Chương 5. Quản trị mạng và các hệ thống quản trị
- 147 -
based polling. Với kỹ thuật này, khi một thiết bị hỏng, agent sẽ cố gắng gửi thông
báo (trap) về module quản trị, module này sẽ thực hiện truy vấn đến thiết bị đó để
xác định chi tiết của vấn đề. Đây là một hướng tiếp cận tốt nhằm giảm thiểu lưu
lượng thông tin quản lý.
+ Auto Discovery
Ý tưởng đằng sau khái niệm này là chúng ta chỉ cần cài đặt module quản trị
rồi ra lệnh cho nó, nó sẽ tự động gửi các truy vấn (và các agent) đến các thiết bị
trong mạng rồi tự động xây dựng một bản đồ hay một cơ sở dữ liệu về hệ thống dựa
trên các thông tin trả lời. Có nhiều cơ chế để thực hiện việc này, tuỳ thuộc vào các
protocol quản trị
, tuy nhiên đến nay chức năng trong các hệ quản trị chưa hoạt động
như ý muốn do tính phức tạp của hệ thống.
+ Device Configuration
Đây là một chức năng cần thiết để có thể cấu hình các thiết bị trong hệ thống
từ trình giao diện điều khiển, không cần phải đi đến tận nơi đặt thiết bị, điều này rất
quan trọng, hỗ trợ rất nhiều cho người quản trị với một mạng lớn, khoảng cách xa.
Vấn đề là phải có các agent và cơ chế cấ
u hình thích hợp cho từng thiết bị
+ Graphical Mapping
Các hệ thống quản trị mạng ngày nay cần phải có một hệ giao diện đồ hoạ
tốt. Nó giúp cho việc theo dõi hệ thống mạng dễ dàng hơn, nhất là trong các hệ

.
2
2
.
.
3
3
.
.H
H
ệ
ệt
t
h
h
ố
ố
n
n
g
gq

r
o
o
n
n
g
gt
t
h
h
ự
ự
c
ct
t
ế
ếCác hệ thống quản trị mạng luôn được xây dựng dựa trên các protocol quản trị
cụ thể. Hầu hết các hệ thống sử dụng các protocol mở, tuy nhiên vẫn có một số hệ
thống sử dụng protocol đặc biệt của nhà cung cấp. Các hệ thống quản trị mạng hiện
nay thường thiếu các chức năng cần thiết để quản lý hiệu quả một hệ thố
ng mạng,

.
.
3
3
.
.

H
H
ệ
ệt
t
h
h
ố
ố
n
n
g
gI
I

i
i
o
o
n
nS
S
y
y
s
s
t
t
e
e
m
m(
(
I
I
D
D
S
S

n
n
i
i
ệ
ệ
m
mIDS là một hệ thống phòng thủ, có nhiệm vụ phát hiện các hoạt động trái phép,
có khả năng gây nguy hiểm cho hệ thống mạng được bảo vệ và phát sinh các phản
ứng thích hợp.
5
5
.
.
3
3
.
.
2
2
.
.

C

c
ậ
ậ
n
nMột hệ thống IDS cần phải có khả năng phân biệt giữa các hoạt động bình
thường và bất bình thường của người dùng để phát hiện các nguy cơ tiềm ẩn. Có
một số hướng tiếp cận truyển thống để giải quyết vấn đề này là anomal detection và
signature detection.
1. Anomal detection
IDS dạng này xây dựng các tập dữ liệu về hoạt động bình thường của người
dùng và hệ thống, sau đó sử dụng các tập dữ liệu này để so sánh với các hoạt động
hiện tại nhằm phát hiện ra các hoạt động bất bình thường. Khi có một tập dữ liệu
các hoạt động bình thường thì tất cả các hành động trong mạng không có trong tập
dữ liệu này đều được xem là bấ
t bình thường.
Một trong những ưu điểm lớn nhất của hướng tiếp cận này là có thể phát hiện
các hành động phạm pháp mới chưa từng được biết đến, tuy nhiên nhược điểm của
nó là tỷ lệ phát hiện sai cũng lớn nếu tập dữ liệu không chứa đầy đủ các hoạt động
bình thường.
2. Signature detection
IDS dạng này sử dụng tập dữ liệu về hoạt động phạm pháp đã biết (ví dụ như
các mẫu tấn công, các chuỗi ký tự nguy hiểm,…) để phát hiện các hoạt động bất
bình thường.
Hướng tiếp cận này có độ chính xác cao, tỷ lệ phát hiện sai thấp, các thuật
toán xử lý đơn giản, dễ xây dựng các tập dữ liệu, tuy nhiên khuyết điểm lớn nhất là
có th
ể để “lọt” qua các hoạt động phạm pháp chưa được biết đến, phải liên tục cập

5
5
.
.
4
4
.
.

G
G
i
i
ớ
ớ
i
it
t
h
h
i
i
ệ
ệ

ụ
ụh
h
ỗ
ỗt
t
r
r
ợ
ợq
q
u
u
ả
ả
n
nt
t

.

E
E
t
t
h
h
e
e
r
r
e
e
a
a
l
lEthereal, là một phần mềm mã nguồn mở, bắt và phân tích packet theo các
protocol mạng, có tất cả các chức năng cần thiết của một chương trình phân tích
packet. Ethereal là phần mềm được sử dụng rộng rãi nhất bởi các chuyên gia mạng
trong việc phân tích, gỡ rối, phát triển các protocol mạng, xem xét các packet lưu
Chương 5. Quản trị mạng và các hệ thống quản trị
- 152 -
Ethereal hiện nay chỉ có thể bắt các packet lưu thông trong một segment mạng
(giữa các máy tính có cùng địa chỉ mạng con với máy tính chạy Ethereal), không
thể sử dụng phân tích, cung cấp thông tin trong các mạng lớn được.

Ghi chú:
Thông tin chi tiết về Ethereal, xin tham khảo tại Website :

và tài liệu hướng dẫn sử dụng Ethereal [25] .
5
5
.
.
4
4
.
.
2
2
.
.

www.snort.org
. Chương 6. Hệ thống quản trị Grid NetManager
- 153 -
C
C
h
h
ư
ư
ơ
ơ
n
n
g
g6

ả
n
nt
t
r
r
ị
ịG
G
r
r
i
i
d
dN
N
e
e
t
t
M

ớ
i
it
t
h
h
i
i
ệ
ệ
u
uý
ýt
t
ư
ư
ở
ở
n
n
g
Chương 6. Hệ thống quản trị Grid NetManager
- 154 -
6
6
.
.
2
2
.
.Y
Y
ê
ê
u
uc
c

a
am
m
ộ
ộ
t
th
h
ệ
ệt
t
h
h
ố
ố
n
n
g
g
dữ liệu phục vụ cho việc phân tích, xử lý và khai thác dữ liệu. Cho phép lọc các dữ
liệu cần thiết theo yêu cầu nhằm làm giảm kích thuớc lưu trữ.
+ Cho phép xử lý, lưu trữ, quản lý dữ liệu phân tán.
+ Cung cấp thông tin về nhiều khía cạnh khác nhau của hệ thố
ng mạng dựa
trên các câu truy vấn.
+ Tính toán, cung cấp các chỉ số thống kê về hệ thống mạng
+ Tự động tổng hợp các thông tin, vẽ sơ đồ thời gian thực các lưu thông trên
mạng, phát hiện các thay đổi trong đồ hình mạng.
+ Cho phép quản lý, điều khiển các thiết bị trong hệ thống mạng.
+ Thực hiện “khai thác dữ liệu”, tìm ra các luật theo yêu cầu người quản trị,
cho phép nhập, quản lý các đặ
c tả về luật và các phản ứng tương ứng để theo dõi,
giám sát toàn bộ hệ thống về nhiều lĩnh vực.
+ Dựa trên các luật được mô tả, thực hiện theo dõi toàn bộ hệ thống và phát
sinh phản ứng thích hợp khi một hiện tượng bất thường xảy ra. Chương 6. Hệ thống quản trị Grid NetManager
- 155 -
6
6
.
.

h
hp
p
h
h
ầ
ầ
n
nv
v
à
àh
h
o
o
ạ
ạ
t
t
n
n
g
g6
6
.
.
3
3
.
.
1
1
.
.

M
M
ô
ôh
h


Hình 6-1 Mô hình thành phần ứng dụng Grid NetManager. Chương 6. Hệ thống quản trị Grid NetManager
- 156 -
Giải thích
STT Tên Nhiệm vụ
1. Module Presentation Là giao diện đồ họa, có nhiệm vụ nhận các lệnh
từ nhà quản trị mạng, cấu hình và điều khiển các
module khác hoạt động, thu nhận, tổng hợp các
thông tin từ các module và kết xuất kết quả cho
nhà quản trị.
2. Module Sensor Bắt, lọc, lưu trữ các packet vào cơ sở dữ liệu.
3. Module
AnalyzerAndMiner
Thực hiện phân tích các dữ liệu từ cơ sở dữ liệu
để cung cấp thông tin cần thiết cho nhà quản trị;
khai thác dữ liệu, phát sinh các luật.
4. Module RuleManager Cung cấp các chức năng quản lý, lưu trữ, truy vấn
tập luật.
5. Module Monitoring Thực hiện lấy các luật và theo dõi, phân tính các
packet theo thời gian thực để phát hiện các hiện
tượng bất thường, từ đó dựa vào các đặc tả phản
Chương 6. Hệ thống quản trị Grid NetManager
- 157 -
nguyên. Các dữ liệu cũng được lưu trữ phân tán trong Grid. Việc cấu hình vị trí các
module, dữ liệu có thể thực hiện tự động hoặc bằng tay theo ý của nhà quản trị.
6
6
.
.
3
3
.
.
2
2
.
.

C
C
á
á
c
c
h
h
Một hệ thống mạng máy tính lớn thường được chia thành nhiều mạng con (các
vùng broadcast domain, trong phạm vi luận văn này được gọi là các LAN Segment).
Trên mỗi LAN Segment, có thể đặt một hay nhiều module Sensor trên các máy tính
khác nhau nhằm bắt các packet đang lưu thông trong LAN Segment theo các tiêu
chí khác nhau và lưu trữ các packet này xuống các cơ sở dữ liệu (PacketDatabases),
các cơ sở dữ liệu này có thể được lưu trữ cục bộ hay phân tán trên các máy tính
khác dựa trên khả năng lưu trữ hiện có, mỗ
i cơ sở dữ liệu chỉ chứa thông tin về các
packet lưu thông trong một LAN segment. Các tiêu chí để bắt các packet là các câu
mô tả về thông tin của các packet bao gồm (loại packet, các trường và các giá trị
tương ứng kết hợp với các phép toán so sánh >,<,=,…, các phép toán logic AND,
OR, NOT,…).
Các cơ sở dữ liệu được sử dụng bởi module AnalyzerAndMiner khi có yêu cầu
từ module Presentation. Các module AnalyzerAndMiner có thể chạy song song trên
nhiều máy tính khác nhau, phân tích dữ liệu trên các cơ sở dữ liệu theo yêu cầu
nhằm cung cấp thông tin đ
a dạng; khai thác dữ liệu, phát sinh các luật; và gửi trả kết
quả về cho module Presentation. Quá trình phân tích, khai thác dữ liệu có thể phát
sinh các dữ liệu trung gian, chúng có thể được lưu trữ phân tán trong các file dữ liệu
PreprocessingData. Các luật có thể là các quy luật, dấu hiệu tấn công, các hoạt động
của người dùng, các định mức hoạt động, các lỗi hệ thống,… Mỗi luật có các phản
ứng đi kèm như thông báo, ghi nhận, báo động, ngắt nguồn gây lỗi, ng
ăn chặn hoạt
động, cấu hình lại thiết bị mạng, … được quy định bởi nhà quản trị. Các luật được
lưu trữ dưới dạng các đặc tả, lưu trữ trong các cơ sở dữ liệu luật quản lý bởi module
RuleManager. Hệ thống có các module Monitoring cũng chạy song song trên nhiều
máy khác nhau, sử dụng các luật và các dữ liệu trong các cơ sở dữ liệu để phát hiện
ra các hoạt độ
P
P
h
h
â
â
n
nt
t
í
í
c
c
h
hv
v
à
àđ
đ

t
t
r
r
i
i
ể
ể
n
nứ
ứ
n
n
g
gd
d
ụ
ụ
n
n
g
g
thiệu ở chương trước. Cả hai phần mềm đều là phần mềm mã nguồn mở, nên có thể
kế thừa và sử dụng lại mã nguồn, giảm bớt chi phí xây dựng ứng dụng.
Tóm lại, định hướng phát triển ứng dụng là xây dựng ứng dụng trên nền tảng
công nghệ Grid Computing với bộ Globus Toolkit; các chức năng của ứng dụng,
các mã phân tích, xử lý của các module được kế thừa và phát tri
ển từ các chức năng,
mã xử lý của các phần mềm Ethereal, Snort.
6
6
.
.
5
5
.
.G
G
i
i
ớ
ớ
i
ih
h
ạ

h
i
i
ệ
ệ
n
nc
c
ủ
ủ
a
al
l
u
u
ậ
ậ
n
nv
v
ă

Chương 6. Hệ thống quản trị Grid NetManager
- 160 -
liệu cần xử lý ở đây tổng hợp từ nhiều LAN segment khác nhau thay vì chỉ trong
một LAN segment như trước đây.
4. Mô hình thành phần ứng dụng

Hình 6-2 Mô hình các thành phần của ứng dụng Grid NetManager thử nghiệm.

Ý nghĩa các thành phần giống như trong mô hình tổng quan. Module
PacketInfoProvider thực hiện tìm kiếm thông tin trong các PacketDatabase theo các
câu truy vấn và trả về các kết quả. Module này có nhiều thể hiện chạy song song
nhằm tăng tốc quá trình tìm kiếm thông tin. Chương 7. Phân tích, thiết kế và cài đặt thử nghiệm ứng dụng
- 161 -
C
C

t
t
í
í
c
c
h
h
,
,t
t
h
h
i
i
ế
ế
t
tk
k
ế
ế
n
n
g
g
h
h
i
i
ệ
ệ
m
mứ
ứ
n
n
g
gd
d
ụ
ụ
n
n
g
g

c
c
h
h7
7
.
.
1
1
.
.
1
1
.
.

N
N
g
g
ữ
ữHình 7-1 Ngữ cảnh hệ thống. Chương 7. Phân tích, thiết kế và cài đặt thử nghiệm ứng dụng
- 162 -
7
7
.
.
1
1
.
.
2
2
.
.

L

e7
7
.
.
1
1
.
.
2
2
.
.
1
1
.
.
M
M
ô
ô


2.
Configure Packet
Capturing
Cấu hình các module Sensor
3.
Capture
Thực hiện bắt packet theo cấu hình đã định trước.
4.
Query Packet
Information
Truy vấn thông tin về các packet trong các file dữ
liệu
5.
Ethereal Usecases
Các Usecase cung cấp bởi phần mềm Ethereal.
Bảng 7-2 Danh sách các usecase Chương 7. Phân tích, thiết kế và cài đặt thử nghiệm ứng dụng
- 163 -
7
7
.
.
C
C
a
a
s
s
e
e7
7
.
.
1
1
.
.
3
3
.
.
1
1
.
.
e
e“
“
S
S
e
e
a
a
r
r
c
c
h
hN
N
o
o
d
d
e
e
s
s

1
1
.
.
3
3
.
.
2
2
.
.

Đ
Đ
ặ
ặ
c
ct
t
ả
ả
g
g
u
u
r
r
e
eP
P
a
a
c
c
k
k
e
e
t
tC
C
a
a
p
p

Chương 7. Phân tích, thiết kế và cài đặt thử nghiệm ứng dụng
- 164 -
+ Dòng sự kiện chính
- Use case bắt đầu khi nhà quản trị chọn chức năng cấu hình bắt packet.
- Chương trình tự động lấy thông tin về các máy tính trong hệ thống Grid
đã được tìm ra trong use case “Search Grid node”.
- Đối với mỗi máy tính thực thi cần cấu hình nơi lưu trữ dữ liệu (packet),
capture filter trên từng máy. Yêu cầu các máy tính thực thi phải thuộc
LAN segment muốn bắt packet.
- Module Presentation lưu lại cấu hình vừa đượ
c chọn.
+ Các dòng sự kiện khác

Máy người dùng nhập máy tính sai
Nếu người dùng nhập vào một máy tính không nằm trong hệ thống
Grid thì thông báo với người dùng và usecase kết thúc
7.1.3.2.3. Post conditions
Nếu thông tin người dùng cấu hình hợp lệ thì hệ thống sẽ có các cấu hình
module Sensor mới.
7
7
.
.
1
1
.
.
3
3
.


c
c
a
a
s
s
e
e“
“
C
C
a
a
p
p
t
t
u
u
r
r
e
e
”
”


Capturing
7
7
.
.
1
1
.
.
3
3
.
.
4
4
.
.

Đ
Đ
ặ
ặ
c
ct

e
r
r
y
y
”
”7.1.3.4.1. Tóm tắt
Use case này có mục đích chuẩn bị dữ liệu packet phục vụ cho các use case
phân tích, tổng hợp dữ liệu của Ethereal. Use case này cho phép người dùng lấy
thông tin các packet trong các file dữ liệu theo các câu truy vấn.
Use case này cho phép người quản trị mạng nhập vào một chuỗi truy vấn
(theo định dạng display filter của Ethereal), hệ thống sẽ thực hiện truy vấn trên các
file dữ liệu phân tán, rồi chọn ra các packet thoả điều kiện, tổng hợp l
ại dưới dạng
các packet mà các chức năng của Ethereal có thể phân tích
được.
7.1.3.4.2. Dòng sự kiện
- Use case bắt đầu khi nhà quản trị nhập câu truy vấn.
- Hệ thống lấy câu truy vấn, tự động cấu hình và gửi các module
PacketInfoProvider đến các máy tính thích hợp và cho thực thi.
- Các module này dựa trên câu truy vấn, tìm các packet thỏa điều kiện
trong các file dữ liệu rồi trả về. Sau khi hoàn thành nhiệm vụ, các module
này tự động kết thúc.
- Module GridManager thực hiện tổng hợp các packet lấy được từ
các
module PacketInfoProvider, đưa lên cho module Presentation xuất ra màn
hình.

5
.
.

C
C
á
á
c
cU
U
s
s
e
ec
c
a
a
s
s
e

Đây là các use case sử dụng lại từ phần mềm Ethereal, với mục đích phân
tích và trình diễn thông tin cho người sử dụng. Vì không phát triển nên ở đây không
trình bày.

7.1.3.5.2. Điều kiện tiên quyết
Phải chạy use case Capture trước, trong bộ nhớ phải có dữ liệu để phân tích
. Chương 7. Phân tích, thiết kế và cài đặt thử nghiệm ứng dụng
- 167 -
7
7
.
.
1
1
.
.
4
4
.
.



s
s
ự
ựk
k
i
i
ệ
ệ
n
n7
7
.
.
1
1
.
.
4
4
.
.
1

e
a
a
r
r
c
c
h
hn
n
o
o
d
d
e
e
s
s
”
”7.1.4.1.1. Search nodes - basic sequence diagram
: NodesInfo
: Nha quan tri
: MainForm
: SearchNodesCtrl
Chương 7. Phân tích, thiết kế và cài đặt thử nghiệm ứng dụng
- 168 -
7.1.4.1.3. Search nodes - GIIS server not found sequence diagram
: Nha quan tri
: MainForm
: SearchNodesCtrl
: NodesInfo
: MessageBox
// Enter GIIS server name
// Search nodes information in GIIS server
// Call search nodes
// Search information
// GIIS server not found
// Show message box ("GIIS not server found")

7.1.4.1.4. Search nodes - GIIS server not found colaboration diagram
: Nha quan tri
: MainForm
: SearchNodesCtrl
: NodesInfo
: MessageBox
1: // Enter GIIS server name
2: // Search nodes information in GIIS server
3: // Call search nodes
4: // Search information
5: // GIIS server not found
6: // Show message box ("GIIS not server found")


U
U
s
s
e
ec
c
a
a
s
s
e
eC
C
o
o
n
n
f
f
i
i
g
g

u
u
r
r
i
i
n
n
g
g7.1.4.2.1. Add Configuration Capturing sequence diagram
: MainForm
: Nha quan tri
: ConfigureForm
: ConfigureCtrl
: ConfigureEntity
// Call ConfigureForm
// Show
// Enter configuration f or node
// Add a configuration node
// Verify add a configuration
// Add conf iguration