ĐỀ TÀI: NGHIÊN CỨU CÁC HỆ THỐNG GIÁM SÁT VÀ CẢNH BÁO AN
NINH MẠNG
Nguyễn Kim Ngân 2033181049
Nguyễn Thị Thu Hồng 2033180026


Tổng quát về SIEM

01

02
Tại sao SIEM quan trọng

Nghiên cứu các hệ thống giám sát an ninh sự kiện (SIEM)

03
SIEM hoạt động như thế nào?

04

05

Lợi ích của SIEM

Các cơng cụ và tính năng


01
SIEM là gì?
Tổng quan về SIEM

SIEM:
Security Information and Event Management (SIEM) là một giải pháp phần mềm để tổng hợp và phân tích các hoạt động từ nhiều nguồn tài nguyên
khác nhau trên toàn bộ cơ sở hạ tầng.

SIEM thu thập dữ liệu bảo mật từ các thiết bị mạng, máy chủ, bộ điều khiển miền, v.v. SIEM lưu trữ, chuẩn hoá, tổng hợp và áp dụng phâp tích vào
dữ liệu đó để khám phá các xu hướng, phát hiện các mối đe doạ và cho phép các tổ chức điều tra bất kỳ cảnh báo nào.


Tại sao SIEM
02
lại quan


Kết hợp quản lý thông tin bảo mật(SIM – Security

SIEM là một giải pháp bảo mật giúp cho các doanh

Information Management) và quản lý sự kiện bảo mật

nghiệp nhận ra các mối đe doạ và lỗ hổng bảo mật

(SEM – Security Event Management), SIEM cung cấp

trước khi chúng gián đoạn hoạt động kinh doanh của

khả năng giám sát và phân tích các sự kiện thời gian

doanh nghiệp. Nó chỉ ra những hành vi bất thường của


thực cũng như theo dõi và ghi lại dữ liệu cho mục đích
kiểm tốn.

người dùng và sử dụng AI để tự động hoá các quy trình
thủ cơng kết hợp với phát hiện các mối đe doạ và phản
hồi biến cố và trở thành yếu tố chính trong các trung
tâm điều hành an ninh (SOCs – Security Operation
Centers) .


SIEM hoạt
03
động như
thế nào?


Tất cả các giải pháp SIEM thực hiện một số chức năng tổng hợp, hợp nhất và phân loại dữ liệu để xác định
các mối đe dọa và tuân thủ các yêu cầu về tuân thủ dữ liệu. Mặc dù một số giải pháp khác nhau về khả
năng, nhưng hầu hết đều cung cấp cùng một bộ chức năng cốt lõi

Quản lý nhật ký

Tương quan sự kiện và phân tích

Giám sát sự cố và cảnh báo an ninh

Quản lý tuân thủ và báo cáo


SIEM thu thập dữ liệu sự kiện từ nhiều nguồn trên toàn bộ mạng của tổ chức. Nhật ký và luồng dữ liệu từ người dùng,

ứng dụng, nội dung, môi trường đám mây và mạng được thu thập, lưu trữ và phân tích trong thời gian thực, mang lại

Quản lý
nhật ký

cho các nhóm “CNTT và bảo mật” khả năng tự động quản lý nhật ký sự kiện của mạng và dữ liệu luồng mạng ở một vị
trí tập trung.
Một số giải pháp SIEM cũng tích hợp với nguồn cấp dữ liệu thơng tin tình báo về mối đe dọa của bên thứ ba để tương
quan dữ liệu bảo mật nội bộ của chúng với các chữ ký và hồ sơ mối đe dọa đã được cơng nhận trước đây. Tích hợp với
nguồn cấp dữ liệu về mối đe dọa trong thời gian thực cho phép các nhóm chặn hoặc phát hiện các loại chữ ký tấn
công mới.


Tương quan sự kiện là một phần thiết yếu của bất kỳ giải pháp SIEM nào. Sử dụng phân tích nâng cao để xác định và

Tương quan sự
kiện và phân
tích

hiểu các mẫu dữ liệu phức tạp, tương quan sự kiện cung cấp thơng tin chi tiết để nhanh chóng xác định vị trí và giảm
thiểu các mối đe dọa tiềm ẩn đối với bảo mật doanh nghiệp. Các giải pháp SIEM cải thiện đáng kể thời gian trung bình
để phát hiện (MTTD) và thời gian trung bình để cộng hưởng (MTTR) cho các nhóm bảo mật CNTT bằng cách giảm tải
quy trình cơng việc thủ cơng liên quan đến phân tích chuyên sâu các sự kiện bảo mật.


Bởi vì chúng cho phép quản lý tập trung cơ sở hạ tầng tại chỗ và dựa trên đám mây, các giải pháp SIEM có thể xác

Giảm sát sự cố
và cảnh báo an
ninh


định tất cả các thực thể của môi trường CNTT. Điều này cho phép công nghệ SIEM giám sát các sự cố bảo mật trên tất
cả người dùng, thiết bị và ứng dụng được kết nối đồng thời phân loại hành vi bất thường khi nó được phát hiện trong
mạng. Sử dụng các quy tắc tương quan có thể tùy chỉnh, được xác định trước, quản trị viên có thể được cảnh báo
ngay lập tức và thực hiện các hành động thích hợp để giảm thiểu nó trước khi nó hiện thực hóa thành các vấn đề bảo
mật quan trọng hơn.


Các giải pháp SIEM là một lựa chọn phổ biến cho các tổ chức tuân theo các hình thức tuân thủ quy định khác nhau. Do

Quản lý tuân
thủ và báo cáo

khả năng thu thập và phân tích dữ liệu tự động mà nó cung cấp, SIEM là một cơng cụ có giá trị để thu thập và xác
minh dữ liệu tuân thủ trên toàn bộ cơ sở hạ tầng kinh doanh. Các giải pháp SIEM có thể tạo báo cáo tuân thủ theo thời
gian thực cho PCI-DSS, GDPR, HIPPA, SOX và các tiêu chuẩn tuân thủ khác, giảm gánh nặng quản lý bảo mật và phát
hiện sớm các vi phạm tiềm ẩn để chúng có thể được giải quyết. Nhiều giải pháp SIEM đi kèm với các tiện ích bổ sung
có sẵn, được xây dựng sẵn có thể tạo các báo cáo tự động được thiết kế để đáp ứng các yêu cầu tuân thủ.


04
Lợi ích của
SIEM:


Một số lợi ích bao gồm:

Tự động hóa do AI điều
Nhận dạng mối đe dọa theo thời


Kiểm toán tuân thủ quy định

khiển

Cải thiện hiệu quả tổ chức

gian thực nâng cao

Giúp giảm đáng kể thời gian cần thiết

Cho phép đánh giá và báo cáo tuân

Tích hợp với các khả năng Điều phối

Là một động lực thiết yếu để cải

để xác định và phản ứng với các mối

thủ tập trung trên toàn bộ cơ sở hạ

bảo mật, Tự động hóa và Phản hồi

thiện hiệu quả giữa các bộ phận. Với

đe dọa và lỗ hổng bảo mật tiềm ẩn

tầng. Tự động hóa nâng cao hợp lý

(SOAR) mạnh mẽ, tiết kiệm thời gian


một cái nhìn thống nhất, duy nhất về

trên mạng, giúp củng cố vị thế bảo

hóa việc thu thập và phân tích nhật

và tài nguyên. Thích ứng với hành vi

dữ liệu hệ thống và SOAR tích hợp,

mật khi tổ chức mở rộng quy mô

ký hệ thống và các sự kiện bảo mật

mạng, các giải pháp này có thể xử lý

các nhóm có thể giao tiếp và cộng

để giảm việc sử dụng tài nguyên nội

các giao thức xác định mối đe dọa

tác hiệu quả khi phản ứng với các sự

bộ

phức tạp và phản ứng sự cố trong

kiện đã nhận biết và sự cố bảo mật.


thời gian ngắn


Một số lợi ích bao gồm:

Phát hiện các mối đe dọa nâng

Tiến hành điều tra pháp y

cao và không xác định

Đánh giá và báo cáo về sự

Giám sát người dùng và ứng

tuân thủ

dụng

Các giải pháp SIEM có thể giảm thiểu

Thực hiện các cuộc điều tra pháp y

Là một nhiệm vụ cần thiết và đầy

Theo dõi tất cả hoạt động mạng trên tất

thành công các vi phạm bảo mật thời

kỹ thuật số khi sự cố bảo mật xảy ra.


thách thức đối với nhiều tổ chức.

cả người dùng, thiết bị và ứng dụng, cải

hiện đại như:

Các giải pháp SIEM cho phép các tổ

giúp giảm đáng kể chi phí tài nguyên

thiện đáng kể tính minh bạch trên tồn

Mối đe dọa từ nội bộ

chức thu thập và phân tích hiệu quả

cần thiết để quản lý q trình này

Tấn cơng lừa đảo

dữ liệu nhật ký từ tất cả các tài sản

bằng cách cung cấp các cuộc đánh

SQL Injjection

kỹ thuật số. Có khả năng tạo lại các

giá thời gian thực và báo cáo theo


Tấn công DDoS

sự cố trong quá khứ hoặc phân tích

yêu cầu về việc tuân thủ quy định

Lọc dữ liệu

các sự cố mới để điều tra hoạt động

bất cứ khi nào cần.

•
•
•
•
•

đáng ngờ và thực hiện các quy trình
bảo mật hiệu quả hơn.

bộ cơ sở hạ tầng và phát hiện các mối
đe dọa bất kể nơi các tài sản và dịch vụ
kỹ thuật số đang được truy cập.


05
Các cơng cụ
và tính năng



Các cơng cụ và tính năng:

Khả năng hiển

Phân tích

thị mạng

Quản lý dữ

Mối đe dọa

liệu nhật ký

thông minh


Các cơng cụ và tính năng:

Tích hợp bảo

Trang tổng quan

mật & CNTT

và báo cáo

Cảnh báo thời

gian thực

Tuân thủ CNTT


Nghiên cứu các thuật
Long Short-Term Memnory là gì?

01

tốn máy học ứng dụng
trong Phát hiện bất
thường

02

Mơ hình LSTM


LSTM (Long Short-Term Memnory) là gì?

Deep learning có 2 mơ hình lớn là Convolutional Neural Network (CNN) xử lý thơng tin với input là
hình ảnh và Recurrent neural network (RNN) xử lý thơng tin dưới dạng chuỗi (sequence/time-series),
nhưng RNN có hiện tượng bất ổn số học khi tính gradient (đạo hàm) – vanishing gradient problem,
do đó LSTM là một dạng đặc biệt của RNN, hoạt động cực kì hiệu quả trên nhiều bài toán khác nhau
nên dần đã trở nên phổ biến. Có khả năng nhớ thơng tin trong suốt thời gian dài và ta khơng cần
huấn luyện để có thể nhớ được, điều mà RNN không làm được


Mơ hình LSTM


Mạng LSTM có thể bao gồm nhiều tế bào LSTM (LSTM memory cell) được liên kết với nhau. Ý tưởng của LSTM là thêm trạng thái
bên trong tế bào cell state và 3 cổng sàng lọc thông tin đầu vào và đầu ra cho tế bào.

LSTM có 3 cổng: input gate, forget gate, output gate, bên cạnh đó cịn một ơ nhớ có kích thước giống bới hidden state được thiết
kế để ghi lại các thông tin bổ sung.

Dữ liệu được đưa vào các cổng LSTM là input X t và hidden state Ht-1 các đầu vào này sẽ được xử lý bằng FC layer ( tầng kế nối đầu
đủ và 1 hàm kích hoạt sigmoid) để tính các giá trị của input gate, forget gate, output gate. Kết quả là một số trong khoảng [0,1]
cho mỗi số trạng thái tế bào Ct-1.


Mơ hình LSTM


Mơ hình LSTM

Mỗi minibatch có kích thước n và kích
nxd
thước đầu vào là d. Vậy, input Xt ∈ R
,
nxd
hidden state Ht-1 ∈ R
. Vậy các cổng
được định nghĩa:
Input gate It ∈ R

nxh

Forget gate Ft ∈ R


,

nxh

Output gate Ot ∈ R

,

nxh

Công thức tính như sau:
Ft = σ(Uf Xt + Wf Ht-1 + bf),
It = σ(Ui Xt + Wi Ht-1 + bi),
Ot = σ(Uo Xt + Wo Ht-1 + bo)


Mơ hình LSTM

Tiếp theo, thiết kế một ơ nhớ - ô nhớ tiềm năng ( candidate memory cell ) Ĉ t ∈ R

nxh
. Theo phương trình sau tại thời gian t: Ĉt =

tanh(Uc Xt + Wc Ht-1 + bc)
dxh
hxh
1xh
Với Uc ∈ R
và Wc ∈ R

là các tham số trọng số và bc ∈ R
là một hệ số điều chỉnh.

Trong LSTM, ta có 2 tham số It là dữ liệu mới được lấy thông qua Ĉt và tham số Ft chỉ định lượng thông tin cũ cần giữ lại trong ô nhớ
nxh
Ct-1 ∈ R
. Sử dụng phép nhân theo từng pointwise, ta có phương trình sau: Ct = Ft ⊙ Ct-1 + It ⊙ Ĉt .

Nếu giá trị ở forget gate luôn xấp xỉ bằng 1 và inputgate luôn xấp xỉ bằng 0, thì giá trị ơ nhớ trong q khứ C t-1 sẽ được lưu lại và
truyền tới bước thời gian hiện tại. Đây chính là bước nhằm giảm bớt vấn đề vanishing gradient ( đạo hàm bị triệt tiêu) cũng như
nắm bắt các phụ thuộc dài hạn trong chuỗi thời gian tốt hơn.


Mơ hình LSTM