Trung tâm ứng cứu khẩn cấp Máy tính Việt Nam
(VNCERT)
Báo cáo tổng kết đề tài:

Nghiên cứu xây dựng hệ thống theo dõi, giám sát
an toàn mạng theo mô hình quản lý tập trung
để bảo vệ mạng Internet Việt Nam

Cnđt: Vũ Quốc Khánh

8818

Hà nội - 2011

I.4. Thiết kế kiến trúc tổng thế 90
2

I.4.1. Kiến trúc hệ thống 90
I.4.2. Lƣợc đồ dữ liệu tổng thể 91
I.5. Hoàn thiện thiết kế tổng thể 94
1.5.1. Nội dung thực hiện 94
1.5.2. Nhận xét chung 94
I.5.3. Yêu cầu chỉnh sửa, hoàn thiện cho sản phẩm đã đƣợc các nhánh thực
hiện 96
CHƢƠNG II. PHÁT TRIỂN HỆ THỐNG CƠ SỞ DỮ LIỆU TÍCH HỢP
GIÁM SÁT AN TOÀN MẠNG (NSIDB) 98
II.1. Nghiên cứu, phân tích nguồn dữ liệu đầu vào, chọn lựa công nghệ
CSDL tích hợp NSIDB. 98
II.1.1. Nghiên cứu, phân tích các nguồn cung cấp thông tin ATM đƣa vào hệ
thống CSDL tích hợp NSIDB 98
II.1.2. Xác định định dạng các loại dữ liệu đầu vào cho hệ thống CSDL tích
hợp NSIDB 105
II.1.3. Phân tích và lựa chọn công nghệ phù hợp áp dụng cho hệ thống CSDL
tích hợp NSIDB, có khả năng mở rộng để kết nối tới các nguồn dữ liệu tƣơng
thích của nƣớc ngoài về thông tin ATM 111
II.2. Nghiên cứu, thiết kế hệ thống CSDL tích hợp NSIDB 118
II.2.1. Nghiên cứu, thiết kế phƣơng thức trao đổi thông tin giữa CSDL với
các thành phần khác của hệ thống 118
II.2.2. Thiết kế CSDL sao lƣu dự phòng và khôi phục dữ liệu khi có sự cố
xảy ra 124
II.2.3. Thiết kế giải pháp bảo mật CSDL tích hợp giám sát an toàn mạng. 125
II.2.4. Thiết kế tổng thể hệ thống CSDL tích hợp giám sát an toàn mạng -
NSIDB 130
II.3.1. Thiết kế chi tiết phân hệ CSDL lƣu trữ thông tin về sự cố an toàn mạng 136

ISGP 153
III.2.2. Thiết kế tổng thể hệ thống tiếp nhận thông tin an toàn mạng 160
III.2.3. Nghiên cứu, thiết kế và xây dựng phân hệ hỗ trợ xử lý thông báo sự
cố an toàn mạng - SAMS 161
4

III.2.4. Nghiên cứu, thiết kế và xây dựng phân hệ tiếp nhận thông tin an toàn
mạng tự động NSIAR 165
III.2.5. Kết quả đã đạt đƣợc của nhánh 3 170
III.3. Kết luận 171
CHƢƠNG IV. PHÁT TRIỂN HỆ PHẦN MỀM TÁC NGHIỆP XỬ LÝ
THEO DÕI – THỐNG KÊ – CẢNH BÁO VÀ ĐIỀU KHIỂN (SIPS) 172
IV.1. Nghiên cứu, phân tích một số hệ thống xử lý thông tin theo dõi -
thống kê - cảnh báo thông tin an toàn mạng trên thế giới. 172
IV.1.1. Internet Storm Center (ISC) 172
IV.1.2. Honeypots 173
IV.1.3. Honeynet 174
IV.1.4. Symantec Security Response 174
IV.2. Nghiên cứu xác định chi tiết các tiêu chí thông tin cần phải theo dõi
và thống kê về tình hình an toàn mạng Internet tại Việt Nam 175
IV.2.1. Các nguồn thông tin cần để thu thập, theo dõi và thống kê 175
IV.2.2. Phân tích các thông tin cần theo dõi và thống kê 176
IV.2.3. Các tiêu chí thông tin cần phải theo dõi và thống kê về tình hình an
toàn mạng Internet tại Việt Nam 177
IV.3. Nghiên cứu, phân tích các cấp độ cảnh báo, các hình thức cảnh báo
và các yêu cầu về biểu mẫu thông tin cảnh báo về tình hình an toàn mạng
Việt Nam. 178
IV.3.1. Tìm hiểu về hệ thống cấp độ cảnh báo và định nghĩa các mức cảnh
báo trên Internet Việt Nam 178
IV.3.2. Hình thức cảnh báo 179

IV.10.1. Phân tích chức năng của các thành phần trong giao diện hỗ trợ giám
sát an toàn mạng 190
IV.10.2. Xây dựng giao diện theo từng chức năng 190
IV.11. Lập trình, thử nghiệm các mô đun chức năng theo dõi, mô đun chức
năng thống kê, mô đun chức năng cảnh báo của hệ thống SIPS. Phân tích,
đánh giá và so sánh với kết quả lý thuyết. 191
IV.11.1. Mô đun chức năng theo dõi 191
6

IV.11.2. Mô đun chức năng thống kê 192
IV.11.3. Mô đun chức năng cảnh báo 192
IV.12. Lập trình, thử nghiệm các mô đun chức năng quản lý các sensor
chuyên dụng, các mô đun quản trị chung. 193
IV.12.1. Mô đun quản lý sensor chuyên dụng 193
IV.12.2. Mô đun quản trị chung 193
IV.13. Lập trình, thử nghiệm các mô đun kết nối với CSDL NSIDB, mô
đun giao diện hỗ trợ giám sát tình hình ATM 24/24. 194
IV.13.1. Mô đun kết nối cơ sở dữ liệu NSIDB 194
IV.13.2. Mô đun giao diện hỗ trợ giám sát tình hình an toàn mạng 195
CHƢƠNG V. PHÁT TRIỂN SẢN PHẨM SENSOR CHUYÊN DÙNG
DO VIỆT NAM LÀM CHỦ VỀ CÔNG NGHỆ 196
V.1. Tổng quan 196
V.1.1. Thiết bị sensor đặc thù thu thập thông tin an toàn mạng: 196
V.1.2. Phần mềm thu thập thông tin an toàn mạng tại đầu cuối (trên hệ điều
hành Windows): 197
V.1.3. Nghiên cứu các vấn đề về lý thuyết các vấn đề: 197
V.1.4. Nghiên cứu thiết kế hệ thống thiết bị sensor: 198
V.1.5. Nghiên cứu, xây dựng các mô đun phần mềm cho sensor: 198
V.1.6. Nghiên cứu, xây dựng phần mềm theo dõi an toàn mạng tại các máy
đầu cuối: 198

VI.4. Kết luận 245
CHƢƠNG VII. THỬ NGHIỆM, ĐO KIỂM VÀ PHÂN TÍCH ĐÁNH
GIÁ HIỆU NĂNG CỦA HỆ THỐNG 247
VII.1. Tóm tắt nội dung đã thực hiện 247
VII.2. Mô tả thử nghiệm 248
VII.2.1. Phân tích, đánh giá kết quả thử nghiệm 248
VII.1.2. Phân tích, đánh giá hiệu năng của toàn bộ hệ thống, so sánh với kế
quả lý thuyết 259
VII.1.3. Kết luận 260
VII.3. Nghiên cứu rà soát để đƣa ra yêu cầu chỉnh sửa, hoàn thiện cho tất
cả các sản phẩm của các nhánh đề tài khác 260
8

VII.3.1. Báo cáo kết quả rà soát, đánh giá thử nghiệm 260
CHƢƠNG VIII. KẾT QUẢ TRIỂN KHAI HỆ THÔNG TRÊN MÔI
TRƢỜNG MẠNG THỰC TẾ 264
VIII.1. Sơ đồ hệ thống thực tế hiện nay 264
VIII.2. Đánh giá kết quả triển khai hệ thống giám sát an toàn mạng quốc
gia 265
VIII.3. Kết luận 267
TÀI LIỆU THAM KHẢO 268 9

DANH MỤC HÌNH VẼ
Hình I.1: Mô hình mạng lõi (Core) của nhà kết nối Internet 16
Hình I.2: Mô tả Kết nối Internet trung chuyển trong nƣớc 18
Hình I.3: Sơ đồ kết nối trung chuyển qua VNIX 18
Hình I.4: Kết nối từ Nhà cung cấp dịch vụ kết nối Internet đến khách hàng 20

Hình III.3: Lƣợc đồ quy trình xử lý thông báo sự cố 161
Hình III.4: Lƣợc đồ luồng dữ liệu của NSIAR 167
Hình IV.1: Quá trình làm việc hệ thống ISC. 173
Hình IV.2: Hệ thống tiếp nhận thông tin sự cố 176
Hình IV.3: Hệ thống cảnh báo 5 mức và hệ thống cảnh báo 4 mức 180
Hình IV.4: Hệ tập trung 181
Hình IV.5: Thống kê tỉ lệ các botnet phân loại theo các quốc gia 183
Hình IV.6: Tổng quan hệ thống gửi cảnh báo 186
Hình IV.7 : Giao diện quản lý toàn bộ các máy trinh sát 188
Hình IV.8 : Giao diện thống kê sự kiện, cảnh báo 191
Hình V.1: Các vị trí có thể đặt thiết bị sensor để thu thập thông tin vùng cấp 1 200
Hình V.2: Các vị trí có thể đặt thiết bị sensor để thu thập thông tin vùng cấp 2 201
Hình V.3: Các vị trí có thể đặt thiết bị sensor tại máy đầu cuối 201
Hình V.4: Mô hình kiến trúc hệ thích nghi phát hiện xâm nhập 202
Hình V.5: Cấu trúc bên trong một thiết bị sensor giám sát an toàn mạng 204
Hình V.6: Một Thiết bị Sensor mẫu 205
Hình V.7: Thiết bị Sensor mẫu 2 và mẫu 3 đang chạy thử nghiệm 205
Hình V.8: Các module phần mềm trong phiên bản hạt nhân Linux 206
Hình V.9: Các thông số và thƣ mục của phiên bản hạt nhân Linux 206
Hình V.10: Sơ đồ nguyên lý của phần mềm giám sát an toàn mạng 207
Hình V.11: Sơ đồ nguyên lý khối phần mềm giám sát phát hiện 208
Hình V.12: Sơ đồ nguyên lý khối phần mềm giám sát lƣu lƣợng 208
Hình V.13: Giao diện chính của phần mềm 210
11

Hình V.14: Giao diện thiết lập cấu hình phần mềm 211
Hình V.15: Giao diện thiết lập cấu hình các công cụ hỗ trợ giám sát 211
Hình V.16: Sơ đồ đặt thiết bị sensor để giám sát các máy đầu cuối sử dụng
kết nối mạng ADSL. 211
Hình V.17: Sơ đồ đặt thiết bị sensor để giám sát hệ thống máy chủ tại các nhà

DSLAM (Digital Subscriber Line Access Multiplexer) Thiết bị tập
trung (dồn) kênh thuê bao số.
FE Fast Ethernet
FW (Firewall) Tƣờng lửa
GAG Module GAG cung cấp thông tin từ Antivirus
GE Gigabit Ethernet
GIDS Tên riêng của Module GIDS cung cấp thông tin từ thiết bị
IDS
GFW Tên riêng của Module GFW cung cấp thông tin từ thiết bị
Firewall
HDSL (High bit-rate Digital Subscriber Line) Kênh thuê bao số tốc
độ cao (download 1.54Mbps, upload 1.54Mbps, khoảng cách
3650m).
HTTT Hệ thống thông tin
HIDS Hệ thống phát hiện xâm nhập trong nội bộ
IDS Hệ thống phát hiện xâm nhập trái phép
13

IDMEF (Intrusion Detection Message Exchange Format) Chuẩn trao
đổi thông điệp về phát hiện xâm nhập.
IDSL (Intergrated Service Digital Network DSL) Kênh thuê bao
sốdịch vụ tích hợp (tốc độ download 144Kbps, upload
144Kbps, khoảng cách 10700m).
IODEF (Incident Object Description and Exchange Format) Chuẩn
mô tả và trao đổi thông tin về sự cố.
IPS Hệ thống phòng ngừa xâm nhập trái phép
ISP (Internet Service Provider) Nhà cung cấp dịch vụ Internet.
IXP (Internet eXchange Provider) Nhà cung cấp kết nối Internet
Malware Phần mềm độc hại
MIME (Multipurpose Internet Mail Extensions) Chuẩn mở rộng thƣ

2,5Gbps).
Switch Thiết bị chuyển mạch
Syslog Chuẩn Syslog lƣu trữ và trao đổi file log.
TTATM Thông tin an toàn mạng
UML (Unified Modeling Language) Ngôn ngữ mô hình hóa thống
nhất
URL (Uniform Resource Locator) Tên tìm kiếm tài nguyên (mạng)
VDSL (Veryhigh bit-rate DSL) Kênh thuê bao số phi đối xứng tốc
độ rất cao (Download 52Mbps, upload 16Mbps, khoảng cách
1200m).
VNCERT Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam.
VNIX (Vietnam National Internet eXchange) Hệ thống chuyển
mạch kết nối trung chuyển quốc gia của Việt Nam.
XML (Extensible Markup Language) Ngôn ngữ đánh dấu mở rộng.

15

CHƢƠNG I. NGHIÊN CỨU THIẾT KẾ KIẾN TRÚC
TỔNG THỂ HỆ THỐNG, CHỌN LỌC CÁC CHUẨN
THÔNG TIN VÀ THIẾT BỊ
Sản phẩm phải đạt là các bản báo cáo kỹ thuật phân tích thực trạng và
đề xuất các yêu cầu tổng thể về thiết kế hệ thống thu thập và phân tích, tổng
hợp thông tin mô tả về sự cố mạng, thông tin về trạng thái luồng tin và đặc
điểm các gói tin đi qua nút mạng do các thiết bị sensor và một số thiết bị bảo
vệ mạng xử lý và ghi nhận. Chọn lọc mô hình chung, các chuẩn cơ bản và các
thiết bị phục vụ đưa ra thiết kế phù hợp với điều kiện Việt Nam, tiên tiến và
khả thi về công nghệ và tiết kiệm về chi phí, đảm bảo hệ thống có tính an toàn
cao đồng thời trao đổi thông tin thuận lợi với các tổ chức ứng cứu khẩn cấp
máy tính (CERT) của các quốc gia khác.
I.1. Nghiên cứu đề xuất mục tiêu, yêu cầu và cấu trúc chung của hệ
Hình I.1: Mô hình mạng lõi (Core) của nhà kết nối Internet
17

Các Gateway đƣợc nối với các Router chính trong mạng core đặt ở Hà
Nội, TP.HCM và Đà Nẵng bằng một hay nhiều kênh truyền STM-x tốc độ
truyền 155Mbps đến 2.5Gbps.
Các Router tạo thành mạng lõi (core network) thƣờng đƣợc nối với nhau
bằng đƣờng nhiều kênh STM-16 với lƣu lƣợng khoảng n lần 2.5Gbps
Từ mạng lõi (core) thƣờng nối tới các bộ định tuyến ngoại biên (Edge
Router) bằng các kênh truyền STM-x, hay các kênh Ethernet tốc độ cao
(GE/FE). Tùy từng nhu cầu và điều kiện thực tiễn, kênh truyền có thể đạt tốc
độ truyền đến vài Gbps.
Từ các bộ định tuyến ngoại biên (Edge Router) có thể kêt nối tới các
mạng trung chuyển nội địa, các nhà cung cấp dịch vụ Internet ISP (Internet
service provider) hay các khách hàng lớn (mạng riêng) bằng các kênh truyền
STM-x, hay các kênh Ethernet tốc độ cao Gigabit (GE) hay Fast Ethernet

kể cả khi xảy ra sự cố về mạng hay đƣờng dây.
Bản thân các doanh nghiệp cung cấp kết nối Internet cũng có thể kết nối
trực tiếp với nhau bằng các đƣờng nối giữa các router biên, với băng thông
thƣờng thƣờng khoảng từ 256Kbps đến 1Gbps.
Các ISP khác và các khách hàng cũng có thể kết nối trực tiếp với trung
tâm Internet Việt Nam VNIX.
Kết nối từ nhà cung cấp kết nối Internet đến khách hàng
Nhà cung cấp kết nối Internet (IXP) thông thƣờng cũng là một nhà cung
cấp dịch vụ Internet (ISP) lớn, ngoài ra IXP còn có khách hàng là các đại lý
lớn (ví dụ: bƣu điện tỉnh), các nhà cung cấp dịch vụ Internet (ISP) khác, các
cơ quan, tổ chức hay doanh nghiệp có mạng riêng lớn.
Sơ đồ nguyên lý ví dụ cho một mạng khách hàng của IXP đƣợc trình bày
trên hình vẽ sau
20
Hình I.4: Kết nối từ Nhà cung cấp dịch vụ kết nối Internet đến khách hàng
IXP kết nối với các khách hàng lớn thông qua các bộ định tuyến truy cập
(Accesss Router) và các bộ định tuyến biên (Edge Router). Thƣờng sử dụng
kênh cáp quang hoặc đƣờng lease-line, với các chuẩn đa dạng STM-x, GE,
FE, xDSL, nx64Kbps, dial-up.
Băng thông có thể thay đổi từ nhỏ đến vài Gbps.
Kết nối Internet của Bưu điện tỉnh
Sơ đồ nguyên lý kết nối khách hàng của một Bƣu điện địa phƣơng (tỉnh,
thành phố) hoặc một ISP lớn đƣợc trình bày trên hình vẽ 1.5.
21 Hình I.5: Sơ đồ kết nối khách hàng của một Bƣu điện địa phƣơng.

một ISP.
23

Các ISP có thể tạo thành các mức cung cấp dịch vụ nhiều cấp, có thể kết
nối trực tiếp với nhau để chuyển lƣu lƣợng thông tin trong nƣớc theo đƣờng
ngắn hơn và tạo thành các đƣờng kết nối Internet dự phòng.
Sơ đồ nguyên lý của mạng dịch vụ ISP cung cấp cho khách hàng đầu
cuối đƣợc trình bày trên hình vẽ 1.6.
ISP kết nối với các IXP (an Internet eXchange Provider: Các doanh
nghiệp cung cấp dịch vụ kết nối) bằng cáp quang với chuẩn STM-1, STM-4,
STM-16 tốc độ khoảng 155Mbps đến 2.5Gbps.
Từ các bộ định tuyến ngoại biên (Edge Router) có thể kết nối tới các
mạng trung chuyển nội địa, các nhà cung cấp dịch vụ Internet ISP (Internet
service provider) hay các khách hàng lớn (mạng riêng) bằng các kênh truyền
STM-x, hay các kênh Ethernet tốc độ cao (GE/FE), hoặc bằng các đƣờng
leased-line hay các kênh truyền xDSL với tốc độ truyền từ 64 Kbps đến 52
Mbps tùy từng loại cáp đƣợc sử dụng và khoảng cách từ thuê bao đến các
tổng đài.
Từ các ISP lại kết nối với các ISP khác bằng các đƣờng cáp quang (Fiber
optic), xDSL, STM với tốc độ truyền từ 144Mbps đến 2.5Gbps
24 Hình I.6: Sơ đồ kết nối từ ISP đến khách hàng.
Từ các ISP sẽ kết nối tới các khách hàng thông thƣờng thông qua các
điểm truy cập không dây, cáp ADSL, hoặc đƣờng quay số Dial-up với tốc độ
băng thông trong khoảng từ 56Kbps tới khoảng 8Mbps
Các ISP, các công ty dịch vụ, các tổ chức lớn, bƣu điện các tỉnh kết nối
với khách hàng bằng các đƣờng ADSL (Asymetric Digital Subscriber Line)
với tốc độ download 8 Mbps, upload 800 Kbps, các đƣờng Dial-up tốc độ