HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG ĐẶNG HUY HOÀNG THIẾT KẾ, XÂY DỰNG HỆ THỐNG THEO DÕI, PHÁT HIỆN VÀ CẢNH BÁO HOẠT ĐỘNG CỦA BOTNET TRONG MẠNG CÁC CƠ QUAN NHÀ NƢỚC Chuyên ngành: Khoa học máy tính Mã số: 60.48.01.01 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 1 Luận văn được hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: PGS.TSKH. HOÀNG ĐĂNG HẢI Phản biện 1: ………………………………………………… Phản biện 2: ………………………………………………… Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông Vào lúc: giờ ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện của Học viện Công nghệ Bưu chính Viễn thông 2 MỞ ĐẦU Ngày nay khi nhắc đến Botnet (mạng máy tính ma), là nhắc đến hiểm họa của Internet. Tấn công từ chối dịch vụ website của các tổ chức, phát tán thư rác với số lượng lớn, thu thập thông tin cá nhân về người dùng v…v… là những hành vi nguy hiểm thường thấy của Botnet. Các tấn công của Botnet không ngừng gia tăng và số lượng nạn nhân ngày một nhiều. Nói đến Botnet là nói đến các máy tính bị cài mã độc, được kẻ tấn công điều khiển từ xa, nhằm phục vụ cho mục đích tấn công trên mạng diện rộng. Theo thống kê chưa đầy đủ của Cục A68- Bộ Công an năm 2011, đã có hơn 1500 cổng thông tin điện tử của Việt Nam bị tin tặc tấn công xâm nhập vào hệ thống để cài mã độc nhằm đánh cắp thông tin nhạy cảm và điều khiển hệ thống. Cũng trong năm 2011, Việt Nam đã lọt trong TOP 5 các quốc gia có mạng lưới Botnet nhiều nhất thế giới, điều này cho thấy số lượng máy tính bị nhiễm mã độc ở Việt Nam là rất lớn. Trong năm 2012, Việt Nam tiếp tục là “đích đến” của các “hacker” với 2.500 website bị tấn công. Số lượng máy tính bị nhiễm độc gấp 3 lần thế giới với 18/1000 máy so với 7/1000 máy của thế giới. 3 Các cuộc tấn công sử dụng Botnet đang ngày một trở nên phổ biến hiện nay với rất nhiều thủ đoạn và hình thức tấn công mới. Thiệt hại do Botnet gây ra đang trở thành một mối lo mới với các nhà chức trách nói riêng và cộng đồng người sử dụng Internet nói chung. Tuy nhiên các kết quả khảo sát tới nay cho thấy, nhận thức chung về sự ảnh hưởng của Botnet của các tổ chức, doanh nghiệp, người dân còn chưa cao. Nhiều nơi không rõ hoặc không biết khi máy tính, hệ thống máy tính của mình đang bị xâm hại. Đặc biệt hơn trong những năm gần đây, số lượng các địa chỉ IP của Việt Nam bao gồm rất nhiều địa chỉ IP của các cơ quan nhà nước nằm trong mạng Botnet đã được phát hiện. Điều nghiêm trọng hơn là các cơ quan chủ quản/đang sở hữu địa chỉ IP này lại không biết sự tồn tại của các mã độc này trong các mạng máy tính của tổ chức. Do đó việc giới thiệu, đề xuất một hệ thống theo dõi, phát hiện và cảnh báo hoạt động của Botnet trong mạng các cơ quan nhà nước là rất cấp thiết. Đó cũng là chủ đề nghiên cứu của bài luận văn này.  Mục đích nghiên cứu: 4 Mục đích nghiên cứu của bài luận văn là: Nghiên cứu, xây dựng một hệ thống quản lý, phát hiện và cảnh báo hoạt động của Botnet trong mạng của các cơ quan nhà nước.  Phạm vi nghiên cứu: Luận văn tập trung vào nghiên cứu các hệ thống chống Botnet của một số nước thuộc ENISA (các cơ quan bảo mật an ninh thông tin châu âu - Europa ) như: Đức, Anh? và một số quốc gia khác như Hàn Quốc, Nhật Bản để từ đó có thể đưa ra hướng giải pháp áp dụng vào Việt Nam.  Phương pháp nghiên cứu: Các phương pháp nghiên cứu sử dụng gồm: Khảo sát thực tiễn, nghiên cứu tình hình thực tế trên thế giới và tại Việt Nam, nghiên cứu nhu cầu thực tế của Việt Nam, khái quát và hệ thống hóa về Botnet và các hành vi của Botnet, nghiên cứu các cấu trúc nguồn dữ liệu Botnet, sử dụng các phương pháp tổng hợp, phân tích để đề xuất mô hình phát hiện, cảnh báo Botnet.  Cấu trúc luận văn: 5 Ngoài các phần mở đầu và kết luận, nội dung của luận văn được triển khai theo ba chương như sau: - Chương 1: trình bày khái niệm về Botnet, các đặc trưng của Botnet, phân loại mạng Botnet, vấn đề theo dõi và cảnh báo Botnet, phân tích các kênh liên lạc và cấu trúc các nguồn dữ liệu Botnet, khái quát về hoạt động của một số mạng Botnet điển hình trên thế giới và tại Việt Nam. - Chương 2: trình bày một số hệ thống theo dõi, cảnh báo Botnet trên thế giới và đưa ra thiết kế xây dựng hệ thống phát hiện, cảnh báo hoạt động của Botnet trong mạng cơ quan nhà nước tại Việt Nam. - Chương 3: trình bày một số kết quả thử nghiệm hệ thống đã xây dựng bao gồm các nội dung: mô hình kiểm thử, kịch bản kiểm thử, triển khai thử nghiệm và đánh giá hệ thống. 6 CHƢƠNG I: TỔNG QUAN VỀ BOTNET VÀ PHÁT HIỆN, CẢNH BÁO BOTNET 1.1. Khái niệm về botnet 1.1.1. Khái niệm bot, botnet Bot (là viết tắt của Robot tức các chương trình tự động hóa chứ không phải người máy như định nghĩa chúng ta vẫn gọi) là ứng dụng phần mềm tự động thực thi các nhiệm vụ trên mạng Internet. Thông thường Bot thực hiện các nhiệm vụ đơn giản được lập trình sẵn và có cấu trúc lặp đi lặp lại với tốc độ cao hơn một người bình thường. Một Botnet được định nghĩa là một “mạng gồm rất nhiều máy tính bị xâm nhập và có thể được kẻ tấn công điều khiển từ xa”. “Máy tính bị xâm nhập” là máy tính bị lây nhiễm phần mềm độc hại (Bot). Như vậy, Botnet là tập hợp các Bot được sử dụng với mục đích xấu. Botmaster là một người hoặc một nhóm người điều khiển Botnet. 1.1.2. Mục đích sử dụng của Botnet Botnet không hơn gì một công cụ, có nhiều động cơ khác nhau để sử dụng chúng. Chúng được sử dụng phổ biến nhất với mục đích phá hoại và tài chính. Botnet có thể 7 làm bất kỳ điều gì mà chúng ta có thể tưởng tượng làm được với một tập hợp các máy tính đã kết nối mạng. Khả năng sử dụng các máy tính bị chiếm quyền điều khiển chỉ phụ thuộc vào trí tưởng tượng và kỹ năng của kẻ tấn công. Dựa trên các dữ liệu đã biết, những khả năng sử dụng Botnet phổ biến có thể được phân loại như liệt kê dưới đây: - Lây nhiễm sang máy tính khác. - Tấn công từ chối dịch vụ phân tán. - Tấn công tràn ngập (Flooding attacks). - Tải về cài đặt. - Gửi thư rác và Email lừa đảo. - Lưu trữ và phân phối dữ liệu bất hợp pháp. - Khai thác dữ liệu. - Lạm dung Google Adsence. - Thao tác với thăm dò bầu cử/ các cuộc thi trực tuyến. 1.2. Đặc trƣng của Botnet Đầu tiên, Botnet là một hệ thống. Hệ thống này có thể giao tiếp với nhau, các Bot cấp thấp báo cáo kết quả quét hệ thống đã thực hiện được đến trung tâm chỉ huy, 8 cũng như tiếp nhận mệnh lệnh và cập nhật. Vì vậy khi phân tích Botnet, các nhà nghiên cứu không chỉ cần tìm ra các chương trình độc hại mà còn phải tìm được hệ thống của chính những kẻ tấn công. Thứ hai, các máy tính tham gia vào một Botnet khi đã bị xâm nhập. Máy tính có thể bị xâm nhập bằng nhiều cách khác nhau, ví dụ, thông qua lỗ hổng của ứng dụng hay hệ điều hành, khai thác các đoạn mã tự động, phần mềm độc hại dựa trên nền web (lừa đảo, tải về miễn phí),… Thứ ba, Bot có thể được điều khiển từ xa. Bot báo cáo kết quả và nhận mệnh lệnh từ hệ thống chỉ huy và điều khiển (C&C). Do đó, kẻ tấn công có thể tận dụng khả năng của hầu hết các máy tính bị nhiễm trong Botnet. Hệ thống điều khiển Botnet có thể tập trung hoặc phân cấp. 1.3. Phân loại mạng Botnet Có nhiều cách phân loại Botnet, nhưng trong khuôn khổ luận văn này tôi xin đưa ra cách phân loại dựa theo hoạt động của Botnet đó là: mạng tập trung, mạng phân tán hay ngang hàng (Peer-to-Peer). 1.4. Các kênh liên lạc của Botnet 9 Botnet được xem là một trong những mối đe dọa an ninh nghiêm trọng nhất hiện nay. Sự khác biệt đáng chú ý nhất giữa Botnet và các phần mềm độc hại truyền thống khác là kênh chỉ huy và điều khiển Botnet. Kênh chỉ huy và điều khiển Botnet tương đối ổn định và không thay đổi giữa các Bot, đây là cơ chế cần thiết cho phép Botmaster chỉ đạo hành động của các Bot trong Botnet. Ban đầu Botnet chỉ giới hạn trong mạng Botnet dựa trên IRC, và Bot là phần mềm Trojan hoặc backdoor. Cùng với các giao thức mạng khác được tin tặc sử dụng trong Botnet, các nhà nghiên cứu nhận ra bản chất của Botnet, cơ chế chỉ huy và điều khiển ngày càng nhiều. Kênh chỉ huy và điều khiển có thể là máy chủ IRC, máy chủ Web, các nút trong cấu trúc mạng Peer-to-Peer, các máy chủ DNS, v.v 1.5. Các nguồn dữ liệu phục vụ cho việc phát hiện và cảnh báo Botnet 1.5.1. Một số phương thức thu thập dữ liệu phổ biến  Nguồn dữ liệu từ DNS  Nguồn dữ liệu từ Netflow  Nguồn dữ liệu từ Packet Tap [...]... cho hoạt động ngăn chặn những hành vi của Botnet gây ra Thông qua hệ thống theo dõi, phát hiện và cảnh báo hoạt động của Botnet trong mạng các cơ quan nhà nước sẽ giúp cho các cơ quan chức năng ngoài việc theo dõi phát hiện và cảnh báo hoạt động của Botnet còn cho thấy được: tình hình an toàn, an ninh thông tin trong các cơ quan nhà nước cũng như nhận thức của các cơ quan nhà nước Từ đó các cơ quan. .. ra thiết kế xây dựng một hệ thống phát hiện, cảnh báo hoạt động của Botnet trong mạng cơ quan nhà nước tại Việt Nam - Thực hiện thử nghiệm hệ thống với các nội dung: xây dựng mô hình kiểm thử và một số kịch bản kiểm thử, triển khai thử nghiệm và đánh giá hệ thống Các định hướng nghiên cứu tiếp theo của bài gồm: 25 -Xây dựng hoàn chỉnh hệ thống theo dõi, phát hiện, cảnh báo Botnet trong mạng các cơ quan. .. dữ liệu 23 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN Việc xây dựng hệ thống theo dõi, phát hiện và cảnh báo hoạt động của Botnet trong mạng các cơ quan nhà nước là rất cần thiết nhằm mục đích hỗ trợ, cảnh báo các nguy cơ tấn công do mạng lưới Botnet gây ra cho các cơ quan nhà nước Qua đó giúp cảnh báo sớm, giảm bớt thiệt hại về tài sản cũng như về kinh tế của các đơn vị nhà nước do mạng lưới Botnet gây ra Đồng thời,... mạng Botnet điển hình trên, cũng như tác hại của nó gây ra vì vậy việc xây dựng các cơ chế cảnh báo tới các cơ quan nhà nước là rất cần thiết Xây dựng cơ chế cảnh báo các hoạt động của mạng Botnet đến các cơ quan, tổ chức nhà nước hay kênh trao đổi thông tin đến các cơ quan, tổ chức này để đảm bảo thông tin được trao đổi, cập nhật thường xuyên, và đảm bảo cho các hoạt động cảnh báo Botnet đến các cơ. .. HỆ THỐNG PHÁT HIỆN, CẢNH BÁO HOẠT ĐỘNG CỦA BOTNET TRONG MẠNG CƠ QUAN NHÀ NƢỚC 2.1 Một số hệ thống theo dõi và cảnh báo Botnet điển hình trên thế giới 2.1.1 Hệ thống của Hàn Quốc Hàn Quốc sử dụng hệ thống DNS Sinkhole để thu thập, phòng chống Botnet 2.1.2 Hệ thống của Nhật Bản Hệ thống phát hiện và phòng chống botnet của Nhật Bản sử dụng Honey-port để làm mồi và thu thập botnet 2.1.3 .Hệ thống “Anti Botnet. .. các giải pháp để tình hình an toàn thông tin của Việt Nam theo xu hướng tích cực hơn Với mục tiêu đặt ra là nghiên cứu, xây dựng một hệ thống quản lý, phát hiện và cảnh báo hoạt động của Botnet 24 trong mạng của các cơ quan nhà nước, bài luận văn đã đạt được các kết quả nghiên cứu chủ yếu sau đây: - Trình bày tổng quan về Botnet với các đặc trưng và phân loại mạng Botnet, nhu cầu theo dõi và cảnh báo. .. nghệ theo dõi, phát hiện, cảnh báo mới trên thế giới cho hệ thống đáp ứng tốt các chức năng đã đề ra - Nghiên cứu tiếp theo là cải tiến tốc độ và hiệu quả của phương pháp phát hiện (detection method) Điều này 26 rất quan trong và có ý nghĩa thực tiễn vì một hệ thống theo dõi, phát hiện, cảnh báo Botnet cần phải phát hiện được Botnet trong thời gian thực (ví dụ, Botnet cần được phát hiện chỉ sau một vài... nhập, đăng xuất, thực hiện cập nhật, so sánh, thông báo dữ liệu Botnet 2.2.5 Thiết kế cơ sở dữ liệu Hình 2.2 Mô hình cơ sở dữ liệu của hệ thống 2.2.6 Thiết kế các giao diện cho hệ thống Phần này đưa ra các thiết kế giao diện cho hệ thống như giao diện dành cho admin, quản trị viên và các giao diện cho người dùng (các cơ quan nhà nước) 17 2.3 Xây dựng cơ chế cảnh báo đến các cơ quan nhà nƣớc Từ những phân... (thông qua giám sát các địa chỉ IP của nguồn dữ liệu IP từ các tổ chức trong nước và ngoài nước) Quản lý danh sách địa chỉ IP của các cơ quan nhà nước 14 Xử lý và cảnh báo cho các đơn vị bị sự cố: Hệ thống gửi email cảnh báo khi địa chỉ IP của đơn vị nằm trong danh sách dữ liệu địa chỉ IP bị nhiễm Quản lý người dùng hệ thống 2.2.2 Mô hình kiến trúc của hệ thống Mô hình kiến trúc của hệ thống Hình 2.1 Mô... 06: Gửi cảnh báo (theo mẫu gửi cảnh báo có trong phần phụ lục) cho các cơ quan nhà nước có địa chỉ IP tham gia vào mạng Botnet (ii) Đối với các đơn vị (các cơ quan nhà nước) : Nhận được cảnh báo thông qua email mà chuyên viên quản trị đã gửi Truy cập vào website (thông qua user và password đã được cấp) để cập nhật và lấy thông tin, hướng dẫn xử lý sự cố Botnet 3.3 Các chức năng quản trị hệ thống Các chức . việc xây dựng các cơ chế cảnh báo tới các cơ quan nhà nước là rất cần thiết. Xây dựng cơ chế cảnh báo các hoạt động của mạng Botnet đến các cơ quan, . nghiên cứu của bài luận văn là: Nghiên cứu, xây dựng một hệ thống quản lý, phát hiện và cảnh báo hoạt động của Botnet trong mạng của các cơ quan nhà nước.