ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN THỊ THU HẰNG

NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG

HỆ THỐNG GIÁM SÁT AN NINH MẠNG

LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN

1

Hà Nội - 2015


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN THỊ THU HẰNG

NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG
HỆ THỐNG GIÁM SÁT AN NINH MẠNG
Ngành: Công nghệ Thông tin
Chuyên ngành: Hệ thống Thông tin
Mã số: 60.48.01.04

LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN

NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. NGUYỄN NGỌC HÓA

Hà Nội - 2015
2


LỜI CẢM ƠN
Luận văn Thạc sĩ này đƣợc thực hiện tại Đại học Công nghệ - Đại học Quốc gia
Hà Nội dƣới sự hƣớng dẫn của TS. Nguyễn Ngọc Hóa. Xin đƣợc gửi lời cảm ơn sâu
sắc đến thầy Nguyễn Ngọc Hóa về những ý kiến quý báu liên quan đến các định
hƣớng khoa học, liên tục quan tâm, tạo điều kiện thuận lợi cho tôi trong suốt quá trình
nghiên cứu hoàn thành luận văn này. Tôi xin đƣợc gửi lời cảm ơn đến các thầy, cô
trong Bộ môn Hệ thống Thông tin cũng nhƣ Khoa Công nghệ Thông tin đã mang lại
cho tôi những kiến thức vô cùng quý giá và bổ ích trong quá trình theo học tại trƣờng.
Tôi xin gửi lời cảm ơn tới các đồng chí lãnh đạo đơn vị nơi tôi công tác đã tạo
điều kiện và thời gian để tôi có thể hoàn thành chƣơng trình học của mình. Bên cạnh
đó tôi xin gửi lời cám ơn tới các đồng nghiệp trong Ban cơ yếu Chính phủ đã tạo điều
kiện và giúp đỡ tôi hoàn thành khóa luận này một cách tốt nhất.
Cuối cùng tôi cũng xin chân thành cảm ơn đến các học viên cao học khóa K19,
K20, K21 đã giúp đỡ tôi trong suốt thời gian học tập.
Do thời gian và kiến thức có hạn nên luận văn chắc không tránh khỏi những
thiếu sót nhất định. Tôi rất mong nhận đƣợc những sự góp ý quý báu của thầy cô và
các bạn.
Hà Nội, ngày 1 tháng 10 năm 2015

Nguyễn Thị Thu Hằng

i


TÓM TẮT
Ngày nay với sự phát triển mạnh mẽ của Internet đã làm tăng nguy cơ mất an

toàn và rò rỉ thông tin. Để hạn chế đƣợc vấn đề này mỗi hệ thống mạng cần có những
biện pháp cụ thể để có thể kiểm soát đƣợc tình trạng hiện tại của hệ thống và có những
biện pháp đối phó cụ thể khi có tấn công xảy ra. Vậy vấn đề đặt ra ở đây đó là ngƣời
quản trị hệ thống cần có một cái nhìn tổng quát về bức tranh của hệ thống mạng dựa
trên việc thu thập dữ liệu vào ra trong hệ thống từ các thiết bị, dịch vụ và ứng dụng
đang đƣợc sử dụng trong chính hệ thống đó chẳng hạn nhƣ: Mail Server, Firewall,
IDS (Intrusion Detection System), IPS (Intrusion Prevention System), Anti-Virus,….
Những dữ liệu này sau đó sẽ đƣợc phân tích đối chiếu với những dấu hiệu, hoặc tập
luật có sẵn để đánh giá và đƣa ra các cảnh báo chính xác tới ngƣời quản trị hệ thống.
Tuy nhiên, số lƣợng nhật ký hệ thống từ các thiết bị, dịch vụ hoặc ứng dụng
trong hệ thống là tƣơng đối lớn với nhiều định dạng khác nhau. Ngoài ra, do khối
lƣợng nhật ký hệ thống thu đƣợc quá lớn nên một số thông tin cảnh báo quan trọng có
thể bị bỏ qua dẫn đến sự cố gây mất an toàn thông tin khi không đƣợc cảnh báo và xử
lý kịp thời. Do đó, cần có một hệ thống để có thể quản lý, tổ chức, theo dõi những
hiểm họa gây mất an toàn thông tin có thể xảy ra với hệ thống, từ đó đƣa ra các biện
pháp đối phó, ngăn chặn nhằm làm giảm các thiệt hại xuống mức thấp nhất có thể. Một
hệ thống nhƣ vậy đƣợc gọi là hệ thống giám sát an ninh mạng.
Hệ thống giám sát an ninh mạng (GSANM) thực hiện thu thập, quản lý, và phân
tích các sự kiện an ninh, sau đó so sánh với các dấu hiệu và tập luật có sẵn nhằm đƣa
ra các đánh giá cảnh báo cho ngƣời quản trị hệ thống. Tuy nhiên, việc cập nhật các tập
luật này một cách thƣờng xuyên là một việc làm vô cùng cần thiết, bên cạnh đó việc
bổ sung các định dạng dữ liệu nhật ký mới chƣa có cho hệ thống cũng rất quan trọng,
nhằm nâng cao hiệu quả cho hệ thống GSANM. Do vậy, luận văn này hƣớng tới mục
tiêu chính là nghiên cứu cải tiến tập luật trong hệ thống giám sát an ninh mạng để đƣa
ra các cảnh báo tấn công.
Trong luận văn này tôi đã tiến hành (i) khảo sát thực tế tập luật hiện có trong hệ
thống giám sát tại Ban Cơ yếu Chính phủ; từ đó (ii) tiến hành đề xuất mô hình cải tiến
tập luật đã có; và (iii) thử nghiệm mô hình đề xuất cải tiến tập luật với định hƣớng
nâng cao hiệu quả trong khả năng giám sát hệ thống mạng cũng nhƣ đƣa ra các cảnh
báo chính xác tới ngƣời quản trị hệ thống.

Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and
Event Management).

ii


LỜI CAM ĐOAN
Tôi xin cam đoan luận văn “Nghiên cứu cải tiến tập luật trong hệ thống giám
sát an ninh mạng” là công trình nghiên cứu của cá nhân tôi dƣới sự hƣớng dẫn của
TS. Nguyễn Ngọc Hóa, trung thực và không sao chép của tác giả khác. Trong toàn bộ
nội dung nghiên cứu của luận văn, các vấn đề đƣợc trình bày đều là những tìm hiểu và
nghiên cứu của chính cá nhân tôi hoặc là đƣợc trích dẫn từ các nguồn tài liệu có ghi
tham khảo rõ ràng, hợp pháp.
Tôi xin chịu mọi trách nhiệm và mọi hình thức kỷ luật theo quy định cho lời
cam đoan này.

Hà Nội, ngày 1 tháng 10 năm 2015

Nguyễn Thị Thu Hằng

iii


MỤC LỤC
LỜI CẢM ƠN................................................................................................................ i
TÓM TẮT.................................................................................................................... ii
LỜI CAM ĐOAN........................................................................................................iii
MỤC LỤC.................................................................................................................... iv
DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT..................................................... vi
DANH MỤC BẢNG..................................................................................................... x

MỞ ĐẦU....................................................................................................................... 1
CHƢƠNG I: KHẢO SÁT, ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT AN NINH MẠNG.3

1.1

Tình hình chung................................................................................................ 3

1.1.1

Tình hình giám sát an ninh mạng tại một số nƣớc trên thế giới.................3

1.1.2

Tình hình giám sát an ninh mạng tại Việt Nam.......................................... 4

1.2

Hệ thống GSANM đang đƣợc triển khai hiện tại............................................. 5

1.2.1

Giới thiệu về hệ thống GSANM................................................................ 5

1.2.2

Các thành phần chức năng của hệ thống GSANM..................................... 7

1.2.3

Mô hình của hệ thống GSANM................................................................. 9


1.3

Giao diện quản lý của hệ thống GSANM....................................................... 11

CHƢƠNG II: NGHIÊN CỨU MỘT SỐ DẠNG TẤN CÔNG PHỔ BIẾN VÀO ỨNG
DỤNG WEB............................................................................................................... 16
2.1

Các kỹ thuật tấn công phổ biến vào ứng dụng Web........................................ 16

2.1.1

Kỹ thuật tấn công Tiêm mã SQL............................................................. 16

2.1.2

Kỹ thuật tấn công XSS............................................................................. 22

2.1.3

Kỹ thuật tấn công Tràn bộ đệm................................................................ 31

2.2

Các kỹ thuật tấn công vƣợt qua Tƣờng lửa ứng dụng web............................34

2.2.1

Tƣờng lửa ứng dụng web là gì?............................................................... 34


2.2.2 Một số phƣơng pháp tấn công vƣợt các thiết bị Tƣờng lửa ứng dụng
web…………………………………………………………………………...35
CHƢƠNG III: PHƢƠNG PHÁP TRÍCH XUẤT CÁC TRƢỜNG THÔNG TIN
QUAN TRỌNG TỪ NHẬT KÝ HỆ THỐNG............................................................. 39
3.1

Yêu cầu thực tiễn............................................................................................ 39

3.2 Giải pháp trích xuất các trƣờng thông tin quan trọng từ nhật ký hệ thống hệ
thống………………………………………………………………………………...40
3.2.1

Mô hình chung......................................................................................... 40

3.2.2

Các bƣớc thực hiện.................................................................................. 40
iv


CHƢƠNG IV: XÂY DỰNG TẬP LUẬT CẢNH BÁO TẤN CÔNG CHO HỆ
THỐNG GIÁM SÁT AN NINH MẠNG VÀ TRIỂN KHAI THỬ NGHIỆM.............52
4.1

Thực trạng hệ thống GSANM tại Ban Cơ yếu Chính phủ..............................52

4.2

Các luật sẽ bổ sung vào hệ thống GSANM.................................................... 53


4.3

Các bƣớc tạo luật cho hệ thống GSANM....................................................... 55

4.4

Thực nghiệm triển khai hệ thống GSANM tại TTCNTT&GSANM..............62

4.4.1

Mô hình thực nghiệm............................................................................... 62

4.4.2

Thu thập nhật ký hệ thống....................................................................... 63

4.5

Kết quả thực nghiệm...................................................................................... 64

KẾT LUẬN CHUNG.................................................................................................. 69
TÀI LIỆU THAM KHẢO........................................................................................... 70

v


DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT
API
DOM

EC
EP
FC
FP
GSANM
HTML
HTTP
HTTPS
IBM
IDS
IIS
IPS
OSI
Regex
SIEM
SQL
SSH

TTCNTT & GSA


URL
VPN
W3C
WAF
XML
XSS

vii



DANH MỤC HÌNH VẼ
Hình 1.1: Các thành phần của hệ thống GSANM.......................................................... 8
Hình 1.2: Mô hình hệ thống GSANM phân tán............................................................. 9
Hình 1.3: Mô hình hệ thống GSANM độc lập............................................................. 11
Hình 1.4: Tap Dashboard............................................................................................. 11
Hình 1.5: Tap Offenses................................................................................................ 12
Hình 1.6: Tap Log Activity.......................................................................................... 12
Hình 1.7: Network Activity......................................................................................... 13
Hình 1.8: Tap Asset..................................................................................................... 13
Hình 1.9: Tap Report................................................................................................... 14
Hình 1.10: Tab Admin................................................................................................. 14
Hình 2.1: Ví dụ về một trang Web mua sắm trực tuyến............................................... 23
Hình 2.2: Minh họa trang web có lỗi XSS................................................................... 24
Hình 2.3: Thông điệp lỗi tự động đƣợc tạo ra............................................................. 25
Hình 2.4: Các bƣớc thực hiên tấn công Reflected XSS............................................... 26
Hình 2.5: Các bƣớc thực hiện Stored XSS.................................................................. 28
Hình 2.6: Các bƣớc thực hiện tấn công DOM-Based XSS.......................................... 31
Hình 2.7: Ví dụ mô tả tràn bộ đệm Heap..................................................................... 34
Hình 3.1: Mô hình trích xuất các trƣờng thông tin quan trọng từ nhật ký hệ thống....40
Hình 3.2: Giao diện của Adaptive Log Exporter......................................................... 41
Hình 3.3: Định dạng mẫu chung của log..................................................................... 45
Hình 3.4: Kết quả thực hiện cú pháp tìm tên sự kiện FTP........................................... 47
Hình 3.5: Kết quả thực hiện cú pháp tìm địa chỉ IP nguồn.......................................... 47
Hình 3.6: Xác định tên sự kiện.................................................................................... 48
Hình 3.7: Xác định các thông tin cụ thể khác cho nhật ký hệ thống............................49
Hình 3.9: Log mới đã đƣợc định dạng........................................................................ 50
Hình 3.10: Thêm định dạng mới vào hệ thống GSANM............................................. 50
Hình 4.1: Các luật hiện có trong hệ thống................................................................... 52
Hình 4.2: Các tập luật có sẵn của hệ thống GSANM................................................... 53

Hình 4.3: Xác định lƣu lƣợng của các thiết bị, và toàn bộ lƣu lƣợng mạng của hệ thống
từng phút..................................................................................................................... 54

Hình 4.4: Các bƣớc cải tiến tập luật cho hệ thống....................................................... 55
Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0........................................... 56
Hình 4.6: Cấu hình thu thập nhật ký hệ thống trên hệ thống GSNAM........................57
viii


Hình 4.7: Nhật ký hệ thống đƣợc hiển thị theo thời gian thực....................................57
Hình 4.8: Các thông số khác của nhật ký hệ thống...................................................... 58
Hình 4.9: Khai báo máy chủ vào phần Web Server..................................................... 58
Hình 4.10: Phân thích payload thu đƣợc và xác đinh dấu hiệu tấn công.....................59
Hình 4.11: Các bƣớc tạo luật....................................................................................... 60
Hình 4.12: Xác định các tham số cho luật................................................................... 60
Hình 4.13: Định lƣợng mức độ rủi ro của luật và các tham số khác...........................61
Hình 4.14: Kết thúc quá trình tạo luật......................................................................... 61
Hình 4.15: Mô hình thực nghiệm................................................................................ 62
Hình 4.16: Nhật ký hệ thống thu thập đƣợc từ máy chủ web...................................... 63
Hình 4.17: Payload đƣợc hệ thống GSANM thu thập đƣợc....................................... 64
Hình 4.19: Các tập luật đƣợc đƣa vào hệ thống GSANM.......................................... 65
Hình 4.20: Cảnh báo hiện tƣợng bất thƣờng và các tấn công vào hệ thống mạng đang
đƣợc giám sát.............................................................................................................. 65
Hình 4.21: Các cảnh báo tấn công khác mà hệ thống GSANM thu đƣợc...................66
Hình 4.22: Nhật ký hệ thống các cảnh báo thu đƣợc................................................... 66
Hình 4.23: Hệ thống đƣa ra cảnh báo tấn công LFI.................................................... 67
Hình 4.24: Hệ thống đƣa ra các cảnh báo các tấn công khác...................................... 67

ix



DANH MỤC BẢNG
Bảng 3.1: Nhãn thông tin quan trọng........................................................................... 46
Bảng 3.2: Cú pháp lọc cơ bản trong Regex................................................................. 48
Bảng 4.1: Bảng mô tả các tấn công............................................................................. 55

x


MỞ ĐẦU
Với sự phát triển mạnh mẽ của Internet và World Wide Web đã đặt ra nhiệm vụ
đảm bảo an toàn thông tin cho các hệ thống mạng của các cơ quan, tổ chức nhằm tránh
khỏi những hiểm họa mất an toàn thông tin trƣớc những tấn công mạng có thể xảy ra.
Để có thể làm việc này các cơ quan, tổ chức phải có một hệ thống giám sát an ninh
mạng đủ mạnh nhằm kiểm soát, thu thập toàn bộ lƣu lƣợng dữ liệu vào ra cho cả một
hệ thống mạng và đƣa ra những cảnh báo chính xác tới ngƣời quản trị hệ thống khi có
tấn công xảy ra.
Việc giám sát an ninh mạng hiện nay đã đƣợc các quốc gia trên thế giới vô
cùng quan tâm và nó có vai trò sống còn cho an ninh quốc gia. Trong đó, Mỹ là quốc
gia đi tiên phong cho lĩnh vực giám sát an ninh mạng trên toàn cầu. Ngoài ra, các quốc
gia láng giềng bên cạnh nƣớc ta nhƣ Hàn Quốc, Trung Quốc cũng xem đây là một
nhiệm vụ tối mật cho quốc phòng an ninh. Tại Việt Nam, trong những năm gần đây
giám sát an ninh mạng cũng đƣợc xem là một nhiệm vụ trọng yếu đƣợc các cơ quan
cấp bộ, ban, ngành vô cùng quan tâm và thực hiện công việc này một cách tích cực.
Tuy nhiên, để có thể thực hiện tốt đƣợc nhiệm vụ này đòi hỏi phải có một chính
sách giám sát an ninh mạng cả chiều rộng lẫn chiều sâu cộng với các thiết bị giám sát
an ninh mạng hiện đại. Một hệ thống giám sát an ninh mạng tốt cần phải thu thập đƣợc
tất cả các nhật ký vào ra của hệ thống, sau đó thực hiện phân tích những dữ liệu này,
và dựa trên những dấu hiệu hoặc tập luật sẵn có để đƣa ra cảnh bảo tới ngƣời quản trị
hệ thống.

Trên thực tế hệ thống giám sát an ninh mạng (GSANM) vẫn còn một số vấn đề
cần bổ sung nhƣ: không phải tất cả các nhật ký hệ thống gửi về đều đƣợc chuẩn hóa,
do vậy cần phải chọn lọc các trƣờng cần thiết để hiển thị thông tin có giá trị tới ngƣời
quản trị hệ thống. Bên cạnh đó hệ thống giám sát an ninh mạng vẫn phụ thuộc nhiều
vào các báo cáo từ các thiết bị an ninh, có nghĩa là đối với các nhật ký hệ thống không
phải là các cảnh báo thì hệ thống vẫn chƣa phân tích đƣợc do vậy cần tận dụng nguồn
nhật ký hệ thống này để bổ sung một số luật cơ bản cho hệ thống giám sát an ninh
mạng. Với thực trạng nêu trên, luận văn này hƣớng đến mục tiêu nghiên cứu cải tiến
tập luật và cách thức tạo các luật cơ bản từ các nguồn nhật ký hệ thống có sẵn cho hệ
thống giám sát an ninh mạng.
Trong luận văn này tôi nghiên cứu về hệ thống giám sát an ninh mạng hiện tại
đang đƣợc triển khai, nghiên cứu các kỹ thuật tấn công phổ biến vào ứng dụng Web,
nhằm đƣa ra các dấu hiệu tấn công để thiết kế tập luật phù hợp với từng hệ thống
mạng, nghiên cứu cách thức trích xuất các trƣờng thông tin quan trọng từ dữ liệu nhật
ký và xây dựng bổ sung cũng nhƣ chỉnh sửa các tập luật cho hệ thống GSANM. Cuối
cùng tôi tiến hành thực nghiệm triển khai hệ thống giám sát an ninh mạng tại đơn vị
1


Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (TTCNTT&GSANM) tại
Ban Cơ yếu Chính phủ để đánh giá hiệu quả của các tập luật đã đƣợc thiết kế.

2


CHƢƠNG I: KHẢO SÁT, ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT AN NINH
MẠNG
1.1 Tình hình chung
Thuật ngữ ―Giám sát an ninh mạng‖ (GSANM) không phải là mới nhƣng có lẽ
nó vẫn còn xa lạ hoặc chƣa đƣợc nhiều ngƣời biết đến. Trong những thập niên trở lại

đây, công nghệ thông tin phát triển một cách nhanh chóng, song song với các sáng tạo
công nghệ nhằm giúp con ngƣời phát triển thì luôn tồn tại nhiều mặt trái của nó. Các
vấn đề còn tồn tại chính là các hiểm họa mất cắp thông tin quan trọng liên quan đến
danh tiếng, tiền bạc, hoặc chỉ với mục đích giải trí,… do những kẻ tấn công thực hiện
thông qua môi trƣờng Internet.
Theo báo cáo thƣờng niên hàng năm về các hiểm họa an toàn Internet của hãng
Symantec trong năm 2013-2014 đã thống kê dựa trên dữ liệu địa lý của dạng tấn công
thông qua môi trƣờng Interner liên quan đến mã độc, spam zombie, phishing host,
máy tính nhiễm botnet, nguồn gốc tấn công mạng, nguồn gốc tấn công Web cho biết:
Mỹ là quốc gia đứng đầu với 20.7 % về các hoạt động tấn công liên quan đến mã độc.
Tiếp sau đó là Trung Quốc, Ấn Độ, và Việt Nam đứng thứ 9 trong bảng xếp hạng này
với 2.4%. Cũng theo thống kê trên về các tấn công liên quan đến spam zombie thì Việt
Nam là quốc gia xếp đầu tiên với 10.1%, tiếp sau đó là các nƣớc nhƣ Hà Lan, Iran,
Nga, Đức,…. Liên quan đến các tấn công phishing host thì Mỹ là quốc gia xếp thứ
nhất với 46.6%, trong đó Trung Quốc là quốc gia đứng đầu tiên với 16.5% các máy
tính nhiễm botnet. Ngoài ra Mỹ là nƣớc đứng đầu với 21.1% các tấn công Web và
Trung Quốc lại là nƣớc đứng đầu với liên quan tới các tấn công mạng với 28.7%. [1]
1.1.1 Tình hình giám sát an ninh mạng tại một số nƣớc trên thế giới
Khi các hoạt động kinh tế, giáo dục, chính trị, quân sự hiện nay trên toàn thế
giới đều dựa vào hệ thống mạng và kết nối Internet thì nguy cơ dẫn đến cuộc chiến
tranh liên quan đến không gian mạng giữa các quốc gia đang dần đƣợc kích hoạt.
Nhận thấy những hiểm họa tiềm ẩn xuất phát từ Internet này mà các quốc gia trên thế
giới đã và đang thành lập các lực lƣợng phản ứng phòng chống và tác chiến mạng.
Trong đó Mỹ là quốc gia đã tập trung vào lĩnh vực an ninh mạng từ những năm
1990. Chịu trách nhiệm cho lĩnh vực này gồm có Bộ An ninh nội địa (Department of
Homeland Security), Cục điều tra liên bang FBI (Federal Bureau of Investigation), Bộ
Quốc phòng Mỹ (Department of Defense) và US Cyber Command. Bộ An ninh nội địa
có trách nhiệm chính trong việc bảo đảm an ninh trong nƣớc. Đơn vị National Cyber
Security Division của Bộ An ninh Nội địa đƣợc giao nhiệm vụ ―hợp tác làm việc với
các cơ quan nhà nƣớc, tƣ nhân và quốc tế để đảm bảo không gian mạng và quyền lợi

không gian mạng của nƣớc Mỹ‖. Đơn vị này cũng có một số chƣơng trình để bảo vệ
cơ sở hạ tầng mạng chống lại các tấn công. Đơn vị National Cyber Response
Coordination Group thuộc đơn vị National Cyber Security Division bao gồm 13 cơ
3


quan liên bang và có trách nhiệm phối hợp phản ứng liên bang trong sự cố không gian
mạng mang tầm cỡ quốc gia. Cyber Command, một đơn vị con nằm dƣới sự quản lý
của Cơ quan chỉ huy chiến lƣợc Hoa Kỳ (US Strategic Command) có trách nhiệm đối
phó với các mối đe dọa liên quan đến cơ sở hạ tầng mạng quân sự. Các đơn vị thành
viên của Cyber Command bao gồm các lực lƣợng Army Forces Cyber Command, Air
Force 24, Hạm đội Cyber Command, và Marine Cyber Command. [2], [3]
Tại Anh một lực lƣợng đặc biệt đƣợc thành lập đầu năm 2011 với tên gọi
Cyber Security Operations Centre chịu trách nhiệm về cả khả năng tấn công và phòng
thủ không gian mạng. Trung tâm này thực hiện nhiệm vụ chính là giám sát sự phát
triển và tình trạng hiện tại của hệ thống IT chính phủ Anh, phân tích các xu hƣớng và
nâng cao sự phản ứng lại khi có sự cố mạng xảy ra. [2]
Tại Trung Quốc sách trắng về Quốc phòng năm 2004 đã nêu rõ Quân ủy Trung
ƣơng Trung Quốc (PLA) xác định PLA Air Force chịu trách nhiệm cho các hoạt động
liên quan đến thông tin và hoạt động phản động liên quan đến thông tin. Cục 4 của
Tổng cục nhân viên PLA chịu trách nhiệm về các hoạt động phản động liên quan đến
điện tử và nghiên cứu phát triển công nghệ chiến tranh thông tin, chịu trách nhiệm về
khả năng không gian mạng cho quân đội. Cục 3 chịu trách nhiệm cho các tín hiệu
thông minh và tập trung vào việc thu thập, phân tích, khai thác thông tin điện tử. Cục 3
và 4 cũng tiến hành nghiên cứu các công nghệ tiên tiến về bảo mật thông tin. [2], [3]
Sách trắng của Bộ quốc phòng Hàn Quốc năm 2008 đã xác định an ninh mạng
là một thành phần thiết yếu của quốc phòng. Năm 2010 sách này cũng vạch ra tấn
công mạng là một trong những hiểm họa an toàn phi truyền thống. Các đội ứng cứu
khẩn cấp đã đƣợc thành lập ở mức quân đoàn để giám sát các hệ thống thông tin quốc
phòng. Trung tâm chiến tranh mạng (Cyber War Center) của Bộ quốc phòng đã đƣợc

thành lập năm 2010. Mục đích chính của trung tâm này là tăng tính bảo mật cho hệ
thống mạng của chính phủ và các thông tin tài chính. Bộ quốc phòng cũng tuyên bố
tạo ra một đơn vị Cyber Warfare Command độc lập chịu trách nhiệm cho các hoạt
động phòng thủ và tấn công trong không gian mạng. Hội đồng chiến lƣợc An ninh
mạng Quốc gia (National Cybersecurity Strategy Council) là cơ quan điều phối phát
triển các chính sách không gian mạng, và đƣợc chủ trì bởi ngƣời đứng đầu các hoạt
động tình báo quốc gia (National Intelligence Service). [2]
1.1.2 Tình hình giám sát an ninh mạng tại Việt Nam
Tại Việt Nam các cơ quan bộ ngành khác nhau chịu trách nhiệm giám sát an
ninh mạng cho từng lĩnh vực khác nhau. Để thực hiện GSANM yêu cầu và đòi hỏi một
sự đầu tƣ lớn về con ngƣời và vật chất, bên cạnh đó các chuyên gia thực hiện
GSANM phải am hiểu và có trình độ kỹ thuật sâu đối với công nghệ thông tin nói
chung và các mảng đặc biệt về mạng nói riêng.
4


Bộ Thông tin và Truyền thông thực hiện nhiệm vụ, quyền hạn quy định tại Nghị
định số 36/2012/NĐ-CP và Nghị định số 132/2013/NĐ-CP bảo đảm an toàn thông tin
cho các hệ thống thông tin và Internet; bảo đảm an toàn thông tin cho các hoạt động
ứng dụng và phát triển công nghệ thông tin; phòng, chống thƣ rác; tổ chức thực hiện
chức năng quản lý, điều phối các hoạt động ứng cứu sự cố máy tính trong toàn quốc.
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (Vietnam Computer Emergency
Response Team - VNCERT) là đơn vị trực thuộc Bộ thông tin – Truyền thông đƣợc
thành lập ngày 20/12/2005 theo quyết định số 339/QĐ-TTg của Thủ tƣớng Chính phủ
thực hiện chức năng điều phối và tổ chức các hoạt động phản ứng nhanh các sự cố
máy tính cho mạng Internet Việt Nam. [16]
Bên cạnh đó Bộ Quốc phòng thực hiện quản lý nhà nƣớc về an toàn thông tin
trong lĩnh vực quốc phòng. Một đơn vị khác chịu trách nhiệm xây dựng, đề xuất ban
hành các tiêu chuẩn và quy định kỹ thuật về mật mã trong an toàn và bảo mật thông tin
đó chính là Ban Cơ yếu Chính phủ. Bộ Công an chịu trách nhiệm quản lý, kiểm soát,

phòng ngừa, phát hiện, ngăn chặn, đấu tranh chống âm mƣu, hoạt động lợi dụng hệ
thống thông tin gây phƣơng hại đến an ninh quốc gia, trật tự an toàn xã hội và lợi ích
của công dân. Bộ Công an đã có một số Cục chức năng liên quan tới hoạt động đảm
bảo an toàn, an ninh cho hệ thống CNTT của các cơ quan Nhà nƣớc nhƣ Cục Công
nghệ tin học nghiệp vụ, Cục Phòng chống tội phạm công nghệ cao, Cục An ninh mạng,
Cục An ninh thông tin…
Một số tổ chức khác cũng chung tay góp phần đảm bảo an ninh mạng cho quốc
gia nhƣ: Hiệp hội an toàn thông tin (viết tắt là VNISA) đã ra đời và là tổ chức xã hội
nghề nghiệp phi lợi nhuận đầu tiên hoạt động trong lĩnh vực bảo mật thông tin đƣợc
nhà nƣớc Việt Nam công nhận. VNISA tập hợp các cá nhân, tổ chức làm công tác
nghiên cứu giảng dạy, ứng dụng và phát triển an toàn thông tin nhằm hƣớng dẫn thực
hiện các chủ trƣơng đƣờng lối của nhà nƣớc trong việc ứng dụng và phát triển kỹ
thuật, công nghệ, an toàn thông tin, đƣa ra đề xuất, khuyến nghị với cơ quan quản lý
nhà nƣớc trong việc xây dựng cơ chế chính sách phát triển ngành. [17]
Trung tâm an ninh mạng Bách Khoa, tên đầy đủ là Trung tâm phần mềm và giải
pháp an ninh mạng là một trung tâm nghiên cứu của Trƣờng Đại học Bách Khoa Hà
Nội. Hỗ trợ chuyên môn cho các cơ quan chức năng của Chính phủ trong công tác
phòng chống, truy tìm tội phạm tin học tham gia, xây dựng luật pháp về tội phạm tin
học. Tham gia các hoạt động phòng chống tấn công phá hoại bằng CNTT; Hợp tác với
các tổ chức An ninh mạng và Cứu hộ các sự cố máy tính của các nƣớc trên thế giới và
trong khu vực trong việc khắc phục sự cố máy tính, chia sẻ thông tin về an ninh thông
tin.
1.2 Hệ thống GSANM đang đƣợc triển khai hiện tại
1.2.1 Giới thiệu về hệ thống GSANM
5


GSANM là hệ thống đƣợc xây dựng nhằm mục đích thu thập, theo dõi, phân
tích các sự kiện, dữ liệu ra vào mạng từ đó phát hiện các tấn công mạng và đƣa ra
cảnh báo cho hệ thống mạng đƣợc giám sát. Về bản chất đây là hệ thống phân tích sự

kiện, luồng dữ liệu mà không tích hợp các giải pháp ngăn chặn vào trong đó. Hệ thống
này hoạt động độc lập và chỉ thu thập nhật ký hệ thống của các thiết bị, ứng dụng hay
các luồng dữ liệu chứ không ảnh hƣởng đến chúng. Hệ thống GSANM đƣợc triển
khai tại các hệ thống mạng có độ nhảy cảm cao hoặc có các thông tin cần bảo mật,
hoặc cũng có thể đơn giản chỉ là để theo dõi các diễn biến của mạng. [4]
Về cơ bản hệ thống GSANM tuân thủ theo mô hình SIEM (Security
Information and Event Management). Đây là mô hình chung cho hệ thống GSANM
đƣợc sử dụng rất nhiều trên thế giới và các nhà sản xuất các thiết bị GSANM cũng
dựa trên mô hình chuẩn này. Đối với hệ thống GSANM chức năng chính của nó là sẽ
thu thập:

Các sự kiện an ninh (Securtity Event): Đƣợc sinh ra từ các ứng dụng
hoặc
thiết bị nhƣ: Nhật ký hệ thống IIS, Firewall, VPN (Virtual Private Network),
IDS (Intrusion Detection System), IPS (Intrusion Prevention System), …

Bối cảnh hoạt động mạng (Network activity context): Tầng 7 bối
cảnh ứng dụng từ lƣu lƣợng mạng và lƣu lƣợng các ứng dụng.

Thông tin hệ điều hành: Tên nhà sản xuất và chi tiết về số phiên bản.

Các nhật ký hệ thống ứng dụng: Kế hoạch nguồn lực doanh nghiệp
(Enterprise Resource Planning – ERP), quy trình làm việc, cơ sở dữ liệu ứng
dụng, nền tảng quản lý, … [5]
Với mỗi dòng nhật ký hệ thống sinh đƣợc tính là một sự kiện, các sự kiên đƣợc
tính trên giây (EPS), và xử lý các luồng dữ liệu này đƣợc tính trên phút (FPM) sau đó
hệ thống sẽ tiến hành phân tích bằng các bộ luật và đƣa ra các cảnh báo cần thiết tới
nhà quản trị hệ thống.
Về mô hình GSNAM đƣợc triển khai có hai dạng chính: Dạng phân tán và dạng
hoạt động độc lập.


Dạng phân tán (Distributed): Là mô hình mà trong đó có hệ thống
xử lý
đƣợc đặt ở trung tâm GSANM và mọi hoạt động của hệ thống nhƣ: Các sự
kiện, luồng dữ liệu, …sẽ đƣợc xử lý tại trung tâm sau đó đƣợc hiển thị lên
giao diện Web site. Đối với mô hình này thƣờng đòi hỏi một sự đầu tƣ quy
mô đầu và lực lƣợng con ngƣời phải nhiều mới đủ khả năng để vận hành hệ
thống này.

Dạng hoạt động độc lập (All in one): Đây là mô hình mà hệ thống
đƣợc xây dựng riêng lẻ cho các đơn vị, và không liên quan tới nhau, có
nghĩa là hệ thống hoạt động độc lập. Các nhật ký hệ thống và luồng dữ liệu
đƣợc trực


tiếp thu thập tại mạng con, sau đó đẩy về thiết bị GSANM và tại đây luồng
6


dữ liệu sẽ đƣợc xử lý. Tuy nhiên, mô hình này phù hợp cho các ngân hàng
và đơn vị nhỏ và yêu cầu về đầu tƣ và lực lƣợng con ngƣời không cao.
[4],[6]
1.2.2 Các thành phần chức năng của hệ thống GSANM
Các thành phần chính của hệ thống GSANM đƣợc mô tả nhƣ hình 1.1. Trong
đó:


CONSOLE:
o
Là nơi xử lý, lƣu trữ các sự kiện an ninh đƣợc cảnh báo, các

sự kiện này đƣợc gửi lên từ Event Processor và Flow Processor.
Ngoài ra tại đây còn chứa các tập luật xử lý các dữ liệu, CONSOLE
có khả năng hoạt động độc lập.
o
CONSOLE có hai giao diện, giao diện command line giúp
ngƣời quản trị cấu hình, xử lý các lỗi hệ thống, ... và giao diện web là
nơi hiển thị các cảnh báo cũng nhƣ các sự kiện thu thập đƣợc. Các
cảnh báo sẽ đƣợc lƣu trữ tùy vào cấu hình quản trị trong bao lâu,
thƣờng là một năm cho mỗi hệ thống.
o
Năng lực hoạt động của CONSOLE tùy thuộc vào nhiều yếu
tố nhƣ: Đƣờng truyền mạng, cấu hình phần cứng, … thông thƣờng
hệ thống hoạt động với công suất 1000EPS và 100000FPM. Khi hệ
thống GSANM đƣợc thiết lập và cấu hình thì CONSOLE sẽ tự động
cấu hình tƣơng ứng cho các thiết bị khác một cách chủ động sau khi
kết nối vào các thiết bị thông qua cổng 22. Từ đó các việc cấu hình
các thiết bị trong hệ thống GSANM có thể đƣợc thực hiện thông qua
CONSOLE bằng hai cách đó là qua giao diện Web với cổng 443 hoặc
qua giao diện command line. [6]



EVENT PROCESSOR (EP):
o
Đây là nơi xử lý các sự kiện đƣợc gửi về từ Event Collector.
Các sự kiện này sẽ đƣợc xử lý thông qua các tập luật tại đây. Nếu là
cảnh báo hoặc các sự kiện từ các thiết bị an ninh đƣa ra cảnh báo thì
nó sẽ đƣợc gửi thẳng trực tiếp lên CONSOLE để xử lý. Nếu là các sự
kiện không đƣa ra cảnh báo sẽ đƣợc lƣu trữ tại đây mà không
chuyển lên

CONSOLE.
o
Các sự kiện đƣợc lƣu trữ tùy theo cấu hình của quản trị,
thƣờng là ba tháng cho các sự kiện không đƣa ra cảnh báo. Các nhật
ký hệ thống không đƣa ra cảnh báo nó sẽ đƣợc quản lý qua giao diện
web của CONSOLE. [6]
7




FLOW PROCESSOR (FP): Đây là nơi xử lý luồng dữ liệu, FP
nhận dữ liệu từ Flow Collector và xử lý dựa trên các tập luật của FP. Sau đó,
các cảnh báo sẽ đƣợc nó gửi lên CONSOLE còn các sự kiện không đƣa ra
cảnh báo sẽ đƣợc lƣu trữ tại FP và đƣợc quản lý dựa trên giao diện web của
CONSOLE. Thời gian lƣu trữ các sự kiện này tùy thuộc vào cấu hình
thƣờng là ba tháng.

Hình 1.1: Các thành phần của hệ thống GSANM


EVENT COLLECTOR (EC):
o
Là nơi thu thập nhật ký hệ thống, tiếp nhận các nhật ký hệ
thống từ các thiết bị, hoặc các ứng dụng gửi về. Tại đây nhật ký hệ
thống sẽ đƣợc mã hóa, nén và gửi về EP qua cổng 22. Sau đó nó sẽ
đƣợc EP phân tích và xử lý.
o
Đối với EC có rất nhiều phƣơng pháp lấy nhật ký hệ thống
khác nhau VD: Cài đặt agent lên các máy tính cần thu thập và gửi

nhật ký hệ thống đã đƣợc chỉ định về cho EC. Tại CONSOLE ngƣời
quản trị sẽ cấu hình cho EC thu nhận các nhật ký hệ thống từ các
agent này. Sau đó các nhật ký hệ thống này sẽ đƣợc quản lý dựa trên
giao diện web của CONSOLE. EC chỉ có khả năng thu thập các sự
kiện mà không có khả năng thu thập các luồng dữ liệu. Với một thiết
bị, dịch vụ nhƣ IIS, thƣờng có khoảng 20 sự kiện trên giây (20 EPS).
[7]
8



FLOW COLLECTOR (FC): Đây là nơi thu thập các luồng dữ liệu
từ mạng đƣợc giám sát. FC thƣờng thu nhận luồng dữ liệu từ các switch có
chức năng span port của Cisco. Sau đó dữ liệu cũng đƣợc nén, mã hóa và
chuyển về FP xử lý thông qua cổng 22. CONSOLE sẽ cấu hình cho FC lắng
nghe ở cổng Ethernet đƣợc kết nối với span port để thu thập dữ liệu. Khả
năng xử lý hiện tại trên hệ thống GSANM đối với FC là 220000FPM. [6]
Các thiết bị phần cứng EC và FC của hệ thống GSANM có chức năng thu thập
nhật ký hệ thống ở dạng ―thô‖ là dạng chƣa đƣợc phân tích. Đối với mỗi thiết bị này
ngƣời quản trị hệ thống cần cung cấp địa chỉ IP tĩnh public, sau đó việc trao đổi dữ
liệu qua hệ thống sẽ đƣợc mã hóa, nén lại và gửi tới EP, FP để phân tích và xử lý
thông qua cổng 22. CONSOLE sẽ hiển thị dữ liệu lên giao diện web để ngƣời quản trị
có thể sẽ xem các cảnh báo này thông qua cổng 443.
1.2.3 Mô hình của hệ thống GSANM
1.2.3.1 Hệ thống GSANM phân tán

Hình 1.2: Mô hình hệ thống GSANM phân tán
Hệ thống GSANM phân tán đƣợc xây dựng theo quy mô lớn về thiết bị và con
ngƣời. Các EC và FC có thể đƣợc đặt ở rất nhiều mạng khác nhau, và năng lực hoạt động
của hệ thống đƣợc tính toán kỹ lƣỡng sao cho khả năng xử lý của các thiết bị đáp ứng

đƣợc nhu cầu hệ thống mà không bị quá tải. Để thu thập nhật ký hệ thống từ các thiết bị
hay ứng dụng trƣớc hết EC phải kết nối đến các thiết bị hoặc ứng dụng đó. Sau đó tùy
theo các dạng ứng dụng hay thiết bị mà cách cấu hình lấy nhật ký hệ thống sẽ
9


khác nhau. Nhƣng điều tối thiểu nhất đó là các thiết bị phải đƣợc kích hoạt chế độ lƣu
nhật ký hệ thống.
Với các ứng dụng thì các file nhật ký hệ thống đã có định dạng sẵn, chế độ lƣu
nhật ký hệ thống dễ dàng đƣợc kích hoạt và lƣu vào một thƣ mục nào đó trên máy
tính. EC sẽ đƣợc cung cấp tài khoản, trao quyền truy cập vào thƣ mục và đọc các nhật
ký hệ thống đó, sau đó nhật ký hệ thống này sẽ đƣợc chuyển về EC. Tuy nhiên, có
những thiết bị không cho phép thu thập nhật ký hệ thống nhƣ cách trên VD: Firewall
Checkpoint, IPS, … thì các thiết bị này luôn có các tính năng ―forward log‖ cho
server nên khi cấu hình thu thập nhật ký hệ thống ngƣời quản trị buộc phải sử dụng
phƣơng pháp này.
Đối với FC, thiết bị này sẽ đƣợc kết nối vật lý với các switch hỗ trợ span port
và dữ liệu sẽ đƣợc gửi về FC thông qua span port. Nhật ký hệ thống sau khi đƣợc EC
và FC thu thập sẽ đƣợc nén, mã hóa và gửi về cho EP và FP tƣơng ứng thông qua giao
thức SSH cổng 22, các nhật ký hệ thống này đƣợc xử lý tại EP và FP và gửi lên
CONSOLE những cảnh báo cần thiết, CONSOLE sẽ hiển thị chúng lên giao diện web
thông qua cổng 443.
Nhƣ vậy hệ thống GSANM phân tán là một quá trình xuyên suốt từ việc thu
thập nhật ký hệ thống hay luồng dữ liệu tới EC, FC sau đó nhật ký hệ thống đƣợc
chuyển tiếp về EP và FP rồi gửi đến CONSOLE và hiển thị lên giao diện web. Toàn bộ
quá trình này đều đƣợc nén và mã hóa để đảm bảo không bị lộ khi có tấn công xảy ra.
Một đặc điểm đáng chú ý khác nữa là khi kết nối giữa các thiết bị đƣợc thiết lập thì
toàn bộ hệ thống đƣợc cấu hình qua thiết bị CONSOLE trên giao diện web hoặc giao
diện command line.
1.2.3.2 Mô hình hệ thống GSANM hoạt động độc lập (All in one)

Mô hình hệ thống GSANM độc lập chỉ có một thiết bị duy nhất đó là
CONSOLE (All in One). Nhật ký hệ thống và luồng dữ liệu đƣợc gửi trực tiếp lên
thiết bị này mà không cần thông qua EP, FP, EC, FC. CONSOLE có khả năng hoạt
động độc lập và có chức năng tƣơng ứng với tất cả các thiết bị kia. Do vậy, khi nhật ký
hệ thống đƣợc gửi về thì CONSOLE sẽ xử lý và trực tiếp hiển thị lên giao diện Web.
Hệ thống này chỉ thích hợp cho các mạng nhỏ và vừa nhƣ các ngân hàng hoặc các
doanh nghiệp nhỏ và không cần đầu tƣ quá lớn về nhân lực và trang thiết bị. [6].

10


Hình 1.3: Mô hình hệ thống GSANM độc lập
1.3 Giao diện quản lý của hệ thống GSANM
Giao diện của hệ thống GSANM cơ bản có 07 thành phần chính sau:

Dashboard: Là nơi hiển thị dữ liệu dƣới dạng biểu đồ giúp cho các chuyên
gia GSANM có cái nhìn tổng quát về toàn bộ hệ thống đƣợc giám sát. Việc hiển thị
dƣới dạng đồ thị trực quan ở thời gian thực rất hiệu quả cho việc GSANM. Cấu
hình thời gian thực để mô tả các biểu đồ này do ngƣời quản trị hệ thống lựa chọn
có thể trong vòng một phút. Dữ liệu hiển thị dƣới dạng bảng hay biểu đồ tùy thuộc
mục đích của ngƣời quản trị hệ thống.

Hình 1.4: Tap Dashboard
11



Offenses: Đây là nơi hiển thị các cảnh báo và các nguy cơ có thể bị tấn
công, và quản lý các tập luật cho hệ thống mạng đƣợc giám sát. Offenses cũng cho
phép ngƣời quản trị tạo các tập luật mới phù hợp với hệ thống mạng đƣợc giám

sát. Ngƣời quản trị có thể tìm kiếm, lọc các cảnh báo tại Offenses theo thời gian,
dạng tấn công hoặc theo từng hệ thống mạng cụ thể. Việc xử lý hoặc gửi cảnh báo
tự động bằng địa chỉ email hay SMS là tính năng không thể thiếu của Offenses. Dữ
liệu đƣợc hiển thị trong phần Offenses có thể đƣợc xuất ra dƣới dạng file .doc, do
đó điều này rất hiệu quả trong việc thực hiện viết các báo cáo.

Hình 1.5: Tap Offenses

Log Activity: Là nơi hiển thị nhật ký hệ thống đƣợc thu thập từ Event
Collector cho hệ thống mạng đƣợc giám sát. Các nhật ký hệ thống này đƣợc thu
thập và lƣu trữ tại Event Processor và Flow Processor, sau đó sẽ đƣợc gửi lên
CONSOLE và hiển thị qua giao diện web tại Log Activity. Tại đây, ngƣời quản trị
có thể theo dõi dòng dữ liệu nhật ký hệ thống theo thời gian thực, do đó giúp cho
ngƣời quản trị phát hiện các tấn công có thể xảy ra khi kẻ tấn công mới bắt đầu
thực hiện dò quét và tìm kiếm thông tin.

Hình 1.6: Tap Log Activity
12