Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.98 MB, 82 trang )

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

2019B
MẠNG MÁY TÍNH VÀ AN TỒN THƠNG TIN

LUẬN VĂN THẠC SĨ
Nghiên cứu khảo sát các hệ thống SIEM
và phát triển một giải pháp mã nguồn mở
nhỏ gọn
NGƠ MINH QN

Ngành Mạng máy tính và an tồn thơng tin

NGƠ MINH QN
- CB190232

Giảng viên hướng dẫn:

PGS. TS. Nguyễn Khanh Văn

Trường:

Cơng Nghệ Thơng Tin và Truyền Thơng

123doc
Mang
Ln
thay vì
h■■ng
l■im■i

s■
cam
tr■
h■u
m■t
k■t
nghi■m
t■im■t
là
s■
cáwebsite
nhân
mang
kho
m■ith■
kinh
m■
l■i
d■n
vi■n
nh■ng
cho
doanh
■■u
kh■ng
ng■■i
quy■n
chia
t■ th■c
dùng,

l■
s■l■i
v■i
và
hi■n
t■t
cơng
h■n
mua
ngh■a
nh■t
2.000.000
ngh■
báncho
tài
v■
hi■n
ng■■i
li■u
c■a
tài
th■
hàng
mình
li■u
dùng.
hi■n
■■u
■
thìt■t

Khi
■■i,
s■p
Vi■t
c■
khách
b■n
t■i,
l■nh
Nam.
ngh■a
online
hàng
v■c:
Táctr■
khơng
v■
tài
phong
thành
chính
c■a
khác
chun
c■a
thành
tíngì
d■ng,
hàng
so

nghi■p,
viên
v■i
tri■u
cơng
c■a
b■n
hồn
nhà
ngh■
123doc
g■c.
bán
h■o,
thơng
B■n
và
hàng
■■
n■p
có
tin,
l■i
cao
th■
ti■n
ngo■i
chuy■n
tính
phóng

vào
ng■,...Khách
trách
tài
giao
to,kho■n
nhi■m
thu
sang
nh■
c■a
■■i
■■n
hàng
tùy123doc,
v■i
v■
ý.
cót■ng
qu■n
th■b■n
d■
ng■■i
lýChào
dàng
s■ dùng.
■■■c
m■ng
tra c■u
M■c

h■■ng
b■n
tàitiêu
li■u
■■n
nh■ng
hàng
m■t
v■i■■u
quy■n
cách
123doc.
c■a
chính
l■i123doc.net
sau
xác,n■p
nhanh
ti■n
tr■
chóng.
trên
thành
website
th■ vi■n tài li■u online l■n nh■t Vi■t Nam, cung c■p nh■ng tài li■u ■■c khơng th■ tìm th■y trên th■ tr■■ng ngo■i tr■ 123doc.net.
Nhi■u event thú v■, event ki■m ti■n thi■t th■c. 123doc luôn luôn t■o c■ h■i gia t■ng thu nh■p online cho t■t c■ các thành viên c■a website.

Mangh■n
Ln
Th■a

Xu■t
Sau
Nhi■u
123doc
Link
khi
h■■ng
phát
thu■n
l■i
event
cam
s■
nh■n
xác
m■t
tr■
t■
h■u
k■t
s■
thú
nghi■m
t■i
th■c
ýxác
n■m
t■■ng
m■t
d■ng

v■,
là
s■
nh■n
s■
website
ra
mang
event
kho
m■i
■■■c
■■i,
1.
t■o
tLink
t■
th■
m■
l■i
c■ng
ki■m
■■ng
d■n
123doc
CH■P
g■i
vi■n
xác
nh■ng

cho
■■u
■■ng
ti■n
v■
th■c
h■
kh■ng
ng■■i
NH■N
■ã
■■a
quy■n
th■ng
thi■t
chia
t■ng
s■
ki■m
dùng,
l■
ch■
CÁC
s■
■■■c
th■c.
s■
l■i
b■■c
v■i

ti■n
và
email
chuy■n
■I■U
t■t
cơng
h■n
mua
123doc
g■i
online
kh■ng
nh■t
b■n
2.000.000
v■
ngh■
bán
KHO■N
sang
b■ng
ln
cho
■■a
■ã
tài
■■nh
hi■n
■■ng

ng■■i
li■u
ph■n
ln
ch■
tài
TH■A
tài
v■
th■
li■u
hàng
t■o
email
li■u
thơng
ky,
dùng.
tríhi■n
THU■N
hi■u
c■
c■a
b■n
■■u
■b■n
tin
t■t
h■i
Khi

■■i,
qu■
mình
vui
Vi■t
xác
c■
■ã
khách
gia
lịng
b■n
nh■t,
minh
trong
l■nh
■■ng
Nam.
t■ng
Chào
■■ng
online
hàng
uy
tài
v■c:
l■nh
thu
Tác
m■ng

ky,
tín
kho■n
tr■
nh■p
nh■p
khơng
b■n
tài
phong
v■c
cao
thành
b■n
chính
vui
email
nh■t.
tài
email
online
oLink
khác
chun
■■n
li■u
lịng
thành
tínb■n
Mong

c■a
xác
gì
cho
d■ng,
và
■■ng
v■i
so
nghi■p,
viên
th■c
kinh
■ã
mình
t■t
123doc.
123doc.net!
v■i
mu■n
cơng
■■ng
nh■p
c■a
c■
doanh
s■
b■n
vàcác
hồn

mang
■■■c
ngh■
123doc
click
email
ký
g■c.
online.
thành
v■i
h■o,
Chúng
vào
l■i
thơng
B■n
g■i
c■a
và
123doc.netLink
CH■P
cho
viên
linkí
Tính
■■
v■
n■p
có

mình
tơi
tin,
c■ng
c■a
cao
■■a
th■
■■n
cung
NH■N
ti■n
ngo■i
và
tính
mình
website.
phóng
■■ng
ch■
th■i
click
vào
c■p
CÁC
ng■,...Khách
trách
xác
trong
email

tài
■i■m
D■ch
vào
xã
to,kho■n
■I■U
th■c
nhi■m
h■i
thu
linkơng
l■nh
b■n
tháng
V■
nh■
m■t
s■
KHO■N
c■a
■ã
v■c
(nh■
■■i
hàng
■■■c
tin
tùy
ngu■n

5/2014;
■■ng
123doc,
tài
v■i
xác
■■■c
ý.
có
li■u
TH■A
g■i
t■ng
minh
th■
tài
ky,
123doc
và
v■
mơ
ngun
b■n
b■n
d■
ng■■i
THU■N
tài
kinh
■■a

t■
dàng
kho■n
s■
vui
v■■t
d■■i
doanh
tri
dùng.
■■■c
ch■
lịng
tra
th■c
m■c
email
■ây)
email
c■u
■■ng
Chào
online.
M■c
h■■ng
q
100.000
cho
tài
b■n

b■n
m■ng
tiêu
báu,
nh■p
li■u
Tính
b■n,
■ã
nh■ng
■ã
hàng
phong
m■t
l■■t
■■n
email
■■ng
b■n
tùy
■■ng
■■u
quy■n
cách
truy
thu■c
■■n
th■i
phú,
c■a

ký
ky,
c■a
c■p
chính
v■i
■i■m
v■i
■a
mình
l■i
b■n
vào
123doc.net
m■i
123doc.netLink
d■ng,
123doc.net!
sau
xác,
các
vui
tháng
vàngày,
n■p
click
lịng
“■i■u
nhanh
giàu

5/2014;
ti■n
s■
vào
■■ng
tr■
giá
Kho■n
Chúng
chóng.
h■u
trên
linkc■a
thành
tr■
xác
123doc
nh■p
2.000.000
website
■■ng
th■c
Th■a
tơi
th■
website.
cung
email
v■■t
s■

vi■n
th■i
Thu■n
■■■c
c■p
c■a
thành
mong
m■c
tài D■ch
v■
li■u
mình
g■i
viên
100.000
mu■n
S■
online
v■
và
V■
■■ng
D■ng
click
■■a
t■o
(nh■
l■■t
l■n

ký,
D■ch
■i■u
vào
ch■
nh■t
■■■c
truy
l■t
link
email
ki■n
V■”
vào
c■p
Vi■t
123doc
mơtop
sau
cho
b■n
m■i
Nam,
t■200
■ây
d■■i
cho
ngày,
■ã
cung

các
các
(sau
■■ng
g■i
■ây)
s■
website
c■p
users
■ây
h■u
ky,
cho
nh■ng
■■■c
có
b■n
2.000.000
b■n,
ph■
thêm
vui
tài
bi■n
tùy
g■i
lịng
thu
li■u

thu■c
t■t
thành
nh■t
nh■p.
■■c
■■ng
T■i
vào
t■i
viên
khơng
t■ng
Chính
nh■p
Vi■t
các
■■ng
th■i
“■i■u
th■
Nam,
vì
email
v■y
■i■m,
ký,
tìm
t■
Kho■n

c■a
l■t
123doc.net
th■y
l■chúng
vào
mình
tìm
trên
Th■a
top
ki■m
và
tơi
th■
200
ra
click
Thu■n
cóthu■c
■■i
tr■■ng
các
th■
vào
nh■m
website
c■p
v■
top

link
ngo■i
S■
3nh■t
■áp
123doc
Google.
D■ng
ph■
tr■
■KTTSDDV
■ng
123doc.net.
bi■n
■ã
D■ch
Nh■n
nhu
g■i
nh■t
c■u
V■”
■■■c
theo
t■i
chia
sau
Vi■t
quy■t
danh

■ây
s■ Nam,
tài
(sau
hi■u
...li■u
t■
■ây
do
ch■t
l■c■ng
■■■c
tìm
l■■ng
ki■m
■■ng
g■i
và
thu■c
t■t
bình
ki■m
T■i
ch■n
top
ti■n
t■ng
3 Google.
là
online.

th■i
website
■i■m,
Nh■n
ki■m
chúng
■■■c
ti■ntơi
online
danh
có th■
hi■u
hi■u
c■p
do
qu■
nh■t
c■ng
và ■KTTSDDV
uy
■■ng
tín nh■t.
bình ch■n
theo quy■t
là website
... ki■m ti■n online hi■u qu■ và uy tín nh■t.

HÀ NỘI, 2021

Lnh■n

123doc
Sau
Th■a
Xu■t
khi
h■■ng
phát
thu■n
cam
nh■n
m■t
t■k■t
s■
t■i
ýxác
n■m
t■■ng
d■ng
là
s■
nh■n
website
ra
mang
■■i,
1.
t■o
t■l■i
c■ng
■■ng

d■n
123doc
CH■P
nh■ng
■■u
■■ng
h■
NH■N
■ã
quy■n
th■ng
chia
t■ng
ki■m
CÁC
s■s■
l■i
b■■c
ti■n
vàchuy■n
■I■U
t■t
mua
online
kh■ng
nh■t
bán
KHO■N
sang
b■ng

cho
■■nh
thay
ng■■i
ph■n
tài
TH■A
vìv■
li■u
m■i
thơng
dùng.
tríTHU■N
hi■u
m■t
c■atin
Khi
qu■
mình
cá
xác
khách
nhân
nh■t,
minh
trong
Chào
kinh
hàng
uy

tài
l■nh
m■ng
doanh
tín
kho■n
tr■
v■c
cao
thành
b■n
t■
email
nh■t.
tàith■c
■■n
li■u
thành
b■n
Mong
hi■n
và
v■i
viên
kinh
■ã
123doc.
123doc.net!
mu■n
ngh■a

■■ng
c■a
doanh
mang
123doc
v■
kýonline.
c■a
v■i
Chúng
l■ivà
123doc.netLink
mình
cho
Tính
n■p
tơi
c■ng
thì
■■n
cung
ti■n
s■p
■■ng
th■i
vào
c■p
t■i,
xác
tài

■i■m
D■ch
xã
ngh■a
kho■n
th■c
h■itháng
V■
m■t
s■
v■
c■a
(nh■
■■■c
c■a
ngu■n
5/2014;
123doc,
■■■c
c■a
g■i
tài
123doc
hàng
v■
mơ
ngun
b■n■■a
t■
tri■u

s■
v■■t
d■■i
tri
■■■c
ch■
nhà
th■c
m■c
■ây)
email
bán
h■■ng
q
100.000
cho
hàng
b■n
báu,
b■n,
nh■ng
l■i
■ã
phong
l■■t
chuy■n
tùy
■■ng
quy■n
truy

thu■c
phú,
ky,
c■p
giao
■a
l■i
b■n
vào
m■i
sang
d■ng,
sau
các
vuingày,
n■p
■■n
lịng
“■i■u
giàu
ti■n
s■
■■ng
v■
giá
Kho■n
h■u
qu■n
trên
tr■

nh■p
2.000.000
website
■■ng
Th■a
lý hồn
email
th■i
Thu■n
h■o,
c■a
thành
mong
v■
■■
mình
viên
mu■n
S■
cao
và
■■ng
D■ng
tính
click
t■otrách
ký,
D■ch
■i■u
vàol■t

link
nhi■m
ki■n
V■”
vào
123doc
top
sau
cho
■■i
200
■ây
cho
v■i
■ãcác
các
(sau
g■i
t■ng
website
users
■ây
ng■■i
■■■c
cóph■
dùng.
thêm
bi■n
g■i
thu

M■c
t■t
nh■t
nh■p.
T■i
tiêu
t■i
t■ng
hàng
Chính
Vi■tth■i
■■u
Nam,
vì v■y
■i■m,
c■a
t■123doc.net
l■
123doc.net
chúng
tìm ki■m
tơiracó
tr■
thu■c
■■i
th■
thành
nh■m
c■p
topth■

3nh■t
■áp
Google.
vi■n
■KTTSDDV
■ng
tàiNh■n
nhu
li■uc■u
online
■■■c
theo
chia
l■n
quy■t
danh
s■nh■t
tài
hi■u
...li■u
Vi■t
do
ch■t
Nam,
c■ng
l■■ng
cung
■■ng
và
c■p

bình
ki■m
nh■ng
ch■n
ti■ntài
là
online.
website
li■u ■■cki■m
khơng
ti■n
th■
online
tìm th■y
hi■utrên
qu■th■
và tr■■ng
uy tín nh■t.
ngo■i tr■ 123doc.net.
Ln
Th■a
Xu■t
Sau
Nhi■u
123doc
Mang
thayh■n
khi
vì
h■■ng

phát
thu■n
l■i
event
m■i
cam
s■
nh■n
m■t
tr■
t■
h■u
m■t
k■t
s■
thú
nghi■m
t■i
ýxác
n■m
t■■ng
m■t
d■ng
v■,
là
s■
cá
nh■n
website
ra

nhân
mang
event
kho
m■i
■■i,
1.
t■o
t■
th■
kinh
m■
l■i
c■ng
ki■m
■■ng
d■n
123doc
CH■P
vi■n
nh■ng
cho
doanh
■■u
■■ng
ti■n
h■
kh■ng
ng■■i
NH■N

■ã
quy■n
th■ng
thi■t
chia
t■t■ng
ki■m
th■c
dùng,
l■
CÁC
s■
th■c.
s■
l■i
b■■c
v■i
ti■n
và
hi■n
chuy■n
■I■U
t■t
cơng
h■n
mua
123doc
online
kh■ng
ngh■a

nh■t
2.000.000
ngh■
bán
KHO■N
sang
b■ng
ln
cho
tài
■■nh
v■
hi■n
ng■■i
li■u
ph■n
ln
c■a
tài
TH■A
tài
v■
th■
li■u
hàng
t■o
mình
li■u
thơng
dùng.

tríhi■n
THU■N
hi■u
c■
c■a
■■u
■
thìtin
t■t
h■i
Khi
■■i,
qu■
s■p
mình
Vi■t
xác
c■
khách
gia
b■n
t■i,
nh■t,
minh
trong
l■nh
Nam.
t■ng
Chào
ngh■a

online
hàng
uy
tài
v■c:
l■nh
thu
Tác
m■ng
tín
kho■n
tr■
nh■p
khơng
v■
tài
phong
v■c
cao
thành
b■n
chính
c■a
email
nh■t.
tài
online
khác
chun
■■n

c■a
li■u
thành
tínb■n
Mong
gì
cho
d■ng,
và
hàng
v■i
so
nghi■p,
viên
kinh
■ã
t■t
123doc.
123doc.net!
v■i
mu■n
tri■u
cơng
■■ng
c■a
c■
doanh
b■n
các
hồn

nhà
mang
ngh■
123doc
ký
g■c.
online.
thành
bán
v■i
h■o,
Chúng
l■i
thơng
B■n
và
hàng
123doc.netLink
cho
viên
Tính
■■
n■p
có
tơi
tin,
c■ng
l■i
c■a
cao

th■
■■n
cung
ti■n
ngo■i
chuy■n
tính
website.
phóng
■■ng
th■i
vào
c■p
ng■,...Khách
trách
xác
tài
■i■m
D■ch
giao
xã
to,kho■n
th■c
nhi■m
h■i
thu
sang
tháng
V■
nh■

m■t
s■
c■a
(nh■
■■i
■■n
hàng
■■■c
tùy
ngu■n
5/2014;
123doc,
v■i
v■
■■■c
ý.
cóg■i
t■ng
qu■n
th■
tài
123doc
v■
mơ
ngun
b■n
d■
ng■■i
lý,
■■a

t■
dàng
s■
cơng
v■■t
d■■i
tri
dùng.
■■■c
ch■
tra
th■c
ngh■
m■c
■ây)
email
c■u
M■c
h■■ng
q
hi■n
100.000
cho
tài
b■n
tiêu
báu,
li■u
b■n,
th■

nh■ng
■ã
hàng
phong
m■t
l■■t
hi■n
tùy
■■ng
■■u
quy■n
cách
truy
thu■c
■■i,
phú,
ky,
c■a
c■p
chính
■a
b■n
l■i
b■n
vào
123doc.net
m■i
d■ng,
sau
online

xác,
các
vuingày,
n■p
lịng
“■i■u
nhanh
giàu
khơng
ti■n
s■
■■ng
tr■
giá
Kho■n
chóng.
h■u
trên
khác
thành
tr■
nh■p
2.000.000
website
■■ng
Th■a
gìth■
so
email
vi■n

th■i
v■i
Thu■n
c■a
thành
b■n
mong
tài v■
li■u
mình
g■c.
viên
mu■n
S■
online
và
B■n
■■ng
D■ng
click
t■o
l■n
cóký,
D■ch
■i■u
vào
th■
nh■t
l■t
link

phóng
ki■n
V■”
vào
Vi■t
123doc
top
sau
cho
to,
Nam,
200
thu
■ây
cho
■ã
cung
nh■
các
các
(sau
g■iwebsite
tùy
c■p
users
■ây
ý.nh■ng
■■■c
cóph■
thêm

tài
bi■n
g■i
thu
li■u
t■t
nh■t
nh■p.
■■c
T■it■i
khơng
t■ng
Chính
Vi■tth■i
th■
Nam,
vì v■y
■i■m,
tìm
t■123doc.net
th■y
l■chúng
tìm
trên
ki■m
tơi
th■
racóthu■c
■■i
tr■■ng

th■nh■m
c■p
top
ngo■i
3nh■t
■áp
Google.
tr■
■KTTSDDV
■ng
123doc.net.
Nh■n
nhu c■u
■■■c
theo
chiaquy■t
danh
s■ tài
hi■u
...li■udo
ch■t
c■ng
l■■ng
■■ng
vàbình
ki■mch■n
ti■n là
online.
website ki■m ti■n online hi■u qu■ và uy tín nh■t.
Chia

m■t
u■t
Nhi■u
Mang
Ln
123doc
Th■a
Xu■t
Sau
tri■n
phát
khi
h■n
member
s■
h■■ng
phát
khai
thu■n
l■i
event
s■
cam
nh■n
câu
t■
m■t
tr■
t■
event

h■u
ýk■t
s■
chuy■n
thú
nghi■m
t■i
ýkhơng
t■■ng
xác
n■m
t■■ng
m■t
d■ng
v■,
là
khuy■n
s■
nh■n
website
ra
mang
m■y
event
t■o
kho
thành
m■i
■■i,
1.

t■o
t■
mãi
c■ng
th■
n■i
m■
l■i
c■ng
ki■m
■■ng
d■n
cơng
123doc
CH■P
th■
vi■n
b■t
nh■ng
cho
■■ng
■■u
■■ng
ti■n
trên
n■p
h■
c■a
kh■ng
ng■■i

NH■N
■ã
quy■n
th■ng
123doc
thi■t
chia
ki■m
v■i
c■ng
t■ng
ki■m
dùng,
l■
CÁC
s■
nh■ng
th■c.
ti■n
s■
l■i
b■■c
■■ng
v■i
ti■n
-và
ki■m
chuy■n
■I■U
t■t

cơng
online
h■n
mua
123doc
online
■u
kh■ng
123doc
nh■t
5■ãi
2.000.000
ngh■
bán
KHO■N
tri■u
b■ng
sang
b■ng
ln
cho
c■c
tài
■■nh
■ã
hi■n
ch■
tài
ng■■i
li■u

ph■n
ln
k■
tài
TH■A
xu■t
li■u
tài
v■
v■i
th■
li■u
h■p
hàng
t■o
li■u
thơng
s■c
dùng.
trí
hi■u
7hi■n
THU■N
hi■u
d■n.
tài
c■
c■a
■■u
■■■ng

li■u!
tin
qu■
t■t
h■i
Khi
■■i,
qu■
mình
■■ng
Vi■t
xác
c■
khách
gia
nh■t,
Nghe
trong
b■n
nh■t,
minh
trong
l■nh
Nam.
t■ng
Chào
b■online
có
uy
hàng

danh
l■
uy
tài
v■c:
l■nh
thu
Tác
v■
tín
m■ng
nhé,
tín
kho■n
tr■
sách
cao
nh■p
khó
khơng
tài
phong
v■c
cao
tr■■c
thành
b■n
chính
nh■t.
tin

Top
email
nh■t.
tài
online
khác
nh■ng
chun
■■n
li■u
tiên
thành
danh
tín
Mong
b■n
Mong
gì
cho
d■ng,
và
hãy
v■i
■ây
so
thu
nghi■p,
viên
kinh
■ã

mu■n
t■t
123doc.
123doc.net!
cùng
v■i
mu■n
cao
là
cơng
■■ng
c■a
c■
doanh
b■n
con
nh■t
mang
tìm
các
hồn
mang
ngh■
123doc
s■
ký
g■c.
hi■u
online.
thành

tháng
v■i
l■i
hồn
h■o,
Chúng
l■i
thơng
B■n
thơng
cho
và
123doc.netLink
cho
viên
t■o
tồn
Tính
■■
n■p
có
c■ng
tơi
tin,
c■ng
tin
c■
c■a
cao
th■

chính
■■n
cung
ti■n
ngo■i
v■
h■i
■■ng
tính
website.
phóng
■■ng
Khách
th■i
vào
c■p
xác
gia
ng■,...Khách
trách
xác
xã
tài
t■ng
■i■m
mà
D■ch
xã
to,
hàng

h■i
kho■n
th■c
nhi■m
h■i
BQT
thu
thu
m■t
tháng
V■
có
nh■
m■t
s■
nh■p
123doc
c■a
th■
(nh■
■■i
hàng
ngu■n
■■■c
tùy
ngu■n
5/2014;
123doc,
d■
v■i

online
■■■c
ý.
có
■ã
dàng
tài
g■i
t■ng
th■
tài
thu
123doc
ngun
cho
v■
mơ
ngun
b■n
tra
d■
ng■■i
th■p
t■t
■■a
t■
c■u
dàng
s■
v■■t

tri
d■■i
c■
■■■c
tri
dùng.
■■■c
ch■
tài
th■c
các
tra
th■c
m■c
li■u
■ây)
email
c■u
sau
thành
q
M■c
h■■ng
q
m■t
100.000
cho
■■t
tài
báu,

b■n
tiêu
báu,
viên
li■u
cách
b■n,
t■ng
nh■ng
phong
■ã
hàng
phong
c■a
m■t
l■■t
chính
tùy
■■ng
k■t
■■u
website.
phú,
quy■n
cách
truy
thu■c
phú,
doanh
xác,

ky,
c■a
c■p
■a
chính
■a
nhanh
l■i
b■n
vào
d■ng,
thu
123doc.net
m■i
d■ng,
sau
xác,
các
vui
tháng
chóng.
ngày,
n■p
giàu
lịng
“■i■u
nhanh
giàu
11
ti■n

giá
s■
■■ng
tr■
giá
uy
Kho■n
chóng.
h■u
tr■
trên
tín
thành
tr■
nh■p
■■ng
cao
2.000.000
website
■■ng
Th■a
th■
nh■t.
email
th■i
vi■n
th■i
Thu■n
Mong
mong

c■a
thành
mong
tài v■
li■u
mình
mu■n
mu■n
viên
mu■n
S■
online
và
■■ng
D■ng
mang
t■o
click
t■o
l■n
■i■u
ký,
D■ch
■i■u
vào
l■i
nh■t
l■t
cho
link

ki■n
ki■n
V■”
vào
Vi■t
c■ng
123doc
cho
top
sau
cho
Nam,
■■ng
cho
200
■ây
cho
■ã
cung
các
các
các
(sau
g■i
xãusers
website
h■i
c■p
users
■ây

m■t
nh■ng
có
■■■c
cóph■
thêm
ngu■n
thêm
tài
bi■n
g■i
thu
thu
li■u
tài
t■t
nh■p.
nh■t
nh■p.
ngun
■■c
T■it■i
Chính
khơng
t■ng
Chính
Vi■t
tri th■c
th■i
vìth■

Nam,
vìv■y
v■y
q
■i■m,
tìm
123doc.net
t■123doc.net
báu,
th■y
l■chúng
tìm
phong
trên
ki■m
tơi
ra
th■
ra
phú,
có
■■i
thu■c
■■i
tr■■ng
th■
■Sau
nh■m
nh■m
c■p

top
ngo■i
h■n
■áp
3nh■t
■áp
Google.
m■t
■ng
tr■
■KTTSDDV
■ng
123doc.net.
n■m
nhu
Nh■n
nhuc■u
rac■u
■■i,
■■■c
chia
theo
chia
123doc
s■
quy■t
danh
s■tàitài
hi■u
li■u

■ã
...li■u
t■ng
ch■t
do
ch■t
c■ng
b■■c
l■■ng
l■■ng
■■ng
kh■ng
vàvàki■m
bình
ki■m
■■nh
ch■n
ti■n
ti■n
v■
online.
là
online.
tríwebsite
c■a mình
ki■m
trong
ti■nl■nh
online
v■c

hi■u
tài li■u
qu■và
vàkinh
uy tín
doanh
nh■t.online

Nhi■u
Mang
Ln
123doc
Th■a
Xu■t
Sau
khi
h■n
h■■ng
phát
thu■n
l■i
event
s■
cam
nh■n
m■t
tr■
t■
h■u
k■t

s■
thú
nghi■m
t■i
ýxác
n■m
t■■ng
m■t
d■ng
v■,
là
s■
nh■n
website
ra
mang
event
kho
m■i
■■i,
1.
t■o
t■
th■
m■
l■i
c■ng
ki■m
■■ng
d■n

123doc
CH■P
vi■n
nh■ng
cho
■■u
■■ng
ti■n
h■
kh■ng
ng■■i
NH■N
■ã
quy■n
th■ng
thi■t
chia
t■ng
ki■m
dùng,
l■
CÁC
s■
th■c.
s■
l■i
b■■c
v■i
ti■n
vàchuy■n

■I■U
t■t
cơng
h■n
mua
123doc
online
kh■ng
nh■t
2.000.000
ngh■
bán
KHO■N
sang
b■ng
ln
cho
tài
■■nh
hi■n
ng■■i
li■u
ph■n
ln
tài
TH■A
tài
v■
th■
li■u

hàng
t■o
li■u
thơng
dùng.
tríhi■n
THU■N
hi■u
c■
c■a
■■u
■ tin
t■t
h■i
Khi
■■i,
qu■
mình
Vi■t
xác
c■
khách
gia
b■n
nh■t,
minh
trong
l■nh
Nam.
t■ng

Chào
online
hàng
uy
tài
v■c:
l■nh
thu
Tác
m■ng
tín
kho■n
tr■
nh■p
khơng
tài
phong
v■c
cao
thành
b■n
chính
email
nh■t.
tài
online
khác
chun
■■n
li■u

thành
tínb■n
Mong
gì
cho
d■ng,
và
v■i
so
nghi■p,
viên
kinh
■ã
t■t
123doc.
123doc.net!
v■i
mu■n
cơng
■■ng
c■a
c■
doanh
b■n
các
hồn
mang
ngh■
123doc
ký

g■c.
online.
thành
v■i
h■o,
Chúng
l■i
thơng
B■n
và
123doc.netLink
cho
viên
Tính
■■
n■p
có
tơi
tin,
c■ng
c■a
cao
th■
■■n
cung
ti■n
ngo■i
tính
website.
phóng

■■ng
th■i
c■p
thay
ng■,...Khách
trách
xác
■i■m
D■ch
xã
to,
vì th■c
nhi■m
m■i
h■i
thutháng
V■
nh■
m■t
s■(nh■
■■i
hàng
■■■c
tùy
ngu■n
5/2014;
cáv■i
nhân
■■■c
ý.

cóg■i
t■ng
th■
tài
123doc
kinh
v■
mơ
ngun
d■
ng■■i
doanh
■■a
t■
dàng
v■■t
d■■i
tri
dùng.
ch■
t■
tra
th■c
m■c
■ây)
th■c
email
c■u
M■c
q

100.000
cho
tài
hi■n
b■n
tiêu
báu,
li■u
b■n,
ngh■a
■ã
hàng
phong
m■t
l■■t
tùy
■■ng
■■u
cách
truy
v■
thu■c
phú,
ky,
c■a
c■a
c■p
chính
■a
b■n

vào
mình
123doc.net
m■i
d■ng,
xác,
các
vuingày,
thì
lịng
“■i■u
nhanh
giàu
s■p
s■
■■ng
tr■
giá
t■i,
Kho■n
chóng.
h■u
thành
tr■
ngh■a
nh■p
2.000.000
■■ng
Th■a
th■

email
v■vi■n
th■i
Thu■n
c■a
c■a
thành
mong
tài
c■a
v■
li■u
mình
viên
hàng
mu■n
S■
online
và
■■ng
D■ng
tri■u
click
t■o
l■n
ký,
D■ch
■i■u
vào
nhà

nh■t
l■t
link
bán
ki■n
V■”
vào
Vi■t
123doc
hàng
top
sau
cho
Nam,
200
l■i
■ây
cho
■ã
chuy■n
cung
các
các
(sau
g■iwebsite
c■p
users
■ây
giao
nh■ng

■■■c
cósang
ph■
thêm
tài
bi■n
g■i
■■n
thu
li■u
t■t
nh■t
v■
nh■p.
■■c
T■i
qu■n
t■i
khơng
t■ng
Chính
Vi■t
lý th■i
quy■n
th■
Nam,
vì v■y
■i■m,
tìm
l■i

t■123doc.net
th■y
l■
sau
chúng
tìm
trên
n■p
ki■m
tơi
th■
ti■n
racóthu■c
■■i
tr■■ng
trên
th■nh■m
c■p
website
top
ngo■i
3nh■t
■áp
Google.
tr■
■KTTSDDV
■ng
123doc.net.
Nh■n
nhu c■u

■■■c
theo
chiaquy■t
danh
s■ tài
hi■u
...li■udo
ch■t
c■ng
l■■ng
■■ng
vàbình
ki■mch■n
ti■n là
online.
website ki■m ti■n online hi■u qu■ và uy tín nh■t.

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

LUẬN VĂN THẠC SĨ
Nghiên cứu khảo sát các hệ thống SIEM
và phát triển một giải pháp mã nguồn mở nhỏ gọn
NGÔ MINH QUÂN

Ngành Mạng máy tính và an tồn thơng tin

Giảng viên hướng dẫn:

PGS. TS. Nguyễn Khanh Văn

Trường:

Công Nghệ Thông Tin và Truyền Thông

Chữ ký của GVHD

HÀ NỘI, 2021

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

- Bổ sung bối cảnh của tổ chức cần phải xây dựng một hệ thống SIEM
- Bổ sung phần giải thích cho khái niệm nhỏ gọn trong tiêu đề luận văn
- Bổ sung các yêu cầu đặt ra trước khi xây dựng một hệ thống SIEM
- Viết lại phần lợi ích khi triển khai một hệ thống SIEM
- Bổ sung phần các tiêu chí khi lựa chọn một hệ thống SIEM
Ngày

tháng

năm

Giáo viên hướng dẫn

Tác giả luận văn

PGS. TS Nguyễn Khanh Văn

Ngô Minh Quân

CHỦ TỊCH HỘI ĐỒNG

TS. Nguyễn Thanh Hùng

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

Lời cảm ơn

Để có thể hồn thành luận văn tốt nghiệp này, em xin chân thành cảm ơn
các thầy cô giáo trong Trường Công nghệ thông tin và Truyền thông – Đại học
Bách Khoa Hà Nội, đặc biệt là các thầy cô trong Bộ môn Công nghệ Phần mềm
đã dạy em khơng chỉ là kiến thức mà cịn cả phương pháp nghiên cứu cũng như
kiến thức căn bản giúp em có thể hồn thành luận văn này.
Đặc biệt em xin gửi lời cảm ơn sâu sắc đến thầy PGS. TS. Nguyễn Khanh
Văn, giảng viên Bộ môn Công nghệ Phần mềm đã hướng dẫn và chỉ bảo em tận
tình trong quá trình làm đồ án tốt nghiệp.
Cuối cùng em xin được gửi lời cảm ơn đến gia đình, bạn bè đã động viên,
chăm sóc, đóng góp ý kiến và giúp đỡ trong q trình học tập, nghiên cứu và
hồn thành luận văn tốt nghiệp.
Trong suốt quá trình làm luận văn, bản thân em đã cố gắng tập trung tìm
hiểu, nghiên cứu và tham khảo thêm nhiều tài liệu liên quan. Tuy nhiên, do thời
gian hạn chế và bản thân còn chưa có nhiều kinh nghiệm trong nghiên cứu đề tài,
chắc chắn luận văn vẫn cịn nhiều thiếu sót. Em rất mong được nhận sự chỉ bảo
của các thầy cô giáo và các góp ý của bạn bè để luận văn được hoàn thiện hơn.

Em xin chân thành cảm ơn!

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

Tóm tắt nội dung luận văn
Đề tài: Nghiên cứu khảo sát các hệ thống SIEM và phát triển một giải
pháp mã nguồn mở nhỏ gọn
Tác giả luận văn: Ngô Minh Quân

Khóa 2019B

Người hướng dẫn: PGS. TS. Nguyễn Khanh Văn
Nội dung tóm tắt:

a) Lý do chọn đề tài: Ngày nay, cùng với sự phát triển mạnh mẽ của ngành
khoa học công nghệ, không gian mạng dần trở thành một bộ phận khơng thể
thiếu và đóng vai trị quan trọng trong sự phát triển của xã hội. Sự phát triển bùng
nổ của một số ngành cơng nghệ tiêu biểu, mang tính đột phá như trí tuệ nhân tạo,
IoT, điện tốn đám mây, dữ liệu lớn v.v... làm không gian mạng thay đổi sâu sắc
cả về chất và lượng, được dự báo sẽ mang lại những lợi ích chưa từng có trong
lịch sử xã hội loài người. Song song với sự phát triển đó, khơng gian mạng ngày
càng xuất hiện những nguy cơ tiềm ẩn vô cùng lớn. Các cuộc tấn công mạng với
mục đích xấu nhắm vào các hệ thống mạng của công ty hay tổ chức luôn diễn ra
với tần suất rất lớn và mức độ tinh vi ngày càng cao. Hậu quả để lại của các cuộc
tấn công này thường vô cùng nghiêm trọng gây thiệt hại rất lớn cả về dữ liệu và
tiền bạc. Bởi vậy, cần có một hệ thống cho phép cơ quan, tổ chức theo dõi và
giám sát được các mối đe dọa mà họ đang đối mặt, từ đó đưa ra các phương án
để đối phó, ngăn chặn các mối đe dọa này, đó chính là hệ thống Giám sát an ninh
mạng. Hệ thống GSANM quản lý và phân tích các sự kiện ATTT, thực hiện thu
thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện ATTT được
sinh ra từ các thành phần trong hạ tầng công nghệ thông tin của cơ quan, tổ chức.
b) Mục đích nghiên cứu của luận văn, đối tượng, phạm vi nghiên cứu:
- Mục đích nghiên cứu: Khảo sát một số giải pháp xây dựng hệ thống
giám sát an tồn thơng tin SIEM và triển khai xây dựng một hệ thống mã nguồn
mở
- Đối tượng, phạm vi nghiên cứu:
+ Khái niệm, chức năng, các thành phần của hệ thống giám sát an ninh
mạng
+ Thử nghiệm xây dựng và phát hiện một số loại tấn công

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

1.5

Cấu trúc của luận văn ................................................................................. 4

CHƯƠNG 2. TỔNG QUAN VỀ GIẢI PHÁP QUẢN LÝ VÀ PHÂN TÍCH
SỰ KIỆN AN TỒN THƠNG TIN (SIEM) ...................................................... 5
2.1
Số liệu thống kê về các tổn thất của các doanh nghiệp liên quan đến mất
an tồn thơng tin ..................................................................................................... 5
2.2
Tổng quan về giải pháp quản lý và phân tích sự kiện an tồn thơng tin
SIEM 7
2.2.1

Các u cầu đặt ra trước khi xây dựng một hệ thống SIEM ....... 7

2.2.2

Các khái niệm và chức năng của hệ thống .................................. 8

2.2.3

Các thành phần của hệ thống SIEM .......................................... 10

2.2.4

Các lợi ích mang lại của hệ thống SIEM .................................. 17

CHƯƠNG 3. GIỚI THIỆU MỘT SỐ GIẢI PHÁP SIEM VÀ CÁC GIẢI

PHÁP MÃ NGUỒN MỞ CĨ THỂ TÍCH HỢP .............................................. 20
3.1

3.2

Một số giải pháp SIEM hiện có trên thị trường ....................................... 20
3.1.1

Syslog-NG ................................................................................. 20

3.1.2

Logzilla (PHP Syslog-NG) ....................................................... 22

3.1.3

Splunk ....................................................................................... 24

3.1.4

ELK Stack ................................................................................. 30

3.1.5

Lựa chọn giải pháp .................................................................... 40

Một số giải pháp có thể tích hợp cho hệ thống SIEM.............................. 42
3.2.1

Hệ thống tìm kiếm, phát hiện và ngăn ngừa xâm nhập Snort ... 42

3.2.2

Hệ thống phát hiện xâm nhập OSSEC ...................................... 48

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

CHƯƠNG 4. XÂY DỰNG THỬ NGHIỆM HỆ THỐNG SIEM MÃ NGUỒN
MỞ NHỎ GỌN ................................................................................................... 56
4.1

Các tiêu chí đánh giá khi xây dựng một hệ thống SIEM ......................... 56
4.1.1

Mức độ hỗ trợ của SIEM đối với các nguồn nhật ký ................ 56

4.1.2

Khả năng ghi nhật ký bổ sung của SIEM ................................. 56

4.1.3
SIEM

Khả năng sử dụng hiệu quả các thơng tin tình báo của hệ thống
................................................................................................... 57

4.1.4

Khả năng điều tra số của hệ thống SIEM ................................. 57

4.1.5
SIEM

Những tính năng hỗ trợ thực hiện phân tích dữ liệu của hệ thống
................................................................................................... 58

4.1.6

Khả năng phản hồi tự động của SIEM ...................................... 58

4.1.7

Khả năng xây dựng báo cáo của hệ thống SIEM ...................... 59

4.2

Xây dựng bài toán thử nghiệm ................................................................. 59

4.3

Triển khai hệ thống .................................................................................. 59
4.3.1

Triển khai ELK Stack ............................................................... 59

4.3.2

Triển khai Snort ........................................................................ 62

4.3.3

Triển khai OSSEC ..................................................................... 65

4.4

Thực nghiệm tấn công và ghi nhận log vào hệ thống SIEM.................... 65

4.5

Đánh giá kết quả....................................................................................... 68

KẾT LUẬN ......................................................................................................... 70
TÀI LIỆU THAM KHẢO ................................................................................. 71

ATTT

An tồn thơng tin

IDS

Hệ thống phát hiện xâm nhập

IPS

Hệ thống ngăn chặn xâm nhập

CNTT

Công nghệ thông tin

CSDL

Cơ sở dữ liệu

Log

Nhật ký hoạt động của thiết bị, phần mềm

IOC

Indicator of Compromise – tác nhân thỏa hiệp với một sự xâm
phạm

SNMP

Simple Network Monitoring Protocol - là Giao thức giám sát mạng
đơn giản

HIPAA

Federal Health Insurance Portability and Accountability Act, là luật
nổi tiếng do chính phủ liên bang Hoa Kỳ ban hành năm 1996 nhằm
thiết lập các quy tắc cho việc truy cập, xác thực, lưu trữ, kiểm toán
và chuyển hồ sơ y tế điện tử

SOX

Sarbanes-Oxley Act là một trong những đạo luật căn bản của nghề
kế toán, kiểm toán ở Mỹ

PCI DSS

Payment Card Industry Data Security Standard là một tiêu chuẩn an
ninh thông tin bắt buộc dành cho các doanh nghiệp lưu trữ, truyền
tải và xử lý thẻ thanh toán quản lý bởi 05 tổ chức thanh toán quốc tế
như Visa, MasterCard, American Express, Discover và JCB

GDPR

General Data Protection Regulation Quy định bảo vệ dữ liệu chung
2016/679 là quy định của luật EU về bảo vệ dữ liệu và quyền riêng
tư cho tất cả các cá nhân trong Liên minh châu Âu và Khu vực kinh
tế châu Âu

ISO 27001 là tiêu chuẩn quốc tế về thông tin hoặc quản lý an ninh

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

DANH MỤC BẢNG BIỂU
Bảng 2.1 Các định dạng log cơ bản ..................................................................... 13
Bảng 3.1 Bảng so sánh 2 giải pháp Splunk và ELK Stack .................................. 41

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

DANH MỤC HÌNH VẼ
Hình 2.1 Chi phí tổn thất do các cuộc tấn cơng xâm phạm dữ liệu ....................... 5
Hình 2.2 Chi phí tổn thất trên mỗi bản ghi cá nhân bị lộ lọt ................................. 5
Hình 2.3 Chi phí chênh lệch khi làm việc từ xa là nguyên nhân chính ................. 5
Hình 2.4 Chi phí thiệt hại theo từng nhóm ngành .................................................. 6
Hình 2.5 Thời gian các tổ chức phát hiện cuộc xâm phạm dữ liệu........................ 6
Hình 2.6 Thời gian để xác định và khoanh vùng các vụ xâm phạm dữ liệu theo
các tác nhân chính .................................................................................................. 7
Hình 2.7 Các thành phần cơ bản của hệ thống SIEM .......................................... 11
Hình 3.1 Kiến trúc tổng quan của Syslog - NG ................................................... 20
Hình 3.2 Kiến trúc tổng quan của Logzilla .......................................................... 22
Hình 3.3 Mơ hình triển khai Logzilla .................................................................. 23
Hình 3.4 Kiến trúc của Splunk ............................................................................. 24
Hình 3.5 Mơ hình chuyển tiếp dữ liệu tập trung .................................................. 27
Hình 3.6 Mơ hình cân bằng tải ............................................................................. 27
Hình 3.7 Kiến trúc tổng quan của ELK Stack...................................................... 30

Hình 3.8 Mơ hình MPP ........................................................................................ 32
Hình 3.9 Mơ hình một cụm ElasticSearch Cluster............................................... 32
Hình 3.10 Mơ hình mối tương quan giữa các thành phần trong Elasticsearch và
một cơ sở dữ liệu .................................................................................................. 33
Hình 3.11 Ví dụ một document được thể hiện dưới dạng JSON ......................... 34
Hình 3.12 Mơ hình triển khai Logstash ............................................................... 39
Hình 3.13 Mơ hình tổng hợp dữ liệu của Logstash.............................................. 40
Hình 3.14 Kiến trúc của Snort.............................................................................. 44
Hình 3.15 Cấu trúc rule của Snort ........................................................................ 46
Hình 3.16 Mơ hình tích hợp Snort và ELK Stack ................................................ 48
Hình 3.17 Kiến trúc tổng quan của OSSEC ......................................................... 52
Hình 3.18 Mơ hình tích hợp của OSSEC và ELK Stack ..................................... 54
Hình 4.1 Mơ hình thử nghiệm .............................................................................. 59
Hình 4.2 Khởi chạy ELK Stack trên docker ........................................................ 60
Hình 4.3 Kiểm tra trạng thái ELK Stack trên docker........................................... 60
Hình 4.4 Kiểm tra trạng thái bắt log của hệ thống khi thực hiện ping................. 66
Hình 4.5 Kiểm tra log của hệ thống khi thực hiện ssh từ xa ................................ 66
Hình 4.6 Kiểm tra log của hệ thống khi thực hiện tấn cơng dị qt ................... 67
Hình 4.7 Tiến hành khai thác từ máy Kali Linux ................................................ 67
Hình 4.8 Máy trạm bị dừng đột ngột.................................................................... 68
Hình 4.9 Ghi nhận dấu hiệu cuộc tấn cơng trên hệ thống SIEM ......................... 68
Hình 4.10 Ghi nhận hành vi tạo mới người dùng ................................................ 68

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

MỞ ĐẦU
Ngày nay, cùng với sự phát triển mạnh mẽ của ngành khoa học công nghệ,
không gian mạng dần trở thành một bộ phận khơng thể thiếu và đóng vai trò quan
trọng trong sự phát triển của xã hội. Sự phát triển bùng nổ của một số ngành công
nghệ tiêu biểu, mang tính đột phá như trí tuệ nhân tạo, IoT, điện tốn đám mây,
dữ liệu lớn v.v... làm khơng gian mạng thay đổi sâu sắc cả về chất và lượng, được
dự báo sẽ mang lại những lợi ích chưa từng có trong lịch sử xã hội lồi người.
Song song với sự phát triển đó, khơng gian mạng ngày càng xuất hiện những
nguy cơ tiềm ẩn vô cùng lớn. Các cuộc tấn cơng mạng với mục đích xấu nhắm
vào các hệ thống mạng của công ty hay tổ chức luôn diễn ra với tần suất rất lớn
và mức độ tinh vi ngày càng cao. Hậu quả để lại của các cuộc tấn công này
thường vô cùng nghiêm trọng gây thiệt hại rất lớn cả về dữ liệu và tiền bạc.
Yếu tố con người và mơi trường làm việc cũng có thể dẫn đến việc một số
thông tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT mạng không được xử
lý kịp thời… gây ra thiệt hại lớn cho cơ quan, tổ chức.
Bởi vậy, cần có một hệ thống cho phép cơ quan, tổ chức theo dõi và giám
sát được các mối đe dọa mà họ đang đối mặt, từ đó đưa ra các phương án để đối
phó, ngăn chặn các mối đe dọa này, đó chính là hệ thống Giám sát an ninh mạng.

1
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

CHƯƠNG 1. GIỚI THIỆU BÀI TOÁN
1.1 Bối cảnh của doanh nghiệp cần phải xây dựng một hệ thống giám sát
an ninh mạng
Đối với thế giới nói chung và Việt Nam chúng ta nói riêng, các dịch vụ xây
dựng trên nền tảng cơng nghệ thơng tin ngày càng đóng vai trị cốt lõi trong mỗi
doanh nghiệp. Nền kinh tế số đòi hỏi các công ty, doanh nghiệp không những
phải cung cấp các dịch vụ với chất lượng cần phải ở mức cao nhất có thể để có
thể cạnh tranh được với các đối thủ khác trong và ngoài nước.
Một hệ thống dịch vụ Công nghệ thông tin trong doanh nghiệp bao gồm

một khối lượng lớn các thiết bị an ninh, các phần mềm. Không một hệ thống dịch
vụ Công nghệ thông tin nào là tuyệt đối an tồn, ln ln có những rủi ro tiềm
ẩn có thể ảnh hưởng đến hoạt động của doanh nghiệp, tổ chức đó. Để đảm bảo hệ
thống được hoạt động thông suốt, cung cấp dịch vụ ổn định, chất lượng nhất thì
ngồi đội ngũ cán bộ có trình độ chun mơn tốt để phát triển vận hành thì cịn
cần thêm các giải pháp giúp phát hiện và giảm thiểu sự cố, rủi ro gây gián đoạn
dịch vụ. Kiểm soát được mọi diễn biến, thay đổi của hệ thống sẽ giúp đội ngũ kỹ
thuật phát hiện sớm những rủi ro tiềm tàng tới các dịch vụ của doanh nghiệp, ảnh
hưởng tới kết quả kinh doanh của doanh nghiệp. Do đó, việc nghiên cứu và xây
dựng một hệ thống giám sát an ninh mạng cho các doanh nghiệp nhằm mục đích
phát hẹn sớm được các rủi ro tiềm ẩn là vấn đề hết sức cần thiết và cấp bách cho
bất cứ doanh nghiệp nào sử dụng Công nghệ thông tin làm xương sống cho hoạt
động sản xuất kinh doanh.
Hệ thống Giám sát an ninh mạng giúp tổ chức có thể đánh giá khái qt về
bức tranh an tồn, an ninh thông tin của một cơ quan, tổ chức đó. Bằng việc thu
thập, phân tích và lưu trữ các sự kiện an tồn thơng tin (ATTT) từ các thiết bị an
ninh bảo mật, các phần mềm phòng chống mã độc, các máy chủ web server, các
dịch vụ và ứng dụng như: Router, Switch, Firewall, IDS/IPS, Mail, Web, AntiVirus, cơ sở dữ liệu, hệ điều hành, …hệ thống giám sát an ninh mạng giúp quản
trị viên có thể dễ dàng hơn trong việc phát hiện những dấu hiệu bất thường,
những rủi ro tiềm ẩn trong hoạt động của tổ chức để từ đó đưa ra phương án xử
lý cụ thể, kịp thời, giảm thiểu các tổn thất cho doanh nghiệp.
Để có thể chỉ ra những bất thường trong hệ thống công nghệ thông tin của
2
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

doanh nghiệp, hệ thống giám sát an ninh mạng hoạt động bằng cách tương quan
sự kiện giữa các thiết bị, phần mềm với nhau để từ đó tái cấu trúc và xâu chuỗi
chúng để xác định mức độ và phạm vi ảnh hưởng của sự cố an tồn thơng tin đó.
Hiện nay, trên thị trường đã có khá nhiều giải pháp giúp xây dựng một hệ
thống giám sát an ninh mạng. Tuy nhiên các giải pháp này thường khá chung
chung, chỉ nhắm đến từng đối tượng cụ thể hoặc có nhiều hạn chế. Mục tiêu của
đề tài là tập trung vào nghiên cứu, khảo sát các giải pháp công nghệ đã có, để từ
đó vận dụng vào triển khai trong mơi trường doanh nghiệp. Giải quyết được bài
tốn này mang ý nghĩa hết sức to lớn, nó khơng những phục vụ cho các hoạt
động kinh doanh của doanh nghiệp mà cịn tăng vị thế, uy tín của doanh nghiệp
khi chất lượng các dịch vụ mà doanh nghiệp cung cấp được nâng cao.
1.2 Đối tượng nghiên cứu
Những vấn đề chính của bất kỳ giải pháp, nền tảng công nghệ nào áp dụng
cho bài toán giám sát an ninh mạng đều là phải giải quyết:
- Thu thập nhật ký hoạt động từ các thiết bị an ninh bảo mật, phần mềm, các
máy chủ, máy trạm sử dụng mạng của doanh nghiệp đó;
- Khả năng phân tích và tìm kiếm dựa trên dữ liệu nhận được
- Khả năng giám sát và cảnh báo

Từ những yêu cầu trên, tác giả xác định đối tượng nghiên cứu của đề tài là
một số giải pháp lưu trữ dữ liệu, truy vấn thông tin để làm nền tảng cơ sở lý
thuyết. Một số nền tảng công nghệ sử dụng cho bài toán quản lý log tập trung,
trong đó tập trung vào nghiên cứu, khảo sát các giải pháp mã nguồn mở mà tiêu
biểu là Splunk và ELK Stack.
1.3 Các nhiệm vụ chính cần thực hiện trong luận văn
Để đạt được mục tiêu đã đề ra, tác giả đã liệt kê các công việc cần phải thực
hiện theo các bước sau:
- Khảo sát, nghiên cứu về giải pháp giám sát an ninh mạng;
- Tìm hiểu một số giải pháp thơng dụng cho bài tốn lưu trữ và quản lý tập
trung dữ liệu log;
- Tìm hiểu, so sánh các cơng nghệ để từ đó lựa chọn cơng nghệ phù hợp để
xây dựng một hệ thống giám sát an ninh mạng mã nguồn mở nhỏ gọn có thể áp
3
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

luan van hay luan van tot nghiep

dụng cho các doanh nghiệp. Hệ thống nhỏ gọn được đề xuất trong luận văn này
tập trung chính vào khả năng thu thập dữ liệu nhật ký và phát hiện sự cố theo
thời gian thực của hệ thống.
- Triển khai thử nghiệm một hệ thống nhỏ gọn bằng các công cụ mã nguồn
mở;
- Đánh giá kết quả đạt được và hướng phát triển trong tương lai.
1.4 Kết quả đạt được
Trong quá trình nghiên cứu, thực hiện đề tài tác giả đã đạt được một số kết
quả như sau:
- Hiểu được các khái niệm, thành phần và cơ chế hoạt động của hệ thống
giám sát an ninh mạng;
- Nắm được tổng quan, ưu và nhược điểm của một số giải pháp hỗ trợ xây
dựng hệ thống giám sát an ninh mạng đang có trên thị trường;
- Thử nghiệm thành cơng một hệ thống nhỏ gọn với tính năng thu thập dữ
liệu nhật ký của một số phần mềm phát hiện xâm nhập dựa trên mã nguồn mở để
kiểm nghiệm hoạt động của hệ thống đối với một số tình huống cụ thể
1.5 Cấu trúc của luận văn
Để thực hiện được mục tiêu đã đề ra, tác giả phân chia luận văn thành 4
chương được cấu trúc như sau:
Chương 1: Giới thiệu bài toán
Chương 2: Tổng quan về giải pháp quản lý và phân tích sự kiện an tồn
thơng tin (SIEM)
Chương 3: Giới thiệu một số giải pháp SIEM mã nguồn mở hiện nay và
một số giải pháp mã nguồn mở có thể tích hợp
Chương 4: Thử nghiệm giải pháp và đánh giá các kết quả đạt được, các
điểm còn hạn chế và hướng phát triển kế tiếp

4
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

CHƯƠNG 2. TỔNG QUAN VỀ GIẢI PHÁP QUẢN LÝ VÀ PHÂN TÍCH
SỰ KIỆN AN TỒN THƠNG TIN (SIEM)
2.1 Số liệu thống kê về các tổn thất của các doanh nghiệp liên quan đến
mất an tồn thơng tin
Các số liệu thống kê tình trạng xâm phạm dữ liệu đối với các cơ quan, tổ
chức trong năm 2021 theo báo cáo thống kê của IBM [1] về tình trạng xâm phạm
dữ liệu năm 2021 được thực hiện độc lập bởi Viện nghiên cứu Ponemon, nghiên
cứu trên 17 quốc gia và vùng lãnh thổ, bao phủ trên 17 ngành công nghiệp khác
nhau. Theo đó:
- Chi phí mà các cơ quan, tổ chức bỏ ra cho các cuộc tấn công nhằm xâm

phạm dữ liệu đã tăng 10% trong khoảng thời gian từ 2020 đến 2021.

Hình 2.1 Chi phí tổn thất do các cuộc tấn cơng xâm phạm dữ liệu

Hình 2.2 Chi phí tổn thất trên mỗi bản ghi cá nhân bị lộ lọt

Hình 2.3 Chi phí chênh lệch khi làm việc từ xa là nguyên nhân chính
5
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

- Ngành chăm sóc sức khỏe là mục tiêu tấn công nhiều nhất với 11 năm liên
tiếp đứng đầu (đơn vị M$)

Hình 2.4 Chi phí thiệt hại theo từng nhóm ngành

- Tỷ lệ vi phạm do lộ lọt các thông tin cá nhân là 20%
- Thời gian trung bình để tổ chức phát hiện xâm phạm dữ liệu là 212 ngày,
thời gian để xử lý lên tới 75 ngày, các con số này vẫn khơng ngừng tăng qua các
năm

Hình 2.5 Thời gian các tổ chức phát hiện cuộc xâm phạm dữ liệu
6
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

Hình 2.6 Thời gian để xác định và khoanh vùng các vụ xâm phạm dữ liệu theo các tác
nhân chính

2.2 Tổng quan về giải pháp quản lý và phân tích sự kiện an tồn thơng tin
SIEM
2.2.1 Các u cầu đặt ra trước khi xây dựng một hệ thống SIEM
Các hệ thống SIEM cần đạt các yêu cầu tối thiểu [2] như sau:
a) Tổng hợp và chuẩn hóa nguồn dữ liệu nhật ký
Đầu tiên, SIEM cần cung cấp cho doanh nghiệp khả năng hiển thị mối đe
dọa thông qua tổng hợp nhật ký. Việc tổng hợp nhật ký thu thập hàng terabyte dữ
liệu bảo mật từ tường lửa quan trọng, cơ sở dữ liệu nhạy cảm và các ứng dụng
chính; điều này cho phép quản trị viên phân tích dữ liệu và tìm sự liên kết, cải
thiện khả năng phát hiện sự cố.
Tuy nhiên, mỗi thành phần trong môi trường CNTT tạo nhật ký bằng các
ngôn ngữ và định dạng khác nhau, khiến cho việc tổng hợp đơn giản là không đủ.
Thay vào đó, quản trị viên cần chuẩn hóa nhật ký thành một định dạng và ngơn
ngữ duy nhất, có thể đọc được để dễ dàng phân tích.
b) Phát hiện và cảnh báo các mối đe dọa
Khi SIEM tìm thấy mối đe dọa trong số các dữ liệu sự kiện bảo mật mà nó
đã thu thập, nó cần có khả năng gửi cảnh báo đến nhóm bảo mật CNTT của
doanh nghiệp đó. Chức năng này rất quan trọng, vì nó cho phép quản trị viên
CNTT tiến hành các cuộc điều tra nhanh hơn, tập trung hơn và phản hồi nhanh
7
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

chóng với hiệu quả cao. Tuy nhiên, chỉ tạo cảnh báo là không đủ. Nếu SIEM chỉ
gửi một cảnh báo cho mọi sự kiện bảo mật tiềm ẩn, khối lượng cơng việc của
quản trị viên sẽ nhanh chóng bị ngập lụt do số lượng lớn các cảnh báo được sinh
ra. Trong đó, các cảnh báo giả có thể rất nhiều, đặc biệt là trong các giải pháp cũ.
Do đó, quản trị viên cũng cần phải triển khai ngữ cảnh hóa các mối đe dọa, giúp
phân loại những tác nhân nào đã tham gia vào sự kiện bảo mật, những phần nào
của mạng mà họ đã vận hành và khi nào. Ngữ cảnh hóa giúp các nhóm bảo mật
CNTT sắp xếp thơng qua các cảnh báo để tìm ra các mối đe dọa tiềm ẩn thực tế.
Trên thực tế, họ có thể sử dụng các quy trình cấu hình tự động để tự động lọc
một số mối đe dọa theo ngữ cảnh, giảm số lượng cảnh báo nhận được. Tốt nhất,
SIEM nên giúp doanh nghiệp của bạn xử lý các mối đe dọa trực tiếp, thường
xuyên nhất là thông qua việc tạm dừng hoạt động trong khi điều tra xảy ra.
c) Kiểm soát tuân thủ
Mặc dù đội ngũ bảo mật CNTT nhân sự có thể thực hiện các báo cáo tuân
thủ (mỗi doanh nghiệp có nhiệm vụ riêng của mình), nhưng điều này sẽ tốn thời
gian, đôi khi ảnh hưởng tới việc săn lùng mối đe dọa hoặc xử lý các vấn đề trực
tiếp. SIEM cần phải tự động hoàn thành các báo cáo tuân thủ của bạn thông qua
các biểu mẫu đã được thiết lập từ trước.
d) Khả năng phát triển trong tương lai
Tất nhiên, doanh nghiệp có thể muốn khám phá những gì có sẵn ngồi các

u cầu tối thiểu đối với SIEM. Ví dụ: các giải pháp SOAR có thể sắp xếp các
giải pháp khác nhau, tự động hóa các quy trình và tối ưu hóa phản ứng với mối
đe dọa.
2.2.2 Các khái niệm và chức năng của hệ thống
2.2.2.1. Khái niệm
Khái niệm đầu tiên về hệ thống giám sát an ninh mạng được nhắc tới lần
đầu tiên trong một báo cáo của tổ chức Gartner bởi [Williams và Nicolett 2005].
Theo bài báo, bản chất của hệ thống SIEM là sự kết hợp của: Quản lý thông tin
bảo mật (SIM) và Quản lý sự kiện bảo mật (SEM) [Goldstein et al. 2013]. Trong
khi SIM giải quyết vấn đề quản lý tập trung, thu thập, lưu trữ dữ liệu nhật ký lịch
sử, thì SEM bao gồm quản lý các mối đe dọa, giám sát theo thời gian thực các sự
cố bảo mật và đưa ra các cách thức xử lý thích hợp trong trường hợp xảy ra sự
8
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

cố. Qua đó, dữ liệu thu thập được sẽ được tổng hợp và giảm độ lớn và tạo điều
kiện thuận lợi cho việc sử dụng để phản ứng thích hợp với các sự kiện bảo mật.
Tuy nhiên, ngày nay SIEM đã phát triển từ sự kết hợp duy nhất của hai cơng
nghệ đó thành một giải pháp đồng nhất và tích hợp hơn, đồng thời kết hợp các ưu
điểm của SIM và SEM trong một hệ thống tập trung duy nhất. Do có nhiều chức
năng mà SIEM phải đáp ứng, nên khó có thể hồn thành một định nghĩa học
thuật thích hợp. Tuy nhiên, Bảng chú giải thuật ngữ CNTT của Gartner [Gartner
Inc. 2018] đã phác thảo cách diễn đạt khá tốt. Theo đó, hệ thống SIEM thu thập
dữ liệu có liên quan và tiến hành phân tích về các sự kiện bảo mật từ nhiều nguồn
dữ liệu sự kiện hoặc theo ngữ cảnh khác nhau. Hệ thống có khả năng hỗ trợ
người dùng lập báo cáo phục vụ mục đích kiểm sốt tn thủ hoặc điều tra truy
vết, hoặc đánh giá mức độ ảnh hưởng của sự cố. Mục đích chung của việc thu
thập và phân tích một lượng lớn dữ liệu như vậy ở một vị trí trung tâm là xác
định các điểm bất thường của sự cố, điều này khó có thể nhìn thấy được nếu chỉ
xem xét dữ liệu từ một hệ thống hoặc một thiết bị duy nhất. Ngồi ra, nó tạo điều
kiện thuận lợi cho việc giám sát và quản lý trạng thái bảo mật CNTT của các tổ
chức.
Tuy nhiên, SIEM không phải là một phần mềm độc lập, có thể chạy lâu dài
mà không bị ảnh hưởng, mà trong hầu hết các trường hợp, nó được nhúng vào
trung tâm điều hành an tồn thơng tin (SOC). Do ngày càng có nhiều nguồn khác
nhau cho dữ liệu nhật ký và các sự kiện liên quan đến bảo mật khác và nhu cầu
ngày càng tăng về các nhà phân tích bảo mật được đào tạo tốt, nhu cầu về mức
độ tự động hóa cao hơn tăng lên. Qua đó, SIEM có thể giúp tự động phân tích và
phản ứng với các sự cố bảo mật một cách tập trung. Nó tiếp tục giúp các nhà
phân tích bằng cách hình dung tốt hơn lượng dữ liệu lớn để tận dụng kiến thức
chuyên môn của các nhà phân tích một cách hiệu quả hơn.
2.2.2.2. Chức năng của hệ thống SIEM
Với việc đầu vào của hệ thống SIEM là dữ liệu hoạt động từ nhiều thiết bị,

phần mềm bảo mật mà nhờ đó hệ thống có thể phát hiện ra các sự cố mà các thiết
bị thông thường không phát hiện được. Các thiết bị đầu cuối thường có phần
mềm ghi lại các dữ liệu hoạt động nhưng thường khơng tích hợp khả năng phát
hiện sự cố. Dù có thể quan sát các sự kiện và tạo ra các nhật ký, chúng luôn thiếu
9
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

khả năng phân tích để xác định các dấu hiệu của hành vi độc hại.
Nhằm phát hiện dấu vết của một cuộc tấn cơng, hệ thống SIEM có khả năng
kết hợp tương quan các sự kiện khác nhau từ các nguồn dữ liệu khác nhau. Ví dụ,
một giải pháp phát hiện và ngăn chặn xâm nhập IDS/IPS có thể xác định được
dấu hiệu ban đầu của một cuộc tấn công, các phần mềm bảo mật cho thiết bị
điểm cuối có thể chỉ ra các điểm bất thường tại từng thời điểm của thiết bị thì hệ

thống SIEM có thể kiểm tra được dữ liệu nhật ký của các sự kiện này để từ đó
xác định thiết bị mục tiêu đã bị tấn cơng hay chưa để từ đó có thể thực hiện các
biện pháp cách ly và xử lý.
Hiện nay, các hệ thống SIEM [2] đã có khả năng ngăn chặn các cuộc tấn
công bằng cách kết nối vào hệ thống an ninh khác của doanh nghiệp như tường
lửa và chuyển chúng đến phần cấu hình để ngăn chặn hành vi độc hại. Điều này
cho phép SIEM ngăn chặn các cuộc tấn công không nhận biết được bởi các thành
phần an ninh khác của doanh nghiệp.
Để đạt hiệu quả tốt nhất đối với hệ thống SIEM, tổ chức cần tìm kiếm thông
tin về các mối nguy hại, các chiến dịch tấn cơng từ các nguồn tin đáng tin cậy bên
ngồi tổ chức, làm đầu vào cho SIEM. Nếu SIEM phát hiện bất kỳ hành vi độc hại
nào trong tổ chức, nó sẽ phản ứng ngăn chặn các kết nối hoặc làm gián đoạn,
cách ly thiết bị đang tương tác với thiết bị khác nhằm ngăn ngừa cuộc tấn công từ
điểm đầu tiên.
2.2.3 Các thành phần của hệ thống SIEM
Hệ thống SIEM bao gồm 3 thành phần chính [3], [4], [5] là thành phần thu
thập nhật ký ATTT, thành phần phân tích nhật ký ATTT và thành phần quản trị
tập trung

10
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

chủ
Window hệ thống đến một hoặc nhiều máy chủ được chỉ định và
thông tin được xếp hạng theo nhiều mức độ quan trọng.
s
- Router

Máy
chủ Unix
- PRI biểu thị mức độ ưu tiên bởi 3 ký tự (cơ sở/mức độ
nghiêm trọng), HEADER biểu thị cho thời gian xảy ra
sự kiện và IP của thiết bị liên quan, MESSAGE biểu thị
cho thông tin của sự kiện
Syslog-NG - Tường Syslog-NG ra đời như một sự củng cố của Syslog để
lửa
mang lại độ mịn cao hơn trong việc phân loại các cảnh
11
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

Định dạng

Nguồn

log

log

Mơ tả

báo. Nó cho phép lọc các tin nhắn theo nội dung của
chúng, mục tiêu chính của nó là có thể xác định các
hành động dựa trên 3 tham số: người gửi tin nhắn,
người nhận tin nhắn và bộ lọc sẽ xác định phân loại của
tin nhắn.
Máy
chủ ứng
dụng
web

CLF được sử dụng phổ biến hơn để ghi lại các yêu cầu
đến máy chủ web. Nó làm cho nó có thể xác định chính
xác hơn các máy nguồn và tạo ra các số liệu thống kê
tốt hơn. Log được tạo ở định dạng CLF trông giống như
sau:

- Tường
WELF
(Webtrend lửa
s Enhanced
Log
Format)

WELF giúp dễ dàng mô tả các sự kiện từ các thành
phần lọc của mạng. Các trường thông tin bắt buộc ở
định dạng WELf là:

CLF
(Common
Log
Format)

• Id: Xác định loại bản ghi được tạo.
• Thời gian: Đặt thời gian ghi sự kiện.
• Fw: Xác định người gửi sự kiện.
• Pri: Đặt mức độ ưu tiên của sự kiện từ khẩn cấp sang
gỡ lỗi.

Proprietary - Thiết bị Định dạng độc quyền (hoặc định dạng đóng) là định
Format
an ninh: dạng dữ liệu có thơng số kỹ thuật không công khai hoặc
bị chủ sở hữu hạn chế sử dụng
IDS,
Phần
mềm

phòng
chống
mã độc,
tường
lửa
Máy
chủ ứng
dụng
web
-

Các
12
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

Định dạng

Nguồn

log

log

Mô tả

ứng
dụng đặc
thù
IDMEF
(Intrusion
Detection
Message
Exchange
Format)

- IDS mã
nguồn
mở như
Snort,
OSSEC

IDMEF, một định dạng trao đổi thông báo phát hiện
xâm nhập, là một định dạng dữ liệu được sử dụng để

trao đổi các báo cáo sự cố giữa các phần mềm phát hiện
xâm nhập, ngăn chặn xâm nhập và thu thập thông tin
bảo mật và bất kỳ phần mềm nào tương tác với chúng.
Các tin nhắn IDMEF được thiết kế để dễ dàng xử lý tự
động.
Bảng 2.1 Các định dạng log cơ bản

Thành phần thu thập nhật ký có các tính năng như sau:
- Thu thập toàn bộ dữ liệu nhật ký từ các nguồn thiết bị, ứng dụng… gồm
cả các thiết bị vật lý và thiết bị ảo.
- Kiểm sốt băng thơng và không gian lưu trữ thông qua khả năng chọn lọc
dữ liệu nhật ký.
- Phân tách từng sự kiện và chuẩn hóa các sự kiện vào một lược đồ chung.
- Tích hợp các sự kiện để giảm thiểu số lượng các sự kiện gửi về thành phần
phân tích và lưu trữ.
- Chuyển toàn bộ các sự kiện đã thu thập về thành phần phân tích và lưu
trữ.
2.2.3.2. Thành phần Phân tích và lưu trữ
Thành phần Phân tích và lưu trữ bao gồm các tính năng sau:
- Kết nối với các thành phần thu thập nhật ký để tập hợp nhật ký tập trung
và tiến hành phân tích, so sánh tương quan.
- Mơđun phân tích sẽ được hỗ trợ bởi các luật (được định nghĩa trước) cũng
như khả năng tuỳ biến, nhằm đưa ra kết quả phân tích chính xác nhất.
- Các nhật ký ATTT được tiến hành phân tích, so sánh tương quan theo thời
gian thực nhằm đưa ra cảnh báo tức thời cho người quản trị. Bên cạnh khả năng
so sánh theo thời gian thực, thành phần này còn cho phép phân tích các dữ liệu
trong quá khứ, nhằm cung cấp cho người quản trị một bức tranh toàn cảnh về
13
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep

ATTT theo thời gian.
- Hỗ trợ kết nối đến các hệ thống lưu trữ dữ liệu (như SAN, NAS) nhằm
nâng cao khả năng lưu trữ và xây dựng kế hoạch dự phòng, chống mất dữ liệu.
2.2.3.3. Thành phần Quản trị tập trung bao gồm các chức năng sau:
- Cung cấp giao diện quản trị tập trung cho toàn bộ hệ thống SIEM. Các
giao diện được phân quyền theo vai trò của người quản trị.
- Hỗ trợ sẵn hàng nghìn mẫu báo cáo, các giao diện theo dõi, điều kiện
lọc,… để người quản trị có thể sử dụng. Ngồi ra, các cơng cụ này cịn cho phép
tùy biến, thay đổi hay tạo mới các báo cáo một cách dễ dàng, cho phép người
quản trị tạo lập các công cụ mới phù hợp với Hệ thống của mình.
- Hỗ trợ các cơng cụ cho việc xử lý các sự kiện ATTT xảy ra trong hệ
thống.
2.2.3.4. Các thành phần khác

a) Thành phần điều tra số
Thành phần này của giải pháp SIEM được sử dụng để thực hiện phân tích
nguyên nhân gốc rễ và tạo báo cáo sự cố cung cấp phân tích chi tiết về nỗ lực tấn
công hoặc một cuộc tấn công đang diễn ra nhằm giúp doanh nghiệp thực hiện
hành động khắc phục phù hợp ngay lập tức.
Mặc dù có các cơ chế phịng thủ tốt nhất, khơng phải lúc nào doanh nghiệp
cũng có thể ngăn chặn tất cả các cuộc tấn cơng mạng. Tuy nhiên, một doanh
nghiệp có thể thực hiện phân tích pháp y để dựng lại hiện trường vụ án và xác
định nguyên nhân gốc rễ của vi phạm. Vì dữ liệu nhật ký bao gồm bản ghi của tất
cả các sự kiện đã diễn ra trong một thiết bị hoặc ứng dụng cụ thể, nó có thể được
phân tích để tìm dấu vết do những kẻ tấn cơng nguy hiểm để lại.
Các giải pháp SIEM giúp nhóm bảo mật duyệt qua nhật ký, tạo báo cáo
pháp y và khám phá thời điểm xảy ra vi phạm bảo mật cụ thể, hệ thống và dữ liệu
bị xâm nhập, tin tặc đứng sau hoạt động độc hại cũng như điểm xâm nhập.
Thành phần này cũng giúp các doanh nghiệp đáp ứng các nhiệm vụ tuân thủ
nhất định như lưu trữ và lưu trữ dữ liệu nhật ký trong thời gian dài và khả năng
thực hiện điều tra pháp y về chúng.
b) Thành phần phát hiện và xử lý sự cố
- Thành phần phát hiện sự cố:
14
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz
luan van hay luan van tot nghiep do an to nghiep docx 123docz

Nghiên cứu khảo sát các hệ thống siem và phát triển một số giải pháp mã nguồn mở nhỏ gọn

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về