I. Tổng quan về hệ thống phân tích log
Hệ thống phân tích log là một công cụ quan trọng trong việc giám sát và bảo mật thông tin. Luận văn này tập trung vào việc xây dựng một hệ thống phân tích log để phát hiện các nguy cơ an toàn thông tin và các bất thường trong hệ thống. Log truy nhập được xem là nguồn dữ liệu chính, bao gồm các bản ghi từ hệ điều hành, máy chủ dịch vụ, và thiết bị mạng. Mục tiêu của hệ thống là cung cấp khả năng phát hiện xâm nhập và quản lý rủi ro hiệu quả.
1.1. Khái niệm log truy nhập
Log truy nhập là các bản ghi được tạo ra khi có yêu cầu truy cập tài nguyên hệ thống. Các nguồn sinh log bao gồm hệ điều hành, máy chủ dịch vụ, và thiết bị mạng. Ví dụ, web log ghi lại các yêu cầu truy cập trang web, trong khi DNS log ghi lại các yêu cầu phân giải tên miền. Việc phân tích log giúp phát hiện các nguy cơ an toàn thông tin và cải thiện hiệu suất hệ thống.
1.2. Các dạng log truy nhập
Có nhiều dạng log truy nhập khác nhau, bao gồm log từ hệ điều hành, máy chủ dịch vụ, và thiết bị mạng. Windows logs bao gồm log ứng dụng, bảo mật, và hệ thống. Linux/Unix logs sử dụng công cụ syslog để quản lý log từ các thành phần hệ thống. Các máy chủ web, DNS, và email cũng sinh ra lượng lớn log, được sử dụng để phân tích và giám sát.
II. Kỹ thuật và mô hình phân tích log
Luận văn đề xuất các kỹ thuật phân tích log như nhận dạng mẫu, phân tích tương quan, và xây dựng mô hình dựa trên OSSEC kết hợp ELK Stack. OSSEC là hệ thống phát hiện xâm nhập, trong khi ELK Stack cung cấp công cụ xử lý và phân tích log. Mô hình tích hợp này giúp phát hiện các nguy cơ an toàn thông tin và cung cấp báo cáo chi tiết.
2.1. Mô hình xử lý log
Mô hình xử lý log bao gồm các bước thu thập, tiền xử lý, và phân tích log. Thu thập log từ các nguồn khác nhau như hệ điều hành, máy chủ, và thiết bị mạng. Tiền xử lý log bao gồm chuẩn hóa và lọc dữ liệu để đảm bảo tính nhất quán. Phân tích log sử dụng các kỹ thuật như nhận dạng mẫu và phân tích tương quan để phát hiện các bất thường.
2.2. Kỹ thuật phân tích log
Các kỹ thuật phân tích log bao gồm nhận dạng mẫu, phân tích tương quan, và phân tích dữ liệu. Nhận dạng mẫu giúp phát hiện các hành vi bất thường trong log. Phân tích tương quan kết hợp dữ liệu từ nhiều nguồn để xác định các mối đe dọa. Phân tích dữ liệu sử dụng các công cụ như ELK Stack để trực quan hóa và báo cáo kết quả.
III. Triển khai và đánh giá hệ thống
Hệ thống được triển khai và thử nghiệm trong môi trường thực tế. Wazuh Manager, Wazuh API, và Filebeat được cài đặt để thu thập và xử lý log. ELK Stack được sử dụng để phân tích và trực quan hóa dữ liệu. Kết quả thử nghiệm cho thấy hệ thống có khả năng phát hiện các nguy cơ an toàn thông tin và cung cấp báo cáo chi tiết.
3.1. Môi trường thử nghiệm
Môi trường thử nghiệm bao gồm các máy chủ và thiết bị mạng được giám sát. Wazuh Manager và Wazuh API được cài đặt để quản lý log. Filebeat được sử dụng để thu thập log từ các máy được giám sát. ELK Stack được triển khai để phân tích và trực quan hóa dữ liệu log.
3.2. Kết quả thử nghiệm
Kết quả thử nghiệm cho thấy hệ thống có khả năng phát hiện các nguy cơ an toàn thông tin như xâm nhập và tấn công mạng. Wazuh OSSEC-ELK cung cấp giao diện quản lý và báo cáo chi tiết về các sự kiện an ninh. Hệ thống cũng giám sát tính toàn vẹn của file và tài nguyên hệ thống, đảm bảo an toàn thông tin hiệu quả.
