« Home « Kết quả tìm kiếm

Nghiên cứu cải tiến tập luật trong hệ thống giám sát an ninh mạng

Tóm tắt Xem thử

- NGHIÊN CỨU CẢI TIẾN TẬP LUẬT TRONG HỆ THỐNG GIÁM SÁT AN NINH MẠNG.
- LUẬN VĂN THẠC SĨ NGÀNH CÔNG NGHỆ THÔNG TIN.
- Ngành: Công nghệ Thông tin.
- Chuyên ngành: Hệ thống Thông tin Mã số .
- Tôi xin đƣợc gửi lời cảm ơn đến các thầy, cô trong Bộ môn Hệ thống Thông tin cũng nhƣ Khoa Công nghệ Thông tin đã mang lại cho tôi những kiến thức vô cùng quý giá và bổ ích trong quá trình theo học tại trƣờng..
- Để hạn chế đƣợc vấn đề này mỗi hệ thống mạng cần có những biện pháp cụ thể để có thể kiểm soát đƣợc tình trạng hiện tại của hệ thống và có những biện pháp đối phó cụ thể khi có tấn công xảy ra.
- Vậy vấn đề đặt ra ở đây đó là ngƣời quản trị hệ thống cần có một cái nhìn tổng quát về bức tranh của hệ thống mạng dựa trên việc thu thập dữ liệu vào ra trong hệ thống từ các thiết bị, dịch vụ và ứng dụng đang đƣợc sử dụng trong chính hệ thống đó chẳng hạn nhƣ: Mail Server, Firewall, IDS (Intrusion Detection System), IPS (Intrusion Prevention System), Anti-Virus,…..
- Những dữ liệu này sau đó sẽ đƣợc phân tích đối chiếu với những dấu hiệu, hoặc tập luật có sẵn để đánh giá và đƣa ra các cảnh báo chính xác tới ngƣời quản trị hệ thống..
- Tuy nhiên, số lƣợng nhật ký hệ thống từ các thiết bị, dịch vụ hoặc ứng dụng trong hệ thống là tƣơng đối lớn với nhiều định dạng khác nhau.
- Ngoài ra, do khối lƣợng nhật ký hệ thống thu đƣợc quá lớn nên một số thông tin cảnh báo quan trọng có thể bị bỏ qua dẫn đến sự cố gây mất an toàn thông tin khi không đƣợc cảnh báo và xử lý kịp thời.
- Do đó, cần có một hệ thống để có thể quản lý, tổ chức, theo dõi những hiểm họa gây mất an toàn thông tin có thể xảy ra với hệ thống, từ đó đƣa ra các biện pháp đối phó, ngăn chặn nhằm làm giảm các thiệt hại xuống mức thấp nhất có thể..
- Một hệ thống nhƣ vậy đƣợc gọi là hệ thống giám sát an ninh mạng..
- Hệ thống giám sát an ninh mạng (GSANM) thực hiện thu thập, quản lý, và phân tích các sự kiện an ninh, sau đó so sánh với các dấu hiệu và tập luật có sẵn nhằm đƣa ra các đánh giá cảnh báo cho ngƣời quản trị hệ thống.
- Tuy nhiên, việc cập nhật các tập luật này một cách thƣờng xuyên là một việc làm vô cùng cần thiết, bên cạnh đó việc bổ sung các định dạng dữ liệu nhật ký mới chƣa có cho hệ thống cũng rất quan trọng, nhằm nâng cao hiệu quả cho hệ thống GSANM.
- Do vậy, luận văn này hƣớng tới mục tiêu chính là nghiên cứu cải tiến tập luật trong hệ thống giám sát an ninh mạng để đƣa ra các cảnh báo tấn công..
- Trong luận văn này tôi đã tiến hành (i) khảo sát thực tế tập luật hiện có trong hệ thống giám sát tại Ban Cơ yếu Chính phủ.
- từ đó (ii) tiến hành đề xuất mô hình cải tiến tập luật đã có.
- và (iii) thử nghiệm mô hình đề xuất cải tiến tập luật với định hƣớng nâng cao hiệu quả trong khả năng giám sát hệ thống mạng cũng nhƣ đƣa ra các cảnh báo chính xác tới ngƣời quản trị hệ thống..
- Từ khóa: Giám sát an ninh mạng, Tập luật, SIEM (Security Information and Event Management)..
- Tôi xin cam đoan luận văn “Nghiên cứu cải tiến tập luật trong hệ thống giám sát an ninh mạng” là công trình nghiên cứu của cá nhân tôi dƣới sự hƣớng dẫn của TS.
- CHƢƠNG I: KHẢO SÁT, ĐÁNH GIÁ HỆ THỐNG GIÁM SÁT AN NINH MẠNG.
- 1.1.1 Tình hình giám sát an ninh mạng tại một số nƣớc trên thế giới.
- 1.1.2 Tình hình giám sát an ninh mạng tại Việt Nam.
- 1.2 Hệ thống GSANM đang đƣợc triển khai hiện tại.
- 1.2.1 Giới thiệu về hệ thống GSANM.
- 1.2.2 Các thành phần chức năng của hệ thống GSANM .
- 1.2.3 Mô hình của hệ thống GSANM.
- 1.3 Giao diện quản lý của hệ thống GSANM.
- CHƢƠNG II: NGHIÊN CỨU MỘT SỐ DẠNG TẤN CÔNG PHỔ BIẾN VÀO ỨNG DỤNG WEB.
- 2.1 Các kỹ thuật tấn công phổ biến vào ứng dụng Web.
- 2.1.1 Kỹ thuật tấn công Tiêm mã SQL.
- 2.1.2 Kỹ thuật tấn công XSS.
- 2.1.3 Kỹ thuật tấn công Tràn bộ đệm.
- 2.2 Các kỹ thuật tấn công vƣợt qua Tƣờng lửa ứng dụng web.
- 2.2.2 Một số phƣơng pháp tấn công vƣợt các thiết bị Tƣờng lửa ứng dụng web………...Error.
- CHƢƠNG III: PHƢƠNG PHÁP TRÍCH XUẤT CÁC TRƢỜNG THÔNG TIN.
- QUAN TRỌNG TỪ NHẬT KÝ HỆ THỐNG.
- 3.2 Giải pháp trích xuất các trƣờng thông tin quan trọng từ nhật ký hệ thống hệ thống………...E rror! Bookmark not defined..
- CHƢƠNG IV: XÂY DỰNG TẬP LUẬT CẢNH BÁO TẤN CÔNG CHO HỆ.
- THỐNG GIÁM SÁT AN NINH MẠNG VÀ TRIỂN KHAI THỬ NGHIỆM.
- 4.1 Thực trạng hệ thống GSANM tại Ban Cơ yếu Chính phủ.
- 4.2 Các luật sẽ bổ sung vào hệ thống GSANM.
- 4.3 Các bƣớc tạo luật cho hệ thống GSANM.
- 4.4 Thực nghiệm triển khai hệ thống GSANM tại TTCNTT&GSANM.
- 4.4.2 Thu thập nhật ký hệ thống.
- GSANM Giám sát an ninh mạng.
- GSANM Trung tâm Công nghệ Thông tin &.
- Giám sát an ninh mạng.
- Hình 1.1: Các thành phần của hệ thống GSANM.
- Hình 1.2: Mô hình hệ thống GSANM phân tán.
- Hình 1.3: Mô hình hệ thống GSANM độc lập.
- Hình 1.4: Tap Dashboard.
- Hình 1.5: Tap Offenses.
- Hình 1.6: Tap Log Activity.
- Hình 1.7: Network Activity.
- Hình 1.8: Tap Asset.
- Hình 1.9: Tap Report.
- Hình 1.10: Tab Admin.
- Hình 2.1: Ví dụ về một trang Web mua sắm trực tuyến Error! Bookmark not defined..
- Hình 2.2: Minh họa trang web có lỗi XSS.
- Hình 2.3: Thông điệp lỗi tự động đƣợc tạo ra.
- Hình 2.4: Các bƣớc thực hiên tấn công Reflected XSS Error! Bookmark not defined..
- Hình 2.5: Các bƣớc thực hiện Stored XSS.
- Hình 2.6: Các bƣớc thực hiện tấn công DOM-Based XSS.
- Hình 2.7: Ví dụ mô tả tràn bộ đệm Heap.
- Hình 3.1: Mô hình trích xuất các trƣờng thông tin quan trọng từ nhật ký hệ thống.
- Hình 3.2: Giao diện của Adaptive Log Exporter.
- Hình 3.3: Định dạng mẫu chung của log.
- Hình 3.4: Kết quả thực hiện cú pháp tìm tên sự kiện FTP.
- Hình 3.5: Kết quả thực hiện cú pháp tìm địa chỉ IP nguồn.
- Hình 3.6: Xác định tên sự kiện.
- Hình 3.7: Xác định các thông tin cụ thể khác cho nhật ký hệ thống.
- Hình 3.9: Log mới đã đƣợc định dạng.
- Hình 3.10: Thêm định dạng mới vào hệ thống GSANM.
- Hình 4.1: Các luật hiện có trong hệ thống.
- Hình 4.2: Các tập luật có sẵn của hệ thống GSANM.
- Hình 4.3: Xác định lƣu lƣợng của các thiết bị, và toàn bộ lƣu lƣợng mạng của hệ thống từng phút.
- Hình 4.4: Các bƣớc cải tiến tập luật cho hệ thống.
- Hình 4.5: Cấu hình ghi nhật ký hệ thống cho Web IIS 6.0.
- Hình 4.6: Cấu hình thu thập nhật ký hệ thống trên hệ thống GSNAM.
- Hình 4.7: Nhật ký hệ thống đƣợc hiển thị theo thời gian thực.
- Hình 4.8: Các thông số khác của nhật ký hệ thống.
- Hình 4.9: Khai báo máy chủ vào phần Web Server.
- Hình 4.10: Phân thích payload thu đƣợc và xác đinh dấu hiệu tấn công.
- Hình 4.11: Các bƣớc tạo luật.
- Hình 4.12: Xác định các tham số cho luật.
- Hình 4.13: Định lƣợng mức độ rủi ro của luật và các tham số khác.
- Hình 4.14: Kết thúc quá trình tạo luật.
- Hình 4.15: Mô hình thực nghiệm.
- Hình 4.16: Nhật ký hệ thống thu thập đƣợc từ máy chủ web.
- Hình 4.17: Payload đƣợc hệ thống GSANM thu thập đƣợc.
- Hình 4.19: Các tập luật đƣợc đƣa vào hệ thống GSANM.
- Hình 4.20: Cảnh báo hiện tƣợng bất thƣờng và các tấn công vào hệ thống mạng đang đƣợc giám sát.
- Hình 4.21: Các cảnh báo tấn công khác mà hệ thống GSANM thu đƣợc.
- Hình 4.22: Nhật ký hệ thống các cảnh báo thu đƣợc.
- Hình 4.23: Hệ thống đƣa ra cảnh báo tấn công LFI.
- Hình 4.24: Hệ thống đƣa ra các cảnh báo các tấn công khác