Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
➤ Gửi thông báo lỗi ⚠️ Báo cáo tài liệu vi phạmNội dung chi tiết: Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
https://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 P Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 PHÁT HIỆN XÂM NHẬPChương này trinh bày các vấn đề liên quan đến bước phát hiện xâm nhập trong chu trinh giám sát an toàn mạng, bao gồm một số nội dung sau: các kỳ thuật phát hiện xâm nhập, dấu hiệu tan công và chừ kỷ. các phương pháp phát hiện xâm nhập như phương pháp phát hiện xâm nhập dựa trẽn dan Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 h tiếng, phương pháp phát hiện xâm nhập dựa trên chữ kỷ vả phương pháp phát hiện xâm nhập dựa trên dữ liệu bất thường thống kẽ, và các công cụ thực hàBài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
nh cụ thè là Snort, Suricata và SiLK.3.1CÁC KỸ THUẬT PHÁT HIÊN XÂM NHÁP, DÁU HIỆU TẮN CÔNG VÀ CHỮ KÝ3.1.1Kỳ thuật phát hiện xâm nhậpPhát hiên xâm nhậphttps://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 P Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 hát hiện dươc chuyền tới chuyên gia phân tích, và đó là khi việc phân tích bat đau. Đẻ thực hiện phát hiện thành công, cẩn chú ý đến việc lựa chọn cơ ché phát hiện và đầu vào thích hợp.Phẩn lớn các cơ chế phát hiện xâm nhập dược thao luận trong tài liệu này là những hê thống phát hiện xàm nhập dựa t Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 rẽn mạng (NIDS). bao gồm hai loại chính là dưa trên chữ ký và dưa trên phát hiện bất thường.Phát hiện dựa trên chừ ký là hình thức lâu đời nhất của phBài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
át hiện xâm nhập. Phương pháp nãy thực hiện bảng cách duyệt qua dừ liệu đẻ tim các ra các kết quả khớp với các mầu đà biết. Ví dụ đơn gián cua mô hìnhhttps://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 P Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 dụng một giao thức nào đó. Khi các mầu đirợc chia thành các mâu nhỏ độc lập với nen tâng hoạt động, chúng trở thành dấu hiệu cùa tấn công. Khi được mò tá bằng ngôn ngữ cụ thè trong nền tang cùa một cơ chế phát hiện xâm nhập, chúng trở thành chừ ký. Có hai cơ chế phát hiện dựa trẽn chữ ký phò biên l Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 à Snort vã Suricata (sè được giới thiệu trong phan sau).Một tập con các phát hiện dựa trên chữ ký là phát hiện dựa trên danh tiếng. Cơ chế phát hiện nBài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
ày cố gắng phát hiên thòng tin liên lạc giữa các máy tinh đtrợc báo vệ trong mạng và các máy tính trên Internet có thè bị nhiễm độc do đã từng tham gihttps://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 P Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 hình thức mới của phát hiện xâm nhập, được pho biên nhanh chỏng nhờ các công cụ như Bro. Phát hiện dựa trên bắt thưởng dựa vào quan sát sự cố mạng và nhận biết lưu lương bất thường thòng qua các chẩn đoán và thống kê. Thay vi chi đơn giãn là cảnh báo bat cứ klii nào phát hiện ra máu tan còng, cơ ch Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 ế phát hiện dựa trên bat thường có khả năng nhận ra các mẫu tan công khác biêt với hành vi mạng thông thường. Đảy là cơ chế64phát hiên rất tốt nhưng kBài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
hó thực hiện. Ví dụ, Bro là một cơ chế phát hiện bất thường, và thực hiện phát hiện bat thường dựa trên thống kê.Một tập con mới dược phát triển cùa phttps://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 P Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 ác mẫu tấn công cho mục đích nghiên cứu. Nhưng chúng cùng có thề được ứng dụng tốt trong phát hiện xầm nhập bàng cách cấu hình hê thống. Honeypot thưởng chứa các lỗ hống đã đtrợc biết đen. nhung chủng không có dừ liệu bí mật thực te. Thay vào đó. chúng được cấu hình cho việc ghi lại dử liệu, và thườ Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 ng được kết hơp với các loại khác cùa NIDS hoặc HIDS.3.1.2Đau hiệu xâm nhập và chử kýCác cơ che phát hiện sẽ không hiệu quá nếu dử liệu đầu vào khôngBài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
đtrợc chuẩn bị kỳ càng và hơp lý. Điều nãy liên quan đến sự phát triển, duy tri và thực hiện các dấu hiệu xâm nhập (Indicators of Compromise - IOC) vàhttps://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 P Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 giãn như địa chi IP của máy chủ chi huy và kiểm soát (command and control server - c&c hay C2), hoặc một tạp hợp phức tạp các hãnh vi chi ra rằng máy chủ thư điện tử đã bị sử dụng như là một SMTP relay độc hại. IOC có thể đtrợc trinh bây theo nhiều cách thức vã định dạng khác nhau đê có thê đtrợc sữ Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 dụng bởi các cơ chế phát hiện khác nhau. Ví dụ, một công cụ có thể có thê phân tích các địa chi IP trong một danh sách phân cách bới dắu phay, một còBài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
ng cụ khác có the yêu cầu chúng phái đtrợc đưa vào một cơ sở dừ liệu SQL. Mặc dù biêu diễn cùa IOC đã đirợc thay đổi. nhưng nó vấn còn phủ hợp. Hơn nữhttps://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 P Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 Khi một IOC được thực hiện và được sử dụng trong một ngôn ngữ hoặc định dạng cụ thể. chăng hạn như một luật Snort hoặc một tệp tin theo định dạng Bro, nó sẻ trờ thành một phần cùa một chừ ký. Một chữ ký có thể chứa một hoặc nhiều IOC.IOC cho mạng và máy tinhCó 2 dạng phô biến nhất cùa IOC là dựa trê Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 n mạng và máy tính. IOC cho máy tính lã một mấu thông tin đtrợc tim thấy trên một máy tính, mô tã khách quan một xâm nhập. Một số IOC cho máy tinh thôBài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
ng thường lã tài khoán người dùng, dường dần thư mục, tên tiền trinh, tên tệp tin, khóa dăng ký (registry), ... IOC cho mạng là một mầu thông tin có thttps://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 P Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 huồi vãn bân. giao thức truyền thõng....IOC tĩnhIOC tĩnh lã nhùng IOC mã giá trị đtrợc định nghĩa một cách rõ ràng. Có ba biển thẻ của IOC tĩnh lã đơn vị (hay còn gọi lã nguyên tố), được tinh toán, và hành vi (Hinh 3.1).65I(X tatIIKX đưẹe■KX d.Mi ri■IOC đự» ụrinh toán 1■rinh loin ĩ■ J■41OC đơn lị II Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 KXÍơnrị ■Hình 3.1 I0C đơn vị, được tinh toán và hành viIOC đon vị lã các IOC cụ thể và nhó mà không thè chia đtrợc tiếp thành các thành phan nhó hơnBài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
nừa. nhưng vẫn có ỷ nghĩa trong tình huống môt xàm nhập. IOC đơn vị có thê là đĩa chi IP, chuối vãn bản. tèn máy. địa chi thư điện tử. và tên tệp tin.https://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 P Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 và IOC được tính toán được kết hợp với nhau theo một số hình thức logic, dùng đề cung cap cho một so tình huống hữu dụng. IOC hành vi có the bao gom một tập các dữ liệu chứa tên tệp tin và các giá trị băm tương ứng. hoặc một sự ket họp của một chuồi vãn băn và một biểu thức thông thường.Xem xét một Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 kịch ban đà xác định là có một thiết bi trên mạng bi xâm nhập. Một phàn tích từ dữ liêu NSM và dừ liệu phân tích dựa trên máy chú giúp xác định chuỗiBài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2
sự kiện xay ra như sau:1.Người dùng nhân được một e-mail từ chris@appliednsm.com với chu đề "Thòng tin tiền lương” và một tệp PDF đinh kèm là "Payrolhttps://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 P Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 dll với MD5 là da7140584983eccde51ab82404ba40db. Tệp tin dược tài về từ http://www.appliednsm.comkemel32.dll.3.Tệp tin đtrợc dùng đe ghi đè lẽn C: 'Windows S\’stem32. kernel32.dll.4.Mã trong DLL đtrợc thực thi. và một kết noi SSH đtrợc thiết lập tới một máy chủ có địa chi IP là 192.0.2.75 trẽn cổng Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 9966.https://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 Phttps://khothu vien .comHỌC VIỆN CÔNG NGHẸ Bưu CHÍNH VIỀN THÔNGNGUYÊN NGỌC ĐIỆPBÀI GIẢNGKỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNGHÀ NỘI, 2015CHƯƠNG 3 PGọi ngay
Chat zalo
Facebook