ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN THỊ THU HẰNG
NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG
HỆ THỐNG GIÁM SÁT AN NINH MẠNG
LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN
1
Hà Nội
- 2015
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN THỊ THU HẰNG
NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG
HỆ THỐNG GIÁM SÁT AN NINH MẠNG
Ngành: Công nghệ Thông tin
Chuyên ngành: Hệ thống Thông tin
Mã số: 60.48.01.04
LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN
NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. NGUYỄN NGỌC HÓA
Hà Nội - 2015
2
LỜI CẢM ƠN
Luận văn Thạc sĩ này đƣợc thực hiện tại Đại học Công nghệ - Đại học Quốc
gia Hà Nội dƣới sự hƣớng dẫn của TS. Nguyễn Ngọc Hóa. Xin đƣợc gửi lời cảm ơn
sâu sắc đến thầy Nguyễn Ngọc Hóa về những ý kiến quý báu liên quan đến các định
hƣớng khoa học, liên tục quan tâm, tạo điều kiện thuận lợi cho tôi trong suốt quá
trình nghiên cứu hoàn thành luận văn này. Tôi xin đƣợc gửi lời cảm ơn đến các thầy,
cô trong Bộ môn Hệ thống Thông tin cũng nhƣ Khoa Công nghệ Thông tin đã mang
lại cho tôi những kiến thức vô cùng quý giá và bổ ích trong quá trình theo học tại
trƣờng.
Tôi xin gửi lời cảm ơn tới các đồng chí lãnh đạo đơn vị nơi tôi công tác đã tạo
điều kiện và thời gian để tôi có thể hoàn thành chƣơng trình học của mình. Bên cạnh
đó tôi xin gửi lời cám ơn tới các đồng nghiệp trong Ban cơ yếu Chính phủ đã tạo điều
kiện và giúp đỡ tôi hoàn thành khóa luận này một cách tốt nhất.
Cuối cùng tôi cũng xin chân thành cảm ơn đến các học viên cao học khóa K19,
K20, K21 đã giúp đỡ tôi trong suốt thời gian học tập.
Do thời gian và kiến thức có hạn nên luận văn chắc không tránh khỏi những
thiếu sót nhất định. Tôi rất mong nhận đƣợc những sự góp ý quý báu của thầy cô và
các bạn.
Hà Nội, ngày 1 tháng 10 năm 2015
Nguyễn Thị Thu Hằng
i
TÓM TẮT
Ngày nay với sự phát triển mạnh mẽ của Internet đã làm tăng nguy cơ mất an
toàn và rò rỉ thông tin. Để hạn chế đƣợc vấn đề này mỗi hệ thống mạng cần có những
biện pháp cụ thể để có thể kiểm soát đƣợc tình trạng hiện tại của hệ thống và có những
biện pháp đối phó cụ thể khi có tấn công xảy ra. Vậy vấn đề đặt ra ở đây đó là ngƣời
quản trị hệ thống cần có một cái nhìn tổng quát về bức tranh của hệ thống mạng dựa
trên việc thu thập dữ liệu vào ra trong hệ thống từ các thiết bị, dịch vụ và ứng dụng
đang đƣợc sử dụng trong chính hệ thống đó chẳng hạn nhƣ: Mail Server, Firewall, IDS
(Intrusion Detection System), IPS (Intrusion Prevention System), Anti-Virus,….
Những dữ liệu này sau đó sẽ đƣợc phân tích đối chiếu với những dấu hiệu, hoặc tập
luật có sẵn để đánh giá và đƣa ra các cảnh báo chính xác tới ngƣời quản trị hệ thống.
Tuy nhiên, số lƣợng nhật ký hệ thống từ các thiết bị, dịch vụ hoặc ứng dụng
trong hệ thống là tƣơng đối lớn với nhiều định dạng khác nhau. Ngoài ra, do khối
lƣợng nhật ký hệ thống thu đƣợc quá lớn nên một số thông tin cảnh báo quan trọng có
thể bị bỏ qua dẫn đến sự cố gây mất an toàn thông tin khi không đƣợc cảnh báo và xử
lý kịp thời. Do đó, cần có một hệ thống để có thể quản lý, tổ chức, theo dõi những
hiểm họa gây mất an toàn thông tin có thể xảy ra với hệ thống, từ đó đƣa ra các biện
pháp đối phó, ngăn chặn nhằm làm giảm các thiệt hại xuống mức thấp nhất có thể.
Một hệ thống nhƣ vậy đƣợc gọi là hệ thống giám sát an ninh mạng.
Hệ thống giám sát an ninh mạng (GSANM) thực hiện thu thập, quản lý, và phân
tích các sự kiện an ninh, sau đó so sánh với các dấu hiệu và tập luật có sẵn nhằm đƣa
ra các đánh giá cảnh báo cho ngƣời quản trị hệ thống. Tuy nhiên, việc cập nhật các tập
luật này một cách thƣờng xuyên là một việc làm vô cùng cần thiết, bên cạnh đó việc
bổ sung các định dạng dữ liệu nhật ký mới chƣa có cho hệ thống cũng rất quan trọng,
nhằm nâng cao hiệu quả cho hệ thống GSANM. Do vậy, luận văn này hƣớng tới mục
tiêu chính là nghiên cứu cải tiến tập luật trong hệ thống giám sát an ninh mạng để đƣa
ra các cảnh báo tấn công.
Trong luận văn này tôi đã tiến hành (i) khảo sát thực tế tập luật hiện có trong hệ
thống giám sát tại Ban Cơ yếu Chính phủ; từ đó (ii) tiến hành đề xuất mô hình cải tiến
tập luật đã có; và (iii) thử nghiệm mô hình đề xuất cải tiến tập luật với định hƣớng
nâng cao hiệu quả trong khả năng giám sát hệ thống mạng cũng nhƣ đƣa ra các cảnh
báo chính xác tới ngƣời quản trị hệ thống.
Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and
Event Management).
ii
LỜI CAM ĐOAN
Tôi xin cam đoan luận văn “Nghiên cứu cải tiến tập luật trong hệ thống
giám sát an ninh mạng” là công trình nghiên cứu của cá nhân tôi dƣới sự hƣớng dẫn
của TS. Nguyễn Ngọc Hóa, trung thực và không sao chép của tác giả khác. Trong toàn
bộ nội dung nghiên cứu của luận văn, các vấn đề đƣợc trình bày đều là những tìm hiểu
và nghiên cứu của chính cá nhân tôi hoặc là đƣợc trích dẫn từ các nguồn tài liệu có ghi
tham khảo rõ ràng, hợp pháp.
Tôi xin chịu mọi trách nhiệm và mọi hình thức kỷ luật theo quy định cho lời
cam đoan này.
Hà Nội, ngày 1 tháng 10 năm 2015
Nguyễn Thị Thu Hằng
iii
MỤC LỤC
LỜI CẢM ƠN .................................................................................................................. i
TÓM TẮT...................................................................................................................... ii
LỜI CAM ĐOAN .......................................................................................................... iii
MỤC LỤC ..................................................................................................................... iv
DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT ..................................................... vi
DANH MỤC BẢNG .......................................................................................................x
MỞ ĐẦU .........................................................................................................................1
CHƢƠNG I: KHẢO SÁT, ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT AN NINH MẠNG .3
1.1
Tình hình chung .................................................................................................3
1.1.1
Tình hình giám sát an ninh mạng tại một số nƣớc trên thế giới .................3
1.1.2
Tình hình giám sát an ninh mạng tại Việt Nam ..........................................4
1.2
Hệ thống GSANM đang đƣợc triển khai hiện tại ..............................................5
1.2.1
Giới thiệu về hệ thống GSANM .................................................................5
1.2.2
Các thành phần chức năng của hệ thống GSANM .....................................7
1.2.3
Mô hình của hệ thống GSANM ..................................................................9
1.3
Giao diện quản lý của hệ thống GSANM ........................................................11
CHƢƠNG II: NGHIÊN CỨU MỘT SỐ DẠNG TẤN CÔNG PHỔ BIẾN VÀO ỨNG
DỤNG WEB ..................................................................................................................16
2.1
Các kỹ thuật tấn công phổ biến vào ứng dụng Web ........................................16
2.1.1
Kỹ thuật tấn công Tiêm mã SQL ..............................................................16
2.1.2
Kỹ thuật tấn công XSS ..............................................................................22
2.1.3
Kỹ thuật tấn công Tràn bộ đệm .................................................................31
2.2
Các kỹ thuật tấn công vƣợt qua Tƣờng lửa ứng dụng web ..............................34
2.2.1
Tƣờng lửa ứng dụng web là gì? ................................................................34
2.2.2 Một số phƣơng pháp tấn công vƣợt các thiết bị Tƣờng lửa ứng dụng
web…………………………………………………………………………...35
CHƢƠNG III: PHƢƠNG PHÁP TRÍCH XUẤT CÁC TRƢỜNG THÔNG TIN
QUAN TRỌNG TỪ NHẬT KÝ HỆ THỐNG ..............................................................39
3.1
Yêu cầu thực tiễn .............................................................................................39
3.2 Giải pháp trích xuất các trƣờng thông tin quan trọng từ nhật ký hệ thống hệ
thống………………………………………………………………………………...40
3.2.1
Mô hình chung ..........................................................................................40
3.2.2
Các bƣớc thực hiện....................................................................................40
iv
CHƢƠNG IV: XÂY DỰNG TẬP LUẬT CẢNH BÁO TẤN CÔNG CHO HỆ
THỐNG GIÁM SÁT AN NINH MẠNG VÀ TRIỂN KHAI THỬ NGHIỆM .............52
4.1
Thực trạng hệ thống GSANM tại Ban Cơ yếu Chính phủ ...............................52
4.2
Các luật sẽ bổ sung vào hệ thống GSANM .....................................................53
4.3
Các bƣớc tạo luật cho hệ thống GSANM ........................................................55
4.4
Thực nghiệm triển khai hệ thống GSANM tại TTCNTT&GSANM...............62
4.4.1
Mô hình thực nghiệm ................................................................................62
4.4.2
Thu thập nhật ký hệ thống .........................................................................63
4.5
Kết quả thực nghiệm ........................................................................................64
KẾT LUẬN CHUNG ....................................................................................................69
TÀI LIỆU THAM KHẢO .............................................................................................70
v
DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT
API
DOM
Application Programming Interface
Document Object Model
EC
Event Collecter
EP
Event Processor
FC
Flow Collector
FP
Flow Processor
GSANM
Giám sát an ninh mạng
HTML
Hyper Text Markup Language
HTTP
Hyper Text Transfer Protocol
HTTPS
Hyper Text Transfer Protocol Secure
IBM
International Business Machine
IDS
Instrusion Detection System
IIS
Internet Information Service
IPS
Instrusion Prevention System
OSI
Open Systems Interconnection
Regex
Regular Expression
SIEM
Security Information and Event Management
SQL
Structured Query Language
SSH
Secure Shell
TTCNTT & GSANM Trung tâm Công nghệ Thông tin & Giám sát an ninh mạng
vi
URL
Unifrom Resource Locator
VPN
Virtual Private Network
W3C
World Wide Web Consortium
WAF
Tƣờng lửa ứng dụng web
XML
Extensible Markup Language
XSS
Cross-site Scripting
vii
DANH MỤC HÌNH VẼ
Hình 1.1: Các thành phần của hệ thống GSANM ...........................................................8
Hình 1.2: Mô hình hệ thống GSANM phân tán ..............................................................9
Hình 1.3: Mô hình hệ thống GSANM độc lập ..............................................................11
Hình 1.4: Tap Dashboard...............................................................................................11
Hình 1.5: Tap Offenses ..................................................................................................12
Hình 1.6: Tap Log Activity ...........................................................................................12
Hình 1.7: Network Activity ...........................................................................................13
Hình 1.8: Tap Asset .......................................................................................................13
Hình 1.9: Tap Report .....................................................................................................14
Hình 1.10: Tab Admin ...................................................................................................14
Hình 2.1: Ví dụ về một trang Web mua sắm trực tuyến................................................23
Hình 2.2: Minh họa trang web có lỗi XSS ....................................................................24
Hình 2.3: Thông điệp lỗi tự động đƣợc tạo ra ...............................................................25
Hình 2.4: Các bƣớc thực hiên tấn công Reflected XSS ................................................26
Hình 2.5: Các bƣớc thực hiện Stored XSS ....................................................................28
Hình 2.6: Các bƣớc thực hiện tấn công DOM-Based XSS ...........................................31
Hình 2.7: Ví dụ mô tả tràn bộ đệm Heap ......................................................................34
Hình 3.1: Mô hình trích xuất các trƣờng thông tin quan trọng từ nhật ký hệ thống .....40
Hình 3.2: Giao diện của Adaptive Log Exporter ...........................................................41
Hình 3.3: Định dạng mẫu chung của log .......................................................................45
Hình 3.4: Kết quả thực hiện cú pháp tìm tên sự kiện FTP ............................................47
Hình 3.5: Kết quả thực hiện cú pháp tìm địa chỉ IP nguồn ...........................................47
Hình 3.6: Xác định tên sự kiện ......................................................................................48
Hình 3.7: Xác định các thông tin cụ thể khác cho nhật ký hệ thống .............................49
Hình 3.9: Log mới đã đƣợc định dạng...........................................................................50
Hình 3.10: Thêm định dạng mới vào hệ thống GSANM ..............................................50
Hình 4.1: Các luật hiện có trong hệ thống .....................................................................52
Hình 4.2: Các tập luật có sẵn của hệ thống GSANM ....................................................53
Hình 4.3: Xác định lƣu lƣợng của các thiết bị, và toàn bộ lƣu lƣợng mạng của hệ thống
từng phút ........................................................................................................................54
Hình 4.4: Các bƣớc cải tiến tập luật cho hệ thống ........................................................55
Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0 ...........................................56
Hình 4.6: Cấu hình thu thập nhật ký hệ thống trên hệ thống GSNAM .........................57
viii
Hình 4.7: Nhật ký hệ thống đƣợc hiển thị theo thời gian thực ......................................57
Hình 4.8: Các thông số khác của nhật ký hệ thống .......................................................58
Hình 4.9: Khai báo máy chủ vào phần Web Server ......................................................58
Hình 4.10: Phân thích payload thu đƣợc và xác đinh dấu hiệu tấn công ......................59
Hình 4.11: Các bƣớc tạo luật .........................................................................................60
Hình 4.12: Xác định các tham số cho luật .....................................................................60
Hình 4.13: Định lƣợng mức độ rủi ro của luật và các tham số khác .............................61
Hình 4.14: Kết thúc quá trình tạo luật ...........................................................................61
Hình 4.15: Mô hình thực nghiệm ..................................................................................62
Hình 4.16: Nhật ký hệ thống thu thập đƣợc từ máy chủ web........................................63
Hình 4.17: Payload đƣợc hệ thống GSANM thu thập đƣợc..........................................64
Hình 4.19: Các tập luật đƣợc đƣa vào hệ thống GSANM .............................................65
Hình 4.20: Cảnh báo hiện tƣợng bất thƣờng và các tấn công vào hệ thống mạng đang
đƣợc giám sát .................................................................................................................65
Hình 4.21: Các cảnh báo tấn công khác mà hệ thống GSANM thu đƣợc .....................66
Hình 4.22: Nhật ký hệ thống các cảnh báo thu đƣợc ....................................................66
Hình 4.23: Hệ thống đƣa ra cảnh báo tấn công LFI ......................................................67
Hình 4.24: Hệ thống đƣa ra các cảnh báo các tấn công khác ........................................67
ix
DANH MỤC BẢNG
Bảng 3.1: Nhãn thông tin quan trọng ............................................................................46
Bảng 3.2: Cú pháp lọc cơ bản trong Regex ...................................................................48
Bảng 4.1: Bảng mô tả các tấn công ...............................................................................55
x
MỞ ĐẦU
Với sự phát triển mạnh mẽ của Internet và World Wide Web đã đặt ra nhiệm vụ
đảm bảo an toàn thông tin cho các hệ thống mạng của các cơ quan, tổ chức nhằm tránh
khỏi những hiểm họa mất an toàn thông tin trƣớc những tấn công mạng có thể xảy ra.
Để có thể làm việc này các cơ quan, tổ chức phải có một hệ thống giám sát an ninh
mạng đủ mạnh nhằm kiểm soát, thu thập toàn bộ lƣu lƣợng dữ liệu vào ra cho cả một
hệ thống mạng và đƣa ra những cảnh báo chính xác tới ngƣời quản trị hệ thống khi có
tấn công xảy ra.
Việc giám sát an ninh mạng hiện nay đã đƣợc các quốc gia trên thế giới vô cùng
quan tâm và nó có vai trò sống còn cho an ninh quốc gia. Trong đó, Mỹ là quốc gia đi
tiên phong cho lĩnh vực giám sát an ninh mạng trên toàn cầu. Ngoài ra, các quốc gia
láng giềng bên cạnh nƣớc ta nhƣ Hàn Quốc, Trung Quốc cũng xem đây là một nhiệm
vụ tối mật cho quốc phòng an ninh. Tại Việt Nam, trong những năm gần đây giám sát
an ninh mạng cũng đƣợc xem là một nhiệm vụ trọng yếu đƣợc các cơ quan cấp bộ,
ban, ngành vô cùng quan tâm và thực hiện công việc này một cách tích cực.
Tuy nhiên, để có thể thực hiện tốt đƣợc nhiệm vụ này đòi hỏi phải có một chính
sách giám sát an ninh mạng cả chiều rộng lẫn chiều sâu cộng với các thiết bị giám sát
an ninh mạng hiện đại. Một hệ thống giám sát an ninh mạng tốt cần phải thu thập đƣợc
tất cả các nhật ký vào ra của hệ thống, sau đó thực hiện phân tích những dữ liệu này,
và dựa trên những dấu hiệu hoặc tập luật sẵn có để đƣa ra cảnh bảo tới ngƣời quản trị
hệ thống.
Trên thực tế hệ thống giám sát an ninh mạng (GSANM) vẫn còn một số vấn đề
cần bổ sung nhƣ: không phải tất cả các nhật ký hệ thống gửi về đều đƣợc chuẩn hóa,
do vậy cần phải chọn lọc các trƣờng cần thiết để hiển thị thông tin có giá trị tới ngƣời
quản trị hệ thống. Bên cạnh đó hệ thống giám sát an ninh mạng vẫn phụ thuộc nhiều
vào các báo cáo từ các thiết bị an ninh, có nghĩa là đối với các nhật ký hệ thống không
phải là các cảnh báo thì hệ thống vẫn chƣa phân tích đƣợc do vậy cần tận dụng nguồn
nhật ký hệ thống này để bổ sung một số luật cơ bản cho hệ thống giám sát an ninh
mạng. Với thực trạng nêu trên, luận văn này hƣớng đến mục tiêu nghiên cứu cải tiến
tập luật và cách thức tạo các luật cơ bản từ các nguồn nhật ký hệ thống có sẵn cho hệ
thống giám sát an ninh mạng.
Trong luận văn này tôi nghiên cứu về hệ thống giám sát an ninh mạng hiện tại
đang đƣợc triển khai, nghiên cứu các kỹ thuật tấn công phổ biến vào ứng dụng Web,
nhằm đƣa ra các dấu hiệu tấn công để thiết kế tập luật phù hợp với từng hệ thống
mạng, nghiên cứu cách thức trích xuất các trƣờng thông tin quan trọng từ dữ liệu nhật
ký và xây dựng bổ sung cũng nhƣ chỉnh sửa các tập luật cho hệ thống GSANM. Cuối
cùng tôi tiến hành thực nghiệm triển khai hệ thống giám sát an ninh mạng tại đơn vị
1
Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (TTCNTT&GSANM) tại
Ban Cơ yếu Chính phủ để đánh giá hiệu quả của các tập luật đã đƣợc thiết kế.
2
CHƢƠNG I: KHẢO SÁT, ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT AN NINH
MẠNG
1.1 Tình hình chung
Thuật ngữ ―Giám sát an ninh mạng‖ (GSANM) không phải là mới nhƣng có lẽ
nó vẫn còn xa lạ hoặc chƣa đƣợc nhiều ngƣời biết đến. Trong những thập niên trở lại
đây, công nghệ thông tin phát triển một cách nhanh chóng, song song với các sáng tạo
công nghệ nhằm giúp con ngƣời phát triển thì luôn tồn tại nhiều mặt trái của nó. Các
vấn đề còn tồn tại chính là các hiểm họa mất cắp thông tin quan trọng liên quan đến
danh tiếng, tiền bạc, hoặc chỉ với mục đích giải trí,… do những kẻ tấn công thực hiện
thông qua môi trƣờng Internet.
Theo báo cáo thƣờng niên hàng năm về các hiểm họa an toàn Internet của hãng
Symantec trong năm 2013-2014 đã thống kê dựa trên dữ liệu địa lý của dạng tấn công
thông qua môi trƣờng Interner liên quan đến mã độc, spam zombie, phishing host, máy
tính nhiễm botnet, nguồn gốc tấn công mạng, nguồn gốc tấn công Web cho biết: Mỹ là
quốc gia đứng đầu với 20.7 % về các hoạt động tấn công liên quan đến mã độc. Tiếp
sau đó là Trung Quốc, Ấn Độ, và Việt Nam đứng thứ 9 trong bảng xếp hạng này với
2.4%. Cũng theo thống kê trên về các tấn công liên quan đến spam zombie thì Việt
Nam là quốc gia xếp đầu tiên với 10.1%, tiếp sau đó là các nƣớc nhƣ Hà Lan, Iran,
Nga, Đức,…. Liên quan đến các tấn công phishing host thì Mỹ là quốc gia xếp thứ
nhất với 46.6%, trong đó Trung Quốc là quốc gia đứng đầu tiên với 16.5% các máy
tính nhiễm botnet. Ngoài ra Mỹ là nƣớc đứng đầu với 21.1% các tấn công Web và
Trung Quốc lại là nƣớc đứng đầu với liên quan tới các tấn công mạng với 28.7%. [1]
1.1.1 Tình hình giám sát an ninh mạng tại một số nƣớc trên thế giới
Khi các hoạt động kinh tế, giáo dục, chính trị, quân sự hiện nay trên toàn thế
giới đều dựa vào hệ thống mạng và kết nối Internet thì nguy cơ dẫn đến cuộc chiến
tranh liên quan đến không gian mạng giữa các quốc gia đang dần đƣợc kích hoạt.
Nhận thấy những hiểm họa tiềm ẩn xuất phát từ Internet này mà các quốc gia trên thế
giới đã và đang thành lập các lực lƣợng phản ứng phòng chống và tác chiến mạng.
Trong đó Mỹ là quốc gia đã tập trung vào lĩnh vực an ninh mạng từ những năm
1990. Chịu trách nhiệm cho lĩnh vực này gồm có Bộ An ninh nội địa (Department of
Homeland Security), Cục điều tra liên bang FBI (Federal Bureau of Investigation), Bộ
Quốc phòng Mỹ (Department of Defense) và US Cyber Command. Bộ An ninh nội địa
có trách nhiệm chính trong việc bảo đảm an ninh trong nƣớc. Đơn vị National Cyber
Security Division của Bộ An ninh Nội địa đƣợc giao nhiệm vụ ―hợp tác làm việc với
các cơ quan nhà nƣớc, tƣ nhân và quốc tế để đảm bảo không gian mạng và quyền lợi
không gian mạng của nƣớc Mỹ‖. Đơn vị này cũng có một số chƣơng trình để bảo vệ
cơ sở hạ tầng mạng chống lại các tấn công. Đơn vị National Cyber Response
Coordination Group thuộc đơn vị National Cyber Security Division bao gồm 13 cơ
3
quan liên bang và có trách nhiệm phối hợp phản ứng liên bang trong sự cố không gian
mạng mang tầm cỡ quốc gia. Cyber Command, một đơn vị con nằm dƣới sự quản lý
của Cơ quan chỉ huy chiến lƣợc Hoa Kỳ (US Strategic Command) có trách nhiệm đối
phó với các mối đe dọa liên quan đến cơ sở hạ tầng mạng quân sự. Các đơn vị thành
viên của Cyber Command bao gồm các lực lƣợng Army Forces Cyber Command, Air
Force 24, Hạm đội Cyber Command, và Marine Cyber Command. [2], [3]
Tại Anh một lực lƣợng đặc biệt đƣợc thành lập đầu năm 2011 với tên gọi Cyber
Security Operations Centre chịu trách nhiệm về cả khả năng tấn công và phòng thủ
không gian mạng. Trung tâm này thực hiện nhiệm vụ chính là giám sát sự phát triển và
tình trạng hiện tại của hệ thống IT chính phủ Anh, phân tích các xu hƣớng và nâng cao
sự phản ứng lại khi có sự cố mạng xảy ra. [2]
Tại Trung Quốc sách trắng về Quốc phòng năm 2004 đã nêu rõ Quân ủy Trung
ƣơng Trung Quốc (PLA) xác định PLA Air Force chịu trách nhiệm cho các hoạt động
liên quan đến thông tin và hoạt động phản động liên quan đến thông tin. Cục 4 của
Tổng cục nhân viên PLA chịu trách nhiệm về các hoạt động phản động liên quan đến
điện tử và nghiên cứu phát triển công nghệ chiến tranh thông tin, chịu trách nhiệm về
khả năng không gian mạng cho quân đội. Cục 3 chịu trách nhiệm cho các tín hiệu
thông minh và tập trung vào việc thu thập, phân tích, khai thác thông tin điện tử. Cục 3
và 4 cũng tiến hành nghiên cứu các công nghệ tiên tiến về bảo mật thông tin. [2], [3]
Sách trắng của Bộ quốc phòng Hàn Quốc năm 2008 đã xác định an ninh mạng
là một thành phần thiết yếu của quốc phòng. Năm 2010 sách này cũng vạch ra tấn
công mạng là một trong những hiểm họa an toàn phi truyền thống. Các đội ứng cứu
khẩn cấp đã đƣợc thành lập ở mức quân đoàn để giám sát các hệ thống thông tin quốc
phòng. Trung tâm chiến tranh mạng (Cyber War Center) của Bộ quốc phòng đã đƣợc
thành lập năm 2010. Mục đích chính của trung tâm này là tăng tính bảo mật cho hệ
thống mạng của chính phủ và các thông tin tài chính. Bộ quốc phòng cũng tuyên bố
tạo ra một đơn vị Cyber Warfare Command độc lập chịu trách nhiệm cho các hoạt
động phòng thủ và tấn công trong không gian mạng. Hội đồng chiến lƣợc An ninh
mạng Quốc gia (National Cybersecurity Strategy Council) là cơ quan điều phối phát
triển các chính sách không gian mạng, và đƣợc chủ trì bởi ngƣời đứng đầu các hoạt
động tình báo quốc gia (National Intelligence Service). [2]
1.1.2 Tình hình giám sát an ninh mạng tại Việt Nam
Tại Việt Nam các cơ quan bộ ngành khác nhau chịu trách nhiệm giám sát an
ninh mạng cho từng lĩnh vực khác nhau. Để thực hiện GSANM yêu cầu và đòi hỏi một
sự đầu tƣ lớn về con ngƣời và vật chất, bên cạnh đó các chuyên gia thực hiện GSANM
phải am hiểu và có trình độ kỹ thuật sâu đối với công nghệ thông tin nói chung và các
mảng đặc biệt về mạng nói riêng.
4
Bộ Thông tin và Truyền thông thực hiện nhiệm vụ, quyền hạn quy định tại Nghị
định số 36/2012/NĐ-CP và Nghị định số 132/2013/NĐ-CP bảo đảm an toàn thông tin
cho các hệ thống thông tin và Internet; bảo đảm an toàn thông tin cho các hoạt động
ứng dụng và phát triển công nghệ thông tin; phòng, chống thƣ rác; tổ chức thực hiện
chức năng quản lý, điều phối các hoạt động ứng cứu sự cố máy tính trong toàn quốc.
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (Vietnam Computer Emergency
Response Team - VNCERT) là đơn vị trực thuộc Bộ thông tin – Truyền thông đƣợc
thành lập ngày 20/12/2005 theo quyết định số 339/QĐ-TTg của Thủ tƣớng Chính phủ
thực hiện chức năng điều phối và tổ chức các hoạt động phản ứng nhanh các sự cố
máy tính cho mạng Internet Việt Nam. [16]
Bên cạnh đó Bộ Quốc phòng thực hiện quản lý nhà nƣớc về an toàn thông tin
trong lĩnh vực quốc phòng. Một đơn vị khác chịu trách nhiệm xây dựng, đề xuất ban
hành các tiêu chuẩn và quy định kỹ thuật về mật mã trong an toàn và bảo mật thông tin
đó chính là Ban Cơ yếu Chính phủ. Bộ Công an chịu trách nhiệm quản lý, kiểm soát,
phòng ngừa, phát hiện, ngăn chặn, đấu tranh chống âm mƣu, hoạt động lợi dụng hệ
thống thông tin gây phƣơng hại đến an ninh quốc gia, trật tự an toàn xã hội và lợi ích
của công dân. Bộ Công an đã có một số Cục chức năng liên quan tới hoạt động đảm
bảo an toàn, an ninh cho hệ thống CNTT của các cơ quan Nhà nƣớc nhƣ Cục Công
nghệ tin học nghiệp vụ, Cục Phòng chống tội phạm công nghệ cao, Cục An ninh
mạng, Cục An ninh thông tin…
Một số tổ chức khác cũng chung tay góp phần đảm bảo an ninh mạng cho quốc
gia nhƣ: Hiệp hội an toàn thông tin (viết tắt là VNISA) đã ra đời và là tổ chức xã hội
nghề nghiệp phi lợi nhuận đầu tiên hoạt động trong lĩnh vực bảo mật thông tin đƣợc
nhà nƣớc Việt Nam công nhận. VNISA tập hợp các cá nhân, tổ chức làm công tác
nghiên cứu giảng dạy, ứng dụng và phát triển an toàn thông tin nhằm hƣớng dẫn thực
hiện các chủ trƣơng đƣờng lối của nhà nƣớc trong việc ứng dụng và phát triển kỹ
thuật, công nghệ, an toàn thông tin, đƣa ra đề xuất, khuyến nghị với cơ quan quản lý
nhà nƣớc trong việc xây dựng cơ chế chính sách phát triển ngành. [17]
Trung tâm an ninh mạng Bách Khoa, tên đầy đủ là Trung tâm phần mềm và giải
pháp an ninh mạng là một trung tâm nghiên cứu của Trƣờng Đại học Bách Khoa Hà
Nội. Hỗ trợ chuyên môn cho các cơ quan chức năng của Chính phủ trong công tác
phòng chống, truy tìm tội phạm tin học tham gia, xây dựng luật pháp về tội phạm tin
học. Tham gia các hoạt động phòng chống tấn công phá hoại bằng CNTT; Hợp tác với
các tổ chức An ninh mạng và Cứu hộ các sự cố máy tính của các nƣớc trên thế giới và
trong khu vực trong việc khắc phục sự cố máy tính, chia sẻ thông tin về an ninh thông
tin.
1.2 Hệ thống GSANM đang đƣợc triển khai hiện tại
1.2.1 Giới thiệu về hệ thống GSANM
5
GSANM là hệ thống đƣợc xây dựng nhằm mục đích thu thập, theo dõi, phân
tích các sự kiện, dữ liệu ra vào mạng từ đó phát hiện các tấn công mạng và đƣa ra cảnh
báo cho hệ thống mạng đƣợc giám sát. Về bản chất đây là hệ thống phân tích sự kiện,
luồng dữ liệu mà không tích hợp các giải pháp ngăn chặn vào trong đó. Hệ thống này
hoạt động độc lập và chỉ thu thập nhật ký hệ thống của các thiết bị, ứng dụng hay các
luồng dữ liệu chứ không ảnh hƣởng đến chúng. Hệ thống GSANM đƣợc triển khai tại
các hệ thống mạng có độ nhảy cảm cao hoặc có các thông tin cần bảo mật, hoặc cũng
có thể đơn giản chỉ là để theo dõi các diễn biến của mạng. [4]
Về cơ bản hệ thống GSANM tuân thủ theo mô hình SIEM (Security
Information and Event Management). Đây là mô hình chung cho hệ thống GSANM
đƣợc sử dụng rất nhiều trên thế giới và các nhà sản xuất các thiết bị GSANM cũng dựa
trên mô hình chuẩn này. Đối với hệ thống GSANM chức năng chính của nó là sẽ thu
thập:
Các sự kiện an ninh (Securtity Event): Đƣợc sinh ra từ các ứng dụng hoặc
thiết bị nhƣ: Nhật ký hệ thống IIS, Firewall, VPN (Virtual Private Network),
IDS (Intrusion Detection System), IPS (Intrusion Prevention System), …
Bối cảnh hoạt động mạng (Network activity context): Tầng 7 bối cảnh ứng
dụng từ lƣu lƣợng mạng và lƣu lƣợng các ứng dụng.
Thông tin hệ điều hành: Tên nhà sản xuất và chi tiết về số phiên bản.
Các nhật ký hệ thống ứng dụng: Kế hoạch nguồn lực doanh nghiệp
(Enterprise Resource Planning – ERP), quy trình làm việc, cơ sở dữ liệu ứng
dụng, nền tảng quản lý, … [5]
Với mỗi dòng nhật ký hệ thống sinh đƣợc tính là một sự kiện, các sự kiên đƣợc
tính trên giây (EPS), và xử lý các luồng dữ liệu này đƣợc tính trên phút (FPM) sau đó
hệ thống sẽ tiến hành phân tích bằng các bộ luật và đƣa ra các cảnh báo cần thiết tới
nhà quản trị hệ thống.
Về mô hình GSNAM đƣợc triển khai có hai dạng chính: Dạng phân tán và dạng
hoạt động độc lập.
Dạng phân tán (Distributed): Là mô hình mà trong đó có hệ thống xử lý
đƣợc đặt ở trung tâm GSANM và mọi hoạt động của hệ thống nhƣ: Các sự
kiện, luồng dữ liệu, …sẽ đƣợc xử lý tại trung tâm sau đó đƣợc hiển thị lên
giao diện Web site. Đối với mô hình này thƣờng đòi hỏi một sự đầu tƣ quy
mô đầu và lực lƣợng con ngƣời phải nhiều mới đủ khả năng để vận hành hệ
thống này.
Dạng hoạt động độc lập (All in one): Đây là mô hình mà hệ thống đƣợc xây
dựng riêng lẻ cho các đơn vị, và không liên quan tới nhau, có nghĩa là hệ
thống hoạt động độc lập. Các nhật ký hệ thống và luồng dữ liệu đƣợc trực
tiếp thu thập tại mạng con, sau đó đẩy về thiết bị GSANM và tại đây luồng
6
dữ liệu sẽ đƣợc xử lý. Tuy nhiên, mô hình này phù hợp cho các ngân hàng
và đơn vị nhỏ và yêu cầu về đầu tƣ và lực lƣợng con ngƣời không cao.
[4],[6]
1.2.2 Các thành phần chức năng của hệ thống GSANM
Các thành phần chính của hệ thống GSANM đƣợc mô tả nhƣ hình 1.1. Trong
đó:
CONSOLE:
o Là nơi xử lý, lƣu trữ các sự kiện an ninh đƣợc cảnh báo, các sự kiện
này đƣợc gửi lên từ Event Processor và Flow Processor. Ngoài ra tại
đây còn chứa các tập luật xử lý các dữ liệu, CONSOLE có khả năng
hoạt động độc lập.
o CONSOLE có hai giao diện, giao diện command line giúp ngƣời
quản trị cấu hình, xử lý các lỗi hệ thống, ... và giao diện web là nơi
hiển thị các cảnh báo cũng nhƣ các sự kiện thu thập đƣợc. Các cảnh
báo sẽ đƣợc lƣu trữ tùy vào cấu hình quản trị trong bao lâu, thƣờng là
một năm cho mỗi hệ thống.
o Năng lực hoạt động của CONSOLE tùy thuộc vào nhiều yếu tố nhƣ:
Đƣờng truyền mạng, cấu hình phần cứng, … thông thƣờng hệ thống
hoạt động với công suất 1000EPS và 100000FPM. Khi hệ thống
GSANM đƣợc thiết lập và cấu hình thì CONSOLE sẽ tự động cấu
hình tƣơng ứng cho các thiết bị khác một cách chủ động sau khi kết
nối vào các thiết bị thông qua cổng 22. Từ đó các việc cấu hình các
thiết bị trong hệ thống GSANM có thể đƣợc thực hiện thông qua
CONSOLE bằng hai cách đó là qua giao diện Web với cổng 443
hoặc qua giao diện command line. [6]
EVENT PROCESSOR (EP):
o Đây là nơi xử lý các sự kiện đƣợc gửi về từ Event Collector. Các sự
kiện này sẽ đƣợc xử lý thông qua các tập luật tại đây. Nếu là cảnh
báo hoặc các sự kiện từ các thiết bị an ninh đƣa ra cảnh báo thì nó sẽ
đƣợc gửi thẳng trực tiếp lên CONSOLE để xử lý. Nếu là các sự kiện
không đƣa ra cảnh báo sẽ đƣợc lƣu trữ tại đây mà không chuyển lên
CONSOLE.
o Các sự kiện đƣợc lƣu trữ tùy theo cấu hình của quản trị, thƣờng là ba
tháng cho các sự kiện không đƣa ra cảnh báo. Các nhật ký hệ thống
không đƣa ra cảnh báo nó sẽ đƣợc quản lý qua giao diện web của
CONSOLE. [6]
7
FLOW PROCESSOR (FP): Đây là nơi xử lý luồng dữ liệu, FP nhận dữ
liệu từ Flow Collector và xử lý dựa trên các tập luật của FP. Sau đó, các
cảnh báo sẽ đƣợc nó gửi lên CONSOLE còn các sự kiện không đƣa ra cảnh
báo sẽ đƣợc lƣu trữ tại FP và đƣợc quản lý dựa trên giao diện web của
CONSOLE. Thời gian lƣu trữ các sự kiện này tùy thuộc vào cấu hình
thƣờng là ba tháng.
Hình 1.1: Các thành phần của hệ thống GSANM
EVENT COLLECTOR (EC):
o Là nơi thu thập nhật ký hệ thống, tiếp nhận các nhật ký hệ thống từ
các thiết bị, hoặc các ứng dụng gửi về. Tại đây nhật ký hệ thống sẽ
đƣợc mã hóa, nén và gửi về EP qua cổng 22. Sau đó nó sẽ đƣợc EP
phân tích và xử lý.
o Đối với EC có rất nhiều phƣơng pháp lấy nhật ký hệ thống khác nhau
VD: Cài đặt agent lên các máy tính cần thu thập và gửi nhật ký hệ
thống đã đƣợc chỉ định về cho EC. Tại CONSOLE ngƣời quản trị sẽ
cấu hình cho EC thu nhận các nhật ký hệ thống từ các agent này. Sau
đó các nhật ký hệ thống này sẽ đƣợc quản lý dựa trên giao diện web
của CONSOLE. EC chỉ có khả năng thu thập các sự kiện mà không
có khả năng thu thập các luồng dữ liệu. Với một thiết bị, dịch vụ nhƣ
IIS, thƣờng có khoảng 20 sự kiện trên giây (20 EPS). [7]
8
FLOW COLLECTOR (FC): Đây là nơi thu thập các luồng dữ liệu từ
mạng đƣợc giám sát. FC thƣờng thu nhận luồng dữ liệu từ các switch có
chức năng span port của Cisco. Sau đó dữ liệu cũng đƣợc nén, mã hóa và
chuyển về FP xử lý thông qua cổng 22. CONSOLE sẽ cấu hình cho FC lắng
nghe ở cổng Ethernet đƣợc kết nối với span port để thu thập dữ liệu. Khả
năng xử lý hiện tại trên hệ thống GSANM đối với FC là 220000FPM. [6]
Các thiết bị phần cứng EC và FC của hệ thống GSANM có chức năng thu thập
nhật ký hệ thống ở dạng ―thô‖ là dạng chƣa đƣợc phân tích. Đối với mỗi thiết bị này
ngƣời quản trị hệ thống cần cung cấp địa chỉ IP tĩnh public, sau đó việc trao đổi dữ liệu
qua hệ thống sẽ đƣợc mã hóa, nén lại và gửi tới EP, FP để phân tích và xử lý thông qua
cổng 22. CONSOLE sẽ hiển thị dữ liệu lên giao diện web để ngƣời quản trị có thể sẽ
xem các cảnh báo này thông qua cổng 443.
1.2.3 Mô hình của hệ thống GSANM
1.2.3.1Hệ thống GSANM phân tán
Hình 1.2: Mô hình hệ thống GSANM phân tán
Hệ thống GSANM phân tán đƣợc xây dựng theo quy mô lớn về thiết bị và con
ngƣời. Các EC và FC có thể đƣợc đặt ở rất nhiều mạng khác nhau, và năng lực hoạt
động của hệ thống đƣợc tính toán kỹ lƣỡng sao cho khả năng xử lý của các thiết bị đáp
ứng đƣợc nhu cầu hệ thống mà không bị quá tải. Để thu thập nhật ký hệ thống từ các
thiết bị hay ứng dụng trƣớc hết EC phải kết nối đến các thiết bị hoặc ứng dụng đó. Sau
đó tùy theo các dạng ứng dụng hay thiết bị mà cách cấu hình lấy nhật ký hệ thống sẽ
9
khác nhau. Nhƣng điều tối thiểu nhất đó là các thiết bị phải đƣợc kích hoạt chế độ lƣu
nhật ký hệ thống.
Với các ứng dụng thì các file nhật ký hệ thống đã có định dạng sẵn, chế độ lƣu
nhật ký hệ thống dễ dàng đƣợc kích hoạt và lƣu vào một thƣ mục nào đó trên máy tính.
EC sẽ đƣợc cung cấp tài khoản, trao quyền truy cập vào thƣ mục và đọc các nhật ký hệ
thống đó, sau đó nhật ký hệ thống này sẽ đƣợc chuyển về EC. Tuy nhiên, có những
thiết bị không cho phép thu thập nhật ký hệ thống nhƣ cách trên VD: Firewall
Checkpoint, IPS, … thì các thiết bị này luôn có các tính năng ―forward log‖ cho server
nên khi cấu hình thu thập nhật ký hệ thống ngƣời quản trị buộc phải sử dụng phƣơng
pháp này.
Đối với FC, thiết bị này sẽ đƣợc kết nối vật lý với các switch hỗ trợ span port
và dữ liệu sẽ đƣợc gửi về FC thông qua span port. Nhật ký hệ thống sau khi đƣợc EC
và FC thu thập sẽ đƣợc nén, mã hóa và gửi về cho EP và FP tƣơng ứng thông qua giao
thức SSH cổng 22, các nhật ký hệ thống này đƣợc xử lý tại EP và FP và gửi lên
CONSOLE những cảnh báo cần thiết, CONSOLE sẽ hiển thị chúng lên giao diện web
thông qua cổng 443.
Nhƣ vậy hệ thống GSANM phân tán là một quá trình xuyên suốt từ việc thu
thập nhật ký hệ thống hay luồng dữ liệu tới EC, FC sau đó nhật ký hệ thống đƣợc
chuyển tiếp về EP và FP rồi gửi đến CONSOLE và hiển thị lên giao diện web. Toàn
bộ quá trình này đều đƣợc nén và mã hóa để đảm bảo không bị lộ khi có tấn công xảy
ra. Một đặc điểm đáng chú ý khác nữa là khi kết nối giữa các thiết bị đƣợc thiết lập thì
toàn bộ hệ thống đƣợc cấu hình qua thiết bị CONSOLE trên giao diện web hoặc giao
diện command line.
1.2.3.2Mô hình hệ thống GSANM hoạt động độc lập (All in one)
Mô hình hệ thống GSANM độc lập chỉ có một thiết bị duy nhất đó là
CONSOLE (All in One). Nhật ký hệ thống và luồng dữ liệu đƣợc gửi trực tiếp lên thiết
bị này mà không cần thông qua EP, FP, EC, FC. CONSOLE có khả năng hoạt động
độc lập và có chức năng tƣơng ứng với tất cả các thiết bị kia. Do vậy, khi nhật ký hệ
thống đƣợc gửi về thì CONSOLE sẽ xử lý và trực tiếp hiển thị lên giao diện Web. Hệ
thống này chỉ thích hợp cho các mạng nhỏ và vừa nhƣ các ngân hàng hoặc các doanh
nghiệp nhỏ và không cần đầu tƣ quá lớn về nhân lực và trang thiết bị. [6].
10
Hình 1.3: Mô hình hệ thống GSANM độc lập
1.3 Giao diện quản lý của hệ thống GSANM
Giao diện của hệ thống GSANM cơ bản có 07 thành phần chính sau:
Dashboard: Là nơi hiển thị dữ liệu dƣới dạng biểu đồ giúp cho các chuyên gia
GSANM có cái nhìn tổng quát về toàn bộ hệ thống đƣợc giám sát. Việc hiển thị
dƣới dạng đồ thị trực quan ở thời gian thực rất hiệu quả cho việc GSANM. Cấu
hình thời gian thực để mô tả các biểu đồ này do ngƣời quản trị hệ thống lựa chọn
có thể trong vòng một phút. Dữ liệu hiển thị dƣới dạng bảng hay biểu đồ tùy thuộc
mục đích của ngƣời quản trị hệ thống.
Hình 1.4: Tap Dashboard
11
Offenses: Đây là nơi hiển thị các cảnh báo và các nguy cơ có thể bị tấn công, và
quản lý các tập luật cho hệ thống mạng đƣợc giám sát. Offenses cũng cho phép
ngƣời quản trị tạo các tập luật mới phù hợp với hệ thống mạng đƣợc giám sát.
Ngƣời quản trị có thể tìm kiếm, lọc các cảnh báo tại Offenses theo thời gian, dạng
tấn công hoặc theo từng hệ thống mạng cụ thể. Việc xử lý hoặc gửi cảnh báo tự
động bằng địa chỉ email hay SMS là tính năng không thể thiếu của Offenses. Dữ
liệu đƣợc hiển thị trong phần Offenses có thể đƣợc xuất ra dƣới dạng file .doc, do
đó điều này rất hiệu quả trong việc thực hiện viết các báo cáo.
Hình 1.5: Tap Offenses
Log Activity: Là nơi hiển thị nhật ký hệ thống đƣợc thu thập từ Event Collector
cho hệ thống mạng đƣợc giám sát. Các nhật ký hệ thống này đƣợc thu thập và lƣu
trữ tại Event Processor và Flow Processor, sau đó sẽ đƣợc gửi lên CONSOLE và
hiển thị qua giao diện web tại Log Activity. Tại đây, ngƣời quản trị có thể theo dõi
dòng dữ liệu nhật ký hệ thống theo thời gian thực, do đó giúp cho ngƣời quản trị
phát hiện các tấn công có thể xảy ra khi kẻ tấn công mới bắt đầu thực hiện dò quét
và tìm kiếm thông tin.
Hình 1.6: Tap Log Activity
12
Ngoài ra, đây cũng là nơi giúp cho việc tìm kiếm nhật ký hệ thống cũ đƣợc lƣu trữ
trong hệ thống, thực hiện kiểm tra phân tích nhật ký hệ thống, hay phát hiện và
định dạng các loại nhật ký hệ thống mới chƣa đƣợc định dạng, các trƣờng thông tin
quan trọng để tạo các luật mới phù hợp cho hệ thống mạng đƣợc giám sát.
Network Activity: Tƣơng tự nhƣ Log Activity, Network Activity là nơi hiển thị
luồng dữ liệu đƣợc gửi về từ Flow Processor và luồng dữ liệu này đƣợc phân tích
và kiểm tra tại đây. Cũng giống với Log Activity, Network Activity hiển thị luồng
dữ liệu theo thời gian giúp tăng khả năng phát hiện sớm các tấn công vào hệ thống
mạng đƣợc giám sát. So với việc phân tích nhật ký hệ thống thì việc phân tích
luồng dữ liệu sẽ vất vả hơn rất nhiều, bởi vì việc định dạng các giao thức và xử lý
chúng không đơn thuần nhƣ việc xử lý các nhật ký hệ thống đƣợc gửi về.
Hình 1.7: Network Activity
Asset: Là nơi liệt kê, cập nhật các thiết bị hiện có của các hệ thống mạng đƣợc
giám sát, giúp cho việc xác định và phân loại các thiết bị của mạng để tránh các
nhầm lẫn khi tạo tập luật, hoặc đƣa ra các cảnh báo sai.
Hình 1.8: Tap Asset
13