Luận văn Thạc sĩ: Phát hiện tấn công mạng bằng SIEM - Tôn Đức Cường

Luận văn thạc sĩ khám phá và xây dựng công cụ phát hiện tấn công mạng hiệu quả, ứng dụng công nghệ SIEM tiên tiến. Tăng cường an ninh bảo mật hệ thống.

Chuyên ngành

Khoa học máy tính

Người đăng

Ẩn danh

Thể loại

Luận văn Thạc sĩ

2016

74
1
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CẢM ƠN

DANH MỤC TỪ VIẾT TẮT

DANH MỤC HÌNH VẼ

1. TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG MẠNG

1.1. TẤN CÔNG TRONG MẠNG MÁY TÍNH

1.2. Khái niệm về tấn công mạng

1.3. An toàn mạng

1.4. Lỗ hổng bảo mật

1.5. Các kiểu tấn công mạng phổ biến

1.6. Mô hình tấn công mạng

1.7. Một số dấu hiệu phát hiện hệ thống bị tấn công

2. HỆ THỐNG PHÁT HIỆN VÀ NGĂN CHẶN XÂM NHẬP IDS/IPS

2.1. Hệ thống phát hiện xâm nhập IDS

2.2. Network-based IDS

2.3. Host-based IDS

2.4. Hệ thống ngăn chặn xâm nhập IPS

3. HỆ THỐNG GIÁM SÁT AN NINH MẠNG

3.1. Giới thiệu hệ thống giám sát an ninh mạng

3.2. Mô hình giám sát an ninh mạng

3.3. Các công nghệ giám sát an ninh mạng

4. PHÁT HIỆN TẤN CÔNG MẠNG VỚI CÔNG NGHỆ SIEM

4.1. GIỚI THIỆU VỀ CÔNG NGHỆ SIEM

4.2. Quản lý nhật ký sự kiện an ninh

4.3. Tuân thủ các quy định về CNTT

4.4. Tương quan liên kết các sự kiện an ninh

4.5. Cung cấp các hoạt động ứng phó

4.6. Đảm bảo an ninh thiết bị đầu cuối

5. THÀNH PHẦN VÀ HOẠT ĐỘNG CỦA SIEM

5.1. Thiết bị Nguồn

5.2. Thu thập Log

5.3. Chuẩn hóa và tổng hợp sự kiện an ninh

5.4. Tương quan sự kiện an ninh

5.5. Giám sát và cảnh báo

6. MỘT SỐ HỆ THỐNG TRIỂN KHAI SIEM

7. XÂY DỰNG CÔNG CỤ PHÁT HIỆN TẤN CÔNG MẠNG DỰA TRÊN CÔNG NGHỆ SIEM VỚI MÃ NGUỒN MỞ ALIENVAULT OSSIM

7.1. MỤC TIÊU XÂY DỰNG CÔNG CỤ

7.2. HỆ THỐNG VÀ MÔ HÌNH PHÁT HIỆN TẤN CÔNG MẠNG

7.3. Hệ thống mã nguồn mở AlienVault OSSIM

7.4. Một số chức năng chính của AlienVault OSSIM

7.5. Mô hình tổng quan hệ thống phát hiện tấn công mạng dựa trên công nghệ Siem sử dụng công cụ AlienVault OSSIM

7.6. TRIỂN KHAI XÂY DỰNG

7.7. Triển khai OSSIM vào hệ thống mạng

7.8. Một số công cụ được sử dụng trong OSSIM

7.9. Đánh giá rủi ro

7.10. Xây dựng luật trong Ossim

8. THỬ NGHIỆM VÀ KẾT QUẢ

8.1. Mô hình thử nghiệm thực tế

8.2. Tấn công thăm dò

8.3. Tấn công đăng nhập

8.4. Tấn công từ chối dịch vụ

8.5. Tấn công vào hệ quản trị cơ sở dữ liệu SQL

8.6. Đánh giá, kết quả

TÀI LIỆU THAM KHẢO

LỜI NÓI ĐẦU

Tóm tắt

I. Tổng quan SIEM Bí quyết phát hiện tấn công mạng hiệu quả cho luận văn Thạc sĩ

Trong bối cảnh an ninh mạng ngày càng phức tạp, việc phát hiện tấn công mạng sớm trở thành ưu tiên hàng đầu của mọi tổ chức. Các mối đe dọa không ngừng phát triển, từ những cuộc tấn công đơn giản đến các chiến dịch tinh vi như phát hiện tấn công nâng cao (APT), đòi hỏi một phương pháp tiếp cận toàn diện và thông minh. Đây chính là lý do vì sao hệ thống SIEM (Security Information and Event Management) nổi lên như một giải pháp then chốt. SIEM là gì? Nó là một công nghệ kết hợp quản lý nhật ký sự kiện an ninh (Security Information Management - SIM) và quản lý các sự kiện an ninh (Security Event Management - SEM), mang lại cái nhìn tổng thể về trạng thái bảo mật thông tin của một tổ chức. Hệ thống này thu thập, tập hợp, phân tích và tương quan các bản ghi (log) và sự kiện an ninh từ nhiều nguồn khác nhau trong toàn bộ hạ tầng công nghệ thông tin. Mục tiêu chính của SIEM là cung cấp khả năng hiển thị theo thời gian thực về các hoạt động mạng, từ đó giúp phát hiện mối đe dọaứng phó sự cố an ninh một cách hiệu quả. Luận văn Thạc sĩ "Tìm hiểu và xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ SIEM" của Tôn Đức Cường (2016) đã khẳng định tầm quan trọng của việc nghiên cứu và triển khai SIEM để đối phó với những thách thức an ninh mạng tại Việt Nam, đặc biệt là trong các tổ chức có nguồn lực hạn chế. Nghiên cứu này không chỉ đi sâu vào khái niệm mà còn tìm cách xây dựng một công cụ thực tiễn, cho thấy giá trị học thuật và ứng dụng cao của đề tài. Một hệ thống SIEM hiệu quả không chỉ giúp nhận diện các cuộc tấn công đã biết mà còn có khả năng phát hiện các hành vi bất thường, những dấu hiệu sơ khai của một cuộc tấn công mới hoặc chưa từng thấy. Điều này đặc biệt quan trọng khi các hình thức tấn công như ransomware, phishing, malware hay DDoS ngày càng trở nên phổ biến và tinh vi, nhắm vào các lỗ hổng bảo mật tiềm tàng. Việc tích hợp phân tích log từ nhiều nguồn như tường lửa, IDS/IPS, máy chủ, ứng dụng và thiết bị mạng cho phép SIEM xây dựng một bức tranh toàn cảnh, giúp quản trị viên có thể đưa ra quyết định nhanh chóng và chính xác. Tầm quan trọng của SIEM không chỉ dừng lại ở việc bảo vệ mà còn ở khả năng tuân thủ các quy định về bảo mật thông tin và chuẩn mực ngành. Nó cung cấp bằng chứng rõ ràng về việc giám sát và ứng phó với các sự kiện an ninh, điều mà các hệ thống bảo mật truyền thống khó có thể làm được một cách toàn diện. Đây là một lĩnh vực nghiên cứu đầy tiềm năng cho các đề tài thạc sĩ bảo mật, đóng góp vào sự phát triển của an ninh mạng quốc gia.

1.1. Khái niệm và tầm quan trọng của SIEM trong an ninh mạng

Công nghệ SIEM (Security Information and Event Management) là giải pháp toàn diện và hoàn chỉnh cho phép các tổ chức giám sát các sự kiện an toàn thông tin của một hệ thống. Về cơ bản, SIEM là gì có thể hiểu là sự hợp nhất của hai khái niệm trước đó: Quản lý thông tin an ninh (SIM) và Quản lý sự kiện an ninh (SEM). Theo tài liệu nghiên cứu, SIM tập trung vào việc lưu trữ nhật ký sự kiện, trong khi SEM xử lý các sự kiện theo thời gian thực để giám sát và phân tích. SIEM tích hợp cả hai chức năng này, mang đến một khả năng thu thập, phân tích và lưu trữ nhật ký sự kiện an ninh từ hàng loạt các thiết bị nguồn khác nhau – bao gồm máy chủ, thiết bị mạng, cơ sở dữ liệu và ứng dụng. Mục tiêu chính của hệ thống SIEM là cung cấp một cái nhìn tổng thể, tập trung về trạng thái an ninh mạngbảo mật thông tin, giúp nhận diện các phát hiện mối đe dọa và ứng phó kịp thời. Khả năng hợp nhất dữ liệu log từ nhiều nguồn giúp SIEM phát hiện các mẫu tấn công phức tạp mà các công cụ riêng lẻ khó có thể nhận biết. Tầm quan trọng của SIEM ngày càng tăng khi số lượng và sự tinh vi của các cuộc tấn công mạng không ngừng gia tăng. Nó không chỉ giúp phát hiện tấn công mạng mà còn hỗ trợ việc tuân thủ các quy định về CNTT và nâng cao hiệu quả của trung tâm điều hành an ninh (SOC).

1.2. Bối cảnh tấn công mạng hiện nay và nhu cầu phát hiện sớm

Bối cảnh an ninh mạng toàn cầu đang đối mặt với những thách thức chưa từng có. Các cuộc tấn công mạng ngày càng trở nên phức tạp, có tổ chức và gây ra thiệt hại nghiêm trọng về tài chính, dữ liệu và uy tín. Theo lời nói đầu của luận văn Thạc sĩ Tôn Đức Cường (2016), "hàng năm các vụ tấn công mạng vẫn liên tục gia tăng mà chưa có biện pháp khắc phục hiệu quả." Các loại hình tấn công phổ biến như ransomware, DDoS, phishing, và malware không ngừng phát triển, tận dụng các lỗ hổng bảo mật trong hệ thống và ứng dụng. Ngoài ra, các cuộc tấn công nâng cao có chủ đích (APT) cũng ngày càng khó phát hiện. Nhu cầu cấp thiết là phải có khả năng phát hiện mối đe dọa sớm và chủ động. Việc chỉ dựa vào các biện pháp phòng ngừa truyền thống như tường lửa hay phần mềm diệt virus không còn đủ để bảo vệ toàn diện. Các tổ chức cần một hệ thống bảo mật có khả năng giám sát toàn bộ hành vi ra vào và những bất thường bên trong hệ thống mạng cần bảo vệ. SIEM đáp ứng nhu cầu này bằng cách cung cấp khả năng phân tích log và sự kiện theo thời gian thực, giúp nhận diện các dấu hiệu bất thường, từ đó đưa ra cảnh báo kịp thời và cho phép ứng phó sự cố an ninh một cách nhanh chóng, giảm thiểu tác động tiêu cực của các cuộc tấn công.

II. Thách thức triển khai SIEM để phát hiện tấn công mạng Giải pháp luận văn

Việc triển khai SIEM nhằm phát hiện tấn công mạng mang lại nhiều lợi ích, nhưng cũng đặt ra không ít thách thức, đặc biệt trong bối cảnh các tổ chức còn hạn chế về nguồn lực và kiến thức chuyên sâu. Một trong những rào cản lớn nhất là chi phí đầu tư ban đầu cao cho các giải pháp SIEM thương mại, cũng như chi phí duy trì và nhân lực vận hành. Luận văn Thạc sĩ của Tôn Đức Cường (2016) đã nêu bật thực trạng "các công cụ bảo vệ hệ thống được triển khai ở nước ta hầu hết đều mua của nước ngoài với giá thành rất cao đây là một khó khăn lớn đối với các tổ chức vừa và nhỏ." Ngoài ra, việc tích hợp SIEM vào hạ tầng hiện có, vốn đa dạng về thiết bị và hệ điều hành, cũng là một quá trình phức tạp. Mỗi thiết bị tạo ra các bản ghi (log) với định dạng khác nhau, đòi hỏi quá trình chuẩn hóa kỹ lưỡng trước khi có thể phân tích. Điều này yêu cầu các chuyên gia có kinh nghiệm sâu rộng về an ninh mạng và khả năng tùy chỉnh hệ thống để phù hợp với môi trường đặc thù của từng tổ chức. Thách thức khác là quản lý số lượng khổng lồ các sự kiện an ninh. Một hệ thống SIEM thu thập hàng triệu sự kiện mỗi ngày, nếu không có các quy tắc tương quan SIEM và bộ lọc hiệu quả, nó có thể tạo ra vô số cảnh báo giả (false positives). Các cảnh báo giả không chỉ gây lãng phí thời gian của các nhà phân tích mà còn có thể khiến họ bỏ qua những cảnh báo thực sự quan trọng, làm giảm hiệu quả của toàn bộ hệ thống bảo mật. Để giải quyết những vấn đề này, cần có một phương pháp luận nghiên cứu rõ ràng, như đã được đề xuất trong luận văn, nhằm tìm hiểu và xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ SIEM mã nguồn mở. Việc sử dụng các giải pháp mã nguồn mở như AlienVault OSSIM có thể giúp giảm bớt gánh nặng chi phí, đồng thời cho phép tùy biến và mở rộng phù hợp với nhu cầu cụ thể của từng tổ chức. Đây là một cách tiếp cận thực tế để khắc phục những hạn chế, đặc biệt cho các tổ chức vừa và nhỏ, nơi nguồn lực luôn là một yếu tố cần cân nhắc. Nghiên cứu sâu về các phương pháp triển khai tối ưu, xây dựng các quy tắc tương quan phù hợp và phát triển các mô hình máy học trong an ninh mạng tích hợp sẽ là chìa khóa để vượt qua các thách thức này. Luận văn cung cấp cái nhìn tổng quan về các kiểu tấn công và hệ thống phát hiện, tạo nền tảng vững chắc để phát triển giải pháp SIEM hiệu quả.

2.1. Hạn chế của hệ thống bảo mật truyền thống và nhu cầu nâng cấp

Các hệ thống bảo mật truyền thống như IDS (Intrusion Detection Systems)IPS (Intrusion Prevention Systems), mặc dù quan trọng, vẫn tồn tại nhiều hạn chế trong việc phát hiện mối đe dọa toàn diện. Theo phân tích trong tài liệu, các hệ thống này thường hoạt động độc lập, thiếu khả năng quản lý sự kiện an ninh tập trung. NIDS (Network-based IDS) có thể bị quá tải trên mạng có mật độ lưu thông cao hoặc gặp khó khăn với dữ liệu mã hóa, trong khi HIDS (Host-based IDS) có thể bị vô hiệu hóa bởi tấn công từ chối dịch vụ (DoS) và tiêu tốn tài nguyên của máy chủ. Hạn chế lớn nhất là chúng thường chỉ cung cấp thông tin cục bộ và không có cơ chế hiệu quả để tương quan các sự kiện từ nhiều nguồn khác nhau. Điều này dẫn đến việc tạo ra nhiều cảnh báo giả hoặc bỏ sót các cuộc tấn công mạng tinh vi. Nhu cầu nâng cấp lên một giải pháp toàn diện hơn như hệ thống SIEM là bắt buộc. SIEM giúp khắc phục những hạn chế này bằng cách thu thập và phân tích dữ liệu từ tất cả các điểm trong mạng, bao gồm cả IDS/IPS, tường lửa và máy chủ, để tạo ra một bức tranh an ninh thống nhất, giúp ứng phó sự cố an ninh hiệu quả hơn.

2.2. Khó khăn trong quản lý log và tương quan sự kiện quy mô lớn

Việc quản lý nhật ký sự kiện an ninh (Log Management) và phân tích log từ các hệ thống quy mô lớn là một thách thức không hề nhỏ. Hàng ngày, hàng trăm triệu bản ghi log được tạo ra từ vô số thiết bị, ứng dụng và hệ điều hành trong một mạng doanh nghiệp. Mỗi bản ghi này có định dạng, cấu trúc và mức độ chi tiết khác nhau, khiến việc xử lý và tìm kiếm thông tin trở nên vô cùng phức tạp. Thách thức lớn tiếp theo là thực hiện tương quan liên kết các sự kiện an ninh một cách hiệu quả. Nếu không có các quy tắc tương quan SIEM được xây dựng cẩn thận, quản trị viên dễ dàng bị quá tải bởi số lượng cảnh báo, phần lớn trong số đó có thể là cảnh báo giả. Luận văn Thạc sĩ của Tôn Đức Cường (2016) chỉ ra rằng, việc giảm cảnh báo giả là "một mục tiêu quan trọng cho các nhà phân tích an ninh sử dụng SIEM". Các giải pháp trước SIEM như Log Management System (LMS) hay Security Event Correlation (SEC) riêng lẻ chỉ giải quyết được một phần vấn đề, thiếu khả năng tích hợp dữ liệu toàn diện để đưa ra kết luận chính xác. SIEM ra đời để giải quyết những khó khăn này, bằng cách chuẩn hóa dữ liệu, tổng hợp các sự kiện và sử dụng các thuật toán tương quan thông minh để phát hiện các mối liên hệ tiềm ẩn giữa các sự kiện riêng lẻ, từ đó nhận diện phát hiện mối đe dọa thực sự.

III. Kiến trúc và nguyên lý SIEM Cách thức phát hiện tấn công mạng chuyên sâu

Để phát hiện tấn công mạng một cách hiệu quả, việc hiểu rõ kiến trúc SIEM và nguyên lý hoạt động của nó là điều cốt yếu. Một hệ thống SIEM được thiết kế để hoạt động như một trung tâm thần kinh cho an ninh mạng, thu thập và phân tích thông tin từ mọi ngóc ngách của hạ tầng IT. Các thành phần cơ bản của SIEM làm việc cùng nhau để tạo nên một quy trình liên tục từ thu thập dữ liệu đến cảnh báo và ứng phó. Theo luận văn Thạc sĩ của Tôn Đức Cường (2016), các thành phần chính bao gồm thiết bị nguồn, quá trình thu thập log, chuẩn hóa và tổng hợp sự kiện, tương quan sự kiện an ninh, giám sát và cảnh báo, cùng với lưu trữ log. Mỗi giai đoạn đóng vai trò quan trọng trong việc chuyển đổi dữ liệu thô thành thông tin có giá trị, giúp nhận diện các hành vi bất thường và phát hiện mối đe dọa. Quy trình bắt đầu bằng việc thu thập các bản ghi (log) từ nhiều nguồn khác nhau như hệ điều hành (Windows, Linux), thiết bị mạng (Router, Switch), tường lửa, IDS/IPS và các ứng dụng. Sau đó, các bản ghi này trải qua quá trình chuẩn hóa để đưa về một định dạng thống nhất, cho phép phân tích log dễ dàng hơn. Giai đoạn quan trọng nhất là tương quan sự kiện an ninh, nơi SIEM sử dụng các quy tắc và thuật toán để tìm kiếm các mối liên hệ giữa các sự kiện tưởng chừng không liên quan. Điều này giúp phát hiện các cuộc tấn công đa giai đoạn hoặc các hành vi lén lút mà một sự kiện riêng lẻ không thể làm rõ. Các dịch vụ cốt lõi của SIEM như quản lý nhật ký sự kiện an ninh, hỗ trợ tuân thủ các quy định về CNTT, cung cấp các hoạt động ứng phóđảm bảo an ninh thiết bị đầu cuối đều dựa trên nền tảng kiến trúc vững chắc này. Khả năng giám sát theo thời gian thực và tạo báo cáo chi tiết giúp quản trị viên không chỉ ứng phó kịp thời mà còn có cái nhìn chiến lược về tình hình bảo mật thông tin của tổ chức. Đây là yếu tố then chốt để xây dựng một hệ thống phòng thủ mạnh mẽ, có khả năng thích nghi với các mối đe dọa mới.

3.1. Các thành phần chính của hệ thống SIEM và vai trò cụ thể

Một hệ thống SIEM hiệu quả được cấu thành từ nhiều phần, mỗi phần đóng một vai trò quan trọng trong việc phát hiện tấn công mạng. Theo luận văn Thạc sĩ của Tôn Đức Cường (2016), các thành phần cốt lõi bao gồm: Thiết bị Nguồn (như hệ điều hành, thiết bị mạng, ứng dụng) cung cấp dữ liệu log thô; Thu thập Log là quá trình chuyển tiếp các bản ghi này đến SIEM thông qua các giao thức hoặc Agent; Chuẩn hóa và tổng hợp sự kiện an ninh biến đổi các bản ghi đa dạng về một định dạng chung để dễ dàng phân tích; Tương quan sự kiện an ninh tìm kiếm mối liên hệ giữa các sự kiện để nhận diện mối đe dọa; Giám sát và cảnh báo cung cấp giao diện trực quan và thông báo về các bất thường; và cuối cùng là Lưu trữ Log cho mục đích điều tra và tuân thủ. Mỗi thành phần này là một mắt xích không thể thiếu, đảm bảo toàn bộ quy trình phát hiện mối đe dọa diễn ra một cách liên tục và chính xác, góp phần củng cố an ninh mạng toàn diện.

3.2. Quy trình thu thập chuẩn hóa và tương quan sự kiện an ninh

Quy trình hoạt động của hệ thống SIEM để phát hiện tấn công mạng bắt đầu từ thu thập log. Luận văn của Tôn Đức Cường (2016) mô tả ba phương pháp thu thập chính: Push log (thiết bị nguồn tự động gửi log, ví dụ Syslog), Pull log (SIEM chủ động lấy log theo chu kỳ), và Prebuilt Log collection (sử dụng các phương pháp dựng sẵn cho ứng dụng cụ thể). Sau khi log được thu thập, chúng trải qua quá trình chuẩn hóa dữ liệu để biến đổi các định dạng bản ghi khác nhau thành một định dạng chung, giúp phân tích log dễ dàng hơn. Giai đoạn tiếp theo là tương quan sự kiện an ninh, đây là trái tim của SIEM. Quá trình này liên kết các sự kiện riêng lẻ từ nhiều nguồn để phát hiện các mẫu tấn công hoặc hành vi bất thường. Có hai kiểu tương quan chính: Rule-based (dựa trên các quy tắc đã biết về tấn công) và Statistical-based (dựa trên việc học hành vi bình thường của hệ thống để nhận diện sai lệch). Sự kết hợp của các bước này giúp SIEM chuyển đổi dữ liệu thô thành thông tin cảnh báo thông minh, giảm thiểu cảnh báo giả và tăng cường khả năng nhận diện phát hiện mối đe dọa thực sự.

3.3. Các dịch vụ cốt lõi của SIEM trong quản lý an ninh

Hệ thống SIEM cung cấp một loạt các dịch vụ cốt lõi nhằm nâng cao tổng thể quản lý sự kiện an ninhbảo mật thông tin. Đầu tiên là quản lý nhật ký sự kiện an ninh (Log management), đảm bảo mọi log từ các thiết bị trong hệ thống được thu thập, chuẩn hóa và lưu trữ tập trung, làm cơ sở cho mọi phân tích. Kế đến, SIEM hỗ trợ tuân thủ các quy định về CNTT bằng cách cho phép thiết lập các bộ lọc và luật để kiểm tra việc tuân thủ các chính sách bảo mật nội bộ và quy định pháp luật. Luận văn của Tôn Đức Cường (2016) cũng nhấn mạnh khả năng cung cấp các hoạt động ứng phó của SIEM, cho phép cấu hình các hành động tự động hoặc bán tự động khi một sự kiện an ninh nguy hiểm được phát hiện, giúp giảm thiểu thiệt hại. Cuối cùng, đảm bảo an ninh thiết bị đầu cuối là một chức năng quan trọng khác, nơi SIEM giám sát, đánh giá tài sản, dò quét lỗ hổng bảo mật và quản lý các bản vá lỗi. Các dịch vụ này tạo nên một lá chắn toàn diện, giúp các tổ chức không chỉ phát hiện tấn công mạng mà còn duy trì một môi trường an ninh mạng bền vững.

IV. Nâng cao khả năng phát hiện tấn công mạng Chiến lược SIEM tiên tiến

Để thực sự nâng cao khả năng phát hiện tấn công mạng, các hệ thống SIEM hiện đại không ngừng tích hợp những công nghệ tiên tiến và chiến lược phòng thủ thông minh. Chỉ dựa vào các quy tắc tĩnh hay chữ ký tấn công đã biết là không đủ khi đối phó với các cuộc tấn công có tính thích nghi cao và phát hiện tấn công nâng cao (APT). Việc kết hợp Trí tuệ nhân tạo (AI) và máy học trong an ninh mạng là một bước nhảy vọt, cho phép SIEM vượt qua giới hạn của phương pháp truyền thống, chuyển từ phản ứng bị động sang phát hiện chủ động hơn. Những công nghệ này giúp SIEM phân tích lượng lớn dữ liệu log và sự kiện để nhận diện các mẫu hành vi bất thường, từ đó đưa ra các cảnh báo về phát hiện mối đe dọa mà con người hoặc các quy tắc đơn giản khó có thể nhận ra. Ngoài ra, việc tích hợp threat intelligence và các khuôn khổ như MITRE ATT&CK Framework mang lại một lợi thế chiến lược. Threat intelligence cung cấp thông tin tình báo cập nhật về các mối đe dọa mới, các chỉ số thỏa hiệp (IoCs) và các chiến thuật, kỹ thuật, quy trình (TTPs) của kẻ tấn công. Khi hệ thống SIEM tiêu thụ các nguồn cấp dữ liệu này, nó có thể chủ động tìm kiếm các dấu hiệu tấn công đã biết hoặc đang nổi lên trong mạng lưới của tổ chức, từ đó tăng cường khả năng phát hiện tấn công mạng theo thời gian thực. MITRE ATT&CK Framework cung cấp một ngôn ngữ chung và một thư viện kiến thức đồ sộ về các kỹ thuật tấn công, giúp các nhà phân tích ánh xạ các sự kiện phát hiện được vào các giai đoạn của một cuộc tấn công. Điều này không chỉ cải thiện khả năng phát hiện mà còn hỗ trợ việc xây dựng các kịch bản ứng phó sự cố an ninh có cấu trúc và hiệu quả hơn. Mục tiêu cuối cùng là xây dựng một hệ thống SIEM không chỉ thu thập và tương quan dữ liệu, mà còn có khả năng học hỏi, dự đoán và thích nghi, biến nó thành một công cụ không thể thiếu trong chiến lược bảo mật thông tin toàn diện của mọi tổ chức. Những chiến lược này là trọng tâm của nhiều đề tài thạc sĩ bảo mậtnghiên cứu khoa học an ninh mạng hiện đại.

4.1. Ứng dụng AI Machine Learning để nhận diện mối đe dọa

Trong kỷ nguyên số, các cuộc tấn công mạng ngày càng trở nên phức tạp và khó đoán, vượt xa khả năng phát hiện mối đe dọa của các quy tắc tĩnh. Để giải quyết, hệ thống SIEM đang tích hợp mạnh mẽ Trí tuệ nhân tạo (AI) và máy học trong an ninh mạng. Các thuật toán máy học giúp SIEM phân tích lượng dữ liệu log khổng lồ, học hỏi các mẫu hành vi bình thường của người dùng và hệ thống, từ đó nhận diện các sai lệch hoặc bất thường một cách tự động. Công nghệ này đặc biệt hiệu quả trong phân tích hành vi người dùng (UBA), xây dựng hồ sơ hành vi cho từng người dùng, ứng dụng và thiết bị. Khi có hành vi vượt ra ngoài chuẩn mực, ví dụ như truy cập dữ liệu trái phép hoặc đăng nhập bất thường, SIEM sẽ cảnh báo. Điều này cực kỳ quan trọng cho phát hiện tấn công nâng cao (APT), các cuộc tấn công nội bộ hoặc các mối đe dọa zero-day mà không có chữ ký nào có sẵn. Ứng dụng AI/ML giúp giảm đáng kể tỷ lệ cảnh báo giả, tối ưu hóa nguồn lực cho các nhà phân tích an ninh mạng và tăng cường khả năng phát hiện tấn công mạng chính xác và chủ động.

4.2. Tích hợp Threat Intelligence và MITRE ATT CK Framework

Khả năng phát hiện tấn công mạng của SIEM được củng cố đáng kể thông qua việc tích hợp threat intelligence và sử dụng các khuôn khổ chuẩn mực như MITRE ATT&CK Framework. Threat intelligence cung cấp các thông tin tình báo cập nhật về các mối đe dọa mới nhất, các chỉ số thỏa hiệp (IoCs), và các chiến thuật, kỹ thuật, quy trình (TTPs) mà kẻ tấn công đang sử dụng. Khi hệ thống SIEM tiếp nhận các nguồn cấp dữ liệu này, nó có thể chủ động rà soát các sự kiện trong mạng để tìm kiếm các dấu hiệu phù hợp với các mối đe dọa đã biết hoặc đang nổi lên, giúp phát hiện mối đe dọa sớm hơn. MITRE ATT&CK Framework là một kho kiến thức toàn diện về các phương pháp tấn công đã được quan sát trong thế giới thực. Việc ánh xạ các cảnh báo và sự kiện từ SIEM vào MITRE ATT&CK Framework giúp các chuyên gia an ninh mạng hiểu rõ hơn về bối cảnh của một cuộc tấn công, xác định giai đoạn và mục tiêu của kẻ tấn công. Điều này không chỉ cải thiện khả năng phát hiện tấn công mạng mà còn hỗ trợ việc xây dựng các quy tắc tương quan SIEM và kịch bản ứng phó sự cố an ninh một cách hiệu quả và có chiến lược, từ đó nâng cao tổng thể bảo mật thông tin.

V. Triển khai SIEM thực tiễn Đề xuất công cụ và thử nghiệm luận văn Thạc sĩ

Việc triển khai SIEM trong thực tế là một bước đi quan trọng để củng cố an ninh mạng, và là một phần không thể thiếu trong các đề tài thạc sĩ bảo mật. Các giải pháp hệ thống SIEM hiện nay rất đa dạng, từ các sản phẩm thương mại hàng đầu đến các nền tảng mã nguồn mở, mỗi loại đều có ưu điểm và nhược điểm riêng. Luận văn Thạc sĩ của Tôn Đức Cường (2016) đã tập trung vào việc nghiên cứu và xây dựng công cụ phát hiện tấn công mạng dựa trên công nghệ SIEM mã nguồn mở, cụ thể là AlienVault OSSIM, một giải pháp thiết thực cho các tổ chức có nguồn lực hạn chế. Nghiên cứu này không chỉ dừng lại ở lý thuyết mà còn đi sâu vào các bước triển khai SIEM thực tế, từ việc thiết lập môi trường đến xây dựng các quy tắc tương quan tùy chỉnh. Việc lựa chọn giải pháp SIEM phù hợp là yếu tố quyết định. Các tên tuổi lớn như Splunk, IBM QRadar, và Microsoft Sentinel cung cấp các tính năng mạnh mẽ, khả năng mở rộng cao và được hỗ trợ bởi các nhà cung cấp uy tín, thường phù hợp với các doanh nghiệp quy mô lớn. Trong khi đó, các giải pháp mã nguồn mở như Elastic SIEM (ELK Stack) hoặc AlienVault OSSIM lại là lựa chọn hấp dẫn cho các tổ chức vừa và nhỏ, hoặc cho các mục đích nghiên cứu khoa học an ninh mạng nơi cần sự linh hoạt và khả năng tùy biến cao. AlienVault OSSIM đặc biệt nổi bật với sự kết hợp của nhiều công cụ bảo mật (IDS, IPS, giám sát lỗ hổng) trong một nền tảng duy nhất, giúp đơn giản hóa quá trình quản lý sự kiện an ninhphát hiện mối đe dọa. Phần thử nghiệm trong luận văn là một minh chứng cụ thể về khả năng của SIEM trong việc nhận diện các kiểu tấn công khác nhau, từ tấn công thăm dò, đăng nhập, đến tấn công từ chối dịch vụ (DoS) và tấn công SQL Injection. Những kết quả này không chỉ khẳng định giá trị của công nghệ SIEM mà còn cung cấp kinh nghiệm quý báu cho việc triển khai SIEM trong môi trường thực tế, giúp các tổ chức có thể chủ động hơn trong việc bảo vệ hạ tầng và dữ liệu quan trọng của mình. Việc liên tục đánh giá và tối ưu hóa các quy tắc là chìa khóa để duy trì hiệu quả của hệ thống SIEM.

5.1. Giới thiệu các giải pháp SIEM phổ biến trên thị trường

Thị trường hệ thống SIEM hiện nay rất đa dạng, cung cấp nhiều giải pháp cho các nhu cầu bảo mật thông tin khác nhau. Các sản phẩm thương mại hàng đầu bao gồm IBM QRadar, nổi bật với khả năng hiển thị thời gian thực và giảm cảnh báo giả, phù hợp cho các doanh nghiệp quy mô lớn. Splunk được biết đến với khả năng phân tích log mạnh mẽ, tìm kiếm, giám sát và phân tích dữ liệu lớn từ nhiều nguồn. Microsoft Sentinel là giải pháp SIEM gốc đám mây, tích hợp sâu với hệ sinh thái Microsoft, mang lại khả năng mở rộng và quản lý linh hoạt. Ngoài ra, Elastic SIEM (ELK Stack), mặc dù không được đề cập chi tiết trong luận văn, là một bộ công cụ mã nguồn mở phổ biến gồm Elasticsearch, Logstash và Kibana, được sử dụng rộng rãi để xây dựng các giải pháp SIEM tùy chỉnh. Đặc biệt, AlienVault OSSIM (Open Source Security Information Management), được lựa chọn trong nghiên cứu luận văn của Tôn Đức Cường (2016), là một giải pháp mã nguồn mở tích hợp nhiều chức năng bảo mật, rất phù hợp với các hệ thống quy mô vừa và nhỏ, cho phép tùy biến để tối ưu khả năng phát hiện tấn công mạng với chi phí thấp hơn.

5.2. Mô hình xây dựng và thử nghiệm công cụ phát hiện tấn công mạng

Phần trọng tâm của nhiều luận văn Thạc sĩ về an ninh mạngxây dựng công cụ thực tiễn để phát hiện tấn công mạng. Luận văn của Tôn Đức Cường (2016) đã đề xuất một mô hình cụ thể dựa trên AlienVault OSSIM. Mục tiêu xây dựng công cụ là thiết lập một hệ thống SIEM có khả năng phát hiện các kiểu tấn công phổ biến như dò quét cổng, tấn công đăng nhập, tấn công từ chối dịch vụ (DoS/DDoS) và tấn công SQL Injection. Mô hình này bao gồm việc triển khai OSSIM vào một môi trường mạng thử nghiệm, cấu hình các thiết bị nguồn để gửi log, và phát triển các quy tắc tương quan SIEM tùy chỉnh. Sau khi xây dựng, quá trình thử nghiệm được tiến hành với các kịch bản tấn công giả lập để đánh giá hiệu quả của công cụ. Ví dụ, thử nghiệm tấn công thăm dò bằng Nmap để kiểm tra cảnh báo quét cổng, hoặc tấn công đăng nhập để xác minh khả năng nhận diện các nỗ lực xâm nhập. Kết quả thử nghiệm giúp đánh giá chính xác khả năng phát hiện mối đe dọa của hệ thống, đồng thời cung cấp dữ liệu để tinh chỉnh các quy tắc và giảm thiểu cảnh báo giả, tối ưu hóa quá trình ứng phó sự cố an ninh.

VI. Tương lai của SIEM Xu hướng phát triển phát hiện tấn công mạng và kết luận

Nhìn về tương lai của SIEM, công nghệ này đang không ngừng tiến hóa để đáp ứng sự thay đổi nhanh chóng của các mối đe dọa trong an ninh mạng. Từ những nền tảng ban đầu tập trung vào quản lý nhật ký sự kiện an ninh và tương quan cơ bản, hệ thống SIEM ngày nay đang hướng tới các giải pháp thông minh hơn, tự động hóa cao hơn và khả năng dự đoán tốt hơn. Xu hướng phát triển mạnh mẽ nhất là sự tích hợp của Trí tuệ nhân tạo (AI) và máy học trong an ninh mạng. Các thuật toán tiên tiến không chỉ giúp phát hiện tấn công mạng dựa trên các mẫu bất thường mà còn có khả năng tự học hỏi từ dữ liệu lịch sử để nhận diện các mối đe dọa mới, chưa từng thấy. Điều này đặc biệt quan trọng trong việc đối phó với các cuộc tấn công zero-day và phát hiện tấn công nâng cao (APT). Một xu hướng khác là sự kết hợp chặt chẽ giữa SIEM với các nền tảng SOAR (Security Orchestration, Automation and Response), cho phép tự động hóa các tác vụ ứng phó sự cố an ninh, từ thu thập thông tin đến thực hiện các hành động khắc phục, giảm thiểu đáng kể thời gian phản hồi. Sự dịch chuyển lên môi trường đám mây cũng định hình tương lai của SIEM, với các giải pháp Cloud-native SIEM như Microsoft Sentinel mang lại khả năng mở rộng linh hoạt, quản lý hiệu quả và giảm gánh nặng hạ tầng. Bên cạnh đó, việc tích hợp sâu rộng threat intelligence và các khuôn khổ như MITRE ATT&CK Framework sẽ giúp các tổ chức có cái nhìn chiến lược hơn về TTPs của kẻ tấn công, từ đó xây dựng hệ thống phòng thủ chủ động và hiệu quả. Các đề tài thạc sĩ bảo mậtnghiên cứu khoa học an ninh mạng trong tương lai sẽ tiếp tục tập trung vào việc tối ưu hóa các thuật toán AI/ML, phát triển các mô hình phân tích hành vi người dùng (UBA) tinh vi hơn, và tìm kiếm các phương pháp mới để phát hiện mối đe dọa trong các môi trường phức tạp như IoT, OT. Kết luận, SIEM sẽ tiếp tục là trụ cột trong chiến lược bảo mật thông tin của mọi tổ chức, không chỉ là công cụ giám sát mà còn là một nền tảng thông minh để chủ động bảo vệ trước các mối đe dọa an ninh mạng ngày càng tinh vi.

6.1. Hướng phát triển của công nghệ SIEM trong an ninh mạng

Tương lai của SIEM trong an ninh mạng hướng đến khả năng tự động hóa và thông minh hóa cao hơn. Xu hướng nổi bật là tích hợp sâu Trí tuệ nhân tạo (AI) và máy học trong an ninh mạng để cải thiện khả năng phát hiện mối đe dọa, đặc biệt là các mối đe dọa chưa biết và phát hiện tấn công nâng cao (APT). Hệ thống SIEM sẽ ngày càng tập trung vào phân tích hành vi người dùng (UBA) và thực thể (UEBA) để nhận diện các hoạt động bất thường. Sự hợp nhất với SOAR (Security Orchestration, Automation and Response) sẽ giúp tự động hóa quy trình ứng phó sự cố an ninh, giảm thiểu thời gian phản hồi. Ngoài ra, Cloud-native SIEM sẽ trở thành tiêu chuẩn, mang lại khả năng mở rộng, linh hoạt và tối ưu chi phí cho các tổ chức. Việc tăng cường tích hợp threat intelligence và các khuôn khổ như MITRE ATT&CK Framework cũng sẽ giúp SIEM cung cấp cái nhìn chiến lược hơn về TTPs của kẻ tấn công, nâng cao hiệu quả phòng thủ tổng thể. Các giải pháp SIEM cũng sẽ phải thích nghi để bảo vệ các môi trường mới như IoT, OT và các hệ thống phân tán, đảm bảo bảo mật thông tin toàn diện.

6.2. Đề xuất nghiên cứu tiếp theo cho đề tài Thạc sĩ về SIEM

Dựa trên nền tảng của các luận văn Thạc sĩ như nghiên cứu về phát hiện tấn công mạng với SIEM của Tôn Đức Cường (2016), nhiều hướng nghiên cứu khoa học an ninh mạng có thể được phát triển tiếp. Một lĩnh vực tiềm năng là tối ưu hóa các quy tắc tương quan SIEM và bộ lọc để giảm cảnh báo giả, đặc biệt trong các môi trường mạng đa dạng và phức tạp. Các đề tài Thạc sĩ bảo mật có thể tập trung vào việc phát triển các mô hình máy học trong an ninh mạng tùy chỉnh, đặc biệt là trong lĩnh vực phân tích hành vi người dùng (UBA), để nhận diện các bất thường tinh vi hơn và phát hiện tấn công nâng cao (APT). Nghiên cứu sâu hơn về tích hợp SIEM với các giải pháp SOAR để tự động hóa toàn bộ vòng đời ứng phó sự cố an ninh cũng là một hướng đi hứa hẹn. Ngoài ra, việc phát triển các mô-đun threat intelligence địa phương hóa, phù hợp với bối cảnh các mối đe dọa tại Việt Nam, hoặc nghiên cứu về triển khai các giải pháp SIEM mã nguồn mở như AlienVault OSSIM trong môi trường điện toán đám mây sẽ mang lại giá trị học thuật và thực tiễn cao, đóng góp vào sự phát triển của bảo mật thông tin quốc gia.

01/10/2025

Trích đoạn nội dung tài liệu

CHƯƠNG 1. TỔNG QUAN VỀ TẤN CÔNG VÀ PHÁT HIỆN TẤN CÔNG MẠNG 1. Tấn công trong mạng máy tính 1. Khái niệm về tấn công mạng Tấn công mạng là hoạt động có chủ ý của kẻ phạm tội lợi dụng các lỗ hổng của hệ thố ng thông tin và tiến hành phá vỡ tính sẵn sàng, tính toàn vẹn và tính bí mật của hê ̣ thố ng thông tin.

An toàn mạng Internet ngày càng phát triển rộng rãi, vấn đề an ninh trên môi trường mạng ngày càng trở nên cấp thiết. Các cuộc tấn công mạng đang gia tăng cả về số lượng và mức độ nghiêm trọng. Các phương thức và hệ thống bảo mật truyền thống đã không còn hiệu quả để đảm bảo an toàn thông tin và dữ liệu cho các tổ chức, cá nhân. Yêu cầu cần có những giải pháp, công cụ tiên tiến hơn để bảo vệ thông tin và dữ liệu trên mạng máy tính.

An toàn mạng có thể hiểu là cách bảo vệ nhằm đảm bảo an toàn cho tất cả các thành phần của mạng bao gồm dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt động được ấn định và với chỉ những người có thẩm quyền tương ứng. An toàn mạng thường bao gồm: Xác định chính xác các khả năng, nguy cơ xâm nhập mạng, các sự cố rủi ro đối với thiết bị, dữ liệu trên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng. - Các kiểu vi phạm an toàn mạng Các lỗ hổng về an toàn và bảo mật của hệ thống là những tình huống có khả năng gây mất mát và tổn hại hệ thống. Có 4 hiểm họa đối với an toàn hệ thống là: Sự phá hoại, sự sửa đổi, sự can thiệp và sự giả mạo.

+ Sự phá hoại: Tài nguyên của hệ thống sẽ bị mất đi, không ở trạng thái sẵn sàng hoặc không thể sử dụng được. Cố ý phá hoại các thiết bị phần cứng, xóa bỏ file dữ liệu, chương trình hoặc làm sai chức năng quản lý của hệ điều hành để nó không thể tìm ra được file cụ thể trên đĩa. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.com 4 + Sự can thiệp: đối tượng không được phép có thể truy cập vào hệ thống sử dụng tài nguyên hệ thống hoặc sao chép chương trình, sao chép dữ liệu trái phép. + Sự sửa đổi: Thay đổi giá trị cơ sở dữ liệu, sửa đổi chương trình làm chương trình không hoạt động đúng với chức năng được thiết kế, thay đổi dữ liệu đang truyền qua phương tiện điện tử.

+ Sự giả mạo: Giả mạo những đối tượng hợp pháp trong hệ thống, đưa ra giao dịch giả vào mạng truyền thông, thêm dữ liệu vào cơ sở dữ liệu hiện có. - Các mục tiêu an toàn mạng Đảm bảo an toàn mạng là nhằm mục đích đảm bảo cho tính đúng đắn, độ tin cậy cao nhất của thông tin được xử lý, đồng thời bảo vệ được các thông tin được lưu trữ trong các cơ sở dữ liệu và thông tin lưu chuyển trên mạng. Một hệ thống được xem là an toàn chỉ có sự kết hợp của ba đặc tính: Tính bảo mật, tính toàn vẹn và tính sẵn sàng của tài nguyên mạng và các dịch vụ mạng. Vấn đề an toàn thông tin còn thể hiện qua mối quan hệ giữa người sử dụng với hệ thống mạng và tài nguyên mạng.

Các quan hệ này được đảm bảo bằng các phương thức xác thực, cấp phép sử dụng và từ chối phục vụ [1]. + Tính bí mật: Thông tin phải đảm bảo tính bí mật và được sử dụng đúng đối tượng. + Tính toàn vẹn: Thông tin phải đảm bảo đầy đủ, nguyên vẹn về cấu trúc. + Tính sẵn sàng: Thông tin phải luôn sãn sàng để tiếp cận, phục vụ theo đúng mục đích và đúng cách.

+ Tính chính xác: Thông tin phải có độ chính xác và tin cậy. + Tính không khước từ: Thông tin có thể kiểm chứng được nguồn gốc hoặc người đưa tin. Lỗ hổng bảo mật Lỗ hổng bảo mật là những lỗi phần mềm, lỗi trong đặc điểm kỹ thuật và thiết kế, nhưng đa số là lỗi trong lập trình. Cấu trúc phần mềm được thiết kế bởi con người, và những dòng code trong đó cũng được viết bởi con người, vì vậy việc xuất hiện lỗi Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.com 5 là không thể tránh khỏi.

Đây là những lỗ hổng nằm ủ mình trong hệ thống phần mềm, đợi đến khi bị phát hiện. Khi đó, chúng có thể được dùng để tấn công vào hệ thống. Các lỗ hổng bảo mật trên một hệ thống là các điểm yếu có thể tạo ra sự ngưng trệ của dịch vụ, thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể nằm ở các dịch vụ cung cấp như sendmail, web, ftp.

Ngoài ra các lỗ hổng còn tồn tại ngay chính tại hệ điều hành như trong Windows, UNIX; hoặc trong các ứng dụng mà người sử dụng thương xuyên sử dụng [1]. Phân loại lỗ hổng bảo mật : - Lỗ hổng loại C: Các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo Dos. Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống.Không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp. - Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần thực hiện kiểm tra tính hợp lệ.

Mức độ nguy hiểm trung bình; Những lỗ hổng này thường có trong các ứng dụng trên hệ thống, có thể dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật. - Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống. Các lỗ hổng loại này thường xuất hiện ở những hệ thống quản trị yếu kém hoặc không kiểm soát được cấu hình mạng.

Các kiểu tấn công mạng phổ biến - Tấn công thăm dò Kiểu tấn công thăm dò là việc thu thập dữ liệu trái phép về tài nguyên, các lỗ hổng hoặc dịch vụ của hệ thống. Việc thăm dò được thăm dò theo các bước thăm dò thụ động (thu thập các thông tin được công khai) và thăm dò chủ động(sử dụng các công cụ để tìm kiếm thông tin trên máy tính của nạn nhân). Thăm dò nó cũng là một giai đoạn tấn công, trong giai đoạn này mục đích của người tấn công là thu thập mọi thông tin của hệ thống, tìm kiếm các lỗ hổng để thực hiện các giai đoạn tấn công tiếp theo. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.com 6 - Nghe trộm (Eavesdropping) Nhìn chung, phần lớn các thông tin liên lạc mạng diễn ra ở dạng rõ (cleartext) - định dạng không bảo đảm an toàn, cho phép kẻ tấn công có thể can thiệp vào dữ liệu trên mạng như nghe lén, chỉnh sửa nội dung thông tin.

Nếu không có các dịch vụ mã hóa mạnh mẽ dựa trên mật mã, dữ liệu trên mạng có thể bị đọc bởi những kẻ có ý đồ xấu và gây ra tổn thất lớn cho cá nhân cũng như các tổ chức. Việc nghe trộm thông tin trên đường truyền có thể được thực hiện bằng việc cài keylog, phần mềm chặn bắt gói tin, phân tích giao thức hay thậm chí là các thiết bị phần cứng hỗ trợ việc “lắng nghe” các thông tin liên lạc trên mạng. - Tấn công truy cập Tấn công truy cập là kiểu tấn công giúp người xâm nhập lấy được quyền truy cập trái phép của một hệ thống bảo mật với mục đích thao túng dữ liệu, nâng cao đặc quyền hay đơn giản chỉ là truy cập vào hệ thống. + Tấn công truy cập hệ thống: Người tấn công thường tìm kiếm quyền truy cập đến một thiết bị bằng cách chạy một đoạn mã, bằng những công cụ hỗ tợ (Hacking tool) hoặc là khai thác một điểm yếu của ứng dụng hay một dịch vụ đang chạy trên máy chủ.

+ Tấn công truy cập thao túng dữ liệu: Thao túng dữ liệu xuất hiện khi kẻ xâm nhập đọc, viết, xóa, sao chép hay thay đổi dữ liệu. + Tấn công truy cập nâng cao đặc quyền: Nâng cao đặc quyền là một dạng tấn công phổ biến. Bằng cách nâng cao đặc quyền, kẻ xâm nhập có thể truy cập vào các files hay folder dữ liệu mà tài khoản người sử dụng ban đầu không được cho phép truy cập. Khi kẻ xâm nhập đạt được mức độ quyền truy cập đủ cao, họ có thể cài đặt phần mềm như là backdoors và Trojan horses, cũng như cho phép truy cập sâu hơn và thăm dò.

Mục đích chung là chiếm được quyền truy cập ở mức độ quản trị. Khi đã đạt được mục đích đó, họ có toàn quyền điều khiển hệ thống mạng. - Tấn công từ chối dịch vụ Đây là cách tấn công làm cho hệ thống bị tấn công quá tải không thể cung cấp dịch vụ, làm gián đoạn hoạt động của hệ thống hoặc hệ thống phải nhưng hoạt động. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.com 7 Tùy theo phương thức thực hiện mà mà nó được biết dưới nhiều tên gọi khác nhau.

Mục đích là lợi dụng sự yếu kém của giao thức TCP (Transmision control protocol) để thực hiện tấn công tưg chối dịch vụ Dos (Denial of Service), mới hơn là tấn công từ chối dịch vụ phân tán Ddos, mới nhất là tấn công từ chối dịch vụ theo phương pháp phản xạ Drdos. + Tấn công từ chối dịch vụ cổ điển Tấn công từ chối dịch vụ cổ điển DoS là một phương pháp tấn công từ chối dịch vụ xuất hiện đầu tiên với các kiểu tấn công như Smurf Attack, Tear Drop, SYN Attack… Các kiểu tấn công này thường được áp dụng đối với đối tượng tấn công là hệ thống máy chủ bảo mật kém, băng thông (bandwidth) yếu, thậm chí trong nhiều trường hợp, đối tượng tin tặc có thể sử dụng đường truyền có tốc độ vừa phải cũng có thể thực hiện thành công các kiểu tấn công này. Tear drop: Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống đích đều phải trải qua 2 quá trình: dữ liệu sẽ được chia ra thành các mảnh nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset định để xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ