BỘ CÔNG THƯƠNG
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP THỰC PHẨM TP.HCM
KHOA CƠNG NGHỆ THƠNG TIN
---------------o0o----------------

HỌC PHẦN: ĐỒ ÁN 1 TÍN CHỈ

ĐỀ TÀI: NGHIÊN CỨU CÁC HỆ THỐNG GIÁM SÁT VÀ
CẢNH BÁO AN NINH MẠNG

GVHD: ThS. Trần Đắc Tốt
SVTH: Nguyễn Thị Thu Hồng - 2033180026
Nguyễn Kim Ngân - 2033181049


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN

Nhóm sinh viên gồm :

1.Nguyễn Thị Thu Hồng……...MSSV: 2033180026
2.Nguyễn Kim Ngân…….…...MSSV: 2033181049

Nhận xét :
………………………………………………………………………………………………….…
………………………………………………………………………………………………….…
………………………………………………………………………………………………….…
………………………………………………………………………………………………….…
………………………………………………………………………………………………….…
………………………………………………………………………………………………….…

………………………………………………………………………………………………….…
………………………………………………………………………………………………….…
………………………………………………………………………………………………….
…………………………………………………………………………………………………….
…………………………………………………………………………………………………….
…………………………………………………………………………………………………….
Điểm đánh giá:
…………………………………………………………………………………………………….
…………………………………………………………………………………………………….
…………………………………………………………………………………………………….
…………………………………………………………………………………………………….
…………………………………………………………………………………………………….

Ngày . ……….tháng ………….năm 2021
( ký tên, ghi rõ họ và tên)

ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Mục Lục
I. Nghiên cứu các hệ thống giám sát an ninh sự kiện (SIEM)............................................. 4
1. SIEM là gì? .......................................................................................................................... 4
2. Tại sao SIEM lại quan trọng? .............................................................................................. 4
3. SIEM hoạt động như thế nào? ........................................................................................... 4
4. Lợi ích của SIEM ................................................................................................................. 5
5. Các cơng cụ và tính năng .................................................................................................... 7
II.


Nghiên cứu các thuật toán máy học ứng dụng trong Phát hiện bất thường ................ 8

1. LSTM (Long Short-Term Memnory) là gì? ................................................................. 8
2. Mơ hình LSTM: .............................................................................................................. 8

ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

I.

Nghiên cứu các hệ thống giám sát an ninh sự kiện (SIEM)

1. SIEM là gì?
Security Information and Event Management (SIEM) là một giải pháp phần mềm để tổng hợp và
phân tích các hoạt động từ nhiều nguồn tài nguyên khác nhau trên toàn bộ cơ sở hạ tầng.
SIEM thu thập dữ liệu bảo mật từ các thiết bị mạng, máy chủ, bộ điều khiển miền, v.v. SIEM
lưu trữ, chuẩn hoá, tổng hợp và áp dụng phâp tích vào dữ liệu đó để khám phá các xu hướng, phát
hiện các mối đe doạ và cho phép các tổ chức điều tra bất kỳ cảnh báo nào.

2. Tại sao SIEM lại quan trọng?
Kết hợp quản lý thông tin bảo mật(SIM – Security Information Management) và quản lý sự kiện
bảo mật (SEM – Security Event Management), SIEM cung cấp khả năng giám sát và phân tích
các sự kiện thời gian thực cũng như theo dõi và ghi lại dữ liệu cho mục đích kiểm tốn.
Hiểu theo một cách đơn giản, SIEM là một giải pháp bảo mật giúp cho các doanh nghiệp nhận ra
các mối đe doạ và lỗ hổng bảo mật trước khi chúng gián đoạn hoạt động kinh doanh của doanh
nghiệp. Nó chỉ ra những hành vi bất thường của người dùng và sử dụng AI để tự động hố các
quy trình thủ cơng kết hợp với phát hiện các mối đe doạ và phản hồi biến cố và trở thành yếu tố
chính trong các trung tâm điều hành an ninh (SOCs – Security Operation Centers)


3. SIEM hoạt động như thế nào?
Ở cấp độ cơ bản nhất, tất cả các giải pháp SIEM thực hiện một số chức năng tổng hợp, hợp nhất
và phân loại dữ liệu để xác định các mối đe dọa và tuân thủ các yêu cầu về tuân thủ dữ liệu. Mặc
dù một số giải pháp khác nhau về khả năng, nhưng hầu hết đều cung cấp cùng một bộ chức năng
cốt lõi:
Quản lý nhật ký
SIEM thu thập dữ liệu sự kiện từ nhiều nguồn trên toàn bộ mạng của tổ chức. Nhật ký và luồng
dữ liệu từ người dùng, ứng dụng, nội dung, môi trường đám mây và mạng được thu thập, lưu trữ
và phân tích trong thời gian thực, mang lại cho các nhóm “CNTT và bảo mật” khả năng tự động
quản lý nhật ký sự kiện của mạng và dữ liệu luồng mạng ở một vị trí tập trung.
Một số giải pháp SIEM cũng tích hợp với nguồn cấp dữ liệu thơng tin tình báo về mối đe dọa của
bên thứ ba để tương quan dữ liệu bảo mật nội bộ của chúng với các chữ ký và hồ sơ mối đe dọa
đã được công nhận trước đây. Tích hợp với nguồn cấp dữ liệu về mối đe dọa trong thời gian thực
cho phép các nhóm chặn hoặc phát hiện các loại chữ ký tấn công mới.
Tương quan sự kiện và phân tích

ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Tương quan sự kiện là một phần thiết yếu của bất kỳ giải pháp SIEM nào. Sử dụng phân tích
nâng cao để xác định và hiểu các mẫu dữ liệu phức tạp, tương quan sự kiện cung cấp thông tin
chi tiết để nhanh chóng xác định vị trí và giảm thiểu các mối đe dọa tiềm ẩn đối với bảo mật
doanh nghiệp. Các giải pháp SIEM cải thiện đáng kể thời gian trung bình để phát hiện (MTTD)
và thời gian trung bình để cộng hưởng (MTTR) cho các nhóm bảo mật CNTT bằng cách giảm tải
quy trình cơng việc thủ cơng liên quan đến phân tích chuyên sâu các sự kiện bảo mật.
Giám sát sự cố và cảnh báo an ninh
Bởi vì chúng cho phép quản lý tập trung cơ sở hạ tầng tại chỗ và dựa trên đám mây, các giải pháp

SIEM có thể xác định tất cả các thực thể của môi trường CNTT. Điều này cho phép công nghệ
SIEM giám sát các sự cố bảo mật trên tất cả người dùng, thiết bị và ứng dụng được kết nối đồng
thời phân loại hành vi bất thường khi nó được phát hiện trong mạng. Sử dụng các quy tắc tương
quan có thể tùy chỉnh, được xác định trước, quản trị viên có thể được cảnh báo ngay lập tức và
thực hiện các hành động thích hợp để giảm thiểu nó trước khi nó hiện thực hóa thành các vấn đề
bảo mật quan trọng hơn.
Quản lý Tuân thủ và Báo cáo
Các giải pháp SIEM là một lựa chọn phổ biến cho các tổ chức tuân theo các hình thức tuân thủ
quy định khác nhau. Do khả năng thu thập và phân tích dữ liệu tự động mà nó cung cấp, SIEM là
một cơng cụ có giá trị để thu thập và xác minh dữ liệu tuân thủ trên toàn bộ cơ sở hạ tầng kinh
doanh. Các giải pháp SIEM có thể tạo báo cáo tuân thủ theo thời gian thực cho PCI-DSS, GDPR,
HIPPA, SOX và các tiêu chuẩn tuân thủ khác, giảm gánh nặng quản lý bảo mật và phát hiện sớm
các vi phạm tiềm ẩn để chúng có thể được giải quyết. Nhiều giải pháp SIEM đi kèm với các tiện
ích bổ sung có sẵn, được xây dựng sẵn có thể tạo các báo cáo tự động được thiết kế để đáp ứng
các yêu cầu tuân thủ.

4. Lợi ích của SIEM
Các giải pháp SIEM mang lại lợi ích cho các doanh nghiệp theo nhiều cách khác nhau và đã trở
thành một thành phần quan trọng trong việc hợp lý hóa quy trình cơng việc bảo mật. Một số lợi
ích bao gồm:
Nhận dạng mối đe dọa theo thời gian thực nâng cao
Các giải pháp giám sát tích cực SIEM trên tồn bộ cơ sở hạ tầng của bạn giúp giảm đáng kể thời
gian cần thiết để xác định và phản ứng với các mối đe dọa và lỗ hổng bảo mật tiềm ẩn trên mạng,
giúp củng cố vị thế bảo mật khi tổ chức mở rộng quy mơ.
Kiểm tốn tn thủ quy định
Các giải pháp SIEM cho phép đánh giá và báo cáo tuân thủ tập trung trên toàn bộ cơ sở hạ tầng
kinh doanh. Tự động hóa nâng cao hợp lý hóa việc thu thập và phân tích nhật ký hệ thống và các
ThS. Trần Đắc Tốt



Trường Đại học Công nghiệp Thực Phẩm TP.HCM

sự kiện bảo mật để giảm việc sử dụng tài nguyên nội bộ trong khi vẫn đáp ứng các tiêu chuẩn báo
cáo tuân thủ nghiêm ngặt.
Tự động hóa do AI điều khiển
Các giải pháp SIEM thế hệ tiếp theo ngày nay tích hợp với các khả năng Điều phối bảo mật, Tự
động hóa và Phản hồi (SOAR) mạnh mẽ, tiết kiệm thời gian và tài nguyên cho các nhóm CNTT
khi họ quản lý bảo mật kinh doanh. Sử dụng học máy sâu tự động thích ứng với hành vi mạng,
các giải pháp này có thể xử lý các giao thức xác định mối đe dọa phức tạp và phản ứng sự cố
trong thời gian ngắn hơn đáng kể so với các nhóm vật lý.
Cải thiện hiệu quả tổ chức
Do khả năng hiển thị được cải thiện của các mơi trường CNTT mà nó cung cấp, SIEM có thể là
một động lực thiết yếu để cải thiện hiệu quả giữa các bộ phận. Với một cái nhìn thống nhất, duy
nhất về dữ liệu hệ thống và SOAR tích hợp, các nhóm có thể giao tiếp và cộng tác hiệu quả khi
phản ứng với các sự kiện đã nhận biết và sự cố bảo mật.
Phát hiện các mối đe dọa nâng cao và không xác định
Xem xét bối cảnh an ninh mạng thay đổi nhanh như thế nào, các tổ chức cần có khả năng dựa vào
các giải pháp có thể phát hiện và phản ứng với cả các mối đe dọa bảo mật đã biết và chưa biết.
Sử dụng nguồn cấp dữ liệu thông minh về mối đe dọa tích hợp và cơng nghệ AI, các giải pháp
SIEM có thể giảm thiểu thành cơng các vi phạm bảo mật thời hiện đại như:
● Mối đe dọa từ nội bộ - Các lỗ hổng bảo mật hoặc các cuộc tấn công bắt nguồn từ các
cá nhân có quyền truy cập vào mạng cơng ty và tài sản kỹ thuật số. Những cuộc tấn công này có
thể là kết quả của thơng tin đăng nhập bị xâm phạm.
● Tấn công lừa đảo - Các cuộc tấn công kỹ thuật xã hội giả mạo là các thực thể đáng tin
cậy, thường được sử dụng để lấy cắp dữ liệu người dùng, thông tin đăng nhập, thông tin tài chính
hoặc thơng tin kinh doanh nhạy cảm khác.
● SQL Injjection - Mã độc hại được thực thi qua một trang web hoặc ứng dụng bị xâm
nhập được thiết kế để bỏ qua các biện pháp bảo mật và thêm, sửa đổi hoặc xóa các bản ghi trong
cơ sở dữ liệu SQL.
● Tấn công DDoS - Một cuộc tấn công từ chối dịch vụ phân tán (DDoS) được thiết kế để

bắn phá các mạng và hệ thống có mức lưu lượng không thể quản lý được, làm giảm hiệu suất của
các trang web và máy chủ cho đến khi chúng không thể sử dụng được.
● Lọc dữ liệu - Đánh cắp hoặc ép đùn dữ liệu thường xảy ra bằng cách lợi dụng các mật
khẩu phổ biến hoặc dễ bẻ khóa trên nội dung mạng hoặc thơng qua việc sử dụng Mối đe dọa liên
tục nâng cao hoặc APT.
Tiến hành điều tra pháp y
ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Các giải pháp SIEM là lý tưởng để thực hiện các cuộc điều tra pháp y kỹ thuật số khi sự cố bảo
mật xảy ra. Các giải pháp SIEM cho phép các tổ chức thu thập và phân tích hiệu quả dữ liệu nhật
ký từ tất cả các tài sản kỹ thuật số của họ ở một nơi. Điều này mang lại cho họ khả năng tạo lại
các sự cố trong quá khứ hoặc phân tích các sự cố mới để điều tra hoạt động đáng ngờ và thực
hiện các quy trình bảo mật hiệu quả hơn.
Đánh giá và báo cáo về sự tuân thủ
Đánh giá tuân thủ và báo cáo là một nhiệm vụ cần thiết và đầy thách thức đối với nhiều tổ chức.
Các giải pháp của SIEM giúp giảm đáng kể chi phí tài nguyên cần thiết để quản lý quá trình này
bằng cách cung cấp các cuộc đánh giá thời gian thực và báo cáo theo yêu cầu về việc tuân thủ
quy định bất cứ khi nào cần.
Giám sát người dùng và ứng dụng
Với sự gia tăng phổ biến của lực lượng làm việc từ xa, ứng dụng SaaS và chính sách BYOD
(Mang thiết bị của riêng bạn), các tổ chức cần mức độ hiển thị cần thiết để giảm thiểu rủi ro mạng
từ bên ngoài chu vi mạng truyền thống. Các giải pháp SIEM theo dõi tất cả hoạt động mạng trên
tất cả người dùng, thiết bị và ứng dụng, cải thiện đáng kể tính minh bạch trên toàn bộ cơ sở hạ
tầng và phát hiện các mối đe dọa bất kể nơi các tài sản và dịch vụ kỹ thuật số đang được truy cập.

5. Các công cụ và tính năng
Quản lý dữ liệu nhật ký

Thu thập dữ liệu nhật ký là nền tảng của Quản lý Sự kiện và Thơng tin Bảo mật. Thu thập, phân
tích và tương quan dữ liệu thời gian thực tối đa hóa năng suất và hiệu quả.
Khả năng hiển thị mạng
Bằng cách kiểm tra việc thu thập gói dữ liệu giữa các luồng mạng để biết được các luồng mạng,
công cụ phân tích SIEM có thể có thêm thơng tin chi tiết về nội dung, địa chỉ IP và giao thức để
tiết lộ các tệp độc hại hoặc việc đánh cắp dữ liệu của thông tin nhận dạng cá nhân (PII) di chuyển
trên mạng.
Mối đe dọa thơng minh
Có thể kết hợp các nguồn cấp dữ liệu thông minh độc quyền hoặc nguồn mở vào giải pháp SIEM
của bạn là điều cần thiết để nhận ra và chống lại các lỗ hổng bảo mật và các dấu hiệu tấn cơng
ngày nay.
Phân tích
Khơng phải tất cả các giải pháp SIEM đều cung cấp cùng một mức độ phân tích dữ liệu. Các giải
pháp kết hợp công nghệ thế hệ tiếp theo như học máy và trí tuệ nhân tạo giúp điều tra các cuộc
tấn công phức tạp và tinh vi hơn khi chúng phát sinh.
ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Cảnh báo thời gian thực
Các giải pháp SIEM có thể được tùy chỉnh theo nhu cầu của doanh nghiệp, sử dụng các cảnh báo
và thông báo theo cấp, được xác định trước trên nhiều nhóm.
Trang tổng quan và báo cáo
Trong một số tổ chức, hàng trăm hoặc thậm chí hàng nghìn sự kiện mạng có thể xảy ra hàng ngày.
Hiểu và báo cáo sự cố ở chế độ xem có thể tùy chỉnh, khơng có thời gian trễ là điều cần thiết.
Tn thủ CNTT
Các yêu cầu tuân thủ quy định khác nhau đáng kể giữa các tổ chức này với tổ chức tiếp theo. Mặc
dù không phải tất cả các công cụ SIEM đều cung cấp phạm vi tuân thủ đầy đủ, các tổ chức trong
các ngành được quản lý chặt chẽ ưu tiên kiểm toán và báo cáo theo yêu cầu hơn các tính năng

khác.
Tích hợp bảo mật & CNTT
Khả năng hiển thị của tổ chức bắt đầu bằng việc tích hợp SIEM với nhiều nguồn nhật ký bảo mật
và không bảo mật; các tổ chức đã thành lập sẽ được hưởng lợi từ SIEM tích hợp với các khoản
đầu tư hiện có vào bảo mật và cơng cụ CNTT.

II.

Nghiên cứu các thuật toán máy học ứng dụng trong Phát hiện bất
thường

1. LSTM (Long Short-Term Memnory) là gì?
Deep learning có 2 mơ hình lớn là Convolutional Neural Network (CNN) xử lý thơng tin với
input là hình ảnh và Recurrent neural network (RNN) xử lý thơng tin dưới dạng chuỗi
(sequence/time-series), nhưng RNN có hiện tượng bất ổn số học khi tính gradient (đạo hàm) –
vanishing gradient problem, do đó LSTM là một dạng đặc biệt của RNN, hoạt động cực kì hiệu
quả trên nhiều bài toán khác nhau nên dần đã trở nên phổ biến. Có khả năng nhớ thơng tin trong
suốt thời gian dài và ta khơng cần huấn luyện để có thể nhớ được, điều mà RNN không làm được.

2. Mô hình LSTM:
Mạng LSTM có thể bao gồm nhiều tế bào LSTM (LSTM memory cell) được liên kết với nhau.
Ý tưởng của LSTM là thêm trạng thái bên trong tế bào cell state và 3 cổng sàng lọc thông tin đầu
vào và đầu ra cho tế bào.

ThS. Trần Đắc Tốt


Trường Đại học Cơng nghiệp Thực Phẩm TP.HCM

Nguồn: />LSTM có 3 cổng: input gate, forget gate, output gate, bên cạnh đó cịn một ơ nhớ có kích thước

giống bới hidden state được thiết kế để ghi lại các thông tin bổ sung.
Dữ liệu được đưa vào các cổng LSTM là input Xt và hidden state Ht-1 các đầu vào này sẽ được xử
lý bằng FC layer ( tầng kế nối đầu đủ và 1 hàm kích hoạt sigmoid) để tính các giá trị của input
gate, forget gate, output gate. Kết quả là một số trong khoảng [0,1] cho mỗi số trạng thái tế bào
Ct-1.

ThS. Trần Đắc Tốt


Trường Đại học Cơng nghiệp Thực Phẩm TP.HCM

Giả sử có h nút ẩn, mỗi minibatch có kích thước n và kích thước đầu vào là d. Vậy, input Xt ∈
Rnxd , hidden state Ht-1 ∈ Rnxd . Vậy các cổng được định nghĩ: inputgate It ∈ Rnxh, forget gate Ft
∈ Rnxh và output gate Ot ∈ Rnxh. Cơng thức tính như sau:
Ft = σ(Uf Xt + Wf Ht-1 + bf),
It = σ(Ui Xt + Wi Ht-1 + bi),
Ot = σ(Uo Xt + Wo Ht-1 + bo)
Trong đó, Uf , Ui , Uo ∈ Rdxh và Wf , Wi , Wo ∈ Rhxh là các ma trận trọng số và bf , bi , bo ∈ R1xh là
hệ số điều chỉnh.

ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Tiếp theo, thiết kế một ô nhớ - ô nhớ tiềm năng ( candidate memory cell ) Ĉt ∈ Rnxh. Theo
phương trình sau tại thời gian t:
Ĉt = tanh(Uc Xt + Wc Ht-1 + bc)
Với Uc ∈ Rdxh và Wc ∈ Rhxh là các tham số trọng số và bc ∈ R1xh là một hệ số điều chỉnh.


ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Trong LSTM, ta có 2 tham số It là dữ liệu mới được lấy thông qua Ĉt và tham số Ft chỉ định
lượng thông tin cũ cần giữ lại trong ô nhớ Ct-1 ∈ Rnxh . Sử dụng phép nhân theo từng
pointwise, ta có phương trình sau:
Ct = Ft ⊙ Ct-1 + It ⊙ Ĉt .
Nếu giá trị ở forget gate luôn xấp xỉ bằng 1 và inputgate luôn xấp xỉ bằng 0, thì giá trị ơ nhớ
trong q khứ Ct-1 sẽ được lưu lại và truyền tới bước thời gian hiện tại. Đây chính là bước
nhằm giảm bớt vấn đề vanishing gradient ( đạo hàm bị triệt tiêu) cũng như nắm bắt các
phụ thuộc dài hạn trong chuỗi thời gian tốt hơn.

ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Cuối cùng, ta xác định trạng thái ẩn Ht ∈ Rnxh – là nơi cổng đầu ra được sử dụng. Điều này là
một phiên bản có kiểm sốt của hàm kích hoạt tanh trong ô nhớ (memory cell)- để đảm
bảo các giá trị Ht luôn nằm trong khoảng (-1,1).
Ht = Ot ⊙ tanh(Ct)
Khi nào giá trị output gate = 1 thì sẽ đưa tồn bộ thơng tin trong ơ nhớ tới bộ dự đoán.
Ngược lại, khi giá trị output gate = 0, chúng sẽ đưa tất cả các thông tin trong ô nhớ và
không xử lý.

III.

Thực nghiệm LSTM


1. Code
Đầu tiên nạp tập dữ liệu từ The Time Machine

Tiếp theo cần định nghĩa và khởi tạo tham số mơ hình, num_hid số lượng nút ẩn

ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Trong hàm khởi tạo, trạng thái ẩn cần trả về ơ nhớ có giá trị bằng 0 và kích thước bằng
(kích thước batch, số lượng nút ẩn)

Sau khi định nghĩa các hàm, ta tạo lớp bao các hàm này lại và lưu trữ các tham số

ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Huấn luyện LSTM bằng cách gọi hàm RNNModelScratch

2. Kết quả
Đây là 1 đoạn nhỏ trong tập dữ liệu:

Và kết quả máy học:

ThS. Trần Đắc Tốt



Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Lần 1:

ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Lần 2:

ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Đây là đồ thị thể hiện máy học sâu trong quá trình huấn luyến máy học trong tập dữ liệu:

ThS. Trần Đắc Tốt


Trường Đại học Công nghiệp Thực Phẩm TP.HCM

Tài liệu tham khảo :
/>-0mPlCx3JwgSBU4a6Cuy8A
/>
ThS. Trần Đắc Tốt