Tải bản đầy đủ (.pdf) (70 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Cơ sở dữ liệu

Nghiên cứu các phương pháp công cụ hỗ trợ quản trị và giám sát an toàn an ninh mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.51 MB, 70 trang )

NGUYỄN VIỆT DŨNG

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------

Họ và tên tác giả luận văn
Nguyễn Việt Dũng

CHUYÊN NGÀNH CÔNG
NGHỆ THÔNG TIN

TÊN ĐỀ TÀI LUẬN VĂN
Nghiên cứu các phương pháp công cụ hỗ trợ quản trị và giám sát an
toàn – an ninh mạng

LUẬN VĂN THẠC SĨ KỸ THUẬT

KHOÁ 2012B
Hà Nội – Năm 2015


BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
--------------------------------------Họ và tên tác giả luận văn
Nguyễn Việt Dũng

TÊN ĐỀ TÀI LUẬN VĂN
Nghiên cứu các phương pháp công cụ hỗ trợ quản trị và giám sát an toàn – an
ninh mạng


Chuyên ngành : Công Nghệ Thông Tin

LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN: TS. TRẦN ĐỨC KHÁNH

Hà Nội – Năm 2015


Mục lục
LỜI CAM ĐOAN

1

Danh mục các ký hiệu, các chữ viết tắt

1

Danh mục hình ảnh

2

Mở đầu

3

Chương 1: Tiếp cận các khái niệm trong lĩnh vực NSM

1


1.1.

Chu Kỳ NSM

1

1.1.1.

Collection

1

1.1.2.

Detection

2

1.1.3.

Analysis

2

1.2.

NSM Data Type - Các kiểu dữ liệu trong phạm vi NSM xử lý

3


1.2.1.

Session Data

3

1.2.2.

Full Packet Capture Data (FPC Data)

3

1.2.3.

Packet string Data

3

1.2.4.

Statistical Data

4

1.2.5.

Log Data

4


1.2.6.

Alert Data

4

Chương 2: Nghiên cứu cách thức thu thập NSM Data
2.1.

Chiến lược thu thập dữ liệu

6
6

2.1.1.

Define Threats - Xác định mối đe dọa tới hệ thống

6

2.1.2.

Quantify Risk - Đánh giá rủi ro, mức độ thiệt hại

7

2.1.3.

Identify Data Feeds - Xác định nguồn dữ liệu cần bảo mật


8

2.1.4.

Narrow Focus - Tập trung bảo mật nguồn dữ liệu xác định

9


2.2.

Xây dựng bộ cảm biến thu thập

11

2.2.1.

Các loại cảm biến

11

2.2.2.

Phần cứng bộ cảm biến

12

2.3.

Nghiên cứu một số công cụ thu thập log


16

2.3.1.

Thu thập session data với Argus

16

2.3.2.

Thu thập Full Packet Capture Data (FPC Data) với Netsniff-NG

19

2.3.3.

Thu thập PSTR Data với Justniffer

21

Chương 3: Phát hiện xâm nhập mạng
3.1.

Tìm hiểu về các chi số IOC và Signatures

23
23

3.1.1.


IOC dựa trên Host và Network

24

3.1.2.

Phân loại các IOC

24

3.1.3.

Tính phát triển, kế thừa và sự đào thải các IOC

25

3.1.4.

Quản lý các IOC và Signature

25

3.1.5.

Quản lý các IOC và Signature đơn giản với CSV

26

3.1.6.


IOC và Signature Frameworks

26

3.2.

Nghiên cứu hệ thống Bro IDS

27

3.2.1.

Nền tảng Bro

27

3.2.2.

Phát hiện và cảnh báo tấn công Brute-Force với Bro IDS

34

Chương 4: Phân tích dữ liệu mạng

40

4.1.

Tìm hiểu về gói tin


40

4.2.

Bộ lọc gói tin Bakerley Packet Filters (BPF)

42

4.3.

Giải pháp xây dựng hệ thống lưu trữ và phân tích log trong môi trường

doanh nghiệp với ElasticSearch, Logstash và Kibana

44


4.3.1.

Giới thiệu về ElasticSearch, logstash, Kibana

4.3.2.

Xây dựng hệ thống lưu trữ, quản lý phân tích log HTTP tích hợp hệ

thống Bro IDS trong môi trường mạng doanh nghiệp.

44
45


Kết luận

55

Tài liệu tham khảo

57


LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi. Các số liệu kết
quả trong Luận văn là trung thực và chưa từng được ai công bố trong bất kì công
trình nào.
Tôi xin cam đoan mọi sự giúp đỡ cho việc thực hiện Luận văn này đã được
cảm ơn và các thông tin trích dẫn trong Luận văn đã được chỉ rõ nguồn gốc.
Học viên thực hiện luận văn

Nguyễn Việt Dũng


Danh mục các ký hiệu, các chữ viết tắt
Từ viết tắt

ET

Diễn giải
Applied Collection
Framework

Bakerley Packet Filters
Central Processing Unit
Damn Vulnerable Web
Application
Emerging Threats

FPC

Full Packet Capture

HIDS

IOC

Host Intrusion Detection
System
Intrusion Detection
System
Indicators of compromise

IRC

Internet Relay Chat

NIDS

P2P
PSTR
RTFM


Network Intrusion
Detection System
Network Security
Monitoring
Peer to Peer
Packet String Data
Real-time Flows Monitor

SQLi

SQL Injection

TTL

Time To Live

VRT

Vulnerability Research
Team

SO

Security Onion

XSS

Cross Site Scripting

ACF

BPF
CPU
DVWA

IDS

NSM

Dịch nghĩa
Phương pháp ứng dụng
thu thập dữ liệu
Bộ lọc gói tin Bakerley
Bộ xử lý trung tâm
Ứng dụng thực hành tấn
công Web
Bộ Rule Emerrging
Threats của Snort
Thu thập dữ liệu gói đầy
đủ
Hệ thống phát hiện xâm
nhập máy chủ
Hệ thống phát hiện xâm
nhập
Các chi số của sự thỏa
hiệp
Hệ thống nhắn tin trong
thời gian thực
Hệ thống phát hiện xâm
nhập mạng
Giám sát an ninh mạng

Kết nối điểm điểm
Dữ liệu dạng chuỗi
Giám sát dữ liệu mạng
trong thời gian thực
Tấn công phá hoại bằng
câu lệnh truy vấn SQL
Thời gian của một gói tin
đi trong mạng cho đến khi
đến được địa chi đích
Đội nghiên cứu lỗ hổng
bảo mật chuyên cung cấp
các bộ Rule cho Snort
Tên một hệ điều hành
giám sát an ninh mạng
Tấn công chèn mã độc
vào ứng dụng Web


Danh mục hình ảnh
Hình 1: Mô tả chu kỳ NSM .........................................................................................1
Hình 2: Mô tả NSM data type .....................................................................................5
Hình 3: Mô tả bốn bước xác định kế hoạch thu thập dữ liệu ......................................6
Hình 4: Giao diện trình tạo IOC trong Webpage OpenIOC .....................................26
Hình 5: Danh sách các trường thông tin trong file HTTP .log của Bro ....................29
Hình 6: Nguyễn mẫu thông báo của Bro về phát hiện kịch bản tấn công Brute-Force
...................................................................................................................................39
Hình 7: Mô tả gói tin được capture trên Wireshark ..................................................41
Hình 8: Chuyển đổi dạng nhị phân ra hệ thập lục phân ............................................42
Hình 9: Mô tả cú pháp bộ lọc BPF............................................................................43
Hình 10: Hệ thống Website đang quản trị của doanh nghiêp ...................................45

Hình 11: Cơ chế hoạt động của hệ thống lưu trữ, quản lý và phân tích log với
ElasticSearch, Logstash và Kibana ...........................................................................48
Hình 12: Cấu hình Logstash-Forwarder ....................................................................49
Hình 13: Cấu hình các thông số truyền tiếp thông tin giữa Logstash-Forwader và
Logstash server..........................................................................................................50
Hình 14: Kiểm tra và lọc các trường thông tin Logstash sẽ đánh chi mục để gửi đến
ElasticSearch .............................................................................................................50
Hình 15: Giao diện chính của Kibana với các cột hiển thị lưu lượng HTTP trong
thời gian thực.............................................................................................................51
Hình 16: Mô tả thống kê http status code, top 10 ip chiếm session,geoip trên Kibana
...................................................................................................................................52
Hình 17: Monitor Storage ElasticSearch với plugin Kopf ........................................53
Hình 18: Monitor CPU, RAM, Process ElasticSearch với plugin bigdesk...............54


Mở đầu
Trong thế giới mạng ngày nay, ngày càng nhiều xuất hiện những tổ chức
hacker được phát hiện, những tổ chức này tập hợp đông đảo những hacker trên toàn
thế giới và được hậu thuẫn bởi những tiềm lực kinh tế mạnh mẽ. Xu hướng đã thay
đổi, nếu cách đây khoảng năm năm, các cuộc tấn công mạng diễn ra trên thế giới
hầu hết là những cuộc tấn công vừa và nhỏ chủ yếu vào người dùng đơn lẻ, hay các
doanh nghiệp. Nhưng những năm trở lại đây các tổ chức tội phạm mạng công khai
tấn công vào các tập đoàn lớn, các bộ máy an ninh của chính phủ, xâm phạm dữ liệu
bảo mật mang tính chính trị. Các cuộc tấn công đánh sập cả hệ thống một công ty
lớn là chuyện đã không còn hiếm. Gần đây nhất tại Việt Nam, vào tháng 10 năm
2014 hệ thống một công ty thương mại điện từ hàng đầu của Việt Nam đã bị đánh
sập hoàn toàn chỉ sau một đêm, với một hình thức tấn công được cho là có tính triệt
hạ đó là kẻ tấn công đã xóa sạch toàn bộ dữ liệu trên các máy chủ của hệ thống.
Toàn bộ công ty này lao đao khi không thể cung cấp các dịch vụ, những thứ đang
kiếm ra tiền trả lương cho hàng nghìn nhân viên trong công ty bỗng chốc ngừng lại

vô thời hạn. Có nhiều câu hỏi đặt ra cho mục đích của những kẻ tấn công, nhưng
một sự thật quan trọng hơn đó là tương lai của hàng nghìn con người đang bị đặt
dấu hỏi nếu công ty không thể vực dậy nổi sau biến cố đó. Dù là nhằm vào mục
đích chính trị hay cạnh tranh kinh tế thì người thiệt hại lớn nhất vẫn là những con
người đang làm việc tại tổ chức bị tấn công.
Bản thân em cũng là một kỹ sư công nghệ thông tin của một công ty truyền
thông và đã từng chịu ảnh hưởng của những cuộc tấn công mạng. Đây là lí do thôi
thúc em chọn đề tài Nghiên cứu các giải pháp và các công cụ giám sát an toàn – an
ninh mạng. Bài toán em đặt ra sau khi hoàn thành nghiên cứu lĩnh vực giám sát an
toàn – an ninh mạng đó là có thể xây dựng một hệ thống giám sát an ninh mạng,
bao gồm các công đoạn:
-

Xây dựng bộ cảm biến thu thập mạng kết hợp với các công cụ thu thập dữ
liệu mã nguồn mở để làm cơ sở dữ liệu cho hệ thống phát hiện xâm nhập
mạng và hệ thống phân tích log.


-

Nghiên cứu giải pháp phát hiện xâm nhập mạng bằng cách tìm hiểu, xây
dựng và cách vận hành các hệ thống IDS mã nguồn mở. Mục đích đặt ra đó
là có thể vận hành một hệ thống IDS bảo vệ an ninh cho hệ thống mạng.

-

Tính toán, và xây dựng hệ thống lưu trữ, quản lý log để thực hiện phân tích.
Tìm hiểu các công cụ mã nguồn mở trong lĩnh vực quản lý log hệ thống,
network. Các công cụ hỗ trợ hình ảnh, đồ họa trực quan tích hợp với hệ
thống lưu trữ log đưa ra một cách nhìn toàn cảnh và rõ ràng cho công cuộc

phân tích mạng.

Trong từng giai đoạn nghiên cứu để xây dựng một hệ thống giám sát an ninh mạng
em đã đưa vào trong Luận văn những giải pháp nghiên cứu được để giải quyết các
khó khăn cho từng giai đoạn. Cụ thể trong Luận văn này em đã phân tách ra ba tác
vụ cơ bản cho một hệ thống giám sát an toàn – an ninh mạng dựa vào các yếu tố đã
nêu trên, đó là tác vụ thu thập dữ liệu (Chương 2), tác vụ thứ hai là Phát hiện xâm
nhập (Chương 3), và tác vụ cuối cùng là xây dựng cơ sở phân tích (Chương 4).
Tác vụ đầu tiên là tác vụ thu thập dữ liệu, ở phần này em đã đưa ra ba vấn đề
để giải quyết đó là hoạch định chiến lược thu thập, xây dựng bộ cảm biến, và sử
dụng các giải pháp công cụ thu thập mã nguồn mở phù hợp với chiến lược đã hoạch
định và nền tảng cảm biến có thể đáp ứng. Trong tác vụ đầu tiên này, vấn đề hoạch
định chiến lược thu thập dữ liệu được nhấn mạnh là khâu quan trọng nhất. Việc xác
định rõ các yêu cầu bảo mật của hệ thống, tính toán và đánh giá các mối nguy hiểm
tiềm tàng đối với hệ thống cũng được đưa ra để có thể giải quyết bài toán đầu vào
cho hệ thống giám sát an toàn – an ninh mạng. Qua Chương 2 của Luận văn, em
muốn nhấn mạnh vào tầm quan trọng của việc xác định rõ nhu cầu của hệ thống,
đây được xem như cơ sở để xây dựng một hệ thống giám sát an toàn – an ninh mạng
hiệu quả.
Chương 3 dành ra nghiên cứu các công cụ IDS. Trong một hệ thống giám sát
thì không thể thiếu được khả năng phát hiện các xâm nhập. Đây là phạm vi hoạt
động của một hệ thống IDS. Tác vụ phát hiện trong hệ thống giám sát an toàn – an
ninh mạng nằm ở giá trị các bộ tập Rule trên IDS. Hệ thống IDS có thể rà soát các


dữ liệu mạng trong thời gian thực hoặc từ các dữ liệu thống kê đã thu thập. Với cơ
chế sử dụng các bộ giải mã để rà soát các gói tin và áp đặt các Rule vào cho các gói
tin dữ liệu mạng, hệ thống IDS được coi là bức tường phòng thủ đầu tiên của một
hệ thống giám sát an toàn – an ninh mạng. Việc cài đặt một công cụ IDS là không
khó. Vấn đề khó nhất và trọng tâm nhất trong đó là công cuộc tạo các bộ Rule thích

hợp để mang lại giá trị phát hiện các mối nguy hại tới hệ thống. Sau khi nghiên cứu
một số các hệ thống IDS như Snort, Suricata và Bro, em quyết định chọn nền tảng
Bro IDS để thực hành và xây dựng hệ thống IDS như là một giải pháp phát hiện
xâm nhập cho hệ thống mạng. Cũng bởi Bro được đánh giá là một trong những IDS
mạnh mẽ nhất hiện nay trong phạm vi IDS mã nguồn mở. Mặc dù trong nhiều tài
liệu nghiên cứu người ta còn đánh giá Bro vượt xa khả năng của một IDS. Bro có
một ngôn ngữ kịch bản riêng biệt cung cấp các tính năng hữu ích để phân tích các
giao thức, và với ngôn ngữ kịch bản của Bro nhiều người đánh giá rằng khả năng
của Bro là chưa được khai thác hết.
Phần cuối cùng là mục tiêu xây dựng một hệ thống phân tích bao gồm các tác
vụ lưu trữ, quản lý và thống kê dữ liệu mạng. Tác vụ phân tích là điểm chốt chặn
phòng thủ cuối cùng cho công cuộc bảo đảm tính an toàn- an ninh trong mạng.
Trong phần này Luận văn tập trung nghiên cứu và đưa ra một giải pháp hoàn chỉnh
cho một hệ thống lưu trữ log bao gồm khả năng quản lý, truy xuất và thực hiện
thống kê. Luận văn cũng đề xuất tích hợp các công cụ hỗ trợ các khả năng hiển thị
dạng bảng, dạng dashbroad với mục đích đưa đến các nhà phân tích một cái nhìn
tổng thể hệ thống mạng của mình. Giải pháp cho hệ thống phân tích được đề xuất
trong Luận văn đó là sử dụng một bộ công cụ tổ hợp bao gồm: công cụ audit log
Logstash, công cụ quản lý, lưu trữ, thống kê log ElasticSearch và công cụ hỗ trợ
hiển thị thống kê qua giao diện Web là Kibana. Lí do em chọn giải pháp này đó là
cả ba công cụ này được tạo từ một tổ chức và với mục đích để tích hợp lại với nhau.
Điều này có nghĩa hệ thống phân tích lưu trữ log này là hoàn toàn đồng bộ và vận
hành dễ dàng nhất. Kiểm nghiệm thực tế khi em xây dựng, vận hành hệ thống này
đó là có rất ít lỗi xảy ra trong qua trình làm việc với hệ thống, khả năng hỗ trợ và


cài đặt các plugin dễ dàng và đa dạng. Cung cấp công nghệ cluster cho phép tăng
tốc độ xử lý truy xuất và thống kê log nhanh và hiệu quả. Trong phần phân tích này,
lí do em chọn nghiên cứu một giải pháp lưu trữ, quản lý, thống kê và phân tích log
là bởi qua thời gian nghiên cứu từ lý thuyết cũng như thực tiễn công việc, em nhận

ra rằng khái niệm phân tích là một phạm trù rộng, đây không phải tác vụ thường
được đánh giá là thành công đối với nhiều nhà phân tích, đối với những nhà phân
tích có kinh nghiệm lâu năm, trải qua nhiều sự cố tấn công mạng cũng như tiếp xúc
và thu thập nhiều loại hình dấu hiệu tấn công có thể tỷ lệ xác suất phân tích sự kiện
log để phát hiện tấn công cao. Nhưng đối với những nhà phân tích ít kinh nghiệm
hơn thì tỷ lệ thành công trong việc phát hiện là thấp hơn. Trong một số tài liệu về
forensic network hoặc về security network có một số đoạn chi ra rằng có một sự
phân cấp ngầm giữa cộng đồng những nhà phân tích mạng. Rất khó để có thể đưa ra
một giải pháp chuẩn mực cho tác vụ phân tích và cũng khó để đánh giá được các
vấn đề đưa ra có thực sự chính xác. Bởi tác vụ phân tích được thực hiện cần rất
nhiều kiến thức rộng lớn về: network, malware, TCP/IP, forensic, OS, device
network … Đây cũng chính là lí do chính em chọn lựa nghiên cứu đưa ra giải pháp
xây dựng hệ thống lưu trữ, quản lý, thống kê và phân tích log.
Trong Luận văn này Phương pháp nghiên cứu em chọn đó là tập trung
nghiên cứu các công cụ mã nguồn mở hỗ trợ mạnh trên nền tảng nhân Linux để
thực hiện các giải pháp giám sát an ninh mạng. Một phần bởi sự tiếp cận với các
công cụ giám sát an ninh mạng mã nguồn mở thường là miễn phí, có một cộng đồng
phát triển mạnh mẽ, điều mà sẽ khó có thể dễ dàng thực hiện nghiên cứu thực tiễn
trên các công cụ giám sát an ninh mạng trả phí. Lí do thứ hai đó là theo nghiên cứu
em thấy rằng hầu hết các hệ thống máy chủ hiện tại có đến 80% sử dụng các hệ điều
hành Linux, Unix bởi tính gọn nhẹ, hiệu năng cao và tùy biến. Vì vậy khi tiếp xúc
với các công cụ mã nguồn mở để nghiên cứu đề tài giám sát an toàn – an ninh mạng
em sẽ có thể tiếp cận một cách dễ dàng, và quan trọng tính ứng dụng sau khi nghiên
cứu trong Luận văn này hoàn thành vào các hệ thống mạng hiện tại là rất khả thi.
Cuối cùng, em xin gửi lời cảm ơn chân thành tới Thầy TS.Trần Đức Khánh


đã tạo điều kiện và hướng dẫn hết sức tận tình để em có thể định hướng và giải
quyết các vấn đề trong đề tài này đã đề cập tới. Nếu không có sự hướng dẫn tận tình
và tạo điều kiện của Thầy, em đã không thể hoàn thành Luận văn này.



Chương 1: Tiếp cận các khái niệm trong lĩnh vực NSM

1.1.

Chu Kỳ NSM

Có thể mô tả về bản chất của NSM gồm ba từ: Thu thập dữ liệu (collection
data), Phát hiện (detection), và Phân tích (Analysis) dữ liệu mạng. Đây cũng là ba
tác vụ chính của một hệ thống NSM, tạo thành một vòng tuần hoàn khép kín liên
tục.
Một hệ thống NSM hoàn chỉnh khi đáp ứng tốt được cả ba tác vụ trên, mỗi một tác
vụ được thực hiện bởi một hoặc một tập hợp các công cụ đặc thù để có thể thực hiện
ba tác vụ nêu trên.

Hình 1: Mô tả chu kỳ NSM
1.1.1.

Collection

Đây là bước đầu tiên và cũng là bước quan trọng nhất trong chu kỳ khép kín
của NSM như đã nêu trên. Công việc thu thập dữ liệu mạng hoạt động dựa trên một
nền tảng phần cứng tốt kết hợp với khả năng thu thập dữ liệu mạng mạnh mẽ từ các
công cụ mạng, xây dựng nên cơ sở dữ liệu mạng, được lưu trữ và phục vụ cho tác
vụ phân tích, phát hiện các xâm nhập và sự thỏa hiệp với các hình thức tấn công
trên hệ thống.
Trong vấn đề thu thập dữ liệu này, việc kiểm soát được các thông tin thu thập được

Nguyễn Việt Dũng – 2012BCNTT1


Trang 1


là việc cần thiết. vấn đề này có thể được mô tả bằng cụm từ: “kiểu dữ liệu NSM”
(NSM data type), bao gồm:
Full content Data, Session Data, Statistical Data, Packet tring Data và Alert Data.
1.1.2.

Detection

Nhiệm vụ của công đoạn detection đó là từ khối dữ liệu thu thập, sẽ được rà
soát, kiểm tra. Từ những dấu hiệu bất thường, bằng việc thống kê đối chiếu với các
chính sách đặt ra theo các tác vụ đặc thù của hệ thống mà phát hiện được traffic bất
thường trong mạng, hoặc sự lây lan của mailware, virus … đưa ra cảnh báo về
những hiện tượng bất thường này.
Trên thực tế tác vụ Detection được thực hiện bởi những hệ thống phòng thủ, phát
hiện xâm nhập mạng (Network intrusion detection system – NIDS) ví dụ như Snort
IDS hoặc Bro IDS là những hệ thống phát hiện xâm nhập phổ biến và hiệu quả,
hoặc kể đến như OSSEC, AIDE, MacAfree HIPS đây là những hệ thống phát hiện
xâm nhập trên máy chủ (HIDS - Host intrusion detection system). Trên những hệ
thống này sẽ chứa các hàm, thuật toán để áp các rule (quy luật) cho việc rà soát
trong cơ sở dữ liệu thu thập được.
1.1.3.

Analysis

Có thể nói tác vụ này là tác vụ chiếm nhiều thời gian nhất trong chu kỳ hoạt
động của hệ thống NSM. Tác vụ này phải được thực hiện trực tiếp bởi con người.
Khi hệ thống cảnh báo gửi về một event log nào đó rằng hệ thống đang có nguy cơ

bị tấn công bởi một lượng traffic bất thường, hoặc một nguyên nhân nào đó … việc
analysis được thực hiện ngay lập tức để tìm hiểu và khám phá thêm các thông tin
liên quan đến event log này. Vì chỉ có thể hiểu rõ vấn đề, tính chất của cuộc tấn
công đang nhằm vào tổ chức của mình thì người quản trị, những chuyên gia bảo mật
hệ thống mới có thể đưa ra cách đối phó, chiến lược xây dựng cấu trúc hệ thống để
phòng thủ và tránh khỏi những cuộc tấn công. Thậm chí có thể đưa ra những
phương án thu thập, phát hiện điểm yếu kẻ tấn công từ đó có thể tấn công trở lại,
hoặc cung cấp những thông tin cần thiết để đưa ra luật pháp xử lý.
Ta có thể phân loại, kể đến những hình thức phân tích sau:

Nguyễn Việt Dũng – 2012BCNTT1

Trang 2


 Packet Analysis
 Network Forensic
 Host Forensic
 Mailware Analysis
1.2.

NSM Data Type - Các kiểu dữ liệu trong phạm vi NSM xử lý

Trong phạm vi dữ liệu NSM xử lý phân biệt thành các kiểu dữ liệu riêng biệt
trong quá trình collection. Mỗi kiểu dữ liệu đều có ý nghĩa riêng biệt cung cấp các
thông tin cần thiết cho việc detection, analysis.
1.2.1.

Session Data


Session Data là kiểu dữ liệu sẽ chứa tất cả các thông tin giao tiếp giữa hai
thiết bị mạng giữa hai thiết bị đầu cuối. Session Data không mang nhiều thông tin
và đẩy đủ như FPC data, chính vì vậy dung lượng file của Session Data nhỏ hơn rất
nhiều, và sẽ được lưu lại kho dữ liệu thu thập được lâu hơn. Những thông tin
Session Data sẽ rất có giá trị trong quá trình phân tích.
1.2.2.

Full Packet Capture Data (FPC Data)

FPC Data là loại dữ liệu mang đầy đủ thông tin của tiến trình giao tiếp qua
lại giữa hai điểm đầu cuối. FPC Data thường có dung lượng lơn hơn so với các kiểu
dữ liệu khác. FPC Data có một định dạng chung là một PCAP File. Giá trị của FPC
Data là từ đó có thể có một cái nhìn tổng quát tiến trình giao tiếp, truyền nhận thông
tin giữa hai điểm đầu cuối. Các kiểu dữ liệu như Statistical Data hay Packet string
Data cũng đều bắt nguồn từ FPC Data này.
1.2.3.

Packet string Data

Packet string Data là một phần trong FPC Data, nó tồn tại như một dạng dữ
liệu trung gian giữa FPC Data và Session Data. Packet string data là thông tin dạng
chuỗi, text từ phần Headers của các gói tin, ví dụ như HTTP headers. Những dữ liệu
dạng này cung cấp một phần thông tin giống như trong FPC Data chứa nhưng sự
khác biệt ở chỗ dung lượng lưu trữ cho Packet string data không tốn nhiều không
gian lưu trữ như FPC data, và nó lưu được nhiều hơn, và có giá trị lâu hơn cho việc
thống kê và phân tích.

Nguyễn Việt Dũng – 2012BCNTT1

Trang 3



1.2.4.

Statistical Data

Statistical Data là những dữ liệu được dùng để kiểm tra, phân tích và thống
kê. Statistical data mang nhiều định dạng khác nhau và chưa nhiều thông tin khác
nhau. Từ một kho dữ liệu statistical data hoàn toàn có thể đưa ra những kết quả
thông kê để tìm ra sự bất thường đã và đang xảy ra trên hệ thống. Cũng có thể coi
một kho dữ liệu Statistical Data là một dạng điển hình của OLAP (Online analysis
processing).
1.2.5.

Log Data

Log Data là những dữ liệu thô, các loại log từ thiết bị, hệ thống, ứng dụng.
Ví dụ như log Web-proxy server, log Switch, router, log Firewall, VPN
authentication log, Syslog data. Kiểu dữ liệu này có độ lớn tùy biến, và mức độ hữu
ích còn tùy thuộc vào nguồn gốc và hoàn cảnh.
1.2.6.

Alert Data

Khi một công cụ phát hiện xâm nhập phát hiện một hiện tượng bất thường
xác định hoặc không xác định, trên công cụ này đã được cấu hình trong những
trường hợp bất thường sẽ gửi đi một thông điệp mô tả về sự kiện bất thường này.
Thông điệp này được gọi là Alert Data. Việc hệ thống NSM phân tích các sự kiện
bất thường chủ yếu là từ Alert Data gửi về.
Nhìn lại tổng thế các kiểu dữ liệu trong phạm vi NSM xử lý. Ta có thể hình

dung rõ hơn qua hình ảnh sau:

Nguyễn Việt Dũng – 2012BCNTT1

Trang 4


Hình 2: Mô tả NSM data type

Nguyễn Việt Dũng – 2012BCNTT1

Trang 5


Chương 2: Nghiên cứu cách thức thu thập NSM Data

2.1.

Chiến lược thu thập dữ liệu

Như đã trình bàyở trên, tác vụ Collection data là tác vụ tối quan trọng trong
chuỗi chu kỳ làm việc xử lý của một hệ thống NSM. Tác vụ này hoạt động dựa trên
nền tảng của sự kết hợp giữa sức mạnh phần cứng và các công cụ phần mềm để làm
nhiệm vụ thu thập dữ liệu. Trên thực tế việc thu thập dữ liệu cần một nền tảng phần
cứng bao gồm sức mạnh của CPU, Ram, Storage không nhỏ. Bởi lưu lượng mạng
trên hệ thống là lớn vì vậy sẽ có một lượng lớn dữ liệu được thu thập và lưu trên
Storage. Việc xây dựng và có một lộ trình có chiến lược thu thập dữ liệu là cần thiết.
Việc này là khó và không phải cá nhân hay một tổ chức nào cùng có thể hiểu rõ tất
cả, tường tận luồng dữ liệu đi trong hệ thống mạng của mình có đặc điểm gì, đặc
thù dữ liệu ra sao. Vì vậy một khái niệm trong quá trình collection data của hệ

thống NSM được đặt ra đó là “Applied Collection Framework – ACF”. ACF là khái
niệm trong đó nêu ra các bước cần thực hiện để giúp cho tổ chức, hay người xây
dựng hệ thống NSM có thể đúc rút ra điểm mấu chốt mà tác vụ collection data cần
tập trung thu thập và khai thác.
Bốn bước này là: Define Threats + Quantify Risk + Identify Data Feeds + Narrow
Focus

Hình 3: Mô tả bốn bước xác định kế hoạch thu thập dữ liệu
2.1.1.

Define Threats - Xác định mối đe dọa tới hệ thống

Việc đặt ra câu hỏi dữ liệu nào là quan trọng trong hệ thống là cần thiết để

Nguyễn Việt Dũng – 2012BCNTT1

Trang 6


hoàn thành bước này, cần đánh giá được rủi ro nếu hệ thống này bị xâm nhập,
thông tin bị đánh cắp hậu quả sẽ ra sao. Xác định được vấn đề này việc xây dựng hệ
thống giám sát, bảo mật thông tin cho hệ thống mới thực sự mang lại hiệu quả về
tính an ninh trong hệ thống, và chi phí đầu tư vào hệ thống giám sát. Khi đã xác
định được mục tiêu cần giám sát và bảo vệ trong hệ thống thì việc tiến hành triển
khai các công tác bảo mật cho hệ thống đó cũng là một bài toán cần phải đặt ra
những câu hỏi để giải quyết nó.
2.1.2.

Quantify Risk - Đánh giá rủi ro, mức độ thiệt hại


Xác định được những vấn đề quan trọng cần tập trung thực hiện bảo mật an
toàn thông tin. Thì cũng cần phải tính toán và phân loại các rủi ro. Từ đó đưa ra các
giải pháp và hình thức bảo vệ những thông tin này. Những thông tin được tính toán
và đánh giá là quan trọng sẽ được ưu tiên đầu tư nguồn lực, chất xám và chi phí để
bảo toàn hơn là những rủi ro kém quan trọng hơn. Có một công thức tính toán rủi ro
như sau:
Impact (I) x Probability (P) = Risk (R)1
Theo đó chỉ số (I) là chỉ số được xem xét như mức độ ảnh hưởng của rủi ro.
chỉ số (I) này có thang điểm từ 1 -5. Với 1 là mức độ ảnh hưởng thấp nhất, tương tự
5 là cao nhất. Mức độ ảnh hưởng có thể hiểu theo một số ý nghĩa như nếu xảy ra rủi
ro sự tổn thất tài chính là bao nhiêu, khả năng phục hồi dữ liệu bị mất, và thời gian
phục hồi là bao lâu.
Chỉ số (P) là chỉ số xác xuất rủi ro có thể xảy đến. Cũng với thang điểm từ 1
– 5. Việc xác định xác xuất có thể xem xét đến các vấn đề như xác xuất các sự cố
tấn công có thể xảy ra, tính dễ thỏa hiệp của ứng dụng chạy trên hệ thống đó, hay
xác xuất rủi ro bị tấn công vào hạ tầng mạng cao hay thấp.
Đã xác định được các giá trị (I) và (P) thì việc định lượng được giá trị rủi ro
cũng có thang điểm để đánh giá, đó là từ 1 – 25. Tương ứng với giá trí rủi ro mức
thấp nhất là 1, và cao nhất là 25

1

ChrisSanders(2013), Applied Network Security Monitoring, Elsevier Inc, USA

Nguyễn Việt Dũng – 2012BCNTT1

Trang 7


 1 – 9: Giá trị rủi ro thấp (Low Risk)

 10 – 16: Giá trị rủi ro trung bình (Medium Risk)
 17 – 25: Giá trị rủi ro ở mức cao (High Risk)
Mặc dù thang điểm đưa ra để đánh giá mức độ ảnh hưởng (I) và chỉ số xác xuất rủi
ro (P) chỉ mang tính chất tương đối và chủ quan. Nhưng không thể phủ nhận những
chỉ số này là cần thiết và cần được tính toán và đánh giá dựa trên kinh nghiệm, hiểu
biết hệ thống của những người chịu trách nhiệm duy trì vận hành và phát triển hệ
thống.
2.1.3.

Identify Data Feeds - Xác định nguồn dữ liệu cần bảo mật

Bước tiếp theo của ACF đó là định danh chính xác các kiểu dữ liệu trong hệ
thống đang được xác định là ưu tiên cần thiết để bảo vệ. Ví dụ trên một hệ thống
File server đang cần được giám sát và bảo vệ an toàn thông tin, bên cạnh việc xác
định những rủi ro tiềm tàng cho hệ thống, điều cần thiết phải nắm được kiến trúc hạ
tầng nơi mà máy chù File server này đặt tại vị trí nào trong hệ thống mạng, ai là
người sẽ được phép truy cập, đường đi của luồng dữ liệu vào và ra trên máy chủ,
dựa vào những thông tin này ta có thể kiểm tra được các luồng dữ liệu nào thuộc
nhóm Network-based và dữ liệu nào thuộc vào nhóm Host-Based. Dựa vào đó ta có
thể đưa ra một danh sách các kiểu dữ liệu cần quan tâm trong một hệ thống File
server như sau:
 Network-Based
o File server VLAN - Full packet capture data
o File server VLAN - Session Data
o File server Vlan - Throughput Statistical Data
o File server Vlan - Signature-based NIDS Alert Data
o File server Vlan - Anomy-based IDS Alert Data
o Upstream Router - Firewall log data
 Host-Based
o File server - OS Event Log Data

o File server - Antivirus Alert Data

Nguyễn Việt Dũng – 2012BCNTT1

Trang 8


o File server - HIDS Alert Data
2.1.4.

Narrow Focus - Tập trung bảo mật nguồn dữ liệu xác định

Đây là bước cuối cùng của quá trình ACF, làm thế nào để khai thác được dữ
liệu hiện có, để có được những thông tin hữu ích từ kho dữ liệu đã thu thập được.
Từ việc rà soát, kiểm tra, chắt lọc thông tin từ đám dữ liệu thu thập được, ta có thể
nhìn thấy những điểm bất thường, có thể là sự tăng cao bất thường của các gói tin
đến từ một nguồn nhất định, hoặc dấu hiệu CPU của hệ thống làm việc quá tải …
đây chỉ là một trong số nhiều dấu hiệu cho thấy sự bất thường trong hệ thống có thể
xảy ra.
Có một vấn đề cũng cần phải đề cập đến đó hệ thống lưu trữ cho việc thu thập dữ
liệu. Có nhiều kiểu dữ liệu sẽ được thu thập, và vấn đề đặt ra là đầu tư bao nhiêu chi
phí vào hệ thống lưu trữ cũng là một bài toán cần phải được doanh nghiệp tính toán.
Tất nhiên nếu nguồn vốn dồi dào, tổ chức đó có thể đầu tư vào hệ thống một kho
lưu trữ đủ nhiều để có thể phục vụ tốt cho dự án NSM, nhưng vấn đề đặt ra ở đây
không phải là chi phí nhiều hay ít, mà đó là việc cần tập trung chắt lọc những dữ
liệu cần thiết, để tập trung phân tích chúng. Tránh trường hợp quá nhiều dữ liệu gây
loãng hay làm giảm sự chú ý của những người giám sát khiến cho việc phân tích và
phát hiện mất nhiều thời gian hơn.
Việc sàng lọc và tập trung vào những dữ liệu cần thiết để phân tích và phát
hiện xâm nhập có thể được coi là bước khó khăn nhất, đòi hỏi nhiều kiến thức về hệ

thống, mạng hạ tầng, các dấu hiệu tấn công vào hệ thống máy chủ, hiểu rõ hoạt
động của hệ thống.
Cũng cần có một kế hoạch cụ thể, xem xét khoảng thời gian lưu lại log đã thu
thập trên hệ thống. Với một doạnh nghiệp vừa và nhỏ, ta không thể nào có đủ nguồn
lực cũng như chi phí để mua về một hệ thống lưu trữ lớn để phục vụ mục đích lưu
trữ log dữ liệu thu thập. Tùy vào mục đích cũng như nhu cầu của tổ chức, đặc thù
của hệ thống mà có thể quyết định khoảng thời gian lưu trữ.
Dưới đây là một số gợi ý cho việc xem xét những sự kiện, log hệ thống cần
quan tâm trong hệ thống Network-based và Host-based đối với môi trường File

Nguyễn Việt Dũng – 2012BCNTT1

Trang 9


server như đã đề cập bên trên:
 Network-based
o Full packet capture data
 Thông tin port / Protocol đến và đi từ File server
 Thông tin định tuyến của SMB traffic đi ra ngoài VLAN
o Session data
 Tất cả các bản ghi liên quan đến VLAN
o Data throughput Statistical Data
 Thông lượng Data ra vào File server
 Giá trị thống kê thông lượng trung bình theo ngày, tuần,
tháng
o Signature-Based NIDS Alert Data - Dấu hiệu cảnh báo từ hệ thống
NIDS
 Bao gồm tất cả các log cảnh báo
 Các Rule đang đặt cho hệ thống Windows và SMB

protocol
o Nomaly-Based NIDS Alert Data - Dấu hiệu bất thường được cảnh báo
từ NIDS
 Các cảnh báo liên quan đến sự thay đổi trên OS File
server
 Các cảnh báo về thông lượng download từ File server
o Firewall log Data
 Log Firewall deny (External → Internal)
 Host-Based
o System Event Log Data – Event log trên hệ thống máy chủ
 Windows security log
 logon success
 logon Failed
 Các tài khoản được tạo và chỉnh sửa

Nguyễn Việt Dũng – 2012BCNTT1

Trang 10


o Windows system log
 File System Permission Changes
 Solftware Installation
 System reboots
o Antivirus Alert Data
 Detected Event
 Blocked Event
o Host-Based IDS Alert Data
 Tất cả các log cảnh báo từ hệ thống này
2.2.


Xây dựng bộ cảm biến thu thập

2.2.1.

Các loại cảm biến

Các bộ cảm biến có thể thay đổi vai trò trong các giai đoạn của chu kỳ NSM
(giám sát bảo mật mạng) tùy theo kích thước của 1 hệ thống mạng và các mối đe
dọa phải đối mặt.
2.2.1.a.

Chỉ thu thập

Một bộ cảm biến chỉ thu thập chỉ đơn thuần lưu trữ các dữ liệu có chọn lọc
như các dữ liệu phiên và dữ liệu FPC tới đĩa cứng và đôi khi sẽ sinh ra các dữ liệu
khác (mang tính thống kê và chuỗi gói dữ liệu PSTR) dựa trên những gì đã chọn lọc.
Những điều này được thấy trong những tổ chức lớn hơn nơi mà các công cụ phát
hiện truy cập tới các dữ liệu đã chọn lọc để thực hiện xử lý từ xa. Việc phân tích
cũng được thực hiện tách biệt với bộ cảm biến, khi dữ liệu có liên quan được kéo
đến các thiết bị khác khi cần thiết. Một bộ cảm biến chính là các cốt lõi mà không
cài thêm các phần mềm khác và các phân tích viên ít khi có khả năng trực tiếp truy
cập nó.
2.2.1.b.

Nửa chu kỳ

Bộ cảm biến nửa chu kỳ thực hiện đầy đủ các chức năng của bộ cảm biến chỉ
thu thập, cộng với việc thực hiện các tác vụ phát hiện. Ví dụ, bộ cảm biến nửa chu
kỳ sẽ lưu các log của dữ liệu bắt gói PCAP tới đĩa cứng, nhưng cũng đồng thời chạy

các phần mềm phát hiện xâm nhập mạng NIDS (như Snort) hoặc là theo thời gian

Nguyễn Việt Dũng – 2012BCNTT1

Trang 11


thực từ card mạng hoặc gần như thời gian thực đối với các dữ liệu PCAP đã được
lưu vào đĩa cứng. Khi thực hiện phân tích, dữ liệu được kéo về lại một thiết bị khác
thay vì việc phân tích được thực hiện trên bản thân bộ cảm biến. Đây là kiểu phổ
biến nhất để triển khai bộ cảm biến, với đó các phân tích viên truy cập trực tiếp tới
bộ cảm biến theo dịp để tương tác nhiều công cụ phát hiện khác nhau.
2.2.1.c.

Phát hiện toàn chu trình

Kiểu cảm biến cuối cùng là kiểu mà việc thu thập, phát hiện và phân tích tất
cả được thực hiện trên chính bộ cảm biến. Nghĩa là 1 tập hợp đầy đủ của các công
cụ phân tích cộng với các công cụ thu thập và phát hiện được cài đặt trên bộ cảm
biến. Điều này có thể bao gồm các hồ sơ phân tích viên trên bộ cảm biến, 1 môi
trường giao diện đồ họa hay giao diện đồ họa người dùng của phần mềm NIDS như
Snortby. Với bộ cảm biến toàn chu trình, hầu như tất cả các tác vụ giám sát bảo mật
mạng NSM được thực hiện từ bộ cảm biến. Những kiểu cảm biến này được thấy
phổ biến nhất trong các tổ chức rất nhỏ nơi mà tồn tại duy nhất 1 bộ cảm biến hoặc
các tài nguyên phần cứng bị giới hạn.
Trong hầu hết các kịch bản, bộ cảm biến nửa chu kỳ được ưa chuộng hơn.
Điều này chủ yếu nhờ vào sự dễ dàng bổ sung các công cụ phát hiện trên cùng 1 hệ
thống mà dữ liệu được thu thập. Nó cũng là an toàn hơn và bảo mật hơn với các
phân tích viên để kéo các bản sao dữ liệu về những máy tính dành riêng cho phân
tích nhằm xem xét kỹ lưỡng, hơn là tương tác với bản thân dữ liệu gốc. Điều này

ngăn ngừa việc xử lý sai dữ liệu mà kết quả là có thể mất đi 1 vài thứ quan trọng.
Mặc dù các phân tích viên cần tương tác với các bộ cảm biến tại vài cấp độ, họ
không nên sử dụng chúng như là môi trường phân tích desktop trừ khi không có tùy
chọn khác. Bộ cảm biến phải được bảo vệ như là 1 tài sản mạng quan trọng đến
mức không thể tin được.
2.2.2.

Phần cứng bộ cảm biến

Một khi kế hoạch phù hợp đã được thực hiện, việc mua phần cứng cho bộ
cảm biến trở nên cần thiết. Điều quan trọng nhất cần được ghi chú ở đây là bộ cảm
biến, thực sự, là 1 máy chủ. Có nghĩa rằng khi triển khai bộ cảm biến, phần cứng

Nguyễn Việt Dũng – 2012BCNTT1

Trang 12


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×