Tìm hiểu và xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ SIEM

Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn

ĐẠI HỌC THÁI NGUYÊN

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

TÔN ĐỨC CƯỜNG

TÌM HIỂU VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN

TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Thái Nguyên, năm 2016

ĐẠI HỌC THÁI NGUYÊN

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG

TÔN ĐỨC CƯỜNG

TÌM HIỂU VÀ XÂY DỰNG CÔNG CỤ PHÁT HIỆN

TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM

Chuyên ngành : Khoa học máy tính

Mã số chuyên ngành: 60 48 01 01

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

NGƯỜI HƯỚNG DẪN KHOA HỌC

TS. TRẦN ĐỨC SỰ

Thái Nguyên, năm 2016

Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn

LỜI CAM ĐOAN

Tôi là: Tôn Đức Cường

Lớp: CK13B

Khoá học: 2014 - 2016

Chuyên ngành: Khoa học máy tính

Mã số chuyên ngành: 60 48 01 01

Cơ sở đào tạo: Trường Đại học Công nghệ thông tin và Truyền thông - Đại học Thái

Nguyên.

Giáo viên hướng dẫn: TS. Trần Đức Sự

Tôi xin cam đoan luận văn “Tìm hiểu và xây dựng công cụ phát hiện tấn công

mạng dựa trên công nghệ SIEM” này là công trình nghiên cứu của riêng tôi. Các

số liệu sử dụng trong luận văn là trung thực. Các kết quả nghiên cứu được trình bày

trong luận văn chưa từng được công bố tại bất kỳ công trình nào khác.

Thái Nguyên, ngày 21 tháng 09 năm 2016

HỌC VIÊN

Tôn Đức Cường

i

Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn

LỜI CẢM ƠN

Sau hơn 6 tháng nỗ lực tìm hiểu, nghiên cứu và thực hiện luận văn Cao học với

nội dung “Tìm hiểu và xây dựng công cụ phát hiện tấn công mạng dựa trên công

nghệ SIEM” đã cơ bản hoàn thành. Ngoài sự nỗ lực của bản thân, tôi còn nhận được

rất nhiều sự quan tâm, giúp đỡ của các thầy cô trường Đại học Công nghệ thông tin

và Truyền thông, Viện Công nghệ thông tin để tôi hoàn thành tốt luận văn của mình.

Trước hết tôi xin gửi lời cảm ơn chân thành đến các thầy cô trường Đại học Công

nghệ thông tin và Truyền thông – Đại học Thái Nguyên, các thầy cô là các giáo sư,

tiến sỹ công tác tại Viện Công nghệ thông tin đã truyền đạt những kiến thức quý báu

trong suốt thời gian học thạc sỹ tại trường. Đặc biệt, tôi xin gửi lời cảm ơn tới thầy

giáo TS. Trần Đức Sự đã tận tình hướng dẫn và chỉ bảo trong suốt thời gian làm luận

văn. Bên cạnh đó tôi cũng xin gửi lời cảm ơn tới lãnh đạo trường Cao đẳng Thương

mại và Du lịch nơi tôi công tác đã tạo tạo điều kiện, giúp đỡ tôi cùng một số trang

thiết bị hỗ trợ thử nghiệm cho công cụ đã xây dựng.

Do thời gian, kiến thức và các trang thiết bị còn hạn chế, luận văn chưa thực

nghiệm được nhiều, kết quả đạt được chỉ mang tính chất thử nghiệm, rất mong nhận

được sự góp ý từ phía thầy cô, bạn bè để bản luận văn của tôi được hoàn thiện hơn.

Thái Nguyên, tháng 07 năm 2016

HỌC VIÊN

Tôn Đức Cường

ii

Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn

MỤC LỤC

LỜI CẢM ƠN ............................................................................................................ i

MỤC LỤC ................................................................................................................. ii

DANH MỤC TỪ VIẾT TẮT ................................................................................... iv

DANH MỤC HÌNH VẼ ............................................................................................ v

LỜI NÓI ĐẦU ............................................................................................................1

CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG

MẠNG ........................................................................................................................3

1.1. TẤN CÔNG TRONG MẠNG MÁY TÍNH...............................................................3

1.1.1. Khái niệm về tấn công mạng..................................................................3

1.1.2. An toàn mạng .........................................................................................3

1.1.3. Lỗ hổng bảo mật ....................................................................................4

1.1.4. Các kiểu tấn công mạng phổ biến ..........................................................5

1.1.5. Mô hình tấn công mạng .........................................................................9

1.1.6. Một số dấu hiệu phát hiện hệ thống bị tấn công ..................................12

1.2. HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS..........................13

1.2.1. Hệ thống phát hiện xâm nhập IDS.......................................................13

1.2.2. Network-based IDS..............................................................................13

1.2.3. Host-based IDS ....................................................................................15

1.2.4. Hệ thống ngăn chặn xâm nhập IPS......................................................17

1.3. HỆ THỐNG GIÁM SÁT AN NINH MẠNG ...........................................................18

1.3.1. Giới thiệu hệ thống giám sát an ninh mạng .........................................18

1.3.2. Mô hình giám sát an ninh mạng...........................................................18

1.3.3. Các công nghệ giám sát an ninh mạng.................................................20

CHƯƠNG 2. PHÁT HIỆN TẤN CÔNG MẠNG VỚI CÔNG NGHỆ SIEM ...22

2.1. GIỚI THIỆU VỀ CÔNG NGHỆ SIEM .................................................................22

2.1.1. Quản lý nhật ký sự kiện an ninh ..........................................................25

2.1.2. Tuân thủ các quy định về CNTT..........................................................26

2.1.3. Tương quan liên kết các sự kiện an ninh .............................................26

2.1.4. Cung cấp các hoạt động ứng phó.........................................................27

2.1.5. Đảm bảo an ninh thiết bị đầu cuối .......................................................27

2.2. THÀNH PHẦN VÀ HOẠT ĐỘNG CỦA SIEM......................................................27

2.2.1. Thiết bị Nguồn .....................................................................................28

2.2.2. Thu thập Log........................................................................................30

2.2.3. Chuẩn hóa và tổng hợp sự kiện an ninh...............................................32

2.2.4. Tương quan sự kiện an ninh.................................................................33

iii

Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn

2.2.5. Lưu trữ Log ..........................................................................................36

2.2.6. Giám sát và cảnh báo ...........................................................................37

2.3. MỘT SỐ HỆ THỐNG TRIỂN KHAI SIEM...........................................................39

2.3.1. MARS ..................................................................................................39

2.3.2. IBM Qradar..........................................................................................39

2.3.3. Splunk ..................................................................................................40

2.3.4. AlienVault OSSIM...............................................................................41

CHƯƠNG 3. XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA

TRÊN CÔNG NGHỆ SIEM VỚI MÃ NGUỒN MỞ ALIENVAULT OSSIM.42

3.1. MỤC TIÊU XÂY DỰNG CÔNG CỤ.....................................................................42

3.2. HỆ THỐNG VÀ MÔ HÌNH PHÁT HIỆN TẤN CÔNG MẠNG.................................42

3.2.1. Hệ thống mã nguồn mở AlienVault OSSIM........................................42

3.2.2. Một số chức năng chính của AlienVault OSSIM ................................43

3.2.3. Mô hình tổng quan hệ thống phát hiện tấn công mạng dựa trên công

nghệ Siem sử dụng công cụ AlienVault OSSIM ...........................................44

3.3. TRIỂN KHAI XÂY DỰNG .................................................................................46

3.3.1. Triển khai OSSIM vào hệ thống mạng ................................................46

3.3.2. Một số công cụ được sử dụng trong OSSIM .......................................46

3.3.3. Đánh giá rủi ro .....................................................................................48

3.3.4. Chuẩn hóa log ......................................................................................48

3.3.5. Xây dựng luật trong Ossim ..................................................................51

3.4. THỬ NGHIỆM VÀ KẾT QUẢ ............................................................................53

3.4.1. Mô hình thử nghiệm thực tế.................................................................53

3.4.2. Tấn công thăm dò....................................................................................54

3.4.3. Tấn công đăng nhập ................................................................................57

3.4.4. Tấn công từ chối dịch vụ .........................................................................60

3.4.5. Tấn công vào hệ quản trị cơ sở dữ liệu SQL .............................................62

3.4.6. Đánh giá, kết quả ....................................................................................64

KẾT LUẬN...............................................................................................................65

TÀI LIỆU THAM KHẢO.........................................................................................66

iv

Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.lrc.tnu.edu.vn

DANH MỤC TỪ VIẾT TẮT

Stt Từ viết tắt Nội dung

01 TCP Transmision control protocol

02 Dos Denial of Service (Từ chối dịch vụ)

03 Ddos Distributed Denial of Service

04 Drdos Distributed Reflection Denial of Service

05 IDS

Intrusion Detection Systems (Phát hiện xâm

nhập)

06 NIDS Network-based Intrusion Detection Systems

07 HIDS Host-based Intrusion Detection Systems

08 CNTT Công nghệ thông tin

09 SIEM Security Infomation and Event Management

10 ARP Address Resolution Protocol

11 CSDL Cơ sở dữ liệu

12 OSSIM

Open Source Security Information

Management

13 IIS Internet Information Services