HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Trần Kiên NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN BẤT
THƯỜNG VÀ XEM XÉT KHẢ NĂNG ỨNG DỤNG CHO
HỆ THỐNG MÁY CHỦ TÊN MIỀN DNS QUỐC GIA (.VN)

Chuyên ngành: Kỹ thuật điện tử
Mã số: 60.52.70

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2011

suốt, liên tục và hiệu quả. Những năm gần đây, ngày càng nhiều các vụ tấn công vào hệ
thống máy chủ tên miền, nhiều vụ đã gây ra những hậu quả vô cùng nghiêm trọng ảnh
hưởng đến việc truy nhập Internet trên nhiều khu vực. Một trong các vụ tấn công điển
hình vào hệ thống DNS đã xảy ra ở Trung quốc vào ngày 20/5/2009, hệ quả làm cho
truy cập Internet tại 5 tỉnh miền Bắc, duyên hải Trung Quốc đã bị ảnh hưởng nặng nề
sau khi xảy ra một vụ tấn công DNS nhắm vào một công ty gây nên các yêu cầu thông
tin không trả lời làm “lụt” nhiều mạng viễn thông của Trung Quốc [25].
Ở Việt Nam, hệ thống máy chủ tên miền DNS quốc gia (.VN) do Trung tâm
Internet Việt Nam (VNNIC) quản lý hơn 10 năm qua luôn hoạt động thông suốt, an
toàn và hiệu quả góp phần không nhỏ vào sự phát triển của Internet Việt Nam. Tuy
nhiên, hệ thống DNS luôn tiềm ẩn nhiều nguy cơ bị tấn công phá hoại, trong khi đó
chúng ta lại chưa có hệ thống phát hiện sớm các hiện tượng bất thường có khả năng
ảnh hưởng đến vấn đề an toàn an ninh của hệ thống máy chủ tên miền DNS quốc
gia (.VN). Do vậy, luận văn nghiên cứu các phương pháp phát hiện bất thường và xem
xét khả năng ứng dụng cho hệ thống máy chủ tên miền DNS quốc gia (.VN) rất cần
thiết, có ý nghĩa thực tiễn và khả thi cao. Cụ thể, luận văn thực hiện việc phân tích trực
tiếp các dữ liệu truy vấn tên miền, qua đó giúp phát hiện sớm và đưa ra cảnh báo kịp
thời theo thời gian thực các vấn đề về an toàn an ninh của hệ thống máy chủ tên miền
DNS quốc gia (.VN).
Luận văn gồm các nội dung như sau:
- Mở đầu.
- Chương 1: Tổng quan hệ thống tên miền DNS.
- Chương 2: Nghiên cứu các phương pháp phát hiện bất thường.
- Chương 3: Thử nghiệm cho một số máy chủ tên miền DNS quốc gia (.VN)
- Kết luận.
Luận văn đã thực hiện được việc nghiên cứu phương pháp phát hiện bất thường
ứng dụng cho hệ thống máy chủ tên miền DNS quốc gia (.VN). Tuy nhiên, do điều kiện
thời gian và hạn chế về trình độ nên tác giả chưa nghiên cứu được phương pháp toán
thống kê (Entropy) ứng dụng cho việc phân tích, xử lý dữ liệu truy vấn tên miền. Tác
giả mong rằng sau này có điều kiện sẽ tiếp tục nghiên cứu chuyên sâu hơn về chuyên đề

Các nhà quản lý mạng ARPANET tiến hành xây dựng một cơ cấu mới thay thế
cho việc dùng file HOSTS.TXT để chuyển đổi giữa tên máy và địa chỉ của máy. Hệ
thống mới phải cho phép quản lý dữ liệu một cách cục bộ. Việc quản lý không tập trung
sẽ loại bỏ được các vấn đề về quá tải lưu lượng đối với một máy tính khi xử lý các dữ
liệu về chuyển đổi tên máy và địa chỉ. Việc quản lý dữ liệu cục bộ cũng làm cho việc
cập nhật dữ liệu thường xuyên được thực hiện dễ dàng hơn. Hệ thống mới phải sử dụng
không gian tên theo cơ cấu phân cấp để đặt tên cho các máy tính trên mạng. Việc này
đảm bảo được tính duy nhất về tên miền trên mạng.
Hệ thống mới này do Ông Paul Mockapetris thuộc Viện Nghiên cứu Kỹ thuật
Thông tin xây dựng. Vào năm 1984, ông đưa ra hai tài liệu tiêu chuẩn (RFC) 882 và
883 miêu tả về hoạt động của hệ thống DNS. Sau đó là hai tài liệu tiêu chuẩn (RFC)
1034 và 1035, hai RFC này xác định các chỉ tiêu hoạt động của hệ thống DNS.
5

1.1.2. Hệ thống tên miền DNS
Hệ thống tên miền là một cơ sở dữ liệu phân bố. Cơ sở dữ liệu này cho phép
quản lý một cách cục bộ các phần khác nhau trong toàn bộ hệ thống tên miền, tuy nhiên
dữ liệu trong mỗi phần này có thể được truy cập trên toàn mạng thông qua cơ chế máy
khách – máy chủ (client-server). Cơ chế đệm (caching) dữ liệu và khả năng trả lời các
yêu cầu về tên miền của các máy chủ tên miền đảm bảo tính ổn định và đồng nhất của
hệ thống tên miền.
Hệ thống tên miền bao gồm các thành phần:
- Chương trình name server (máy chủ tên miền): Chương trình máy chủ tên miền
(name server) hoạt động trên cơ chế client-server lưu giữ các thông tin về một
phần của toàn bộ dữ liệu tên miền và có nhiệm vụ trả lời các máy client (resolver)
về các thông tin liên quan đến tên miền.
- Chương trình phân giải tên miền (Resolver): Thông thường là một chương trình
có khả năng tạo ra các câu hỏi liên quan tới tên miền và gửi chúng tới máy chủ
tên miền.
- Không gian tên miền: Cấu trúc của không gian tên miền DNS, được chỉ ra trong

hai node mẹ khác nhau sinh ra, chúng có thể trùng tên, nhưng vẫn đảm bảo tính duy
nhất của một tên miền trong không gian tên miền.
1.1.2.3. Miền (Domain)
Domain là một nhánh trong không gian tên miền. Tên miền của domain này
chính là tên miền của node gốc (root) của nhánh con trong không gian tên miền. Điều
này có nghĩa là tên của domain chính là tên của node ở đầu của tên miền. Ví dụ điểm
đầu của domain vnn.vn là node có tên vnn.vn
1.1.3. Các biểu hiện bất thường
1.1.3.1. Định nghĩa
Các biểu hiện trực tiếp trên hệ thống máy chủ tên miền DNS hoặc gián tiếp
thông qua các hệ thống đo lường giám sát có kết nối làm việc với các máy chủ DNS.
1.1.3.2. Các biểu hiện bất thường [5]
 Lưu lượng mạng tăng cao bất thường.
 Mật độ truy vấn trên các máy chủ tên miền DNS không theo quy luật thông thường.
7

 Truy vấn tên miền bị chậm….
1.2. Hiện trạng hệ thống máy chủ tên miền DNS quốc gia (.VN)
1.2.1. Mô hình hệ thống máy chủ tên miền DNS quốc gia (.VN) tại Việt Nam
Hệ thống DNS quốc gia do Trung tâm Internet Việt Nam quản lý có nhiệm vụ
quản lý không gian tên miền cấp quốc gia .vn. Hệ thống DNS quốc gia có nhiệm vụ tiếp
nhận và trả lời các truy vấn tên miền .VN [2].
Hiện tại hệ thống tên miền quốc gia gồm 5 cụm máy chủ đặt trong nước (2 cụm
tại thành phố Hồ Chí Minh; 2 cụm tại Hà Nội và 1 cụm đặt tại Đà Nẵng), 4 cụm máy
chủ đặt ở nước ngoài (tại Mỹ, Nhật, Úc và Hà Lan).
HA NOI
LAO CAI
LAI CHAU
YEN BAI
SON LA

Hệ thống máy chủ DNS của các ISP có nhiệm vụ tiếp nhận và xử lý các truy vấn
tên miền (gồm cả các tên miền .vn và tên miền khác). Với các tên miền .VN, hệ thống
máy chủ tên miền của các ISP sẽ truy vấn lên hệ thống máy chủ root server và hệ thống
máy chủ tên miền quốc gia để tìm kiếm thông tin và trả lời truy vấn. Đối với các tên
miền thông thường (tên miền cấp cao, tên miền của các quốc gia khác), hệ thống máy
chủ tên miền này sẽ truy vấn lên hệ thống máy chủ root và các máy chủ tên miền khác
được đặt ở nước ngoài để tìm kiếm kết quả.
8 Hình 1.3: Phân cấp hệ thống máy chủ tên miền tại Việt Nam
1.2.2. Mô hình quản lý không gian tên miền DNS quốc gia (.VN)
Không gian tên miền .vn được quản lý theo cơ chế phân cấp và chuyển giao. Các
tên miền cấp 2 và cấp 3 thuộc hệ thống tên miền .VN sẽ được lưu giữ trên hệ thống tên
miền quốc gia. Các tên miền cấp 3 và cấp 4 sẽ được lưu giữ tại các hệ thống máy chủ
được chuyển giao, phần lớn các máy chủ được chuyển giao này là các máy chủ của các
ISP trong nước. Như vậy hầu hết các tên miền quốc gia của Việt nam do các máy chủ
tên miền trong nước quản lý.
1.2.3. Hoạt động truy vấn tên miền
Hoạt động truy vấn tên miền tại Việt Nam gồm 2 loại: Truy vấn tên miền cấp
quốc gia và truy vấn tên miền khác (tên miền cấp cao và tên miền của các quốc gia
khác).
1.2.3.1. Truy vấn tên miền DNS quốc gia (.VN)
1.2.3.2. Truy vấn tên miền cấp cao
1.3. Vấn đề tồn tại và hướng nghiên cứu của đề tài
1.3.1. Vấn đề tồn tại
Hiện nay VNNIC mới chỉ khai thác, đánh giá được tổng số truy vấn tên miền
đến các máy chủ DNS, phân chia theo tên miền .vn và tên miền không phải .VN
Những con số trên có được bằng cách thống kê số lượng truy vấn tên miền qua
nhật ký truy vấn của từng máy chủ DNS. Chưa thực hiện được việc phân tích thống kê
10

CHƯƠNG 2: NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN
BẤT THƯỜNG

Tóm tắt chương
Chương 2 nghiên cứu 2 phương pháp phát hiện bất thường của hệ thống máy
chủ tên miền DNS: (1) Phương pháp phân tích dữ liệu truy vấn DNS, (2) Phương pháp
giám sát lưu lượng mạng; nghiên cứu chi tiết các giải pháp thu thập, lưu trữ, phân tích
dữ liệu, tiếp theo phân tích, so sánh ưu và nhược điểm của từng phương pháp để làm cơ
sở lựa chọn phương pháp ứng dụng cho hệ thống máy chủ tên miền DNS quốc gia
(.VN).
2.1. Nghiên cứu các phương pháp phát hiện bất thường
2.1.1. Phương pháp phân tích dữ liệu truy vấn DNS
2.1.1.1. Giải pháp thu thập log DNS
2.1.1.1.1. Thu thập log trên từng máy chủ DNS
Cách duy nhất có thể thu thập số liệu truy vấn DNS là bật chế độ ghi lại nhật ký
truy vấn DNS của phần mềm máy chủ DNS, ta chỉ cần thêm các lệnh sau vào file cấu
hình named.conf của phần mềm DNS server, trong trường hợp này là phần mềm BIND
[7].
2.1.1.1.2. Thu thập log DNS tập trung
Như đã phân tích ở chương 1, hệ thống DNS quốc gia có nhiều máy chủ. Để có
thể thu thập log được từ nhiều máy chủ, tác giả xây dựng hệ thống thu thập log tập
trung sử dụng syslog [26]. Thông tin truy vấn tên miền của người sử dụng gửi tới các
máy chủ DNS của VNNIC sẽ được ghi lại, gửi qua syslog đến máy chủ sysog server,

này.
Hệ thống lưu trữ đóng vai trò rất quan trọng trong tổng thể hệ thống hạ tầng
thông tin vì nó là nơi lưu dữ liệu của toàn hệ thống, có ý nghĩa sống còn đối với doanh
nghiệp. Các máy chủ ứng dụng, các máy chủ dịch vụ có thể bị hỏng hoàn toàn nhưng
nếu ta giữ được hệ thống lưu trữ thì hệ thống hoàn toàn có thể khôi phục lại được
nhưng ngược lại nếu ta mất hệ thống lưu trữ dữ liệu thì không gì có thể cứu vãn được.
Lưu trữ có thể được thực hiện theo nhiều cách: Sử dụng các ổ đĩa gắn trực tiếp vào
12

server cần lưu trữ, dùng các thiết bị lưu trữ ngoài hoặc xây dựng mạng dùng riêng cho
lưu trữ dữ liệu. Phương pháp lưu trữ dùng các ổ đĩa gắn trực tiếp đã xuất hiện và được
sử dụng từ rất lâu do tính dễ sử dụng của chúng. Cùng với sự phát triển của công nghệ,
đặc biệt là yêu cầu của người dùng về dữ liệu lưu trữ (dung lượng, tốc độ, khả năng
khôi phục dữ liệu, ảnh hưởng của lưu trữ đến hiệu năng của toàn hệ thống), nhiều
phương pháp lưu trữ mới được phát triển. Mỗi phương pháp có những ưu nhược điểm
riêng và được dùng cho những mục đích nhất định. Một số phương pháp lưu trữ có thể
kể đến như sau:
2.1.1.2.1. Giải pháp lưu trữ trực tiếp (Direct Attached Storage - DAS)
2.1.1.2.2. Giải pháp lưu trữ mạng (Network Attached Storage - NAS)
2.1.1.2.3. Mạng lưu trữ (Storage Area Network - SAN)
2.1.1.2.4. Giải pháp sao lưu dữ liệu
Sao lưu dữ liệu là một phần không thể thiếu của các hệ thống máy tính, hệ thống
lưu trữ. Tác giả sử dụng giải pháp sao lưu tập trung để giảm tải cho hệ thống máy chủ,
sử dụng thư viện tape có robot điều khiển để sao lưu tự động với tốc độ cao để có thể
lưu được một số lượng lớn dữ liệu nhật ký DNS.
Application
servers

Hình 2.4: Giải pháp sao lưu SAN
2.1.2. Phương pháp giám sát lưu lượng mạng

Không giới hạn Giới hạn theo phân vùng
mạng
Khả năng phát triển mở rộng
Dễ dàng. Khó khăn khi phải giám
sát các máy chủ DNS
phân tán ở nhiều nơi.
Thời gian triển khai
Trung bình Nhanh
Đầu tư (chi phí)
Trung bình Thấp
Qua một số chỉ tiêu cơ bản trong bảng trên, căn cứ nhu cầu và mức độ quan
trọng của các ứng dụng DNS quốc gia .VN. Tác giả lựa chọn giải pháp phân tích dữ
liệu truy vấn DNS để thử nghiệm cho hệ thống máy chủ tên miền DNS quốc gia (.VN).
Chi tiết mô hình hệ thống, triển khai thử nghiệm, phân tích kết quả ứng dụng cho hệ
thống máy chủ tên miền DNS quốc gia (.VN) được nghiên cứu cụ thể trong chương 3.
Kết luận chương
Trong Chương 2, tác giả đã trình bày làm rõ được các phương pháp phát hiện
bất thường có thể áp dụng được cho hệ thống máy chủ tên miền DNS quốc gia (.VN),
lập bảng phân tích, so sánh ưu và nhược điểm của từng phương pháp, qua đó đề xuất
được phương pháp phát hiện bất thường ứng dụng cho hệ thống máy chủ tên miền DNS
quốc gia (.VN) để thử nghiệm trong chương 3.

14



Hình 3.2: Kết nối SAN thông qua 02 SAN switch
Hệ thống lưu trữ và thu thập số liệu này có thể được đồng bộ ra nhiều điểm đảm
bảo độ an toàn cao của hệ thống và góp phần giảm tải dịch vụ tại nhiều điểm khác nhau
như hình 3.14. Có thể tiến hành đồng bộ dữ liệu từ trung tâm tại Hà Nội và hệ thống tại
thành phố Hồ Chí Minh qua kết nối Internet.

Hình 3.3: SAN có dự phòng
Sử dụng các công nghệ: Mirror, Snapshot, Replicate tạo ra các bản sao lưu dữ
liệu để phục vụ các mục đích: Backup, report, dataware house, data mining, R&D… mà
không làm ảnh hưởng đến dữ liệu chính.
16 Hình 3.4: Nhân bản dữ liệu phục vụ phân tích, báo cáo
3.1.3. Phần mềm hệ thống
Nền tảng máy chủ, hệ điều hành này được sử dụng là các máy chủ UNIX. Các
máy chủ Unix rất phù hợp cho các ứng dụng lớn, hiện nay để triển khai ứng dụng trên
Unix người ta thường sử dụng Java [4]. Java đã được VNNIC áp dụng từ năm 2001 và
hoạt động rất tốt. Do đó tác giả lựa chọn Java làm nền tảng để phát triển các ứng dụng
trong hệ thống này.
Hệ thống bao gồm nhiều thành phần, được phân chia thành nhiều lớp, về cơ bản
tác giả thiết kế hệ thống này theo mô hình 03 lớp:
- Lớp CSDL (database server).
- Lớp ứng dụng (Application).
- Lớp giao tiếp người dùng (Web).
3.1.3.1. Phần mềm cơ sở dữ liệu
Công nghệ lưu trữ của tập đoàn cơ sở dữ liệu hàng đầu Oracle [10] được đánh
giá là công nghệ cơ sở dữ liệu quan hệ tốt nhất hiện nay về tính an toàn và bảo mật. Các
phiên bản về quản trị cơ sở dữ liệu của Oracle được cập nhật liên tục và ngày càng hoàn

định (decision support systems – DSSs) trước đây.
Các bước chính của quá trình khám phá tri thức như sau:

Hình 3.15: Quy trình khai thác dữ liệu
 Trích chọn dữ liệu (data selection).
 Tiền xử lý dữ liệu (data preprocessing).
 Biến đổi dữ liệu (data transformation).
 Khai thác dữ liệu (data mining).
18

 Đánh giá và biểu diễn tri thức (knowledge representation & evaluation).
Các dạng thức dữ liệu có thể khai thác dữ liệu
Khai thác dữ liệu có khả năng chấp nhận một số kiểu dữ liệu khác nhau điển
hình như sau:
 Cơ sở dữ liệu quan hệ (relational databases.
 Cơ sở dữ liệu đa chiều (multidimention structures, data warehouses, data mart ).
 Cơ sở dữ liệu giao tác (transactonal databases).
 Cơ sở dữ liệu quan hệ – hướng đối tượng (object relational databases).
 Dữ liệu không gian và thời gian (spatial, temporal, and time-series data).
 Cơ sở dữ liệu đa phương tiện (Multimedia database).
Hướng tiếp cận và kỹ thuật chính trong khai thác dữ liệu
Một số hướng tiếp cận chính của khai thác dữ liệu được phân chia theo chức
năng hay lớp các bài toán khác nhau như sau:
 Phân lớp và dự đoán (classification & prediction).
 Luật kết hợp (association rules).
 Khai thác mẫu tuần tự (sequential/temporal patterns).
 Phân cụm (clustering/segmentation).
3.1.4.2. Phương pháp phân tích dữ liệu
Như đã phân tích ở trên, quá trình khai phá dữ liệu là một quá trình rất phức tạp,
đòi hỏi phải đầu tư rất nhiều thời gian, nhân lực, vật lực thì mới có thể giải quyết được.

ải thích

1 Thời gian Thời điểm xảy ra truy vấn
2 Địa chỉ IP nguồn Địa chỉ phát sinh truy vấn
3 Địa chỉ đích Địa chỉ được truy vấn đến
4 Bản ghi truy vấn Loại bản ghi được truy vấn
5 Tên máy chủ DNS Máy chủ DNS nhận truy vấn
Bằng cách tổ hợp các thông tin trên, tác giả có thể thống kê được những số liệu
liên quan đến hiệu năng của từng máy chủ DNS trong hệ thống, xác định được lượng
truy vấn trong nước, nước ngoài đến các tên miền .VN là bao nhiêu.…
3.2.1.2. Các tiêu chí phân tích số liệu
Dưới đây tác giả phân tích và đưa ra các tiêu chí phân tích dữ liệu cơ bản nhất.
Dựa trên các tiêu chí này, kết hợp với các yếu tố khác như thời gian, cơ sở dữ liệu tên
miền .VN, cơ sở dữ liệu tài nguyên địa chỉ IP, cơ sở dữ liệu số hiệu mạng (AS) do
VNNIC quản lý tác giả sẽ có được nhiều con số thống kê dưới nhiều góc độ khác nhau.
- Cơ sở dữ liệu tên miền cho tác giả biết chủ thể sở hữu của tên miền, các
subdomain mà tên miền đang triển khai.
- Cơ sở dữ liệu IP cho tác giả biết chủ sở hữu của địa chỉ IP đó.
- Cơ sở dữ liệu số hiệu mạng (AS) cho tác giả biết IP đó thuộc AS (nhà cung cấp
dịch vụ nào).
3.2.1.3. Các thông tin phân tích dữ liệu DNS
a. Phân bổ lượng truy vấn từ các máy chủ
Trong dữ liệu nhận được từ truy vấn DNS, ta luôn xác định được dữ liệu truy
vấn này được thực hiện ở máy chủ DNS nào. Như vậy ta sẽ xác định được trong thời
gian cụ thể tình hình chịu tải truy vấn của từng máy chủ DNS.
b. Truy vấn đến các tên miền DNS quốc gia (.VN) và tên miền quốc tế
Thông qua nhật ký truy vấn DNS, tác giả xác định được các số liệu liên quan đến
lượng truy nhập từ các IP trong nước (hoặc nước ngoài) đến tên miền nào đó (.VN)
hoặc tên miền quốc tế. Các số liệu này có thể được thống kê như sau.
- Tổng số truy vấn đến tên miền theo đơn vị thời gian.

tiêu thức cần phân bổ, có nhiều chỉ tiêu giải thích nên tách ra xây dựng một số
bảng thống kê).
- Các tiêu đề, tiêu mục trong bảng thống kê phải được ghi chính xác, đầy đủ, ngắn
gọn và dễ hiểu.
- Các chỉ tiêu giải thích trong bảng thống kê cần được sắp xếp theo thứ tự hợp lý,
phù hợp với mục đích nghiên cứu. Các chỉ tiêu có liên hệ với nhau nên sắp xếp
gần nhau.
- Các ô trong bảng thống kê dùng để ghi các con số thống kê. Nếu không có số liệu
để ghi vào một hoặc một số ô nào đó thì dùng các ký hiệu quy ước.
3.2.2.2. Thể hiện dưới dạng đồ thị
Đồ thị thống kê là các hình vẽ hoặc đường nét hình học dùng để miêu tả có tính
chất quy ước các tài liệu thống kê. Đồ thị thống kê có mấy đặc điểm sau:
- Đồ thị thống kê sử dụng con số kết hợp với hình vẽ, đường nét và màu sắc để
trình bày và phân tích các đặc trưng số lượng của hiện tượng. Vì vậy người xem
21

không mất nhiều thời gian đọc con số mà vẫn nhận thức được vấn đề chủ yếu một
cách dễ dang, nhanh chóng.
- Đồ thị thống kê trình bày một cách khái quát các đặc điểm chủ yêu về bản chất và
xu hướng phát triển của các hiện tượng.
Do các đặc điểm trên, đồ thị thống kê có tính phổ cập, được ứng dụng rộng rãi, có
sức hấp dẫn và sinh động, khả năng truyền tải thông tin đồ thị thống kê là rất cao.
3.2.3. Quy trình xử lý dữ liệu thu thập được
Việc xử lý dữ liệu được thực hiện theo quy trình sau:
- Thu thập lưu trữ vào file.
- Tiền xử lý file dữ liệu thu thập được: Quá trình này là cần thiết để loại bỏ thông
tin dư thừa, các thông tin có lỗi, sắp xếp thông tin theo tuần tự.… Sau tiền xử lý
khối lượng dữ liệu không cần thiết sẽ giảm đi, tăng tốc độ phân tích của quá trình
sau.
- Phân tích thông tin sau tiền xử lý, phân tích theo các tiêu chí cơ bản nhất. Lưu trữ

3.2.6.2. Sơ đồ tương tác (activity diagram)
Từ các trường hợp sử dụng, tương tác với hệ thống được xem xét ở mức cao như
phần trên, trong phần này ta sẽ đi chi tiết hơn vào các thành phần của hệ thống, sự phối
hợp giữa các thành phần cũng như công nghệ nào được áp dụng.
3.2.6.2.1 Cập nhật đối tượng trong hệ thống
Do đặc thù của hệ thống là các đối tượng mà nó tương tác là các dữ liệu log DNS
nên để thu thập và phân tích được dữ liệu, ta phải xác định các đối tượng nào xuất hiện
trong các dữ liệu ấy và tính chất của chúng ra sao (ngoài tính chất thời gian). Sau khi
xác định các đối tượng trong hệ thống (các đối tượng đã được trình bày trong các phần
trên) thì cần phải có quá trình nạp cũng như bổ sung các thông tin về các đối tượng này
vào hệ thống. Mục đích của việc nạp và bổ sung thông tin về các đối tượng là để hệ
thống nhận biết, phân loại các đối tượng này theo thời gian và dữ liệu thu thập được.
3.2.6.2.2 Đăng nhập hệ thống và thiết lập các tham số khác
3.2.6.2.3 Quản lý luồng công việc trong hệ thống
Việc phân tích một khối lượng lớn dữ liệu log DNS chiếm dụng nhiều tài nguyên
và thời gian của hệ thống. Yêu cầu đặt ra là phải phân tích được những dữ liệu này
trong khoảng thời gian cho phép và khối lượng tài nguyên hệ thống mà nó chiếm dụng
không quá lớn. Trong hệ thống này, sau khi thử nghiệm, tác giả quyết định sử dụng
công nghệ Quartz kết hợp với công nghệ OSCache để giải quyết bài toán trên. Công
nghệ Quartz cho phép hệ thống phân chia công việc phân tích thành nhiều công việc
con tương ứng với từng mục đích đồng thời cho phép hệ thống quản lý việc thực hiện
những công việc này theo thời gian (kích hoạt công việc, quản lý số lượng tiến trình,
tạm ngưng hay hủy bỏ công việc…). Công nghệ OSCache được áp dụng nhằm chia sẻ
tài nguyên của hệ thống cho các tiến trình thực hiện công việc. Các tiến trình này sẽ
chia sẻ dữ liệu chung trên OSCache và OSCache sẽ quản lý việc đồng bộ giữa các tiến
trình, hạn chế việc các tiến trình rơi vào trạng thái deadlock hay thắt cổ chai khi sử
dụng tài nguyên chung.
3.2.7. Triển khai hệ thống
Việc triển khai gồm các bước sau:
 Cài đặt mới hệ thống web, application server, database server.

(phút)
1 25/098/2011 DNS 65 15 0
2 26/09/2011 DNS 56 12 0
3 27/09/2011 DNS 38 8 0
Bảng kết quả trên cho thấy, các file dữ liệu log DNS thực tế không tốn nhiều
thời gian để thực hiện tiền xử lý.
3.2.8.2. Hệ thống phân tích số liệu
So với hệ thống thu thập dữ liệu, hệ thống phân tích dữ liệu được tự động hóa
hoàn toàn. Việc tự động hóa từ khâu chọn lựa các file dữ liệu đầu vào cho đến khâu lưu
trữ các dữ liệu phân tích được làm cho công việc phân tích dữ liệu được thuận lợi,
nhanh chóng.
- Đã tiến hành phân tích được các số liệu log DNS
- Các công nghệ mới áp dụng được tích hợp tốt.
Bảng 3.4: Số liệu về thời gian phân tích file dữ liệu
TT Thời gian Loại dữ
liệu
Tổng
số file
dữ liệu
Tổng thời
gian phân
tích
(phút)
Thời gian
phân tích
trung bình
(phút/file)
Thời gian
sinh dữ liệu


- Cải tiến giải thuật và bổ sung các tính năng cho hệ thống phân tích dữ liệu log.
- Hệ thống lại các báo cáo thống kê, kiết xuất báo cáo thuận tiện hơn.
- Phát triển các hệ thống giám sát trực tuyến, cảnh báo tức thời khi có sự biến
động đột biến, cảnh báo khi có tấn công.
- Sử dụng các số liệu thống kê trong đề tài này vào công tác quản lý mạng, dịch
vụ cũng như quản lý nhà nước về Internet.
Kết luận chương
Trong Chương 3, tác giả đã xây dựng được mô hình, lựa chọn được phương
pháp thiết kế, thu thập, phân tích dữ liệu, triển khai ứng dụng cho một số máy chủ DNS
và đánh giá khả năng ứng dụng phương pháp phát hiện bất thường lựa chọn cho hệ
thống máy chủ tên miền DNS quốc gia (.VN).

25

KẾT LUẬN VÀ KIẾN NGHỊ

Luận văn đã nghiên cứu được 2 phương pháp phát hiện bất thường cho hoạt
động của hệ thống máy chủ tên miền miền, phân tích lựa chọn phương án phù hợp để
thử nghiệm cho hệ thống máy chủ tên miền DNS quốc gia (.VN).
Kết quả luận văn đã xây dựng được mô hình thử nghiệm, tiến hành thử nghiệm
và đánh giá kết quả ứng dụng cho hệ thống máy chủ tên miền DNS quốc gia (.VN).
Hệ thống được thiết kế và phát triển sử dụng công nghệ mới trong việc phát triển
ứng dụng đồng thời tương thích với nền tảng công nghệ trước đó của VNNIC, thiết kế
theo module nên việc mở rộng sau này rất thuận tiện.
Kết quả luận văn về cơ bản đã giải quyết được yêu cầu đặt ra đó là nghiên cứu
được phương pháp phát hiện bất thường có khả năng ứng dụng cho hệ thống máy chủ
tên miền DNS quốc gia (.VN). Tác giả đã xây dựng được mô hình, phương pháp và tiến
hành thử nghiệm đánh giá kết quả, kết quả thu được cho thấy hệ thống hoàn toàn có khả
năng phát hiện bất thường, phát hiện sớm các sự cố, các vấn đề, các hiện tượng bất
thường có khả năng xảy ra đối với hệ thống máy chủ DNS quốc gia (.VN). Các kết quả