Việc ghi nhận dấu hiện bất thường thể hiện qua ví dụ tấn công brute force
vào hệ thống ftp được thể hiện như sau[20].
Để thực hiện tấn công, sử dụng công cụ Hydra có sẵn trên Kali linux. Tạo danh sách các mật khẩu trên kali bằng crunch có sẵn trên Kali, Mở terminal của kali và dùng lệnh:
crunch 6 6 123456qacsderewrer –o /root/Desktop/password.txt,
Đây là một file dự đoán mật khẩu được tạo ra trên destop của kali. Sau đó mở terminal trên kali, sử dụng lệnh:
hydra -V -l administrator -P /root/Desktop/password.txt ftp://192.168.1.102
Hình 3.3. File dự đoán mật khẩu được tạo ra trên destop của kali
Quá trình tấn công brute force vào ftp server được thực hiện, lúc này nếu mở log activity trên giao diện giám sát an ninh mạng ta sẽ thấy log của dịch vụ FTP như sau:
Hình 3.4. Log của dịch vụ FTP
Sử dụng công cụ sqlmap tấn công sql injection vào web site 192.168.1.102. Mở terminal trên kali, sử dụng lệnh[8]:
sqlmap -u http://192.168.1.102/irooms.asp?opt=35 --dbs
Hình 3.5. Sử dụng công cụ sqlmap tấn công sql injection
Quay trở lại giao diện web của hệ thống giám sát, vào tab offenses sẽ có xuất hiện cảnh báo tấn công vào dịch vụ FTP.
Để phân tích cảnh báo trên, double click vào cảnh báo sẽ cung cấp các thông tin chung về cảnh báo.
Hình 3.7. Thông tin chung về cảnh báo
Để xem cụ thể về từng sự kiện, click vào events ta thấy rõ hơn các thông tin cụ thể, trong đó có tên sự kiện, nguồn Log Source, số lượng sự kiện, thời gian, Source IP và Destination, Port đích và Port nguồn[8].
Để xem thông tin chi tiết từng sự kiện cảnh báo, double click vào từng sự kiện, hệ thống cung cấp chi tiết các thông tin.
Hình 3.9. Thông tin chi tiết từng cảnh báo
Phân tích các log không có chứa trong thành phần cảnh báo offenses, các log này là các log cần được phân tích bằng các kỹ thuật nhận biết dựa trên payload thu được từ log, ở đây tấn công sql injection chưa có cảnh báo. Vào tab Log activity trên giao diện web, search log source ip 192.168.1.200 và destination là 192.168.1.102. Xuất hiện một số lỗi HTTP 500
Hình 3.10. Lỗi HTTP 500
Hình 3.11. Chi tiết lỗi HTTP 500
Kiểm tra payload của request vào web server
Hình 3.12. Payload của request vào web server
Quan sát log, ta thấy xuất hiện các dấu hiệu cho thấy tấn công sql injection vào web site khi phân tích và xem xét payload của web server IIS. Ngoài ra còn cho phép xác định các thông tin khác như IP nguồn, IP đích, thời gian, cổng,…
Ta có thể xác định các thông tin về máy tấn công và thời gian tấn công, cách thức tấn công và đưa ra giải pháp ngăn chặn. Ngoài ra các thông tin về mức độ ảnh hưởng, mức độ liên quan đối với hệ thống như sau.
Ngoài ra, có thể vào thư mục chứa log trên web server, để kiểm tra và phân tích trong trường hợp hệ thống log bị lỗi. Với việc xem xét, phân tích log có thể xác định một cách cụ thể các thông tin như các thông tin được phân tích trên hệ thống giám sát an ninh mạng, nhưng sẽ chỉ có các thông tin mà không có các mức đánh giá khách quan về các tấn công và không được tường minh dễ phân tích như phân tích trên hệ thống giám sát an ninh mạng.
Hình 3.14. File log trên web server
Với các đặc tả dữ liệu Weblog ghi nhận được ở trên, ta có thể xác định và phân tích được các tấn công trong tab offenses đưa ra, ngoài ra có khả năng phân tích xác định các dạng tấn công dựa trên log thu thập được. Từ các cảnh báo, xác định được các thông cần thiết liên quan tới tấn công và các chứng cứ cũng như giải pháp ngăn chặn các tấn công[8].