ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ THU HẰNG NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG HỆ THỐNG GIÁM SÁT AN NINH MẠNG LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN Hà Nội - 2015 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THỊ THU HẰNG NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG HỆ THỐNG GIÁM SÁT AN NINH MẠNG Ngành: Công nghệ Thông tin Chuyên ngành: Hệ thống Thông tin Mã số: 60.48.01.04 LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: TS NGUYỄN NGỌC HÓA Hà Nội - 2015 LỜI CẢM ƠN Luận văn Thạc sĩ đƣợc thực Đại học Công nghệ - Đại học Quốc gia Hà Nội dƣới hƣớng dẫn TS Nguyễn Ngọc Hóa Xin đƣợc gửi lời cảm ơn sâu sắc đến thầy Nguyễn Ngọc Hóa ý kiến quý báu liên quan đến định hƣớng khoa học, liên tục quan tâm, tạo điều kiện thuận lợi cho suốt q trình nghiên cứu hồn thành luận văn Tôi xin đƣợc gửi lời cảm ơn đến thầy, cô Bộ môn Hệ thống Thông tin nhƣ Khoa Công nghệ Thông tin mang lại cho kiến thức vơ q giá bổ ích q trình theo học trƣờng Tơi xin gửi lời cảm ơn tới đồng chí lãnh đạo đơn vị nơi công tác tạo điều kiện thời gian để tơi hồn thành chƣơng trình học Bên cạnh tơi xin gửi lời cám ơn tới đồng nghiệp Ban yếu Chính phủ tạo điều kiện giúp đỡ tơi hồn thành khóa luận cách tốt Cuối xin chân thành cảm ơn đến học viên cao học khóa K19, K20, K21 giúp đỡ suốt thời gian học tập Do thời gian kiến thức có hạn nên luận văn khơng tránh khỏi thiếu sót định Tơi mong nhận đƣợc góp ý quý báu thầy cô bạn Hà Nội, ngày tháng 10 năm 2015 Nguyễn Thị Thu Hằng i TÓM TẮT Ngày với phát triển mạnh mẽ Internet làm tăng nguy an tồn rị rỉ thông tin Để hạn chế đƣợc vấn đề hệ thống mạng cần có biện pháp cụ thể để kiểm sốt đƣợc tình trạng hệ thống có biện pháp đối phó cụ thể có cơng xảy Vậy vấn đề đặt ngƣời quản trị hệ thống cần có nhìn tổng qt tranh hệ thống mạng dựa việc thu thập liệu vào hệ thống từ thiết bị, dịch vụ ứng dụng đƣợc sử dụng hệ thống chẳng hạn nhƣ: Mail Server, Firewall, IDS (Intrusion Detection System), IPS (Intrusion Prevention System), Anti-Virus,… Những liệu sau đƣợc phân tích đối chiếu với dấu hiệu, tập luật có sẵn để đánh giá đƣa cảnh báo xác tới ngƣời quản trị hệ thống Tuy nhiên, số lƣợng nhật ký hệ thống từ thiết bị, dịch vụ ứng dụng hệ thống tƣơng đối lớn với nhiều định dạng khác Ngoài ra, khối lƣợng nhật ký hệ thống thu đƣợc lớn nên số thông tin cảnh báo quan trọng bị bỏ qua dẫn đến cố gây an tồn thơng tin khơng đƣợc cảnh báo xử lý kịp thời Do đó, cần có hệ thống để quản lý, tổ chức, theo dõi hiểm họa gây an toàn thơng tin xảy với hệ thống, từ đƣa biện pháp đối phó, ngăn chặn nhằm làm giảm thiệt hại xuống mức thấp Một hệ thống nhƣ đƣợc gọi hệ thống giám sát an ninh mạng Hệ thống giám sát an ninh mạng (GSANM) thực thu thập, quản lý, phân tích kiện an ninh, sau so sánh với dấu hiệu tập luật có sẵn nhằm đƣa đánh giá cảnh báo cho ngƣời quản trị hệ thống Tuy nhiên, việc cập nhật tập luật cách thƣờng xuyên việc làm vơ cần thiết, bên cạnh việc bổ sung định dạng liệu nhật ký chƣa có cho hệ thống quan trọng, nhằm nâng cao hiệu cho hệ thống GSANM Do vậy, luận văn hƣớng tới mục tiêu nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng để đƣa cảnh báo công Trong luận văn tiến hành (i) khảo sát thực tế tập luật có hệ thống giám sát Ban Cơ yếu Chính phủ; từ (ii) tiến hành đề xuất mơ hình cải tiến tập luật có; (iii) thử nghiệm mơ hình đề xuất cải tiến tập luật với định hƣớng nâng cao hiệu khả giám sát hệ thống mạng nhƣ đƣa cảnh báo xác tới ngƣời quản trị hệ thống Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and Event Management) ii LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng” cơng trình nghiên cứu cá nhân dƣới hƣớng dẫn TS Nguyễn Ngọc Hóa, trung thực khơng chép tác giả khác Trong toàn nội dung nghiên cứu luận văn, vấn đề đƣợc trình bày tìm hiểu nghiên cứu cá nhân tơi đƣợc trích dẫn từ nguồn tài liệu có ghi tham khảo rõ ràng, hợp pháp Tơi xin chịu trách nhiệm hình thức kỷ luật theo quy định cho lời cam đoan Hà Nội, ngày tháng 10 năm 2015 Nguyễn Thị Thu Hằng iii MỤC LỤC LỜI CẢM ƠN i TÓM TẮT ii LỜI CAM ĐOAN iii MỤC LỤC iv DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT vi DANH MỤC BẢNG .x MỞ ĐẦU CHƢƠNG I: KHẢO SÁT, ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT AN NINH MẠNG 1.1 Tình hình chung 1.1.1 Tình hình giám sát an ninh mạng số nƣớc giới 1.1.2 Tình hình giám sát an ninh mạng Việt Nam 1.2 Hệ thống GSANM đƣợc triển khai 1.2.1 Giới thiệu hệ thống GSANM 1.2.2 Các thành phần chức hệ thống GSANM .7 1.2.3 Mơ hình hệ thống GSANM 1.3 Giao diện quản lý hệ thống GSANM 11 CHƢƠNG II: NGHIÊN CỨU MỘT SỐ DẠNG TẤN CÔNG PHỔ BIẾN VÀO ỨNG DỤNG WEB 16 2.1 Các kỹ thuật công phổ biến vào ứng dụng Web 16 2.1.1 Kỹ thuật công Tiêm mã SQL 16 2.1.2 Kỹ thuật công XSS 22 2.1.3 Kỹ thuật công Tràn đệm 31 2.2 Các kỹ thuật công vƣợt qua Tƣờng lửa ứng dụng web 34 2.2.1 Tƣờng lửa ứng dụng web gì? 34 2.2.2 Một số phƣơng pháp công vƣợt thiết bị Tƣờng lửa ứng dụng web………………………………………………………………………… 35 CHƢƠNG III: PHƢƠNG PHÁP TRÍCH XUẤT CÁC TRƢỜNG THƠNG TIN QUAN TRỌNG TỪ NHẬT KÝ HỆ THỐNG 39 3.1 Yêu cầu thực tiễn .39 3.2 Giải pháp trích xuất trƣờng thông tin quan trọng từ nhật ký hệ thống hệ thống……………………………………………………………………………… 40 3.2.1 Mơ hình chung 40 3.2.2 Các bƣớc thực 40 iv CHƢƠNG IV: XÂY DỰNG TẬP LUẬT CẢNH BÁO TẤN CÔNG CHO HỆ THỐNG GIÁM SÁT AN NINH MẠNG VÀ TRIỂN KHAI THỬ NGHIỆM .52 4.1 Thực trạng hệ thống GSANM Ban Cơ yếu Chính phủ .52 4.2 Các luật bổ sung vào hệ thống GSANM .53 4.3 Các bƣớc tạo luật cho hệ thống GSANM 55 4.4 Thực nghiệm triển khai hệ thống GSANM TTCNTT&GSANM .62 4.4.1 Mơ hình thực nghiệm 62 4.4.2 Thu thập nhật ký hệ thống 63 4.5 Kết thực nghiệm 64 KẾT LUẬN CHUNG 69 TÀI LIỆU THAM KHẢO .70 v DANH SÁCH CÁC KÝ HIỆU VÀ TỪ VIẾT TẮT API DOM Application Programming Interface Document Object Model EC Event Collecter EP Event Processor FC Flow Collector FP Flow Processor GSANM Giám sát an ninh mạng HTML Hyper Text Markup Language HTTP Hyper Text Transfer Protocol HTTPS Hyper Text Transfer Protocol Secure IBM International Business Machine IDS Instrusion Detection System IIS Internet Information Service IPS Instrusion Prevention System OSI Open Systems Interconnection Regex Regular Expression SIEM Security Information and Event Management SQL Structured Query Language SSH Secure Shell TTCNTT & GSANM Trung tâm Công nghệ Thông tin & Giám sát an ninh mạng vi URL Unifrom Resource Locator VPN Virtual Private Network W3C World Wide Web Consortium WAF Tƣờng lửa ứng dụng web XML Extensible Markup Language XSS Cross-site Scripting vii DANH MỤC HÌNH VẼ Hình 1.1: Các thành phần hệ thống GSANM Hình 1.2: Mơ hình hệ thống GSANM phân tán Hình 1.3: Mơ hình hệ thống GSANM độc lập 11 Hình 1.4: Tap Dashboard .11 Hình 1.5: Tap Offenses 12 Hình 1.6: Tap Log Activity 12 Hình 1.7: Network Activity 13 Hình 1.8: Tap Asset .13 Hình 1.9: Tap Report .14 Hình 1.10: Tab Admin 14 Hình 2.1: Ví dụ trang Web mua sắm trực tuyến 23 Hình 2.2: Minh họa trang web có lỗi XSS 24 Hình 2.3: Thơng điệp lỗi tự động đƣợc tạo .25 Hình 2.4: Các bƣớc thực hiên cơng Reflected XSS 26 Hình 2.5: Các bƣớc thực Stored XSS 28 Hình 2.6: Các bƣớc thực công DOM-Based XSS 31 Hình 2.7: Ví dụ mơ tả tràn đệm Heap 34 Hình 3.1: Mơ hình trích xuất trƣờng thơng tin quan trọng từ nhật ký hệ thống .40 Hình 3.2: Giao diện Adaptive Log Exporter 41 Hình 3.3: Định dạng mẫu chung log .45 Hình 3.4: Kết thực cú pháp tìm tên kiện FTP 47 Hình 3.5: Kết thực cú pháp tìm địa IP nguồn 47 Hình 3.6: Xác định tên kiện 48 Hình 3.7: Xác định thông tin cụ thể khác cho nhật ký hệ thống .49 Hình 3.9: Log đƣợc định dạng 50 Hình 3.10: Thêm định dạng vào hệ thống GSANM 50 Hình 4.1: Các luật có hệ thống .52 Hình 4.2: Các tập luật có sẵn hệ thống GSANM 53 Hình 4.3: Xác định lƣu lƣợng thiết bị, toàn lƣu lƣợng mạng hệ thống phút 54 Hình 4.4: Các bƣớc cải tiến tập luật cho hệ thống 55 Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0 56 Hình 4.6: Cấu hình thu thập nhật ký hệ thống hệ thống GSNAM 57 viii Để tạo tập luật cho hệ thống, vấn đề xác định rủi ro đối tƣợng đƣợc áp dụng tập luật việc trƣớc hết cần làm thu thập nhật ký hệ thống thiết bị Nội dung hƣớng tới luận văn tạo tập luật cảnh báo công vào ứng dụng web nhằm bổ sung vào hệ thống GSANM đƣợc triển khai Sau ví dụ cụ thể để tạo tập luật cho hệ thống GSANM Trƣớc hết, ngƣời quản trị cần cấu hình thu thập nhật ký hệ thống cho hệ thống đƣợc GSNAM VD: Quá trình thu thập nhật ký hệ thống cho Web Server IIS 6.0 đƣợc thực theo nhiều cách khác Tuy nhiên, ví dụ q trình thu thập đƣợc thực từ hai phía:  Phía máy chủ IIS: Bật tính ghi nhật ký hệ thống rõ thƣ mục ghi nhật ký hệ thống  Phía hệ thống GSANM: Ngƣời quản trị cung cấp Username Password cho hệ thống GSANM đăng nhập vào máy chủ Web Server để lấy nhật ký hệ thống chuyển hệ thống GSANM Quá trình đƣợc thực theo bƣớc sau: Bƣớc 1: Thực cấu hình ghi nhật ký hệ thống Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0 Bƣớc 2: Khai báo thông tin chi tiết cho hệ thống GSANM thực lấy nhật ký hệ thống Phía hệ thống GSANM, đƣợc ngƣời quản trị khai báo chi tiết thông tin về: Máy chủ, tài khoản đƣợc cung cấp, giao thức sử dụng để thu thập nhật ký hệ thống, thƣ mục chứa nhật ký hệ thống 56 Hình 4.6: Cấu hình thu thập nhật ký hệ thống hệ thống GSNAM Sau nhật ký hệ thống IIS gửi hệ thống GSNAM, hệ thống hiển thị nhật ký hệ thống theo thời gian thực tab Log Activity Khi có ngƣời dùng truy cập web hệ thống GSANM hiển thị nhật ký hệ thống nhƣ hình 4.7 Hình 4.7: Nhật ký hệ thống đƣợc hiển thị theo thời gian thực Và số thông số khác nhật ký hệ thống nhƣ hình 4.8 57 Hình 4.8: Các thơng số khác nhật ký hệ thống Bƣớc 3: Cập nhật thiết bị có hệ thống Thực khai báo máy chủ vừa đƣợc thu thập nhật ký hệ thống vào phần thiết bị có hệ thống để thuận tiện cho trình tạo luật Hình 4.9: Khai báo máy chủ vào phần Web Server Bƣớc 4: Xác định dấu công để đƣa vào tập luật Trƣớc hết, trƣờng hợp ngƣời quản trị tạo luật nhận dạng công Tiêm mã SQL sử dụng kỹ thuật UNION, SELECT Để làm đƣợc việc này, ngƣời quản trị cần phân tích payload mà hệ thống GSANM thu đƣợc 58 Hình 4.10: Phân thích payload thu đƣợc xác đinh dấu hiệu công Từ trƣờng payload ngƣời quản trị xác định đƣợc thông tin quan trọng nhƣ: IP Source, IP Destination,… nhận dấu hiệu công Tiêm mã SQL qua chuỗi request đƣợc gửi có từ khóa UNION SELECT Bởi kỹ thuật công SQL đƣợc phân chia thành nhiều loại khác nên tạo luật chặn bắt công ngƣời quản trị phải phân chia ghi rõ dấu hiệu loại Do trƣờng hợp này, tập luật phát công Tiêm mã SQL sử dụng kỹ thuật UNION SELECT đƣa cảnh báo yêu cầu tới máy chủ có kèm chuỗi ký tự Bƣớc 5: Tạo luật Nhƣ ngƣời quản trị xác định xong yêu cầu trình tạo luật, ngƣời quản trị tạo tập luật tab Offenses Quá trình tạo luật đƣợc thực theo thứ tự sau: a) Xác định nơi quản lý tập luật Rules  Action  New Event Rules (vì luật đƣợc tạo từ kiện an ninh) Ngƣời quản trị chọn đối tƣợng Web Server đƣợc khai báo phần để áp dụng cho luật Sau đó, ngƣời quản trị thực mơ tả dấu hiệu cơng là: ―Trong nội dung payload có chứa từ khóa UNION SELECT‖ Ngƣời quản trị thực đặt tên cho cảnh báo: TAN CONG TIÊM MÃ SQL SU DUNG UNION, SELECT Trong trƣờng hợp này, ngƣời quản trị khơng cần sử dụng ngơn ngữ Regular Expression dấu hiệu nhận dạng đơn giản Tuy nhiên, nhiều trƣờng hợp khác ngƣời quản trị tạo đƣợc nhóm, mẫu để phát công cách sử dụng Regex VD: Nếu kẻ công sử dụng chèn thêm chuỗi ‗or 1=1‘, nhƣng trƣờng hợp ngƣời quản trị không sử dụng Regex để lọc chuỗi đƣợc chèn vào cơng vƣợt qua đƣợc lập luật kẻ công chèn chuỗi ‗or 2=2‘ 59 Hình 4.11: Các bƣớc tạo luật b) Xác định tham số cho tập luật Hình 4.12: Xác định tham số cho luật Bƣớc 6: Định lƣợng mức độ cảnh báo đƣợc đƣa 60 Sau đó, ngƣời quản trị thực định lƣợng mức độ cảnh báo đƣợc đƣa nhƣ thông số liên quan đến cảnh báo nhƣ: Xác định category, mức độ nguy hiểm, mức độ liên quan, hành động phản hồi tập luật đƣợc áp dụng, gửi cảnh báo qua email hay có lựa chọn khác Hình 4.13: Định lƣợng mức độ rủi ro luật tham số khác Hình 4.14: Kết thúc trình tạo luật 61 4.4 Thực nghiệm triển khai hệ thống GSANM TTCNTT&GSANM 4.4.1 Mơ hình thực nghiệm Mơ hình thực nghiệm đƣợc tiến hành TTCNTT&GSANM nhằm thiết kế, bổ sung tập luật đƣa cảnh báo có cơng xảy hệ thống mạng đƣợc giám sát Mơ hình thực nghiệm bao gồm thành phần sau:  Hệ thống GSANM sử dụng thiết bị phần cứng Qrada IBM hoạt động dạng độc lập có địa IP: 192.168.37.123  Máy chủ Web Server chạy hệ điều hành Windows Server 2003, sử dụng dịch vụ Web Server Internet Information Service (IIS) phiên 6.0 có địa IP: 192.168.37.131  Web ASP đƣợc cấu hình máy chủ web sử dụng hệ quản trị sở liệu Microsoft Access Hình 4.15: Mơ hình thực nghiệm Mơ hình thực nghiệm tn thủ theo mơ hình GSANM hoạt động độc lập theo tiêu chuẩn SIEM nhƣ đƣợc trình bày chƣơng I Việc cấu hình thu thập nhật ký hệ thống đƣợc trình bày chi tiết chƣơng Hệ thống thu thập đƣợc nhật ký hệ thống từ máy chủ web theo yêu cầu đặt ra, nhật ký hệ thống đƣợc hiển thị tab Log Activity giao diện web hệ thống GSANM IBM Qradar 62 Hình 4.16: Nhật ký hệ thống thu thập đƣợc từ máy chủ web 4.4.2 Thu thập nhật ký hệ thống Webserver thu đƣợc nhật ký hệ thống dạng sau: 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/mpt.css 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20order%20by%2011 192.168.37.131 404 1795 391 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/1x1.gif 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20order%20by%2011 192.168.37.131 404 1795 406 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/mpt.css 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20UNION%20SELECT%201,2,3,4,5,6%2 0from%20admin 192.168.37.131 404 1795 419 2015-10-29 07:14:53 W3SVC70772194 DEMO-AE98A4DC9B 192.168.37.131 GET /We_files/1x1.gif 80 192.168.37.1 HTTP/1.1 Mozilla/5.0+(Windows+NT+10.0;+WOW64;+rv:41.0)+Gecko/20100101+Firefox/41 ASPSESSIONIDCQTBDQDB=DGHBOCOALBINLJNMOEAECBBE http://192.168.37.131/irooms.asp?opt=34%20UNION%20SELECT%201,2,3,4,5,6%2 0from%20admin 192.168.37.131 404 1795 434 63 Nhƣ với nhật ký hệ thống thu đƣợc nhận thấy dạng công đƣợc thực Tiêm mã SQL, từ khóa quan trọng mà kẻ cơng sử dụng UNION, ORDER BY, SELECT Hệ thống GSANM thu đƣợc nhật ký hệ thống với payload nhƣ hình 4.17 Với thông tin trƣờng IP, port đƣợc phân chia rõ ràng payload với nội dung nhƣ nội dung nhật ký hệ thống mà Web Server thu đƣợc Hình 4.17: Payload đƣợc hệ thống GSANM thu thập đƣợc Nhƣ dạng công web nhƣ dấu hiệu cơng đƣợc lƣu lại hồn tồn nhật ký hệ thống phía server, để tạo luật ngƣời quản trị hệ thống phải dựa dấu hiệu mà nhật ký hệ thống lƣu lại payload mà hệ thống GSANM thu đƣợc để đƣa cảnh báo Hình 4.18: Các nhật ký hệ thống khác web server thu đƣợc 4.5 Kết thực nghiệm Các tập luật đƣợc đƣa vào hệ thống GSANM nhƣ hình 4.19 64 Hình 4.19: Các tập luật đƣợc đƣa vào hệ thống GSANM Sau cảnh báo mà hệ thống GSANM gửi tới ngƣời quản trị hệ thống Hình 4.20: Cảnh báo tƣợng bất thƣờng công vào hệ thống mạng đƣợc giám sát 65 Hình 4.21: Các cảnh báo công khác mà hệ thống GSANM thu đƣợc Hình 4.22: Nhật ký hệ thống cảnh báo thu đƣợc Các cảnh báo khác đƣợc hệ thống GSANM gửi tới ngƣời quản trị hệ thống nhƣ hình 4.23 66 Hình 4.23: Hệ thống đƣa cảnh báo cơng LFI Hình 4.24: Hệ thống đƣa cảnh báo công khác Sau thu thập nhật ký hệ thống, cải tiến tập luật cho hệ thống mạng cụ thể hệ thống GSANM đƣa cảnh báo công từ luật đƣợc tạo góp phần vào việc nâng cao hiệu GSANM Trên hệ thống GSANM có khoảng 300 luật nhƣng số luật chƣa đƣợc chỉnh sửa cho phù hợp với trạng mạng giám sát nên hệ thống luật chƣa thực hoạt động hiệu Kết luận văn xây dựng khoảng 40 luật cho hệ thống GSANM bao gồm luật phát hiện tƣợng bất thƣờng luật cảnh báo công web phổ biến Các luật dựa nguồn nhật ký hệ thống thu đƣợc, từ sử dụng biểu thức quy để lọc dấu hiệu cơng Q trình xác định biểu thức quy đƣợc thử nghiệm nhật ký hệ thống ban đầu kết trả khớp với dấu hiệu xác định nhận dạng công tƣơng tự nhƣ trình bày phần xác đinh trƣờng thông tin quan trọng 67 Tổng kết chƣơng IV Chƣơng tập trung vào việc thiết kế cập nhật tập luật vào hệ thống GSANM nhằm giúp đƣa cảnh báo xác đến ngƣời quản trị hệ thống Sau thực triển khai thử nghiệm hệ thống GSANM TTCNTT&GSANM thu đƣợc kết tích cực với tập luật đƣợc thiết kế phù hợp với hệ thống mạng cụ thể hệ thống GSANM đƣa tất cảnh báo kẻ công thực công vào hệ thống mạng đƣợc giám sát 68 KẾT LUẬN CHUNG Các kết đạt đƣợc luận văn - - - Giới thiệu tình hình giám sát an ninh mạng giới nhƣ Việt Nam Đồng thời nghiên cứu mơ hình tổng quan hệ thống giám sát an ninh mạng Nghiên cứu số kỹ thuật công ứng dụng Web cụ thể số công vƣợt qua tƣờng lửa ứng dụng Web Nghiên cứu phƣơng pháp trích xuất trƣờng thơng tin quan trọng từ nguồn nhật ký hệ thống để xây dựng định dạng cho nguồn liệu nhật ký chƣa có hệ thống GSANM Nghiên cứu thiết kế luật cho hệ thống giám sát an ninh mạng Xây dựng tập luật phát số công vào ứng dụng Web tập luật phát hiện tƣợng bất thƣờng hệ thống Những hƣớng nghiên cứu tiếp theo: - Nghiên cứu xây dựng tập luật phát tất cơng xảy hệ thống mạng đƣợc giám sát - Nghiên cứu phát xác công vào hệ thống mạng đƣợc giám sát - Nghiên cứu nâng cao tính xác cho cảnh báo đƣợc đƣa - Nghiên cứu ứng dụng cho hệ thống GSANM quan nhà nƣớc 69 TÀI LIỆU THAM KHẢO [1] Symantec, ISTR 20 Internet Security Threat Report Appendices, Symantec, 2015 [2] James A Lewis, Katrina Timlin, ―Cybersecurity and Cyberwarfare”, Center for Strategic and International Studies, 2011 [3] P.W Singer, Allan Friedman, Cybersecurity and Cyberwar, Oxford University Press, 2014 [4] Richard Bejtlich, The Practice of Network Security Monitoring, 2013 [5] IBM, IBM Security Qradar SIEM, IBM Corporation, 2013 [6] IBM, IBM Security Qradar Version 7.2.4 Hardware Guide, IBM Corporation, 2014 – 2015 [7] IBM, IBM Security Qradar 7.1.x and 7.2.x DSM Configuration Guide, IBM Coporation, 2015 [8] Pushkar Y.Jane, M.S.Chaudhari, “SQLIA: Detection and Prevention Techniques: A Survey”, IOSR Journal of Computer Engineering (IOSR-JCE), 2012 [9] Jeremiah Grossman, Robert Hansen, Petko D Petkov, Anton Rager, Seth Fogie, XSS Attacks Cross Site Scripting Exploits and Defense, Syngress Publishing, 2007 [10] Eric Chien and Péter Ször, Blended Attacks Exploit, Vulnerabilities and BufferOverflow Techniques in Computer Viruses, Symantec Security Response, 2002 [11] James C Foster, Vitaly Osipov, Nish Bhalla, Tràn đệm Attacks: Detect, Exploit, Prevent, Syngress Publishing, 2005 [12] Imperva, Web Application Attack Report #5, Imperva, 2014 [13] Juniper Networks, Security Threat Response Manager: Adaptive Log Exporter Users Guide, Juniper Network, 2012 [14] Jan Goyvaerts, Regular Expression: The Complete Tutorial, http://www.regularexpressions.info/print.html, 2007 [15] Michael Stanton, A Qradar Log Source Extension Walkthrough, SANS Institute InforSec Reading Room, 2014 Trang web [16] http://mic.gov.vn/gioithieu/Trang/Gi%E1%BB%9Bithi%E1%BB%87u.aspx [17] http://vnisa.org.vn/gioi-thieu-vnisa 70 ... hệ thống Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and Event Management) ii LỜI CAM ĐOAN Tôi xin cam đoan luận văn ? ?Nghiên cứu cải tiến tập luật hệ thống giám sát an. .. GSANM Do vậy, luận văn hƣớng tới mục tiêu nghiên cứu cải tiến tập luật hệ thống giám sát an ninh mạng để đƣa cảnh báo công Trong luận văn tiến hành (i) khảo sát thực tế tập luật có hệ thống giám. .. cịn thân hệ thống GSANM chƣa đƣợc bổ sung tập luật đầy đủ để cao hiệu hệ thống GSANM Trong trƣờng hợp hệ thống mạng đƣợc bảo vệ hệ thống GSANM nhƣng khơng có thiết bị an ninh hệ thống GSANM gần