ĐỀ TÀI: NGHIÊN CỨU CÁC HỆ THỐNG GIÁM SÁT VÀ CẢNH BÁO AN
NINH MẠNG
Nguyễn Kim Ngân 2033181049
Nguyễn Thị Thu Hồng 2033180026
Tổng quát về SIEM
01
02
Tại sao SIEM quan trọng
Nghiên cứu các hệ thống giám sát an ninh sự kiện (SIEM)
03
SIEM hoạt động như thế nào?
04
05
Lợi ích của SIEM
Các cơng cụ và tính năng
01
SIEM là gì?
Tổng quan về SIEM
SIEM:
Security Information and Event Management (SIEM) là một giải pháp phần mềm để tổng hợp và phân tích các hoạt động từ nhiều nguồn tài nguyên
khác nhau trên toàn bộ cơ sở hạ tầng.
SIEM thu thập dữ liệu bảo mật từ các thiết bị mạng, máy chủ, bộ điều khiển miền, v.v. SIEM lưu trữ, chuẩn hoá, tổng hợp và áp dụng phâp tích vào
dữ liệu đó để khám phá các xu hướng, phát hiện các mối đe doạ và cho phép các tổ chức điều tra bất kỳ cảnh báo nào.
Tại sao SIEM
02
lại quan
Kết hợp quản lý thông tin bảo mật(SIM – Security
SIEM là một giải pháp bảo mật giúp cho các doanh
Information Management) và quản lý sự kiện bảo mật
nghiệp nhận ra các mối đe doạ và lỗ hổng bảo mật
(SEM – Security Event Management), SIEM cung cấp
trước khi chúng gián đoạn hoạt động kinh doanh của
khả năng giám sát và phân tích các sự kiện thời gian
doanh nghiệp. Nó chỉ ra những hành vi bất thường của
thực cũng như theo dõi và ghi lại dữ liệu cho mục đích
kiểm tốn.
người dùng và sử dụng AI để tự động hoá các quy trình
thủ cơng kết hợp với phát hiện các mối đe doạ và phản
hồi biến cố và trở thành yếu tố chính trong các trung
tâm điều hành an ninh (SOCs – Security Operation
Centers) .
SIEM hoạt
03
động như
thế nào?
Tất cả các giải pháp SIEM thực hiện một số chức năng tổng hợp, hợp nhất và phân loại dữ liệu để xác định
các mối đe dọa và tuân thủ các yêu cầu về tuân thủ dữ liệu. Mặc dù một số giải pháp khác nhau về khả
năng, nhưng hầu hết đều cung cấp cùng một bộ chức năng cốt lõi
Quản lý nhật ký
Tương quan sự kiện và phân tích
Giám sát sự cố và cảnh báo an ninh
Quản lý tuân thủ và báo cáo
SIEM thu thập dữ liệu sự kiện từ nhiều nguồn trên toàn bộ mạng của tổ chức. Nhật ký và luồng dữ liệu từ người dùng,
ứng dụng, nội dung, môi trường đám mây và mạng được thu thập, lưu trữ và phân tích trong thời gian thực, mang lại
Quản lý
nhật ký
cho các nhóm “CNTT và bảo mật” khả năng tự động quản lý nhật ký sự kiện của mạng và dữ liệu luồng mạng ở một vị
trí tập trung.
Một số giải pháp SIEM cũng tích hợp với nguồn cấp dữ liệu thơng tin tình báo về mối đe dọa của bên thứ ba để tương
quan dữ liệu bảo mật nội bộ của chúng với các chữ ký và hồ sơ mối đe dọa đã được cơng nhận trước đây. Tích hợp với
nguồn cấp dữ liệu về mối đe dọa trong thời gian thực cho phép các nhóm chặn hoặc phát hiện các loại chữ ký tấn
công mới.
Tương quan sự kiện là một phần thiết yếu của bất kỳ giải pháp SIEM nào. Sử dụng phân tích nâng cao để xác định và
Tương quan sự
kiện và phân
tích
hiểu các mẫu dữ liệu phức tạp, tương quan sự kiện cung cấp thơng tin chi tiết để nhanh chóng xác định vị trí và giảm
thiểu các mối đe dọa tiềm ẩn đối với bảo mật doanh nghiệp. Các giải pháp SIEM cải thiện đáng kể thời gian trung bình
để phát hiện (MTTD) và thời gian trung bình để cộng hưởng (MTTR) cho các nhóm bảo mật CNTT bằng cách giảm tải
quy trình cơng việc thủ cơng liên quan đến phân tích chuyên sâu các sự kiện bảo mật.
Bởi vì chúng cho phép quản lý tập trung cơ sở hạ tầng tại chỗ và dựa trên đám mây, các giải pháp SIEM có thể xác
Giảm sát sự cố
và cảnh báo an
ninh
định tất cả các thực thể của môi trường CNTT. Điều này cho phép công nghệ SIEM giám sát các sự cố bảo mật trên tất
cả người dùng, thiết bị và ứng dụng được kết nối đồng thời phân loại hành vi bất thường khi nó được phát hiện trong
mạng. Sử dụng các quy tắc tương quan có thể tùy chỉnh, được xác định trước, quản trị viên có thể được cảnh báo
ngay lập tức và thực hiện các hành động thích hợp để giảm thiểu nó trước khi nó hiện thực hóa thành các vấn đề bảo
mật quan trọng hơn.
Các giải pháp SIEM là một lựa chọn phổ biến cho các tổ chức tuân theo các hình thức tuân thủ quy định khác nhau. Do
Quản lý tuân
thủ và báo cáo
khả năng thu thập và phân tích dữ liệu tự động mà nó cung cấp, SIEM là một cơng cụ có giá trị để thu thập và xác
minh dữ liệu tuân thủ trên toàn bộ cơ sở hạ tầng kinh doanh. Các giải pháp SIEM có thể tạo báo cáo tuân thủ theo thời
gian thực cho PCI-DSS, GDPR, HIPPA, SOX và các tiêu chuẩn tuân thủ khác, giảm gánh nặng quản lý bảo mật và phát
hiện sớm các vi phạm tiềm ẩn để chúng có thể được giải quyết. Nhiều giải pháp SIEM đi kèm với các tiện ích bổ sung
có sẵn, được xây dựng sẵn có thể tạo các báo cáo tự động được thiết kế để đáp ứng các yêu cầu tuân thủ.
04
Lợi ích của
SIEM:
Một số lợi ích bao gồm:
Tự động hóa do AI điều
Nhận dạng mối đe dọa theo thời
Kiểm toán tuân thủ quy định
khiển
Cải thiện hiệu quả tổ chức
gian thực nâng cao
Giúp giảm đáng kể thời gian cần thiết
Cho phép đánh giá và báo cáo tuân
Tích hợp với các khả năng Điều phối
Là một động lực thiết yếu để cải
để xác định và phản ứng với các mối
thủ tập trung trên toàn bộ cơ sở hạ
bảo mật, Tự động hóa và Phản hồi
thiện hiệu quả giữa các bộ phận. Với
đe dọa và lỗ hổng bảo mật tiềm ẩn
tầng. Tự động hóa nâng cao hợp lý
(SOAR) mạnh mẽ, tiết kiệm thời gian
một cái nhìn thống nhất, duy nhất về
trên mạng, giúp củng cố vị thế bảo
hóa việc thu thập và phân tích nhật
và tài nguyên. Thích ứng với hành vi
dữ liệu hệ thống và SOAR tích hợp,
mật khi tổ chức mở rộng quy mô
ký hệ thống và các sự kiện bảo mật
mạng, các giải pháp này có thể xử lý
các nhóm có thể giao tiếp và cộng
để giảm việc sử dụng tài nguyên nội
các giao thức xác định mối đe dọa
tác hiệu quả khi phản ứng với các sự
bộ
phức tạp và phản ứng sự cố trong
kiện đã nhận biết và sự cố bảo mật.
thời gian ngắn
Một số lợi ích bao gồm:
Phát hiện các mối đe dọa nâng
Tiến hành điều tra pháp y
cao và không xác định
Đánh giá và báo cáo về sự
Giám sát người dùng và ứng
tuân thủ
dụng
Các giải pháp SIEM có thể giảm thiểu
Thực hiện các cuộc điều tra pháp y
Là một nhiệm vụ cần thiết và đầy
Theo dõi tất cả hoạt động mạng trên tất
thành công các vi phạm bảo mật thời
kỹ thuật số khi sự cố bảo mật xảy ra.
thách thức đối với nhiều tổ chức.
cả người dùng, thiết bị và ứng dụng, cải
hiện đại như:
Các giải pháp SIEM cho phép các tổ
giúp giảm đáng kể chi phí tài nguyên
thiện đáng kể tính minh bạch trên tồn
Mối đe dọa từ nội bộ
chức thu thập và phân tích hiệu quả
cần thiết để quản lý q trình này
Tấn cơng lừa đảo
dữ liệu nhật ký từ tất cả các tài sản
bằng cách cung cấp các cuộc đánh
SQL Injjection
kỹ thuật số. Có khả năng tạo lại các
giá thời gian thực và báo cáo theo
Tấn công DDoS
sự cố trong quá khứ hoặc phân tích
yêu cầu về việc tuân thủ quy định
Lọc dữ liệu
các sự cố mới để điều tra hoạt động
bất cứ khi nào cần.
•
•
•
•
•
đáng ngờ và thực hiện các quy trình
bảo mật hiệu quả hơn.
bộ cơ sở hạ tầng và phát hiện các mối
đe dọa bất kể nơi các tài sản và dịch vụ
kỹ thuật số đang được truy cập.
05
Các cơng cụ
và tính năng
Các cơng cụ và tính năng:
Khả năng hiển
Phân tích
thị mạng
Quản lý dữ
Mối đe dọa
liệu nhật ký
thông minh
Các cơng cụ và tính năng:
Tích hợp bảo
Trang tổng quan
mật & CNTT
và báo cáo
Cảnh báo thời
gian thực
Tuân thủ CNTT
Nghiên cứu các thuật
Long Short-Term Memnory là gì?
01
tốn máy học ứng dụng
trong Phát hiện bất
thường
02
Mơ hình LSTM
LSTM (Long Short-Term Memnory) là gì?
Deep learning có 2 mơ hình lớn là Convolutional Neural Network (CNN) xử lý thơng tin với input là
hình ảnh và Recurrent neural network (RNN) xử lý thơng tin dưới dạng chuỗi (sequence/time-series),
nhưng RNN có hiện tượng bất ổn số học khi tính gradient (đạo hàm) – vanishing gradient problem,
do đó LSTM là một dạng đặc biệt của RNN, hoạt động cực kì hiệu quả trên nhiều bài toán khác nhau
nên dần đã trở nên phổ biến. Có khả năng nhớ thơng tin trong suốt thời gian dài và ta khơng cần
huấn luyện để có thể nhớ được, điều mà RNN không làm được
Mơ hình LSTM
Mạng LSTM có thể bao gồm nhiều tế bào LSTM (LSTM memory cell) được liên kết với nhau. Ý tưởng của LSTM là thêm trạng thái
bên trong tế bào cell state và 3 cổng sàng lọc thông tin đầu vào và đầu ra cho tế bào.
LSTM có 3 cổng: input gate, forget gate, output gate, bên cạnh đó cịn một ơ nhớ có kích thước giống bới hidden state được thiết
kế để ghi lại các thông tin bổ sung.
Dữ liệu được đưa vào các cổng LSTM là input X t và hidden state Ht-1 các đầu vào này sẽ được xử lý bằng FC layer ( tầng kế nối đầu
đủ và 1 hàm kích hoạt sigmoid) để tính các giá trị của input gate, forget gate, output gate. Kết quả là một số trong khoảng [0,1]
cho mỗi số trạng thái tế bào Ct-1.
Mơ hình LSTM
Mơ hình LSTM
Mỗi minibatch có kích thước n và kích
nxd
thước đầu vào là d. Vậy, input Xt ∈ R
,
nxd
hidden state Ht-1 ∈ R
. Vậy các cổng
được định nghĩa:
Input gate It ∈ R
nxh
Forget gate Ft ∈ R
,
nxh
Output gate Ot ∈ R
,
nxh
Công thức tính như sau:
Ft = σ(Uf Xt + Wf Ht-1 + bf),
It = σ(Ui Xt + Wi Ht-1 + bi),
Ot = σ(Uo Xt + Wo Ht-1 + bo)
Mơ hình LSTM
Tiếp theo, thiết kế một ơ nhớ - ô nhớ tiềm năng ( candidate memory cell ) Ĉ t ∈ R
nxh
. Theo phương trình sau tại thời gian t: Ĉt =
tanh(Uc Xt + Wc Ht-1 + bc)
dxh
hxh
1xh
Với Uc ∈ R
và Wc ∈ R
là các tham số trọng số và bc ∈ R
là một hệ số điều chỉnh.
Trong LSTM, ta có 2 tham số It là dữ liệu mới được lấy thông qua Ĉt và tham số Ft chỉ định lượng thông tin cũ cần giữ lại trong ô nhớ
nxh
Ct-1 ∈ R
. Sử dụng phép nhân theo từng pointwise, ta có phương trình sau: Ct = Ft ⊙ Ct-1 + It ⊙ Ĉt .
Nếu giá trị ở forget gate luôn xấp xỉ bằng 1 và inputgate luôn xấp xỉ bằng 0, thì giá trị ơ nhớ trong q khứ C t-1 sẽ được lưu lại và
truyền tới bước thời gian hiện tại. Đây chính là bước nhằm giảm bớt vấn đề vanishing gradient ( đạo hàm bị triệt tiêu) cũng như
nắm bắt các phụ thuộc dài hạn trong chuỗi thời gian tốt hơn.
Mơ hình LSTM