ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN THỊ THU HẰNG

NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG
HỆ THỐNG GIÁM SÁT AN NINH MẠNG

LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN

Hà Nội - 2015
1 HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN THỊ THU HẰNG

NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG
HỆ THỐNG GIÁM SÁT AN NINH MẠNG
Ngành: Công nghệ Thông tin
Chuyên ngành: Hệ thống Thông tin
Mã số: 60.48.01.04

LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. NGUYỄN NGỌC HÓA

Hà Nội - 2015

2
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ


LỜI CẢM ƠN
Luận văn Thạc sĩ này đƣợc thực hiện tại Đại học Công nghệ - Đại học Quốc
gia Hà Nội dƣới sự hƣớng dẫn của TS. Nguyễn Ngọc Hóa. Xin đƣợc gửi lời cảm ơn
sâu sắc đến thầy Nguyễn Ngọc Hóa về những ý kiến quý báu liên quan đến các định
hƣớng khoa học, liên tục quan tâm, tạo điều kiện thuận lợi cho tôi trong suốt quá
trình nghiên cứu hoàn thành luận văn này. Tôi xin đƣợc gửi lời cảm ơn đến các thầy,
cô trong Bộ môn Hệ thống Thông tin cũng nhƣ Khoa Công nghệ Thông tin đã mang
lại cho tôi những kiến thức vô cùng quý giá và bổ ích trong quá trình theo học tại
trƣờng.
Tôi xin gửi lời cảm ơn tới các đồng chí lãnh đạo đơn vị nơi tôi công tác đã tạo
điều kiện và thời gian để tôi có thể hoàn thành chƣơng trình học của mình. Bên cạnh
đó tôi xin gửi lời cám ơn tới các đồng nghiệp trong Ban cơ yếu Chính phủ đã tạo điều
kiện và giúp đỡ tôi hoàn thành khóa luận này một cách tốt nhất.
Cuối cùng tôi cũng xin chân thành cảm ơn đến các học viên cao học khóa K19,
K20, K21 đã giúp đỡ tôi trong suốt thời gian học tập.
Do thời gian và kiến thức có hạn nên luận văn chắc không tránh khỏi những
thiếu sót nhất định. Tôi rất mong nhận đƣợc những sự góp ý quý báu của thầy cô và
các bạn.
Hà Nội, ngày 1 tháng 10 năm 2015

Nguyễn Thị Thu Hằng

1



TÓM TẮT
Ngày nay với sự phát triển mạnh mẽ của Internet đã làm tăng nguy cơ mất an
toàn và rò rỉ thông tin. Để hạn chế đƣợc vấn đề này mỗi hệ thống mạng cần có những
biện pháp cụ thể để có thể kiểm soát đƣợc tình trạng hiện tại của hệ thống và có những
biện pháp đối phó cụ thể khi có tấn công xảy ra. Vậy vấn đề đặt ra ở đây đó là ngƣời
quản trị hệ thống cần có một cái nhìn tổng quát về bức tranh của hệ thống mạng dựa
trên việc thu thập dữ liệu vào ra trong hệ thống từ các thiết bị, dịch vụ và ứng dụng
đang đƣợc sử dụng trong chính hệ thống đó chẳng hạn nhƣ: Mail Server, Firewall, IDS
(Intrusion Detection System), IPS (Intrusion Prevention System), Anti-Virus,….
Những dữ liệu này sau đó sẽ đƣợc phân tích đối chiếu với những dấu hiệu, hoặc tập
luật có sẵn để đánh giá và đƣa ra các cảnh báo chính xác tới ngƣời quản trị hệ thống.
Tuy nhiên, số lƣợng nhật ký hệ thống từ các thiết bị, dịch vụ hoặc ứng dụng
trong hệ thống là tƣơng đối lớn với nhiều định dạng khác nhau. Ngoài ra, do khối
lƣợng nhật ký hệ thống thu đƣợc quá lớn nên một số thông tin cảnh báo quan trọng có
thể bị bỏ qua dẫn đến sự cố gây mất an toàn thông tin khi không đƣợc cảnh báo và xử
lý kịp thời. Do đó, cần có một hệ thống để có thể quản lý, tổ chức, theo dõi những
hiểm họa gây mất an toàn thông tin có thể xảy ra với hệ thống, từ đó đƣa ra các biện
pháp đối phó, ngăn chặn nhằm làm giảm các thiệt hại xuống mức thấp nhất có thể.
Một hệ thống nhƣ vậy đƣợc gọi là hệ thống giám sát an ninh mạng.
Hệ thống giám sát an ninh mạng (GSANM) thực hiện thu thập, quản lý, và
phân tích các sự kiện an ninh, sau đó so sánh với các dấu hiệu và tập luật có sẵn nhằm
đƣa ra các đánh giá cảnh báo cho ngƣời quản trị hệ thống. Tuy nhiên, việc cập nhật các
tập luật này một cách thƣờng xuyên là một việc làm vô cùng cần thiết, bên cạnh đó
việc bổ sung các định dạng dữ liệu nhật ký mới chƣa có cho hệ thống cũng rất quan
trọng, nhằm nâng cao hiệu quả cho hệ thống GSANM. Do vậy, luận văn này hƣớng tới
mục tiêu chính là nghiên cứu cải tiến tập luật trong hệ thống giám sát an ninh mạng để
đƣa ra các cảnh báo tấn công.
Trong luận văn này tôi đã tiến hành (i) khảo sát thực tế tập luật hiện có trong hệ
thống giám sát tại Ban Cơ yếu Chính phủ; từ đó (ii) tiến hành đề xuất mô hình cải tiến

tập luật đã có; và (iii) thử nghiệm mô hình đề xuất cải tiến tập luật với định hƣớng
nâng cao hiệu quả trong khả năng giám sát hệ thống mạng cũng nhƣ đƣa ra các cảnh
báo chính xác tới ngƣời quản trị hệ thống.
Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and
Event Management).

2


LỜI CAM ĐOAN
Tôi xin cam đoan luận văn “Nghiên cứu cải tiến tập luật trong hệ thống
giám sát an ninh mạng” là công trình nghiên cứu của cá nhân tôi dƣới sự hƣớng dẫn
của TS. Nguyễn Ngọc Hóa, trung thực và không sao chép của tác giả khác. Trong toàn
bộ nội dung nghiên cứu của luận văn, các vấn đề đƣợc trình bày đều là những tìm hiểu
và nghiên cứu của chính cá nhân tôi hoặc là đƣợc trích dẫn từ các nguồn tài liệu có ghi
tham khảo rõ ràng, hợp pháp.
Tôi xin chịu mọi trách nhiệm và mọi hình thức kỷ luật theo quy định cho lời
cam đoan này.

Hà Nội, ngày 1 tháng 10 năm 2015

Nguyễn Thị Thu Hằng

3


MỤC LỤC
LỜI CẢM ƠN ..................................................................................................................1
TÓM TẮT..................................................................................................................... 1i
LỜI CAM ĐOAN ............................................................................................................3

MỤC LỤC .......................................................................................................................4
DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT .......................................................6
DANH MỤC BẢNG ..................................................... Error! Bookmark not defined.
MỞ ĐẦU ....................................................................... Error! Bookmark not defined.
CHƢƠNG I: KHẢO SÁT, ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT AN NINH MẠNG
....................................................................................... Error! Bookmark not defined.
1.1

Tình hình chung ............................................... Error! Bookmark not defined.

1.1.1 Tình hình giám sát an ninh mạng tại một số nƣớc trên thế giới ....... Error!
Bookmark not defined.
1.1.2 Tình hình giám sát an ninh mạng tại Việt Nam ...... Error! Bookmark not
defined.
1.2 Hệ thống GSANM đang đƣợc triển khai hiện tại .......... Error! Bookmark not
defined.
1.2.1

Giới thiệu về hệ thống GSANM ............... Error! Bookmark not defined.

1.2.2 Các thành phần chức năng của hệ thống GSANM . Error! Bookmark not
defined.
1.2.3
1.3

Mô hình của hệ thống GSANM ................ Error! Bookmark not defined.

Giao diện quản lý của hệ thống GSANM ........ Error! Bookmark not defined.

CHƢƠNG II: NGHIÊN CỨU MỘT SỐ DẠNG TẤN CÔNG PHỔ BIẾN VÀO ỨNG

DỤNG WEB .................................................................. Error! Bookmark not defined.
2.1 Các kỹ thuật tấn công phổ biến vào ứng dụng Web ...... Error! Bookmark not
defined.
2.1.1

Kỹ thuật tấn công Tiêm mã SQL .............. Error! Bookmark not defined.

2.1.2

Kỹ thuật tấn công XSS .............................. Error! Bookmark not defined.

2.1.3

Kỹ thuật tấn công Tràn bộ đệm ................. Error! Bookmark not defined.

2.2 Các kỹ thuật tấn công vƣợt qua Tƣờng lửa ứng dụng web ... Error! Bookmark
not defined.
2.2.1

Tƣờng lửa ứng dụng web là gì? ................ Error! Bookmark not defined.

2.2.2 Một số phƣơng pháp tấn công vƣợt các thiết bị Tƣờng lửa ứng dụng
web…………………………………………………………………………...Error
! Bookmark not defined.

4


CHƢƠNG III: PHƢƠNG PHÁP TRÍCH XUẤT CÁC TRƢỜNG THÔNG TIN
QUAN TRỌNG TỪ NHẬT KÝ HỆ THỐNG .............. Error! Bookmark not defined.

3.1

Yêu cầu thực tiễn ............................................. Error! Bookmark not defined.

3.2 Giải pháp trích xuất các trƣờng thông tin quan trọng từ nhật ký hệ thống hệ
thống………………………………………………………………………………...E
rror! Bookmark not defined.
3.2.1

Mô hình chung .......................................... Error! Bookmark not defined.

3.2.2

Các bƣớc thực hiện.................................... Error! Bookmark not defined.

CHƢƠNG IV: XÂY DỰNG TẬP LUẬT CẢNH BÁO TẤN CÔNG CHO HỆ
THỐNG GIÁM SÁT AN NINH MẠNG VÀ TRIỂN KHAI THỬ NGHIỆM ..... Error!
Bookmark not defined.
4.1 Thực trạng hệ thống GSANM tại Ban Cơ yếu Chính phủ .... Error! Bookmark
not defined.
4.2

Các luật sẽ bổ sung vào hệ thống GSANM ..... Error! Bookmark not defined.

4.3

Các bƣớc tạo luật cho hệ thống GSANM ........ Error! Bookmark not defined.

4.4 Thực nghiệm triển khai hệ thống GSANM tại TTCNTT&GSANM....... Error!
Bookmark not defined.

4.4.1

Mô hình thực nghiệm ................................ Error! Bookmark not defined.

4.4.2

Thu thập nhật ký hệ thống ......................... Error! Bookmark not defined.

4.5

Kết quả thực nghiệm ........................................ Error! Bookmark not defined.

KẾT LUẬN CHUNG .................................................... Error! Bookmark not defined.
TÀI LIỆU THAM KHẢO .............................................................................................10

5


DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT
API
DOM

Application Programming Interface
Document Object Model

EC

Event Collecter

EP


Event Processor

FC

Flow Collector

FP

Flow Processor

GSANM

Giám sát an ninh mạng

HTML

Hyper Text Markup Language

HTTP

Hyper Text Transfer Protocol

HTTPS

Hyper Text Transfer Protocol Secure

IBM

International Business Machine


IDS

Instrusion Detection System

IIS

Internet Information Service

IPS

Instrusion Prevention System

OSI

Open Systems Interconnection

Regex

Regular Expression

SIEM

Security Information and Event Management

SQL

Structured Query Language

SSH


Secure Shell

TTCNTT & GSANM Trung tâm Công nghệ Thông tin & Giám sát an ninh mạng
6


URL

Unifrom Resource Locator

VPN

Virtual Private Network

W3C

World Wide Web Consortium

WAF

Tƣờng lửa ứng dụng web

XML

Extensible Markup Language

XSS

Cross-site Scripting


7


DANH MỤC HÌNH VẼ
Hình 1.1: Các thành phần của hệ thống GSANM ......... Error! Bookmark not defined.
Hình 1.2: Mô hình hệ thống GSANM phân tán ............ Error! Bookmark not defined.
Hình 1.3: Mô hình hệ thống GSANM độc lập .............. Error! Bookmark not defined.
Hình 1.4: Tap Dashboard............................................... Error! Bookmark not defined.
Hình 1.5: Tap Offenses .................................................. Error! Bookmark not defined.
Hình 1.6: Tap Log Activity ........................................... Error! Bookmark not defined.
Hình 1.7: Network Activity ........................................... Error! Bookmark not defined.
Hình 1.8: Tap Asset ....................................................... Error! Bookmark not defined.
Hình 1.9: Tap Report ..................................................... Error! Bookmark not defined.
Hình 1.10: Tab Admin ................................................... Error! Bookmark not defined.
Hình 2.1: Ví dụ về một trang Web mua sắm trực tuyến Error! Bookmark not defined.
Hình 2.2: Minh họa trang web có lỗi XSS .................... Error! Bookmark not defined.
Hình 2.3: Thông điệp lỗi tự động đƣợc tạo ra ............... Error! Bookmark not defined.
Hình 2.4: Các bƣớc thực hiên tấn công Reflected XSS Error! Bookmark not defined.
Hình 2.5: Các bƣớc thực hiện Stored XSS .................... Error! Bookmark not defined.
Hình 2.6: Các bƣớc thực hiện tấn công DOM-Based XSS ......... Error! Bookmark not
defined.
Hình 2.7: Ví dụ mô tả tràn bộ đệm Heap ...................... Error! Bookmark not defined.
Hình 3.1: Mô hình trích xuất các trƣờng thông tin quan trọng từ nhật ký hệ thống
....................................................................................... Error! Bookmark not defined.
Hình 3.2: Giao diện của Adaptive Log Exporter ........... Error! Bookmark not defined.
Hình 3.3: Định dạng mẫu chung của log ....................... Error! Bookmark not defined.
Hình 3.4: Kết quả thực hiện cú pháp tìm tên sự kiện FTP .......... Error! Bookmark not
defined.
Hình 3.5: Kết quả thực hiện cú pháp tìm địa chỉ IP nguồn ......... Error! Bookmark not

defined.
Hình 3.6: Xác định tên sự kiện ...................................... Error! Bookmark not defined.
Hình 3.7: Xác định các thông tin cụ thể khác cho nhật ký hệ thống .. Error! Bookmark
not defined.
Hình 3.9: Log mới đã đƣợc định dạng........................... Error! Bookmark not defined.
Hình 3.10: Thêm định dạng mới vào hệ thống GSANM ............ Error! Bookmark not
defined.
Hình 4.1: Các luật hiện có trong hệ thống ..................... Error! Bookmark not defined.
Hình 4.2: Các tập luật có sẵn của hệ thống GSANM .... Error! Bookmark not defined.
8


Hình 4.3: Xác định lƣu lƣợng của các thiết bị, và toàn bộ lƣu lƣợng mạng của hệ thống
từng phút ........................................................................ Error! Bookmark not defined.
Hình 4.4: Các bƣớc cải tiến tập luật cho hệ thống ........ Error! Bookmark not defined.
Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0 ......... Error! Bookmark not
defined.
Hình 4.6: Cấu hình thu thập nhật ký hệ thống trên hệ thống GSNAM ................. Error!
Bookmark not defined.
Hình 4.7: Nhật ký hệ thống đƣợc hiển thị theo thời gian thực .... Error! Bookmark not
defined.
Hình 4.8: Các thông số khác của nhật ký hệ thống ....... Error! Bookmark not defined.
Hình 4.9: Khai báo máy chủ vào phần Web Server ...... Error! Bookmark not defined.
Hình 4.10: Phân thích payload thu đƣợc và xác đinh dấu hiệu tấn công .............. Error!
Bookmark not defined.
Hình 4.11: Các bƣớc tạo luật ......................................... Error! Bookmark not defined.
Hình 4.12: Xác định các tham số cho luật ..................... Error! Bookmark not defined.
Hình 4.13: Định lƣợng mức độ rủi ro của luật và các tham số khác .. Error! Bookmark
not defined.
Hình 4.14: Kết thúc quá trình tạo luật ........................... Error! Bookmark not defined.

Hình 4.15: Mô hình thực nghiệm .................................. Error! Bookmark not defined.
Hình 4.16: Nhật ký hệ thống thu thập đƣợc từ máy chủ web...... Error! Bookmark not
defined.
Hình 4.17: Payload đƣợc hệ thống GSANM thu thập đƣợc........ Error! Bookmark not
defined.
Hình 4.19: Các tập luật đƣợc đƣa vào hệ thống GSANM ........... Error! Bookmark not
defined.
Hình 4.20: Cảnh báo hiện tƣợng bất thƣờng và các tấn công vào hệ thống mạng đang
đƣợc giám sát ................................................................. Error! Bookmark not defined.
Hình 4.21: Các cảnh báo tấn công khác mà hệ thống GSANM thu đƣợc ............. Error!
Bookmark not defined.
Hình 4.22: Nhật ký hệ thống các cảnh báo thu đƣợc .... Error! Bookmark not defined.
Hình 4.23: Hệ thống đƣa ra cảnh báo tấn công LFI ...... Error! Bookmark not defined.
Hình 4.24: Hệ thống đƣa ra các cảnh báo các tấn công khác ...... Error! Bookmark not
defined.

9


10


TÀI LIỆU THAM KHẢO
[1]

Symantec, ISTR 20 Internet Security Threat Report Appendices, Symantec, 2015

[2]

James A. Lewis, Katrina Timlin, “Cybersecurity and Cyberwarfare”, Center for

Strategic and International Studies, 2011.

[3]

P.W. Singer, Allan Friedman, Cybersecurity and Cyberwar, Oxford University
Press, 2014

[4]

Richard Bejtlich, The Practice of Network Security Monitoring, 2013

[5]

IBM, IBM Security Qradar SIEM, IBM Corporation, 2013

[6]

IBM, IBM Security Qradar Version 7.2.4 Hardware Guide, IBM Corporation,
2014 – 2015

[7]

IBM, IBM Security Qradar 7.1.x and 7.2.x DSM Configuration Guide, IBM
Coporation, 2015.

[8]

Pushkar Y.Jane, M.S.Chaudhari, “SQLIA: Detection and Prevention Techniques:
A Survey”, IOSR Journal of Computer Engineering (IOSR-JCE), 2012.


[9]

Jeremiah Grossman, Robert Hansen, Petko D. Petkov, Anton Rager, Seth Fogie,
XSS Attacks Cross Site Scripting Exploits and Defense, Syngress Publishing,
2007.

[10] Eric Chien and Péter Ször, Blended Attacks Exploit, Vulnerabilities and BufferOverflow Techniques in Computer Viruses, Symantec Security Response, 2002.
[11] James C. Foster, Vitaly Osipov, Nish Bhalla, Tràn bộ đệm Attacks: Detect,
Exploit, Prevent, Syngress Publishing, 2005.
[12] Imperva, Web Application Attack Report #5, Imperva, 2014.
[13] Juniper Networks, Security Threat Response Manager: Adaptive Log Exporter
Users Guide, Juniper Network, 2012.
[14] Jan Goyvaerts, Regular Expression: The Complete Tutorial, o/print.html, 2007.
[15] Michael Stanton, A Qradar Log Source Extension Walkthrough, SANS Institute
InforSec Reading Room, 2014.
Trang web
[16] />[17] />
11