CHƯƠNG 3. ÁP DỤNG KĨ THUẬT ĐIỀU TRA SỐ ĐỂ GIÁM SÁT
3.8. Đề xuất xử lý tự động quá trình chặn bắt và phân tích gói tin
Quá trình bắt gói tin và phân tích gói tin ở trên mới chỉ đƣợc thực hiện bằng tay. Tuy nhiên, trong thực tế hàng ngày có rất nhiều cuộc tấn công vào một hệ thống mạng, vì vậy đặt ra yêu cầu phải xử lý tự động đƣợc quá trình bắt gói tin và phân tích cũng nhƣ cảnh báo đến quản trị viên. Trong khuôn khổ luận văn này em xin đề xuất quy trình xử lý tự động nhƣ sau:
Đầu tiên cần tự động quá trình bắt các gói tin, việc này có thể thực hiện với công cụ dòng lệnh của Wireshark đó là Tshark. Tshark là một công cụ dạng command-line nên ta có thể xây dựng một tệp batch .bat để tự động quá trình bắt gói tin của nó.
Hình 35. Sử dụng Tshark bắt gói tin.
Bước tiếp theo sử dụng ngôn ngữ lập trình Lua để xuất ra các file .pcap và xây dựng các bộ lọc tự động cũng nhƣ bộ phân tích tự động các gói tin.
Wireshark đã tích hợp trình thông dịch Lua (Lua interpreter) để trợ giúp các nhà phát triển trong việc phân tích các gói tin. Các file .lua có thể đƣợc thực thi bằng công cụ Tshark nên có thể đƣợc gọi một cách tự động trong các file .bat. Sử dụng Lua chúng ta có thể xây dựng các bộ lọc tự động, phát hiện ra những địa chỉ IP bất thường, các traffic đáng nghi ví dụ như trong trường hợp ở trên chúng ta thấy xuất hiện 2 địa chỉ IP có lưu lương trao đổi cao hơn hẳn những cái khác. Tất cả các bước trong mục 3.5 đều có thể được thực hiện tự động với một chương trình được viết bằng Lua. Để tăng khả năng cho quá trình phân tích tự động thì cần xây dựng một bộ CSDL mẫu các chuỗi dữ liệu đặc trƣng cho việc khai thác các lỗ hổng nhƣ chuỗi dữ liệu xuất hiện trong việc khai thác lỗ hổng CVE-20084250 ở mục trên. Có thể xây dựng các hệ chuyên gia dựa trên luật kết hợp học máy để nâng cao khả năng phá hiện các hành vi bất thường xuất hiện trong các gói tin Trong Hình 36 là một đoạn mã nguồn em viết để tự động xuất ra các file .pcap.
Hình 36. Mã nguồn Lua.
Bước cuối cùng là gửi thông tin cảnh báo bằng email đến cho quản trị viên về những dấu hiệu bất thường xảy ra trong quá trình phân tích tự động.
Quá trình này cũng đƣợc tự động bằng mã nguồn Lua.
Ngoài cách dùng Lua (chi tiết xem thêm ở https://www.wireshark.org/docs/wsdg_html/) ở trên, ta cũng có thể dùng
một thƣ viện Python có tên là pyshark
(https://github.com/KimiNewt/pyshark) để có thể xây dựng một hệ thống tự động bắt và phân tích gói tin phục vụ cho quá trình giám sát an toàn mạng máy tính. Qua các bước phân tích ở trên, em đề xuất xây dựng một hệ thống tự động phân tích gói tin theo các bước như sau:
Bước 1: Đầu tiên sử dụng Tshark để tự động bắt gói tin và lưu lại các file .pcap, quá trình này có thể đƣợc điều khiển bằng một file .bat hoặc một script viết bằng AutoIT.
Bước 2: Các file .pcap sẽ được gửi đến server và lưu lại, sau đó được đƣa vào hàng đợi để chờ tới lƣợt xử lý. Có một môđun sẽ kiểm tra trạng thái
và tiến trình của hệ thống, nếu tiến trình đang chạy thì sẽ chƣa cho phép chạy file đó.
Bước 3: Khi file đưa vào trong hệ thống sẽ được đưa vào trong máy ảo, ở đó có cài các môđun tự động phân tích viết bằng Lua đƣợc điều khiển bởi 1 file .bat hoặc một script viết bằng AutoIT, các hành vi của file này sẽ đƣợc ghi lại và sinh ra các log file để đƣa ra ngoài máy ảo.
Bước 4: Các log file này sẽ được một môđun phân tích trích xuất thông tin thành dạng dễ đọc hiểu. Lúc này sẽ có một môđun khác gửi kết quả phân tích đến quản trị viên.
Bước 5: Sau khi thực hiện xong hệ thống lại tự kiểm tra xem có file mẫu nào nằm trong hàng đợi không, nếu có lại tự động xử lý tiếp, quay lại từ bước 1. Quá trình cứ tiếp diễn nhƣ vậy (Hình 36).
Hình 37. Mô hình hoạt động của hệ thống phân tích tự động.