1 BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐOÀN BƯU CHÍNH VIỄN THƠNG VIỆT NAM HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - LÊ QUANG HƯNG NGHIÊN CỨU XÂY DỰNG MƠ HÌNH KIẾN TRÚC HỆ THỐNG GIÁM SÁT AN TỒN MẠNG MÁY TÍNH CẤP TỈNH CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ : 60.48.15 TĨM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TSKH HOÀNG ĐĂNG HẢI HÀ NỘI - 2010 CHƯƠNG I TỔNG QUAN VỀ VẤN ĐỀ GIÁM SÁT AN TỒN MẠNG 1.1 Hiện trạng mạng máy tính cấp tỉnh tình hình đảm bảo an tồn thơng tin Qua đánh giá sơ khảo sát địa phương tổ chức an tồn thơng tin thực VNCERT, BKIS, cho thấy, hầu hết hệ thống thông tin tồn lỗ hổng bảo mật Các giải pháp an tồn bảo mật thơng tin cịn yếu thiếu 1.1.1 Hiện trạng mơ hình mạng máy tính cấp tỉnh Mạng máy tính cấp tỉnh bao gồm hệ thống mạng máy tính nội bộ, mạng máy tính diện rộng sử dụng để phục vụ cho điều hành, đạo, công tác quản lý, sản xuất kinh doanh tổ chức, doanh nghiệp địa bàn tỉnh Tùy theo tính chất, nhiệm vụ, cấu hình, chia thành cấp sau: Cấp 1: Là vùng mạng trung tâm phức tạp với nhiều khối chức khác nhau, hệ thống chuyển mạch, định tuyến để mạng kết nối trực tiếp vào khai thác sở liệu dùng chung, hệ thống máy chủ cung cấp dịch vụ chủ yếu là: Dịch vụ web, truyền file, thư điện tử dịch vụ sở liệu Oracle, SQL, Các chương trình ứng dụng… Cấp : Là hệ thống mạng LAN cá nhân, doanh nghiệp có quy mơ nhỏ Cấp : Là máy trạm người dùng đầu cuối 1.1.2 Đánh giá trạng đảm bảo an tồn mạng máy tính cấp tỉnh Mạng máy tính cấp tỉnh phân loại với nhiều đơn vị, nhiều tổ chức có tính chất hệ thống địa lý rộng lớn cấp tỉnh, thành phần hệ thống đa dạng Sau khảo sát, tìm hiểu tình hình an tồn bảo mật hệ thống mạng máy tính cấp tỉnh đơn vị, tổ chức, doanh nghiệp tỉnh Quảng Trị, em thấy có số điểm yếu: Về chế, sách; thiết kế mạng chưa hợp lý; Cấu hình thiết bị mạng khơng chặt chẽ… 1.2 Nhu cầu mục tiêu hệ thống giám sát an toàn mạng cấp tỉnh Qua khảo sát phân tích trạng nêu trên, việc quản lý an tồn thơng tin địa bàn tỉnh cịn gặp nhiều khó khăn Để theo dõi hoạt động mạng truyền thơng cấp tỉnh cách tồn diện, nhu cầu thực tế cần có hệ thống theo dõi, giám sát hỗ trợ cảnh báo nguy công Đây vấn đề cấp bách đặt mạng truyền thông tỉnh 1.3 Trọng tâm nghiên cứu định hướng nghiên cứu Trọng tâm nghiên cứu luận văn nghiên cứu tìm hiểu phương pháp thu thập thơng tin an tồn mạng diện rộng, từ đề xuất giải pháp đưa mơ hình kiến trúc hệ thống theo dõi, giám sát an toàn mạng máy tính cấp tỉnh Những định hướng nghiên cứu sau: - Nghiên cứu tổng quan vấn đề giám sát an tồn mạng, tìm hiểu phương thức giám sát mạng, phương pháp thu thập thông tin an toàn mạng - Nắm chế hoạt động loại cơng điển DoS, DdoS qua thực thử nghiệm Vận dụng hiểu biết nghiên cứu DoS/DDoS để viết luật cho Sensor Snort - Đưa mơ hình kiến trúc cho hệ thống giám sát mạng máy tính cấp tỉnh Xây dựng cấu hình thử nghiệm với phần mềm mã nguồn mở Snort 1.4 Kết luận Các yêu cầu an toàn bảo mật mạng xuất hầu hết môi trường ứng dụng mạng, bao gồm mạng ngân hàng, mạng thương mại điện tử, mạng truyền thông tổ chức truyền thông Việc phát xử lý kịp thời bị virus mã nguy hiểm lây lan hệ thống hệ thống có cố xãy cần thiết CHƯƠNG II CÁC PHƯƠNG THỨC TẤN CÔNG CỦA TIN TẶC VÀ KHẢ NĂNG THEO DÕI, GIÁM SÁT 2.1 Tổng quan phương thức công khả theo dõi, giám sát Việc nghiên cứu phương pháp công tin tặc chủ đề rộng Trong phạm vi nghiên cứu nhằm phục vụ mục đích nghiên cứu xây dựng đưa mơ hình kiến trúc hệ thống giám sát an tồn mạng máy tính cấp tỉnh, nghiên cứu số phương thức cơng điển hình Để có phân tích, đánh giá, đưa giải pháp hệ thống giám sát an tồn mạng máy tính cấp tỉnh, luận văn tập trung nghiên cứu phương pháp công tin tặc qua việc nghiên cứu chế phương pháp công từ chối dịch vụ(DoS) dịch vụ phân tán(DDoS) phổ biến ngày 2.2 Tấn công vật lý (Physical Attacks) Tấn công loại chia làm loại điển hình là: Đánh cắp trực tiếp Nghe trộm mạng 2.3 Tấn công qua lừa đảo (Social Enginering) 6 2.4 Tấn công vào lổ hổng bảo mật (Security Hole) Hai lỗ hổng bảo mật tiêu biểu (do tính phổ biến mức độ nguy hiểm) điển hình là: Lỗi Unicode IIS lỗi tràn đệm 2.5 Tấn công vào lỗi cấu hình hoạt động (Error Configuration) Lỗ hổng ứng dụng máy chủ có thiết lập mặc định lúc sản xuất (chạy chế độ mặc định) người quản trị hệ thống định cấu hình khơng an tồn, cấu hình sai Một vài lỗi cấu hình tiêu biểu hay bị cơng sau: Lỗi cài điều khiển từ xa (Remote Access Control) qua IIS Không cần Đăng nhập (No Log-in) Mật mặc định (Password-Based Attacks) 2.6 Tấn công dựa vào điểm yếu ứng dụng/hệ thống (Vulnerabilities) SQL Injection XSS (Cross Site Scripting), Session Hijacking Code Injection 2.7 Tấn công từ chối dịch vụ (DoS) Tấn công từ chối dịch vụ (DoS) nhằm mục đích ngăn cản người dùng truy cập hợp pháp vào hệ thống máy tính hay hệ thống mạng nạn nhân Có nhiều kỹ thuật cơng DoS, có nhiều cách phân loại khác Chúng ta phân loại dựa phương thức cơng DoS chính, có loại chính, là: 2.7.1 Chiếm dụng băng thơng (Bandwidth Depletion) Có loại cơng chính:  Tấn cơng ngập lụt (Flood attack): Làm ngập cách gửi liên tục gói tin có kích thước lớn đến hệ thống nạn nhân, làm nghẽn băng thơng nạn nhân Có loại Tấn công ngập lụt UDP ICMP:  Tấn công khuếch đại (Amplifier attack): Sử dụng mạng khuếch đại, phương pháp khuếch đại dòng lưu lượng làm cho hệ thống nạn nhân giảm băng thông đáng kể 2.7.2 Chiếm dụng tài nguyên (Resource Depletion) Bằng cách lạm dụng trình giao tiếp giao thức mạng gói tin dị thường, kẻ cơng (attacker) chiếm dụng nguồn tài nguyên hệ thống CPU, RAM,… khiến cho người dùng chia không truy xuất hệ thống hệ thống không đủ khả xử lý  Tấn công khai thác giao thức: + Tấn công TCP SYN + Tấn công PUSH + ACK  Tấn cơng gói dị hình 2.8 Tấn cơng từ chối dịch vụ phân tán (DDoS) Có hai kiểu mạng DDoS, mơ hình Agent – Handler mơ hình Internet Relay Chat (IRC-Based) 2.9 Kết luận Như phân tích phần trên, phương thức công tin tặc đa dạng phong phú Việc nghiên cứu tìm hiểu phương thức công tin tặc thiết để nghiên cứu xem xét khả theo dõi, giám sát, thu thập thơng tin an tồn mạng xây dựng mơ hình kiến trúc hệ thống theo dõi, giám sát an tồn mạng cấp tỉnh trình bày phần CHƯƠNG III CÁC PHƯƠNG PHÁP THU THẬP VÀ XỬ LÝ THƠNG TIN AN TỒN MẠNG DIỆN RỘNG 3.1 Những phương pháp cho theo dõi, giám sát mạng 3.1.1 Theo dõi, giám sát dựa dấu hiệu Phát dựa dấu hiệu (signature-based detection) hay gọi phát sử dụng sai Phương pháp phân biệt hoạt động thông thường người dùng hoạt động bất thường để tìm cơng nguy hiểm kịp thời Các dấu hiệu chia thành hai loại: • Các dấu hiệu công – chúng miêu tả mẫu hoạt động gây mối đe dọa bảo mật Điển hình, chúng thể mối quan hệ phụ thuộc thời gian loạt hoạt động kết hợp lại với hoạt động trung tính • Các chuỗi văn chọn – dấu hiệu hợp với chuỗi văn tìm kiếm hoạt động nghi ngờ  Có hai phương pháp kết hợp phát dấu hiệu này: • Việc kiểm tra vấn đề gói lớp thấp – nhiều loại cơng khai thác lỗ hổng gói IP, TCP, UDP ICMP • Kiểm tra giao thức lớp ứng dụng – nhiều loại công khai thác lỗ hổng chương trình  Những ích lợi việc dựa dấu hiệu: Những file dấu hiệu tạo nên từ hoạt động phương pháp công biết, có trùng lặp xác suất xảy công cao Phát sử dụng sai có cảnh báo nhầm (false positive report) kiểu phát bất thường Bởi phương pháp phát sử dụng sai dựa dấu hiệu- mẫu lưu lượng hệ thống thu thập, giám sát định dạng bắt đầu bảo vệ mạng  Những hạn chế phát dựa dấu hiệu: 10 • Khơng có khả phát công hay chưa biết • Khơng có khả phát thay đổi công biết • Khả quản trị sở liệu dấu hiệu nhiều thời gian khó khăn • Những cảm biến phải trì tình trạng thơng tin • Chúng dường khó quản lý công bên 3.1.2 Theo dõi, giám sát dựa hành vi bất thường Phát dựa bất thường hay mô tả sơ lược phân tích hoạt động mạng máy tính lưu lượng mạng nhằm tìm kiếm bất thường Khi tìm thấy bất thường, tín hiệu cảnh báo khởi phát Sự bất thường chệch hướng hay khỏi thứ tự, dạng, ngun tắc thơng thường Chính dạng phát tìm kiếm bất thường nên nhà quản trị bảo mật phải định nghĩa đâu hoạt động, lưu lượng bất thường  Những lợi ích, ưu điểm phát bất thường: Ưu điểm phương pháp phát bất thường là: Có khả phát cơng có xâm nhập Ưu điểm lớn phát dựa profile hay bất thường khơng dựa tập dấu hiệu định dạng hay đợt cơng biết Profile 11 động sử dụng trí tuệ nhân tạo để xác định hoạt động bình thường Bởi phát dựa profile khơng dựa dấu hiệu biết, thực phù hợp cho việc phát công chưa biết trước miễn chệch khỏi profile bình thường Phát dựa profile sử dụng để phát phương pháp công mà phát dấu hiệu không phát  Những hạn chế phương pháp dựa bất thường: • Thời gian chuẩn bị ban đầu cao • Thường xuyên cập nhật profile thói quen người dùng thay đổi • Khó khăn việc định nghĩa cách hành động thơng thường • Cảnh báo nhầm • Khó hiểu • Sự cần thiết đào tạo hệ thống thay đổi hành vi làm hệ thống phát bất thường giai đoạn đào tạo (lỗi tiêu cực) 3.2 Những phương pháp phân tích phát công Dưới số kĩ thuật xử lý phân tích liệu mơ tả vắn tắt  Phát xâm nhập dựa luật 12  Phân biệt ý định người dùng  Phân tích trạng thái phiên (State-transition analysis)  Phân tích thống kê (Statistical analysis approach)  Nghiên cứu miễn dịch 3.3 Những phương pháp cho thu thập thông tin mạng Đối với mạng cấp : Lắp đặt sensors vùng, khu vực, server quan trọng để thu thập cho khu vực riêng Server Đối với mạng cấp 2: Là hệ thống mạng LAN tổ chức, doanh nghiệp vừa nhỏ lắp đặt Sensors node mạng Đối với mạng cấp : Là Users đầu cuối, sử dụng sensor phần mềm cài đặt máy trạm đầu cuối đó, để thu thập thông tin Việc thu thập thông tin theo cấp ta chia thành phương pháp thu thập sau: 3.3.1 Sử dụng sensor cài đặt toàn mạng Phương pháp sử dụng dò bộ cảm biến cài đặt tồn mạng Những dị theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa dấu hiệu Thu nhận phân tích lưu lượng thời gian thực, gửi tín hiệu cảnh báo đến trạm quản 13 trị cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập xa 3.3.2 Sử dụng phương pháp cài đặt phần mềm máy chủ, máy trạm Bằng cách cài đặt phần mềm tất máy tính chủ, quan sát tất hoạt động hệ thống, file log lưu lượng mạng thu thập 3.4 Kết luận Chương trình bày phương pháp phục vụ cho việc thu thập, xử lý phân tích thơng tin an toàn mạng địa bàn cấp tỉnh Các phương pháp theo dõi, giám sát chủ yếu dựa dấu hiệu hành vi bất thường Những phương pháp nêu chương sở cho đề xuất, xây dựng mơ hình kiến trúc hệ thống theo dõi, giám sát an toàn mạng cấp tỉnh trình bày chương CHƯƠNG IV ĐỀ XUẤT KIẾN TRÚC HỆ THỐNG THEO DÕI, GIÁM SÁT AN TỒN MẠNG MÁY TÍNH CẤP TỈNH 4.1 Các u cầu hệ thống theo dõi, giám sát an toàn mạng cấp tỉnh 14 Một hệ thống giám sát an tồn mạng có khả phát truy nhập trái phép, phân tích thơng tin thu thập tạo cảnh báo cho hệ thống cho người quản trị mạng Trong thực tế hệ thống theo dõi, giám sát an toàn mạng cấp tỉnh cần chia thành cấp Ứng với tầng cấp có yêu cầu cụ thể sau: 4.1.1 Đối với mạng cấp 4.1.2 Đối với mạng cấp 4.1.3 Đối với mạng cấp Ta phải xác định yêu cầu phần cứng để hệ thống giao tiếp với mạng nhằm phục vụ chức giám sát đồng thời có cấu hình đủ mạnh để cài đặt phần mềm theo yêu cầu cho hệ thống Do độ phức tạp công mạng ngày phát triển, nên yêu cầu phần mềm hệ thống sản phẩm hồn chỉnh khó Nên có nghĩa việc tích hợp vào phần mềm hệ thống thực trình phát triển xây dựng hệ thống Tùy theo quy mô hệ thống giám sát mà cấu hình thiết bị hệ thống khác Trong thực tế, ta tích hợp hai hay nhiều chức phần mềm để thuận tiện cho công tác vận hành bảo dưỡng hệ thống sau 15 4.2 Mơ hình kiến trúc hệ thống theo dõi giám sát an toàn mạng cấp tỉnh 4.2.1 Các nhiệm vụ việc theo dõi giám sát mạng máy tính cấp tỉnh Nhiệm vụ hệ thống theo dõi, giám sát bảo vệ cho hệ thống máy tính dựa việc phát dấu hiệu công đưa cảnh báo Việc nhận kẻ xâm nhập nhiệm vụ Cũng phục vụ cho việc nghiên cứu có pháp lý tình tiết việc cài đặt vá thích hợp phép phát công tương lai nhằm vào cá nhân cụ thể tài nguyên hệ thống 4.2.2 Kiến trúc chung hệ thống theo dõi, giám sát Hệ thống thu thập, giám sát mạng xem thành công chúng hội tụ yếu tố: Thực nhanh, xác, phân tích tồn thơng lượng, cảm biến tối đa, đưa thông báo hợp lý để ngǎn chặn thành công Tại Trung tâm giám sát, hệ thống gồm modul chính: Hỗ trợ cảnh báo, điều khiển cấu Phân tích – lọc thông tin Thu thập thông tin mạng Lưu trữ liệu 16 4.3 Thiết kế chi tiết hệ thống trung tâm theo dõi giám sát an toàn mạng cấp tỉnh Với mơ hình kiến trúc đưa ra, hệ thống thu thập giám sát mạng trung tâm chia thành nhiều phần Những phần làm việc nhằm phát loại công khác sinh định dạng yêu cầu từ hệ thống phát Các thành phần hệ thống : 4.3.1 Các phát dấu hiệu 4.3.2 Các phát hành vi bất thường 4.3.3 Bộ tập trung chuẩn hóa 4.3.4 Sắp xếp theo độ ưu tiên 4.3.5 Đánh giá rủi ro  Rủi ro tiềm ẩn  Rủi ro tức thời 4.3.6 Phân tích tương quan 4.3.6.1 Mơ hình tương quan 4.3.6.2 Các phương thức tương quan Để đạt mục tiêu trên, sử dụng phương thức tương quan khác nhau, dựa nguyên tắc sau:  Tương quan sử dụng chuỗi kiện (Correlation using sequences of events)  Tương quan sử dụng thuật toán heuristic (Correlation using heuristic algorithms) 17 4.3.7 Bộ theo dõi (Monitors)  Theo dõi rủi ro (Risk Monitor)  Use, Session, and Profile Monitors  Bộ theo dõi đường (Path Monitor) 4.3.8 Kiếm tra chứng (Forensic) Không giống với theo dõi rủi ro đề cập trên, console cho phép ta kiểm tra tất kiện mà xảy hệ thống cách chi tiết 4.3.9 Bảng điều khiển (Control Panel) Bảng điều khiển cho phép quan sát tình trạng bảo mật mạng mức cao, bảng điều kiển theo dõi loạt phận nhằm đo trạng thái bảo mật tổ chức Bảng điều khiển cho phép định nghĩa ngưỡng hay mục tiêu mà tổ chức hướng tới Các ngưỡng giá trị tuyệt đối hay giá trị tương đối mức độ bất thường 4.3.10 Phân hệ sở liệu Hệ thống giám sát an tồn mạng có hệ thống sở liệu lưu trữ thông tin thu thập riêng cho kênh, CSDL lưu trữ thông tin qua xử lý tương quan, CSDL lưu trữ thông tin cảnh báo Hệ thống gồm sở liệu: EDB : Cơ sở liệu kiện sở liệu lớn EDB lưu trữ tất kiện cá nhân xử lý dò 18 KDB : Cơ sở liệu tri thức ta tham số hóa hệ thống phù hợp với mạng sách bảo mật UDB : Cơ sở liệu tiểu sử chứa tất thông tin thu thập theo dõi tiểu sử 4.4 Mô tả hoạt động hệ thống Bảng điều khiển Bộ theo dõi Đưa theo dõi Kiểm tra chứng Đưa cảnh báo Phân tích tương quan Cảnh báo xác Theo dõi rũi ro Sắp xếp ưu tiên CSDL tri thức Tập trung hóa CSDL kiện Thu thập 4.5 Xây dựng cấu hình thử nghiệm 4.5.1 Kiến trúc hệ thống thử nghiệm Cấu trúc mơ hình thử nghiệm bao gồm thành phần: - Sensor thu thập thông tin - Hệ thống điều khiển phân tích: Sử dụng cơng cụ ACID, cơng cụ phân tích kiểm duyệt liệu - Database : Dùng MySQL 4.5.2 Kiến trúc Sensor Sensor hệ thống thử nghiệm phần mềm mã nguồn 19 mở Snort Những thành phần khác sensor snort: - Bộ phận giải mã gói: Chuẩn bị gói cho việc xử lý - Bộ phận tiền xử lý: Dùng để bình thường hóa tiêu đề giao thức, phát bất thường, tái hợp gói tái hợp luồng TCP - Bộ phận phát hiện: Áp dụng rule lên gói - Hệ thống ghi cảnh báo: Sinh thông điệp cảnh báo ghi log file - Các mô đun xuất: Xử lý cảnh báo ghi sinh kết cuối 4.5.3 Các thành phần trung tâm xử lý  Cơ sở liệu trung tâm MySQL sở liệu phổ biến ngày Snort làm việc với MySQL  Cơng cụ phân tích trung tâm ACID - Analysis Console for Intrusion Databases : Là công cụ phân tích kiểm duyệt liệu ACID dựa đoạn mã viết ngôn ngữ PHP 4.5.4 Lập cấu hình Sensor: Sensor Snort sử dụng file cấu hình cho lần chạy Khi chạy dịng lệnh phải tên file cấu hình yêu cầu Tập tin cấu hình chứa phần bản:  Định nghĩa tham biến Những tham biến dùng 20 cho rule Snort  Cấu hình tham số  Cấu hình preprocessor  Cấu hình Ouput plug_in (Output module)  Định nghĩa kiểu hành động  Cấu hình đường dẫn đến tập luật (rules file) Cấu trúc luật SNORT: Các rule có phần logic: rule header rule options 4.6 Các kết thử nghiệm thu 4.6.1 Kết thử nghiệm cho sensor Sử Dụng Snort để Sniffer Packet bắt gói tin 4.6.2 Kết thu trung tâm Hiển thị trạng thái kết thu hệ thống giám sát trung tâm thông qua phần mềm ACID bao gồm thông tin: Tên, số cảnh báo, cổng nguồn đích, v.v Biết chi tiết loại thơng tin thu Đưa danh sách cảnh báo hệ thống (theo rule bẫy được) Hiển thị chi tiết cảnh báo lấy từ sở liệu KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN TIẾP  Những kết đạt luận văn gồm có: + Thực thử nghiệm số loại cơng DoS/DdoS nhằm tìm hiểu cách thức số công cụ công DDoS Bảng điều tương Phân theo Kiếmtích khiển CDSLhiệndõi CSDLtra thức Phát trungdấu CSDL tri kiện Phát bất Tập Bộ tiểu sử Sắp thường tiên Đánhquan ro xếp hóa giá chuẩnưu chứng hiệurủi 21 Vận dụng hiểu biết nghiên cứu DoS/DDoS để viết luật cho Snort + Đề xuất, thiết kế kiến trúc hệ thống theo dõi giám sát an tồn mạng máy tính cấp tỉnh dựa kênh thu thập thông tin cố qua thiết bị ghi nhận (sensor) nguồn thông báo Cài đặt cấu hình hệ thống giám sát an toàn mạng mã nguồn mở Snort sản phẩm MySQL, ACID  Luận văn phát triển tiếp tục nghiên cứu mở rộng thêm sở liệu luật để tiếp tục phát thủ đoạn công tinh vi hơn, phức tạp Xây dựng giải pháp thu thập, kết hợp đưa hướng dẫn biện pháp xử lý cố, biện pháp phịng thủ tích cực cho mạng doanh nghiệp lớn, tập đoàn PHỤ LỤC XÂY DỰNG TẬP LUẬT NÂNG CAO KHẢ NĂNG PHÁT HIỆN CỦA SNORT ĐỐI VỚI CÁC TẤN CƠNG DoS/DDoS Trình bày xây dựng tập luật nâng cao khả phát Snort số công DoS/DdoS phổ biến như: Tấn công Smurf attack; Jolt attack; Teardrop attack; UDP Flood; Land Attack; Trin00; TFN; Stacheldraht  ... dõi, giám sát an toàn mạng cấp tỉnh trình bày chương CHƯƠNG IV ĐỀ XUẤT KIẾN TRÚC HỆ THỐNG THEO DÕI, GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH CẤP TỈNH 4.1 Các yêu cầu hệ thống theo dõi, giám sát an toàn mạng. .. hình kiến trúc hệ thống giám sát an toàn mạng máy tính cấp tỉnh, nghiên cứu số phương thức cơng điển hình Để có phân tích, đánh giá, đưa giải pháp hệ thống giám sát an tồn mạng máy tính cấp tỉnh, ... mơ hình kiến trúc hệ thống theo dõi, giám sát an toàn mạng máy tính cấp tỉnh Những định hướng nghiên cứu sau: - Nghiên cứu tổng quan vấn đề giám sát an tồn mạng, tìm hiểu phương thức giám sát mạng,