Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 1

Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 1 có nội dung trình bày các khái niệm về giám sát an toàn mạng và chu trình giám sát an toàn mạng, những thách thức đối với một hệ thống NSM, chuyên gia phân tích NSM; các phương pháp thu thập dữ liệu, thiết bị thu thập dữ liệu là các cảm biến và các loại dữ liệu NSM;... Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --------------------------- NGUYỄN NGỌC ĐIỆP BÀI GIẢNG KỸ THUẬT THEO DÕI, GIÁM SÁT AN TOÀN MẠNG HÀ NỘI, 2015 GIỚI THIỆU Ngày nay, Internet đã phát triển vô cùng mạnh mẽ và có ảnh hưởng rất lớn đến hầu hết các hoạt động kinh tế, văn hóa và xã hội. Dường như không có sự khác biệt nhiều lắm giữa việc người dùng tham gia vào các hoạt động trong môi trường mạng Internet so với cuộc sống thực bên ngoài. Đi kèm đó, ngày càng xuất hiện nhiều hơn những nguy cơ liên quan đến việc bảo mật và bảo vệ tài sản của người dùng và các tổ chức, dẫn đến ngày càng có nhiều hơn những nhu cầu bảo vệ tài sản trên mạng. Trong hơn một thập kỷ qua, đi cùng với những nguy cơ và nhu cầu đó, khái niệm giám sát an toàn mạng (network security monitoring, NSM) đã ra đời và phát triển, thông qua chu trình giám sát an toàn mạng giúp các cá nhân và tổ chức nâng cao chất lượng bảo vệ toàn vẹn tài sản của họ. Bài giảng “Kỹ thuật theo dõi, giám sát an toàn mạng” được biên soạn nhằm hỗ trợ cho sinh viên Đại học Công nghệ thông tin, đặc biệt là chuyên ngành An toàn thông tin, có được những kiến thức chuyên sâu về giám sát an toàn mạng, hoặc những người quan tâm đến lĩnh vực này có thể tham khảo. Bên cạnh những nội dung lý thuyết tập trung vào quy trình giám sát an toàn mạng, bài giảng còn đưa ra những ví dụ cụ thể trong thực tế và hướng dẫn các hoạt động thực hành, giúp người đọc nắm chắc được về mặt công nghệ và kỹ thuật liên quan. Nội dung trong bài giảng được tham khảo từ một số tài liệu chuyên ngành về NSM, đặc biệt là cuốn sách “Applied Network Security Monitoring” của các tác giả Chris Sanders và Jason Smith. Đây là một tài liệu được rất nhiều giáo viên và sinh viên sử dụng cho mục đích nghiên cứu và học tập. Bài giảng được cấu trúc với bốn nội dung chính như sau: Chương 1 giới thiệu các khái niệm về giám sát an toàn mạng và chu trình giám sát an toàn mạng, những thách thức đối với một hệ thống NSM, chuyên gia phân tích NSM, và giới thiệu bộ công cụ Security Onion, là bộ công cụ rất hữu dụng trong giảng dạy và học tập. Các chương tiếp theo trong bài giảng sẽ trình bày cụ thể về các bước trong chu trình giám sát an toàn mạng, bao gồm thu thập dữ liệu, phát hiện xâm nhập và phân tích dữ liệu để có thể đưa ra những cảnh báo và các biện pháp đối phó với những nguy cơ an toàn mạng. Chương 2 trình bày về các phương pháp thu thập dữ liệu, thiết bị thu thập dữ liệu là các cảm biến và các loại dữ liệu NSM: dữ liệu phiên, dữ liệu bắt gói tin đầy đủ và dữ liệu kiểu chuỗi trong gói tin. Chương 3 thảo luận về các kỹ thuật phát hiện xâm nhập, dấu hiệu tấn công và chữ ký, và các phương pháp phát hiện xâm nhập: dựa trên danh tiếng, dựa trên chữ ký và dựa trên dữ liệu bất thường thống kê, cùng với các công cụ thực hành cụ thể là Snort, Suricata và SiLK. Cuối cùng, chương 4 trình bày về kỹ thuật phân tích gói tin với các công cụ như Tcpdump và Wireshark. Chương này cũng trình bày về chu trình thu thập tri thức về nguy cơ bảo mật cho NSM và quá trình tạo tri thức về tài nguyên cần bảo vệ cũng như tri thức về nguy cơ bảo mật. Phần cuối chương trình bày về quy trình phân tích dữ liệu. ii MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT VÀ THUẬT NGỮ ................................................................... v CHƯƠNG 1 GIỚI THIỆU VỀ GIÁM SÁT AN TOÀN MẠNG ................................................. 1 1.1 CÁC THUẬT NGỮ CHÍNH TRONG NSM .................................................................. 1 1.2 PHÁT HIỆN XÂM NHẬP ................................................................................................ 3 1.3 GIÁM SÁT AN TOÀN MẠNG (NSM)............................................................................ 4 1.4 PHÒNG THỦ THEO LỖ HỔNG BẢO MẬT VÀ PHÒNG THỦ THEO NGUY CƠ ..... 6 1.5 CHU TRÌNH GIÁM SÁT AN TOÀN MẠNG ................................................................. 7 1.6 THÁCH THỨC ĐỐI VỚI HỆ THỐNG NSM .................................................................. 8 1.7 CHUYÊN GIA PHÂN TÍCH CỦA HỆ THỐNG NSM .................................................... 9 1.8 BỘ CÔNG CỤ SECURITY ONION .............................................................................. 11 CHƯƠNG 2 THU THẬP DỮ LIỆU ........................................................................................... 16 2.1 PHƯƠNG PHÁP THU THẬP DỮ LIỆU ....................................................................... 16 2.1.1 Giới thiệu phương pháp ............................................................................................ 16 2.1.2 Ví dụ tình huống: Cửa hàng bán lẻ ........................................................................... 19 2.2 KIẾN TRÚC CẢM BIẾN................................................................................................ 25 2.2.1 Các loại dữ liệu NSM ............................................................................................... 26 2.2.2 Các loại cảm biến ..................................................................................................... 26 2.2.3 Phần cứng cảm biến .................................................................................................. 28 2.2.4 Hệ điều hành cảm biến ............................................................................................. 30 2.2.5 Vị trí đặt cảm biến .................................................................................................... 31 2.2.6 Bảo mật cho cảm biến .............................................................................................. 32 2.3 DỮ LIỆU PHIÊN ....... ...