ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TÔN ĐỨC CƯỜNG TÌM HIỂU VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên, năm 2016 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TÔN ĐỨC CƯỜNG TÌM HIỂU VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM Chuyên ngành : Khoa học máy tính Mã số chuyên ngành: 60 48 01 01 LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH NGƯỜI HƯỚNG DẪN KHOA HỌC TS TRẦN ĐỨC SỰ Thái Nguyên, năm 2016 LỜI CAM ĐOAN Tôi là: Tôn Đức Cường Lớp: CK13B Khoá học: 2014 - 2016 Chuyên ngành: Khoa học máy tính Mã số chuyên ngành: 60 48 01 01 Cơ sở đào tạo: Trường Đại học Công nghệ thông tin Truyền thông - Đại học Thái Nguyên Giáo viên hướng dẫn: TS Trần Đức Sự Tôi xin cam đoan luận văn “Tìm hiểu xây dựng công cụ phát công mạng dựa công nghệ SIEM” công trình nghiên cứu riêng Các số liệu sử dụng luận văn trung thực Các kết nghiên cứu trình bày luận văn chưa công bố công trình khác Thái Nguyên, ngày 21 tháng 09 năm 2016 HỌC VIÊN Tôn Đức Cường Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn i LỜI CẢM ƠN Sau tháng nỗ lực tìm hiểu, nghiên cứu thực luận văn Cao học với nội dung “Tìm hiểu xây dựng công cụ phát công mạng dựa công nghệ SIEM” hoàn thành Ngoài nỗ lực thân, nhận nhiều quan tâm, giúp đỡ thầy cô trường Đại học Công nghệ thông tin Truyền thông, Viện Công nghệ thông tin để hoàn thành tốt luận văn Trước hết xin gửi lời cảm ơn chân thành đến thầy cô trường Đại học Công nghệ thông tin Truyền thông – Đại học Thái Nguyên, thầy cô giáo sư, tiến sỹ công tác Viện Công nghệ thông tin truyền đạt kiến thức quý báu suốt thời gian học thạc sỹ trường Đặc biệt, xin gửi lời cảm ơn tới thầy giáo TS Trần Đức Sự tận tình hướng dẫn bảo suốt thời gian làm luận văn Bên cạnh xin gửi lời cảm ơn tới lãnh đạo trường Cao đẳng Thương mại Du lịch nơi công tác tạo tạo điều kiện, giúp đỡ số trang thiết bị hỗ trợ thử nghiệm cho công cụ xây dựng Do thời gian, kiến thức trang thiết bị hạn chế, luận văn chưa thực nghiệm nhiều, kết đạt mang tính chất thử nghiệm, mong nhận góp ý từ phía thầy cô, bạn bè để luận văn hoàn thiện Thái Nguyên, tháng 07 năm 2016 HỌC VIÊN Tôn Đức Cường Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn ii MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC TỪ VIẾT TẮT iv DANH MỤC HÌNH VẼ v LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG MẠNG 1.1 TẤN CÔNG TRONG MẠNG MÁY TÍNH .3 1.1.1 Khái niệm công mạng 1.1.2 An toàn mạng 1.1.3 Lỗ hổng bảo mật 1.1.4 Các kiểu công mạng phổ biến 1.1.5 Mô hình công mạng 1.1.6 Một số dấu hiệu phát hệ thống bị công 12 1.2 HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS 13 1.2.1 Hệ thống phát xâm nhập IDS .13 1.2.2 Network-based IDS 13 1.2.3 Host-based IDS 15 1.2.4 Hệ thống ngăn chặn xâm nhập IPS 17 1.3 HỆ THỐNG GIÁM SÁT AN NINH MẠNG 18 1.3.1 Giới thiệu hệ thống giám sát an ninh mạng 18 1.3.2 Mô hình giám sát an ninh mạng 18 1.3.3 Các công nghệ giám sát an ninh mạng .20 CHƯƠNG PHÁT HIỆN TẤN CÔNG MẠNG VỚI CÔNG NGHỆ SIEM 22 2.1 GIỚI THIỆU VỀ CÔNG NGHỆ SIEM 22 2.1.1 Quản lý nhật ký kiện an ninh 25 2.1.2 Tuân thủ quy định CNTT 26 2.1.3 Tương quan liên kết kiện an ninh .26 2.1.4 Cung cấp hoạt động ứng phó 27 2.1.5 Đảm bảo an ninh thiết bị đầu cuối .27 2.2 THÀNH PHẦN VÀ HOẠT ĐỘNG CỦA SIEM 27 2.2.1 Thiết bị Nguồn .28 2.2.2 Thu thập Log 30 2.2.3 Chuẩn hóa tổng hợp kiện an ninh .32 2.2.4 Tương quan kiện an ninh 33 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn iii 2.2.5 Lưu trữ Log 36 2.2.6 Giám sát cảnh báo 37 2.3 MỘT SỐ HỆ THỐNG TRIỂN KHAI SIEM 39 2.3.1 MARS 39 2.3.2 IBM Qradar 39 2.3.3 Splunk 40 2.3.4 AlienVault OSSIM .41 CHƯƠNG XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM VỚI MÃ NGUỒN MỞ ALIENVAULT OSSIM 42 3.1 MỤC TIÊU XÂY DỰNG CÔNG CỤ 42 3.2 HỆ THỐNG VÀ MÔ HÌNH PHÁT HIỆN TẤN CÔNG MẠNG .42 3.2.1 Hệ thống mã nguồn mở AlienVault OSSIM 42 3.2.2 Một số chức AlienVault OSSIM 43 3.2.3 Mô hình tổng quan hệ thống phát công mạng dựa công nghệ Siem sử dụng công cụ AlienVault OSSIM 44 3.3 TRIỂN KHAI XÂY DỰNG 46 3.3.1 Triển khai OSSIM vào hệ thống mạng 46 3.3.2 Một số công cụ sử dụng OSSIM .46 3.3.3 Đánh giá rủi ro .48 3.3.4 Chuẩn hóa log 48 3.3.5 Xây dựng luật Ossim 51 3.4 THỬ NGHIỆM VÀ KẾT QUẢ 53 3.4.1 Mô hình thử nghiệm thực tế 53 3.4.2 Tấn công thăm dò 54 3.4.3 Tấn công đăng nhập 57 3.4.4 Tấn công từ chối dịch vụ 60 3.4.5 Tấn công vào hệ quản trị sở liệu SQL .62 3.4.6 Đánh giá, kết 64 KẾT LUẬN .65 TÀI LIỆU THAM KHẢO 66 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn iv DANH MỤC TỪ VIẾT TẮT Stt Từ viết tắt Nội dung 01 TCP Transmision control protocol 02 Dos Denial of Service (Từ chối dịch vụ) 03 Ddos Distributed Denial of Service 04 Drdos Distributed Reflection Denial of Service 05 IDS 06 NIDS Network-based Intrusion Detection Systems 07 HIDS Host-based Intrusion Detection Systems 08 CNTT Công nghệ thông tin 09 SIEM Security Infomation and Event Management 10 ARP Address Resolution Protocol 11 CSDL 12 OSSIM 13 IIS Intrusion Detection Systems (Phát xâm nhập) Cơ sở liệu Open Source Security Information Management Internet Information Services Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn v DANH MỤC HÌNH VẼ Hình 1.1: Mô hình công phân tán 10 Hình 1.2: Các bước công mạng 10 Hình 1.3: Mô hình triển khai hệ thống NIDS 14 Hình 1.4: Mô hình hệ thống HIDS 16 Hình 1.5: Mô hình giám sát an ninh mạng dạng phân tán 19 Hình 1.6: Mô hình giám sát an ninh mạng dạng độc lập 19 Hình 1.7: Giao diện web phần mềm NMS 20 Hình 2.1: Hệ thống phát công mạng 24 Hình 2.2: Mô tả chuẩn hóa kiện 33 Hình 2.3: Sự kiện an ninh theo thời gian thực 35 Hình 2.4: Giao diện Web Splunk .40 Hình 2.5: Báo cáo AlienVault OSSIM .41 Hình 3.1: Mô hình hoạt động OSSIM .43 Hình 3.2: Mô hình tổng quan phát công mạng 44 Hình 3.3: Quản lý kiện theo thời gian thực 52 Hình 3.4: Mô hình thử nghiệm thực tế 53 Hình 3.5: Phần mềm Nmap .56 Hình 3.6: Cảnh báo công quét cổng 56 Hình 3.7: Chi tiết cảnh báo công quét cổng 57 Hình 3.8: Các kiện tương quan cho cảnh báo quét cổng 57 Hình 3.9: Kết nối tới máy chủ Web dịch vụ Remote desktop 59 Hình 3.10: Cảnh báo công đăng nhập 59 Hình 3.11: Các kiện tương quan cho cảnh báo đăng nhập 60 Hình 3.12: Công cụ công từ chối dịch vụ 61 Hình 3.13: Cảnh báo có công dos từ ip nội 62 Hình 3.14: Tấn công SQL injection 63 Hình 3.15: Cảnh báo cho công SQL injection 64 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn LỜI NÓI ĐẦU Hiện với phát triển mạnh mẽ khoa học kỹ thuật nói chung công nghệ thông tin nói riêng, việc ứng dụng công nghệ thông tin, Internet ngày trở lên phổ biến đời sống ngày hầu hết lĩnh vực Song song với phát triển hàng loạt nguy an toàn thông tin Trong năm gần đây, website internet, liệu cá cá nhân, tổ chức, phủ … bị nhiều đợt công tội phạm mạng Có nhiều website, hệ thống mạng bị ngừng hoạt động nhiều giờ, nhiều liệu quan trọng bị đánh cắp Những vụ công gây thiệt hại nghiêm trọng có tác động tiêu cực, ảnh hưởng trực tiếp đến nhiều cá nhân, doanh nghiệp… Vấn đề đảm bảo an toàn thông tin quan, tổ chức đặt lên hàng đầu Tuy nhiên hàng năm vụ công mạng liên tục gia tăng mà chưa có biện pháp khắc phục hiệu Để đảm bảo tốt cho hệ thống mạng tránh khỏi đợt công chủ động phát công đưa phản ứng thích hợp Để làm cần phải có hệ thống có khả giám sát toàn hành động vào bất thường bên hệ thống mạng cần bảo vệ, có vấn đề công cụ bảo vệ hệ thống triển khai nước ta hầu hết mua nước với giá thành cao khó khăn lớn tổ chức vừa nhỏ Mặt khác sản phẩm thương mại nên công nghệ kỹ thuật hệ thống luôn giữ kín phát sinh dạng công mới, nhà quản trị nước tự phát triển mở rộng Để giảm bớt khó khăn cho quan, tổ chức vừa nhỏ việc giám sát bảo vệ hệ thống mạng cách hiệu Tôi chọn đề tài “Tìm hiểu xây dựng công cụ phát công mạng dựa công nghệ Siem” hướng dẫn TS Trần Đức Sự Sau phần mở đầu, nội dung luận văn vào tìm hiểu phương pháp công mạng, kỹ thuật phát công công nghệ quản lý thông tin kiện an ninh Luận văn gồm chương sau: Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn Chương 1: Tổng quan công phát công mạng Khái quát tình hình an ninh mạng, kiểu công mạng phổ biến, sâu tìm hiểu hệ thống phát công, mô hình giám sát an ninh mạng áp dụng Chương 2: Kỹ thuật phát công mạng với công nghệ Siem Phân tích thành phần cách thức hoạt động Siem Một số phần mềm ứng dụng công nghệ Siem Chương 3: Xây dựng công cụ phát công mạng dựa công nghệ Siem Đưa mô hình hệ thống giám sát, phát tận công thực tế Xây dựng công cụ phát công mạng dựa công nghệ Siem Cuối phần đánh giá, kết luận hướng phát triển đề tài Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 52 Hình 3.3: Quản lý kiện theo thời gian thực Ưu điểm việc tự viết luật tùy biến cập nhật cách nhanh chóng hệ thống mạng có bất thường Trong OSSIM luật biên tập file user.xml Cấu trúc luật để đưa cảnh báo phát bất thường hệ thống sau: Các luật xếp thành nhiều lớp nhằm đánh giá xác kiện tăng độ tin cậy kiện Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 53 3.4 Thử nghiệm kết 3.4.1 Mô hình thử nghiệm thực tế Đưa hệ thống phát công mạng OSSIM vào thử nghiệm với mô hình: Internet Modem OSSIM Server (HIDS) (HIDS) SQL Server Web Server Switch Wireless Access point Pc1 Pc2 Pc3 Pcn Hình 3.4: Mô hình thử nghiệm thực tế * Mô tả: Hệ thống bao gồm - Thiết bị mạng bao gồm: + Modem (Dùng kết nối internet) + Switch ( Thiết bị chuyển mạch kết nối thiết bị mạng) + Wireless Access point (Thiết bị thu phát sóng wifi) - Máy chủ Web + Địa IP: 192.168.1.22 + Hệ điều hành: Windows Server 2008 + Cài đặt IIS làm webserver + HIDS: OSSEC Agent - Máy chủ SQL Server + Địa IP: 192.168.1.102 Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 54 + Hệ điều hành: Windows Server 2012 + Hệ quản trị sở liệu: Microsoft SQL Server 2008 R2 + HIDS: OSSEC Agent - Máy chủ Phát công mạng OSSIM + Địa IP: 192.168.1.212 - Các máy trạm từ pc1, pc2 đến pcn Hệ điều hành máy trạm đa dạng từ Windows xp, Windows 7, Windows 8, windows 10 Các máy trạm có địa IP nằm vùng 192.168.1.0/24 * Các trường hợp thử nghiệm: - Tấn công thăm dò (Sử dụng phần mềm Nmap) - Tấn công đăng nhập vào dịch vụ Remote desktop - Phát máy trạm nội nằm mạng lưới botnet bị điều khiển để thực công DDOS - Tấn công SQL Ịnection Chúng ta thử nghiệm theo dõi cảnh báo qua giao diện Web hệ thống phát công OSSIM 3.4.2 Tấn công thăm dò Trong thử nghiệm sử dụng phần mềm quét cổng Nmap từ máy trạm Internet tới địa web server - Luật viết sau để đưa cảnh báo với kiểu công này: Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 55 - Với ý nghĩa sau: Tạo thị có id 40001 với tên thị “Phat hien tan cong quet cong” độ ưu tiên Trong thị bao gồm luật với mức độ tin cậy tăng dần Luật thứ có độ tin cậy số lần xuất kiện 1, địa nguồn từ !HOME_NET (địa nằm vùng địa mạng nội bộ) đến địa đích địa thuộc mạng nội bộ, cổng dịch vụ Dữ liệu kiện lấy từ nguồn có ID 1001 ( Dữ liệu NIDS) với kiện có ID 2000536, 2000537, 2000538, 2000540, 2000543, 2000544, 2000545, 2000546 Luật thứ hai đươc đặt tên “Lap lai hanh dong quet cong” Xuất kiểu kiện liệt kê Plugin_SID hai lần 1000 giây từ ip nguồn luật thứ đến ip mạng nội Các cổng Thì tăng độ tin cậy lên Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 56 Hình 3.5: Phần mềm Nmap - Cảnh báo giao diện web: Hình 3.6: Cảnh báo công quét cổng Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 57 Hình 3.7: Chi tiết cảnh báo công quét cổng Hình 3.8: Các kiện tương quan cho cảnh báo quét cổng Trong thử nghiệm quét cổng Nmap hệ thống thu thập kiện quét cổng từ IP: 113.175.198.200 đến cổng dịch vụ fpt, http, mg-term-serv máy hệ thống mạng Tương quan kiện OSSIM đưa cảnh báo hệ thông có hành động quét cổng bất thường 3.4.3 Tấn công đăng nhập Tấn công đăng nhập (Bruteforce attack) dạng công hoạt động cách thử tất chuỗi mật để tìm mật Hiện dạng công phổ biến chế đăng nhập vào dịch vụ hệ điều hành windows dễ dàng Bruteforce attack đơn giản, dễ hiểu khó để phòng chống triệt để Kiểu công tìm mật vấn đề thời gian Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 58 Thử nghiệm cách sử dụng phương pháp dò mật đăng nhập vào dịch vụ Remote windows server 2008 máy chủ SQL Server (IP: 192.168.1.22) từ máy tính bên hệ thống mạng Thiết lập luật cho kiểu công sau: Thực đăng nhập thử nhiều lần dịch vụ Remote Desktop với tên mật sai vào máy chủ web server Server có IP nội 192.168.1.22 địa mở cổng dịch vụ Remote desktop modem để sử dụng Internet là: cdtm1.dyndns.org:3388 Tấn công thử nghiệm từ máy tính hệ thống mạng Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 59 Hình 3.9: Kết nối tới máy chủ Web dịch vụ Remote desktop Sau thử sai nhiều lần mật hệ thống đưa cảnh báo sau: Hình 3.10: Cảnh báo công đăng nhập Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 60 Hình 3.11: Các kiện tương quan cho cảnh báo đăng nhập Trong thử nghiệm OSSIM dựa vào kiện có ID 2012709 thu thập từ NIDS để đưa cảnh báo 3.4.4 Tấn công từ chối dịch vụ Trong thử nghiệm này, giả sử máy tính mạng nội bị nhiễm mã độc thuộc mạng lưới botnet Luật xây dựng nhằm phát máy tính bị nhiễm mã độc bị điều khiển công Dos đến mục tiêu Luật thiết lập cho kiểu công sau: Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 61 Trên máy trạm mạng nội sử dụng công cụ công từ chối dịch vụ vào địa cdtm1.dyndns.org Hình 3.12: Công cụ công từ chối dịch vụ Ngay sau công cụ công gửi đạt ngưỡng lớn 100 kết nối thời gian 60 giây OSSIM đưa cảnh báo sau: Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 62 Hình 3.13: Cảnh báo có công dos từ ip nội Từ cảnh báo người quản trị biết máy bị nhiễm mã độc hệ thống 3.4.5 Tấn công vào hệ quản trị sở liệu SQL SQL injection kỹ thuật cho phép kẻ công lợi dụng lỗ hổng việc kiểm tra liệu đầu vào ứng dụng web thông báo lỗi hệ quản trị sở liệu trả để inject (tiêm vào) thi hành câu lệnh SQL bất hợp pháp SQL injection cho phép kẻ công thực thao tác, delete, insert, update,… sở liệu ứng dụng, chí server mà ứng dụng chạy, lỗi thường xảy ứng dụng web có liệu quản lý hệ quản trị sở liệu SQL Server, MySQL, Oracle, DB2, Sysbase - Luật thiết lập cho kiểu công sau: Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 63 - Thực công thử nghiệm SQL injection vào máy chủ web Thực câu truy vấn sau để liệt kê cột id pass bảng user: UNION SELECT id,pass FROM user Hình 3.14: Tấn công SQL injection Hệ thống OSSIM đưa cảnh báo dựa vào kiện có id 2006445 (Sự kiện có câu truy vấn SELECT FROM bất thường) 2006446 (Sự kiện có câu truy vấn UNION SELECT bất thường) Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 64 Hình 3.15: Cảnh báo cho công SQL injection 3.4.6 Đánh giá, kết Như sau tiến hành thử nghiệm chức hệ thống phát công mạng OSSIM công cụ hỗ trợ cài đặt Ossec, Suricata, Kismet, Nagios … Ta thấy chức hệ thống hoạt động ổn định Các luật thiết đặt hoạt động xác, công thử nghiệm thực nhiều lần phát đưa cảnh báo kịp thời Độ trễ đưa cảnh báo hệ thống công thử nghiệm trung bình 25 giây Độ trễ cao nguyên nhân tốc độ phần cứng máy chủ cài đặt OSSIM thấp Ngoài hoạt động ổn định chức chính, hệ thống đảm bảo yếu tố: - Hoạt động giám sát hiệu mà không ảnh hưởng tới hiệu xuất hoạt động hệ thống mạng - Trong suốt với người sử dụng - Thích ứng nhanh có thay đổi từ phía người quản trị: Thêm luật, thay đổi cấu hình, chỉnh sửa luật, … Hệ thống hoàn toàn triển khai vào thực tế Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 65 KẾT LUẬN An toàn thông tin Việt Nam trở thành vấn đề nóng bỏng qua hàng loạt vụ việc hệ thống lớn bị công OSSIM công cụ phát công hiệu mà chi phí triển khai thấp, cần máy chủ với cấu hình vừa phải với hệ thống mạng nhỏ Sau thiết lập cấu hình, xây dựng luật cho phù hợp với hệ thống mạng Hệ thống OSSIM giúp cho người quản trị có nhìn tổng thể hệ thống mạng mình, mối nguy hại xảy đến đồng thời đưa biện pháp phòng tránh mối nguy hại gây hậu nghiêm trọng cho hệ thống mạng Tuy nhiên, để xây dựng hệ thống giám sát an ninh mạng hoàn thiện công việc dễ dàng Nó đòi hỏi phải có hiểu biết sâu rộng phần mềm, kiến thức hệ thống, lập trình, kiến thức an toàn thông tin Bên cạnh kết thu học viên tự thấy luận văn nhiều hạn chế như: Kiến thức hạn chế nên phần trình bày vấn đề tìm hiểu sơ sài Số lượng luật xây dựng để phát kiểu công Hướng phát triển luận văn: - Thiết lập hoàn thiện luật cho hệ thống phát hầu hết kiểu công mạng - Xây dựng Plugin chuẩn hóa Log cho số thiết bị mạng chưa OSSIM hỗ trợ - Bổ xung hoạt động ứng phó tự động cho cảnh báo công Trong thời gian hệ thống mã nguồn mở OSSIM hoạt động thực tế quan công tác theo dõi liên tục cập nhật luật cho phù hợp với kiểu công ngày hy vọng công cụ đảm bảo an ninh tốt cho hệ thống mạng quan Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn 66 TÀI LIỆU THAM KHẢO Tiếng Việt [1] Phạm Thế Quế (2008), Công nghệ mạng máy tính, Nhà xuất Bưu điện, Hà Nội [2] Trần Đức Sự, Phạm Minh Thuấn (2013),Giáo trình Phòng chống điều tra tội phạm máy tính, Học viện mật mã [3] Vũ Bảo Thạch (2006), “Giáo trình Thực hành An toàn Mạng”, Học viện mật mã, Hà Nội [4] Nguyễn Đại Thọ (2008), An ninh mạng, Đại học quốc gia Hà Nội Tiếng Anh [5] Steve Manzuik, Ken Pfeil, Andre (2007),Network Security Assessment Syngress [6] ITU (1999), “Internet protocol data communication service – IP packet transferand availability performance parameters”,ITU-T Recommendation Y.1540,Feb [7] Roberta Bragg, Mark Rhodes – Ousley, Keith Strassberg (2004), Network Security, McGraw-Hill Education [8] Richard Bejtlich, The Practice of Network Security Monitoring, 2013 Trang web [9] http://antoanthongtin.vn/Detail.aspx?CatID=afad3c1b-8ab0-41b3-9364fe76366f1531&NewsID=738aa8aa-5a16-44a7-aec1-b2f7bc49a831 [10] http://securitydaily.net/tong-quan-ve-he-thong-giam-sat-an-ninh-mang/ [11] https://www.alienvault.com/documentation/ [12] https://voer.edu.vn/m/mot-so-giai-phap-nham-dam-bao-an-toan-an-ninhmang-va-bao-mat-du-lieu/7fd336a8 [13] http://docs.splunk.com/Documentation/ES/4.2.0/User/Overview [14] http://www-03.ibm.com/software/products/en/qradar-siem Số hóa Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn ... tài Tìm hiểu xây dựng công cụ phát công mạng dựa công nghệ Siem hướng dẫn TS Trần Đức Sự Sau phần mở đầu, nội dung luận văn vào tìm hiểu phương pháp công mạng, kỹ thuật phát công công nghệ. ..ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG TÔN ĐỨC CƯỜNG TÌM HIỂU VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM Chuyên ngành : Khoa học máy tính... công nghệ Siem Phân tích thành phần cách thức hoạt động Siem Một số phần mềm ứng dụng công nghệ Siem Chương 3: Xây dựng công cụ phát công mạng dựa công nghệ Siem Đưa mô hình hệ thống giám sát, phát