Luận văn: Khai phá log Firewall phát hiện tấn công DDoS trong mạng IPTV

Phát hiện tấn công DDoS trong hệ thống IPTV qua phân tích log Firewall. Tìm hiểu phương pháp khai phá log hiệu quả để bảo vệ dịch vụ IPTV.

Chuyên ngành

Công nghệ thông tin

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2013

59
2
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CẢM ƠN

LỜI CAM ĐOAN

DANH MỤC CÁC CHỮ VIẾT TẮT

DANH MỤC BẢNG BIỂU

DANH MỤC HÌNH VẼ

1. CHƯƠNG 1: SƠ BỘ VỀ LOGFILE MẠNG IPTV

1.1. GIỚI THIỆU VỀ MẠNG IPTV

1.1.1. Kiến trúc tổng quan mạng IPTV

1.1.2. Các dịch vụ của mạng IPTV

1.2. DỮ LIỆU LOGFILE MẠNG IPTV

1.2.1. Log ứng dụng

1.3. TẤN CÔNG TỪ CHỐI DỊCH VỤ

1.3.1. Giới thiệu về tấn công từ chối dịch vụ

1.3.2. Các loại tấn công từ chối dịch vụ

2. CHƯƠNG 2: PHƯƠNG PHÁP KHAI PHÁ DỮ LIỆU LOGFILE

2.1. TỔNG QUAN VỀ KHAI PHÁ DỮ LIỆU

2.1.1. Phát hiện tri thức

2.1.2. Khai phá dữ liệu

2.1.3. Ứng dụng của khai phá dữ liệu

2.2. SƠ BỘ VỀ KHAI PHÁ DỮ LIỆU LOGFILE IPTV

2.3. MỘT SỐ PHƯƠNG PHÁP KHAI PHÁ DỮ LIỆU LOGFILE ĐIỂN HÌNH

2.3.1. Sơ bộ về phân lớp dữ liệu

2.3.1.1. Khái niệm phân lớp dữ liệu
2.3.1.2. Ứng dụng của phân lớp dữ liệu
2.3.1.3. Các kỹ thuật phân lớp dữ liệu

2.3.2. Sơ bộ về phân cụm dữ liệu

2.3.2.1. Khái niệm phân cụm dữ liệu
2.3.2.2. Ứng dụng của phân cụm dữ liệu
2.3.2.3. Các kỹ thuật phân cụm dữ liệu

3. CHƯƠNG 3: MÔ HÌNH KHAI PHÁ DỮ LIỆU LOGFILE CỦA FIREWALL TRONG HỆ THỐNG MẠNG IPTV NHẰM PHÁT HIỆN TẤN CÔNG TỪ CHỐI DỊCH VỤ

3.1. MÔ TẢ BÀI TOÁN

3.1.1. Tên gọi bài toán

3.1.2. Phân tích bài toán

3.1.3. Xác định dữ liệu cần thiết

3.2. MÔ HÌNH GIẢI PHÁP

3.2.1. Xây dựng mô hình

3.2.2. Phân lớp bản ghi logfile theo địa chỉ và cổng dịch vụ máy đích

3.2.3. Phân cụm bản ghi logfile theo địa chỉ máy trạm

4. CHƯƠNG 4: THỰC NGHIỆM

4.1. QUY TRÌNH THỰC NGHIỆM

4.1.1. Môi trường thực nghiệm

4.1.2. Mô tả quy trình thực nghiệm

4.2. PHÂN TÍCH DỮ LIỆU LOGFILE FIREWALL ISA

4.3. PHẦN MỀM DoSAlert

4.3.1. Chức năng chính của phần mềm

4.3.2. Mô tả cơ sở dữ liệu

4.3.3. Giao diện phần mềm

4.4. KẾT QUẢ THỰC NGHIỆM VÀ ĐÁNH GIÁ

4.4.1. Kết quả thực nghiệm

4.4.2. Đánh giá kết quả thực nghiệm

TÀI LIỆU THAM KHẢO

MỞ ĐẦU

Phần kết luận

Tóm tắt

I. Tổng quan về DDoS IPTV và Khai phá Log Firewall

Trong bối cảnh dịch vụ IPTV security ngày càng phổ biến, việc đảm bảo an ninh mạng trở nên vô cùng quan trọng. Các cuộc tấn công DDoS vào IPTV có thể gây ra những hậu quả nghiêm trọng, làm gián đoạn dịch vụ, ảnh hưởng đến trải nghiệm người dùng và gây thiệt hại về kinh tế. Do đó, việc phát triển các phương pháp hiệu quả để phát hiện tấn công mạngphòng chống DDoS là một nhu cầu cấp thiết. Một trong những phương pháp tiềm năng là sử dụng khai phá log Firewall để phân tích lưu lượng mạng và xác định các mẫu bất thường. Dữ liệu log Firewall cung cấp một nguồn thông tin phong phú về các kết nối mạng, bao gồm địa chỉ IP nguồn và đích, cổng, giao thức và thời gian. Bằng cách áp dụng các kỹ thuật phân tích log Firewall, chúng ta có thể xác định các dấu hiệu của một cuộc tấn công DDoS IPTV, chẳng hạn như số lượng lớn các kết nối từ nhiều nguồn đến một đích duy nhất trong một khoảng thời gian ngắn. Khai phá log Firewall không chỉ giúp phát hiện tấn công DDoS vào IPTV mà còn hỗ trợ điều tra, xử lý các sự cố vận hành hệ thống, đánh giá hiệu suất hoạt động, và chưa tập trung nhiều vào việc phát hiện, cảnh báo các sự cố bảo mật. Theo Chỉ thị 897/CT của Thủ tướng Chính phủ, việc “áp dụng chính sách ghi lưu tập trung biên bản hoạt động (logfile) cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng” là vô cùng quan trọng.

1.1. Tầm quan trọng của An ninh mạng IPTV trước nguy cơ DDoS

Dịch vụ IPTV dựa trên việc truyền tải nội dung video qua mạng IP, điều này làm cho nó dễ bị tấn công DDoS hơn so với các phương thức truyền hình truyền thống. Một cuộc tấn công DDoS thành công có thể làm quá tải hệ thống, khiến người dùng không thể truy cập các kênh truyền hình hoặc dịch vụ theo yêu cầu. Do đó, việc đảm bảo an ninh mạng IPTV là rất quan trọng để bảo vệ trải nghiệm người dùng và duy trì tính liên tục của dịch vụ. Sử dụng các giải pháp Intrusion detection system (IDS)Intrusion prevention system (IPS) kết hợp với giám sát lưu lượng mạng liên tục là một giải pháp hữu hiệu. Các kỹ thuật như Traffic analysis sẽ giúp ích rất nhiều trong việc phát hiện sớm các dấu hiệu DDoS

1.2. Giới thiệu về vai trò của Log Firewall trong phát hiện bất thường

Log Firewall ghi lại mọi hoạt động mạng đi qua nó, cung cấp một nhật ký chi tiết về các kết nối, lưu lượng và các sự kiện bảo mật. Bằng cách phân tích các log Firewall này, các quản trị viên có thể xác định các mẫu bất thường có thể chỉ ra một cuộc tấn công DDoS. Ví dụ, một số lượng lớn các kết nối từ các địa chỉ IP khác nhau đến một máy chủ IPTV cụ thể trong một khoảng thời gian ngắn có thể là một dấu hiệu của một cuộc tấn công DDoS mitigation. Các công cụ Security Information and Event Management (SIEM) có thể tự động hóa quá trình Firewall log analysis và cảnh báo cho các quản trị viên về các hoạt động đáng ngờ.

II. Thách thức trong phát hiện DDoS vào IPTV và giải pháp

Mặc dù khai phá log Firewall là một phương pháp hứa hẹn để phát hiện DDoS IPTV, nó cũng đi kèm với một số thách thức đáng kể. Khối lượng lớn dữ liệu log được tạo ra bởi các Firewall cho IPTV có thể làm cho việc phân tích thủ công trở nên khó khăn và tốn thời gian. Hơn nữa, các cuộc tấn công DDoS ngày càng tinh vi, sử dụng các kỹ thuật để che giấu nguồn gốc và làm cho chúng khó phát hiện hơn. Một trong những thách thức lớn nhất là phân biệt giữa lưu lượng hợp pháp và lưu lượng độc hại. Điều này đòi hỏi các thuật toán phân tích log Firewall phải có khả năng thích ứng với các mô hình lưu lượng thay đổi và xác định các mẫu bất thường một cách chính xác. Các nghiên cứu gần đây đã chỉ ra rằng việc sử dụng các kỹ thuật Machine learning for DDoS detectionDeep learning for DDoS detection có thể giúp giải quyết những thách thức này.

2.1. Khối lượng Log Firewall lớn và phức tạp cần xử lý hiệu quả

Các hệ thống IPTV tạo ra một lượng lớn dữ liệu log, bao gồm cả log Firewall, có thể lên đến hàng gigabyte mỗi ngày. Điều này gây khó khăn cho việc phân tích log Firewall thủ công và đòi hỏi các công cụ tự động hóa mạnh mẽ. Các công cụ SIEM có thể giúp thu thập, phân tích và lưu trữ log Firewall, nhưng chúng cũng cần được cấu hình và điều chỉnh để hoạt động hiệu quả. Bên cạnh đó, cấu trúc của logfile cũng đa dạng, gây khó khăn cho việc trích xuất và phân tích dữ liệu.

2.2. Sự tinh vi của Tấn công DDoS và kỹ thuật che giấu nguồn gốc

Các cuộc tấn công DDoS IPTV ngày càng trở nên tinh vi hơn, sử dụng các kỹ thuật như spoofing địa chỉ IP nguồn và sử dụng botnet phân tán để che giấu nguồn gốc. Điều này làm cho việc xác định và ngăn chặn các cuộc tấn công trở nên khó khăn hơn. Các giải pháp DDoS mitigation cần phải có khả năng phát hiện và lọc lưu lượng độc hại một cách chính xác, đồng thời cho phép lưu lượng hợp pháp đi qua.

2.3. Làm thế nào để phân biệt lưu lượng hợp pháp và lưu lượng tấn công

Một trong những thách thức lớn nhất trong phát hiện DDoS là phân biệt giữa lưu lượng hợp pháp và lưu lượng độc hại. Các cuộc tấn công DDoS thường cố gắng bắt chước lưu lượng hợp pháp, làm cho việc xác định chúng trở nên khó khăn. Các thuật toán phân tích log Firewall cần phải có khả năng thích ứng với các mô hình lưu lượng thay đổi và xác định các mẫu bất thường một cách chính xác. Anomaly detection là một kỹ thuật hữu ích để xác định các hành vi không phù hợp với mô hình hoạt động bình thường.

III. Phương pháp khai phá dữ liệu log Firewall để phát hiện DDoS

Để vượt qua những thách thức trên, việc áp dụng các phương pháp khai phá dữ liệu log Firewall tiên tiến là rất quan trọng. Các phương pháp này có thể giúp tự động hóa quá trình phân tích log, xác định các mẫu bất thường và phân biệt giữa lưu lượng hợp pháp và lưu lượng độc hại. Một số phương pháp khai phá dữ liệu phổ biến được sử dụng trong phát hiện DDoS bao gồm Machine learning for DDoS detection, Deep learning for DDoS detection, Anomaly detectionTraffic analysis. Các kỹ thuật này có thể được sử dụng để xây dựng các mô hình dự đoán có khả năng phát hiện các cuộc tấn công DDoS một cách chính xác và kịp thời.

3.1. Ứng dụng Machine Learning và Deep Learning trong phân tích log

Machine Learning for DDoS detectionDeep learning for DDoS detection là những kỹ thuật mạnh mẽ có thể được sử dụng để tự động hóa quá trình phân tích log Firewall và xác định các mẫu bất thường. Các thuật toán Machine learning có thể học từ dữ liệu lịch sử và xây dựng các mô hình dự đoán có khả năng phát hiện các cuộc tấn công DDoS một cách chính xác. Các thuật toán Deep learning có thể xử lý dữ liệu phức tạp và xác định các mẫu tinh vi mà các thuật toán Machine learning truyền thống có thể bỏ lỡ. Việc này giúp cải thiện đáng kể khả năng phát hiện tấn công mạng.

3.2. Kỹ thuật Anomaly Detection để tìm kiếm dấu hiệu DDoS trong Log

Anomaly detection là một kỹ thuật được sử dụng để xác định các hành vi không phù hợp với mô hình hoạt động bình thường. Trong bối cảnh phát hiện DDoS, Anomaly detection có thể được sử dụng để xác định các mẫu lưu lượng bất thường có thể chỉ ra một cuộc tấn công. Ví dụ, một sự gia tăng đột ngột về số lượng kết nối đến một máy chủ IPTV cụ thể có thể là một dấu hiệu của một cuộc tấn công DDoS. Các thuật toán Anomaly detection có thể được sử dụng để tự động hóa quá trình phát hiện bất thường trong log và cảnh báo cho các quản trị viên về các hoạt động đáng ngờ.

IV. Thực nghiệm phát hiện DDoS trong IPTV bằng Khai phá Log Firewall

Nghiên cứu của Nguyễn Chí Thanh về “Khai phá dữ liệu logfile của Firewall trong hệ thống mạng IPTV nhằm phát hiện tấn công từ chối dịch vụ” đã đề xuất một mô hình giải pháp cụ thể và thực nghiệm nó. Theo đó, các bản ghi trong logfile của Firewall sẽ được thu thập, sau đó được phân chia vào các lớp khác nhau theo địa chỉ IP và cổng dịch vụ của máy đích bằng cách sử dụng kỹ thuật phân lớp dựa trên luật. Bước tiếp theo, đối với từng lớp máy đích cần giám sát, tiến hành phân cụm các bản ghi log theo địa chỉ máy trạm. Kết quả của bước này là tập các lớp máy trạm bao gồm các bản ghi có địa chỉ nguồn giống nhau. Cuối cùng, kiểm tra số lượng kết nối của từng lớp máy trạm và đưa ra cảnh báo nếu thỏa mãn tiêu chí cảnh báo tấn công DDoS cho trước.

4.1. Mô tả môi trường thực nghiệm và dữ liệu Log Firewall sử dụng

Môi trường thực nghiệm bao gồm một máy chủ web, một máy chủ giả lập tấn công DDoS và một máy chủ Firewall ISA Server 2006. Dữ liệu Log Firewall được thu thập từ máy chủ Firewall ISA Server 2006. Mỗi bản ghi trong logfile của Firewall ISA Server 2006 chứa thông tin về một kết nối, bao gồm địa chỉ IP nguồn và đích, cổng, giao thức và thời gian.

4.2. Kết quả thực nghiệm và đánh giá hiệu quả của phương pháp

Kết quả thực nghiệm cho thấy phương pháp khai phá log Firewall có thể được sử dụng để phát hiện DDoS trong IPTV một cách hiệu quả. Phần mềm thực nghiệm dựa trên DoSAlert đã hoạt động cho kết quả phù hợp với tiêu chí kết luận đang diễn ra một cuộc tấn công từ chối dịch vụ. Cụ thể, phần mềm có thể phát hiện các cuộc tấn công DDoS với độ chính xác cao và cảnh báo cho các quản trị viên về các hoạt động đáng ngờ.

V. Giảm thiểu DDoS IPTV bằng chiến lược phòng thủ chủ động

Ngoài việc phát hiện DDoS, việc triển khai các chiến lược phòng thủ chủ động là rất quan trọng để giảm thiểu DDoS IPTV. Các chiến lược này có thể bao gồm việc sử dụng các hệ thống Intrusion prevention system (IPS), cấu hình tường lửa mạnh mẽ, sử dụng mạng phân phối nội dung (CDN) và thực hiện các biện pháp giám sát lưu lượng mạng. Các chiến lược phòng thủ chủ động có thể giúp ngăn chặn các cuộc tấn công DDoS trước khi chúng gây ra thiệt hại cho hệ thống IPTV.

5.1. Sử dụng IPS và cấu hình Firewall mạnh mẽ để ngăn chặn DDoS

Intrusion prevention system (IPS) có thể được sử dụng để phát hiện và ngăn chặn các cuộc tấn công DDoS bằng cách phân tích lưu lượng mạng và xác định các mẫu độc hại. Firewall có thể được cấu hình để lọc lưu lượng độc hại và giới hạn số lượng kết nối từ một địa chỉ IP nguồn duy nhất. Các biện pháp này có thể giúp giảm thiểu tác động của các cuộc tấn công DDoS.

5.2. Tận dụng CDN để phân tán lưu lượng và tăng cường khả năng chống chịu

Mạng phân phối nội dung (CDN) có thể được sử dụng để phân tán lưu lượng đến các máy chủ IPTV trên nhiều vị trí địa lý khác nhau. Điều này có thể giúp tăng cường khả năng chống chịu của hệ thống IPTV trước các cuộc tấn công DDoS. Nếu một máy chủ bị tấn công, lưu lượng có thể được chuyển hướng đến các máy chủ khác trong mạng CDN.

VI. Tương lai của phát hiện DDoS bằng khai phá Log Firewall trong IPTV

Tương lai của phát hiện DDoS bằng khai phá log Firewall trong IPTV hứa hẹn sẽ tiếp tục phát triển với sự ra đời của các công nghệ mới và các phương pháp phân tích tiên tiến. Việc tích hợp các kỹ thuật Machine learning for DDoS detectionDeep learning for DDoS detection sẽ giúp cải thiện đáng kể khả năng phát hiện tấn công mạngphòng chống DDoS. Ngoài ra, việc phát triển các công cụ phân tích log Firewall tự động hóa và dễ sử dụng hơn sẽ giúp các quản trị viên dễ dàng hơn trong việc bảo vệ hệ thống IPTV của họ.

6.1. Xu hướng phát triển của Machine Learning trong phát hiện tấn công

Các thuật toán Machine Learning for DDoS detection ngày càng trở nên tinh vi hơn, có khả năng học từ dữ liệu lịch sử và thích ứng với các mô hình lưu lượng thay đổi. Điều này giúp cải thiện đáng kể khả năng phát hiện tấn công mạngphòng chống DDoS. Các nhà nghiên cứu đang tiếp tục phát triển các thuật toán Machine Learning mới có khả năng phát hiện các cuộc tấn công DDoS tinh vi hơn.

6.2. Tích hợp SIEM và khai phá Log Firewall để tăng cường bảo mật

Việc tích hợp các công cụ Security Information and Event Management (SIEM) với các công cụ khai phá log Firewall có thể giúp tăng cường bảo mật cho các hệ thống IPTV. Các công cụ SIEM có thể thu thập và phân tích dữ liệu từ nhiều nguồn khác nhau, bao gồm cả log Firewall, để cung cấp một cái nhìn toàn diện về tình hình bảo mật của hệ thống. Điều này giúp các quản trị viên dễ dàng hơn trong việc phát hiện và phản ứng với các cuộc tấn công DDoS.

24/09/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1: SƠ BỘ VỀ LOGFILE MẠNG IPTV 1. GIỚI THIỆU VỀ MẠNG IPTV 1. IPTV là gì Cuối thập kỷ trước, cùng sự phát triển của các dịch vụ truyền hình vệ tinh, sự tăng trưởng của dịch vụ truyền hình cáp số, và đặc biệt là sự ra đời của HDTV (High Definition Television) đã để lại dấu ấn đối với lĩnh vực truyền hình. Tuy nhiên, hiện nay trên thế giới đã xuất hiện một phương thức cung cấp dịch vụ mới mạnh hơn, đó là IPTV (Internet Protocol Television).

IPTV ra đời dựa trên sự hậu thuẫn của ngành viễn thông, đặc biệt là mạng băng rộng; IPTV dễ dàng cung cấp nhiều hoạt động tương tác hơn, tạo nên sự cạnh tranh mạnh mẽ hơn cho các doanh nghiệp kinh doanh dịch vụ truyền hình. Sự phát triển nhanh chóng của mạng Internet băng rộng làm thay đổi cả về nội dung và kĩ thuật truyền hình. IPTV là một hệ thống cung cấp các dịch vụ truyền hình số tới các thuê bao sử dụng giao thức IP trên kết nối băng rộng. IPTV thường được cung cấp cùng với dịch vụ VoD và cũng có thể cung cấp cùng với các dịch vụ Internet khác như truy cập Web và VoIP, do đó còn được gọi là “Triple Play” và được cung cấp bởi nhà khai thác dịch vụ băng rộng sử dụng chung một hạ tầng mạng.

Hiện nay IPTV đang là cấp độ cao nhất và là công nghệ truyền hình của tương lai. Sự vượt trội trong kĩ thuật truyền hình của IPTV là tính năng tương tác giữa hệ thống với người xem, cho phép người xem chủ động về thời gian và khả năng triển khai nhiều dịch vụ giá trị gia tăng tiện ích khác trên hệ thống nhằm đáp ứng nhu cầu của người sử dụng. Đây cũng là xu hướng hội tụ của mạng viễn thông thế giới. Trên thế giới đã có một số quốc gia triển khai thành công IPTV.

Tại Việt Nam một số nhà cung cấp IPTV như VNPT, FPT, VTC,… Hệ thống IPTV truyền tải các kênh truyền hình quảng bá và nội dung video, audio theo yêu cầu chất lượng cao qua một mạng băng thông rộng. Theo tổ chức Liên Hiệp Viễn Thông Quốc Tế ITU thì: IPTV là dịch vụ đa phương tiện bao gồm truyền hình, video, audio, văn bản, đồ họa và dữ liệu truyền trên một mạng IP và được quản lý để đáp ứng yêu cầu về chất lượng dịch vụ (Quality of Serice – QoS), sự trải nghiệm (Quality of Experience – QoE), tính bảo mật, tính tương tác và độ tin cậy [13]. Kiến trúc tổng quan mạng IPTV Hệ thống IPTV bao gồm 04 thành phần quan trọng, đó là: nội dung (Content), nền tảng (Platform), hệ thống mạng (Network), và thiết bị đầu cuối (Terminal). Trong mô hình kinh doanh, 04 thành phần trên tương ứng với 04 vai trò sau: nhà cung cấp nội dung (Content Provider), nhà cung cấp dịch vụ TIEU LUAN MOI download : skknchat@gmail.

Kiến trúc tổng quan mạng IPTV như sau [14]: Hình 1.1: Mô hình tổng quan hệ thống IPTV Thành phần nội dung (Content) [14]: bao gồm âm thanh, hình ảnh, dữ liệu, dữ liệu văn bản, và các ứng dụng. Những nội dung này được phân phối thông qua các kênh khác nhau như vệ tinh, truyền hình mặt đất, cơ sở dữ liệu của nhà cung cấp nội dung, v.v… Thành phần nền tảng (Platform) [14]: bao gồm việc nhận dữ liệu nội dung, xử lý, truyền tải, bảo mật và quản lý tùy theo quy định của nhà cung cấp dịch vụ. Thành phần này bao gồm các hệ thống chính sau: - Hệ thống nhận nội dung: nhận các tín hiệu nguồn từ nhà cung cấp nội dung, nhà cung cấp chương trình, thông qua truyền hình mặt đất, vệ tinh, cáp, mạng IP, v.v… Đồng thời, hệ thống này kiểm soát việc phân phối tín hiệu thông qua các bộ chuyển mạch và giám sát việc phát nội dung thông qua phòng điểu khiển chính. - Hệ thống xử lý và truyền tải: hệ thống này thực hiện việc nén các tín hiệu nhận được theo một định dạng nhất định (ví dụ: H.264, MPEG2, VC1), sau đó đóng gói thành theo định dạng IP và chuyển sang hệ thống mạng.

- Hệ thống xử lý giá trị gia tăng: sử dụng các middleware và các nền tảng ứng dụng để cung cấp các dịch vụ dữ liệu bổ sung như thông tin, thương mại, truyền thông, giải trí, giáo dục. - Hệ thống bảo mật: bao gồm các hệ thống quản lý bản quyền số, các hệ thống mã hóa và giải mã nội dung, hệ thống kiểm soát truy nhập nhằm ngăn chặn việc khai thác nội dung bất hợp pháp. Trong đó, hệ thống quản lý bản quyền số (DRM) giúp nhà khai thác bảo vệ nội TIEU LUAN MOI download : skknchat@gmail.com 13 dung của mình, như trộn các tín hiệu truyền hình hay mã hóa nội dung VoD, khi truyền đi trên mạng Internet và tích hợp với tính năng an ninh tại STB ở phía thuê bao. Hệ thống DRM dựa trên các khái niệm của hệ thống cơ sở hạ tầng khoá công khai (Public Key Infrastructure – PKI.

Ngoài ra, hệ thống bảo mật cũng bao gồm các thiết bị chuyên dụng khác như: tường lửa (firewall), thiết bị phát hiện và ngăn chặn xâm nhập (ips), thiết bị quản lý log tập trung, v.v… - Hệ thống quản lý: thực hiện phối hợp và kiểm soát các hoạt động nội bộ giữa các hệ thống phụ và trong toàn bộ hệ thống. Ngoài ra, hệ thống này còn quản lý và lên lịch cho cách chương trình, nội dung và các thiết bị, đồng thời quản lý các thông tin về trạng thái thuê bao và tính cước. Thành phần hệ thống mạng (Network) [14]: thành phần này bao gồm hạ tầng mạng IP băng rộng để truyền dịch vụ từ nhà cung cấp dịch vụ IPTV đến khách hàng. Mạng truy nhập sẽ tận dụng phần hạ tầng mạng xDSL có sẵn.

Để cung cấp dịch vụ với chất lượng tốt và tiêu thụ ít băng thông khi có đồng thời nhiều truy nhập đến hệ thống, mạng truy nhập băng rộng cần phải được hỗ trợ multicast. Thành phần đầu cuối (Terminal) [14]: thành phần này nằm ở phía khách hàng, bao gồm các thiết bị cho phép thu nhận, giải mã và hiển thị nội dung trên tivi như Set-Top-Box (STB). STB cần hỗ trợ các chuẩn MPEG-4/H. Ngoài ra, STB cũng có thể hỗ trợ HDTV, có khả năng kết nối với các thiết bị lưu trữ bên ngoài, video phone, truy nhập web, v.

Các dịch vụ của mạng IPTV Cung cấp các dịch vụ quảng bá: Quảng bá ti vi (Broadcast TV); kênh âm thanh (Audio Channel); truyền hình trực tuyến (Time-Shift TV); VOD băng hẹp [8]. Cung cấp các dịch vụ theo yêu cầu: Video theo yêu cầu (Video on Demand - VoD); âm nhạc theo yêu cầu (Music on Demand - MoD); TV theo yêu cầu (TV on Demand - TVoD) [8]. Cung cấp các dịch vụ tương tác: thông tin tương tác (Interactive Information); truyền hình tương tác (Interactive TV); công ích, từ thiện,. DỮ LIỆU LOGFILE MẠNG IPTV Trong một hệ thống mạng lớn như IPTV, các nhà cung cấp dịch vụ thường thu thập một lượng lớn dữ liệu như log thiết bị, log hệ thống, các thông TIEU LUAN MOI download : skknchat@gmail.com 14 tin cảnh báo, thông điệp điều khiển được tạo ra trên mạng lưới bởi các ứng dụng hoặc thiết bị.

Những dữ liệu này thường đa dạng và phức tạp bởi có rất nhiều thiết bị khác nhau tham gia vào hệ thống. Các máy chủ với các hệ điều hành khác nhau cũng tạo ra một lượng lớn dữ liệu log. Ngoài ra còn có log của những ứng dụng hoạt động trên hệ thống. Trong mạng IPTV, thường gặp một số loại logfile hệ thống sau: - Firewall logs: là các bản ghi log ghi lại trạng thái hoạt động của Firewall, các kết nối vào ra hệ thống, các hành động mà Firewall đã thực thi đối với từng kết nối (cho phép hoặc chặn), thông tin về nguồn kết nối, đích kết nối, v.v… - Router syslogs [11]: đó là các log được tạo ra bởi các router trong đó mô tả một loạt các sự kiện được router ghi lại.

- STB logs [11]: là các bản ghi mô tả lại những hoạt động của người dùng cuối, chẳng hạn tắt, bật STB, yêu cầu nội dung, v. - Các log ứng dụng, đặc biệt là log ứng dụng web, cho phép khai thác các dữ liệu được thu thập khi người dùng truy cập máy chủ web nhằm thực hiện một số tác vụ như xem và yêu cầu dịch vụ truyền hình, đăng ký và sử dụng các dịch vụ giá trị gia tăng,v.v… Các log ứng dụng khác có thể được sử dụng cho những yêu cầu phân tích cụ thể. Logfile Firewall Trong hệ thống IPTV, vấn đề đảm bảo an toàn an ninh trong quá trình cung cấp dịch vụ luôn được quan tâm. Đây cũng là một trong những yêu cầu hàng đầu trong quá trình thiết kế, xây dựng của hệ thống IPTV nói riêng và các hệ thống CNTT nói chung.

Hiện nay có rất nhiều giải pháp an toàn thông tin được áp dụng trong các hệ thống CNTT. Trong đó, Firewall là giải pháp bảo mật phổ biến nhất, và là một trong những trang bị tiêu chuẩn cần có đối với một hệ thống IPTV. Firewall cho phép người quản trị kiểm soát các truy nhập ra vào hệ thống, ngăn chặn những truy nhập bất hợp pháp. Các Firewall thế hệ mới ngoài chức năng kiểm soát kết nối cơ bản còn được tích hợp thêm các module bảo mật khác như: module phát hiện và ngăn chặn xâm nhập, module thiết lập kết nối mạng riêng ảo, module dò quét virus,… Trong quá trình vận hành, việc phân tích dữ liệu log của Firewall đóng vai trò quan trọng trong việc đánh giá hiệu quả hoạt động, điều tra truy vết khi xảy ra sự cố trên hệ thống, thống kê đánh giá lưu lượng kết nối và hiệu năng của hệ thống, v.

Đặc biệt, do lưu lại những thông tin liên quan đến các kết nối từ bên ngoài vào hệ thống nên dữ liệu log của Firewall rất hữu ích trong việc phát hiện và cảnh báo các cuộc tấn công từ chối dịch vụ. TIEU LUAN MOI download : skknchat@gmail.com 15 Log của các loại Firewall khác nhau sẽ có cấu trúc khác nhau, được lưu dưới những định dạng khác nhau. Hai định dạng phổ biến của log Firewall là cơ sở dữ liệu và logfile. Luận văn này sẽ tập trung vào việc phân tích dữ liệu log được lưu trữ dưới dạng file nhằm mục đích phát hiện ra các cuộc tấn công Từ chối dịch vụ.

Ví dụ về cấu trúc logfile của Firewall ISA Server 2006: Hình 1.2: Dữ liệu logfile của Firewall ISA Server 2006 1. Router syslog Router syslog ghi lại những thông tin được quan sát bởi router, chẳng hạn các liên kết (link), thay đổi trạng thái giao thức liên quan, đưa ra cảnh báo về môi trường (ví dụ điện áp, nhiệt độ), các cảnh báo khác như vi phạm về quy tắc định tuyến,v.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ