Trung tâm ứng cứu khẩn cấp Máy tính Việt Nam
(VNCERT)






Báo cáo tổng kết đề tài:

Nghiên cứu xây dựng hệ thống theo dõi, giám sát
an toàn mạng theo mô hình quản lý tập trung
để bảo vệ mạng Internet Việt Nam

Cnđt: Vũ Quốc Khánh













8818

Hà nội - 2011

MỤC LỤC
BÁC CÁO THỐNG KÊ iii
MỤC LỤC 1
DANH MỤC HÌNH VẼ 9
CÁC THUẬT NGỮ VÀ VIẾT TẮT 12
CHƢƠNG I. NGHIÊN CỨU THIẾT KẾ KIẾN TRÚC TỔNG THỂ HỆ
THỐNG, CHỌN LỌC CÁC CHUẨN THÔNG TIN VÀ THIẾT BỊ 15
I.1. Nghiên cứu đề xuất mục tiêu, yêu cầu và cấu trúc chung của hệ thống
giám sát an toàn mạng Internet 15
I.1.1. Hiện trạng tổ chức hạ tầng mạng Internet và các nguy cơ mất an toàn
thông tin của mạng Internet Việt Nam 15
I.1.2. Mục tiêu khả thi cho Hệ thống theo dõi giám sát an toàn mạng Internet
Việt Nam 38
I.1.3. Kinh nghiệm triển khai một số hệ thống giám sát an toàn mạng của
nƣớc ngoài 51
I.2. Nghiên cứu áp dụng các tiêu chuẩn và chuẩn quốc tế phục vụ cho xây
dựng hệ thống 71
I.2.1. Nghiên cứu phân tích áp dụng tiêu chuẩn quốc tế về hệ thống quản lý
an toàn thông tin và tiêu chuẩn quy tắc thực hành đảm bảo an toàn thông tin
(ISO 17799:2005 và ISO 27001:2005) cho hệ thống 71
I.2.2. Nghiên cứu, phân tích chuẩn quốc tế về định dạng trao đổi thông tin sự
cố an toàn mạng (IODEF của tổ chức IETF) 77
I.2.3. Đề xuất khung trao đổi thông tin sự cố ATM và khung trao đổi thông
báo phát hiện tấn công mạng sẽ áp dụng 80
I.2.4. Nghiên cứu, phân tích chuẩn quốc tế về định dạng trao đổi thông báo
phát hiện tấn công mạng 82
I.3. Nghiên cứu và lựa chọn các nguồn cung cấp thông tin an toàn mạng 86
I.3.1. Phân tích khả năng sử dụng khai thác thông tin ATM từ các nguồn
cung cấp thông tin khác 86

I.4. Thiết kế kiến trúc tổng thế 90
2

I.4.1. Kiến trúc hệ thống 90
I.4.2. Lƣợc đồ dữ liệu tổng thể 91
I.5. Hoàn thiện thiết kế tổng thể 94
1.5.1. Nội dung thực hiện 94
1.5.2. Nhận xét chung 94
I.5.3. Yêu cầu chỉnh sửa, hoàn thiện cho sản phẩm đã đƣợc các nhánh thực
hiện 96
CHƢƠNG II. PHÁT TRIỂN HỆ THỐNG CƠ SỞ DỮ LIỆU TÍCH HỢP
GIÁM SÁT AN TOÀN MẠNG (NSIDB) 98
II.1. Nghiên cứu, phân tích nguồn dữ liệu đầu vào, chọn lựa công nghệ
CSDL tích hợp NSIDB. 98
II.1.1. Nghiên cứu, phân tích các nguồn cung cấp thông tin ATM đƣa vào hệ
thống CSDL tích hợp NSIDB 98
II.1.2. Xác định định dạng các loại dữ liệu đầu vào cho hệ thống CSDL tích
hợp NSIDB 105
II.1.3. Phân tích và lựa chọn công nghệ phù hợp áp dụng cho hệ thống CSDL
tích hợp NSIDB, có khả năng mở rộng để kết nối tới các nguồn dữ liệu tƣơng
thích của nƣớc ngoài về thông tin ATM 111
II.2. Nghiên cứu, thiết kế hệ thống CSDL tích hợp NSIDB 118
II.2.1. Nghiên cứu, thiết kế phƣơng thức trao đổi thông tin giữa CSDL với
các thành phần khác của hệ thống 118
II.2.2. Thiết kế CSDL sao lƣu dự phòng và khôi phục dữ liệu khi có sự cố
xảy ra 124
II.2.3. Thiết kế giải pháp bảo mật CSDL tích hợp giám sát an toàn mạng. 125
II.2.4. Thiết kế tổng thể hệ thống CSDL tích hợp giám sát an toàn mạng -
NSIDB 130
II.3.1. Thiết kế chi tiết phân hệ CSDL lƣu trữ thông tin về sự cố an toàn mạng 136

II.3.2. Thiết kế chi tiết phân hệ CSDL lƣu trữ thông tin về tấn công mạng 137
II.3.3. Thiết kế chi tiết phân hệ CSDL lƣu trữ thông tin trạng thái các hệ
thống xung yếu 138
3

II.3.4. Thiết kế chi tiết phân hệ CSDL lƣu trữ thông tin quản trị ngƣời sử
dụng 140
Thiết kế chi tiết dữ liệu 140
II.4. Xây dựng, triển khai các phân hệ CSDL tích hợp NSIDB 141
II.4.1. Xây dựng, triển khai cài đặt, thử nghiệm phân hệ CSDL lƣu trữ thông
tin về sự cố ATM, phân hệ CSDL lƣu trữ thông tin về tấn công mạng. So
sánh với kết quả lý thuyết 141
II.4.2. Xây dựng, triển khai cài đặt, thử nghiệm phân hệ CSDL lƣu trữ thông
tin trạng thái các hệ thống xung yếu, phân hệ CSDL lƣu trữ thông tin quản trị
ngƣời sử dụng. 145
CHƢƠNG III. NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP
THÔNG TIN ATM TRUNG TÂM 149
III.1. Tổng quan 149
III.1.1. Phân hệ hỗ trợ xử lý thông báo sự cố 149
III.1.2. Phân hệ tiếp nhận thông tin an toàn mạng tự động NSIAR 150
III.1.3. Khảo sát và đánh giá hiện trạng 150
III.1.4. Nghiên cứu và thiết kế giao thức thu thập thông tin an toàn mạng –
ISGP 151
III.1.5. Nghiên cứu, thiết kế và xây dựng phân hệ hỗ trợ xử lý thông báo sự
cố an toàn mạng - SAMS 151
III.1.6. Nghiên cứu và xây dựng phân hệ tiếp nhận thông tin an toàn mạng tự
động NSIAR 151
III.1.7. Phƣơng pháp nghiên cứu 152
III.2. Các kết quả nghiên cứu chính đã đạt đƣợc của nhánh 3 153
III.2.1 Nghiên cứu và thiết kế giao thức thu thập thông tin an toàn mạng –

ISGP 153
III.2.2. Thiết kế tổng thể hệ thống tiếp nhận thông tin an toàn mạng 160
III.2.3. Nghiên cứu, thiết kế và xây dựng phân hệ hỗ trợ xử lý thông báo sự
cố an toàn mạng - SAMS 161
4

III.2.4. Nghiên cứu, thiết kế và xây dựng phân hệ tiếp nhận thông tin an toàn
mạng tự động NSIAR 165
III.2.5. Kết quả đã đạt đƣợc của nhánh 3 170
III.3. Kết luận 171
CHƢƠNG IV. PHÁT TRIỂN HỆ PHẦN MỀM TÁC NGHIỆP XỬ LÝ
THEO DÕI – THỐNG KÊ – CẢNH BÁO VÀ ĐIỀU KHIỂN (SIPS) 172
IV.1. Nghiên cứu, phân tích một số hệ thống xử lý thông tin theo dõi -
thống kê - cảnh báo thông tin an toàn mạng trên thế giới. 172
IV.1.1. Internet Storm Center (ISC) 172
IV.1.2. Honeypots 173
IV.1.3. Honeynet 174
IV.1.4. Symantec Security Response 174
IV.2. Nghiên cứu xác định chi tiết các tiêu chí thông tin cần phải theo dõi
và thống kê về tình hình an toàn mạng Internet tại Việt Nam 175
IV.2.1. Các nguồn thông tin cần để thu thập, theo dõi và thống kê 175
IV.2.2. Phân tích các thông tin cần theo dõi và thống kê 176
IV.2.3. Các tiêu chí thông tin cần phải theo dõi và thống kê về tình hình an
toàn mạng Internet tại Việt Nam 177
IV.3. Nghiên cứu, phân tích các cấp độ cảnh báo, các hình thức cảnh báo
và các yêu cầu về biểu mẫu thông tin cảnh báo về tình hình an toàn mạng
Việt Nam. 178
IV.3.1. Tìm hiểu về hệ thống cấp độ cảnh báo và định nghĩa các mức cảnh
báo trên Internet Việt Nam 178
IV.3.2. Hình thức cảnh báo 179

IV.3.3. Các mẫu biểu cảnh báo 179
IV.4. Nghiên cứu, phân tích và thiết kế xây dựng giao thức giao tiếp giữa
hệ SIPS và các sensor chuyên dụng. 180
IV.4.1. Chức năng và nguyên tắc hoạt động của hệ tập trung và máy trinh sát . 181
IV.4.2. Phân tích giao thức 181
IV.5. Phân tích thiết kế chức năng theo dõi của hệ thống SIPS. 181
5

IV.5.1. Hệ thống giám sát 182
IV.5.2. Mô hình hệ thống giám sát 182
IV.5.3. Các thông tin thƣờng giám sát 182
IV.5.4. Thực hiện giám sát theo 10 tiêu chí 182
IV.6. Phân tích thiết kế mô đun chức năng thống kê của hệ thống SIPS. 183
IV.6.1. Các thành phần của mô đun thống kê 184
IV.6.2. Một số thuật toán áp dụng cho mô đun thống kê 184
IV.7. Phân tích thiết kế mô đun chức năng cảnh báo của hệ thống SIPS 184
IV.7.1. Hệ thống đăng ký 184
IV.7.2. Hệ thống gửi cảnh báo 185
IV.7.3. Hệ thống Infocon 186
IV.8. Phân tích thiết kế mô đun chức năng quản lý các sensor chuyên
dụng. 187
IV.8.1. Chức năng quản lý tổng thể tất cả các máy trinh sát 187
IV.8.2. Chức năng quản lý trên một máy trinh sát 188
IV.9. Phân tích thiết kế mô đun quản trị chung (quản trị ngƣời dùng, lƣu
trữ dự phòng, quản trị hệ thống , cấu hình, ghi nhận thông tin, … ) của hệ
thống SIPS. 189
IV.9.1. Cách thức quản lý phân quyền cơ bản 189
IV.9.2. Giải pháp phpGACL 189
IV.10. Phân tích thiết kế giao diện hỗ trợ giám sát tình hình an toàn mạng
24/24. 190

IV.10.1. Phân tích chức năng của các thành phần trong giao diện hỗ trợ giám
sát an toàn mạng 190
IV.10.2. Xây dựng giao diện theo từng chức năng 190
IV.11. Lập trình, thử nghiệm các mô đun chức năng theo dõi, mô đun chức
năng thống kê, mô đun chức năng cảnh báo của hệ thống SIPS. Phân tích,
đánh giá và so sánh với kết quả lý thuyết. 191
IV.11.1. Mô đun chức năng theo dõi 191
6

IV.11.2. Mô đun chức năng thống kê 192
IV.11.3. Mô đun chức năng cảnh báo 192
IV.12. Lập trình, thử nghiệm các mô đun chức năng quản lý các sensor
chuyên dụng, các mô đun quản trị chung. 193
IV.12.1. Mô đun quản lý sensor chuyên dụng 193
IV.12.2. Mô đun quản trị chung 193
IV.13. Lập trình, thử nghiệm các mô đun kết nối với CSDL NSIDB, mô
đun giao diện hỗ trợ giám sát tình hình ATM 24/24. 194
IV.13.1. Mô đun kết nối cơ sở dữ liệu NSIDB 194
IV.13.2. Mô đun giao diện hỗ trợ giám sát tình hình an toàn mạng 195
CHƢƠNG V. PHÁT TRIỂN SẢN PHẨM SENSOR CHUYÊN DÙNG
DO VIỆT NAM LÀM CHỦ VỀ CÔNG NGHỆ 196
V.1. Tổng quan 196
V.1.1. Thiết bị sensor đặc thù thu thập thông tin an toàn mạng: 196
V.1.2. Phần mềm thu thập thông tin an toàn mạng tại đầu cuối (trên hệ điều
hành Windows): 197
V.1.3. Nghiên cứu các vấn đề về lý thuyết các vấn đề: 197
V.1.4. Nghiên cứu thiết kế hệ thống thiết bị sensor: 198
V.1.5. Nghiên cứu, xây dựng các mô đun phần mềm cho sensor: 198
V.1.6. Nghiên cứu, xây dựng phần mềm theo dõi an toàn mạng tại các máy
đầu cuối: 198

V.2. Các kết quả nghiên cứu chính đã đạt đƣợc của nhánh 5 199
V.2.1. Nghiên cứu các vấn đề về lý thuyết 199
V.2.2. Nghiên cứu thiết kế hệ thống thiết bị sensor 202
V.2.3. Nghiên cứu, xây dựng các mô đun phần mềm cho sensor 206
V.2.4. Nghiên cứu, xây dựng phần mềm theo dõi an toàn mạng tại các máy
đầu cuối 210
V.3. Các kết quả thử nghiệm trong môi trƣờng mạng thực 211
V.4. Kết luận 213
V.5. Danh mục các thiết bị sensor mẫu 213
7

V.6. Kết quả thử nghiệm cho thiết bị sensor tại VDC 215
V.6.1. Các yêu cầu và phƣơng án đặt thiết bị Sensor 215
V.6.2. Kiểm tra các chức năng hoạt động của thiết bị Sensor: 216
V.6.3. Kiểm tra các chức năng hoạt động của phần mềm đầu cuối trên
Windows 217
V.6.4. Mô tả chi tiết về lắp đặt sensor để triển khai thử nghiệm 218
CHƢƠNG VI. PHÁT TRIỂN GIẢI PHÁP, CÔNG CỤ TÍCH HỢP MỘT
SỐ THIẾT BỊ AN TOÀN MẠNG THƢƠNG MẠI ĐANG PHỔ BIẾN Ở
VIỆT NAM. 226
VI.1. Tổng quan 226
VI.2. Phƣơng pháp và nội dung nghiên cứu 226
VI.2.1. Phƣơng pháp nghiên cứu 227
VI.1.2. Các nội dung nghiên cứu 228
VI.3. Tổng hợp sản phẩm và kết quả đã đạt đƣợc của nhánh 6 228
VI.3.1. Cấu trúc và chuẩn tiếp nhận thông tin an toàn mạng 228
VI.3.2. Cấu trúc và chuẩn hóa thông tin an toàn mạng 235
VI.3.3. Thiết kế tổng thể phần mềm thu nhận thông tin an toàn mạng thƣơng
mại 238
VI.3.4. Sản phẩm thu đƣợc 244

VI.4. Kết luận 245
CHƢƠNG VII. THỬ NGHIỆM, ĐO KIỂM VÀ PHÂN TÍCH ĐÁNH
GIÁ HIỆU NĂNG CỦA HỆ THỐNG 247
VII.1. Tóm tắt nội dung đã thực hiện 247
VII.2. Mô tả thử nghiệm 248
VII.2.1. Phân tích, đánh giá kết quả thử nghiệm 248
VII.1.2. Phân tích, đánh giá hiệu năng của toàn bộ hệ thống, so sánh với kế
quả lý thuyết 259
VII.1.3. Kết luận 260
VII.3. Nghiên cứu rà soát để đƣa ra yêu cầu chỉnh sửa, hoàn thiện cho tất
cả các sản phẩm của các nhánh đề tài khác 260
8

VII.3.1. Báo cáo kết quả rà soát, đánh giá thử nghiệm 260
CHƢƠNG VIII. KẾT QUẢ TRIỂN KHAI HỆ THÔNG TRÊN MÔI
TRƢỜNG MẠNG THỰC TẾ 264
VIII.1. Sơ đồ hệ thống thực tế hiện nay 264
VIII.2. Đánh giá kết quả triển khai hệ thống giám sát an toàn mạng quốc
gia 265
VIII.3. Kết luận 267
TÀI LIỆU THAM KHẢO 268


9

DANH MỤC HÌNH VẼ
Hình I.1: Mô hình mạng lõi (Core) của nhà kết nối Internet 16
Hình I.2: Mô tả Kết nối Internet trung chuyển trong nƣớc 18
Hình I.3: Sơ đồ kết nối trung chuyển qua VNIX 18
Hình I.4: Kết nối từ Nhà cung cấp dịch vụ kết nối Internet đến khách hàng 20

Hình I.5: Sơ đồ kết nối khách hàng của một Bƣu điện địa phƣơng. 21
Hình I.6: Sơ đồ kết nối từ ISP đến khách hàng. 24
Hình I.7: Sơ đồ hoạt động của cơ quan chủ quản 59
Hình I.8: Lƣợc đồ mô tả ngữ cảnh tổng thể của Hệ thống theo dõi, giám sát an
toàn mạng Internet Việt Nam 62
Hình I.9: Sơ đồ cấu trúc chức năng chung của hệ thống 65
Hình I.10: Thu thập thông tin từ thiết bị 81
Hình I.11: Mô hình hoạt động 90
Hình I.12: Lƣợc đồ giám sát phát hiện sự cố 92
Hình I.13: Lƣợc đồ hoạt động phân tích sự cố 93
Hình I.14: Lƣợc đồ báo cáo phát hiện sự cố 93
Hình I.15: Lƣợc đồ phản ứng/ứng cứu sự cố 94
Hình II.1: Mô hình tổng thể phần mềm tiếp nhận thông tin 98
Hình II.2: Mô hình hệ thống quản lý an toàn Internet 112
Hình II.3: Hệ tập trung
Hình II.4: Sơ đồ hoạt động của hệ thống giám sát mạng 116
Hình II.5: Hệ thống CSDL tích hợp NSIDB 117
Hình II.5: Cấu trúc chung của hệ thống CSDL tích hợp NSIDB 120
Hình II.6: Thu thập thông tin từ thiết bị 122
Hình II.7: Sơ đồ tƣơng tác giữa CSDL và các thành phần xử lý trong hệ thống 136
Hình II.8: Sơ đồ liên kết CSDL lƣu trữ thông tin sự cố 142
Hình II.9: Sơ đồ liên kết CSDL thông tin tấn công 144
Hình II.10: Nhóm liên kết các bảng máy chủ 146
10

Hình II.11: Nhóm liên kết các bảng net 147
Hình II.12: Nhóm liên kết các bảng tiện ích Plugin 147
Hình II.13: Sơ đồ liên kết các bảng ngƣời dùng 148
Hình III.1: Quan hệ giữa ISGP và một số giao thức cơ bản khác 153
Hình III.2: Sơ đồ kiến trúc tổng thể phân hệ SIGS 160

Hình III.3: Lƣợc đồ quy trình xử lý thông báo sự cố 161
Hình III.4: Lƣợc đồ luồng dữ liệu của NSIAR 167
Hình IV.1: Quá trình làm việc hệ thống ISC. 173
Hình IV.2: Hệ thống tiếp nhận thông tin sự cố 176
Hình IV.3: Hệ thống cảnh báo 5 mức và hệ thống cảnh báo 4 mức 180
Hình IV.4: Hệ tập trung 181
Hình IV.5: Thống kê tỉ lệ các botnet phân loại theo các quốc gia 183
Hình IV.6: Tổng quan hệ thống gửi cảnh báo 186
Hình IV.7 : Giao diện quản lý toàn bộ các máy trinh sát 188
Hình IV.8 : Giao diện thống kê sự kiện, cảnh báo 191
Hình V.1: Các vị trí có thể đặt thiết bị sensor để thu thập thông tin vùng cấp 1 200
Hình V.2: Các vị trí có thể đặt thiết bị sensor để thu thập thông tin vùng cấp 2 201
Hình V.3: Các vị trí có thể đặt thiết bị sensor tại máy đầu cuối 201
Hình V.4: Mô hình kiến trúc hệ thích nghi phát hiện xâm nhập 202
Hình V.5: Cấu trúc bên trong một thiết bị sensor giám sát an toàn mạng 204
Hình V.6: Một Thiết bị Sensor mẫu 205
Hình V.7: Thiết bị Sensor mẫu 2 và mẫu 3 đang chạy thử nghiệm 205
Hình V.8: Các module phần mềm trong phiên bản hạt nhân Linux 206
Hình V.9: Các thông số và thƣ mục của phiên bản hạt nhân Linux 206
Hình V.10: Sơ đồ nguyên lý của phần mềm giám sát an toàn mạng 207
Hình V.11: Sơ đồ nguyên lý khối phần mềm giám sát phát hiện 208
Hình V.12: Sơ đồ nguyên lý khối phần mềm giám sát lƣu lƣợng 208
Hình V.13: Giao diện chính của phần mềm 210
11

Hình V.14: Giao diện thiết lập cấu hình phần mềm 211
Hình V.15: Giao diện thiết lập cấu hình các công cụ hỗ trợ giám sát 211
Hình V.16: Sơ đồ đặt thiết bị sensor để giám sát các máy đầu cuối sử dụng
kết nối mạng ADSL. 211
Hình V.17: Sơ đồ đặt thiết bị sensor để giám sát hệ thống máy chủ tại các nhà

cung cấp dịch vụ cho thuê máy chủ 212
Hình V.18: Sơ đồ đặt thiết bị Sensor để giám sát hệ thống mạng nội bộ của
doanh nghiệp 212
Hình V.19: Sơ đồ đặt thiết bị sensor để giám sát các máy đầu cuối 219
Hình V.20: Sơ đồ đặt thiết bị sensor để giám sát hệ thống máy chủ tại các nhà
cung cấp dịch vụ cho thuê máy chủ 221
Hình VI.1: Lƣợc đồ ngữ cảnh 240
Hình VI.2: Mô đun GAG Lƣợc đồ luồng dữ liệu 241
Hình VI.3: Mô đun GFW Lƣợc đồ luồng dữ liệu 242
Hình VII.1 : Mô hình mạng thử nghiệm 249

12

CÁC THUẬT NGỮ VÀ VIẾT TẮT
Account Tài khoản của ngƣời sử dụng
Access Point Điểm truy cập mạng không dây
ADSL (Asymetric Digital Subscriber Line) Kênh thuê bao số phi
đối xứng (download 8Mbps, upload 800Kbps, khoảng cách
5500m)
Antivirus Antivirus
ATM An toàn mạng
ATTT An toàn thông tin
BCG (Bussiness Control Gate) Tên riêng của Module hỗ trợ xử lý
thông báo an toàn mạng
BRAS (Broadband Remote Access Server) máy chủ truy cập từ xa
băng rộng
CERT Trung tâm Ứng cứu khẩn cấp máy tính
CERT/CC Trung tâm Điều phối/Ứng cứu khẩn cấp máy tính
CNTT Công nghệ thông tin
CSDL Cơ sở dữ liệu

DSLAM (Digital Subscriber Line Access Multiplexer) Thiết bị tập
trung (dồn) kênh thuê bao số.
FE Fast Ethernet
FW (Firewall) Tƣờng lửa
GAG Module GAG cung cấp thông tin từ Antivirus
GE Gigabit Ethernet
GIDS Tên riêng của Module GIDS cung cấp thông tin từ thiết bị
IDS
GFW Tên riêng của Module GFW cung cấp thông tin từ thiết bị
Firewall
HDSL (High bit-rate Digital Subscriber Line) Kênh thuê bao số tốc
độ cao (download 1.54Mbps, upload 1.54Mbps, khoảng cách
3650m).
HTTT Hệ thống thông tin
HIDS Hệ thống phát hiện xâm nhập trong nội bộ
IDS Hệ thống phát hiện xâm nhập trái phép
13

IDMEF (Intrusion Detection Message Exchange Format) Chuẩn trao
đổi thông điệp về phát hiện xâm nhập.
IDSL (Intergrated Service Digital Network DSL) Kênh thuê bao
sốdịch vụ tích hợp (tốc độ download 144Kbps, upload
144Kbps, khoảng cách 10700m).
IODEF (Incident Object Description and Exchange Format) Chuẩn
mô tả và trao đổi thông tin về sự cố.
IPS Hệ thống phòng ngừa xâm nhập trái phép
ISP (Internet Service Provider) Nhà cung cấp dịch vụ Internet.
IXP (Internet eXchange Provider) Nhà cung cấp kết nối Internet
Malware Phần mềm độc hại
MIME (Multipurpose Internet Mail Extensions) Chuẩn mở rộng thƣ

điện tử internet đa dụng
MSDSL (Multirate Symetric DSL) Kênh thuê bao số đối xứng đa tốc
độ (download 2Mbps, upload 2Mbps, khoảng cách 8800m).
NSAIR Tên riêng của Phân hệ tiếp nhận thông tin ATM tự động
NSIDB (Network Security Information DataBase) Tên riêng cho
CSDL thông tin giám sát an toàn mạng
Plugin Tiện ích
Router Thiết bị định tuyến
RADSL (Rate Adaptive DSL) Kênh thuê bao số phi đối xứng thích
nghi tốc độ (Download 7Mbps, upload 1Mbps, khoảng cách
5500m).
SAMS Tên riêng của Phân hệ tiếp nhận và hỗ trợ xử lý thông báo sự
cố
SDH (Synchronous Digital Hierachy) Phân cấp truyền dẫn số đồng
bộ
SDSL (Symetric DSL) Kênh thuê bao số đối xứng (Download
2.3Mbps, upload 2.3Mbps, khoảng cách 6700m).
Sensor Thiết bị cảm biến (phát hiện tấn công mạng)
SIG Gate Tên riêng của Cổng tiếp nhận thông tin an toàn mạng
SIGS (Security Information Getting System) Tên riêng của Hệ
thống trung tâm thu thập thông tin an toàn mạng
14

SIPS (Security Information Processing System) Tên riêng của Hệ
thống xử lý thông tin, theo dõi, thống kê, cảnh báo và điều
khiển.
SMNP (Simple management Network Protocol) Giao thức trao đổi
thông tin quản lý mạng.
STM - x Chế độ truyền tin đồng bộ theo phƣơng thức SDH mức x
(x=1, 4, 16 tƣơng ứng tốc độ truyền 155 Mbps, 622 Mbps,

2,5Gbps).
Switch Thiết bị chuyển mạch
Syslog Chuẩn Syslog lƣu trữ và trao đổi file log.
TTATM Thông tin an toàn mạng
UML (Unified Modeling Language) Ngôn ngữ mô hình hóa thống
nhất
URL (Uniform Resource Locator) Tên tìm kiếm tài nguyên (mạng)
VDSL (Veryhigh bit-rate DSL) Kênh thuê bao số phi đối xứng tốc
độ rất cao (Download 52Mbps, upload 16Mbps, khoảng cách
1200m).
VNCERT Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam.
VNIX (Vietnam National Internet eXchange) Hệ thống chuyển
mạch kết nối trung chuyển quốc gia của Việt Nam.
XML (Extensible Markup Language) Ngôn ngữ đánh dấu mở rộng.

15

CHƢƠNG I. NGHIÊN CỨU THIẾT KẾ KIẾN TRÚC
TỔNG THỂ HỆ THỐNG, CHỌN LỌC CÁC CHUẨN
THÔNG TIN VÀ THIẾT BỊ
Sản phẩm phải đạt là các bản báo cáo kỹ thuật phân tích thực trạng và
đề xuất các yêu cầu tổng thể về thiết kế hệ thống thu thập và phân tích, tổng
hợp thông tin mô tả về sự cố mạng, thông tin về trạng thái luồng tin và đặc
điểm các gói tin đi qua nút mạng do các thiết bị sensor và một số thiết bị bảo
vệ mạng xử lý và ghi nhận. Chọn lọc mô hình chung, các chuẩn cơ bản và các
thiết bị phục vụ đưa ra thiết kế phù hợp với điều kiện Việt Nam, tiên tiến và
khả thi về công nghệ và tiết kiệm về chi phí, đảm bảo hệ thống có tính an toàn
cao đồng thời trao đổi thông tin thuận lợi với các tổ chức ứng cứu khẩn cấp
máy tính (CERT) của các quốc gia khác.
I.1. Nghiên cứu đề xuất mục tiêu, yêu cầu và cấu trúc chung của hệ

thống giám sát an toàn mạng Internet
I.1.1. Hiện trạng tổ chức hạ tầng mạng Internet và các nguy cơ mất an
toàn thông tin của mạng Internet Việt Nam
a) Hiện trạng tổ chức hạ tầng mạng Internet Việt Nam (2009)
Hệ thống mạng Internet ở Việt Nam bao gồm từ các kênh và cổng kết
nối quốc tế cho đến các đầu nối đến mỗi ngƣời dùng Internet. Qua khảo sát
nghiên cứu thực tiễn trong giai đoạn cuối 2008-đầu 2009, các hệ thống mạng
của các nhà cung cấp dịch vụ Internet chủ yếu ở nƣớc ta (bao gồm các nhà
cung cấp kết nối Internet IXP và các nhà cung cấp dịch vụ truy cập Internet
ISP) có thể khái quát tổ chức mạng thành các mức nhƣ sau:
Mô hình mạng lõi (core) của nhà kết nối Internet (IXP)
Sơ đồ nguyên lý của mô hình mạng lõi (core network) của nhà kết nối
Internet (IXP) đƣợc trình bày trên hình vẽ 1.1
Các thiết bị cơ bản gồm Gateway, Router, Edge Router (Router ngoại
vi)
16

Đƣờng truyền Internet quốc tế vào Việt Nam đƣợc nối với các Gateway
sử dụng một hay nhiều kênh truyền cáp quang STM-1, , STM-16 với tốc độ
truyền tin trong khoảng 155Mbps đến 2.5Gbps. Các IXP thƣờng sử dụng hệ
thống catching (bộ lƣu đệm) dữ liệu đầu vào để loại trừ các truy nhập
Internet quốc tế trùng nhau.























Hình I.1: Mô hình mạng lõi (Core) của nhà kết nối Internet
17

Các Gateway đƣợc nối với các Router chính trong mạng core đặt ở Hà
Nội, TP.HCM và Đà Nẵng bằng một hay nhiều kênh truyền STM-x tốc độ
truyền 155Mbps đến 2.5Gbps.
Các Router tạo thành mạng lõi (core network) thƣờng đƣợc nối với nhau
bằng đƣờng nhiều kênh STM-16 với lƣu lƣợng khoảng n lần 2.5Gbps
Từ mạng lõi (core) thƣờng nối tới các bộ định tuyến ngoại biên (Edge
Router) bằng các kênh truyền STM-x, hay các kênh Ethernet tốc độ cao
(GE/FE). Tùy từng nhu cầu và điều kiện thực tiễn, kênh truyền có thể đạt tốc
độ truyền đến vài Gbps.
Từ các bộ định tuyến ngoại biên (Edge Router) có thể kêt nối tới các
mạng trung chuyển nội địa, các nhà cung cấp dịch vụ Internet ISP (Internet
service provider) hay các khách hàng lớn (mạng riêng) bằng các kênh truyền
STM-x, hay các kênh Ethernet tốc độ cao Gigabit (GE) hay Fast Ethernet

(FE), hoặc kết nối tới các khách hàng thông thƣờng bằng các đƣờng leased-
line hay các kênh truyền xDSL với tốc độ truyền từ 64 Kbps đến 52 Mbps tùy
từng loại cáp đƣợc sử dụng và khoảng cách từ thuê bao đến các tổng đài.
xDSL bao gồm: ADSL, HDSL, IDSL, MSDSL RADSL, SDSL, STM -
x.
Kết nối trung chuyển Internet trong nước
Trung tâm Internet Việt Nam VNNIC cung cấp hệ thống VNIX
(Vietnam National Internet eXchange) là hệ thống chuyển mạch để kết nối
trung chuyển lƣu lƣợng Internet trong nƣớc giữa các doanh nghiệp cung cấp
dịch vụ kết nối Internet IXP. Các ISP nhỏ cũng có thể tham gia theo nhu cầu.
Sơ đồ nguyên lý kết nối trực tiếp và trung chuyển Internet trong nƣớc
của các IXP đƣợc trình bày trên hình vẽ 1.2.
18


Hình I.2: Mô tả Kết nối Internet trung chuyển trong nƣớc
Với sự ra đời của hệ thống VNIX, một lƣợng lớn các lƣu lƣợng trao đổi
giữa các nhà cung cấp dịch vụ kết nối đã đƣợc lƣu chuyển trong nƣớc, làm
giảm thiểu băng thông kết nối quốc tế, tăng chất lƣợng của dịch vụ Internet.
Hình sau cho biết sơ đồ kết nối trung chuyển qua hệ thống VNIX.

Hình I.3: Sơ đồ kết nối trung chuyển qua VNIX
19

Các doanh nghiệp cung cấp kết nối Internet IXP (Internet eXchange
Provider) của Việt Nam có băng thông kết nối trong nƣớc qua VNIX
(Vietnam National Internet eXchange) trung tâm Internet Việt Nam bằng
đƣờng cáp có băng thông từ 1Gbps đến 3x1Gbps.
Ngoài ra giữa các nhà cung cấp dịch vụ còn thực hiện thiết lập các
đƣờng kết nối dự phòng để đảm bảo cung cấp dịch vụ tốt nhất cho khách hàng

kể cả khi xảy ra sự cố về mạng hay đƣờng dây.
Bản thân các doanh nghiệp cung cấp kết nối Internet cũng có thể kết nối
trực tiếp với nhau bằng các đƣờng nối giữa các router biên, với băng thông
thƣờng thƣờng khoảng từ 256Kbps đến 1Gbps.
Các ISP khác và các khách hàng cũng có thể kết nối trực tiếp với trung
tâm Internet Việt Nam VNIX.
Kết nối từ nhà cung cấp kết nối Internet đến khách hàng
Nhà cung cấp kết nối Internet (IXP) thông thƣờng cũng là một nhà cung
cấp dịch vụ Internet (ISP) lớn, ngoài ra IXP còn có khách hàng là các đại lý
lớn (ví dụ: bƣu điện tỉnh), các nhà cung cấp dịch vụ Internet (ISP) khác, các
cơ quan, tổ chức hay doanh nghiệp có mạng riêng lớn.
Sơ đồ nguyên lý ví dụ cho một mạng khách hàng của IXP đƣợc trình bày
trên hình vẽ sau
20



Hình I.4: Kết nối từ Nhà cung cấp dịch vụ kết nối Internet đến khách hàng
IXP kết nối với các khách hàng lớn thông qua các bộ định tuyến truy cập
(Accesss Router) và các bộ định tuyến biên (Edge Router). Thƣờng sử dụng
kênh cáp quang hoặc đƣờng lease-line, với các chuẩn đa dạng STM-x, GE,
FE, xDSL, nx64Kbps, dial-up.
Băng thông có thể thay đổi từ nhỏ đến vài Gbps.
Kết nối Internet của Bưu điện tỉnh
Sơ đồ nguyên lý kết nối khách hàng của một Bƣu điện địa phƣơng (tỉnh,
thành phố) hoặc một ISP lớn đƣợc trình bày trên hình vẽ 1.5.
21


Hình I.5: Sơ đồ kết nối khách hàng của một Bƣu điện địa phƣơng.

Các bƣu điện tỉnh thƣờng sử dụng một máy chủ truy cập từ xa băng rộng
BRAS để kết nối tới Edge Router của nhà cung cấp kết nối Internet (IXP).
Từ BRAS kết nối dịch vụ Internet tới khách hàng thông qua hệ thống
mạng phân cấp với các thiết bị chuyển mạch (switch/core switch) và bộ dồn
22

ghép kênh (DSLAM/Hub-DSLAM), các router, modem và các điểm truy cập
không dây.
Thông thƣờng, khi một thuê bao kết nối vào Internet, nhà cung cấp dịch
vụ Internet (ISP) sẽ cấp cho kết nối này một địa chỉ IP động (ví dụ DHCP
server trong dịch vụ dial-up hay BRAS trong dịch vụ ADSL). Đôi khi BRAS
còn có nhiệm vụ nhƣ một RADIUS server để kiểm tra chứng thực khách
hàng.
Đƣờng truyền để kết nối từ BRAS tới Edge Router của nhà cung cấp kết
nối Internet (IXP) thƣờng là cáp quang hay cáp đồng, dùng các chuẩn STM-x,
xDSL, nx64Kbps.
Từ BRAS kết nối tới các thiết bị chuyển mạch (switch/core switch) và
bộ dồn ghép kênh (DSLAM/Hub-DSLAM) bằng các đƣờng truyền STM-1,
STM-4, GE, FE và các chuẩn xDSL.
Kết nối DSLAM tới Hub-DSLAM bằng các đƣờng cáp STM-1 hay E1,
dùng chuẩn xDSL tốc độ 144Kbps đến 52 Mbps.
Kết nối từ DSLAM đến khách hàng cuối bằng các đƣờng cáp đồng với
chuẩn ADSL với băng thông từ 64 Kbps đến 8 Mbps hoặc các đƣờng Dial-up
tốc độ 56 Kpbs.
Ngoài ra còn sử dụng các điểm truy cập không dây (Access point).
Khách hàng có thể truy cập Internet thông qua các điểm truy cập không dây
với tốc độ khoảng 64kpbs.
Kết nối từ ISP đến khách hàng
ISP có thể là một mạng con của IXP hoặc một ISP độc lập. Nhiều mạng
Internet dùng riêng của một tổ chức lớn cũng có thể có cấu trúc chung nhƣ

một ISP.
23

Các ISP có thể tạo thành các mức cung cấp dịch vụ nhiều cấp, có thể kết
nối trực tiếp với nhau để chuyển lƣu lƣợng thông tin trong nƣớc theo đƣờng
ngắn hơn và tạo thành các đƣờng kết nối Internet dự phòng.
Sơ đồ nguyên lý của mạng dịch vụ ISP cung cấp cho khách hàng đầu
cuối đƣợc trình bày trên hình vẽ 1.6.
ISP kết nối với các IXP (an Internet eXchange Provider: Các doanh
nghiệp cung cấp dịch vụ kết nối) bằng cáp quang với chuẩn STM-1, STM-4,
STM-16 tốc độ khoảng 155Mbps đến 2.5Gbps.
Từ các bộ định tuyến ngoại biên (Edge Router) có thể kết nối tới các
mạng trung chuyển nội địa, các nhà cung cấp dịch vụ Internet ISP (Internet
service provider) hay các khách hàng lớn (mạng riêng) bằng các kênh truyền
STM-x, hay các kênh Ethernet tốc độ cao (GE/FE), hoặc bằng các đƣờng
leased-line hay các kênh truyền xDSL với tốc độ truyền từ 64 Kbps đến 52
Mbps tùy từng loại cáp đƣợc sử dụng và khoảng cách từ thuê bao đến các
tổng đài.
Từ các ISP lại kết nối với các ISP khác bằng các đƣờng cáp quang (Fiber
optic), xDSL, STM với tốc độ truyền từ 144Mbps đến 2.5Gbps
24


Hình I.6: Sơ đồ kết nối từ ISP đến khách hàng.
Từ các ISP sẽ kết nối tới các khách hàng thông thƣờng thông qua các
điểm truy cập không dây, cáp ADSL, hoặc đƣờng quay số Dial-up với tốc độ
băng thông trong khoảng từ 56Kbps tới khoảng 8Mbps
Các ISP, các công ty dịch vụ, các tổ chức lớn, bƣu điện các tỉnh kết nối
với khách hàng bằng các đƣờng ADSL (Asymetric Digital Subscriber Line)
với tốc độ download 8 Mbps, upload 800 Kbps, các đƣờng Dial-up tốc độ

64Kbps hoặc các đƣờng Leased-line nx64 Kbps, hoặc thông qua các điểm
truy cập không dây chuẩn 802.11 a/b/g/n.
Kết nối mạng diện rộng dùng riêng qua Internet