ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ THU HẰNG NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG HỆ THỐNG GIÁM SÁT AN NINH MẠNG LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN Hà Nội - 2015 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ THU HẰNG NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG HỆ THỐNG GIÁM SÁT AN NINH MẠNG Ngành: Công nghệ Thông tin Chuyên ngành: Hệ thống Thông tin Mã số: 60.48.01.04 LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: TS NGUYỄN NGỌC HÓA Hà Nội - 2015 LỜI CẢM ƠN Luận văn Thạc sĩ đƣợc thực Đại học Công nghệ - Đại học Quốc gia Hà Nội dƣới hƣớng dẫn TS Nguyễn Ngọc Hóa Xin đƣợc gửi lời cảm ơn sâu sắc đến thầy Nguyễn Ngọc Hóa ý kiến quý báu liên quan đến định hƣớng khoa học, liên tục quan tâm, tạo điều kiện thuận lợi cho suốt trình nghiên cứu hoàn thành luận văn Tôi xin đƣợc gửi lời cảm ơn đến thầy, cô Bộ môn Hệ thống Thông tin nhƣ Khoa Công nghệ Thông tin mang lại cho kiến thức vô quý giá bổ ích trình theo học trƣờng Tôi xin gửi lời cảm ơn tới đồng chí lãnh đạo đơn vị nơi công tác tạo điều kiện thời gian để hoàn thành chƣơng trình học Bên cạnh xin gửi lời cám ơn tới đồng nghiệp Ban yếu Chính phủ tạo điều kiện giúp đỡ hoàn thành khóa luận cách tốt Cuối xin chân thành cảm ơn đến học viên cao học khóa K19, K20, K21 giúp đỡ suốt thời gian học tập Do thời gian kiến thức có hạn nên luận văn không tránh khỏi thiếu sót định Tôi mong nhận đƣợc góp ý quý báu thầy cô bạn Hà Nội, ngày tháng 10 năm 2015 Nguyễn Thị Thu Hằng i TÓM TẮT Ngày với phát triển mạnh mẽ Internet làm tăng nguy an toàn rò rỉ thông tin Để hạn chế đƣợc vấn đề hệ thống mạng cần có biện pháp cụ thể để kiểm soát đƣợc tình trạng hệ thống có biện pháp đối phó cụ thể có công xảy Vậy vấn đề đặt ngƣời quản trị hệ thống cần có nhìn tổng quát tranh hệ thống mạng dựa việc thu thập liệu vào hệ thống từ thiết bị, dịch vụ ứng dụng đƣợc sử dụng hệ thống chẳng hạn nhƣ: Mail Server, Firewall, IDS (Intrusion Detection System), IPS (Intrusion Prevention System), Anti-Virus,… Những liệu sau đƣợc phân tích đối chiếu với dấu hiệu, tập luật có sẵn để đánh giá đƣa cảnh báo xác tới ngƣời quản trị hệ thống Tuy nhiên, số lƣợng nhật ký hệ thống từ thiết bị, dịch vụ ứng dụng hệ thống tƣơng đối lớn với nhiều định dạng khác Ngoài ra, khối lƣợng nhật ký hệ thống thu đƣợc lớn nên số thông tin cảnh báo quan trọng bị bỏ qua dẫn đến cố gây an toàn thông tin không đƣợc cảnh báo xử lý kịp thời Do đó, cần có hệ thống để quản lý, tổ chức, theo dõi hiểm họa gây an toàn thông tin xảy với hệ thống, từ đƣa biện pháp đối phó, ngăn chặn nhằm làm giảm thiệt hại xuống mức thấp Một hệ thống nhƣ đƣợc gọi hệ thống giám sát an ninh mạng Hệ thống giám sát an ninh mạng (GSANM) thực thu thập, quản lý, phân tích kiện an ninh, sau so sánh với dấu hiệu tập luật có sẵn nhằm đƣa đánh giá cảnh báo cho ngƣời quản trị hệ thống Tuy nhiên, việc cập nhật tập luật cách thƣờng xuyên việc làm vô cần thiết, bên cạnh việc bổ sung định dạng liệu nhật ký chƣa có cho hệ thống quan trọng, nhằm nâng cao hiệu cho hệ thống GSANM Do vậy, luận văn hƣớng tới mục tiêu nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng để đƣa cảnh báo công Trong luận văn tiến hành (i) khảo sát thực tế tập luật có hệ thống giám sát Ban Cơ yếu Chính phủ; từ (ii) tiến hành đề xuất mô hình cải tiến tập luật có; (iii) thử nghiệm mô hình đề xuất cải tiến tập luật với định hƣớng nâng cao hiệu khả giám sát hệ thống mạng nhƣ đƣa cảnh báo xác tới ngƣời quản trị hệ thống Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and Event Management) ii LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng” công trình nghiên cứu cá nhân dƣới hƣớng dẫn TS Nguyễn Ngọc Hóa, trung thực không chép tác giả khác Trong toàn nội dung nghiên cứu luận văn, vấn đề đƣợc trình bày tìm hiểu nghiên cứu cá nhân đƣợc trích dẫn từ nguồn tài liệu có ghi tham khảo rõ ràng, hợp pháp Tôi xin chịu trách nhiệm hình thức kỷ luật theo quy định cho lời cam đoan Hà Nội, ngày tháng 10 năm 2015 Nguyễn Thị Thu Hằng iii MỤC LỤC LỜI CẢM ƠN i TÓM TẮT ii LỜI CAM ĐOAN iii MỤC LỤC iv DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT vi DANH MỤC BẢNG .x MỞ ĐẦU CHƢƠNG I: KHẢO SÁT, ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT AN NINH MẠNG 1.1 Tình hình chung 1.1.1 Tình hình giám sát an ninh mạng số nƣớc giới 1.1.2 Tình hình giám sát an ninh mạng Việt Nam 1.2 Hệ thống GSANM đƣợc triển khai 1.2.1 Giới thiệu hệ thống GSANM 1.2.2 Các thành phần chức hệ thống GSANM .7 1.2.3 Mô hình hệ thống GSANM 1.3 Giao diện quản lý hệ thống GSANM 11 CHƢƠNG II: NGHIÊN CỨU MỘT SỐ DẠNG TẤN CÔNG PHỔ BIẾN VÀO ỨNG DỤNG WEB 16 2.1 Các kỹ thuật công phổ biến vào ứng dụng Web 16 2.1.1 Kỹ thuật công Tiêm mã SQL 16 2.1.2 Kỹ thuật công XSS 22 2.1.3 Kỹ thuật công Tràn đệm 31 2.2 Các kỹ thuật công vƣợt qua Tƣờng lửa ứng dụng web 34 2.2.1 Tƣờng lửa ứng dụng web gì? 34 2.2.2 Một số phƣơng pháp công vƣợt thiết bị Tƣờng lửa ứng dụng web………………………………………………………………………… 35 CHƢƠNG III: PHƢƠNG PHÁP TRÍCH XUẤT CÁC TRƢỜNG THÔNG TIN QUAN TRỌNG TỪ NHẬT KÝ HỆ THỐNG 39 3.1 Yêu cầu thực tiễn .39 3.2 Giải pháp trích xuất trƣờng thông tin quan trọng từ nhật ký hệ thống hệ thống……………………………………………………………………………… 40 3.2.1 Mô hình chung 40 3.2.2 Các bƣớc thực 40 iv CHƢƠNG IV: XÂY DỰNG TẬP LUẬT CẢNH BÁO TẤN CÔNG CHO HỆ THỐNG GIÁM SÁT AN NINH MẠNG VÀ TRIỂN KHAI THỬ NGHIỆM .52 4.1 Thực trạng hệ thống GSANM Ban Cơ yếu Chính phủ .52 4.2 Các luật bổ sung vào hệ thống GSANM .53 4.3 Các bƣớc tạo luật cho hệ thống GSANM 55 4.4 Thực nghiệm triển khai hệ thống GSANM TTCNTT&GSANM .62 4.4.1 Mô hình thực nghiệm 62 4.4.2 Thu thập nhật ký hệ thống 63 4.5 Kết thực nghiệm 64 KẾT LUẬN CHUNG 69 TÀI LIỆU THAM KHẢO .70 v DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT API DOM Application Programming Interface Document Object Model EC Event Collecter EP Event Processor FC Flow Collector FP Flow Processor GSANM Giám sát an ninh mạng HTML Hyper Text Markup Language HTTP Hyper Text Transfer Protocol HTTPS Hyper Text Transfer Protocol Secure IBM International Business Machine IDS Instrusion Detection System IIS Internet Information Service IPS Instrusion Prevention System OSI Open Systems Interconnection Regex Regular Expression SIEM Security Information and Event Management SQL Structured Query Language SSH Secure Shell TTCNTT & GSANM Trung tâm Công nghệ Thông tin & Giám sát an ninh mạng vi URL Unifrom Resource Locator VPN Virtual Private Network W3C World Wide Web Consortium WAF Tƣờng lửa ứng dụng web XML Extensible Markup Language XSS Cross-site Scripting vii DANH MỤC HÌNH VẼ Hình 1.1: Các thành phần hệ thống GSANM Hình 1.2: Mô hình hệ thống GSANM phân tán Hình 1.3: Mô hình hệ thống GSANM độc lập 11 Hình 1.4: Tap Dashboard .11 Hình 1.5: Tap Offenses 12 Hình 1.6: Tap Log Activity 12 Hình 1.7: Network Activity 13 Hình 1.8: Tap Asset .13 Hình 1.9: Tap Report .14 Hình 1.10: Tab Admin 14 Hình 2.1: Ví dụ trang Web mua sắm trực tuyến 23 Hình 2.2: Minh họa trang web có lỗi XSS 24 Hình 2.3: Thông điệp lỗi tự động đƣợc tạo .25 Hình 2.4: Các bƣớc thực hiên công Reflected XSS 26 Hình 2.5: Các bƣớc thực Stored XSS 28 Hình 2.6: Các bƣớc thực công DOM-Based XSS 31 Hình 2.7: Ví dụ mô tả tràn đệm Heap 34 Hình 3.1: Mô hình trích xuất trƣờng thông tin quan trọng từ nhật ký hệ thống .40 Hình 3.2: Giao diện Adaptive Log Exporter 41 Hình 3.3: Định dạng mẫu chung log .45 Hình 3.4: Kết thực cú pháp tìm tên kiện FTP 47 Hình 3.5: Kết thực cú pháp tìm địa IP nguồn 47 Hình 3.6: Xác định tên kiện 48 Hình 3.7: Xác định thông tin cụ thể khác cho nhật ký hệ thống .49 Hình 3.9: Log đƣợc định dạng 50 Hình 3.10: Thêm định dạng vào hệ thống GSANM 50 Hình 4.1: Các luật có hệ thống .52 Hình 4.2: Các tập luật có sẵn hệ thống GSANM 53 Hình 4.3: Xác định lƣu lƣợng thiết bị, toàn lƣu lƣợng mạng hệ thống phút 54 Hình 4.4: Các bƣớc cải tiến tập luật cho hệ thống 55 Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0 56 Hình 4.6: Cấu hình thu thập nhật ký hệ thống hệ thống GSNAM 57 viii Để tạo tập luật cho hệ thống, vấn đề xác định rủi ro đối tƣợng đƣợc áp dụng tập luật việc trƣớc hết cần làm thu thập nhật ký hệ thống thiết bị Nội dung hƣớng tới luận văn tạo tập luật cảnh báo công vào ứng dụng web nhằm bổ sung vào hệ thống GSANM đƣợc triển khai Sau ví dụ cụ thể để tạo tập luật cho hệ thống GSANM Trƣớc hết, ngƣời quản trị cần cấu hình thu thập nhật ký hệ thống cho hệ thống đƣợc GSNAM VD: Quá trình thu thập nhật ký hệ thống cho Web Server IIS 6.0 đƣợc thực theo nhiều cách khác Tuy nhiên, ví dụ trình thu thập đƣợc thực từ hai phía:  Phía máy chủ IIS: Bật tính ghi nhật ký hệ thống rõ thƣ mục ghi nhật ký hệ thống  Phía hệ thống GSANM: Ngƣời quản trị cung cấp Username Password cho hệ thống GSANM đăng nhập vào máy chủ Web Server để lấy nhật ký hệ thống chuyển hệ thống GSANM Quá trình đƣợc thực theo bƣớc sau: Bƣớc 1: Thực cấu hình ghi nhật ký hệ thống Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0 Bƣớc 2: Khai báo thông tin chi tiết cho hệ thống GSANM thực lấy nhật ký hệ thống Phía hệ thống GSANM, đƣợc ngƣời quản trị khai báo chi tiết thông tin về: Máy chủ, tài khoản đƣợc cung cấp, giao thức sử dụng để thu thập nhật ký hệ thống, thƣ mục chứa nhật ký hệ thống 56 Hình 4.6: Cấu hình thu thập nhật ký hệ thống hệ thống GSNAM Sau nhật ký hệ thống IIS gửi hệ thống GSNAM, hệ thống hiển thị nhật ký hệ thống theo thời gian thực tab Log Activity Khi có ngƣời dùng truy cập web hệ thống GSANM hiển thị nhật ký hệ thống nhƣ hình 4.7 Hình 4.7: Nhật ký hệ thống đƣợc hiển thị theo thời gian thực Và số thông số khác nhật ký hệ thống nhƣ hình 4.8 57 Hình 4.8: Các thông số khác nhật ký hệ thống Bƣớc 3: Cập nhật thiết bị có hệ thống Thực khai báo máy chủ vừa đƣợc thu thập nhật ký hệ thống vào phần thiết bị có hệ thống để thuận tiện cho trình tạo luật Hình 4.9: Khai báo máy chủ vào phần Web Server Bƣớc 4: Xác định dấu công để đƣa vào tập luật Trƣớc hết, trƣờng hợp ngƣời quản trị tạo luật nhận dạng công Tiêm mã SQL sử dụng kỹ thuật UNION, SELECT Để làm đƣợc việc này, ngƣời quản trị cần phân tích payload mà hệ thống GSANM thu đƣợc 58 Hình 4.10: Phân thích payload thu đƣợc xác đinh dấu hiệu công Từ trƣờng payload ngƣời quản trị xác định đƣợc thông tin quan trọng nhƣ: IP Source, IP Destination,… nhận dấu hiệu công Tiêm mã SQL qua chuỗi request đƣợc gửi có từ khóa UNION SELECT Bởi kỹ thuật công SQL đƣợc phân chia thành nhiều loại khác nên tạo luật chặn bắt công ngƣời quản trị phải phân chia ghi rõ dấu hiệu loại Do trƣờng hợp này, tập luật phát công Tiêm mã SQL sử dụng kỹ thuật UNION SELECT đƣa cảnh báo yêu cầu tới máy chủ có kèm chuỗi ký tự Bƣớc 5: Tạo luật Nhƣ ngƣời quản trị xác định xong yêu cầu trình tạo luật, ngƣời quản trị tạo tập luật tab Offenses Quá trình tạo luật đƣợc thực theo thứ tự sau: a) Xác định nơi quản lý tập luật Rules  Action  New Event Rules (vì luật đƣợc tạo từ kiện an ninh) Ngƣời quản trị chọn đối tƣợng Web Server đƣợc khai báo phần để áp dụng cho luật Sau đó, ngƣời quản trị thực mô tả dấu hiệu công là: ―Trong nội dung payload có chứa từ khóa UNION SELECT‖ Ngƣời quản trị thực đặt tên cho cảnh báo: TAN CONG TIÊM MÃ SQL SU DUNG UNION, SELECT Trong trƣờng hợp này, ngƣời quản trị không cần sử dụng ngôn ngữ Regular Expression dấu hiệu nhận dạng đơn giản Tuy nhiên, nhiều trƣờng hợp khác ngƣời quản trị tạo đƣợc nhóm, mẫu để phát công cách sử dụng Regex VD: Nếu kẻ công sử dụng chèn thêm chuỗi ‗or 1=1‘, nhƣng trƣờng hợp ngƣời quản trị không sử dụng Regex để lọc chuỗi đƣợc chèn vào công vƣợt qua đƣợc lập luật kẻ công chèn chuỗi ‗or 2=2‘ 59 Hình 4.11: Các bƣớc tạo luật b) Xác định tham số cho tập luật Hình 4.12: Xác định tham số cho luật Bƣớc 6: Định lƣợng mức độ cảnh báo đƣợc đƣa 60 Sau đó, ngƣời quản trị thực định lƣợng mức độ cảnh báo đƣợc đƣa nhƣ thông số liên quan đến cảnh báo nhƣ: Xác định category, mức độ nguy hiểm, mức độ liên quan, hành động phản hồi tập luật đƣợc áp dụng, gửi cảnh báo qua email hay có lựa chọn khác Hình 4.13: Định lƣợng mức độ rủi ro luật tham số khác Hình 4.14: Kết thúc trình tạo luật 61 4.4 Thực nghiệm triển khai hệ thống GSANM TTCNTT&GSANM 4.4.1 Mô hình thực nghiệm Mô hình thực nghiệm đƣợc tiến hành TTCNTT&GSANM nhằm thiết kế, bổ sung tập luật đƣa cảnh báo có công xảy hệ thống mạng đƣợc giám sát Mô hình thực nghiệm bao gồm thành phần sau:  Hệ thống GSANM sử dụng thiết bị phần cứng Qrada IBM hoạt động dạng độc lập có địa IP: 192.168.37.123  Máy chủ Web Server chạy hệ điều hành Windows Server 2003, sử dụng dịch vụ Web Server Internet Information Service (IIS) phiên 6.0 có địa IP: 192.168.37.131  Web ASP đƣợc cấu hình máy chủ web sử dụng hệ quản trị sở liệu Microsoft Access Hình 4.15: Mô hình thực nghiệm Mô hình thực nghiệm tuân thủ theo mô hình GSANM hoạt động độc lập theo tiêu chuẩn SIEM nhƣ đƣợc trình bày chƣơng I Việc cấu hình thu thập nhật ký hệ thống đƣợc trình bày chi tiết chƣơng Hệ thống thu thập đƣợc nhật ký hệ thống từ máy chủ web theo yêu cầu đặt ra, nhật ký hệ thống đƣợc hiển thị tab Log Activity giao diện web hệ thống GSANM IBM Qradar 62 Hình 4.16: Nhật ký hệ thống thu thập đƣợc từ máy chủ web 4.4.2 Thu thập nhật ký hệ thống Webserver thu đƣợc nhật ký hệ thống dạng sau: 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/mpt.css 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20order%20by%2011 192.168.37.131 404 1795 391 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/1x1.gif 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20order%20by%2011 192.168.37.131 404 1795 406 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/mpt.css 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20UNION%20SELECT%201,2,3,4,5,6%2 0from%20admin 192.168.37.131 404 1795 419 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/1x1.gif 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20UNION%20SELECT%201,2,3,4,5,6%2 0from%20admin 192.168.37.131 404 1795 434 63 Nhƣ với nhật ký hệ thống thu đƣợc nhận thấy dạng công đƣợc thực Tiêm mã SQL, từ khóa quan trọng mà kẻ công sử dụng UNION, ORDER BY, SELECT Hệ thống GSANM thu đƣợc nhật ký hệ thống với payload nhƣ hình 4.17 Với thông tin trƣờng IP, port đƣợc phân chia rõ ràng payload với nội dung nhƣ nội dung nhật ký hệ thống mà Web Server thu đƣợc Hình 4.17: Payload đƣợc hệ thống GSANM thu thập đƣợc Nhƣ dạng công web nhƣ dấu hiệu công đƣợc lƣu lại hoàn toàn nhật ký hệ thống phía server, để tạo luật ngƣời quản trị hệ thống phải dựa dấu hiệu mà nhật ký hệ thống lƣu lại payload mà hệ thống GSANM thu đƣợc để đƣa cảnh báo Hình 4.18: Các nhật ký hệ thống khác web server thu đƣợc 4.5 Kết thực nghiệm Các tập luật đƣợc đƣa vào hệ thống GSANM nhƣ hình 4.19 64 Hình 4.19: Các tập luật đƣợc đƣa vào hệ thống GSANM Sau cảnh báo mà hệ thống GSANM gửi tới ngƣời quản trị hệ thống Hình 4.20: Cảnh báo tƣợng bất thƣờng công vào hệ thống mạng đƣợc giám sát 65 Hình 4.21: Các cảnh báo công khác mà hệ thống GSANM thu đƣợc Hình 4.22: Nhật ký hệ thống cảnh báo thu đƣợc Các cảnh báo khác đƣợc hệ thống GSANM gửi tới ngƣời quản trị hệ thống nhƣ hình 4.23 66 Hình 4.23: Hệ thống đƣa cảnh báo công LFI Hình 4.24: Hệ thống đƣa cảnh báo công khác Sau thu thập nhật ký hệ thống, cải tiến tập luật cho hệ thống mạng cụ thể hệ thống GSANM đƣa cảnh báo công từ luật đƣợc tạo góp phần vào việc nâng cao hiệu GSANM Trên hệ thống GSANM có khoảng 300 luật nhƣng số luật chƣa đƣợc chỉnh sửa cho phù hợp với trạng mạng giám sát nên hệ thống luật chƣa thực hoạt động hiệu Kết luận văn xây dựng khoảng 40 luật cho hệ thống GSANM bao gồm luật phát hiện tƣợng bất thƣờng luật cảnh báo công web phổ biến Các luật dựa nguồn nhật ký hệ thống thu đƣợc, từ sử dụng biểu thức quy để lọc dấu hiệu công Quá trình xác định biểu thức quy đƣợc thử nghiệm nhật ký hệ thống ban đầu kết trả khớp với dấu hiệu xác định nhận dạng công tƣơng tự nhƣ trình bày phần xác đinh trƣờng thông tin quan trọng 67 Tổng kết chƣơng IV Chƣơng tập trung vào việc thiết kế cập nhật tập luật vào hệ thống GSANM nhằm giúp đƣa cảnh báo xác đến ngƣời quản trị hệ thống Sau thực triển khai thử nghiệm hệ thống GSANM TTCNTT&GSANM thu đƣợc kết tích cực với tập luật đƣợc thiết kế phù hợp với hệ thống mạng cụ thể hệ thống GSANM đƣa tất cảnh báo kẻ công thực công vào hệ thống mạng đƣợc giám sát 68 KẾT LUẬN CHUNG Các kết đạt đƣợc luận văn - - - Giới thiệu tình hình giám sát an ninh mạng giới nhƣ Việt Nam Đồng thời nghiên cứu mô hình tổng quan hệ thống giám sát an ninh mạng Nghiên cứu số kỹ thuật công ứng dụng Web cụ thể số công vƣợt qua tƣờng lửa ứng dụng Web Nghiên cứu phƣơng pháp trích xuất trƣờng thông tin quan trọng từ nguồn nhật ký hệ thống để xây dựng định dạng cho nguồn liệu nhật ký chƣa có hệ thống GSANM Nghiên cứu thiết kế luật cho hệ thống giám sát an ninh mạng Xây dựng tập luật phát số công vào ứng dụng Web tập luật phát hiện tƣợng bất thƣờng hệ thống Những hƣớng nghiên cứu tiếp theo: - Nghiên cứu xây dựng tập luật phát tất công xảy hệ thống mạng đƣợc giám sát - Nghiên cứu phát xác công vào hệ thống mạng đƣợc giám sát - Nghiên cứu nâng cao tính xác cho cảnh báo đƣợc đƣa - Nghiên cứu ứng dụng cho hệ thống GSANM quan nhà nƣớc 69 TÀI LIỆU THAM KHẢO [1] Symantec, ISTR 20 Internet Security Threat Report Appendices, Symantec, 2015 [2] James A Lewis, Katrina Timlin, ―Cybersecurity and Cyberwarfare”, Center for Strategic and International Studies, 2011 [3] P.W Singer, Allan Friedman, Cybersecurity and Cyberwar, Oxford University Press, 2014 [4] Richard Bejtlich, The Practice of Network Security Monitoring, 2013 [5] IBM, IBM Security Qradar SIEM, IBM Corporation, 2013 [6] IBM, IBM Security Qradar Version 7.2.4 Hardware Guide, IBM Corporation, 2014 – 2015 [7] IBM, IBM Security Qradar 7.1.x and 7.2.x DSM Configuration Guide, IBM Coporation, 2015 [8] Pushkar Y.Jane, M.S.Chaudhari, “SQLIA: Detection and Prevention Techniques: A Survey”, IOSR Journal of Computer Engineering (IOSR-JCE), 2012 [9] Jeremiah Grossman, Robert Hansen, Petko D Petkov, Anton Rager, Seth Fogie, XSS Attacks Cross Site Scripting Exploits and Defense, Syngress Publishing, 2007 [10] Eric Chien and Péter Ször, Blended Attacks Exploit, Vulnerabilities and BufferOverflow Techniques in Computer Viruses, Symantec Security Response, 2002 [11] James C Foster, Vitaly Osipov, Nish Bhalla, Tràn đệm Attacks: Detect, Exploit, Prevent, Syngress Publishing, 2005 [12] Imperva, Web Application Attack Report #5, Imperva, 2014 [13] Juniper Networks, Security Threat Response Manager: Adaptive Log Exporter Users Guide, Juniper Network, 2012 [14] Jan Goyvaerts, Regular Expression: The Complete Tutorial, http://www.regularexpressions.info/print.html, 2007 [15] Michael Stanton, A Qradar Log Source Extension Walkthrough, SANS Institute InforSec Reading Room, 2014 Trang web [16] http://mic.gov.vn/gioithieu/Trang/Gi%E1%BB%9Bithi%E1%BB%87u.aspx [17] http://vnisa.org.vn/gioi-thieu-vnisa 70 [...]... nghiên cứu cải tiến tập luật và cách thức tạo các luật cơ bản từ các nguồn nhật ký hệ thống có sẵn cho hệ thống giám sát an ninh mạng Trong luận văn này tôi nghiên cứu về hệ thống giám sát an ninh mạng hiện tại đang đƣợc triển khai, nghiên cứu các kỹ thuật tấn công phổ biến vào ứng dụng Web, nhằm đƣa ra các dấu hiệu tấn công để thiết kế tập luật phù hợp với từng hệ thống mạng, nghiên cứu cách thức trích... quan trọng từ dữ liệu nhật ký và xây dựng bổ sung cũng nhƣ chỉnh sửa các tập luật cho hệ thống GSANM Cuối cùng tôi tiến hành thực nghiệm triển khai hệ thống giám sát an ninh mạng tại đơn vị 1 Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (TTCNTT&GSANM) tại Ban Cơ yếu Chính phủ để đánh giá hiệu quả của các tập luật đã đƣợc thiết kế 2 CHƢƠNG I: KHẢO SÁT, ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT AN NINH MẠNG... trị hệ thống Bên cạnh đó hệ thống giám sát an ninh mạng vẫn phụ thuộc nhiều vào các báo cáo từ các thiết bị an ninh, có nghĩa là đối với các nhật ký hệ thống không phải là các cảnh báo thì hệ thống vẫn chƣa phân tích đƣợc do vậy cần tận dụng nguồn nhật ký hệ thống này để bổ sung một số luật cơ bản cho hệ thống giám sát an ninh mạng Với thực trạng nêu trên, luận văn này hƣớng đến mục tiêu nghiên cứu cải. .. hình giám sát an ninh mạng đang đƣợc sử dụng hiện nay, và mô tả chi tiết các thành phần trong hệ thống giám sát an ninh mạng Chƣơng II sẽ giới thiệu các kỹ thuật tấn công phổ biến vào ứng dụng Web và một số tấn công vƣợt qua tƣờng lửa ứng dụng Web để làm cơ sở đƣa ra các nhận dạng tấn công cũng nhƣ thiết kế tập luật cho hệ thống giám sát an ninh mạng ở các chƣơng III, IV, V 15 CHƢƠNG II: NGHIÊN CỨU... gần đây giám sát an ninh mạng cũng đƣợc xem là một nhiệm vụ trọng yếu đƣợc các cơ quan cấp bộ, ban, ngành vô cùng quan tâm và thực hiện công việc này một cách tích cực Tuy nhiên, để có thể thực hiện tốt đƣợc nhiệm vụ này đòi hỏi phải có một chính sách giám sát an ninh mạng cả chiều rộng lẫn chiều sâu cộng với các thiết bị giám sát an ninh mạng hiện đại Một hệ thống giám sát an ninh mạng tốt cần phải... gia, trật tự an toàn xã hội và lợi ích của công dân Bộ Công an đã có một số Cục chức năng liên quan tới hoạt động đảm bảo an toàn, an ninh cho hệ thống CNTT của các cơ quan Nhà nƣớc nhƣ Cục Công nghệ tin học nghiệp vụ, Cục Phòng chống tội phạm công nghệ cao, Cục An ninh mạng, Cục An ninh thông tin… Một số tổ chức khác cũng chung tay góp phần đảm bảo an ninh mạng cho quốc gia nhƣ: Hiệp hội an toàn thông... bảo an toàn thông tin cho các hệ thống mạng của các cơ quan, tổ chức nhằm tránh khỏi những hiểm họa mất an toàn thông tin trƣớc những tấn công mạng có thể xảy ra Để có thể làm việc này các cơ quan, tổ chức phải có một hệ thống giám sát an ninh mạng đủ mạnh nhằm kiểm soát, thu thập toàn bộ lƣu lƣợng dữ liệu vào ra cho cả một hệ thống mạng và đƣa ra những cảnh báo chính xác tới ngƣời quản trị hệ thống. .. các tập luật cho hệ thống mạng đƣợc giám sát Offenses cũng cho phép ngƣời quản trị tạo các tập luật mới phù hợp với hệ thống mạng đƣợc giám sát Ngƣời quản trị có thể tìm kiếm, lọc các cảnh báo tại Offenses theo thời gian, dạng tấn công hoặc theo từng hệ thống mạng cụ thể Việc xử lý hoặc gửi cảnh báo tự động bằng địa chỉ email hay SMS là tính năng không thể thiếu của Offenses Dữ liệu đƣợc hiển thị trong. .. ra, việc phân quyền cho hệ thống GSANM trong tab Admin cũng là một trong những chức năng hết sức cần thiết giúp cho việc hiển thị nhật ký hệ thống và luồng dữ liệu ở các hệ thống mạng riêng biệt Tab Admin cũng là nơi tập trung hiển thị và quản lý thông số cho cả hệ thống mạng Hình 1.10: Tab Admin 14 Tổng kết chƣơng 1 Chƣơng này chúng tôi giới thiệu tình hình giám sát an ninh mạng tại một số nƣớc trên... Việc giám sát an ninh mạng hiện nay đã đƣợc các quốc gia trên thế giới vô cùng quan tâm và nó có vai trò sống còn cho an ninh quốc gia Trong đó, Mỹ là quốc gia đi tiên phong cho lĩnh vực giám sát an ninh mạng trên toàn cầu Ngoài ra, các quốc gia láng giềng bên cạnh nƣớc ta nhƣ Hàn Quốc, Trung Quốc cũng xem đây là một nhiệm vụ tối mật cho quốc phòng an ninh Tại Việt Nam, trong những năm gần đây giám sát ... hệ thống Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and Event Management) ii LỜI CAM ĐOAN Tôi xin cam đoan luận văn Nghiên cứu cải tiến tập luật hệ thống giám sát an. .. GSANM Do vậy, luận văn hƣớng tới mục tiêu nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng để đƣa cảnh báo công Trong luận văn tiến hành (i) khảo sát thực tế tập luật có hệ thống giám. .. hiểu hơn, thân hệ thống GSANM chƣa đƣợc bổ sung tập luật đầy đủ để cao hiệu hệ thống GSANM Trong trƣờng hợp hệ thống mạng đƣợc bảo vệ hệ thống GSANM nhƣng thiết bị an ninh hệ thống GSANM gần nhƣ