Luận văn giải pháp và công cụ hỗ trợ phát hiện bất thường trong hoạt Động vận hành khai thác các hệ thống thông tin tại viettel

Cac bat thường cần dược phát hiện như đăng nhập trái phép vào hệ thống, tiến trình lạ thực tiện đỏ quét trên hệ thông mạng nội bộ, thực liện kết nội ra ngoài bất thường, tiên trình mở cô

DAI HOC QUOC GIA HA NOI

TRUONG DAI HOC CONG NGHE

-00000 -

[3

[NGHỆ /

NGUYÊN ĐĂNG TIỆP

GIẢI PHÁP VÀ CÔNG CỤ HỖ TRỢ PHAT HIEN BAT THUONG TRONG HOAT DONG VAN HANH KHAI

THAC CAC HE THONG THONG TIN TAI VIETTEL

LUAN VAN THAC SI HE THONG THONG TIN

Hà Nội - 09/2020

ĐẠI HỌC QUỐC GIÁ HÀ NỘI

‘TRUONG DAL HOC CONG NGHE

NGUYEN DANG TIEP

GIAI PHAP VA CONG CU HO TRO PHAT HIEN BAT

THƯỜNG TRONG HOẠT ĐỘNG VẬN HẦNH KHAI

THAC CAC HE THONG THONG TIN TAI VIETTEL

Ngành: Hệ thống thông tin Chuyên ngành: Hệ thống thông tin

Mã Số: 848010401

LUẬN VĂN THẠC 8Ï HỆ ‘THONG ‘THONG ‘TIN

TIVONG DAN KIIOA IIQC: PGS TS PIIAM NGOC HÙNG

Hà Nội - 09/2020

Chương 1 Kiến thức cơ ban

1.1 Bất thường vả các phương pháp phát hiện bất thường phổ biển

1.11 Bất thường

1.1.2 Các phương pháp phát hiện bất thường phổ biến

1.1.3 Các thách thức trong phát hiện bất thường:

1.2 Các phương pháp dánh giá mót hệ thống phân lớp dữ liệu

1.21 True/False Positive/Negative

1.2.2 Độ chính xác và dộ hỏi tưởng,

1.23 Tém tắt

Chương 2: Mô bình phát hiện hành ví đăng nhập hệ thắng bắt thường,

2.1 Giái thiệu để tài phát hiện bắt thuờng trên hệ thống

2.2 Mô tả bài toán bất thường đăng nhập

3.3 Giới thiệu mô hình hệ thống phát hiện bắt thường,

ii

LỜI CẢM ƠN

Truớc tiên tôi xin dành lời cảm cm chân thành và số đến thay gido, PGS

TS Pham Ngoc Hing, người dã hướng đẫn, khuyến khích, chỉ bão vả tạo cho tôi

những điển kiện tết nhật từ khi bắt đầu thực hiện luận văn cho tới khi hoàn thành

công việc của mình

Tôi xin dành lời cảm ơn chân thành tới cáo thây c6 giáo Khoa Công nghệ thông tin, Trường Đại học Công nghệ, ĐHQGEN đã tận tỉnh dào tạo, cung cắp cho

tôi những kiến thức võ cùng quý giá và đã tạo điều kiện tốt nhất cho tôi trong suốt

quá trình học tập, nghiên cửu tại Trường,

Đông thời tôi xin cảm ơn tắt cả những người thân yêu trong gia đình tôi cùng

toàn thể bạn bè những người đã luôn giúp đỡ, động viên tôi Irong quá trình học lập

vả nghiên cửu

Cuối củng, tôi xm chân thành cảm ơn các dông nghiệp đã giúp dỡ, tạo diều

kiện thuận lợi cho tốt học tập và nghiên cứu chương trình Thạc sĩ tại Trường Dai hoc Công nghệ, BHOGHN.

vẻ truy cập vào các lải nguyên mạng

ASN Autonomous System Number | Số hiệu mạng thường dược dùng,

trong các thủ tục định tuyên động

trên mạng Internet

ATIT ‘An toan théng tin

AV Antivirus Phần mềm digt virus may tinh

CNTT Công nghệ thông tín

GSM Gateway Security Hé@ théng, quan ly an toan théng tin

1IDS Ladoop Distributed File 18 théng luu trữ file được dùng bởi

SP Tolernel, Service Provider ‘Nha cung cap dich vu Internet

ISON JavaScripl Object Nolation | Một dạng đữ liệu Luân theo trột (uy

luật nhất định mà hân hết các ngôn ngữ lập trình hiện nay đều có thể dọc

được Có thế sử đụng lau nó vào ruột tập, một bán ghủ trong cỏ sở dữ liệu

để dàng NIST National Institute of Standards | Vién tiêu chuẩn và Công nghệ Quốc

Management PCA Principal component analysis | Phương pháp phân tích thành phân

chính

SDM Security Data Mining Hệ thông khai phả dữ liệu an toán

thông tin SIEM Sccunly Tnformation and Hệ thông quản lý và phân tích gự

vent Management kiện an toàn thông tin

UEBA ‘User & Entity Behavior Phân tích bắt thường về hành vị

Analytics người đùng và thục thể

iv

LỜI CAM DOAN

Tôi xin cam doan rằng luận văn thạc sĩ chuyên ngành hệ thông thông tin “Giải

pháp và công cụ hỗ trợ phát hiện bất thường trong hoạt dông vận hành khai thác các

hệ thống hông tìn tại Viettel” là công trình nghiên cứu của riêng tôi đưới sự hướng dẫn của PGS TS Phạm Ngọc Hùng, không sao chép lại của nguời khác Trong toàn

bộ nội dung của luận văn, những điều đã được trình bày hoặc là của chính cá nhân

tôi hoặc là được tống hợp từ nhiều nguồn tài liệu Tât cả các nguồn tài liệu tham khảo đều có xuất xử rỡ ràng, hợp pháp và được trich dẫn trưng thực

Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỹ luật theo quy định cho lời cam đoan này

Hà Nội, ngày 01 tháng 9 năm 2020

Học viên

Nguyễn Đăng Tiệp

DANH MUC HINH VE

Hình 1.1 Một ví dụ về bất thường diểm trong một tập dữ liệu trong không gian

ất thường tập hợp về lưu lượng trên hệ thống

Ví dụ bài toán phân lớp phát hiện thư rác

Mô hình tổng thể hệ thống giám sát an toàn thông tin

Mô hình luồng đữ liệu cho hệ thông phát hiện bat thường

Mê hình hệ thống phát hiện bất thường,

Các thuộc tính liên quan dén dia chi IP

Cấu trúc đữ liệu hành vi phát hiện bất thường

Các thuộc tính sử dụng để phát hiện bât thường đăng nhập

Mô hinh phân bố của một thuộc tính

Hệ thống quản lý việc xứ lÿ song song

Lập lịch và cầu hình chạy định kì phân tích đữ liệu

Các Jab chạy định kì phân tích dữ liệu

Joh chạy định kì phân tích dữ liệu hành vi bắt thường,

Kết quả chạy với lập đữ

Kết quả chạy với tập đữ liệu

Biểu đồ tại ngưỡng 63

Kết quả dầu ra của viện xác định ngưỡng cảnh bão

Hình 3.10 Cánh báo trên hệ thông

6

Giới thiệu

Trong những năm gan day, sw phat triển mạnh các hệ thông va tng dung công nghệ

thông tin (CNTT) đã đem lại những lợi ích không nhỏ cho con người bao gôm cá đời

sống, công nghệ, kinh tế, xã hội, v.v Tiên cạnh đẻ, vẫn để an ninh vả bão mật vé dam

bảo an toàn thông tin chơ các hệ thống công nghệ thông tia cũng là một thách thức

không nhỏ Các hành vi xâm nhập trải phép, tấn công vào những hệ thông máy tính của các cá nhân hay tố chức cũng ngày cảng gia tăng và gầy ra nhĩng thiệt hại nghiêm

trọng Theo trang thông tu của VTV (Đài truyền hình: Nam), mội báo cáo năm:

2020 mới dây dược công ty bảo mật Bkav công bổ cho thấy, tại Việt Nam, néu như vao năm 2018, tổng thiệt hại do tắn công mạng là gân 15.000 tỷ đêng thì đến hắt năm

2019, con số này đã là gần 21.000 tỹ đồng Mức thiệt hại đã tăng tiềm hơn 6.000 lý

đẳng, tương đương với khoảng 40% Theo thông kê của Bkay, số lượng máy tính bị xuất đữ liệu trong năm 2019 lên tới L.E triệu lượt, tăng 12% so với năm 20181 Và

theo báo cáo từ hãng bảo mật Kaspersky, so với năm 2018, số lượng các mối đe doa được phát biện bởi phần mềm điệt virút trên web đã lắng gấp hơn năm lần (5239),

tổng cộng 1a 2.660.000 vào năm 20192,

Tháng 4/2019, dữ liệu cá nhân của hơn 106 triệu người dùng của dịch vụ tìm kiếm

Ăn Độ có tên TustĐial bị lộ khi một ca sở dữ liệu trực tuyên không được bão vé Dit

liên bị rõ tỉ được Ihu thập trong thời gian thực Lừ mọi khách hàng truy cập dịch vụ qua trang Web, ứng dụng di động hoặc thậm chỉ các cuộc gọi và bao gồm tên người

dùng, địa chỉ email, số điện thoại di động, địa chỉ, nghề nghiệp và thậm chí cả ảnh cả

nhân, v.v 2

Thang 6/2019, co quan thu thập y tế Mỹ (AMCA) bị khai tháo dữ liệu làm lộ thông,

tin cá nhân và thông lim thanh Loán của gần 2Ô triệu bệnh nhân sau khi bị lân công,

xâm nhập vào công thanh toản của họ Thông tin bị truy cập trải phép bao gồm tên, ngày sinh, địa chỉ, điện thoại, ngảy dịch vụ, nhả cung cấp, thông tín số dư và thế tín

dụng hoặc tải khoản ngân hàng, v.v Chỉ vài tuân sau khi các vĩ phạm nảy được công

bổ, AMCA đã nộp dơn xin phá sẵn với lý do tài chính vả pháp lý° Tháng 8/2019, Capital One, một trong những ngắn hàng thương mại lớn nhật ở Mỹ, đã bị đánh cắp

đữ liệu, lãm lộ thông tin cá nhân của hạn 106 triệu thể tín dụng từ năm 2005 dén năm

m

2019 Tin tặc đã khai thác một cầu hình sai của thiết bị tường lửa trên một trong

những máy chủ cung cấp địch vụ ảo hoá (Cloud) của Capital One và lây cắp hơn 700

thư mục dữ liêu?

Tháng 10/2019, dữ liệu y tế cá nhân của gần một triệu người ở New Zealand đã bị lộ trong một cuộc tân công xâm nhập vào hệ thông của tổ chức Tu Ora Compass Health Một tin tặc với cái tén “Vanda The God” đã đe dọa bán những thông tin nảy Các

cuộc điều tra cho thây hệ thống đã bị tấn công vào bổn lần khác nhau” Tháng 1 1/2019,

UniCredit, một ngân hàng của Italia, bị xâm phạm đữ liệu dẫn đền rỏ rỉ thông tín cả nhân của ba triệu khách hàng, sau khi một kẻ tắn công không xác định xâm phạm một

tệp cũ từ năm 2015 chứa hồ sơ của khách hàng, bao gồm tên, số điện thoại và địa chỉ

quan trọng khác chưa được thực hiện tốt đó là phát triển và thực hiện các hoạt động thích hợp đề xác định sự xuất hiện của một sự kiện về an ninh mạng vả tô chức trien khai các hoạt động xử lý liên quan đến việc phát hiện cảnh bảo liên quan đến an toàn thong tin Cu thé, các kế hoạch ứng phó, truyền thông, phân tích, giảm nhẹ thiệt hại

và cải tiên Để thực hiện hai nhiệm vụ nảy, việc phân tích bắt thường vả các sự kiện

trên hệ thông là một trong những biên pháp quan trọng đề hỗ trợ phát hiện kịp thời các sự kiện về an ninh mạng đẻ từ đó đơn vị có những biện pháp ứng phó kịp thời để dam bảo an toàn thông tin Việc phân tích bất thường về hảnh vi người dùng và thực

the (User & Entity Behavior Analytics - UEBA) cũng là một chủ de được quan

tâm tại nhiều đơn vị và trên thế giới cũng cỏ nhiều hãng công nghệ về bảo mật cũng

rất quan tam dén van đề như LogRhythm hay Exabeam, Securonix và xây dựng

những công cụ cho việc đẻ phát hiện vả cảnh báo các nguy cơ mất an toàn thông tin

trên hệ thông

Hiên tại, Tổng Công ty Mang lưới Viettel (VTNet) đang vận hành hệ thông công nghệ

thông tin lớn với hàng nghìn máy chủ và thiết bị mạng, thiết bị bảo mật và hệ thông

cơ sở đữ liêu lớn lưu trữ nhiều thông tin quan trọng liên quan dén ha tang mạng lưới cung cap dich, thông tin cả nhân, tài khoản, giao dịch của khách hàng, v.v Hệ thông đang cung cấp dịch vụ cho hàng triệu khách hàng với hơn 60 triệu thuê bao di động

củng hơn Š triệu thuê bao có định băng rộng tỉnh đến đầu năm 2020 Và đề dam bao việc cung cấp địch vụ của hệ thông, các hoạt động vận hành khai thác hệ thông, công

° https://www.ntsc.org/assets/pdfs/cyber-security-report-2020.pdf

nghệ thông tin nảy với việc truy cập vào các máy chủ, cơ sở đữ liệu, thiết bị mang để

kiểm tra tỉnh trạng hoạt động, khai thác, cập nhật dữ liệu, xử lý các lỗi địch vụ phát sinh, v.v diễn ra thường xuyên và liên tục, Chính vị vậy, hệ thắng CNTT lớn và quan

trọng này cỏ nguy cơ và rồi ro cao vẻ việc xuất an toàn thông tia (ATTT), Một số nguy cơ mất ATTT trên hệ thống như việc xâm nhập, tác động trải phép vào hệ thông, wham lấy cắp, sửa đổi thông tím, đặc biệt các thông lín thông lín dữ liệu về khách

hang, pha hoal gay thiệt hại về kính tế (như thấy đổi thông tị, giả trị lài khoản của

khách hàng) và ảnh hưởng én dén uy tín đến công ty Các hoạt đông kiểm soát cũng

Tihư triển khai các công cụ, giải pháp bảo mật nhằm tăng cường giám sát, bảo vệ cho

kệ thông CMTT này đã được triển khai vả áp dụng chặt chẽ Tuy nhiên, các hoạt dộng, kiểm tra, dánh giá bất thường trong các hoạt động vận hành khai thác hệ thông CMTT aay vẫn chữa có công cu dé quan ly loan điện để phân tích và đưa ra cảnh bảo trên hệ thông giảm sát ATTT của VTNeL Một số nội dụng đang phải thực hiện thủ công bằng

cách thực hiện định kỳ kiểm tra lại log tác động trên hệ thẳng đễ phát hiện và xử lý các trường hợp sai phạm vẻ truy cập, tác động hệ thông sai quy định Do đỏ, yêu cầu

thực tế đặt ra cần xây dựng, công cụ phân tích nhằm phân tich các sự kiện, các dâu

hiệu bất thưởng trong việc truy cập, tác động vào các hệ thống quan trọng nhằm hỗ trợ cho việc phát hiện, cảnh báo để tổ chức hành động xử lý kịp thời để đêm bão øn

toàn thông lin tai don vi

Mue dich nghiên cứu của luận văn này là hướng đến giải quyết bài toán phát hiện bat thường trong hoạt đông vận hành khai thác các hệ thông CNTT tại VINet Cac bat thường cần dược phát hiện như đăng nhập trái phép vào hệ thống, tiến trình lạ thực tiện đỏ quét trên hệ thông mạng nội bộ, thực liện kết nội ra ngoài bất thường, tiên trình mở công bắt thường trên hệ thông từ việc phân tích các log kết nói, đăng nhập (thời điểm đáng nhập vào hệ thống, thời gian tác động, địa chỉ IP client sử dựng, địa chỉ TP hệ thông bị tác động, thông tin yêu câu về dữ liệu được truy xuâi, nội dung thay dồi, v.v) Vì các hệ thống tại VTNet khả lớn nên dẻ tải tập trung thực hiện trên các hệ thống CNTT quan trọng nhằm xây dựng mô hình và cộng, cụ thu thập, phân

tích log và phát hiện bái thường về đăng rhập trên hệ thông Và kết quả từ đề lài này

bất thưởng này có thể dược tiếp tục dược mở rộng với

ubiéu bai toán phân lich và phát hiện bất thường khác trong hoại động vận hành khai

thác các hệ thống thông tin tại đơn vị như bất thường về lưu lượng kết nói, hất thường,

vẽ các giao dịch tài chính, bất thường trong vệc táo động cáo lệnh vào hệ thống, v.v

cũng như oác tình huỏng phân tích phức tạp với nhiều sự kiện kết hợp lại với nhau.

Nôi dung của hiận văn được trình bảy trong ba chương, phân giới thiệu và phân kết luận Mở đầu là phần giới thiệu về đề tải, trình bảy ngữ cảnh bài toán, những lý do chọn để tải, mục tiêu của để tải và cầu trúc của luận văn, Các khái niệm về bất thường, các kiến thức cơ bản, các phương pháp phát hiện bất thường và các thách thức dối với việc phát hiện bắt thường dược trình bảy tiếp trong Chương 1 Chương 2 sẽ giới thiệu bài toàn, để xuất giải pháp, thiết kế hệ thống phái hiện bất thường và áp dung

ái thường vào hệ thông KếL quả thực nghiệm, đánh:

giá thuật toán, kiểm tra mô hình và điều chính tham số của hệ thêng của giải pháp được bảy trong Chương 3 Cuối cùng là phần kết luận, định hướng mở rộng vá tài

liệu tham khảo.

Chương 1 Kiến thúc cơ bắn

Để mô tã rõ hơn về bài toàn phát hiện bất thường, trong Chương 1, luận văn sẽ giới thiệu các khái niệm cơ ban vẻ bắt thường và các phương pháp phát hiên bất thường, phổ biến cũng như các phương pháp đánh giả một hệ thống phân lớp đữ liệu Các khái niệm và phương pháp được trình bảy trong chương nay 14 những kiến thức nên tầng cho mồ hình để xuất rong Chương 2

1.1 Bất thường và các phương pháp phát hiện bất thường phẳ biến

1.11 Bất thường

Tiất thường là những đồi tượng, sự kiện hay đâu hiệu không phủ hợp hoặc không tuần theo với hầu hết những, đổi tượng, sự kiện hay dầu hiệu cỏn lại trong tập đề liệu được

xác định là bình thường [10] Hoặc nó có thể được định nghĩa là bất kỳ hành vi nào

“khác” với hành vĩ “bình thường” |4] Bắt thường thường có tỉnh chất tạm thè

Tiện hay biên rất không Luân theo quy Tuậi Việc phát hiện bất thường để cập

vấn để của việc tìm kiếm gác mẫu trong tập đữ liệu mà không phủ hợp với hành vi

mong, doi [1] hay tim kiém các các cá thể khác với phân lớn dữ liệu trong tập dữ liệu [6] Những mẫu không phủ hợp này thường được gọi là bắt thường, dị thưởng, ngoại lai, quan sắt trái ngượ, sự bat ngờ, sự đặc thủ hoặc chất pay ö nhiễm trong cáo lĩnh vực ứng dụng khác nhau [1] Trong số này, bất thường và ngoại lai là hai thuật ngữ

được dùng phổ biến nhất là trong bối cảnh phát hiện bắt thường, đôi khi thay thể cho

nhau

Phat hién bat thường phát hiện sử đụng rộng rãi trong một loạt các ứng dụng như phat

hiện phát hiện xâm nhập cho an ninh mạng, gian lận giao dịch tải chính ngắn hàng,

bắt thường trong quả trinh kiểm tra ÿ tế, phát hiện lỗi trong quy trình sắn xuất hoặc trên các hệ thống quan trọng, Ví dụ, bất thường trong dữ liệu giao dịch thể tìn dụng,

cỏ thể chỉ ra hành v¡ tôm cắp thẻ tín dụng hoặc đảnh cắp nhận đạng, bất thường vẻ vide dang nhập vào hệ thông có thể là đâu hiểu của việc xâm nhập trái phép vào hệ thông hoặc sư biển đổi bat thường của lưu lượng đữ Hiệu trong mạng nội bộ có thể là dấu hiêu của đữ liệu “nhạy cảm” đang bị sao chép hoặc gii bởi kê tắn công

Việc phát hiện bắt thường là quan trọng vì chúng thường chứa dựng những thỏng tin tiữu ích, có ý nghĩa trong nhiều ứng dụng thục tế Trong thực tế, bắt thường tổn tại ở thiểu dạng khác nhau, do vậy tùy thuộc vào lừng ứng đụng cụ Hhế mã ta có những, phương pháp phát luện bất thường khác nhau Bất thường có thê được chia lam ba loại gồm bất thường điểm (poil anomalies), bối thường bối cảnh (contextual

anomalies) va bal thug (ap hop (collective anomalies) [1] Dudi đây là mô tả chủ

tiết các loại bất thường may

Bat thuong điểm:

một dữ liệu riêng biệt được coi là dị thường với phần còn lại của tập dữ liệu thì

do được coi là một bắt thường điềm Vì dụ, một điểm có khoáng cách đến trung tim của một tập đữ liệu lớn hơn so với tắt cã các khoảng cách từ những điểm trong tập hop do Ldi trung tâm này thủ những điểm này được coi là bất thường, Đây là loại bất thường đơn giản nhất và là trọng tâm của phân lớn các nghiên cửu về phát biện bắt

Ví đụ trong Hình 1 1 mô tả các điểm O, O; cũng như cáo điểm thuộc kim vực O3

nam ngoái phạm vi của khu vực bình thường (Nr, Na) Do đó chúng là bất thường, điểm vị chúng khác sơ với các điểm dữ

bình thường (nằm trong các cụm N1 hoặc N2) Như một vị dụ trong thục tế, xem xét việc phát hiện thời gian đăng nhập hệ thông bất thường Lấy tập dữ liên về việc đăng nhập vào hệ thống máy tính tại công

bằng một thuộc tính là thời gian đăng nhập Một đăng nhập vào hệ thông tại một thời điểm khác với thời gian đăng nhập bình thường hàng ngày của người đó sẽ là một sự

bắt thường điểm

1ột cả nhân

~

Bất thường bái cảnh:

Bắt thường bối cánh được xác định dựa trên một bối cánh cụ thể (còn gọi là bắtthường,

có điều kiện) Khải niệm bối cảnh ở day được xác định từ cầu Irác, hình thái của đữ Tiện đang xem xói Cân lưn ý rằng, một điểm là bắt thường trong bối cônh này rhưng

có thế hoàn toàn là bình thường trong bối cảnh khác Bat thường bồi cảnh thường

được nghiên cứu, khám phá trang cáo ứng đụng liên tới cáo dữ liệu biến đối theo thời

gian Các khái niệm về một bối cảnh được tạo ra bởi các cầu trúc trong tập dữ liệu vẻ phái được quy định như một phần của việc xây đựng vấn đề Mỗi trường hợp dữ liệu

dược xác dịnh bằng cách sử dụng bởi bai bộ thuộc tính:

-_ Thuộc tính ngữ cảnh: Các thuộc tỉnh theo ngữ cảnh được sử dụng để xác định

di canh (hoặc vũng lần cận) của một thê hiện Vĩ đụ, trong bộ đữ liệu không

sian(kinh độ và vĩ dộ) của một vị trí là các thuộc tỉnh ngữ cảnh Trong dữ liệu

chuối thời gian, thời gian là một thuộc tình ngữ cảnh má xác dịnh vị trí của một

thể hiện trên toàn bộ chuỗi

-_ Thuộc tỉnh hành vi: Các thuộc tính hành vi xác định các đặc điểm phí ngữ cảnh của một thể hiện Ví dụ, trong một tập dữ liệu không gian mỏ tá lượng mưa trung bình của toàn thể giới, thì lượng mưa ở bất kỳ vị trí nào sẽ là một thuộc

tính hành vì

Các hành vị bất thường được xác định bằng cách sử dụng các giá trị cho các thuộc

tính của các hành vi trong một bồi cảnh cụ thể Một thế hiện đữ liệu có thẻ là một sự

tái thường theo ngữ cảnh trong mội bối cảnh nhất định, nhưng một thể biện đữ liệu

giống hệt nhau (về mặt thuộc tính hành vĩ) có thẻ được xern là bình thường trong một

bối cảnh khác Tính chât này là chìa khóa trong việc xác định các thuộc tính ngữ cảnh

và hành vĩ trong kỹ thuật phát hiện bất thường theo ngữ cảnh

8

Hình 1.2 mô tả biểu đỏ nhiệt độ của các tháng trong ba năm liên tiếp Ta nhận thấy

rằng, thời điểm ty được coi là một bất thường bỏi cảnh trong một chuỗi về nhiệt độ theo thời gian, trong khi đó nhiệt độ lúc tị giông như lúc ty nhưng xảy ra trong một

bồi cảnh khác nhưng lại không được coi là một sự bất thường

Một ví dụ cụ thể trong thực tế có thê được tìm thấy trong việc phát hiện gian lận thẻ tín dụng Một thuộc tỉnh ngữ cảnh trong việc sử dụng của thẻ tin dụng có thể lả thời điểm mua Giả sử một cá nhân thường có một hóa đơn mua sắm hàng tuần là một triệu đồng trừ thời điểm trong tuần trước tết Âm lịch, có khi nó đạt đến 10 triệu đồng Nhưng một lần mua mới 10 triệu đồng trong một tuần vào thang Bảy sẽ được coi là

một sự bắt thường theo ngữ cảnh, vi nó không phủ hợp với các hành vi bình thường

của cả nhân trong bói cảnh thời gian (mặc dủ cùng một lượng chỉ tiêu trong tuân trước

tết Âm lịch sẽ được xem là bình thường) Việc lựa chọn của việc áp dụng một kỹ thuật phát hiện bắt thường theo ngữ cảnh được xác định bởi ý nghĩa của các bắt thường theo ngữ cảnh trong lĩnh vực ửng dung dich

Bắt thường tập hợp:

Loại bắt thường thứ ba là bắt thường tập hợp Nều một tập dữ liệu có những đặc trưng khác so với các tập hợp dữ liệu cỏn lại thi tap hop ấy được coi 1a bat thường Hinh

1.3 mô tả đữ liệu lưu lượng dữ liệu trên một hệ thông

Ta có thể thây, lưu lượng trên hệ thống trong khoảng thời gian từ mẫu thử 250 đến

300 khác với các thời điểm còn lại, mặc dù những mẫu đữ liệu là kha

tương đồng nhau trong khoảng thời gian nảy, những thời điểm nảy được coi lả bắt thường tập hợp

9

1.12 Các phương pháp phát hiện bất thường phổ biến

Có nhiều phương pháp phát hiện bất thường đã được để xuất Ta có thể phân thành các nhóm chỉnh như sau: nhóm phương pháp dựa trêu kỹ thuật phân lớp [11, 8], nhóm phương pháp dựa trên kỹ thuật phân cụm [12], nhóm phương pháp dựa trên kỹ thuật

phân tích phố, phương pháp đựa trên kỹ thuật thông ké va một số nhóm phương pháp

khác [1]

Nhám phương pháp phân lớp lấy ý Lưởng từ thực tế rằng Iz có thể phân tách lập đữ

liệu thành hai lớp “bình thường” và “bất thưởng” thông qua việc xây dựng một mô trình phân loại trên phân dứ liệu được huấn luyện trước Bài toán phân lớp nảy là quá trình phân lép một đổi tương đứ liêu vào một hay nhiều lớp đã cho trước nhờ một mô trình phân lớp Mô hình này được xây đựng dựa trên một tập đữ liệu được xây đựng trước đó có gản nhãn (hay cỏn gọi lả tập huấn lưyện) Quá trình phân lớp là quá trinh

gán nhãn cho đổi tượng đữ liệu Như vậy, nhiệm vụ của bải toán phân lớp là cần tìm

xnột mô hình phân lớp để khi có đế liệu mới thì có thể xác định dưc dữ liệu đó thuộc vào phân lớp nảo Có nhiều bài toán phân lớp dữ liệu như phân lớp nhị phản, phân lớp da lớp, phân lớp đa trị Bài toán phân lớp nhị phâu là bài toán gắn nhân dữ liệu cho đối tượng vào một trong hai lớp khác nhau dưa vào việc đữ liện đó có hay không

có các đặc trưng của bộ phân lép Bài toán phân lớp đa lớp là quá trình phân lớp đĩ liệu với số lượng lép lớn hơn hai Khư vậy với từng dứ liệu chúng ta phải xem xét và phân lớp chúng vào những lớp khác nhau chứ không phái là hai lớp như bài toàn phản lớp nhị phân Vá thực chất bái toón phân lớp nhị phân là một bải toán đặt biệt của

phân lớp da lớp Ứng dụng của bài toản này được sử dụng rất nhiều và rộng rãi trong,

thực tế ví dụ như bái toán nhận dạng khuôn mặt, nhận diện giọng nói, phát hiển thư xác như Hinh 1.4 Như trong Hình 1.4, một Email khi di qua hệ thống phân loại, nỏ

sẽ được xác định là thư rác hay không

Hình 1.4 Ví dụ bài tuân phản lớp nhát hiện thư rác

Và đối với các bài toán phên lớp dữ liệu có thể sử dụng các thuật toán học máy có

giám sát (Supervised Learning) để xây dụng mỏ hình cho bải toán này như SVM [11],

‘Mang no-ron nhan tac (Neural Network) 19], Cay quyét dinh (Decision Tree) |2] Ưu điểm của nhóm phương pháp này là các thuật Loán có thể xử lý dược những dữ liệu

đa lớp với khả năng chính xác cao, cũng như thời gian phát hiện bất thường nhanh Tuy nhiên, nhỏm phương pháp này vẫn còn đôi mặt với một số hạn chế sau như các

10

thuật toàn thường ràng buộc đữ liệu phải cho biết rước nhấn cho những mẫu “bình

thường” trơng quá trình huận luyện mỗ hình

Tiếp theo đến nhóm phương pháp phát hiện bất thường thứ hai là dựa rên các kỹ thuật phân cụm Tượng tự như nhóm phương pháp đầu, nhóm phương pháp này dựa

trên giả thiết rằng (¡) những đữ liệu “bình thường” thuộc vào một cụm dữ liệu, trong khi những dữ liệu “bất thường” không thuộc heặe thuộc một cạm đữ liệu khác (ii)

hay như những đữ liệu binh thường thuộc về những cụm đữ liệu lớn, dày, đồng thời các điểm bất thưởng sẽ thuộc về các cụm thưa Nhớm phương pháp này có những ưu

diễm sau đây: () thường được áp dụng trong những bài toán học không giám sát khi

mà đữ liệu chưa có thông tin gán nhãn, (1i) có thể xử lý được những, đử liệu phức tap

Tuy vậy, các phương pháp này phụ thuộc nhiều vào sự hiệu quả của loại thuật toản

phân cụm,, đồng thời độ phức tạp thuật toán trơng đối cao Thuật toán được sử dụng

có thế kế đến như K-Means Clustering [5], phân cụm theo thư bac Hierarchical

Clustering [7], phân cụm theo xác suất Probabilistic Clustering [3]

Nhóm thứ ba liên quan tới việc phần tích phố của đữ liệu Các phương pháp trong,

nhám nảy lây ý tưởng từ thực tế rằng khi đữ liệu được nhúng trên một không gian cơn có số chiều nhỏ hơn so với không gian dữ liệu góc, thì những mẫu đữ liệu “binh thường” và bắt thường có thể phát liện dễ đảng dựa trần sự khác nhau của chúng, Lợi thể của nhóm phương pháp này lá có khả năng phát hiện được bất thường trong các

loại dữ liệu có số chiều lớn và tương lự nh nhóm thứ hai, các phương pháp trong nhôm này thường được áp dụng trong cáo bài toán học không giảm sát Mặc đủ vậy,

độ phúc tạp tính toán của nhóm phương này lương đối cao

Nhóm phương pháp phát biện bát thường tiếp theo là dựa trên kỹ thuật thông kê

Phuong pháp này dựa trên giả định chính rằng các lường hợp dữ liệu bình thường

xây 1a ở các vừng có xác suẬt cao của mỗ hình ngẫu nhiên, trong, khi các trường hợp thất thường xảy ra ở các vùng có xác suất thắp của mô hình ngẫu nhiền [1] Các hệ Thông dụa trên kỹ thuật này hoạt động trên nguyên tắc giám sát các hoạt động của đối tượng vả từ đỏ sinh ra cáo hỗ sơ biểu diễn hành vị của chúng, Đối với mỗi đổi tượng,

tệ thông luôn duy trí hai loại hỗ sơ hảnh vi hoạt động, hiện tại và hồ sơ hưu trữ, Và như vậy, cử mỗi hành vị diễn ra, hệ thông cập nhật hỗ sơ hiện tại và thực hiện tính

toáu điểm bắt thường của hành vĩ đó Sai đó đánh giá bằng cách so sánh hỗ sơ hiện

tại và hỗ sơ được lưu trữ Nếu điểm số bất thường vượt một ngưỡng nhất định thủ hi

thông sẽ đua ra cảnh báo u điểm của phương pháp dựa trên kỹ thuật thống kê là

tính toán nhanh, không phức tạp về thuật toán, ty nhiên nhược điểm của phương,

pháp này là khó xác định ngưỡng cảnh báo Bên cạnh đỏ việc xác định phân bổ thông

kê phủ hợp với các hành vị cũng lá một thách thức vị không thể sử dụng phương pháp

thống kê để mô hình hỏa mọi hành vị Với bài toán thực tế về phát hiện đăng nhập

11

tiất thường đặt ra, luận vẫn này lập trung sử dụng phương pháp đựa lrên kỹ thuật thông kế để phát hiện bất thường

1.1.3 Các thách thúc trong phát hiện bất thường

Ở mức độ tôm lược, sự bắt thường được định nghĩa là một mẫu không phủ hợp với

thành vi bình thường như du kiến (di vọng) Da đó, một cách tiếp cận phát hiện bat Thường đơn giản là xác định vừng biểu thị hành vi bình thưởng và chi ra bat kì mẫu

dữ liệu không thuộc vùng bình thường này là bất thường, Nhưng một số yêu tế làm

cho cách tiếp cận rõ ràng đơn giản này rất khó khăn

Yếu tổ dầu tiên như định nghĩa một khu vực binh thường trong dé bao gém tất cả các

thành ví bình thường có thể là rắt khó khăn Bên cạnh đó, ranh giới giữa hành vi bình

thường và bất thường thường lả không chính xác Như vậy một quan sát bắt thường

ẩm gân ranh giới thực sự có thể là bình thường, và ngược lại

Yếu tổ thử hai là khi bát thường lá kết quả của các hành động nguy hiểm (có hại), các đối tượng tác động nguy hiểm thường thích ứng bản thân để làm cho các quan sát tất thường xuất hiện như bình thường, do đó làm cho công việc xác định hành vĩ bình

thường khó khăn hơn Ba là trong nhiều lĩnh vụe, hành vi bình thuởng tiếp tục phát

triển và một quan niệm hiện tại về hành vi bình thường có thế không đủ đại điện trong,

tương lai

Tiếp theo yếu tả thứ tự là khói niệm chỉnh xác về su bất thường là khác nhau đối với các miên ứng đụng khác nhau Ví đụ, trong lĩnh vực y tế, độ lệch nhỏ so với bình thường (ví dụ: biến động nhiệt độ cơ thể) có thể là một sự bắt thường, trong khi độ lệch tương tư trong miễn thị tường chứng khoán (ví đụ: biển động giá trị của cố phiếu) có thể được cơi là bình thường, Do dé, việc áp dụng một kỹ thuật được phát triển trong một lĩnh vực này sang một lĩnh vực khác không đơn gián Yếu tế thứ năm

lä sự sẵn có của đữ liệu được đón nhãn để đảo tạo/xác nhận các mồ hình được sử dụng, bởi các kỹ thuật phát hiện bắt thường thường là một vẫn đẻ lớn Và

thông thường dữ liệu chứa nhiễu có xu hướng tương tự như bất thường trong thực tế

và đo đó rất khó phân biệt và loại bổ

Do những thách thức trên, vẫn để phát hiện bắt thường, ở dạng chưng nhất của nó, không để giải quyết Trong, thục tế, hấu hết các kỹ thuật phát hiện bắt thường hiện có giải quyết một công thức cụ thể của vẫn đẻ Công, thức dược xây dựng ra bởi các yêu

yêu tổ thứ sảu là

tổ khác nhau rửaz bản chất sủa đữ liệu, lính khả dụng của đữ liệu được đán nhấn, loại

đị thường được phát hiện, v.v Thông thường, các yếu tổ này được xác đình bởi miền

ứng dụng cần phát hiện đị thường, Các nhà nghiên cửu đã áp dụng các khải niệm từ

các ngành khác nhau như thêng kê, học máy, khai thác đử liệu, lý đruyết thông tin, lý

thuyết quang ph và đã áp đụng chúng vào các công thức vẫn đề cụ thể

Thư vậy, có nhiều cách (giải pháp, phương pháp) để chúng ta xử lý và phân tích dữ

liệu đề phải hiện bắt thường, xây đựng một hệ thông phân kin chúng ta cản một phép

đánh giá để xem mô hình sử dụng có hiệu quả không và để so sánh khả năng cửa các

mô hình Tuy nhiên, để chúng ta có thể đánh giá được sụ khác nhau giữa các giải pháp chứng ta cân đo lường để so sánh và giúp tôi ưu các giải pháp Nội đung tiếp

theo, tôi sẽ giới thiệu các phương pháp đánh giá các mỏ hình phân lớp Hiệu năng của một mô hình thường dược đánh giá dựa trên tập đữ liệu kiểm thử,

1.2 Các phương pháp dánh gìá một hệ thống phân lớp dữ liệu

Đề hỗ trợ đánh giá một hệ thống phân lớp, có các khái niệm chưng thường được áp

dụng cho bài toán phân lớp có hai lớp dữ liệu mà chúng ta đang quan tâm (bất thường/bình thường) như sau

1.2.1 True/False Positive/Negative

Cách đánh giá này thường được áp dụng cho các bai oan phan lớp có hai lớp dữ liệu

Cu thể hơn, trong hai lớp dữ liệu nảy có một lớp nghiêm trọng hơn lớp kia va can được dự đoán chính xác V1 dụ, trong bài toán xác định cô bệnh từng thư hay không

thì việc không bị sót quan trọng hơn là việc chân đoán nhằm âm tính thành đương tính Trong bài toán xác định có min đưới lỏng đất hay không thì việc bỏ sót nghiêm trọng hơn việc báo động nhằm rất nhiều Hay trong bài toán lọc email rác thì việc cho

nhằm cmail quan trọng vào thủng rác nghiêm trọng hơn việc xác định một cuail rác

là cmail thường,

Trong những bải toán này thường định nghĩa lớp đữ liêu quan trọng hơn cầu dược xác định dúng là lớp Positive (P-dương tính), lớp côn lại được gọi là Negntive (N-âm tính) Ta định nghĩa True Positive (TP), False Positive (FP), True Negative (TN),

False Negative (N) đựa trong Ma trận nhằm lẫn như Bang 1.1 Trong Bang 1.1 mé

†ả cụ thế các trường hop dua trén kết quả đự đoán với thực tế

Bảng 1.1 Ma trận nhằm lẫn

Dur doan: Positive Du doan: Nogative

Thực té: Positive ‘True Positive (IP) False Negative (KN)

Thực lế: Negalive False Positive (FP) Truc Negative (TN)

13

Và người ta thường quan lâm đến False Positive Rate (TPR), False Negative Rate

(FNR), False Positive Rate (FPR) va True Negative Rate (TNR) đựa trên Ma trận

hầm lẫn chuẩn hóa (normalized confusion matrix) như Bang 1.2 Trong Bang 1.2

đưa ra công thức tính các tỉ lệ TPR, ENE, FPR, TNR

Bang 1.2 Ma trận nhằm lẫn chuẩn húa

Dự doán: Positive Dir doan: Negative

Căn cứ mục địch xây dưng bài toán phân lớp đít liệu, ta có các chủ ý rửnz sau

-_ Với các bài toán có nhiều láp đữ liệu, ta có thể xây dựng bảng True/False

Positive/Negative cho mỗi lớp nếu soi lớp đỏ là lớp Positive, các lớp còn lại gộp

chung thanh lop Negative

- Trong một số bải toán, việc tăng hay giam FNR, EPR có thể được thực biện bằng việc thay đối một ngưỡng (Threshold) nào đẻ Trong phản tiệp theo, ta đi tiếp các khải niệm

1.2.2 Độ chính xác và độ hồi tưởng

Với bài toàn phản loại mả tập dữ liệu của các lớp chênh lệch nhau rất nhiễu, có một

ộ chính xác (Precision) và độ hồi tướng,

phép đó hiệu quả thường duge sii dung Ja

(RecalÐ Đề làm rõ hơn, trước hết xét bài loán phân loại nữ phân va coi mét trong

1ửi lớp là PosiLive, lớp còn lại lá Negative Trong Hình 1.4 mồ tả trực quan hơn về

các khái tiệm cũng như các công thức tỉnh độ chính xác và độ hồi tưởng,

Với một cách xác định một lớp là Positive, Precision được định nghĩa là tỉ lệ số

điểm True Positive trong số những điểm được phân loai 1a Positive (TP + FP) Recall được định nghĩa là tỉ lệ số điểm True Positive trong số những điểm thực sự

là Positive (TP + FN) Độ chỉnh xác và hỏi tưởng được định nghĩa theo các Công

đồng nghĩa với việc độ chính xác của các điểm tìm được lả cao Recall cao đồng nghĩa

với việc True Positive Rate (TPR) cao, tức tỉ lệ bỏ sỏt các điểm thực sự positive là

15

Nếu một mô hình chi lin duge ding mél diém Positive mano chic chan hat thi ta

không thể gọi nó là một mô bình tốt

Khi Recall — 1, mọi diễm Positivc dêu duoc tim thay Tuy nhiên, đại lượng nảy lại không do liệu có bao nhiêu điểm Pegative bị lẫn trong đỏ Nếu mỏ hình phân loại mọi diém 1a Positive thi m Recall — 1, tuy nhiều đễ nhận ra đấy là một mồ hình

Nội dưng tiếp theo luận văn sẽ giới thiệu về

tgười dùng dựa trên cả

e phát hiện bát thường vẻ hành vị của

dữ liệu ghỉ nhận hệ thông thông tin nhằm phát hiện, cảnh

báo liên quan đến việc đảm bảo an toàn thông tin

nô hình phân tích các dữ liệu vẻ bành vi người đúng trên hệ thẳng Các hành vi tương,

tác cửa người dùng trên hệ thống được phản tích dựa trên các théng Lin log các sự kiện như thời diễm đăng nhập, số lần dăng nhập thành công, thất bại vào hệ thông, địa chỉ IP chent sử dụng, địa chí IP hệ thống, thông tìn yêu cầu vẻ tác động, dit ligu

được truy xuất, nội dụng thay đổi v.v từ đó thục hiện phân tích, đánh giá nhằm phát hiện các hành vị bất thường, Giải pháp giúp cảnh bảo kịp thời cho bô máy giám sét

an toàn thông tin những bắt thường vẻ việc đăng nhập vào hệ thông nhằm hỗ trợ công tác đảm bảo an toàn thông tín, đặc biệt kiểm soát tốt với việc đăng nhập vào những,

tiệ thống chứa đữ liệu quan trọng của đơn vị Với mục tiêu đề ra, luận văn hướng tới

việc mô tâ bài toán, co sở lý thuyết, xây dựng mô hình, công cụ thu thập và phân tích cae miu thu thập được tử hành vi người dùng nhằm phát hiện, cảnh bảo các hành vĩ

tất thường trong việc đăng nhập hệ thông

Trong, phần tiếp theo, hiận văn sẽ giới thiệu tiếp vẻ việc xây dựng hệ thông phân tích

và phát hiện bắt thường trên hệ thông và tập trung vào phân tích các bắt thường, đăng, nhập

2.2 Mô tả bài toán bất thường đăng nhập

Trong, phân 2.1 đã giới thiệu tổng quan về việc phát hiện bàt thường trên hệ thông, Trong phần này, luận văn sẽ mô tả chỉ tiết về bái toán bắt thường đăng nhập hệ thống, xnột trong những bái toàn má tại đơn vị rất quan tâm Việc đăng nhập vào hệ thống lả thành vị của cả người đừng thông thường cũng như cuộc kẻ tấn công để truy xuất vào tiệ thông Mội kế tân công lây được tài khoản người dùng thuộc tổ chức thông qua nhiều hình thức và một trong những, hình thức phỏ biển như tấn cổng đỏ quét mật khẩu vào các tải khoán public như 1imail, VPN hoặc thực hiện khai thác lỗ hỗng, xâm nhập được vào hệ thống và lầy được cơ sở dử liệu về tài khoản người ding San khi

có dược tải khoản người dùng, kẻ tắn công thực hiện các hành vị đăng nhập trái phép,

vào hệ thông vả có thẻ thực hiện các tác động trái phép như truy xuất thông tin mật,

để đánh cắn đữ liện, làm tê liệt hệ thống thông tin Tuy nhiên đo không nắm được

17

thôi quen người đàng niên hành vì đăng nhập của kẻ tắn công có các thuộc tỉnh khác

với hề sơ đăng nhập (profile) của người dùng Với bải toán nghiệp vụ tại V'ẴNet, các

thành ví đăng nhập hệ thông được đánh giá là bất thường khi phát hiện địa chi IP, dai

địa chỉ TP thực hiện đăng rhập, thời điểm đăng nhập, địa điểm đăng nhập vào hệ thống khác với hành vi thưởng thay dã dược ghi nhận trên hệ thống trong thời gian nhất định, thường được xét trong vòng 6Ö ngày Các thông tin thu thập được trên hệ thông giúp nhận diện và phát hiện các bất thường này để cảnh báo cho lực lượng phụ trách dâm bảo an toàn thông tin Các thông tin dẻ phân tích bao gồm:

Dia chi TP, dai dia chi IP của người dùng khi thục hiện đăng nhập hệ thống,

Sẽ phát hiện bắt thường nếu thục hiện đăng nhập từ máy tỉnh không phải máy

tính làm việc thường xuyên của người đùng,

._ Quốc gia, số hiệu mạng (ASN), nhá cung cắp dịch vụ Internet (SP) của người

dùng khi đăng nhập hệ thống, Từ địa chỉ TP thục liện đồng nhập, thông tin sẽ

được làm giâu dễ củng có thêm cho việc phân tích dữ liệu như thông tín quốc gia, số hiệu mạng vả tên nhà cung cấp dịch vụ lnternet nhằm xác định vị trí truy cập đề đánh giá một hành vi bắt thường nhĩ khi kẻ tân công váo hệ thông,

thực hiện đăng nhập lừ xa không phải li vị trí làm việc hàng ngây của người dong

- Loai ding uhap, méi trường dăng nhập: sự khác nhau về môi trường đăng nhập

hệ thống, người dùng thường dùng giao diện đăng nhập, kế tấn công thường, đăng nhập qua cửa số lệnh hoặc qua truy cap (ir xa

Thời điểm đăng nhập: xác định thời điểm của của hành vi đáng nhập, từ đó

đánh giá được giờ có hành vỉ đăng nhập trong ngảy và các ngày rong tuần,

Từ các thông tin thu thập trên hệ thông, xây đựng công cụ thực hiện tỉnh toán, phân

tích, cảnh báo các bất thường về đăng nhập vào hệ thống Ví dụ như xác định bat

thường đăng nhập tử địa chỉ IP khác lại không phải dia chi IP của máy tỉnh người

dùng hang ngay, Tủ đó, hệ thông sẽ cánh bảo đề bộ phận phụ trách an toàn thông tin

sẽ thực hiện tiên hành kiểm tra vá xử lý, hỗ trợ cho công tác đảm bảo an toàn thông tin tại đơn vị, Trong nội dung tiếp theo, luận văn sẽ giới thiệu cách tiếp cập và dễ xuất

việc xây dựng hệ thông phát hiện bất thường

2.3 Giới thiệu mô hình hệ thông phát hiện bất thường

Hệ thông phát hiện bất thường thực hiện phân tích các đỡ liệu liệu log về các sự kiện xây ra trên hệ thông công nghệ vá phân tích chứng để tìm ra các dẫu hiệu bắt thưởng,

dựa trên việc phân tích các hành vị của đổi tượng và đưa ra cảnh báo LIệ thêng này:

được gọi là khai phá dữ liệu an toàn thông tin (Security Data Mining) Va né Ta mot

thành phần trong hệ thống giám sắt an toàn thông tin của VTNet đã dược xây dựng

llinh 2.1 mẽ tá mô bình tổng quan hệ thống quán lý, giảm sát an toàn thông tin tại

18

VTNet Như trong Hình 2.1, tổng quan hệ thống, giảm sát an toản thông tin có nhiều các thành phần hệ thống liên kết với nhau tạo thành một hệ sinh thải phục vụ cho công tác giám sát, đảm bao an toàn thông tin tại đơn vị Hệ thẳng tổng thể này có ba lắp dược mô lä cụ thể đưới dây

Tớp dưới cùng là lớp thu thập và cưng cấp các thông Iin dữ liệu dầu váo cho loàn bộ

“hệ thống, nó bao gồm các thành phần như sau:

Endpoint cai d&t trén cdc may chủ, máy trạm nhằm thu thập đây đú các thông, tin hề sơ của chứng Và thành phân này cũng hỗ trợ khả năng điều tra sâu, cách

ly và khôi phục các máy chủ, máy trạm này khi cần thiệt

Network Security Monitoring (NSM) hé try thu thap Kay log truy cap, giai sat

các kết núi gia cic node mang

Gateway Security Monitoring (GSM) hé tro thụ thập log và kiếm soát kết nói cla ngé (Gateway) vào ving cần báo vệ

Cac san phẩm, giấi pháp của hãng thứ 3 như hệ thống, quán lý máy tính tập

trang (AD), hệ thống quản lý tên miễn (TNS), hệ thông phòng ch

may Link (AV), hé thang tudmg lita (Firewall) v.v co kél néi và cùng cấp thông lin log lên các hệ thông tập trưng ATTT phia trén

Lớp liếp theo, ở giữa, đó là các thành phần xử lý tập trung đữ liệu từ lớp phúa dudi

cung cấp lên Lớp này có các thành phản như sau:

SLEM (Security Information and Hvent Management) lả liệ thống quản lý và

phân tích sự kiện an toản thông tin Và nó là thành phần quan trọng trong cáo liệ thông giảm sát ATTT chưng Nó thủ thập day đã log của loàn bộ hệ thống, lưu trữ và xử lý dữ liệu ATTT tập trưng Dữ liệu thu thập về sẽ được hệ thông sắp xép, chuẩn boà và phân loại lại theo một định dạng chung, tối ưu bơá cho

việc phân lích và điệu tra xử lý sự cố Đồng thời đí liệu cũng được lọc bớt các

thành phản dư thừa Hệ thống SIEM cho phép phân tích tập trung và báo cáo

về cáo sự kiện an ninh mạng của tổ chức, phát hiện thông qua các bộ luật tương, quan (correlation rule), giúp phát hiện các cuộc tân công mà không thẻ phát

liện được bởi các giải pháp thông thường, đâm bão cho người vận hành có thé

điều tra vả nhận diện nhanh chóng các vị phạm, tấn công đang xây ra trong, hệ thống, từ đó đưa ra các quyết định hiệu quả và kíp thời

Advanced Malware Analysis (AMA) la hé théng phan tich ma déc ty déng, da

lớp, hỗ trợ phân tích hầu hết các loại tếp nhằm phát hiện mã độc, mã khai thác

Dynamie Analys

năng và công nghệ vượi trội: Hypervisor, Static Analy: