NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
MỤC LỤC
I.Thuật ngữ và từ viết tắt 3
II.Giới thiệu chung 5
II.1Mục tiêu của tài liệu 5
II.2Đối tượng sử dụng 5
III.Giao thức thu thập thông tin an toàn mạng - ISGP 5
III.1Mục tiêu giao thức thu thập thông tin ATM - ISGP 5
III.2Tham chiếu trên mô hình TCP/IP 5
III.3Bảo mật dữ liệu 6
III.4Lược đồ trao đổi thông tin 7
III.5Định dạng gói tin thông báo sự kiện 9
III.5.1Sự kiện chuẩn hóa 9
III.5.2Sự kiện MAC 10
III.5.3Sự kiện hệ điều hành 11
III.5.4Sự kiện dịch vụ (Service event) 12
IV.Phân tích yêu cầu hệ thống giám sát ATM 13
14
V.Kiến trúc hệ thống tiếp nhận thông tin ATM SIGS 15
V.1Thiết kế phân hệ thu thập TT ATM tự động – NSIAR 16
V.1.1Phân tích yêu cầu 16
V.1.2Thiết kế phân hệ phần mềm NSIAR 18
V.1.3Các yêu cầu khác đối với hệ thống NSAIR 27
V.2Thiết kế phân hệ hỗ trợ xử lý thông báo sự cố 28
V.2.1Tổng quan quy trình xử lý thông báo sự cố 28
V.2.2Phân tích yêu cầu phân hệ hỗ trợ xử lý thông báo sự cố 29
V.2.3Thiết kế phân hệ hỗ trợ xử lý thông báo sự cố 31
V.2.4Thiết kế cơ sở dữ liệu lưu trữ thông báo sự cố an toàn mạng 33
VI.Mô hình triển khai hệ thống theo dõi an toàn mạng 52
VII.Kiểm tra và kết quả thử nghiệm 53
VII.1Kiểm tra, thử nghiệm tiếp nhận thông tin an toàn mạng tự động 53

phép.
Intrution Prevented
System- IPS
Thiết bị / phần mềm ngăn ngừa xâm nhập / tấn công trái
phép.
SIGS Hệ thống thu thập thông tin an toàn mạng Internet.
NSAIR Phân hệ tiếp nhận thông tin ATM tự động
SAMS Phân hệ tiếp nhận và hỗ trợ xử lý thông báo sự cố
SIG Gate Cổng tiếp nhận thông tin an toàn mạng
SIPS Hệ phần mềm tác nghiệp xử lý thông tin theo dõi - thống
kê - cảnh báo và điều khiển
ISGP Giao thức thu thập thông tin an toàn mạng (Giao thức
được xây dựng riêng trên cơ sở TCP/IP để phục vụ trao
đổi thông tin an toàn mạng giữa SIGS và các thiết bị
sensor chuyên dụng).
Sensor Thiết bị cảm biến chuyên dụng để thu nhận hoặc phát hiện
tấn công mạng.
CSDL Cơ sở dữ liệu
ATM An toàn mạng
ATTT An toàn thông tin
TT ATM Thông tin an toàn mạng – bao gồm các thông tin có khả
năng phản ánh diễn biến, tình hình an toàn mạng. Thông
tin an toàn mạng có thể là thông tin về băng thông, số liệu
về các kết nối v.v….
IP Giao thức Internet
Event Sự kiện an toàn thông tin
Risk Rủi ro an toàn thông tin
3
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
Incident Sự cố an toàn thông tin

| TCP | | UDP | | |
5
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
+ + + + + +
| | |
+ + +
| Internet Protocol & ICMP |
+ + +
|
+ +
| Local Network Protocol |
+ +
Quan hệ giữa ISGP và một số giao thức cơ bản khác
III.3 Bảo mật dữ liệu
Giao thức ISGP được xây dựng phục vụ trao đổi thông tin giữa các thiết bị
sensor chuyên dụng (gọi tắt là Agent) và hệ thống tiếp nhận thông tin an toàn
mạng SIPS (Server). Giao thức được thiết kế đảm bảo hỗ trợ hai chế độ hoạt
động là có bảo mật và không bảo mật. Yêu cầu này xuất phát từ thực tế, bảo vệ
tính bí mật của thông tin trao đổi thông qua mạng là rất cần thiết, phương pháp
thông dụng nhất thường được sử dụng là mã hóa bằng các mô đun mã hóa và
giải mã sử dụng các thuật toán mã hóa công khai hoặc mã hóa đối xứng đặt tại
hai đầu kết nối. Tuy nhiên, giải pháp này chỉ phù hợp với các hệ thống có năng
lực tính toán mạnh so với lượng dữ liệu cần phải tiếp nhận do liên tục phải thực
hiện các phép tính để mã hóa và giải mã dữ liệu trong khi thực tế đối với hệ
thống giám sát an toàn mạng thì số lượng thông tin trao đổi giữa các agent và
server luôn luôn rất lớn và khó có hệ thống máy chủ nào có thể đáp ứng, đặc biệt
do kinh phí đầu tư trang thiết bị của đề tài nghiên cứu còn hạn chế nên khi số
lượng kết nối lớn chắc chắn sẽ xảy ra các hiện tượng quá tải tại thiết bị server
tiếp nhận. Do đó giao thức được thiết kết để có thể thực hiện trao đổi thông tin
bằng cả hai chế độ mã hóa hoặc không mã hóa. Đối với trường hợp giao thức

• ok là từ khóa xác định kết nối đã thành công
• ID là số thứ tự của plug nhận được trong lệnh kết nối
Bước 4. Thông báo lỗi - ERROR msg
- Mục đích: Server thông báo cho agent kết nối không thành công
- Định dạng gói tin
error id=”%d”\n
- Mô tả:
• Error là từ khóa của thông báo lỗi
• is là mã của sensor server đã nhận được từ trước
Bước 5. Điều khiển - CONTROL msg:
- Mục đích:
Cho phép Server gửi các lệnh điều khiển hoạt động của Agent, Agent ở
đây có thể là các sensor hoặc cũng có thể là các server khác.
Lệnh điều khiển này có 4 chức năng , bao gồm: Enable/Disable/Start/Stop
- Cấu trúc lệnh điều khiển:
Các thông báo lệnh điều khiển có cấu trúc như sau
8
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
• Command plugin_id=\”%d”\n
- Mô tả
Trong đó các thuật ngữ được hiểu như sau:
• Command là một trong bốn lệnh điều khiển sau:
◦ sensor-plugin-start
Khởi động tiến trình được gắn với plugin
◦ sensor-plugin-stop
Tắt tiến trình được gắn với plugin
◦ sensor-plugin-enable
Bật plugin
◦ sensor-plugin-disnable
Tắt plugin

• protocol: một trong các giao thức TCP, UDP hoặc ICMP
• src_ip: IP nguồn của event (do sensor nhận ra)
• src_port: cổng nguồn (do sensor nhận ra)
• dst_ip: IP đích của event (do sensor nhận ra)
• dst_port: cổng đích (do sensor nhận ra)
• log: nội dung log
• data: event payload (hoặc bất cứ nội dung gì)
• username: user phát sinh event (thường dùng trong HIDS event)
• password: password cho event
• filename: file dùng trong event (thường dùng trong HIDS event)
• userdata1: các trường do user định nghĩa trong file config. tối đa
9 trường với mỗi plugin. Có thể chứa nội dung bất kỳ, thường là
các nội dung trong log mà không nằm trong các trường còn lại.
III.5.2 Sự kiện MAC
Sự kiện MAC EVENT phát sinh khi có sự thay đổi địa chỉ MAC
- Định dạng gói tin sự kiện mác bao gồm
10
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
• host-mac-event host="183.127.115.4" interface="eth1"
mac="0:4:23:80:fb:ha" vendor="Intel Corporation" date="2006-
03-17 11:30:09" sensor="163.117.131.11" plugin_id="1512"
plugin_sid="1" log="ip address: 163.117.155.2 interface: eth1
ethernet address: 0:4:23:88:fb:8a ethernet vendor: Intel
Corporation timestamp: Friday, March 17, 2006 11:30:09
+0100"
- Mô tả:
• Host-mac-event : Từ khóa xác định gói tin loại MAC EVENT
• host: IP của máy phát sinh event
• mac: địa chỉ MAC (dạng hexa)
• vendor: nhà sản xuất

- Định dạng biểu diễn:
• host-service-event host="192.168.1.77" sensor="192.168.1.10"
interface="eth1" port="80" protocol="6" service="www"
application="CCO/4.0.3 (Unix) tomcat" date="2006-03-27
07:59:54" plugin_id="1516" plugin_sid="1"
log="blablablablabla"
- Mô tả:
• host: IP của máy phát sinh event
• sensor: địa chỉ IP của sensor phát sinh event
• interface: giao diện mạng
• port: Cổng được mở trong máy host
• protocol: một trong các giao thức TCP, UDP hoặc ICMP
• service: Tên loại dịch vụ ở cổng được nêu trong port (www,
http )
• application: Tên ứng dụng thực thi dịch vụ
• date: thời gian phát sinh event
• plugin_id: Thường là 1516
• plugin_sid: Do OSSIM server gán giá trị
• log: nhật ký
12
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
• Các trường được dành riêng:
• userdata1: Bản sao của trường application
• userdata2: Bản sao của trường service
IV. Phân tích yêu cầu hệ thống giám sát ATM
Thiết kế tổng thể hệ thống giám sát ATM bao gồm năm thành phần chính
sau đây:
- Hệ thống tiếp nhận thông tin an toàn mạng – SIGS:
Phân hệ thu thập thông tin an toàn mạng tự động SIGS bao gồm hai thành
phần chính đóng vai trò tiếp nhận hai loại thông báo sự cố với đặc tính

T
E
N
S
I
A
R

M
O
D
U
L
E
B
u
s
i
n
e
s
s

C
o
n
t
r
o
l

r
U
s
e
r
Các hệ thống
giám sát của
nước ngoài
CSDL
THÔNG
TIN
AN
TOÀN
MẠNG
P
M

T
T
T
T

A
N

T
O
À
N


NSIAR phải đáp ứng khả năng kết nối được tới trên 50 sensor với khả năng
tiếp nhận 100.000 sự kiện an toàn mạng mỗi ngày.
V.1.1.2 Môi trường phát triển
Hệ thồng được phát triển trên môi trường mã nguồn mở, cụ thể như sau:
16
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
- Hệ điều hành: Linux Kernel version 2.6.32
- Hệ quản trị cơ sở dữ liệu : MySQL Version 5.1.41
- Ngôn ngữ lập trình : C
- Nền tảng phát triển ứng dụng : Glib & GTK+
V.1.1.3 Dữ liệu đầu vào
Dữ liệu đầu vào của phân hệ NSIAT bao gồm:
- Yêu cầu thiết lập kênh kết nối từ sensor và phần mềm thu thập thông tin
an toàn mạng gửi tới NSIAR
- Sự kiện an toàn mạng từ sensor và phần mềm thu thập thông tin an toàn
mạng gửi tới NSIAR
- Các lệnh điều khiển từ SIPS gửi tới NSIAR,
V.1.1.4 Dữ liệu đầu ra
Dữ liệu đầu ra của hệ thống bao gồm:
- Các sự kiện an toàn mạng được lưu trữ vào cơ sở dữ liệu
- Các lệnh điều khiển gửi tới sensor.
V.1.1.5 Các tác nhân của hệ thống
Tác nhân liên quan đến phân hệ NSIAR bao gồm:
- Các sensor chuyên dụng: cung cấp sự kiện an toàn mạng phát hiện được
cho NSIAR.
- Các phần mềm thu thập thông tin an toàn mạng: Cung cấp các sự kiện an
toàn mạng thu thập từ các sản phẩm đảm bảo an toàn mạng thương mại
như IDS, Antivirus và Firewall.
- Một số thiết bị an toàn mạng khác: NSIAR có khả năng tiếp nhận trực tiếp
thông tin an toàn mạng từ một số loại thiết bị/ phần mềm an toàn mạng.

động ở chế độ background trên hệ điều hành Linux. Dữ liệu đầu vào và các lệnh
điều khiển được gửi tới NSIAR thông qua cổng TCP. Với cơ chế hoạt động như
trên, NSIAR hoạt động hoàn toàn độc lập với hệ thống SIPS giảm thiểu các tác
động bất lợi giữa các hệ thống.
18
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
V.1.2.2 Phân loại thông tin đầu vào
Nguồn cung cấp thông tin an toàn mạng được phân làm hai loại:
- Loại sensor chủ động gửi thông tin tới NSIAR – Detector, các sensor
detector sẽ chủ động gửi thông báo sự kiện an toàn mạng tới NSIAR khi
phát hiện ra vấn đề. Điển hình loại sensor này có thể kể đến như Snort,
Ntop, ISS Proventia v.v….
- Loại chỉ gửi thông tin khi có yêu cầu từ NSIAR – Monitor, các sensor loại
này sẽ không chủ động gửi các thông báo sự kiện an toàn mạng tới
NSIAR. Khi NSIAR cần có thông tin an toàn mạng từ các sensor này sẽ
gửi các lệnh yêu cầu cung cấp thông tin tới Sensor và sensor sẽ tiến hành
các hoạt động để thu thập thông tin an toàn mạng theo yêu cầu của
NSIAR sau đó gửi lại NSIAR. Điển hình loại Sensor Monitor có thể kể
đến như các sensor sử dụng phần mềm nmap, phần mềm nessus v.v…
Các sensor này sẽ thực hiện quét và kiểm tra một đối tượng nào đó theo
các lệnh được gửi từ NSIAR tới và sau đó thu thập và phân tích kết quả để
gửi thông báo tới NSIAR.
Với giai đoạn hiện nay, đề tài tập trung vào việc sử dụng các nguồn cung cấp
thông tin loại Detector. Tuy nhiên thiết kế hệ thống hoàn toàn có thể đáp ứng
khả năng triển khai việc thu thập thông tin an toàn mạng từ các sensor loại
Monitor.
Sự kiện an toàn mạng được chia làm bốn loại cơ bản sau:
- Sự kiện an toàn mạng được chuẩn hóa: Sự kiện này do các phần mềm
thu thập thông tin an toàn mạng cung cấp, dữ liệu sau khi được truyền từ
các thiết bị an toàn mạng thương mại tới phần mềm thu thập thông tin an

20
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
nối
userdata2 varchar(255) Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata3 varchar(255) Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata4 varchar(255) Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata5 varchar(255) Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata6 text Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata7 text Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata8 text Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
userdata9 text Yes Trường dữ liệu dự phòng, sử
dụng để mở rộng khả năng kết
nối
- Sự kiện OS: Sự kiện liên quan đến sự thay đổi bất bình thường của hệ
điều hành, thông thường do các sản phẩm như Pof (Operationg System
21

NSIAR, trong đó bao gồm hai chức năng chính là truy xuất và cập nhật /
lưu trữ dữ liệu vào CSDL.
- Module điều khiển hoạt động – NSAIR-C Module
Tiếp nhận các lệnh điều khiển từ các phân hệ khác, kiểm tra và tạo các
lệnh điều khiển nội bộ cần thiết tới các module khác trong nội bộ NSAIR-
C.
V.1.2.5 Lược đồ luồng dữ liệu
Luồng xử lý thông tin của NSIAR bao gồm bốn bước chính:
- Tiếp nhận và lọc các thông tin do các sensor và phần mềm an toàn mạng
thương mại theo các chuẩn cung cấp khác nhau mà hệ thống hỗ trợ. Chức
năng này do mô đun SIR thực hiện
23
NSAIR-R
1. Tiếp nhận
NSAIR-A
2. Phân tích
Gói tin ATM
NSAIR-C
4. Điều khiển
NSAIR-DI
3.1 Lưu trữ
CƠ
SỞ
DỮ
LIỆ
U
Nguồn
thông tin
Lệnh điều
khiển

- Cơ sở dữ liệu là cơ sở dữ liệu lưu trữ thông tin chung của toàn bộ hệ
thống SIGS.
V.1.2.5.1Module tiếp nhận thông tin – NSAIR-R Module
Module tiếp nhận thông tin ATM có tên viết tắt là NSAIR-R module có chức
năng tạo cổng chờ, tiếp nhận và cập nhật tình hình hoạt động của các nguồn
cung cấp thông tin an toàn mạng cho phân hệ NSAIR.
NSAIR-R Module bao gồm các trường hợp sử dụng chính sau đây:
- Khởi động dịch vụ tiếp nhận thông tin ATM
- Khởi động lại dịch vụ tiếp nhận thông tin ATM
- Đóng cổng tiếp nhận
- Xác thực kênh kết nối
- Tạo kênh trao đổi thông tin
- Đóng kênh trao đổi thông tin
V.1.2.5.2Module phân tích thông tin – NSAIR-A Module
Module NSAIR-A có chức năng phân tích các thông tin thu nhận được để
trích ra các thông tin về an toàn mạng theo các định dạng chuẩn đã được quy
định theo các lược đồ trong cơ sở dữ liệu. Với mỗi định dạng truyền tin khác
nhau, thì hệ thống NSAIR-A sẽ có một lược đồ phân tích tương ứng phù hợp,
với cơ chế quản lý linh động này thì khi định dạng truyền tinh với sensor
hoặc các phần mềm thu thập thông tin ATM được nâng cấp, thay đổi thì
NSAIR-A không phải thay đổi nhiều mà chỉ cần bổ sung lược đồ phân tích
thông tin mới, tương tự như vậy NSAIR-A cũng có thể phân tích cả các gói
24
NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN
tin do các phần mềm / thiết bị ATM thương mại khác được trực tiếp gửi đến
SIGS hoặc NSAIR-C nếu có được lược đồ định dạng thông tin truyền.
NSAIR-A bao gồm các trường hợp sử dụng cơ bản sau đây:
- Cập nhật lược đồ phân tích thông tin
- Phân tích thông tin.
V.1.2.5.3Module tương tác cơ sở dữ liệu – NSAIR-DI Module