HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
ĐẶNG HUY HOÀNG
THIẾT KẾ, XÂY DỰNG HỆ THỐNG THEO DÕI, PHÁT
HIỆN VÀ CẢNH BÁO HOẠT ĐỘNG CỦA BOTNET
TRONG MẠNG CÁC CƠ QUAN NHÀ NƢỚC
Chuyên ngành: Khoa học máy tính
Mã số: 60.48.01.01
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI - 2013
1
Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: PGS.TSKH. HOÀNG ĐĂNG HẢI
Phản biện 1: …………………………………………………
Phản biện 2: …………………………………………………
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ
tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: giờ ngày tháng năm
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
2
MỞ ĐẦU
Ngày nay khi nhắc đến Botnet (mạng máy tính ma),
là nhắc đến hiểm họa của Internet. Tấn công từ chối dịch
vụ website của các tổ chức, phát tán thư rác với số lượng
lớn, thu thập thông tin cá nhân về người dùng v…v… là
những hành vi nguy hiểm thường thấy của Botnet. Các tấn
công của Botnet không ngừng gia tăng và số lượng nạn
nhân ngày một nhiều. Nói đến Botnet là nói đến các máy
tính bị cài mã độc, được kẻ tấn công điều khiển từ xa,
nhằm phục vụ cho mục đích tấn công trên mạng diện rộng.
Theo thống kê chưa đầy đủ của Cục A68- Bộ Công an
năm 2011, đã có hơn 1500 cổng thông tin điện tử của Việt
Nam bị tin tặc tấn công xâm nhập vào hệ thống để cài mã
độc nhằm đánh cắp thông tin nhạy cảm và điều khiển hệ
thống. Cũng trong năm 2011, Việt Nam đã lọt trong TOP
5 các quốc gia có mạng lưới Botnet nhiều nhất thế giới,
điều này cho thấy số lượng máy tính bị nhiễm mã độc ở
Việt Nam là rất lớn. Trong năm 2012, Việt Nam tiếp tục là
“đích đến” của các “hacker” với 2.500 website bị tấn công.
Số lượng máy tính bị nhiễm độc gấp 3 lần thế giới với
18/1000 máy so với 7/1000 máy của thế giới.
3
Các cuộc tấn công sử dụng Botnet đang ngày một
trở nên phổ biến hiện nay với rất nhiều thủ đoạn và hình
thức tấn công mới. Thiệt hại do Botnet gây ra đang trở
thành một mối lo mới với các nhà chức trách nói riêng và
cộng đồng người sử dụng Internet nói chung. Tuy nhiên
các kết quả khảo sát tới nay cho thấy, nhận thức chung về
sự ảnh hưởng của Botnet của các tổ chức, doanh nghiệp,
người dân còn chưa cao. Nhiều nơi không rõ hoặc không
biết khi máy tính, hệ thống máy tính của mình đang bị
xâm hại. Đặc biệt hơn trong những năm gần đây, số lượng
các địa chỉ IP của Việt Nam bao gồm rất nhiều địa chỉ IP
của các cơ quan nhà nước nằm trong mạng Botnet đã được
phát hiện. Điều nghiêm trọng hơn là các cơ quan chủ
quản/đang sở hữu địa chỉ IP này lại không biết sự tồn tại
của các mã độc này trong các mạng máy tính của tổ chức.
Do đó việc giới thiệu, đề xuất một hệ thống theo dõi, phát
hiện và cảnh báo hoạt động của Botnet trong mạng các cơ
quan nhà nước là rất cấp thiết. Đó cũng là chủ đề nghiên
cứu của bài luận văn này.
Mục đích nghiên cứu:
4
Mục đích nghiên cứu của bài luận văn là: Nghiên
cứu, xây dựng một hệ thống quản lý, phát hiện và cảnh
báo hoạt động của Botnet trong mạng của các cơ quan nhà
nước.
Phạm vi nghiên cứu:
Luận văn tập trung vào nghiên cứu các hệ thống
chống Botnet của một số nước thuộc ENISA (các cơ quan
bảo mật an ninh thông tin châu âu - Europa ) như: Đức,
Anh? và một số quốc gia khác như Hàn Quốc, Nhật Bản
để từ đó có thể đưa ra hướng giải pháp áp dụng vào Việt
Nam.
Phương pháp nghiên cứu:
Các phương pháp nghiên cứu sử dụng gồm: Khảo
sát thực tiễn, nghiên cứu tình hình thực tế trên thế giới và
tại Việt Nam, nghiên cứu nhu cầu thực tế của Việt Nam,
khái quát và hệ thống hóa về Botnet và các hành vi của
Botnet, nghiên cứu các cấu trúc nguồn dữ liệu Botnet, sử
dụng các phương pháp tổng hợp, phân tích để đề xuất mô
hình phát hiện, cảnh báo Botnet.
Cấu trúc luận văn:
5
Ngoài các phần mở đầu và kết luận, nội dung của
luận văn được triển khai theo ba chương như sau:
- Chương 1: trình bày khái niệm về Botnet, các đặc
trưng của Botnet, phân loại mạng Botnet, vấn đề
theo dõi và cảnh báo Botnet, phân tích các kênh
liên lạc và cấu trúc các nguồn dữ liệu Botnet, khái
quát về hoạt động của một số mạng Botnet điển
hình trên thế giới và tại Việt Nam.
- Chương 2: trình bày một số hệ thống theo dõi, cảnh
báo Botnet trên thế giới và đưa ra thiết kế xây dựng
hệ thống phát hiện, cảnh báo hoạt động của Botnet
trong mạng cơ quan nhà nước tại Việt Nam.
- Chương 3: trình bày một số kết quả thử nghiệm hệ
thống đã xây dựng bao gồm các nội dung: mô hình
kiểm thử, kịch bản kiểm thử, triển khai thử nghiệm
và đánh giá hệ thống.
6
CHƢƠNG I: TỔNG QUAN VỀ BOTNET
VÀ PHÁT HIỆN, CẢNH BÁO BOTNET
1.1. Khái niệm về botnet
1.1.1. Khái niệm bot, botnet
Bot (là viết tắt của Robot tức các chương trình tự
động hóa chứ không phải người máy như định nghĩa
chúng ta vẫn gọi) là ứng dụng phần mềm tự động thực thi
các nhiệm vụ trên mạng Internet. Thông thường Bot thực
hiện các nhiệm vụ đơn giản được lập trình sẵn và có cấu
trúc lặp đi lặp lại với tốc độ cao hơn một người bình
thường.
Một Botnet được định nghĩa là một “mạng gồm rất
nhiều máy tính bị xâm nhập và có thể được kẻ tấn công
điều khiển từ xa”. “Máy tính bị xâm nhập” là máy tính bị
lây nhiễm phần mềm độc hại (Bot). Như vậy, Botnet là tập
hợp các Bot được sử dụng với mục đích xấu. Botmaster là
một người hoặc một nhóm người điều khiển Botnet.
1.1.2. Mục đích sử dụng của Botnet
Botnet không hơn gì một công cụ, có nhiều động cơ
khác nhau để sử dụng chúng. Chúng được sử dụng phổ
biến nhất với mục đích phá hoại và tài chính. Botnet có thể
7
làm bất kỳ điều gì mà chúng ta có thể tưởng tượng làm
được với một tập hợp các máy tính đã kết nối mạng. Khả
năng sử dụng các máy tính bị chiếm quyền điều khiển chỉ
phụ thuộc vào trí tưởng tượng và kỹ năng của kẻ tấn công.
Dựa trên các dữ liệu đã biết, những khả năng sử dụng
Botnet phổ biến có thể được phân loại như liệt kê dưới
đây:
- Lây nhiễm sang máy tính khác.
- Tấn công từ chối dịch vụ phân tán.
- Tấn công tràn ngập (Flooding attacks).
- Tải về cài đặt.
- Gửi thư rác và Email lừa đảo.
- Lưu trữ và phân phối dữ liệu bất hợp pháp.
- Khai thác dữ liệu.
- Lạm dung Google Adsence.
- Thao tác với thăm dò bầu cử/ các cuộc thi trực
tuyến.
1.2. Đặc trƣng của Botnet
Đầu tiên, Botnet là một hệ thống. Hệ thống này có
thể giao tiếp với nhau, các Bot cấp thấp báo cáo kết quả
quét hệ thống đã thực hiện được đến trung tâm chỉ huy,
8
cũng như tiếp nhận mệnh lệnh và cập nhật. Vì vậy khi
phân tích Botnet, các nhà nghiên cứu không chỉ cần tìm ra
các chương trình độc hại mà còn phải tìm được hệ thống
của chính những kẻ tấn công.
Thứ hai, các máy tính tham gia vào một Botnet khi
đã bị xâm nhập. Máy tính có thể bị xâm nhập bằng nhiều
cách khác nhau, ví dụ, thông qua lỗ hổng của ứng dụng
hay hệ điều hành, khai thác các đoạn mã tự động, phần
mềm độc hại dựa trên nền web (lừa đảo, tải về miễn
phí),…
Thứ ba, Bot có thể được điều khiển từ xa. Bot báo
cáo kết quả và nhận mệnh lệnh từ hệ thống chỉ huy và điều
khiển (C&C). Do đó, kẻ tấn công có thể tận dụng khả năng
của hầu hết các máy tính bị nhiễm trong Botnet. Hệ thống
điều khiển Botnet có thể tập trung hoặc phân cấp.
1.3. Phân loại mạng Botnet
Có nhiều cách phân loại Botnet, nhưng trong khuôn
khổ luận văn này tôi xin đưa ra cách phân loại dựa theo
hoạt động của Botnet đó là: mạng tập trung, mạng phân
tán hay ngang hàng (Peer-to-Peer).
1.4. Các kênh liên lạc của Botnet
9
Botnet được xem là một trong những mối đe dọa an
ninh nghiêm trọng nhất hiện nay. Sự khác biệt đáng chú ý
nhất giữa Botnet và các phần mềm độc hại truyền thống
khác là kênh chỉ huy và điều khiển Botnet. Kênh chỉ huy
và điều khiển Botnet tương đối ổn định và không thay đổi
giữa các Bot, đây là cơ chế cần thiết cho phép Botmaster
chỉ đạo hành động của các Bot trong Botnet. Ban đầu
Botnet chỉ giới hạn trong mạng Botnet dựa trên IRC, và
Bot là phần mềm Trojan hoặc backdoor. Cùng với các giao
thức mạng khác được tin tặc sử dụng trong Botnet, các nhà
nghiên cứu nhận ra bản chất của Botnet, cơ chế chỉ huy và
điều khiển ngày càng nhiều. Kênh chỉ huy và điều khiển
có thể là máy chủ IRC, máy chủ Web, các nút trong cấu
trúc mạng Peer-to-Peer, các máy chủ DNS, v.v
1.5. Các nguồn dữ liệu phục vụ cho việc phát hiện
và cảnh báo Botnet
1.5.1. Một số phương thức thu thập dữ liệu
phổ biến
Nguồn dữ liệu từ DNS
Nguồn dữ liệu từ Netflow
Nguồn dữ liệu từ Packet Tap
10
Nguồn dữ liệu từ cấp phát địa chỉ
Nguồn dữ liệu từ Honeypot
Nguồn dữ liệu từ máy chủ dữ liệu
1.5.2. Thu thập dữ liệu về Botnet thông qua các thiết
bị trên mạng.
Firewall (tường lửa)
IDS/IPS (hệ thống phát hiện xâm nhập/ hệ thống
phòng chống xâm nhập)
Honeypot/honeynet.
1.6. Tình hình hoạt động của các mạng botnet trên
thế giới và Việt Nam
Hiện nay, Internet trở nên vô cùng quan trọng trong
tất cả lĩnh vực trên toàn thế giới. Từ giao dịch mua bán
trao đổi, quản lý, nghiên cứu học tập, giải trí phần lớn
đều diễn ra trên môi trường Internet, có ảnh hưởng không
nhỏ đến nền kinh tế toàn cầu thậm chí bao gồm cả chiến
tranh quân sự. Lợi ích từ Internet mang lại cho con người
không nhỏ, song song với nó là nguy cơ tổn thất do
Internet gây ra cũng chiếm tỷ lệ cao. Một trong những
nguy cơ tiềm ẩn làm mất tính an toàn trong không gian
mạng đó chính là Botnet, được tác động từ chính con
11
người với hàng ngàn mục đích bất chính khác nhau nhằm
phục vụ lợi ích cho chính bản thân họ, gây ra các rủi ro
cho người dùng khi sử dụng Internet. Nó không những chỉ
ảnh hưởng đến một cá nhân đặc biệt nào mà còn tiềm ẩn
nguy cơ đến tất cả người dùng sử dụng môi trường
Internet. Đó được gọi là một dạng tội phạm công nghệ cao.
Việt Nam cũng chịu tác động không nhỏ từ những rủi
ro do Botnet gây ra. Trong khuôn khổ luận văn này sẽ đề
cập đến tình hình hoạt động của các mạng Botnet điển
hình hiện nay trên thế giới như: flastflux, nitol, zbot/zeus
cũng như ảnh hưởng của chúng tại Việt Nam.
12
CHƢƠNG II: NGHIÊN CỨU, GIỚI THIỆU
HỆ THỐNG PHÁT HIỆN, CẢNH BÁO
HOẠT ĐỘNG CỦA BOTNET TRONG
MẠNG CƠ QUAN NHÀ NƢỚC
2.1. Một số hệ thống theo dõi và cảnh báo Botnet
điển hình trên thế giới
2.1.1. Hệ thống của Hàn Quốc
Hàn Quốc sử dụng hệ thống DNS Sinkhole để thu
thập, phòng chống Botnet.
2.1.2. Hệ thống của Nhật Bản
Hệ thống phát hiện và phòng chống botnet của Nhật
Bản sử dụng Honey-port để làm mồi và thu thập botnet.
2.1.3.Hệ thống “Anti Botnet HelpDesk” của
Đức
Hệ thống của Đức sử dụng các bẫy thư rác (phân
tích các bản ghi rác) và hệ thống honeyport để thu thập
Botnet.
2.1.4. Đánh giá chung
13
Thông qua cách xem xét ba hệ thống điển hình đã
nêu ở trên của Nhật Bản, Hàn Quốc và CHLB Đức để phát
hiện được Botnet ta phải:
- Thiết lập các máy chủ DNS để giám sát các truy
vấn, xây dựng hệ thống chống Botnet có thể tạo lập DNS
giả để kết nối với DNS thật để lấy thông tin cần thiết.
- Xây dựng hệ thống Honeypot, Honeynet phân
cấp.
- Thiết lập các hệ thống thu thập nguồn dữ liệu
thông qua DNS, Netflow, PacketTap, máy chủ dữ liệu,
honeypot…
2.2. Xây dựng hệ thống phát hiện cảnh báo Botnet
trong mạng các cơ quan nhà nƣớc tại Việt Nam.
2.2.1. Yêu cầu chức năng đối với hệ thống
Đối với hệ thống cần có các chức năng sau:
Cập nhật dữ liệu từ nhiều nguồn dữ liệu khác nhau
(thông qua giám sát các địa chỉ IP của nguồn dữ liệu IP từ
các tổ chức trong nước và ngoài nước).
Quản lý danh sách địa chỉ IP của các cơ quan nhà
nước.
14
Xử lý và cảnh báo cho các đơn vị bị sự cố: Hệ
thống gửi email cảnh báo khi địa chỉ IP của đơn vị nằm
trong danh sách dữ liệu địa chỉ IP bị nhiễm.
Quản lý người dùng hệ thống.
2.2.2. Mô hình kiến trúc của hệ thống
Mô hình kiến trúc của hệ thống
Hình 2.1. Mô hình kiến trúc của hệ thống theo dõi,
cảnh báo botnet tại Việt Nam.
2.2.3 Nguyên lý hoạt động của hệ thống
Bước 01: Dữ liệu thu thập từ các nguồn (thông qua
kênh Email với các tổ chức quốc tế như Shadow Server,
15
Microsoft, các Cert quốc tế…. và hệ thống thu thập logfile
– Arcsight tại Việt nam) được chuẩn hóa theo định dạng
trước.
Bước 02: Dữ liệu sau khi được chuẩn hóa bởi
chuyên viên quản trị dữ liệu sẽ được chuyển vào máy chủ
cơ sở dữ liệu.
Bước 03: Module phát hiện địa chỉ IP thực hiện tìm
kiếm các địa chỉ IP của cơ quan nhà nước.
Bước 04: Trường hợp nếu có địa chỉ IP của cơ quan
nhà nước nằm trong danh sách dữ liệu địa chỉ IP vừa được
chuẩn hóa ở bước 02 thì hệ thống sẽ hiển thị lên giao diện
web và gửi thông báo cho quản trị viên để quản trị viên
biết được các địa chỉ IP đang nằm trong mạng botnet và
thực hiện cảnh báo cho các đơn vị.
Bước 05: Các cơ quan có tài khoản hệ thống, khi
nhận được cảnh báo sẽ sử dụng tài khoản được cấp để: Xử
lý cảnh báo đã nhận từ bước 04 dựa trên các tài liệu hướng
dẫn đã có trên website và theo dõi tình trạng của sự cố.
2.2.4. Biểu đồ Usecase
a. Các tác nhân trong hệ thống.
- Admin
16
- Quản trị viên
- Các cơ quan nhà nước
b. Usecase chính trong hệ thống
- Đăng nhập, đăng xuất, thực hiện cập nhật,
so sánh, thông báo dữ liệu Botnet.
2.2.5. Thiết kế cơ sở dữ liệu
Hình 2.2. Mô hình cơ sở dữ liệu của hệ thống
2.2.6. Thiết kế các giao diện cho hệ thống
Phần này đưa ra các thiết kế giao diện cho hệ thống như
giao diện dành cho admin, quản trị viên và các giao diện cho
người dùng (các cơ quan nhà nước).
17
2.3. Xây dựng cơ chế cảnh báo đến các cơ quan nhà
nƣớc
Từ những phân tích về một số mạng Botnet điển
hình trên, cũng như tác hại của nó gây ra vì vậy việc xây
dựng các cơ chế cảnh báo tới các cơ quan nhà nước là rất
cần thiết. Xây dựng cơ chế cảnh báo các hoạt động của
mạng Botnet đến các cơ quan, tổ chức nhà nước hay kênh
trao đổi thông tin đến các cơ quan, tổ chức này để đảm bảo
thông tin được trao đổi, cập nhật thường xuyên, và đảm
bảo cho các hoạt động cảnh báo Botnet đến các cơ quan, tổ
chức đang bị nhiễm Botnet. Kênh trao đổi thông tin tối
thiểu gồm có:
Kênh cảnh báo: Email, Công văn, điện thoại, fax,
thư điện tử.
Kênh hỗ trợ: Email, website, điện thoại.
Cũng qua các kênh hỗ trợ này hệ thống sẽ cảnh báo
cho các cơ quan nhà nước nếu có sự xâm nhập của mạng
Botnet một cách chính xác, nhanh chóng. Và giảm thiểu
thiệt hại do Botnet gây ra.
18
CHƢƠNG 3 : THỬ NGHIỆM HỆ THỐNG
3.1. Mô hình kiểm thử cho tình huống thực tế
3.1.1. Mô tả tình huống
Giả thiết đầu vào: khoảng tháng 7 năm 2013 nhiều
các trang báo điện tử của Việt Nam đồng loạt bị tấn công
từ chối dịch vụ như dantri.com.vn, vietnamnet.vn,
tuoitre.vn
Theo thông tin Trung tâm VNCERT nhận được và qua quá
trình theo dõi khảo sát, trung tâm VNCERT có rất nhiều
địa chỉ IP của Việt Nam tham gia tấn công và nhiều loại
bot khác cùng được sử dụng để tấn công.
Yêu cầu đầu ra: kiểm tra, tìm kiếm các địa chỉ IP
của cơ quan nhà nước đang nằm trong mạng Botnet và
tham gia tấn công DDoS vào các trang báo này để cảnh
báo và hướng dẫn các đơn vị loại bỏ mã độc trên hệ thống
của mình.
3.1.2. Mô hình kiểm thử cho tình huống
Mô hình kiểm thử hệ thống cho tình huống trên
được mô tả như hình 3.1 dưới đây:
19
Hình 3.1. Mô hình kiểm thử cho hệ thống.
3.2. Các bƣớc triển khai kiểm thử hệ thống
(i) Đối với chuyên viên quản trị thực hiện các bước sau:
Bƣớc 01: Chuyên viên kiểm tra Email khi có thông
báo sự cố botnet. Trong bước này chuyên viên cần đảm
bảo không nhận các email giả mạo.
Bƣớc 02: Chuyên viên lấy dữ liệu từ email (Có thể
từ file đính kèm thông báo, hoặc có thể tải về từ link- liên
kết gửi cùng thông báo)
Chú ý: Trong bước này chuyên viên quản trị đảm
bảo sự an toàn cho dữ liệu cũng như máy tính của mình.
20
Cần kiểm tra các liên kết và các tệp tin tải về có bị nhiễm
mã độc không.
Bƣớc 03: Chuẩn hóa dữ liệu theo định dạng trước.
Bƣớc 04: Truy cập vào trang quản trị và cập nhật
dữ liệu đã được chuẩn hóa ở bước 03 vào cơ sở dữ liệu
Botnet.
Bƣớc 05: Hệ thống tự động so sánh dữ liệu vừa cập
nhật với bảng địa chỉ IP ban ngành (địa chỉ IP các cơ quan
nhà nước) và đưa ra cảnh báo cho các cơ quan nhà nước
trong trường hợp trùng với địa chỉ IP ban ngành.
Bƣớc 06: Gửi cảnh báo (theo mẫu gửi cảnh báo có
trong phần phụ lục) cho các cơ quan nhà nước có địa chỉ
IP tham gia vào mạng Botnet.
(ii) Đối với các đơn vị (các cơ quan nhà nước):
Nhận được cảnh báo thông qua email mà chuyên
viên quản trị đã gửi.
Truy cập vào website (thông qua user và password
đã được cấp) để cập nhật và lấy thông tin, hướng dẫn xử lý
sự cố Botnet.
3.3. Các chức năng quản trị hệ thống
Các chức năng chính trong hệ thống là:
21
- Đăng nhập hệ thống
- Cập nhật dữ liệu IP Botnet
- Chức năng so sánh dữ liệu IP Botnet.
3.4. Kết quả thử nghiệm xử lý tình huống và đánh
giá hệ thống
3.4.1. Kết quả thử nghiệm
Với tình huống thực tế đã xảy ra như mô tả ở tình
huống nêu ở phần 3.1, hệ thống đưa ra kết quả cụ thể như
sau:
- Đưa ra được chi tiết các địa chỉ IP ban ngành bị
nhiễm, hiểu thị danh sách các địa chỉ IP bị nhiễm Botnet
bao gồm các trường dữ liệu như ID (thể hiện số thứ tự các
ban ngành trong CSDL IP ban ngành), IP (địa chỉ IP cụ thể
của ban ngành sở hữu nó), đơn vị sở hữu, địa chỉ và số
điện thoại liên hệ.
- Thông báo cho các đơn vị, ban ngành có địa chỉ IP
đang bị nhiễm Botnet. Đồng thời cũng đưa các hướng dẫn
gỡ bỏ Botnet lên Website để các đơn vị có thể làm theo và
gỡ bỏ mã độc.
3.4.2. Đánh giá hệ thống
Ưu điểm:
22
- Độ tin cậy cao:
- Truy vấn và tìm kiếm dữ liệu nhanh do bảng dữ liệu
botnet chỉ lưu trữ dữ liệu tại một thời điểm.
Nhược điểm:
- Dữ liệu của botnet chưa chủ động: còn phụ thuộc
vào các nguồn gửi về từ các tổ chức nước ngoài.
- Không kiểm soát độ tin cậy của dữ liệu gửi về.
- Trong tương lai sẽ phát triển và mở rộng hệ thống
thu thập logfile và hệ thống giám sát mạng để chủ
động hơn trong việc thu thập và kiểm soát dữ liệu
23
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN
Việc xây dựng hệ thống theo dõi, phát hiện và cảnh
báo hoạt động của Botnet trong mạng các cơ quan nhà
nước là rất cần thiết nhằm mục đích hỗ trợ, cảnh báo các
nguy cơ tấn công do mạng lưới Botnet gây ra cho các cơ
quan nhà nước. Qua đó giúp cảnh báo sớm, giảm bớt thiệt
hại về tài sản cũng như về kinh tế của các đơn vị nhà nước
do mạng lưới Botnet gây ra. Đồng thời, góp phần tích cực
cho hoạt động ngăn chặn những hành vi của Botnet gây ra.
Thông qua hệ thống theo dõi, phát hiện và cảnh báo
hoạt động của Botnet trong mạng các cơ quan nhà nước sẽ
giúp cho các cơ quan chức năng ngoài việc theo dõi phát
hiện và cảnh báo hoạt động của Botnet còn cho thấy
được: tình hình an toàn, an ninh thông tin trong các cơ
quan nhà nước cũng như nhận thức của các cơ quan nhà
nước. Từ đó các cơ quan chức năng có thể đưa ra các giải
pháp để tình hình an toàn thông tin của Việt Nam theo xu
hướng tích cực hơn.
Với mục tiêu đặt ra là nghiên cứu, xây dựng một hệ
thống quản lý, phát hiện và cảnh báo hoạt động của Botnet
24
trong mạng của các cơ quan nhà nước, bài luận văn đã đạt
được các kết quả nghiên cứu chủ yếu sau đây:
- Trình bày tổng quan về Botnet với các đặc trưng và
phân loại mạng Botnet, nhu cầu theo dõi và cảnh
báo Botnet, phân tích các kênh liên lạc và cấu trúc
các nguồn dữ liệu Botnet, khái quát về hoạt động
của một số mạng Botnet điển hình trên thế giới và
tại Việt Nam.
- Nghiên cứu một số hệ thống theo dõi, cảnh báo
Botnet của một số quốc gia điển hình trên thế giới
là Hàn Quốc, Nhật Bản, CHLB Đức. Trên cơ sở
tiếp thu công nghệ và kinh nghiệm của các nước,
luận văn đã đề xuất được mô hình kiến trúc và đưa
ra thiết kế xây dựng một hệ thống phát hiện, cảnh
báo hoạt động của Botnet trong mạng cơ quan nhà
nước tại Việt Nam.
- Thực hiện thử nghiệm hệ thống với các nội dung:
xây dựng mô hình kiểm thử và một số kịch bản
kiểm thử, triển khai thử nghiệm và đánh giá hệ
thống.
Các định hướng nghiên cứu tiếp theo của bài gồm: