay việc phân tích mang tính hậu kiểm, chạy hàng ngày và có báo cáo sau khi chạy theo lịch trình đặt ra, chưa thực hiện phân tích, phát hiện và cảnh báo theo thời gian thực.
Hướng nghiên cứu tiếp theo của luận văn là tiếp tục nghiên cứu tối ưu thuật toán để nâng cao hiệu quả phát hiện bất thường. Đồng thời, luận văn cũng tiếp tục cải tiến công cụ để sử dụng tài nguyên hệ thống hiệu quả hơn, mở rộng việc triển khai với các bài toán phân tích, phát hiện các hành vi bất thường khác và cảnh bảo theo thời gian thực nhằm tăng cường hiệu quả công tác giám sát an toàn thông tin tại đơn vị.
TÀI LIỆU THAM KHẢO
[1]. B. Arindam, C.Varun and K. Vipin (2009), “Anomaly detection: A survey”,
ACM Computing Surveys, 31(3), pp. 1-72.
[2]. Harsh H. Patel, Purvi Prajapati (2018). “Study and Analysis of Decision Tree Based Classification Algorithms”, International Journal of Computer Sciences and Engineering, Vol. 6 Issue 10.
[3]. Iyigun, Cem & Ben-Israel, Adi. (2013), “Probabilistic Distance Clustering, Algorithm and Applications”, Clustering Challenges in Biological Networks. [4]. Kaustav Das & Jeff Schneider (2007), “Detecting anomalous records in categorical datasets”, Proceedings of the 13th ACM SIGKDD international conference on Knowledge discovery and data mining, pp. 220-229.
[5]. Li, Youguo & Wu, Haiyan. (2012), “A Clustering Method Based on K-Means Algorithm”, Physics Procedia, Vol. 25, pp. 1104-1109.
[6]. Markus Goldstein and Andreas Dengel (2012), Histogram-based Outlier Score (HBOS): A fast Unsupervised Anomaly Detection Algorithm.
[7]. Murtagh, Fionn & Contreras, Pedro. (2011), “Methods of Hierarchical Clustering”, Computing Research Repository.
[8]. Mr.Sudhir M.Gorade, Prof.Ankit Deo2,Prof. Preetesh Purohit (2017), “A Study of Some Data Mining Classification Techniques”, International Research Journal of Engineering and Technology (IRJET), Vol. 04 Issue 04.
[9]. Philipp Christian Petersen (2020), Neural Network Theory, University of Vienna.
[10].Shikha Agrawal, Jitendra Agrawal (2015), “Survey on Anomaly Detection using Data Mining Techniques”, In 19th International Conference on Knowledge Based and Intelligent Information and Engineering Systems, Vol.
60, pp. 708-713.
[11]. S.Neelamegam, Dr.E.Ramaraj (2013), Classification algorithm in Data mining: An Overview, In International Journal of Computer Applications (0975 – 8887), Vol. 79 No. 2.
[12].T. Sajana, C. M. Sheela Rani and K. V. Narayana (2016), “A Survey on Clustering Techniques for Big Data Mining”, Indian Journal of Science and