NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
MỤC LỤC
I.Thuật ngữ và từ viết tắt 3
II.Giới thiệu chung 5
II.1Mục tiêu của tài liệu 5
II.2Đối tượng sử dụng 5
III.Giao thức thu thập thông tin an toàn mạng - ISGP 5
III.1Mục tiêu giao thức thu thập thông tin ATM - ISGP 5
III.2Tham chiếu trên mô hình TCP/IP 5
III.3Bảo mật dữ liệu 6
III.4Lược đồ trao đổi thông tin 7
III.5Định dạng gói tin thông báo sự kiện 9
III.5.1Sự kiện chuẩn hóa 9
III.5.2Sự kiện MAC 10
III.5.3Sự kiện hệ điều hành 11
III.5.4Sự kiện dịch vụ (Service event) 12
IV.Phân tích yêu cầu hệ thống giám sát ATM 13
14
V.Kiến trúc hệ thống tiếp nhận thông tin ATM SIGS 15
V.1Thiết kế phân hệ thu thập TT ATM tự động – NSIAR 16
V.1.1Phân tích yêu cầu 16
V.1.2Thiết kế phân hệ phần mềm NSIAR 18
V.1.3Các yêu cầu khác đối với hệ thống NSAIR 27
V.2Thiết kế phân hệ hỗ trợ xử lý thông báo sự cố 28
V.2.1Tổng quan quy trình xử lý thông báo sự cố 28
V.2.2Phân tích yêu cầu phân hệ hỗ trợ xử lý thông báo sự cố 29
V.2.3Thiết kế phân hệ hỗ trợ xử lý thông báo sự cố 31
V.2.4Thiết kế cơ sở dữ liệu lưu trữ thông báo sự cố an toàn mạng 33
VI.Mô hình triển khai hệ thống theo dõi an toàn mạng 52
VII.Kiểm tra và kết quả thử nghiệm 53
VII.1Kiểm tra, thử nghiệm tiếp nhận thông tin an toàn mạng tự động 53

VII.1.1Phần mềm hỗ trợ thử nghiệm : SIGS Test Client 53
VII.1.2Nội dung và kết quả thử nghiệm 53
I.2.Thử nghiệm giả định trên môi trường mạng nội bộ số 001: 62
I.3.Thử nghiệm giả định trên môi trường mạng nội bộ số 002 63
I.3.1. Các bước tiến hành 63
I.3.2. Đánh giá thử nghiệm nội bộ số 002 64
II.Đánh giá chung cho thử nghiệm trên môi trường mạng nội bộ 64
III.KIẾM TRA THỬ NGHIỆM SO SÁNH VỚI KẾT QUẢ LÝ THUYẾT 65
VIII.Tài liệu tham khảo 66
IX.Phụ lục 01 Thiết kế giao diện quản lý thông báo sự cố 67
IX.1Giao diện chức năng dành cho người dùng 67
IX.1.1Chức năng mở thông báo mới 67
1
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
IX.2Giao diện chức năng dành cho quản trị hệ thống 72
IX.2.1Khung nhìn dành cho Admin 73
IX.2.2Khung nhìn dành cho chuyên viên 78
IX.3Giao diện chức năng dành cho cán bộ quản lý 85
IX.4Giao diện các chức năng dành cho chuyên viên 86
2
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
I. Thuật ngữ và từ viết tắt
THUẬT NGỮ /
TỪ VIẾT TẮT
GIẢI THÍCH
Firewall – FW Tường lửa
Antivirus - AV Antivirus
Intrusion Detected system
- IDS
Thiết bị / phần mềm phát hiện xâm nhập / tấn công trái

phép.
Intrution Prevented
System- IPS
Thiết bị / phần mềm ngăn ngừa xâm nhập / tấn công trái
phép.
SIGS Hệ thống thu thập thông tin an toàn mạng Internet.
NSAIR Phân hệ tiếp nhận thông tin ATM tự động
SAMS Phân hệ tiếp nhận và hỗ trợ xử lý thông báo sự cố
SIG Gate Cổng tiếp nhận thông tin an toàn mạng
SIPS Hệ phần mềm tác nghiệp xử lý thông tin theo dõi - thống
kê - cảnh báo và điều khiển
ISGP Giao thức thu thập thông tin an toàn mạng (Giao thức
được xây dựng riêng trên cơ sở TCP/IP để phục vụ trao
đổi thông tin an toàn mạng giữa SIGS và các thiết bị
sensor chuyên dụng).
Sensor Thiết bị cảm biến chuyên dụng để thu nhận hoặc phát hiện
tấn công mạng.
CSDL Cơ sở dữ liệu
ATM An toàn mạng
ATTT An toàn thông tin
TT ATM Thông tin an toàn mạng – bao gồm các thông tin có khả
năng phản ánh diễn biến, tình hình an toàn mạng. Thông
tin an toàn mạng có thể là thông tin về băng thông, số liệu
về các kết nối v.v….
IP Giao thức Internet
Event Sự kiện an toàn thông tin
Risk Rủi ro an toàn thông tin
3
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
Incident Sự cố an toàn thông tin

Alarm Cảnh báo an toàn thông tin
4
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
II. Giới thiệu chung
II.1 Mục tiêu của tài liệu
Trình bày thiết kế và xây dựng hệ thống tiếp nhận thông tin an toàn mạng –
SIGS và giao thức thu thập thông tin an toàn mạng.
II.2 Đối tượng sử dụng
Tài liệu này được cung cấp cho các đối tượng sau:
- Chuyên gia thiết kế hệ thống giám sát an toàn mạng.
- Chuyên gia thiết kế và lập trình phát triển hệ thống tiếp nhận thông
tin an toàn mạng, các công cụ tích hợp một số thiết bị an toàn mạng
thương mại vào hệ thống giám sát an toàn mạng.
- Chuyên gia kiểm tra đánh giá, nâng cấp, sửa chữa hệ thống tiếp nhận
thông tin an toàn mạng, các công cụ tích hợp một số thiết bị an toàn
mạng thương mại vào hệ thống giám sát an toàn mạng.
III. Giao thức thu thập thông tin an toàn mạng - ISGP
III.1 Mục tiêu giao thức thu thập thông tin ATM - ISGP
Giao thức thu thập thông tin an toàn mạng được xây dựng nhằm thống
nhất, chuẩn hóa quy trình trao đổi thông tin các thiết bị sensor chuyên dụng và
hệ thống thu thập thông tin an toàn mạng một cách an toàn, chính xác thông qua
môi trường mạng TCP/IP.
III.2 Tham chiếu trên mô hình TCP/IP
Giao thức ISGP là giao thức tầng ứng dụng, được xây dựng dựa trên giao
thức TCP, mô hình dưới đây mô tả quan hệ và phân lớp giữa ISGP với các giao
thức khác.
| ISGP | |HTTTP| |TFTP | | |
+ + + + + + + +
| | | |
+ + + + + +

| TCP | | UDP | | |
5
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
+ + + + + +
| | |
+ + +
| Internet Protocol & ICMP |
+ + +
|
+ +
| Local Network Protocol |
+ +
Quan hệ giữa ISGP và một số giao thức cơ bản khác
III.3 Bảo mật dữ liệu
Giao thức ISGP được xây dựng phục vụ trao đổi thông tin giữa các thiết bị
sensor chuyên dụng (gọi tắt là Agent) và hệ thống tiếp nhận thông tin an toàn
mạng SIPS (Server). Giao thức được thiết kế đảm bảo hỗ trợ hai chế độ hoạt
động là có bảo mật và không bảo mật. Yêu cầu này xuất phát từ thực tế, bảo vệ
tính bí mật của thông tin trao đổi thông qua mạng là rất cần thiết, phương pháp
thông dụng nhất thường được sử dụng là mã hóa bằng các mô đun mã hóa và
giải mã sử dụng các thuật toán mã hóa công khai hoặc mã hóa đối xứng đặt tại
hai đầu kết nối. Tuy nhiên, giải pháp này chỉ phù hợp với các hệ thống có năng
lực tính toán mạnh so với lượng dữ liệu cần phải tiếp nhận do liên tục phải thực
hiện các phép tính để mã hóa và giải mã dữ liệu trong khi thực tế đối với hệ
thống giám sát an toàn mạng thì số lượng thông tin trao đổi giữa các agent và
server luôn luôn rất lớn và khó có hệ thống máy chủ nào có thể đáp ứng, đặc biệt
do kinh phí đầu tư trang thiết bị của đề tài nghiên cứu còn hạn chế nên khi số
lượng kết nối lớn chắc chắn sẽ xảy ra các hiện tượng quá tải tại thiết bị server
tiếp nhận. Do đó giao thức được thiết kết để có thể thực hiện trao đổi thông tin
bằng cả hai chế độ mã hóa hoặc không mã hóa. Đối với trường hợp giao thức

hoạt động ở chế độ không mã hóa, thông tin trao đổi giữa agent và server sẽ vẫn
an toàn nếu như triển khai một hệ thống mạng riêng ảo VPN sử dụng công nghệ
IPSEC, với phương án này server sẽ không bị quá tải do việc mã hóa và giải mã
dữ liệu đã được chuyển sang cho thiết bị VPN chuyên dụng. Đây cũng là hình
6
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
thức triển khi thực tế của hầu hết các hệ thống giám sát an toàn mạng thương
mại đang áp dụng hiện nay như: SSIM của Synmatec hay Argsight.
III.4 Lược đồ trao đổi thông tin
Lược đồ trao đổi thông tin bao gồm năm bước cơ bản, được mô tả như hình
dưới đây:
Bước 1. Tạo khóa mã hóa - Generate Random key:
- Mục đích: Sinh ra một khóa mã hóa ngẫu nhiên dài 16 bytes
Bước 2. Gửi thông báo yêu cầu kết nối - CONNECT msg:
- Mục đích:
Gửi yêu cầu thiết lập kết nối từ agent tới server
7
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
- Định dạng gói tin bao gồm bốn thông tin chính
connect key=”%s” id=”%d” type=”sensor” version=”%s”\n
- Giải thích
• key: key mã hóa (xâu kí tự bất kỳ 16 bytes) đã sinh ra
• id: Số thứ tự được gán cho plugin (bắt đầu từ 1)
• Type: kiểu sensor
• version: phiên bản sensor
Bước 3. Xác nhận kết nội – OK Msg
- Mục đích: Server thông báo cho agent đã kết nối thành công
- Định dạng gói tin
ok id=”%d”\n
- Mô tả:

• ok là từ khóa xác định kết nối đã thành công
• ID là số thứ tự của plug nhận được trong lệnh kết nối
Bước 4. Thông báo lỗi - ERROR msg
- Mục đích: Server thông báo cho agent kết nối không thành công
- Định dạng gói tin
error id=”%d”\n
- Mô tả:
• Error là từ khóa của thông báo lỗi
• is là mã của sensor server đã nhận được từ trước
Bước 5. Điều khiển - CONTROL msg:
- Mục đích:
Cho phép Server gửi các lệnh điều khiển hoạt động của Agent, Agent ở
đây có thể là các sensor hoặc cũng có thể là các server khác.
Lệnh điều khiển này có 4 chức năng , bao gồm: Enable/Disable/Start/Stop
- Cấu trúc lệnh điều khiển:
Các thông báo lệnh điều khiển có cấu trúc như sau
8
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
• Command plugin_id=\”%d”\n
- Mô tả
Trong đó các thuật ngữ được hiểu như sau:
• Command là một trong bốn lệnh điều khiển sau:
◦ sensor-plugin-start
Khởi động tiến trình được gắn với plugin
◦ sensor-plugin-stop
Tắt tiến trình được gắn với plugin
◦ sensor-plugin-enable
Bật plugin
◦ sensor-plugin-disnable
Tắt plugin

• plugin_id: Số thứ tự của plugin đã được gán
III.5 Định dạng gói tin thông báo sự kiện
Gói tin thông báo sự kiện là gói tin chứa nội dung thông tin mà Sensor gửi
thông tin tới server các sự kiện thu nhận được.
Các sự kiện được chia làm bốn loại :
- Event đã chuẩn hóa,
- MAC event,
- OS Event,
- Service Event
III.5.1 Sự kiện chuẩn hóa
- Định dạng gói tin
event type=”detector" date="2006-08-09 12:12:11"
plugin_id="4002" plugin_sid="1" sensor="192.168.1.10"
interface="eth1" priority="1" src_ip="192.168.1.8"
dst_ip="192.168.1.8" data="user1" log="Aug 9 12:12:11 ossim-
sensor sshd[6466]: (pam_unix) authentication failure; logname=
uid=0 euid=0 tty=ssh ruser= rhost=localhost user=user1"
9
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
- Mô tả
• EVENT: từ khóa xác định thông báo kiểu sự kiện
• type: kiểu event, detector hoặc monitor
• date: thời gian phát sinh event
• plugin_id: id của plugin phát sinh event (nhận được từ
CONNECT msg), dùng để phân biệt giữa các plugin
• plugin_sid: plugin class, dùng để phân biệt giữa các message từ
1 plugin
• interface: giao diện mạng
• sensor: địa chỉ IP của sensor phát sinh event
• priority: mức độ ưu tiên của event (deprecated)

• protocol: một trong các giao thức TCP, UDP hoặc ICMP
• src_ip: IP nguồn của event (do sensor nhận ra)
• src_port: cổng nguồn (do sensor nhận ra)
• dst_ip: IP đích của event (do sensor nhận ra)
• dst_port: cổng đích (do sensor nhận ra)
• log: nội dung log
• data: event payload (hoặc bất cứ nội dung gì)
• username: user phát sinh event (thường dùng trong HIDS event)
• password: password cho event
• filename: file dùng trong event (thường dùng trong HIDS event)
• userdata1: các trường do user định nghĩa trong file config. tối đa
9 trường với mỗi plugin. Có thể chứa nội dung bất kỳ, thường là
các nội dung trong log mà không nằm trong các trường còn lại.
III.5.2 Sự kiện MAC
Sự kiện MAC EVENT phát sinh khi có sự thay đổi địa chỉ MAC
- Định dạng gói tin sự kiện mác bao gồm
10
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
• host-mac-event host="183.127.115.4" interface="eth1"
mac="0:4:23:80:fb:ha" vendor="Intel Corporation" date="2006-
03-17 11:30:09" sensor="163.117.131.11" plugin_id="1512"
plugin_sid="1" log="ip address: 163.117.155.2 interface: eth1
ethernet address: 0:4:23:88:fb:8a ethernet vendor: Intel
Corporation timestamp: Friday, March 17, 2006 11:30:09
+0100"
- Mô tả:
• Host-mac-event : Từ khóa xác định gói tin loại MAC EVENT
• host: IP của máy phát sinh event
• mac: địa chỉ MAC (dạng hexa)
• vendor: nhà sản xuất

• sensor: địa chỉ IP của sensor phát sinh event
• interface: giao diện mạng
• date: thời gian
• plugin_id: Mã Plugin (giá trị mặc định là 1512)
• log: nhật ký
• Các trường được dành riêng:
• userdata1: Bản sao của trường mac
• userdata2: Bản sao của trường vendor
III.5.3 Sự kiện hệ điều hành
Thông báo sự thay đổi trong hệ điều hành
- Định dạng biểu diễn:
• host-os-event host="192.168.1.81" os="Windows" date="2006-
12-23 22:56:13" sensor="192.168.1.10" plugin_id="1511"
plugin_sid="1" log="Windows XP" interface="eth1"
- Mô tả:
• Host-os-event : Từ khóa xác định gói tin loại OS Event
• host: IP của máy phát sinh event
• os: tên hệ điều hành (Windows, Linux )
11
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
• sensor: địa chỉ IP của sensor phát sinh event
• interface: giao diện mạng
• date: thời gian
• plugin_id: Mã Plugin (giá trị mặc định là 1512)
• log: nhật ký
• Các trường được dành riêng:
• userdata1: bản sao của trường os
III.5.4 Sự kiện dịch vụ (Service event)
Lưu lại thông tin các máy tính trong mạng, khi các ứng dụng được chạy,
hoặc các cổng được mở.

- Định dạng biểu diễn:
• host-service-event host="192.168.1.77" sensor="192.168.1.10"
interface="eth1" port="80" protocol="6" service="www"
application="CCO/4.0.3 (Unix) tomcat" date="2006-03-27
07:59:54" plugin_id="1516" plugin_sid="1"
log="blablablablabla"
- Mô tả:
• host: IP của máy phát sinh event
• sensor: địa chỉ IP của sensor phát sinh event
• interface: giao diện mạng
• port: Cổng được mở trong máy host
• protocol: một trong các giao thức TCP, UDP hoặc ICMP
• service: Tên loại dịch vụ ở cổng được nêu trong port (www,
http )
• application: Tên ứng dụng thực thi dịch vụ
• date: thời gian phát sinh event
• plugin_id: Thường là 1516
• plugin_sid: Do OSSIM server gán giá trị
• log: nhật ký
12
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
• Các trường được dành riêng:
• userdata1: Bản sao của trường application
• userdata2: Bản sao của trường service
IV. Phân tích yêu cầu hệ thống giám sát ATM
Thiết kế tổng thể hệ thống giám sát ATM bao gồm năm thành phần chính
sau đây:
- Hệ thống tiếp nhận thông tin an toàn mạng – SIGS:
Phân hệ thu thập thông tin an toàn mạng tự động SIGS bao gồm hai thành
phần chính đóng vai trò tiếp nhận hai loại thông báo sự cố với đặc tính

khác nhau, bao gồm:
+ Phân hệ thu thập thông tin an toàn mạng tự động (NSIAR) có chức năng
tiếp nhận thông tin an toàn mạng từ các phần mềm thu thập thông tin an
toàn mạng và sensor tự phát triển
+ Phân hệ thu thập thông tin từ các kênh thông báo (SAM) có chức năng
hỗ trợ tiếp nhận và xử lý các thông báo sự cố an toàn mạng
- Phân hệ các bộ cảm biến giám sát chuyên dụng
- Phân hệ phần mềm chuyên dụng thu thập thông tin
- Phần mềm thu thập thông tin từ các thiết bị bảo vệ mạng thương mại
- Phân hệ cơ sở dữ liệu và phần mềm xử lý thông tin trung tâm.
- Phân hệ hỗ trợ chỉ huy và điều hành ứng cứu sự cố.
13
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
14
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
V. Kiến trúc hệ thống tiếp nhận thông tin ATM SIGS
15
Sơ đồ cấu trúc chung của hệ thống
S
A
M
S
Các thiết bị bảo
mật TM
S
I
G

G
A

T
E
N
S
I
A
R

M
O
D
U
L
E
B
u
s
i
n
e
s
s

C
o
n
t
r
o
l


G
a
t
e
GATEWAY
ANTIVIRUS
IDS/IPS
SENSOR
FIREWALL
SENSOR
SENSOR
Các Sensor
chuyên dụng
SIPS
SIGS
Sơ đồ kiến trúc tổng thể phân hệ SIGS
G
u
e
s
t
G
u
e
s
t
U
s
e

r
U
s
e
r
Các hệ thống
giám sát của
nước ngoài
CSDL
THÔNG
TIN
AN
TOÀN
MẠNG
P
M

T
T
T
T

A
N

T
O
À
N


M
Ạ
N
G
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
Hệ thống tiếp nhận thông tin an toàn mạng SIGS bao gồm hai thành phần
chính đóng vai trò tiếp nhận hai loại thông báo sự cố với đặc tính khác nhau, bao
gồm:
+ Phân hệ thu thập thông tin an toàn mạng tự động (NSIAR) có chức năng
tiếp nhận thông tin an toàn mạng từ các phần mềm thu thập thông tin an
toàn mạng và sensor tự phát triển.
+ Phân hệ thu thập thông tin từ các kênh thông báo (SAM) có chức năng
hỗ trợ tiếp nhận và xử lý các thông báo sự cố an toàn mạng. Phân hệ này
bao gồm hai module:
* Cổng tiếp nhận thông báo sự cố an toàn mạng từ người sử dụng.
* Module hỗ trợ xử lý các thông báo sự cố an toàn mạng – BGC
V.1 Thiết kế phân hệ thu thập TT ATM tự động – NSIAR
V.1.1 Phân tích yêu cầu
V.1.1.1 Yêu cầu chung
Phân hệ NSIAR có nhiệm vụ chính là tự động thu thập các sự kiện an toàn
mạng do mạng lưới sensor và phần mềm thu thập an toàn mạng cung cấp để lưu
trữ vào cơ sở dữ liệu để phục vụ cho hoạt động nghiệp vụ giám sát, phân tích và
xử lý các sự cố an toàn mạng. NSIAR cũng phải cho phép khả năng mở rộng
trong tương lai để có thể tiếp nhận các sự kiện an toàn mạng từ các nguồn cung
cấp khác nhau như: các sản phẩm bảo vệ an toàn mạng thương mại, mã nguồn
mở; các hệ thống giám sát an toàn trong và ngoài nước v.v
Về mặt quản lý và điều khiển, NSIAR không có giao diện quản lý riêng,
đây là một dịch vụ nền, cần được thiết kế để dễ dàng tích hợp với hệ thống SIPS
để tiếp nhận các lệnh điều khiển đồng thời không làm ảnh hưởng hoạt động tới
các dịch vụ khác trên cùng hệ thống.

NSIAR phải đáp ứng khả năng kết nối được tới trên 50 sensor với khả năng
tiếp nhận 100.000 sự kiện an toàn mạng mỗi ngày.
V.1.1.2 Môi trường phát triển
Hệ thồng được phát triển trên môi trường mã nguồn mở, cụ thể như sau:
16
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
- Hệ điều hành: Linux Kernel version 2.6.32
- Hệ quản trị cơ sở dữ liệu : MySQL Version 5.1.41
- Ngôn ngữ lập trình : C
- Nền tảng phát triển ứng dụng : Glib & GTK+
V.1.1.3 Dữ liệu đầu vào
Dữ liệu đầu vào của phân hệ NSIAT bao gồm:
- Yêu cầu thiết lập kênh kết nối từ sensor và phần mềm thu thập thông tin
an toàn mạng gửi tới NSIAR
- Sự kiện an toàn mạng từ sensor và phần mềm thu thập thông tin an toàn
mạng gửi tới NSIAR
- Các lệnh điều khiển từ SIPS gửi tới NSIAR,
V.1.1.4 Dữ liệu đầu ra
Dữ liệu đầu ra của hệ thống bao gồm:
- Các sự kiện an toàn mạng được lưu trữ vào cơ sở dữ liệu
- Các lệnh điều khiển gửi tới sensor.
V.1.1.5 Các tác nhân của hệ thống
Tác nhân liên quan đến phân hệ NSIAR bao gồm:
- Các sensor chuyên dụng: cung cấp sự kiện an toàn mạng phát hiện được
cho NSIAR.
- Các phần mềm thu thập thông tin an toàn mạng: Cung cấp các sự kiện an
toàn mạng thu thập từ các sản phẩm đảm bảo an toàn mạng thương mại
như IDS, Antivirus và Firewall.
- Một số thiết bị an toàn mạng khác: NSIAR có khả năng tiếp nhận trực tiếp
thông tin an toàn mạng từ một số loại thiết bị/ phần mềm an toàn mạng.

- Phân hệ xử lý thông tin theo dõi- thống kê - cảnh báo và điều khiển
(SIPS) : Có chức năng điều khiển hoạt động của NSIAR như:
 Bật và tắt hoạt động của NSIAR
17
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
 Cập nhật danh mục sensor cung cấp sự kiện an toàn mạng
- Cở sở dữ liệu an toàn mạng : Lưu trữ các sự kiện an toàn mạng do NSIAR
tiếp nhận được và cung cấp cho NSIAR các thông tin liên quan đến quản
lý hoạt động.
V.1.1.6 Yêu cầu về chức năng
Hệ thống NSIAR cần đáp ứng các yêu cầu chức năng sau đây:
- Tiếp nhận thông tin an toàn mạng từ các nguồn tự động:
o Kết nối với ba loại thiết bị sensor là sản phẩm của đề tài để tiếp
nhận thông tin an toàn mạng.
o Kết nối với phần mềm thu thập thông tin an toàn mạng từ các
thiết bị thương mại.
o Có khả năng mở rộng để tiếp nhận các thông tin ATM từ các
nguồn cung cấp tự động khác.
- Kiểm tra xác thực nguồn cung cấp thông tin
- Phân tích, giải mã và lưu trữ dữ liệu vào cơ sở dữ liệu chung phục vụ
cho công tác giám sát, phát hiện và xử lý các sự cố an toàn mạng.
Có thể kết nối với 50 nguồn thông tin hay sensor tại nút mạng cấp quốc gia
và 500 nguồn thông tin từ mạng người dùng, xử lý khoảng 100.000 bản ghi mỗi
ngày. Tốc độ xử lý đáp ứng dung lượng tương đương.
Hệ thống phải được trang bị các chức năng đảm bảo an toàn để hạn chế
được các rủi ro an toàn thông tin có thể xảy ra như: quản lý an toàn truy cập,
phát hiện tấn công v.v…
V.1.2 Thiết kế phân hệ phần mềm NSIAR
V.1.2.1 Cơ chế hoạt động
Về cơ chế hoạt động NSIAR được xây dựng hoạt động như một dịch vụ hoạt

động ở chế độ background trên hệ điều hành Linux. Dữ liệu đầu vào và các lệnh
điều khiển được gửi tới NSIAR thông qua cổng TCP. Với cơ chế hoạt động như
trên, NSIAR hoạt động hoàn toàn độc lập với hệ thống SIPS giảm thiểu các tác
động bất lợi giữa các hệ thống.
18
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
V.1.2.2 Phân loại thông tin đầu vào
Nguồn cung cấp thông tin an toàn mạng được phân làm hai loại:
- Loại sensor chủ động gửi thông tin tới NSIAR – Detector, các sensor
detector sẽ chủ động gửi thông báo sự kiện an toàn mạng tới NSIAR khi
phát hiện ra vấn đề. Điển hình loại sensor này có thể kể đến như Snort,
Ntop, ISS Proventia v.v….
- Loại chỉ gửi thông tin khi có yêu cầu từ NSIAR – Monitor, các sensor loại
này sẽ không chủ động gửi các thông báo sự kiện an toàn mạng tới
NSIAR. Khi NSIAR cần có thông tin an toàn mạng từ các sensor này sẽ
gửi các lệnh yêu cầu cung cấp thông tin tới Sensor và sensor sẽ tiến hành
các hoạt động để thu thập thông tin an toàn mạng theo yêu cầu của
NSIAR sau đó gửi lại NSIAR. Điển hình loại Sensor Monitor có thể kể
đến như các sensor sử dụng phần mềm nmap, phần mềm nessus v.v…
Các sensor này sẽ thực hiện quét và kiểm tra một đối tượng nào đó theo
các lệnh được gửi từ NSIAR tới và sau đó thu thập và phân tích kết quả để
gửi thông báo tới NSIAR.
Với giai đoạn hiện nay, đề tài tập trung vào việc sử dụng các nguồn cung cấp
thông tin loại Detector. Tuy nhiên thiết kế hệ thống hoàn toàn có thể đáp ứng
khả năng triển khai việc thu thập thông tin an toàn mạng từ các sensor loại
Monitor.
Sự kiện an toàn mạng được chia làm bốn loại cơ bản sau:
- Sự kiện an toàn mạng được chuẩn hóa: Sự kiện này do các phần mềm
thu thập thông tin an toàn mạng cung cấp, dữ liệu sau khi được truyền từ
các thiết bị an toàn mạng thương mại tới phần mềm thu thập thông tin an

toàn mạng sẽ được chuẩn hóa và chuyển tới hệ thu thập thông tin an toàn
mạng trung tâm NSIAR. Sự kiện này bao gồm các thông tin sau về sự
kiên ATM: Kiểu nguồn phát hiện sự kiện (Detector hoặc monitor); Thời
gian; IP của sensor phát hiện; giao diện mạng; Mã của Plugin ; Mã của
19
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
Sub-Plugin; Mức độ ưu tiên; Giao thức; địa chỉ IP nguồn, cổng nguồn, địa
chỉ IP đích, cổng đích liên quan đến sự kiện; Log; dữ liệu; mật khẩu mã
hóa, file dữ liệu liên quan; 9 trường dữ liệu dự phòng, được định nghĩa
trong các plugin.
Bảng dưới đây mô tả chi tiết các trường nội dung sự kiện an toàn mạng:
Trường dữ liệu Kiểu DL NULL Mô tả
id bigint(20) No Mã sự cố
timestamp timestamp No Thời gian
sensor text No Tên sensor
interface text No Giao diện
type int(11) No Kiểu Sensor
plugin_id int(11) No Mã plugin
plugin_sid int(11) No Mã sub-plugin
plugin_sid_name varchar(255) Yes Tên Sub-Plugin
protocol int(11) Yes Giao thức
src_ip int(10) Yes Địa chỉ IP Nguồn
dst_ip int(10) Yes Địa chỉ đích
src_port int(11) Yes Cổng nguồn
dst_port int(11) Yes Cổng đích
priority int(11) Yes Mức ưu tiên
reliability int(11) Yes Độ tin cậy
filename varchar(255) Yes Tệp tin liên quan
userdata1 varchar(255) Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết

20
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
nối
userdata2 varchar(255) Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata3 varchar(255) Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata4 varchar(255) Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata5 varchar(255) Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata6 text Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata7 text Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata8 text Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata9 text Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
- Sự kiện OS: Sự kiện liên quan đến sự thay đổi bất bình thường của hệ
điều hành, thông thường do các sản phẩm như Pof (Operationg System
21

NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
anomaly detection) phát hiện ra. Sự kiện OS bao gồm các thông tin cơ
bản: host, hệ điều hành, sensor, cổng mạng và thời gian.
- Sự kiện MAC: Sự kiện an toàn mạng liên quan đến địa chỉ mac thường
dựa thu thập từ các phần mềm giám sát arpwatch hoặc hệ thống pads. Các
sự kiện này có vai trò quan trọng trong phát hiện các tấn công sử dụng kỹ
thuật arpwatch poisioning. Sự kiện Mac bao gồm các thông tin cơ bản:
host, địa chỉ mac, hãng cung cấp, sensor, cổng mạng và thời gian.
- Sự kiện Service: Sự kiện liên quan đến việc cập nhật thông tin về các
cổng dịch vụ trên các thiết bị được sử dụng. Sự kiện Service bao gồm các
thông tin cơ bản: host, sensor, cổng mạng, cổng dịch vụ, giao thức, dịch
vụ, ứng dụng và thời gian.
V.1.2.3 Phân tích dữ liệu an toàn mạng
Dữ liệu an toàn mạng được các sensor và phần mềm thu thập thông tin an
toàn mạng gửi tới NSIAR thông qua các định dạng chuẩn được mô tả chi tiết
trong giao thức trao đổi thông tin an toàn mạng. Với Sensor khác nhau, thì tại
NSIAR sẽ hỗ trợ các cơ chế khác nhau để phân tích gói tin tiếp nhận được thành
các thông tin cụ thể có thể lưu trữ vào cơ sở dữ liệu.
V.1.2.4 Kiến trúc
Kiến trúc của phân hệ NSIAR bao gồm 4 module, cung cấp bốn nhóm chức
năng tương ứng sau đây:
- Module tiếp nhận thông tin – NSAIR-R Module
Quản lý việc xác thực các nguồn cung cấp thông tin và trao đổi thông tin.
- Module phân tích thông tin an toàn mạng – NSAIR-A Module
Phân tích các thông tin thu được để xác định các thông tin an toàn mạng
do các nguồn cung cấp khác nhau cung cấp.
- Module tương tác với CSDL – NSAIR-DI Module
22
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
Cung cấp các chức năng tương tác với cơ sở dữ liệu chung của hệ thống

NSIAR, trong đó bao gồm hai chức năng chính là truy xuất và cập nhật /
lưu trữ dữ liệu vào CSDL.
- Module điều khiển hoạt động – NSAIR-C Module
Tiếp nhận các lệnh điều khiển từ các phân hệ khác, kiểm tra và tạo các
lệnh điều khiển nội bộ cần thiết tới các module khác trong nội bộ NSAIR-
C.
V.1.2.5 Lược đồ luồng dữ liệu
Luồng xử lý thông tin của NSIAR bao gồm bốn bước chính:
- Tiếp nhận và lọc các thông tin do các sensor và phần mềm an toàn mạng
thương mại theo các chuẩn cung cấp khác nhau mà hệ thống hỗ trợ. Chức
năng này do mô đun SIR thực hiện
23
NSAIR-R
1. Tiếp nhận
NSAIR-A
2. Phân tích
Gói tin ATM
NSAIR-C
4. Điều khiển
NSAIR-DI
3.1 Lưu trữ
CƠ
SỞ
DỮ
LIỆ
U
Nguồn
thông tin
Lệnh điều
khiển

Gói tin
ATM
Thông tin
ATM
Configuration Files
Lược đồ luồng dữ liệu của NSIAR
Thông tin
ATM
Danh mục Sensor/ PM thu thập
NSAIR-DI
3.2 Truy xuất
Lệnh điều khiển
SENSOR Phần mềm TTTT ATM FIREWALL
IDS / IPS
ANTIVIRS
SIPS
SENSOR
PHÂN HỆ NSIAR
Lệnh điều
khiển
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
- Phân tích các gói tin ATM nhận được theo các định dạng đã có và trích ra
các thông tin ATM, các gói tin không phân tích được sẽ bị loại bỏ.
- Lưu trữ các thông tin ATM sau khi phân tích vào CSDL lưu trữ.
- Quản trị toàn bộ hoạt động của module NSIAR bao gồm việc: quản lý
danh sách các sensor và phần mềm cung cấp thông tin ATM, cấu hình các
định dạng gói tin cung cấp thông tin ATM, thông tin về CSDL và các
thông tin khác.
- Configuration files: các tệp tin chứa nội dung cấu hình hoạt động cho toàn
bộ thành phần NSIAR.

- Cơ sở dữ liệu là cơ sở dữ liệu lưu trữ thông tin chung của toàn bộ hệ
thống SIGS.
V.1.2.5.1Module tiếp nhận thông tin – NSAIR-R Module
Module tiếp nhận thông tin ATM có tên viết tắt là NSAIR-R module có chức
năng tạo cổng chờ, tiếp nhận và cập nhật tình hình hoạt động của các nguồn
cung cấp thông tin an toàn mạng cho phân hệ NSAIR.
NSAIR-R Module bao gồm các trường hợp sử dụng chính sau đây:
- Khởi động dịch vụ tiếp nhận thông tin ATM
- Khởi động lại dịch vụ tiếp nhận thông tin ATM
- Đóng cổng tiếp nhận
- Xác thực kênh kết nối
- Tạo kênh trao đổi thông tin
- Đóng kênh trao đổi thông tin
V.1.2.5.2Module phân tích thông tin – NSAIR-A Module
Module NSAIR-A có chức năng phân tích các thông tin thu nhận được để
trích ra các thông tin về an toàn mạng theo các định dạng chuẩn đã được quy
định theo các lược đồ trong cơ sở dữ liệu. Với mỗi định dạng truyền tin khác
nhau, thì hệ thống NSAIR-A sẽ có một lược đồ phân tích tương ứng phù hợp,
với cơ chế quản lý linh động này thì khi định dạng truyền tinh với sensor
hoặc các phần mềm thu thập thông tin ATM được nâng cấp, thay đổi thì
NSAIR-A không phải thay đổi nhiều mà chỉ cần bổ sung lược đồ phân tích
thông tin mới, tương tự như vậy NSAIR-A cũng có thể phân tích cả các gói
24
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
tin do các phần mềm / thiết bị ATM thương mại khác được trực tiếp gửi đến
SIGS hoặc NSAIR-C nếu có được lược đồ định dạng thông tin truyền.
NSAIR-A bao gồm các trường hợp sử dụng cơ bản sau đây:
- Cập nhật lược đồ phân tích thông tin
- Phân tích thông tin.
V.1.2.5.3Module tương tác cơ sở dữ liệu – NSAIR-DI Module

Module NSAIR-DI có chức năng thực hiện tương tác với hệ thống CSDL
chung của SIGS để truy xuất và lưu trữ dữ liệu, hỗ trợ hoạt động cho các module
xử lý nghiệp vụ khác trong phân hệ NSAIR.
NSAIR-DI có hai chức năng chính:
- Tiếp nhận các yêu cầu truy xuất và lưu trữ dữ liệu từ các module khác
trong phân hệ NSAIR-DI
- Truy xuất dữ liệu từ CSDL
- Lưu dữ liệu vào CSDL
- Gửi thông tin phản hồi đến các yêu cầu truy xuất dữ liệu từ các module
khác trong phân hệ NSAIR-DI.
V.1.2.5.4Module điều khiển hoạt động – NSAIR-C Module
Hoạt động phân hệ NSAIR bao gồm các dịch vụ nội bộ hoạt động chế độ
nền, không hỗ trợ giao diện điều khiển trực tiếp cho người sử dụng tới các dịch
vụ nội bộ kể trên. Thông qua hệ thống giao diện của SIPS, người sử dụng có thể
gửi một số lệnh điều khiển tới các dịch vụ của NSAIR như lệnh khởi động, khởi
động lại dịch vụ tiếp nhận thông tin; thay đổi các dịch vụ phân tích thông tin;
sửa đổi, cập nhật danh mục các nguồn cung cấp thông tin v.v… Các lệnh điều
khiển không được SIPS gửi trực tiếp đến các dịch vụ thi thành của NSAIR như
NSAIR-A hay NSAIR-R mà được thực thi thông qua module điều khiển
NSAIR-C. Module này có chức năng tiếp nhận các lệnh điều khiển từ SIPS sau
đó chuyển tới các module xử lý tác vụ phù hợp. Với thiết kế này, hệ thống SIPS
hoàn toàn độc lập và không bị ảnh hưởng khi SIGS có các thay đổi trong nội bộ.
Các trường hợp sử dụng chính của NSAIR-C bao gồm:
- Cập nhật danh sách các nguồn cung cấp thông tin ATM
- Mở và tắt các dịch vụ giải mã thông tin ATM
25