PHÂN TÍCH THỐNG KÊ LƯU LƯỢNG MẠNG
3.2. Kĩ thuật Theo dõi và Phân tích lưu lượng mạng 1 Kĩ thuật Thu thập trong điều tra
3.2.1. Kĩ thuật Thu thập trong điều tra
Mỗi tổ chức và cá nhân có nhu cầu khách nhau trong vấn đề đảm bảo thơng tin của mình. Trong sự đa dạng của thông tin việc xác định đúng nhu cầu sẽ giúp thu thập thơng tin có trọng tâm và có đảm bảo thông tin cần thiết phục vụ điều tra hay giải quyết vấn đề. Để xác định được cần lấy thông tin ở đâu, đặt các cảm biến ở chỗ nào
thì cần trả lời được câu hỏi: mục đích của việc lấy thơng tin? Những thành phần nào liên quan trong hệ thống? Ví dụ chúng ta cần bảo vệ cho một webserver, thì chúng ta phải đặt cảm biến trong cổng mạng của dịch vụ web là cổng 80 hay 443. Muốn đảm bảo cho hệ thống LAN thì đặt tai router kết nối ra mạng bên ngoài. Tiếp theo, là đảm bảo thời gian hoạt động của hệ thống. Hệ thống server khơng có thời gian nghỉ, vì vậy mỗi khi chúng ta tác động hay tải lên một cơng cụ nào đó có thể ảnh hưởng trực tiếp tới hệ thống. Nó có thể làm gián đoạn hoạt động của máy chủ. Quá trình thực hiện điều tra phải được thông qua người quản trị hệ thống, thơng báo để người quản trị có những sắp xếp hợp lý để đảm bảo hệ thống diễn ra bình thường.
Đảm bảo sự an tồn của cảm biến. Các thiết bị cảm biến như một cảnh sát ngầm trong hệ thống. Nhờ các cảm biến có thể âm thầm kiểm tra các dấu hiệu bất thường của mạng mỗi khi có sự tấn cơng của hacker. Việt quan trọng nhất là đặt cảm biến đúng chỗ, đúng thời điểm để thu thập. Nhưng một người tấn công luôn hiểu được những nơi nhạy cảm mà hệ thống mình. Nên phải làm sao để bí mật q trình đặt cảm biến vào hệ thống. Các yếu tố sẽ được quy định trong văn bản báo cáo an toàn do các Pentester đề cử.
Sử dụng giao thức truyền những báo cáo ở tầng vận chuyển đáng tin cậy. Sử dụng TCP giao thức truyền dữ liệu hướng kết nối đáng tin cậy hay giao thức đa luồng SCTP. Việc xử lý nhiều luồng tin cậy giúp những báo cáo gửi về đầy đủ và ưu việt hơn.
Củng cố sự thu thập trên một hệ thống đơn giản để làm giảm chi phí phần cứng và phần mềm và tạo điều kiện tổng hợp để phân tích. Khơng cần q nhiều thiết bị cảm biến chỉ đặt tại một điểm phù hợp để tìm ra được nguyên nhân của vấn đề đang điều tra và giảm đáng kể chi phí cho triển khai một hệ thống theo dõi. Như việc thực hiện dùng hệ thống honeywall làm mồi nhử tốt hơn là việc tạo một hệ thống thật dự phịng khác về chi phí.
Nên có hệ thống phân tích riêng biệt để có thể nhận được dữ liệu báo cáo từ nhiều nguồn tổng hợp. Ngày nay bằng các ngơn ngữ lập trình các log thu được từ nhiều nguồn dữ liệu có thể chế tác để đưa ra nguồn dữ liệu đồng nhất để phục vụ cho điều tra. Việc này giúp quá trình điều tra cải thiện đáng kể thời gian