1

BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG




LÊ QUANG HƯNG


NGHIÊN C
ỨU XÂY DỰNG MÔ H
ÌNH KI
ẾN TRÚC HỆ THỐNG

GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH CẤP TỈNH



CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH
MÃ SỐ : 60.48.15



TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT




NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TSKH. HOÀNG ĐĂNG HẢI

HÀ NỘI - 2010
2


CHƯƠNG I
TỔNG QUAN VỀ VẤN ĐỀ GIÁM SÁT AN TOÀN
MẠNG
1.1 Hiện trạng mạng máy tính cấp tỉnh và tình hình đảm
bảo an toàn thông tin.
Qua đánh giá sơ bộ của các cuộc khảo sát tại các địa
phương do các tổ chức về an toàn thông tin thực hiện như
VNCERT, BKIS, cho thấy, hầu hết các hệ thống thông tin
đều tồn tại các lỗ hổng bảo mật. Các giải pháp an toàn và bảo
mật thông tin vẫn còn rất yếu và thiếu.
1.1.1 Hiện trạng mô hình mạng máy tính cấp tỉnh.
Mạng máy tính cấp tỉnh bao gồm các hệ thống mạng máy
tính nội bộ, mạng máy tính diện rộng được sử dụng để phục vụ
cho sự điều hành, chỉ đạo, công tác quản lý, sản xuất kinh
doanh của các tổ chức, doanh nghiệp trên địa bàn tỉnh.
Tùy theo tính chất, nhiệm vụ, cấu hình, có thể chia thành 3
cấp như sau:
Cấp 1: Là vùng mạng trung tâm khá phức tạp với rất nhiều
khối chức năng khác nhau, các hệ thống chuyển mạch, định
tuyến để các mạng con kết nối trực tiếp vào khai thác cơ sở dữ
liệu dùng chung, hệ thống máy chủ cung cấp các dịch vụ chủ
3


yếu là: Dịch vụ web, truyền file, thư điện tử. các dịch vụ trên
nền cơ sở dữ liệu Oracle, SQL, Các chương trình ứng dụng…
Cấp 2 : Là hệ thống các mạng LAN của các cá nhân,
doanh nghiệp có quy mô nhỏ.
Cấp 3 : Là các máy trạm người dùng đầu cuối.
1.1.2 Đánh giá hiện trạng đảm bảo an toàn mạng máy tính
cấp tỉnh.
Mạng máy tính cấp tỉnh được phân loại như trên với nhiều
đơn vị, nhiều tổ chức có tính chất trên một hệ thống địa lý rộng
lớn cấp tỉnh, các thành phần trong hệ thống rất đa dạng. Sau khi
khảo sát, tìm hiểu tình hình an toàn và bảo mật hệ thống mạng
máy tính cấp tỉnh tại các đơn vị, tổ chức, doanh nghiệp trong
tỉnh Quảng Trị, em thấy rằng có một số điểm yếu: Về cơ chế,
chính sách; thiết kế mạng chưa hợp lý; Cấu hình thiết bị mạng
không chặt chẽ….
1.2 Nhu cầu và mục tiêu của hệ thống giám sát an toàn
mạng cấp tỉnh.
Qua những khảo sát và phân tích hiện trạng nêu trên, việc
quản lý an toàn thông tin trên địa bàn tỉnh còn gặp nhiều khó
khăn. Để có thể theo dõi các hoạt động trên mạng truyền thông
cấp tỉnh một cách toàn diện, một nhu cầu thực tế là cần có một
hệ thống theo dõi, giám sát và hỗ trợ cảnh báo về nguy cơ các
4

tấn công. Đây đang là một vấn đề cấp bách đặt ra đối với mạng
truyền thông của tỉnh.
1.3 Trọng tâm nghiên cứu và định hướng nghiên cứu.
Trọng tâm nghiên cứu của luận văn là nghiên cứu tìm hiểu
các phương pháp thu thập thông tin an toàn mạng diện rộng, từ

đó đề xuất giải pháp và đưa ra mô hình kiến trúc hệ thống theo
dõi, giám sát an toàn mạng máy tính cấp tỉnh.
Những định hướng nghiên cứu chính như sau:
- Nghiên cứu tổng quan về vấn đề giám sát an toàn mạng,
tìm hiểu các phương thức giám sát mạng, các phương
pháp thu thập thông tin an toàn mạng.
- Nắm được cơ chế hoạt động các loại tấn công điển hình
như DoS, DdoS qua thực hiện thử nghiệm. Vận dụng
những hiểu biết nghiên cứu được về DoS/DDoS để viết
luật cho Sensor Snort.
- Đưa ra được mô hình kiến trúc cho hệ thống giám sát
mạng máy tính cấp tỉnh. Xây dựng cấu hình thử nghiệm
với phần mềm mã nguồn mở Snort
1.4 Kết luận.
Các yêu cầu về an toàn và bảo mật mạng đã xuất hiện
trong hầu hết mọi môi trường ứng dụng mạng, bao gồm mạng
ngân hàng, mạng thương mại điện tử, mạng truyền thông của
các tổ chức truyền thông. Việc phát hiện và xử lý kịp thời khi bị
5

virus và các mã nguy hiểm lây lan trên hệ thống hoặc khi hệ
thống có sự cố xãy ra là cực kỳ cần thiết.
CHƯƠNG II
CÁC PHƯƠNG THỨC TẤN CÔNG CỦA TIN TẶC
VÀ KHẢ NĂNG THEO DÕI, GIÁM SÁT
2.1 Tổng quan về các phương thức tấn công và khả năng
theo dõi, giám sát.
Việc nghiên cứu các phương pháp tấn công của tin tặc là
chủ đề rất rộng. Trong phạm vi nghiên cứu của bài nhằm phục
vụ mục đích nghiên cứu xây dựng đưa ra mô hình kiến trúc hệ

thống giám sát an toàn mạng máy tính cấp tỉnh, bài sẽ chỉ
nghiên cứu một số phương thức tấn công điển hình.
Để có được những phân tích, đánh giá, đưa ra giải pháp hệ
thống giám sát an toàn mạng máy tính cấp tỉnh, luận văn sẽ tập
trung nghiên cứu các phương pháp tấn công của tin tặc qua việc
nghiên cứu các cơ chế của phương pháp tấn công từ chối dịch
vụ(DoS) và dịch vụ phân tán(DDoS) đang phổ biến ngày nay.
2.2 Tấn công vật lý (Physical Attacks).
Tấn công loại này có thể chia làm 2 loại điển hình là:
Đánh cắp trực tiếp và Nghe trộm mạng.
2.3 Tấn công qua lừa đảo (Social Enginering).

6

2.4 Tấn công vào các lổ hổng bảo mật (Security Hole).
Hai lỗ hổng bảo mật tiêu biểu (do tính phổ biến và mức độ
nguy hiểm) điển hình là: Lỗi Unicode IIS và lỗi tràn bộ đệm.
2.5 Tấn công vào các lỗi cấu hình hoạt động (Error
Configuration).
Lỗ hổng do các ứng dụng của máy chủ có các thiết lập
mặc định lúc sản xuất (chạy ở chế độ mặc định) hoặc do người
quản trị hệ thống định cấu hình không an toàn, cấu hình sai.
Một vài lỗi cấu hình tiêu biểu hay bị tấn công như sau:
Lỗi cài điều khiển từ xa (Remote Access Control) qua IIS.
Không cần Đăng nhập (No Log-in).
Mật khẩu mặc định (Password-Based Attacks).
2.6 Tấn công dựa vào các điểm yếu của ứng dụng/hệ thống
(Vulnerabilities).
SQL Injection.
XSS (Cross Site Scripting), Session Hijacking.

Code Injection.
2.7 Tấn công từ chối dịch vụ (DoS).
Tấn công từ chối dịch vụ (DoS) nhằm mục đích ngăn
cản người dùng truy cập hợp pháp vào hệ thống máy tính hay
hệ thống mạng của nạn nhân. Có nhiều kỹ thuật tấn công DoS,
do đó có nhiều cách phân loại khác nhau. Chúng ta có thể
phân loại dựa trên các phương thức tấn công DoS chính, có 2
7

loại chính, đó là:
2.7.1 Chiếm dụng băng thông (Bandwidth Depletion).
Có 2 loại tấn công chính:
 Tấn công ngập lụt (Flood attack):
Làm ngập bằng cách gửi liên tục các gói tin có kích
thước lớn đến hệ thống nạn nhân, làm nghẽn băng thông nạn
nhân. Có 2 loại Tấn công ngập lụt bằng UDP và bằng ICMP:
 Tấn công khuếch đại (Amplifier attack):
Sử dụng mạng khuếch đại, phương pháp này khuếch
đại dòng lưu lượng làm cho hệ thống nạn nhân giảm băng
thông đáng kể.
2.7.2 Chiếm dụng tài nguyên (Resource Depletion).
Bằng cách lạm dụng quá trình giao tiếp của giao thức
mạng hoặc những gói tin dị thường, kẻ tấn công (attacker)
sẽ chiếm dụng nguồn tài nguyên hệ thống như CPU, RAM,…
khiến cho người dùng chia sẽ không truy xuất được hệ thống do
hệ thống không đủ khả năng xử lý.
 Tấn công khai thác giao thức:
+ Tấn công TCP SYN.
+ Tấn công PUSH + ACK.
 Tấn công bằng gói dị hình.

2.8 Tấn công từ chối dịch vụ phân tán (DDoS).
Có hai kiểu chính của mạng DDoS, đó là mô hình Agent
8

– Handler và mô hình Internet Relay Chat (IRC-Based)
2.9 Kết luận.
Như đã phân tích ở phần trên, các phương thức tấn công
của tin tặc hết sức đa dạng và phong phú. Việc nghiên cứu tìm
hiểu các phương thức tấn công của tin tặc thiết để nghiên cứu
xem xét các khả năng theo dõi, giám sát, thu thập thông tin an
toàn mạng và xây dựng mô hình kiến trúc hệ thống theo dõi,
giám sát an toàn mạng cấp tỉnh như sẽ trình bày trong các phần
tiếp theo của bài.
CHƯƠNG III
CÁC PHƯƠNG PHÁP THU THẬP VÀ XỬ LÝ
THÔNG TIN AN TOÀN MẠNG DIỆN RỘNG
3.1 Những phương pháp cơ bản cho theo dõi, giám sát
mạng.
3.1.1 Theo dõi, giám sát dựa trên dấu hiệu.
Phát hiện dựa trên dấu hiệu (signature-based detection)
hay còn gọi phát hiện sử dụng sai. Phương pháp này phân biệt
giữa các hoạt động thông thường của người dùng và hoạt động
bất thường để tìm ra được các tấn công nguy hiểm kịp thời.
Các dấu hiệu được chia thành hai loại:
• Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt
động có thể gây ra mối đe dọa về bảo mật. Điển hình, chúng
9

được thể hiện khi mối quan hệ phụ thuộc thời gian giữa một
loạt các hoạt động có thể kết hợp lại với các hoạt động trung

tính.
• Các chuỗi văn bản được chọn – các dấu hiệu hợp với
các chuỗi văn bản đang tìm kiếm các hoạt động nghi ngờ.
 Có hai phương pháp chính đã kết hợp sự phát hiện
dấu hiệu này:
• Việc kiểm tra vấn đề ở các gói lớp thấp hơn – nhiều
loại tấn công khai thác lỗ hổng trong các gói IP, TCP, UDP
hoặc ICMP.
• Kiểm tra giao thức lớp ứng dụng – nhiều loại tấn công
khai thác các lỗ hổng chương trình.
 Những ích lợi của việc dựa trên dấu hiệu:
Những file dấu hiệu được tạo nên từ những hoạt động và
phương pháp tấn công đã được biết, do đó nếu có sự trùng lặp
thì xác suất xảy ra một cuộc tấn công là rất cao. Phát hiện sử
dụng sai sẽ có ít cảnh báo nhầm (false positive report) hơn kiểu
phát hiện sự bất thường. Bởi vì phương pháp phát hiện sử dụng
sai dựa trên những dấu hiệu- không phải những mẫu lưu lượng -
hệ thống thu thập, giám sát có thể được định dạng và có thể bắt
đầu bảo vệ mạng ngay lập tức.
 Những hạn chế của phát hiện dựa trên dấu hiệu:
10

• Không có khả năng phát hiện những cuộc tấn công mới
hay chưa được biết.
• Không có khả năng phát hiện những sự thay đổi của
những cuộc tấn công đã biết.
• Khả năng quản trị cơ sở dữ liệu những dấu hiệu mất
nhiều thời gian cũng như khó khăn.
• Những bộ cảm biến phải duy trì tình trạng thông tin .
• Chúng dường như khó quản lý các tấn công bên trong.

3.1.2 Theo dõi, giám sát dựa trên các hành vi bất thường.
Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân
tích những hoạt động của mạng máy tính và lưu lượng mạng
nhằm tìm kiếm sự bất thường . Khi tìm thấy sự bất thường, một
tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất cứ sự
chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông
thường. Chính vì dạng phát hiện này tìm kiếm những bất
thường nên nhà quản trị bảo mật phải định nghĩa đâu là những
hoạt động, lưu lượng bất thường.
 Những lợi ích, ưu điểm của phát hiện bất thường:
Ưu điểm của phương pháp phát hiện bất thường này là:
Có khả năng phát hiện các tấn công mới khi có sự xâm nhập.
Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất
thường là nó không dựa trên một tập những dấu hiệu đã được
định dạng hay những đợt tấn công đã được biết . Profile có thể
11

là động và có thể sử dụng trí tuệ nhân tạo để xác định những
hoạt động bình thường. Bởi vì phát hiện dựa trên profile không
dựa trên những dấu hiệu đã biết, nó thực sự phù hợp cho việc
phát hiện những cuộc tấn công chưa hề được biết trước đây
miễn là nó chệch khỏi profile bình thường. Phát hiện dựa trên
profile được sử dụng để phát hiện những phương pháp tấn công
mới mà phát hiện bằng dấu hiệu không phát hiện được.
 Những hạn chế của phương pháp dựa trên sự bất
thường:
• Thời gian chuẩn bị ban đầu cao
• Thường xuyên cập nhật profile khi thói quen người
dùng thay đổi
• Khó khăn trong việc định nghĩa cách hành động thông

thường.
• Cảnh báo nhầm.
• Khó hiểu .
• Sự cần thiết về đào tạo hệ thống khi thay đổi hành vi sẽ
làm hệ thống không có được phát hiện bất thường trong giai
đoạn đào tạo (lỗi tiêu cực).
3.2 Những phương pháp phân tích phát hiện tấn công.
Dưới đây là một số kĩ thuật xử lý phân tích dữ liệu được
mô tả vắn tắt.
 Phát hiện xâm nhập dựa trên luật.
12

 Phân biệt ý định người dùng .
 Phân tích trạng thái phiên (State-transition analysis).
 Phân tích thống kê (Statistical analysis approach).
 Nghiên cứu miễn dịch.
3.3 Những phương pháp cơ bản cho thu thập thông tin
trên mạng.
Đối với mạng cấp 1 : Lắp đặt các sensors tại những vùng,
khu vực, những server quan trọng để thu thập cho từng khu vực
hoặc riêng các Server đó.
Đối với mạng cấp 2: Là hệ thống mạng LAN các tổ chức,
doanh nghiệp vừa và nhỏ thì lắp đặt Sensors tại các node mạng.
Đối với mạng cấp 3 : Là các Users đầu cuối, thì sử dụng
các sensor là các phần mềm cài đặt trên các máy trạm đầu cuối
đó, để thu thập thông tin.
Việc thu thập thông tin theo từng cấp như trên ta chia
thành 2 phương pháp thu thập chính như sau:
3.3.1 Sử dụng các sensor cài đặt trên toàn mạng.
Phương pháp này là sử dụng bộ dò và bộ bộ cảm biến cài

đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm
tìm kiếm những lưu lượng trùng với những mô tả sơ lược được
định nghĩa hay là những dấu hiệu. Thu nhận và phân tích lưu
lượng trong thời gian thực, gửi tín hiệu cảnh báo đến trạm quản
13

trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn
những xâm nhập xa hơn.
3.3.2 Sử dụng phương pháp cài đặt phần mềm trên các máy
chủ, các máy trạm.
Bằng cách cài đặt một phần mềm trên tất cả các máy tính
chủ, và quan sát tất cả những hoạt động hệ thống, như các file
log và những lưu lượng mạng thu thập được.
3.4 Kết luận.
Chương 3 đã trình bày về các phương pháp cơ bản phục
vụ cho việc thu thập, xử lý phân tích thông tin an toàn mạng
trên địa bàn cấp tỉnh. Các phương pháp theo dõi, giám sát chủ
yếu dựa trên các dấu hiệu hoặc các hành vi bất thường.
Những phương pháp đã nêu trong chương này là cơ sở cho
đề xuất, xây dựng mô hình kiến trúc hệ thống theo dõi, giám sát
an toàn mạng cấp tỉnh như sẽ được trình bày trong chương tiếp
theo.
CHƯƠNG IV
ĐỀ XUẤT KIẾN TRÚC HỆ THỐNG THEO DÕI,
GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH CẤP TỈNH
4.1 Các yêu cầu đối với hệ thống theo dõi, giám sát an
toàn mạng cấp tỉnh.

14


Một hệ thống giám sát an toàn mạng có khả năng phát
hiện các truy nhập trái phép, phân tích các thông tin thu thập
được và tạo ra các cảnh báo cho hệ thống hoặc cho người quản
trị mạng. Trong thực tế hệ thống theo dõi, giám sát an toàn
mạng cấp tỉnh cần được chia thành 3 cấp. Ứng với tầng cấp có
các yêu cầu cụ thể như sau:
4.1.1 Đối với mạng cấp 3.
4.1.2 Đối với mạng cấp 2.
4.1.3 Đối với mạng cấp 1.
Ta phải xác định được các yêu cầu cơ bản về phần cứng
để hệ thống có thể giao tiếp với mạng nhằm phục vụ chức năng
giám sát đồng thời cũng có cấu hình đủ mạnh để có thể cài đặt
các phần mềm theo yêu cầu cho hệ thống.
Do độ phức tạp của tấn công trên mạng ngày càng phát
triển, nên yêu cầu đối với phần mềm hệ thống là một sản phẩm
hoàn chỉnh là sẽ rất khó. Nên có nghĩa là việc tích hợp vào phần
mềm hệ thống sẽ được thực hiện trong quá trình phát triển xây
dựng hệ thống. Tùy theo quy mô của hệ thống giám sát mà cấu
hình của các thiết bị trong hệ thống có thể khác nhau
Trong thực tế, ta có thể tích hợp hai hay nhiều chức năng
trên trong cùng một phần mềm để thuận tiện cho công tác vận
hành và bảo dưỡng hệ thống sau này.
15

4.2 Mô hình kiến trúc hệ thống theo dõi giám sát an toàn
mạng cấp tỉnh.
4.2.1 Các nhiệm vụ đối với việc theo dõi giám sát mạng máy
tính cấp tỉnh.
Nhiệm vụ chính của các hệ thống theo dõi, giám sát là
bảo vệ cho một hệ thống máy tính dựa trên việc phát hiện các

dấu hiệu tấn công và đưa ra cảnh báo. Việc nhận ra kẻ xâm
nhập là một trong những nhiệm vụ cơ bản. Cũng phục vụ cho
việc nghiên cứu có pháp lý các tình tiết và việc cài đặt các bản
vá thích hợp để cho phép phát hiện các tấn công trong tương lai
nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
4.2.2 Kiến trúc chung của các hệ thống theo dõi, giám sát.
Hệ thống thu thập, giám sát mạng được xem là thành công
nếu chúng hội tụ được các yếu tố: Thực hiện nhanh, chính xác,
phân tích được toàn bộ thông lượng, cảm biến tối đa, đưa ra các
thông báo hợp lý để ngǎn chặn thành công. Tại Trung tâm giám
sát, hệ thống gồm 3 modul chính:




Thu th
ập thông tin mạng

Phân tích – lọc các thông tin
H
ỗ trợ cảnh báo, điều khiển cấu
Lưu trữ
dữ liệu


16

4.3 Thiết kế chi tiết hệ thống trung tâm theo dõi giám sát
an toàn mạng cấp tỉnh.
Với mô hình kiến trúc đưa ra, hệ thống thu thập giám sát

mạng tại trung tâm được chia thành nhiều phần. Những phần
này làm việc cùng nhau nhằm phát hiện những loại tấn công
khác nhau và sinh ra trong một định dạng yêu cầu từ hệ thống
phát hiện. Các thành phần chính của hệ thống :
4.3.1 Các bộ phát hiện dấu hiệu.
4.3.2 Các bộ phát hiện hành vi bất thường.
4.3.3 Bộ tập trung và chuẩn hóa.
4.3.4 Sắp xếp theo độ ưu tiên.
4.3.5 Đánh giá rủi ro.
 Rủi ro tiềm ẩn.
 Rủi ro tức thời.
4.3.6 Phân tích tương quan.
4.3.6.1 Mô hình tương quan.
4.3.6.2 Các phương thức tương quan.
Để đạt được các mục tiêu trên, có thể sử dụng 2 phương
thức tương quan khác nhau, dựa trên 2 nguyên tắc sau:
 Tương quan sử dụng chuỗi tuần tự các sự kiện
(Correlation using sequences of events).
 Tương quan sử dụng các thuật toán heuristic
(Correlation using heuristic algorithms).
17

4.3.7 Bộ theo dõi (Monitors).
 Theo dõi rủi ro (Risk Monitor).
 Use, Session, and Profile Monitors.
 Bộ theo dõi đường đi (Path Monitor).
4.3.8 Kiếm tra bằng chứng (Forensic).
Không giống với bộ theo dõi rủi ro được đề cập ở trên,
console này cho phép ta kiểm tra tất cả các sự kiện mà xảy ra
trong hệ thống một cách chi tiết nhất.

4.3.9 Bảng điều khiển (Control Panel).
Bảng điều khiển cho phép quan sát tình trạng bảo mật
mạng ở mức cao, bảng điều kiển theo dõi một loạt các bộ phận
chỉ nhằm đo trạng thái bảo mật của một tổ chức. Bảng điều
khiển cho phép định nghĩa các ngưỡng hay mục tiêu mà tổ chức
hướng tới. Các ngưỡng này có thể là giá trị tuyệt đối hay giá trị
tương đối như mức độ bất thường.
4.3.10 Phân hệ cơ sở dữ liệu.
Hệ thống giám sát an toàn mạng có hệ thống cơ sở dữ liệu
lưu trữ thông tin thu thập được riêng cho từng kênh, CSDL lưu
trữ thông tin đã qua xử lý tương quan, CSDL lưu trữ thông tin
cảnh báo. Hệ thống gồm 3 cơ sở dữ liệu:
EDB : Cơ sở dữ liệu sự kiện là cơ sở dữ liệu lớn nhất bởi
vì EDB lưu trữ tất cả các sự kiện cá nhân được xử lý bởi bộ dò.
18

KDB : Cơ sở dữ liệu tri thức trong đó ta tham số hóa hệ
thống phù hợp với mạng và các chính sách bảo mật.
UDB : Cơ sở dữ liệu tiểu sử chứa tất cả các thông tin được
thu thập bởi bộ theo dõi tiểu sử.
4.4 Mô tả hoạt động của hệ thống.
















4.5 Xây dựng một cấu hình thử nghiệm.
4.5.1 Kiến trúc hệ thống thử nghiệm.
Cấu trúc mô hình thử nghiệm bao gồm các thành phần:
- Sensor thu thập thông tin.
- Hệ thống điều khiển phân tích: Sử dụng công cụ
ACID, công cụ phân tích và kiểm duyệt dữ liệu.
- Database : Dùng MySQL.
4.5.2 Kiến trúc Sensor.
Sensor của hệ thống thử nghiệm là phần mềm mã nguồn
Bảng điều khiển
CSDL s
ự kiện

Ki
ểm tra bằng chứng

B
ộ theo d
õi

CSDL tri th
ức

Phân tích tương quan


Theo d
õi r
ũi ro

S
ắp xếp
ưu tiên

T
ập trung hóa

Thu thập
Đưa theo
dõi

Đưa cảnh báo
Cảnh báo chính
xác

19

mở Snort. Những thành phần khác nhau của một sensor snort:
- Bộ phận giải mã gói: Chuẩn bị gói cho việc xử lý.
- Bộ phận tiền xử lý: Dùng để bình thường hóa tiêu đề
giao thức, phát hiện sự bất thường, tái hợp gói và tái hợp
luồng TCP.
- Bộ phận phát hiện: Áp dụng rule lên gói.
- Hệ thống ghi và cảnh báo: Sinh thông điệp cảnh báo và
ghi log file.

- Các mô đun xuất: Xử lý cảnh báo và ghi và sinh kết quả
cuối cùng.
4.5.3 Các thành phần ở trung tâm xử lý.
 Cơ sở dữ liệu trung tâm.
MySQL là một trong những cơ sở dữ liệu phổ biến ngày
nay. Snort có thể làm việc cùng với MySQL.
 Công cụ phân tích tại trung tâm.
ACID - Analysis Console for Intrusion Databases : Là
trong những công cụ phân tích và kiểm duyệt dữ liệu. ACID
dựa trên những đoạn mã viết bằng ngôn ngữ PHP.
4.5.4 Lập cấu hình Sensor:
Sensor Snort sử dụng một file cấu hình cho mỗi lần chạy.
Khi chạy dòng lệnh phải chỉ đúng tên file cấu hình yêu cầu.
Tập tin cấu hình chứa 6 phần cơ bản:
 Định nghĩa tham biến. Những tham biến này sẽ dùng
20

cho rule Snort.
 Cấu hình các tham số.
 Cấu hình preprocessor.
 Cấu hình Ouput plug_in (Output module).
 Định nghĩa kiểu hành động mới.
 Cấu hình đường dẫn đến tập luật (rules file).
Cấu trúc luật trong SNORT:
Các rule đều có 2 phần logic: rule header và rule options.
4.6 Các kết quả thử nghiệm thu được.
4.6.1 Kết quả thử nghiệm cho sensor.
Sử Dụng Snort để Sniffer Packet bắt gói tin.
4.6.2 Kết quả thu ở trung tâm.
Hiển thị các trạng thái của các kết quả thu được ở hệ

thống giám sát trung tâm thông qua phần mềm ACID bao gồm
các thông tin: Tên, số cảnh báo, các cổng nguồn và đích, v.v
Biết chi tiết về từng loại thông tin thu được. Đưa ra danh sách
của những cảnh báo hệ thống (theo mỗi rule bẫy được). Hiển
thị chi tiết các cảnh báo lấy từ cơ sở dữ liệu.
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN TIẾP
 Những kết quả chính đã đạt được trong luận văn gồm có:
+ Thực hiện thử nghiệm một số loại tấn công DoS/DdoS
nhằm tìm hiểu cách thức trong một số công cụ tấn công DDoS.
21

Vận dụng những hiểu biết nghiên cứu được về DoS/DDoS để
viết luật cho Snort.
+ Đề xuất, thiết kế được kiến trúc hệ thống theo dõi giám
sát an toàn mạng máy tính cấp tỉnh dựa trên các kênh thu thập
thông tin sự cố qua các thiết bị ghi nhận (sensor) và các nguồn
thông báo. Cài đặt và cấu hình hệ thống giám sát an toàn mạng
mã nguồn mở Snort và các sản phẩm MySQL, ACID.
 Luận văn có thể được phát triển tiếp theo đó là tiếp tục
nghiên cứu và mở rộng thêm cơ sở dữ liệu các luật để tiếp tục
phát hiện ra được những thủ đoạn tấn công tinh vi hơn, phức
tạp hơn. Xây dựng giải pháp thu thập, kết hợp đưa ra các hướng
dẫn về các biện pháp xử lý sự cố, các biện pháp phòng thủ tích
cực cho mạng các doanh nghiệp lớn, các tập đoàn.
PHỤ LỤC
XÂY DỰNG TẬP LUẬT NÂNG CAO KHẢ NĂNG PHÁT
HIỆN CỦA SNORT ĐỐI VỚI CÁC TẤN CÔNG
DoS/DDoS
Trình bày xây dựng tập luật nâng cao khả năng phát hiện
của Snort đối với một số tấn công DoS/DdoS đang phổ biến

như: Tấn công Smurf attack; Jolt attack; Teardrop attack;
UDP Flood; Land Attack; Trin00; TFN; Stacheldraht.
Sắp xếp ưu tiên

Đánh giá rủi ro

Phân tích tương
quan
Bộ theo dõi Kiếm tra bằng
chứng
Bảng điều khiển CSDL tiểu sử CSDL sự kiện CDSL tri thức Phát hiện bất
thường
Phát hiện dấu
hiệu
Tập trung và
chuẩn hóa