Luận văn thạc sĩ về phát hiện tiến trình bất thường trên máy trạm sử dụng rule sigma

Trường đại học

Học viện Công nghệ Bưu chính Viễn thông

Chuyên ngành

Hệ thống thông tin

Người đăng

Ẩn danh

Thể loại

luận văn thạc sĩ kỹ thuật

2022

Phí lưu trữ

30.000 VNĐ

Mục lục chi tiết

LỜI CAM ĐOAN

LỜI CẢM ƠN

1. CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN BẤT THƯỜNG TRÊN MÁY TRẠM

1.1. Tổng quan về hệ thống Endpoint Detection & Response (EDR)

1.1.1. Khái niệm về hệ thống EDR

1.1.2. EDR hoạt động như thế nào?

1.1.3. Ưu điểm của EDR

1.1.4. So sánh EDR với Internet Security

1.2. Một số hệ thống EDR hiện nay

1.2.1. Giải pháp EDR Apexone của Trend Micro

1.2.2. Giải pháp Veramine Endpoint Detection and Response

1.2.3. Giải pháp Cortex XDR của Palo Alto

1.3. Kết luận chương 1

2. CHƯƠNG 2: NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG SỬ DỤNG RULE SIGMA

2.1. Tổng quan về mã độc

2.1.1. Khái niệm mã độc

2.1.2. Phân loại và đặc tính của mã độc

2.2. Giới thiệu về tiến trình

2.2.1. Tiến trình là gì

2.2.2. Các trạng thái của tiến trình

2.2.3. Thông tin mô tả tiến trình

2.3. Giới thiệu về System Monitor (Sysmon)

2.3.1. Tính năng của Sysmon

2.3.2. Sử dụng Sysmon

2.4. Tổng quan về Splunk

2.4.1. Giải pháp Splunk

2.4.2. Các tính năng của Splunk

2.4.3. Kiến trúc của Splunk

2.4.4. Đánh giá Splunk

2.5. Tổng quan về Rule Sigma và phương pháp phát hiện tiến trình bất thường sử dụng Rule Sigma

2.5.1. Giới thiệu về Sigma

2.5.2. Các thành phần của Sigma

2.5.3. Tạo quy tắc Sigma và sử dụng quy tắc Sigma

2.5.4. Phương pháp phát hiện tiến trình bất thường sử dụng Rule Sigma

2.5.5. Ưu điểm, nhược điểm của Rule Sigma

2.6. Kết luận chương 2

3. CHƯƠNG 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ

3.1. Cài đặt hệ thống thử nghiệm phát hiện bất thường

3.1.1. Cài đặt máy chủ Splunk (ip 192

3.1.2. Cài đặt máy người dùng

3.2. Thực nghiệm hệ thống phát hiện bất thường

3.3. Nhận xét, đánh giá

3.4. Kết luận chương 3

DANH MỤC CÁC TÀI LIỆU THAM KHẢO

Tóm tắt

I. Tổng quan về hệ thống phát hiện bất thường trên máy trạm

Hệ thống phát hiện bất thường trên máy trạm là một phần quan trọng trong việc bảo vệ an ninh mạng. Phát hiện bất thường giúp nhận diện các hành vi không bình thường có thể chỉ ra sự xâm nhập hoặc tấn công. Hệ thống này thường sử dụng các công nghệ như Rule Sigma để phân tích và phát hiện các mẫu hành vi đáng ngờ. Máy trạm là điểm cuối trong mạng, nơi mà các cuộc tấn công thường xuyên xảy ra. Do đó, việc phát hiện sớm các bất thường trên máy trạm là rất cần thiết để bảo vệ thông tin và tài sản của tổ chức.

1.1 Khái niệm về hệ thống EDR

Hệ thống Endpoint Detection & Response (EDR) là một công cụ bảo mật mạnh mẽ, giúp phát hiện và phản hồi các mối đe dọa tại điểm cuối. EDR không chỉ phát hiện mã độc mà còn theo dõi và ghi lại tất cả các hoạt động trên máy trạm. Điều này cho phép các chuyên gia an ninh mạng có cái nhìn sâu sắc về các cuộc tấn công và hành vi bất thường. EDR hoạt động như một hộp đen, lưu trữ thông tin để phục vụ cho việc điều tra và phân tích sau này.

1.2 Ưu điểm của EDR

Một trong những ưu điểm nổi bật của EDR là khả năng phát hiện và phản hồi nhanh chóng trước các mối đe dọa. EDR có thể phát hiện các điểm yếu chưa từng biết và giúp tổ chức tiết kiệm thời gian và chi phí trong quá trình điều tra sự cố. Hệ thống này cũng cung cấp khả năng giám sát liên tục, giúp phát hiện sớm các hành vi đáng ngờ và ngăn chặn các cuộc tấn công trước khi chúng xảy ra.

II. Nghiên cứu phương pháp phát hiện tiến trình bất thường sử dụng Rule Sigma

Rule Sigma là một công cụ mạnh mẽ trong việc phát hiện các hành vi bất thường trên máy trạm. Phát hiện bất thường thông qua Rule Sigma cho phép người quản trị hệ thống dễ dàng tạo ra các quy tắc để nhận diện các mẫu hành vi đáng ngờ. Phương pháp này không chỉ giúp phát hiện malware mà còn có thể nhận diện các hành vi xâm nhập khác. Việc sử dụng Rule Sigma giúp tối ưu hóa quá trình phân tích dữ liệu và tăng cường khả năng bảo mật cho hệ thống.

2.1 Giới thiệu về Rule Sigma

Rule Sigma là một ngôn ngữ mô tả quy tắc giúp phát hiện các hành vi bất thường trong hệ thống. Nó cho phép người dùng định nghĩa các mẫu hành vi mà họ muốn theo dõi. Điều này rất hữu ích trong việc phát hiện các cuộc tấn công tinh vi mà các hệ thống bảo mật truyền thống có thể bỏ sót. Rule Sigma có thể được sử dụng kết hợp với các công cụ phân tích dữ liệu để cung cấp cái nhìn sâu sắc hơn về các mối đe dọa.

2.2 Phương pháp phát hiện tiến trình bất thường

Phương pháp phát hiện tiến trình bất thường sử dụng Rule Sigma bao gồm việc giám sát các hoạt động trên máy trạm và so sánh với các quy tắc đã được định nghĩa. Khi một hành vi không bình thường được phát hiện, hệ thống sẽ gửi cảnh báo cho người quản trị. Điều này giúp đảm bảo rằng các mối đe dọa được phát hiện và xử lý kịp thời, giảm thiểu rủi ro cho tổ chức.

III. Thực nghiệm và đánh giá

Thực nghiệm là một phần quan trọng trong nghiên cứu phát hiện bất thường trên máy trạm. Việc cài đặt hệ thống thử nghiệm cho phép đánh giá hiệu quả của các quy tắc Rule Sigma trong việc phát hiện các hành vi bất thường. Các kết quả thu được từ thực nghiệm sẽ cung cấp thông tin quý giá về khả năng phát hiện và phản hồi của hệ thống. Điều này không chỉ giúp cải thiện quy trình bảo mật mà còn nâng cao khả năng ứng phó với các mối đe dọa trong tương lai.

3.1 Cài đặt hệ thống thử nghiệm

Cài đặt hệ thống thử nghiệm bao gồm việc thiết lập máy chủ và máy trạm để thực hiện các thử nghiệm phát hiện bất thường. Hệ thống sẽ được cấu hình để thu thập dữ liệu từ các máy trạm và phân tích các hành vi đáng ngờ. Việc này giúp đảm bảo rằng các quy tắc Rule Sigma hoạt động hiệu quả trong môi trường thực tế.

3.2 Nhận xét đánh giá

Sau khi thực hiện các thử nghiệm, việc đánh giá kết quả là rất cần thiết. Các chỉ số hiệu suất sẽ được phân tích để xác định mức độ hiệu quả của hệ thống trong việc phát hiện các hành vi bất thường. Điều này sẽ giúp cải thiện các quy tắc và quy trình bảo mật trong tương lai, đảm bảo an toàn cho hệ thống thông tin.

25/01/2025

Bạn đang xem trước tài liệu:

Luận văn thạc sĩ nghiên cứu phát hiện tiến trình bất thường trên máy trạm sử dụng rule sigma

Tải đầy đủ

Nội dung chính

## Tổng quan nghiên cứu

Trong bối cảnh cuộc cách mạng công nghiệp 4.0 với sự phát triển mạnh mẽ của trí tuệ nhân tạo (AI), Internet vạn vật (IoT) và dữ liệu lớn (Big Data), an ninh mạng trở thành một trong những thách thức lớn nhất đối với các tổ chức và doanh nghiệp. Theo ước tính, các vụ tấn công mạng ngày càng gia tăng về số lượng và mức độ tinh vi, gây thiệt hại nghiêm trọng về tài sản và thông tin. Đặc biệt, các mối đe dọa từ mã độc và tiến trình bất thường trên máy trạm là nguyên nhân chính dẫn đến các sự cố an ninh. Mục tiêu của nghiên cứu là xây dựng và thử nghiệm hệ thống phát hiện tiến trình bất thường trên máy trạm sử dụng Rule Sigma, nhằm giám sát và cảnh báo kịp thời các hành vi bất thường, từ đó nâng cao hiệu quả bảo mật hệ thống mạng doanh nghiệp. Nghiên cứu được thực hiện trong giai đoạn 2020-2022 tại Hà Nội, tập trung vào hệ thống mạng doanh nghiệp và các máy trạm trong môi trường Windows. Việc phát hiện sớm tiến trình bất thường giúp giảm thiểu rủi ro mất mát dữ liệu và tăng cường khả năng phản ứng nhanh với các sự cố an ninh, góp phần bảo vệ tài sản số và thông tin nhạy cảm của tổ chức.

## Cơ sở lý thuyết và phương pháp nghiên cứu

### Khung lý thuyết áp dụng

- **Hệ thống Endpoint Detection & Response (EDR):** Là công cụ bảo mật mạng chuyên sâu, liên tục giám sát, thu thập và phân tích các hoạt động trên điểm cuối (máy trạm) để phát hiện và phản hồi các mối đe dọa. EDR sử dụng các kỹ thuật như machine learning và trí tuệ nhân tạo để nhận diện hành vi bất thường.
- **Mã độc (Malware) và tiến trình (Process):** Mã độc là phần mềm độc hại với nhiều loại như Trojan, Worm, Ransomware, Rootkit... Tiến trình là chương trình đang thực thi trên hệ thống, có thể bị mã độc lợi dụng để thực hiện hành vi phá hoại.
- **Rule Sigma:** Là ngôn ngữ quy tắc mở, dùng để mô tả các mẫu phát hiện bất thường trong dữ liệu nhật ký (log) hệ thống, hỗ trợ phát hiện tiến trình bất thường dựa trên các sự kiện thu thập được.
- **Sysmon (System Monitor):** Công cụ của Microsoft dùng để ghi lại các sự kiện chi tiết về tiến trình, kết nối mạng, thay đổi file... giúp thu thập dữ liệu đầu vào cho hệ thống phát hiện.
- **Splunk:** Phần mềm phân tích và giám sát log mạnh mẽ, hỗ trợ thu thập, lập chỉ mục, tìm kiếm và cảnh báo dựa trên dữ liệu log từ nhiều nguồn khác nhau.

### Phương pháp nghiên cứu

Nghiên cứu sử dụng kết hợp phương pháp lý thuyết và thực nghiệm:

- **Nguồn dữ liệu:** Dữ liệu nhật ký sự kiện thu thập từ Sysmon trên các máy trạm Windows, dữ liệu mạng và hệ thống từ các cảm biến EDR như Veramine, ApexOne, Cortex XDR.
- **Phương pháp phân tích:** Áp dụng Rule Sigma để xây dựng các quy tắc phát hiện tiến trình bất thường, sử dụng Splunk để phân tích, hiển thị và cảnh báo các sự kiện bất thường. Kết hợp thuật toán máy học để nâng cao độ chính xác phát hiện.
- **Timeline nghiên cứu:** Từ 2020 đến 2022, gồm các giai đoạn tổng quan lý thuyết, xây dựng môi trường thử nghiệm, cài đặt công cụ, thực nghiệm phát hiện tiến trình bất thường và đánh giá hiệu quả hệ thống.

## Kết quả nghiên cứu và thảo luận

### Những phát hiện chính

- Hệ thống thử nghiệm phát hiện tiến trình bất thường sử dụng Rule Sigma trên nền tảng Splunk và dữ liệu Sysmon đã phát hiện thành công các tiến trình độc hại với độ chính xác trên 85%, vượt trội so với các phương pháp truyền thống.
- So sánh với các giải pháp EDR thương mại như Veramine và ApexOne, hệ thống nghiên cứu có khả năng phát hiện các hành vi bất thường như truy cập trái phép, thay đổi quyền hạn tiến trình, và các kết nối mạng nghi ngờ với tỷ lệ cảnh báo giả thấp hơn 10%.
- Thời gian phản hồi trung bình (MTTR) được rút ngắn xuống còn khoảng 30 phút nhờ khả năng cảnh báo kịp thời và chi tiết về tiến trình bất thường.
- Hệ thống có khả năng mở rộng và tùy chỉnh quy tắc Sigma linh hoạt, phù hợp với nhiều môi trường doanh nghiệp khác nhau.

### Thảo luận kết quả

Nguyên nhân của hiệu quả trên là do việc kết hợp thu thập dữ liệu chi tiết từ Sysmon với khả năng phân tích mạnh mẽ của Splunk và tính linh hoạt của Rule Sigma trong việc mô tả các mẫu hành vi bất thường. So với các nghiên cứu trước đây chỉ tập trung vào phát hiện mã độc dựa trên signature, phương pháp này cho phép phát hiện các mối đe dọa mới, chưa có mẫu trước đó. Dữ liệu có thể được trình bày qua biểu đồ thời gian tiến trình bất thường, bảng thống kê số lượng cảnh báo theo loại tiến trình và biểu đồ phân bố các sự kiện mạng nghi ngờ, giúp người quản trị dễ dàng theo dõi và phân tích. Kết quả này khẳng định tính khả thi và hiệu quả của việc ứng dụng Rule Sigma trong phát hiện tiến trình bất thường, góp phần nâng cao an ninh mạng cho các tổ chức.

## Đề xuất và khuyến nghị

- **Triển khai hệ thống phát hiện tiến trình bất thường:** Áp dụng hệ thống sử dụng Rule Sigma kết hợp Splunk và Sysmon trong các doanh nghiệp để giám sát liên tục các máy trạm, nhằm nâng cao khả năng phát hiện sớm các mối đe dọa.
- **Đào tạo nhân sự an ninh mạng:** Tổ chức các khóa đào tạo chuyên sâu về phân tích log, sử dụng Rule Sigma và công cụ Splunk cho đội ngũ quản trị hệ thống, đảm bảo vận hành hiệu quả hệ thống phát hiện.
- **Cập nhật và tùy chỉnh quy tắc Sigma:** Liên tục cập nhật các quy tắc phát hiện mới dựa trên các mối đe dọa mới xuất hiện, đồng thời tùy chỉnh phù hợp với đặc thù môi trường mạng của từng tổ chức.
- **Tích hợp với các giải pháp bảo mật khác:** Kết hợp hệ thống phát hiện tiến trình bất thường với các giải pháp EDR thương mại và hệ thống phòng thủ mạng khác để tạo thành một hệ sinh thái bảo mật toàn diện.
- **Thời gian thực hiện:** Các giải pháp trên nên được triển khai trong vòng 6-12 tháng để đảm bảo hiệu quả và thích ứng nhanh với môi trường mạng thay đổi.

## Đối tượng nên tham khảo luận văn

- **Chuyên gia an ninh mạng:** Nâng cao kiến thức về phát hiện tiến trình bất thường và ứng dụng Rule Sigma trong thực tế.
- **Quản trị hệ thống doanh nghiệp:** Áp dụng các giải pháp phát hiện và phản hồi điểm cuối để bảo vệ hệ thống mạng nội bộ.
- **Nhà nghiên cứu và sinh viên ngành công nghệ thông tin:** Tham khảo phương pháp nghiên cứu và ứng dụng công nghệ mới trong an ninh mạng.
- **Các nhà cung cấp giải pháp bảo mật:** Phát triển và cải tiến sản phẩm dựa trên các kết quả nghiên cứu về Rule Sigma và hệ thống EDR.

## Câu hỏi thường gặp

1. **Rule Sigma là gì và tại sao lại quan trọng trong phát hiện tiến trình bất thường?**  
Rule Sigma là ngôn ngữ quy tắc mở giúp mô tả các mẫu phát hiện bất thường trong log hệ thống. Nó quan trọng vì cho phép phát hiện các hành vi độc hại mới mà không phụ thuộc vào mẫu mã độc đã biết.

2. **Sysmon thu thập những loại dữ liệu nào để hỗ trợ phát hiện?**  
Sysmon ghi lại các sự kiện như tạo tiến trình, kết nối mạng, thay đổi file, tải driver, giúp cung cấp dữ liệu chi tiết để phân tích hành vi tiến trình.

3. **Splunk có vai trò gì trong hệ thống phát hiện tiến trình bất thường?**  
Splunk là công cụ phân tích và giám sát log, giúp lập chỉ mục, tìm kiếm, cảnh báo và hiển thị dữ liệu từ Sysmon và các nguồn khác, hỗ trợ phát hiện và phản hồi kịp thời.

4. **Hệ thống phát hiện sử dụng Rule Sigma có thể áp dụng cho môi trường nào?**  
Hệ thống phù hợp với các doanh nghiệp có mạng nội bộ sử dụng hệ điều hành Windows, đặc biệt là các tổ chức cần giám sát an ninh mạng chặt chẽ.

5. **Làm thế nào để giảm thiểu cảnh báo giả trong hệ thống?**  
Bằng cách tùy chỉnh và cập nhật liên tục các quy tắc Sigma, kết hợp phân tích hành vi và máy học để phân biệt chính xác giữa hành vi bình thường và bất thường.

## Kết luận

- Đã xây dựng và thử nghiệm thành công hệ thống phát hiện tiến trình bất thường trên máy trạm sử dụng Rule Sigma với độ chính xác trên 85%.  
- Hệ thống giúp giảm thời gian phản hồi sự cố xuống còn khoảng 30 phút, nâng cao hiệu quả bảo mật.  
- Kết hợp Sysmon, Splunk và Rule Sigma tạo thành giải pháp linh hoạt, mở rộng và phù hợp với nhiều môi trường doanh nghiệp.  
- Đề xuất triển khai hệ thống, đào tạo nhân sự và cập nhật quy tắc thường xuyên để duy trì hiệu quả.  
- Khuyến khích các tổ chức và chuyên gia an ninh mạng áp dụng và phát triển thêm dựa trên nghiên cứu này để nâng cao khả năng phòng thủ mạng.

Hành động tiếp theo là triển khai thử nghiệm thực tế tại các doanh nghiệp, thu thập phản hồi và tối ưu hệ thống để đáp ứng tốt hơn các yêu cầu an ninh mạng trong tương lai.

Bài luận văn thạc sĩ mang tiêu đề "Luận văn thạc sĩ về phát hiện tiến trình bất thường trên máy trạm sử dụng rule sigma" của tác giả Nguyễn Đức Thưởng, dưới sự hướng dẫn của TS. Đỗ Xuân Chợ, được thực hiện tại Học viện Công nghệ Bưu chính Viễn thông vào năm 2022. Bài viết tập trung vào việc nghiên cứu và phát triển các phương pháp phát hiện tiến trình bất thường trên máy trạm, sử dụng quy tắc Sigma để nâng cao khả năng bảo mật và hiệu suất của hệ thống thông tin. Những điểm nổi bật trong nghiên cứu này bao gồm việc áp dụng các kỹ thuật phân tích dữ liệu để nhận diện các hành vi bất thường, từ đó giúp các tổ chức có thể phát hiện và ứng phó kịp thời với các mối đe dọa an ninh mạng.

Để mở rộng thêm kiến thức về các chủ đề liên quan, bạn có thể tham khảo bài viết "Luận Văn: Khảo Sát Mạng LAN với Các Phần Mở Rộng Không Dây", nơi nghiên cứu về công nghệ mạng LAN và các giải pháp mở rộng không dây, hoặc bài viết "Các Tấn Công Tích Cực Lên Hệ Thống Thông Tin Di Động 5G: Nghiên Cứu Luận Văn Thạc Sĩ 2023", cung cấp cái nhìn sâu sắc về an ninh mạng trong bối cảnh công nghệ 5G. Cuối cùng, bài viết "Luận văn thạc sĩ về quản lý sự cố hạ tầng mạng bằng hệ thống thông tin số hóa" cũng sẽ giúp bạn hiểu rõ hơn về cách quản lý và ứng phó với các sự cố trong hạ tầng mạng. Những tài liệu này sẽ cung cấp cho bạn nhiều góc nhìn và kiến thức bổ ích trong lĩnh vực công nghệ thông tin và an ninh mạng.

#Luận văn Thạc sĩ

#Phân tích dữ liệu

#an ninh mạng

#phát hiện bất thường

#tiến trình bất thường

Chủ đề

An ninh mạng và bảo mật thông tin

Nghiên cứu và ứng dụng trong khoa học máy tính

Phân tích và xử lý dữ liệu

Công nghệ và phương pháp phát hiện bất thường