1

BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAM
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

LÊ QUANG HƯNG NGHIÊN C
ỨU XÂY DỰNG MÔ H
ÌNH KI
ẾN TRÚC HỆ THỐNG

GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH CẤP TỈNH
CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH
MÃ SỐ : 60.48.15
TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS.TSKH. HOÀNG ĐĂNG HẢI


yếu là: Dịch vụ web, truyền file, thư điện tử. các dịch vụ trên
nền cơ sở dữ liệu Oracle, SQL, Các chương trình ứng dụng…
Cấp 2 : Là hệ thống các mạng LAN của các cá nhân,
doanh nghiệp có quy mô nhỏ.
Cấp 3 : Là các máy trạm người dùng đầu cuối.
1.1.2 Đánh giá hiện trạng đảm bảo an toàn mạng máy tính
cấp tỉnh.
Mạng máy tính cấp tỉnh được phân loại như trên với nhiều
đơn vị, nhiều tổ chức có tính chất trên một hệ thống địa lý rộng
lớn cấp tỉnh, các thành phần trong hệ thống rất đa dạng. Sau khi
khảo sát, tìm hiểu tình hình an toàn và bảo mật hệ thống mạng
máy tính cấp tỉnh tại các đơn vị, tổ chức, doanh nghiệp trong
tỉnh Quảng Trị, em thấy rằng có một số điểm yếu: Về cơ chế,
chính sách; thiết kế mạng chưa hợp lý; Cấu hình thiết bị mạng
không chặt chẽ….
1.2 Nhu cầu và mục tiêu của hệ thống giám sát an toàn
mạng cấp tỉnh.
Qua những khảo sát và phân tích hiện trạng nêu trên, việc
quản lý an toàn thông tin trên địa bàn tỉnh còn gặp nhiều khó
khăn. Để có thể theo dõi các hoạt động trên mạng truyền thông
cấp tỉnh một cách toàn diện, một nhu cầu thực tế là cần có một
hệ thống theo dõi, giám sát và hỗ trợ cảnh báo về nguy cơ các
4

tấn công. Đây đang là một vấn đề cấp bách đặt ra đối với mạng
truyền thông của tỉnh.
1.3 Trọng tâm nghiên cứu và định hướng nghiên cứu.
Trọng tâm nghiên cứu của luận văn là nghiên cứu tìm hiểu
các phương pháp thu thập thông tin an toàn mạng diện rộng, từ

thống giám sát an toàn mạng máy tính cấp tỉnh, bài sẽ chỉ
nghiên cứu một số phương thức tấn công điển hình.
Để có được những phân tích, đánh giá, đưa ra giải pháp hệ
thống giám sát an toàn mạng máy tính cấp tỉnh, luận văn sẽ tập
trung nghiên cứu các phương pháp tấn công của tin tặc qua việc
nghiên cứu các cơ chế của phương pháp tấn công từ chối dịch
vụ(DoS) và dịch vụ phân tán(DDoS) đang phổ biến ngày nay.
2.2 Tấn công vật lý (Physical Attacks).
Tấn công loại này có thể chia làm 2 loại điển hình là:
Đánh cắp trực tiếp và Nghe trộm mạng.
2.3 Tấn công qua lừa đảo (Social Enginering).

6

2.4 Tấn công vào các lổ hổng bảo mật (Security Hole).
Hai lỗ hổng bảo mật tiêu biểu (do tính phổ biến và mức độ
nguy hiểm) điển hình là: Lỗi Unicode IIS và lỗi tràn bộ đệm.
2.5 Tấn công vào các lỗi cấu hình hoạt động (Error
Configuration).
Lỗ hổng do các ứng dụng của máy chủ có các thiết lập
mặc định lúc sản xuất (chạy ở chế độ mặc định) hoặc do người
quản trị hệ thống định cấu hình không an toàn, cấu hình sai.
Một vài lỗi cấu hình tiêu biểu hay bị tấn công như sau:
Lỗi cài điều khiển từ xa (Remote Access Control) qua IIS.
Không cần Đăng nhập (No Log-in).
Mật khẩu mặc định (Password-Based Attacks).
2.6 Tấn công dựa vào các điểm yếu của ứng dụng/hệ thống
(Vulnerabilities).
SQL Injection.
XSS (Cross Site Scripting), Session Hijacking.

2.8 Tấn công từ chối dịch vụ phân tán (DDoS).
Có hai kiểu chính của mạng DDoS, đó là mô hình Agent
8

– Handler và mô hình Internet Relay Chat (IRC-Based)
2.9 Kết luận.
Như đã phân tích ở phần trên, các phương thức tấn công
của tin tặc hết sức đa dạng và phong phú. Việc nghiên cứu tìm
hiểu các phương thức tấn công của tin tặc thiết để nghiên cứu
xem xét các khả năng theo dõi, giám sát, thu thập thông tin an
toàn mạng và xây dựng mô hình kiến trúc hệ thống theo dõi,
giám sát an toàn mạng cấp tỉnh như sẽ trình bày trong các phần
tiếp theo của bài.
CHƯƠNG III
CÁC PHƯƠNG PHÁP THU THẬP VÀ XỬ LÝ
THÔNG TIN AN TOÀN MẠNG DIỆN RỘNG
3.1 Những phương pháp cơ bản cho theo dõi, giám sát
mạng.
3.1.1 Theo dõi, giám sát dựa trên dấu hiệu.
Phát hiện dựa trên dấu hiệu (signature-based detection)
hay còn gọi phát hiện sử dụng sai. Phương pháp này phân biệt
giữa các hoạt động thông thường của người dùng và hoạt động
bất thường để tìm ra được các tấn công nguy hiểm kịp thời.
Các dấu hiệu được chia thành hai loại:
• Các dấu hiệu tấn công – chúng miêu tả các mẫu hoạt
động có thể gây ra mối đe dọa về bảo mật. Điển hình, chúng
9

được thể hiện khi mối quan hệ phụ thuộc thời gian giữa một
loạt các hoạt động có thể kết hợp lại với các hoạt động trung

3.1.2 Theo dõi, giám sát dựa trên các hành vi bất thường.
Phát hiện dựa trên sự bất thường hay mô tả sơ lược phân
tích những hoạt động của mạng máy tính và lưu lượng mạng
nhằm tìm kiếm sự bất thường . Khi tìm thấy sự bất thường, một
tín hiệu cảnh báo sẽ được khởi phát. Sự bất thường là bất cứ sự
chệch hướng hay đi khỏi những thứ tự, dạng, nguyên tắc thông
thường. Chính vì dạng phát hiện này tìm kiếm những bất
thường nên nhà quản trị bảo mật phải định nghĩa đâu là những
hoạt động, lưu lượng bất thường.
 Những lợi ích, ưu điểm của phát hiện bất thường:
Ưu điểm của phương pháp phát hiện bất thường này là:
Có khả năng phát hiện các tấn công mới khi có sự xâm nhập.
Ưu điểm lớn nhất của phát hiện dựa trên profile hay sự bất
thường là nó không dựa trên một tập những dấu hiệu đã được
định dạng hay những đợt tấn công đã được biết . Profile có thể
11

là động và có thể sử dụng trí tuệ nhân tạo để xác định những
hoạt động bình thường. Bởi vì phát hiện dựa trên profile không
dựa trên những dấu hiệu đã biết, nó thực sự phù hợp cho việc
phát hiện những cuộc tấn công chưa hề được biết trước đây
miễn là nó chệch khỏi profile bình thường. Phát hiện dựa trên
profile được sử dụng để phát hiện những phương pháp tấn công
mới mà phát hiện bằng dấu hiệu không phát hiện được.
 Những hạn chế của phương pháp dựa trên sự bất
thường:
• Thời gian chuẩn bị ban đầu cao
• Thường xuyên cập nhật profile khi thói quen người
dùng thay đổi
• Khó khăn trong việc định nghĩa cách hành động thông

đặt trên toàn mạng. Những bộ dò này theo dõi trên mạng nhằm
tìm kiếm những lưu lượng trùng với những mô tả sơ lược được
định nghĩa hay là những dấu hiệu. Thu nhận và phân tích lưu
lượng trong thời gian thực, gửi tín hiệu cảnh báo đến trạm quản
13

trị và có thể được cấu hình nhằm tìm ra biện pháp ngăn chặn
những xâm nhập xa hơn.
3.3.2 Sử dụng phương pháp cài đặt phần mềm trên các máy
chủ, các máy trạm.
Bằng cách cài đặt một phần mềm trên tất cả các máy tính
chủ, và quan sát tất cả những hoạt động hệ thống, như các file
log và những lưu lượng mạng thu thập được.
3.4 Kết luận.
Chương 3 đã trình bày về các phương pháp cơ bản phục
vụ cho việc thu thập, xử lý phân tích thông tin an toàn mạng
trên địa bàn cấp tỉnh. Các phương pháp theo dõi, giám sát chủ
yếu dựa trên các dấu hiệu hoặc các hành vi bất thường.
Những phương pháp đã nêu trong chương này là cơ sở cho
đề xuất, xây dựng mô hình kiến trúc hệ thống theo dõi, giám sát
an toàn mạng cấp tỉnh như sẽ được trình bày trong chương tiếp
theo.
CHƯƠNG IV
ĐỀ XUẤT KIẾN TRÚC HỆ THỐNG THEO DÕI,
GIÁM SÁT AN TOÀN MẠNG MÁY TÍNH CẤP TỈNH
4.1 Các yêu cầu đối với hệ thống theo dõi, giám sát an
toàn mạng cấp tỉnh.

14


dấu hiệu tấn công và đưa ra cảnh báo. Việc nhận ra kẻ xâm
nhập là một trong những nhiệm vụ cơ bản. Cũng phục vụ cho
việc nghiên cứu có pháp lý các tình tiết và việc cài đặt các bản
vá thích hợp để cho phép phát hiện các tấn công trong tương lai
nhằm vào các cá nhân cụ thể hoặc tài nguyên hệ thống.
4.2.2 Kiến trúc chung của các hệ thống theo dõi, giám sát.
Hệ thống thu thập, giám sát mạng được xem là thành công
nếu chúng hội tụ được các yếu tố: Thực hiện nhanh, chính xác,
phân tích được toàn bộ thông lượng, cảm biến tối đa, đưa ra các
thông báo hợp lý để ngǎn chặn thành công. Tại Trung tâm giám
sát, hệ thống gồm 3 modul chính:

Thu th
ập thông tin mạng

Phân tích – lọc các thông tin
H
ỗ trợ cảnh báo, điều khiển cấu
Lưu trữ
dữ liệu 16

4.3 Thiết kế chi tiết hệ thống trung tâm theo dõi giám sát
an toàn mạng cấp tỉnh.
Với mô hình kiến trúc đưa ra, hệ thống thu thập giám sát

4.3.9 Bảng điều khiển (Control Panel).
Bảng điều khiển cho phép quan sát tình trạng bảo mật
mạng ở mức cao, bảng điều kiển theo dõi một loạt các bộ phận
chỉ nhằm đo trạng thái bảo mật của một tổ chức. Bảng điều
khiển cho phép định nghĩa các ngưỡng hay mục tiêu mà tổ chức
hướng tới. Các ngưỡng này có thể là giá trị tuyệt đối hay giá trị
tương đối như mức độ bất thường.
4.3.10 Phân hệ cơ sở dữ liệu.
Hệ thống giám sát an toàn mạng có hệ thống cơ sở dữ liệu
lưu trữ thông tin thu thập được riêng cho từng kênh, CSDL lưu
trữ thông tin đã qua xử lý tương quan, CSDL lưu trữ thông tin
cảnh báo. Hệ thống gồm 3 cơ sở dữ liệu:
EDB : Cơ sở dữ liệu sự kiện là cơ sở dữ liệu lớn nhất bởi
vì EDB lưu trữ tất cả các sự kiện cá nhân được xử lý bởi bộ dò.
18

KDB : Cơ sở dữ liệu tri thức trong đó ta tham số hóa hệ
thống phù hợp với mạng và các chính sách bảo mật.
UDB : Cơ sở dữ liệu tiểu sử chứa tất cả các thông tin được
thu thập bởi bộ theo dõi tiểu sử.
4.4 Mô tả hoạt động của hệ thống.


Theo d
õi r
ũi ro

S
ắp xếp
ưu tiên

T
ập trung hóa

Thu thập
Đưa theo
dõi

Đưa cảnh báo
Cảnh báo chính
xác

19

mở Snort. Những thành phần khác nhau của một sensor snort:
- Bộ phận giải mã gói: Chuẩn bị gói cho việc xử lý.
- Bộ phận tiền xử lý: Dùng để bình thường hóa tiêu đề
giao thức, phát hiện sự bất thường, tái hợp gói và tái hợp
luồng TCP.
- Bộ phận phát hiện: Áp dụng rule lên gói.
- Hệ thống ghi và cảnh báo: Sinh thông điệp cảnh báo và
ghi log file.

thống giám sát trung tâm thông qua phần mềm ACID bao gồm
các thông tin: Tên, số cảnh báo, các cổng nguồn và đích, v.v
Biết chi tiết về từng loại thông tin thu được. Đưa ra danh sách
của những cảnh báo hệ thống (theo mỗi rule bẫy được). Hiển
thị chi tiết các cảnh báo lấy từ cơ sở dữ liệu.
KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN TIẾP
 Những kết quả chính đã đạt được trong luận văn gồm có:
+ Thực hiện thử nghiệm một số loại tấn công DoS/DdoS
nhằm tìm hiểu cách thức trong một số công cụ tấn công DDoS.
21

Vận dụng những hiểu biết nghiên cứu được về DoS/DDoS để
viết luật cho Snort.
+ Đề xuất, thiết kế được kiến trúc hệ thống theo dõi giám
sát an toàn mạng máy tính cấp tỉnh dựa trên các kênh thu thập
thông tin sự cố qua các thiết bị ghi nhận (sensor) và các nguồn
thông báo. Cài đặt và cấu hình hệ thống giám sát an toàn mạng
mã nguồn mở Snort và các sản phẩm MySQL, ACID.
 Luận văn có thể được phát triển tiếp theo đó là tiếp tục
nghiên cứu và mở rộng thêm cơ sở dữ liệu các luật để tiếp tục
phát hiện ra được những thủ đoạn tấn công tinh vi hơn, phức
tạp hơn. Xây dựng giải pháp thu thập, kết hợp đưa ra các hướng
dẫn về các biện pháp xử lý sự cố, các biện pháp phòng thủ tích
cực cho mạng các doanh nghiệp lớn, các tập đoàn.
PHỤ LỤC
XÂY DỰNG TẬP LUẬT NÂNG CAO KHẢ NĂNG PHÁT
HIỆN CỦA SNORT ĐỐI VỚI CÁC TẤN CÔNG
DoS/DDoS
Trình bày xây dựng tập luật nâng cao khả năng phát hiện
của Snort đối với một số tấn công DoS/DdoS đang phổ biến