Xây dựng phần mềm giám sát an toàn mạng dựa trên lời gọi hệ thống và dữ liệu luồng mạng

Hiện nay, hệ thống mạng tại đại học Công nghệ cũng đang dần phát triển, và tất yếu cần có một hệ thống giám sát mạng hợp lý, hiệu quả. Để giải quyết vấn đề này, tôi đã chọn đề tài khóa luận “Xây dựng phần mềm giám sát an toàn mạng dựa trên lời gọi hệ thống và dữ liệu luồng mạng”. Đề tài của tôi sẽ tập trung vào việc xây dựng một phần mềm giám sát mạng dành cho hệ thống mạng vừa và nhỏ như hệ thống tại Đại học Công nghệ, với mục đích chính là biểu diễn, hiển thị các dữ liệu sử dụng những dữ liệu có sẵn trong hệ thống cơ sở dữ liệu đã có.

LỜI CẢM ƠN

Để hoàn thành đề tài luận văn tốt nghiệp này, với tình cảm chân thành, tôi xin bày tỏ lòng biết ơn sâu sắc tới đại học Công nghệ đã tạo điều kiện cho tôi có môi trường học tập tốt trong suốt thời gian tôi tham gia học tập, rèn luyện, nghiên cứu tại học viện.

Tôi xin chân thành cảm ơn!

LỜI CAM ĐOAN

Tôi xin cam đoan đề tài khóa luận "Xây dựng phần mềm giám sát an toàn mạng dựa trên lời gọi hệ thống và dữ liệu luồng mạng" là công trình nghiên cứu của bản thân tôi, các số liệu sử dụng trong khóa luận là trung thực, các tham khảo có nguồn trích dẫn rõ ràng, kết quả nghiên cứu khóa luận không sao chép của bất kỳ công trình nào.

Tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan của tôi.

Hà Nội, tháng 07 năm 2019

MỤC LỤC

LỜI CẢM ƠN i

LỜI CAM ĐOAN ii

MỤC LỤC iii

DANH MỤC HÌNH VẼ vii

DANH MỤC BẢNG BIỂU ix

MỞ ĐẦU 1

1 Lý do nghiên cứu đề tài 1

2 Tình hình nghiên cứu liên quan đến đề tài 2

3 Mục tiêu, nhiệm vụ nghiên cứu 3

4 Phạm vi nghiên cứu 3

5 Phương pháp nghiên cứu: 4

6 Bố cục của đề tài 4

Chương 1 Tổng quan về phần mềm giám sát mạng và tính cấp thiết 5

1.1 Mô hình hoạt động của hệ thống quản trị mạng 5

1.2 Thực trạng hệ thống giám mạng sát hiện nay 8

1.2.1 ELK – Elasticsearch, Logstash, Kibana 8

1.2.2 Splunk 10

1.2.3 PRTG Network Monitor 12

1.2.4 Nhu cầu về hệ thống giám sát mạng mới 13

1.3 Khảo sát các hoạt động của hệ thống giám sát mạng 13

1.3.1 Biểu diễn thông tin thu thập dưới dạng dashboard 13

1.3.2 Cảnh báo người dùng về các nguy cơ, nguy hại 15

1.3.3 Phân quyền giữa các quản trị viên và người dùng 17

1.3.4 Một số hoạt động khác 18

Chương 2 Phân tích thiết kế hệ thống phần mềm giám sát mạng UET-Dashboard 19

2.1 Phân tích hệ thống giám sát mạng UET-DASHBOARD 19

2.1.1 Một số khái niệm 19

2.1.2 Sơ đồ phân rã chức năng của hệ thống giám sát mạng dựa trên lời gọi hệ thống và dữ liệu luồng mạng 20

2.1.3 Mô hình luồng dữ liệu 25

2.1.4 Xây dựng mô hình thực thể quan hệ 29

2.2 Thiết kế hệ thống giám sát mạng UET-DASHBOARD 34

2.2.1 Cơ sở dữ liệu của hệ thống giám sát 34

Chương 3 Cài đặt và đánh giá phần mềm giám sát mạng UET-Dashboard 48

3.1 Công nghệ lập trình 48

3.1.1 Ngôn ngữ lập trình JavaScript 49

3.1.2 NodeJS 50

3.1.3 ReactJS 51

3.2 Thiết kế giao diện 51

3.2.1 Form đăng nhập hệ thống 51

3.2.2 Form đăng ký hệ thống 52

3.2.3 Bảng điều khiển Dashboard 53

3.2.4 Giao diện Quản lý tài khoản 54

3.2.5 Form Thêm tài khoản 54

3.2.6 Form Chỉnh sửa/Xóa tài khoản 55

3.2.7 Giao diện Quản lý Log 56

3.2.8 Giao diện Quản lý Cảnh báo 57

3.2.9 Form Thêm nhóm cảnh báo 58

3.2.10 Form Chỉnh sửa/Xóa nhóm cảnh báo 59

3.2.11 Giao diện Quản lý Trang web 61

3.2.12 Form Thêm trang web giám sát 61

3.2.13 Form Chỉnh sửa/Xóa trang web giám sát 62

3.2.14 Giao diện Quản lý Quyền hệ thống 63

3.2.15 Form Chỉnh sửa quyền nhóm người dùng 65

3.2.16 Form Chỉnh sửa quyền người dùng 65

3.2.17 Form Chỉnh sửa nhóm của tài khoản 66

3.2.18 Form Chỉnh sửa tài khoản nhận cảnh báo 67

3.2.19 Các giao diện khác 68

3.3 Thiết kế máy chủ 68

3.3.1 Khởi tạo máy chủ server 69

3.3.2 Kết nối cơ sở dữ liệu 70

3.3.3 Thiết kế các hệ thống xử lý truy vấn 70

3.3.4 Thiết kế mô hình cho các tài liệu của cơ sở dữ liệu 71

3.3.5 Các chức năng khác 73

3.4 Đánh giá sơ bộ phần mềm UET – Dashboard 73

3.4.1 Biểu diễn thông tin 73

3.4.2 Cảnh báo người dùng 74

3.4.3 Quản lý người dùng hệ thống 75

KẾT LUẬN 78

TÀI LIỆU THAM KHẢO 80

PHỤ LỤC 83

DANH MỤC HÌNH VẼ

Hình 1.1 Một số phương thức thu thập log trên mạng 5

Hình 1.2 Một số lý do thu thập log trên mạng [3] 6

Hình 1.3 Sơ đồ tổ chức của hệ thống giám sát mạng 8

Hình 1.4 Một Dashboard xây dựng dựa trên ELK stack 10

Hình 1.5 Dashboard của Splunk 11

Hình 1.6 Dashboard của PRTG Network Monitor 12

Hình 1.7 Quy trình biểu diễn thông tin thu thập duới dạng dashboard 15

Hình 1.8 Quy trình cảnh báo người dùng về các nguy cơ, nguy hại 17

Hình 2.1 Biểu đồ phân rã chức năng 22

Hình 2.2 Biểu đồ ngữ cảnh 26

Hình 2.3 Biểu đồ dữ liệu mức đỉnh 27

Hình 2.4 Biểu đồ dữ liệu mức 1 hệ thống biểu diễn thông tin 27

Hình 2.5 Biểu đồ dữ liệu mức 1 hệ thống cảnh báo nguy hại 28

Hình 2.6 Biểu đồ dữ liệu mức 1 hệ thống quản lý người dùng 28

Hình 2.7 Mối quan hệ giữa các thực thể 33

Hình 3.1 Giao diện đăng nhập 52

Hình 3.2 Giao diện đăng ký 52

Hình 3.3 Giao diện bảng điều khiển 53

Hình 3.4 Giao diện quản lý tài khoản 54

Hình 3.5 Form thêm tài khoản 55

Hình 3.6 Form chỉnh sửa/xóa tài khoản 56

Hình 3.7 Giao diện Quản lý Log 57

Hình 3.8 Giao diện Quản lý Cảnh báo 58

Hình 3.9 Form thêm nhóm cảnh báo 59

Hình 3.10 Form chỉnh sửa/xóa nhóm cảnh báo 60

Hình 3.11 Giao diện Quản lý Trang web 61

Hình 3.12 Form thêm trang web giám sát 62

Hình 3.13 Form chỉnh sửa/xóa trang web giám sát 63

Hình 3.14 Giao diện quản lý quyền hệ thống 64

Hình 3.15 Form tùy chỉnh quyền hệ thống nhóm tài khoản 65

Hình 3.16 Form tùy chỉnh quyền hệ thống tài khoản 66

Hình 3.17 Form tùy chỉnh nhóm của tài khoản 67

Hình 3.18 Form tùy chỉnh tài khoản nhận cảnh báo 68

Hình 3.19 Một cảnh báo được hệ thống phát hiện và gửi đến Gmail của người dùng 74

Hình 3.20 Cảnh báo được phát hiện và gửi qua hình thức popup trên giao diện 75

Hình 3.21 Một tài khoản không có quyền truy cập 76

Hình 3.22 Một tài khoản có quyền truy cập "Chỉ đọc" 76

Hình 3.23 Một tài khoản có quyền "Đọc và chỉnh sửa" 77

DANH MỤC BẢNG BIỂU

Bảng 2.1 Bảng tổng hợp chức năng 20

Bảng 2.2 Bảng biểu diễn thành phần 26

Bảng 2.3 Thuật ngữ của MongoDB và các hệ cơ sở dữ liệu SQL 39

Bảng 2.4 Tập tài liệu Người dùng 40

Bảng 2.5 Tập tài liệu Nhóm người dùng 41

Bảng 2.6 Tập tài liệu Tài khoản 41

Bảng 2.7 Tập tài liệu Quyền truy cập 42

Bảng 2.8 Tập tài liệu Nhóm cảnh báo 43

Bảng 2.9 Tập tài liệu Tin cảnh báo 43

Bảng 2.10 Tập tài liệu Trang Web 44

Bảng 2.11 Tập tài liệu Thành phố 45

Bảng 2.12 Tập tài liệu Log 46

MỞ ĐẦU

1 Lý do nghiên cứu đề tài.

Cuộc cách mạng khoa học công nghệ ở cuối thế kỷ XX, đặc biệt làcuộc cách mạng trong lĩnh vực công nghệ thông tin, đã đem lại sự phát triển

to lớn cho toàn thế giới Sự đóng góp của công nghệ thông tin hiện diện trongmọi mặt đời sống xã hội, tăng cường mạnh mẽ năng suất lao động của conngười Ngành công nghệ thông tin cũng đã trở thành một ngành khoa học kỹthuật không thể thiếu, trở thành một mắt xích quan trọng trong sự phát triểncủa mọi quốc gia, dân tộc

Ở Việt Nam hiện nay, việc ứng dụng công nghệ thông tin vào các côngviệc hằng ngày ở các cơ quan, doanh nghiệp đang ngày càng trở nên phổ biến.Hầu hết các công ty, tập đoàn đều đã trang bị cho mình những hệ thống thôngtin hiện đại để tăng cường hiệu quả công tác Tuy nhiên, việc ứng dụng mạnh

mẽ và rộng rãi các hệ thống thông tin như vậy cũng tiềm ẩn nhiều nguy cơmất an ninh, an toàn Ở nước ta cũng như trên thế giới hiện nay đang phải đốimặt với vô số các cuộc tấn công an ninh mạng, xâm hại trực tiếp đến lợi íchcủa các cơ quan, doanh nghiệp, ảnh hưởng mạnh đến an ninh quốc gia

Để giải quyết những vấn đề này, các hệ thống mạng, hệ thống thông tintrong các cơ quan doanh nghiệp cần có các biện pháp phòng chống tấn côngmạng hiệu quả Một trong các phương pháp tốt nhất là việc tiến hành cài đặtcác hệ thống quản trị mạng vào trong các hệ thống thông tin Các hệ thốngquản trị mạng này sẽ làm chức năng thu thập và biểu diễn các thông tin cóliên quan đến tình hình an toàn của hệ thống mạng, từ đó cho phép ngườiquản trị hệ thống mạng có thể nắm bắt kịp thời những vấn đề xảy ra đối với

hệ thống mạng được giám sát và kịp thời đưa ra các hành động bảo vệ tươngứng

Các hệ thống quản trị mạng có thể tách ra làm các hệ thống nhỏ hơnnhư hệ thống thu thập; hệ thống phân tích, lưu trữ; hệ thống giám sát, biểudiễn thông tin mạng Các hệ thống này hoạt động phối hợp nhau để đưa rathông tin cho quản trị viên Thực tế hiện nay, có nhiều hệ thống giám sátmạng khác nhau được thiết kế để phục vụ nhu cầu quản trị mạng ngày càngtăng bên trong các hệ thống Các hệ thống giám sát này thường biểu diễn một

số lượng đa dạng các dữ liệu được lưu trữ, đưa đến cho người sử dụng nhữngthông tin cần thiết về an ninh mạng hệ thống Tuy nhiên, phần lớn các hệthống giám sát đều gặp phải một số vấn đề như: có độ tùy chỉnh thấp, thườngkhông có mã nguồn mở, tốn chi phí cao, v.v…, không phù hợp cho các hệthống vừa và nhỏ

Hiện nay, hệ thống mạng tại đại học Công nghệ cũng đang dần pháttriển, và tất yếu cần có một hệ thống giám sát mạng hợp lý, hiệu quả Để giải

quyết vấn đề này, tôi đã chọn đề tài khóa luận “Xây dựng phần mềm giám sát an toàn mạng dựa trên lời gọi hệ thống và dữ liệu luồng mạng” Đề tài

của tôi sẽ tập trung vào việc xây dựng một phần mềm giám sát mạng dànhcho hệ thống mạng vừa và nhỏ như hệ thống tại Đại học Công nghệ, với mụcđích chính là biểu diễn, hiển thị các dữ liệu sử dụng những dữ liệu có sẵntrong hệ thống cơ sở dữ liệu đã có

2 Tình hình nghiên cứu liên quan đến đề tài

Trên thế giới hiện nay, các hệ thống giám sát mạng đã được thiết kế cóthể kể tới là Solarwinds Network Performance Monitor, PRTG NetworkMonitor, Zabbix, ELK, v.v… Các hệ thống này đều có hiệu năng tốt, có khảnăng giám sát và cảnh báo hiệu quả Tuy nhiên, các hệ thống giám sát nàythường có các hệ thống thu thập, phân tích và lưu trữ riêng, khiến cho khảnăng linh động của chúng thấp, tiêu tốn tài nguyên, không thích hợp cho các

hệ thống mạng vừa và nhỏ Đa số các hệ thống này đều là hệ thống trả phí, mã

nguồn đóng, gây khó khăn cho các cơ quan, doanh nghiệp vừa và nhỏ trongquá trình tùy biến mã nguồn phục vụ mục đích cá nhân.

Trong Học viện, đề tài về việc nghiên cứu và xây dựng phần mềm giámsát mạng phục vụ hệ thống vừa và nhỏ còn thiếu Do đó, việc thực hiện đề tàinày không trùng lặp với bất cứ đề tài nghiên cứu nào trước đó trong học viện

3 Mục tiêu, nhiệm vụ nghiên cứu

 Mục tiêu nghiên cứu: Nghiên cứu, xây dựng phần mềm giám sát an

ninh mạng dựa vào lời gọi hệ thống và dữ liệu luồng mạng

 Nhiệm vụ nghiên cứu: Để đạt được mục tiêu nghiên cứu cần hoàn thành

 Tìm hiểu quy trình hoạt động của hệ thống giám sát mạng

 Tiến hành khảo sát, phân tích thiết kế hệ thống giám sát mạng phù hợpvới yêu cầu của các cơ quan, doanh nghiệp vừa và nhỏ

 Xây dựng phần mềm giám sát an toàn mạng bằng ngôn ngữ Javascriptcùng với các công cụ hỗ trợ như NodeJS, ReactJS,

5 Phương pháp nghiên cứu:

Khóa luận đã kết hợp nhiều phương pháp nghiên cứu khác nhau, đó là:

 Phương pháp thống kê.

 Phương pháp phân tích thiết kế hệ thống thông tin có cấu trúc

 Phương pháp tiếp cận hệ thống thông tin

 Phương pháp thu thập và đánh giá thông tin

6 Bố cục của đề tài.

Ngoài phần mở đầu, kết luận, tài liệu tham khảo và phụ lục, khóa luậnđược trình bày thành 3 chương chính:

 Chương 1: Tổng quan về phần mềm giám sát mạng và tính cấp thiết

 Chương 2: Phân tích thiết kế hệ thống phần mềm giám sát mạng Dashboard

UET- Chương 3: Cài đặt và đánh giá phần mềm giám sát mạng Dashboard

CHƯƠNG 1 TỔNG QUAN VỀ PHẦN MỀM GIÁM SÁT MẠNG VÀ TÍNH CẤP THIẾT 1.1 Mô hình hoạt động của hệ thống quản trị mạng.

Các hệ thống giám sát mạng nhận đầu vào là các dữ liệu lưu trữ tại hệthống lưu trữ, phân tích Dữ liệu của hệ thống lưu trữ, phân tích được đưa vào

từ các hệ thống thu thập Các hệ thống thu thập này nhận dữ liệu đầu tiên làcác dữ liệu nhật ký (log) của hệ thống

Dữ liệu log [2] là một bản ghi các sự kiện diễn ra trong hệ thống mạngcủa một tổ chức Dữ liệu log được tập hợp từ nhiều thành phần, mỗi thànhphần chứa thông tin liên quan tới một sự kiện cụ thể nào đó diễn ra trong hệthống hoặc trong mạng Nhiều thông tin dữ liệu log được sử dụng trong đảmbảo an toàn, an ninh thông tin

Hình 1.1 Một số phương thức thu thập log trên mạng

Với dữ liệu log, các tổ chức có thể xác định những gì đã xảy ra trong hệthống (qua điều tra và phân tích) Đặc biệt có thể xác định, phát hiện và theodõi các hành vi đáng ngờ, ngăn ngừa sự cố đối với hệ thống thông tin của các

tổ chức, doanh nghiệp

Chúng ta có thể phân loại dữ liệu log bằng các thiết bị, dịch vụ sinh ra

dữ liệu log đó Bởi vì những thiết bị, dịch vụ thường quyết định loại thông tinchứa trong các tập tin log như: phần mềm bảo mật, phần mềm phòng chống

mã độc, tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập, hệ điều hànhtrên máy chủ, các thiết bị mạng, các ứng dụng [2].

Hình 1.2 Một số lý do thu thập log trên mạng [3]

Hệ thống thu thập tổng hợp thông tin qua các tác tử (agent) được càiđặt vào các thiết bị có trong hệ thống mạng Các tác tử sẽ tiến hành trích xuất

dữ liệu log từ các thiết bị này và gửi về trung tâm tổng hợp thông tin của hệthống để tiến hành chuyển giao sang hệ thống phân tích, lưu trữ

Các thông tin mà hệ thống phân tích, lưu trữ nhận được có khối lượngcực lớn và cực đa dạng, do mỗi một phần mềm khác nhau, mỗi một hệ điềuhành khác nhau đều có thể sinh ra những dữ liệu log khác nhau Do đó, hệthống này cần có tốc độ phân tích nhanh, khả năng nén tốt và lưu trữ tốt, chophép các hoạt động truy vấn dữ liệu diễn ra nhanh chóng, hiệu quả Việc lưutrữ, phân tích dữ liệu thu thập được trong một hệ thống mạng đóng vai trò rấtquan bởi nó phục vụ tốt trong quá trình điều tra, giúp xác định các xu hướnghoạt động của kẻ tấn công nhắm vào hệ thống mạng

Sau khi tiến hành phần tích, lưu trữ các thông tin thu thập được, quảntrị viên hoàn toàn có thể thao tác trực tiếp với hệ thống lưu trữ, phân tích dữliệu để tiến hành giám sát hệ thống mạng thông qua các thao tác truy vấn dữliệu Tuy nhiên, điều này sẽ làm khiến cho quản trị viên khó có thể có cái nhìntổng quát nhất đối với các thông tin mà hệ thống lưu trữ, phân tích chứa đựng

Thực hiện giám sát một cách thủ công như vậy khiến quản trị viên dễ bỏ lỡcác thông tin quan trọng, hoặc khó lòng thực hiện điều tra khi có cuộc tấncông vào hệ thống mạng được quản trị, qua đó làm giảm hiệu năng công việcgiám sát.

Để tăng cường hiệu quả giám sát, hệ thống giám sát, biểu diễn đượcđưa vào trong hệ thống quản trị mạng để biểu diễn các thông số có trong hệthống lưu trữ, phân tích Các hệ thống giám sát này thường xuất hiện dướidạng các dashboard, trên đó là nhiều mục tin mô tả các thông tin trong hệthống lưu trữ, cùng với các thống kê được biểu diễn dưới dạng các loại biểu

đồ, số liệu Việc biểu diễn một cách khách quan như vậy sẽ giúp quá trìnhgiám sát của quản trị viên được khoa học, hiệu quả Các hệ thống giám sáthiện nay đa số đều hỗ trợ các tính năng thông báo khẩn cấp, giúp thu hút sựchú ý ngay lập tức của quản trị viên Tính năng thông báo sẽ giúp quản trịviên bắt kịp với những vấn đề nảy sinh trong hệ thống mạng, qua đó quản trịviên có thể ngay lập tức đưa ra các quyết định quan trọng đảm bảo an toàncho hệ thống mạng được quản trị

Hệ thống thu thập, hệ thống phân tích lưu trữ và hệ thống giám sát biểudiễn trong một hệ thống quản trị mạng có mối quan hệ mật thiết với nhau.Ngoài ra, để phục vụ các nhu cầu khác nhau của từng quản trị viên, một hệthống quản trị mạng có thể có thêm một số hệ thống nhỏ, có tác dụng hỗ trợnhư hệ thống tin nhắn cảnh báo, hệ thống xuất báo cáo, v.v… các hệ thốngnày có thể cài đặt bên trong các hệ thống chính để mở rộng chức năng củachúng

Hình 1.3 Sơ đồ tổ chức của hệ thống giám sát mạng

Trong hệ thống giám sát mạng, bài luận sẽ tập trung phân tích thiết kế

và xây dựng phần mềm biểu diễn, hiển thị các thông tin được lưu trữ từ trước

Phần mềm này có mục đích chính là trực quan hoá dữ liệu để người quản trị

dễ dàng hình dung, có cái nhìn tổng quan về an toàn mạng trong hệ thống và

hỗ trợ họ trong việc ra quyết định về sau

1.1 Thực trạng hệ thống giám mạng sát hiện nay

Trên thế giới hiện nay có rất nhiều các hệ thống giám sát mạng Hầu

hết các hệ thống này đều hoạt động tốt, có cách trình bày khoa học, đưa ra

được những thông tin hữu ích cho quản trị viên Tiêu biểu có thể kể tới một số

hệ thống như sau:

1.1.1 ELK – Elasticsearch, Logstash, Kibana.

"ELK" [5] là từ viết tắt của ba dự án mã nguồn mở: Elaticsearch,

Logstash và Kibana Elaticsearch là một công cụ tìm kiếm và phân tích

Logstash là một đường ống xử lý dữ liệu phía máy chủ, nhập dữ liệu từ nhiều

nguồn đồng thời, biến đổi nó và sau đó gửi nó đến một công cụ phân tích như

Elaticsearch Kibana cho phép người dùng trực quan hóa dữ liệu bằng các

biểu đồ và đồ thị trong Elasticsearch

ELK là một hệ thống quản trị xây dựng từ ba hệ thống mã nguồn mởnhỏ hơn của công ty Elastic NV Hệ thống ELK là một hệ thống quản trị cómục đích chung với cực kỳ nhiều chức năng biểu diễn Hệ thống ELK baogồm ba hệ thống nhỏ với chức năng cụ thể như sau:

- Logstash [6]: là một hệ thống xử lý dữ liệu phía máy chủ, mã nguồn

mở Nó thực hiện đồng thời việc thu thập dữ liệu từ vô số nguồnkhác nhau, thực hiện tùy chỉnh và sau đó gửi nó đến các hệ thốnglưu trữ, phân tích Bản thân Logstash hỗ trợ rất nhiều dạng đầu vào

dữ liệu, đồng thời với cách xử lý dữ liệu dưới dạng đường ống(pipeline) cho phép Logstash có khả năng thu thập dữ liệu liên tục,cùng lúc từ nhiều nguồn dữ liệu khác nhau Thông tin đi quaLogstash sẽ được xử lý và chuẩn hóa liên tục dựa vào hệ thống lọclớn, và sau đó sẽ được chuyển giao sang các hệ thống lưu trữ, phântích chuyên sâu Việc đa dạng số lượng đầu ra cũng là một điểmcộng khiến cho Logstash có thể tương tác đa dạng với các hệ thốngkhác

- Elasticsearch [7]: là một công cụ phân tích, lưu trữ và tìm kiếmphân tán, có khả năng giải quyết số lượng truy vấn lớn Là trung tâmcủa ELK, nó lưu trữ tập trung dữ liệu, giúp người dùng có thể thựchiện các công việc truy vấn chuyên sâu phục vụ phân tích.Elasticsearch có tốc độ truy vấn cao nhờ vào việc kết hợp nhiều loạithuật toán tối ưu tìm kiếm khác nhau

- Kibana [8]: là công cụ mô hình hóa chuyên sâu dành cho dữ liệutrong Elasticsearch Kibana là công cụ được tối ưu về mặt biểu diễn

dữ liệu với hàng loạt các loại biểu đồ khác nhau như: biểu đồ cột,biểu đồ đường, biểu đồ quạt, v.v… Ngoài ra, Kibana còn có nhữngcông cụ biểu diễn dữ liệu hiện đại như: bản đồ cho biểu diễn dữ liệu

địa lý, biểu đồ thời gian thực, biểu đồ quan hệ Đặc biệt là Kibana

có một số hệ thống học máy nhỏ bên trong để hỗ trợ người sử dụngtrong quá trình phân tích, và cho phép người dùng xây dựng cáchình vẽ trực quan phục vụ quá trình báo cáo

Hình 1.4 Một Dashboard xây dựng dựa trên ELK stack

1.1.1 Splunk.

Splunk [9] là một phần mềm chuyên biệt về biểu diễn dữ liệu từ mộtnơi lưu trữ có sẵn Nó là một phần mềm trả phí cho phép người sử dụng thu

thập được các thông tin hữu ích từ một bộ dữ liệu khổng lồ, nhờ vào các cơchế biểu diễn, phân tích đặc biệc của Splunk Splunk có tốc độ truy vấn cao

và có bảng dashboard thiết kế tốt, giúp các quản trị viên sử dụng có thể tiếtkiệm rất nhiều thời gian trong quá trình quản trị hệ thống Splunk có khả năng

mở rộng rất tốt, hoạt động hiệu quả ngay cả trong môi trường hệ thống mạnglớn với nguồn dữ liệu khổng lồ Việc ứng dụng học máy vào trong sản phầncũng khiến Splunk có khả năng phát hiện các dấu hiệu, tín hiệu đặc biệt cótrong dữ liệu được cung cấp

Hình 1.5 Dashboard của Splunk

Splunk có một hệ sản phẩm chuyên dụng trong trường hợp người dùng

có như cầu về bảo mật Hệ thống này có hiệu suất tốt trong hoạt động kiểmsoát các thông số dữ liệu quan trọng, đồng thời có hệ thống cảnh báo cao cấp

để đảm bảo tương tác giữa người quản trị và hệ thống Hệ thống này còn cókhả năng liên kết với nhau để hỗ trợ phân tích, xử lý thông tin, đem đến kếtquả quản trị rất cao

1.1.2 PRTG Network Monitor.

PRTG Network Monitor [10] là hệ thống giám sát mạng được đóng góirất đầy đủ, cho phép người sử dụng quản trị tất cả các hệ thống, thiết bị, luồngmạng và ứng dụng ngay trong một phần mềm mà không cần có các bước tảicập nhập thêm tính năng

Hình 1.6 Dashboard của PRTG Network Monitor

PRTG Network Monitor cho phép giám sát gần như tất cả các thông sốliên quan đến hoạt động của hệ thống mạng như đường truyền, gói tin, cơ sở

dữ liệu, phần mềm, phần cứng, v.v… Phần mềm hỗ trợ đa nền tảng, với nhiềucông nghệ hiện đại được áp dụng, đồng thời có một hệ thống giao diện lậptrình ứng dụng (API) đa dạng cho phép lập trình viên có thể tương tác với nóqua các ngôn ngữ như Python, Visual Basic, v.v… Khả năng giám sát diệnrộng của PRTG Network Monitor, đồng thời với việc sở hữu đội ngũ kỹ thuật

hỗ trợ thường trực đông đảo, chuyên nghiệp đã giúp phần mềm đạt đượcthành công lớn với hàng chục nghìn quản trị viên thường xuyên sử dụng

1.1.3 Nhu cầu về hệ thống giám sát mạng mới.

Các hệ thống kể trên là một số các phần mềm tiêu biểu về hệ thốnggiám sát mạng Các phần mềm này đều được thiết kế tốt, có hiệu năng phục

vụ rất cao và hiệu quả Tuy vậy, chúng hầu như đều yêu cầu hệ thống mạngphải có nguồn tài nguyên phần cứng tốt để hoạt động ổn định Các phần mềm

đa số là mã nguồn đóng, khiến việc tùy chỉnh để phù hợp với yêu cầu nhấtđịnh trở nên rất khó khăn Các hệ thống mã nguồn mở như ELK lại cần phải

có sự tùy chỉnh ở mức chuyên sâu mới có thể đáp ứng được nhu cầu đề ra.Đại đa số hệ thống giám sát là hệ thống trả phí, có chi phí rất cao Các hạnchế này khiến cho chúng khó phù hợp với những hệ thống mạng tại các công

ty vừa và nhỏ ở Việt Nam, những công ty vẫn chưa có nền tảng cơ sở đủ tốt

Do vậy, cần có một hệ thống giám sát mới nhỏ nhẹ, hoạt động tốt trong môitrường hạn chế, dễ tùy chỉnh và vẫn đảm bảo biểu diễn được các thông tin cầnthiết cho quản trị viên thực hiện hoạt động giám sát

1.2 Khảo sát các hoạt động của hệ thống giám sát mạng

1.2.1 Biểu diễn thông tin thu thập dưới dạng dashboard.

Bảng Dashboard là thuật ngữ dùng để chỉ một công cụ quản lý thôngtin, có chức năng chính là phân tích, mô tả và biểu diễn các thông tin được chỉđịnh, thường là các thông tin quan trọng nhất đối với công việc được xem xét

Hệ thống giám sát mạng cần phải có một bảng dashboard được thiết kế hợp

lý, cho ra được cái nhìn tổng quan nhất về tình hình an toàn mạng của hệthống

Bảng Dashboard của hệ thống giám sát mạng cần lấy các thông tinđược lưu trữ trong hệ thống lưu trữ, phân tích (thường là các thông tin về lờigọi hệ thống, dữ liệu log luồng mạng) Với một số lượng lớn thông tin đượclưu trữ, Dashboard cần phải lựa chọn ra được các thông số hữu ích nhất để thể

hiện được ý nghĩa của chúng Phương pháp lựa chọn có thể là trích chọn đặctrưng dữ liệu, tổng hợp dữ liệu, thống kê dữ liệu, v.v…

Sau khi lựa chọn các thông số, Dashboard cần phải có cách biểu diễnchúng trực quan và sinh động Một hệ thống Dashboard tệ là một hệ thống sửdụng quá nhiều chữ, số, hoặc quá nhiều hình ảnh, biểu đồ Do đó, Dashboardcần phối hợp hài hòa giữa chúng để người sử dụng có thể nắm bắt được toàn

bộ những thông tin mà nó thể hiện

Dashboard cũng cần phải có các chức năng cho phép người dùng tươngtác với nó Đối với các dữ liệu phù hợp, Dashboard cần cho phép người sửdụng các thao tác như sàng lọc, tìm kiếm, giới hạn, tổng hợp, v.v… Việc này

sẽ tạo sự linh động lớn cho người dùng trong quá trình quản trị, giám sát hệthống mạng

Hình 1.7 Quy trình biểu diễn thông tin thu thập duới dạng dashboard

1.2.2 Cảnh báo người dùng về các nguy cơ, nguy hại.

Hệ thống giám sát có một bảng Dashboard tốt sẽ phục vụ rất đắc lựccho quá trình giám sát của quản trị viên, tuy vậy, nếu không có một hệ thốngcảnh báo nhanh nhạy thì sẽ làm giảm sự chủ động của cả hệ thống Đặc biệt là

trong các trường hợp hệ thống bị tấn công, nếu không có hệ thống cảnh báohoặc hệ thống cảnh báo quá yếu có thể dẫn đến tổn hại lớn cho hệ thốngmạng Trong hệ thống quản trị, việc phát hiện các nguy cơ là công việc chínhcủa các hệ thống lưu trữ, phân tích sau khi có các thông tin của các hệ thốngthu thập, tuy vậy, việc cảnh báo kịp thời, hiệu quả các nguy cơ đó đến ngườiquản trị là trách nhiệm của hệ thống giám sát, biểu diễn.

Các thông tin liên quan đến các nguy cơ được hệ thống lưu trữ, phântích phát hiện, sinh ra Các thông tin sẽ được hệ thống giám sát thông báo chongười quan trị đang sử dụng hệ thống, cũng như những người quản trị khác cóvai trò quan trọng trong đảm bảo an toàn mạng Việc thông báo có thể diễn raqua nhiều phương thức khác nhau Cách đơn giản nhất là thông báo qua giaodiện sử dụng của hệ thống giám sát để thu hút sự chú ý của người đang sửdụng Một cách khác tiên tiến hơn như tiến hành gửi email tới hòm thư củanhững quản trị viên được đăng ký sẵn

Không phải cảnh báo nào cũng cần sự chú ý của tất cả quản trị viên.Đối với các loại nguy cơ có độ nguy hại thấp, có thể dễ dàng xử lý thì hệthống giám sát không cần thiết phải gửi email mà chỉ cần thự hiện cảnh báoqua giao diện cho người đang sử dụng Đối với các nguy cơ đe dọa đến hoạtđộng của toàn hệ thống, hệ thống giám sát cần gửi ngay lập tức các tin cảnhbáo đến email của toàn bộ quản trị viên có thẩm quyền để cùng tiến hành xử

lý Do đó, hệ thống giám sát phải cho phép các quản trị viên có thẩm quyềncao tiến hành lựa chọn các loại cảnh báo thực hiện đối với các dạng tấn côngnhất định Việc này sẽ được thực hiện thông qua sự tương tác của quản trịviên với hệ thống

Hình 1.8 Quy trình cảnh báo người dùng về các nguy cơ, nguy hại

1.2.3 Phân quyền giữa các quản trị viên và người dùng

Hệ thống giám sát mạng có thể được sử dụng bởi cả quản trị viên vàngười dùng bình thường Không chỉ vậy, giữa các quản trị viên cũng có cáccấp bậc quản lý, giám sát khác nhau Do đó, hệ thống giám sát cần có chứcnăng phân quyền hiệu quả, hợp lý

Hệ thống giám sát cần có khả năng phân quyền cho một người cụ thể,hoặc một nhóm người có chức vụ tương tự nhau Các quyền hạn ở đây baogồm việc những thông tin nào trên Dashboard một người dùng được phép tiếpcận, những loại hình cảnh báo nào được phép nhận, những tùy chỉnh nào

được phép thực hiện Việc này có thể thực hiện bằng cách quyết định nhữnggiao diện nào người dùng được phép truy cập, giao diện nào bị từ chối.

Việc phân quyền chỉ được thực hiện bởi những người dùng, nhữngquản trị viên được cấp quyền Thực hiện tốt việc phân quyền sẽ giúp quá trìnhquản lý hoạt động của hệ thống giữa những người dùng, những quản trị viênđược khách quan, khoa học, đảm bảo hệ thống hoạt động hiệu quả nhất

1.2.4 Một số hoạt động khác

Hệ thống giám sát mạng thường cần có những chức năng hỗ trợ khác

để hỗ trợ tốt hơn mục tiêu hoạt động của những quản trị viên sử dụng Đối vớimục tiêu là các hệ thống mạng vừa và nhỏ, hệ thống giám sát mạng đượcnghiên cứu cần thiết phải có thêm một số chức năng phụ trợ khác như xuấtbản để hỗ trợ quản trị viên trong quá trình báo cáo giấy tờ với cấp trên

CHƯƠNG 2 PHÂN TÍCH THIẾT KẾ HỆ THỐNG PHẦN MỀM GIÁM SÁT MẠNG

UET-DASHBOARD 2.1 Phân tích hệ thống giám sát mạng UET-DASHBOARD.

2.1.1 Một số khái niệm.

- Phương pháp phân tích: Phương pháp phân tích từ trên xuống sẽ

được sử dụng để phân tích hệ thống giám sát mạng UET-Dashboard Đây làphương pháp phân tích bài toán thành các bài toán nhỏ hơn, rồi tiếp tục phântích các bài toán con cho đến khi nhận được các bài toán có thể cài đặt được

dễ dàng Giai đoạn phát triển sau sẽ kế thừa các kết quả của giai đoạn pháttriển trước

- Biểu đồ phân rã chức năng (BDF): Là biểu đồ dùng để biểu diễn việc

phân rã có cấp bậc một cách đơn giản các công việc cần thực hiện Mỗi chứcnăng được thể hiện trong một khung và khi cần có thể phân rã thành nhiềuchức năng con ở mức thấp hơn, số mức chia ra phụ thuộc kích cỡ và độ phứctạp của hệ thống phân tích

 Chức năng: Là các nhiệm vụ cần thực hiện, được phân theonhiều mức từ tổng hợp đến chi tiết

 Quan hệ phân cấp: Mỗi chức năng được phân rã thành các chứcnăng con Các chức năng con có quan hệ kiểu phân cấp với chứcnăng cha

- Biểu đồ luồng dữ liệu: Là biểu đồ thể hiện mô hình mối quan hệ giữa

các chức năng hoặc tiến trình của hệ thống với thông tin mà chúng thể hiện.Các chức năng đã được xác định trong quá trình mô hình hóa sơ đồ chức năngnghiệp vụ

2.1.2 Sơ đồ phân rã chức năng của hệ thống giám sát mạng dựa trên lời gọi hệ thống

và dữ liệu luồng mạng.

Hệ thống được thiết kế với 3 chức năng chính:

 Biểu diễn thông tin

 Quản lý người dùng hệ thống

 Cảnh báo nguy hại

Các chức năng chính này sẽ được phân tích và phân rã thành các chứcnăng con Ngoài ra, hệ thống sẽ có một số chức năng nhỏ hơn như: thống kê,

in ấn để phục vụ công việc của các quản trị viên Các chức năng nhỏ hơn này

sẽ thường dùng để phục vụ các chức năng chính

 Bảng tổng hợp chức năng

Bảng 2.1 Bảng tổng hợp chức năng

Hiển thị dữ liệu, thống kê số lượng

WebLog, DSN log theo ngày tháng,

Biểu diễn thông tin về các trang web

được giám sát về nguy cơ bị tấn công

thay đổi giao diện

Thêm, sửa, xóa các trang web được

giám sát tấn công thay đổi giao diện

Thêm, sửa, xóa các dữ liệu theo thành

phố người dùng được truy cập

Xuất bản báo cáo thông tin WebLog,

DNSLog theo ngày tháng, thành phố

Thêm, sửa, xóa tài khoản người dùng

hệ thống

Quản lý ngườidùng hệ thốngPhân quyền người dùng hệ thống

Phân quyền nhóm người dùng hệ

thống

Thiết lập phương thức cảnh báo cho

các nhóm cảnh báo

Cảnh báo nguy hại

Thiết lập các nhóm cảnh báo người

Hình 2.9 Biểu đồ phân rã chức năng

 Mô tả chức năng

 Biểu diễn thông tin: là chức năng chính của hệ thống giám sát Hệthống lấy thông tin từ CSDL trong hệ thống lưu trữ để biểu diễndưới dạng các thông kế, biểu đồ và số liệu, đồng thời cho phépngười dùng lựa chọn các tham số để tùy chỉnh hiển thị

▪ Hiển thị dữ liệu, thống kê số lượng WebLog, DSN log theo ngàytháng, thành phố: là chức năng hệ thống giám thực hiện thu thậpthông tin log hệ thống quan trọng nhất (ở đây gồm WebLog vàDNSLog) từ CSDL để hiển thị, đồng thời thống kê số liệu vàbiểu diễn nó dưới dạng biểu đồ trực quan Dữ liệu được thu thập

từ CSDL có thể được giới hạn trong một khoảng thời gian ngàytháng nhất định và cũng có thể được giới hạn theo thành phố mà

dữ liệu được thu về

▪ Biểu diễn, lựa chọn thành phố để hiển thị dữ liệu tương ứng: làchức năng hệ thống mô tả các thành phố có dữ liệu được thu thập

về trên một bản đồ Việt Nam đơn giản và cho phép người dùngtương tác để lựa chọn thành phố dùng trong giới hạn dữ liệu biểudiễn thu từ CSDL

▪ Biểu diễn thông tin về các trang web được giám sát về nguy cơ

bị tấn công thay đổi giao diện: là chức năng hệ thống thống kêcác trang web mà hệ thống giám sát cần phải giám sát bảo vệ,gồm tên trang web, thời gian giám sát và trạng thái giám sát lúcđó

▪ Thêm, sửa, xóa các trang web được giám sát tấn công thay đổigiao diện: là chức năng cho phép thêm, sửa, xóa thông tin trangweb mà hệ thống cần giám sát

▪ Thêm, sửa, xóa các dữ liệu theo thành phố người dùng được truycập: là chức năng cho phép thêm, sửa, xóa thông tin thành phốngười dùng được phép lựa chọn trong quá trình tùy chỉnh dữliệu

▪ Xuất bản báo cáo thông tin WebLog, DNSLog theo ngày tháng,thành phố: là chức năng cho phép người dùng xuất bản thông tinWebLog, DNSLog theo ngày tháng và thành phố lựa chọn dướiđịnh dạng file excel

 Quản lý người dùng hệ thống: là chức năng cho phép các ngườidùng và quan trị viên của hệ thống giám sát có thể phân quyền truycập vào các chức năng cơ bản của hệ thống, giúp quá trình làm việcđược thống nhất, tránh xảy ra xung đột

▪ Thêm, sửa, xóa tài khoản người dùng hệ thống: là chức năng chophép người dùng, quan trị viên có quyền thêm, sửa, xóa thông tinmột tài khoản được phép đăng nhập vào hệ thống Người dùngmới cũng có thể tự tạo tài khoản để sử dụng hệ thống, tuy nhiênban đầu sẽ bị giới hạn quyền sử dụng.

▪ Phân quyền người dùng hệ thống: là chức năng cho phép người

có quyền có thể giới hạn quyền truy cập các chức năng của hệthống cho một tài khoản nhất định, đảm bảo người không cóquyền truy cập không được phép sử dụng chức năng

▪ Phân quyền nhóm người dùng hệ thống: là chức năng cho phépngười có quyền có thể giới hạn quyền truy cập các chức năng của

hệ thống cho một nhóm tài khoản nhất định, đảm bảo nhómngười không có quyền truy cập không được phép sử dụng chứcnăng

 Cảnh báo nguy hại: là chức năng quan trọng của hệ thống, cho phép

hệ thống cảnh báo đến những người có quyền biết về các nguy cơ

mà hệ thống phân tích, lưu trữ đã phát hiện thông qua các hệ thốngliên lạc

▪ Thiết lập phương thức cảnh báo cho các nhóm cảnh báo: là chứcnăng hệ thống phân chia các phương thức cảnh báo sử dụng khimột cảnh báo thuộc nhóm được phát hiện

▪ Thiết lập các nhóm cảnh báo người dùng được nhận: là chứcnăng hệ thống phân chia các tài khoản người dùng được nhậncảnh báo khi một cảnh báo thuộc nhóm được phát hiện

▪ Biểu diễn giám sát thông tin về các cảnh báo đã phát hiện: làchức năng hệ thống liệt kê các cảnh báo đã được phát hiện tronglịch sử hoạt động của hệ thống.

2.1.3 Mô hình luồng dữ liệu.

Biểu đồ luồng dữ liệu là mô hình hệ thống cho cả dữ liệu lẫn quá trìnhhoạt động của hệ thống Thông tin lấy từ các nguồn dữ liệu được chuyển đếncho một hay nhiều quá trình xử lý và ngược lại, một quá trình khi nhận đủthông tin vào thì bắt đầu thực hiện chức năng xử lý thông tin của nó và xuất racác kết quả gửi lại kho dữ liệu

 Các thành phần của biểu đồ luồng dữ liệu:

 Chức năng: là chức năng biểu đạt các thao tác, nhiệm vụ một tiếntrình xử lý trong hệ thống Chức năng có nhiệm vụ quan trọng làbiến đổi thông tin, tức là từ thông tin đầu vào khi thực hiện chứcnăng thông tin sẽ được tổ chức lại, bổ sung thêm hoặc tạo ra thôngtin mới

 Luồng dữ liệu: là luồng thông tin vào hoặc luồng thông tin ra khỏimột chức năng Nó được dùng để liên kết các thành phần của biểu

sơ đồ chỉ ra giới hạn của hệ thống, định rõ mối quan hệ của hệ thốngvới thế giới bên ngoài Đây là nguồn cung cấp thông tin cho hệthống, cũng như là nơi sử dụng các sản phẩm thông tin từ hệ thống

 Tác nhân trong: là một chức năng hoặc một hệ thống con của hệthống.

 Biểu đồ luồng dữ liệu mức đỉnh.

 Biểu đồ luồng dữ liệu mức 1

 Hệ thống biểu diễn thông tin

Hình 2.10 Biểu đồ ngữ cảnh

Hình 2.11 Biểu đồ dữ liệu mức đỉnh

Hình 2.12 Biểu đồ dữ liệu mức 1 hệ thống biểu diễn thông tin

 Hệ thống cảnh báo nguy hại

2.1.4 Xây dựng mô hình thực thể quan hệ.

Mô hình thực thể

 Thực thể: là khái niệm để chỉ một đối tượng, một nhiệm vụ, một

sự kiện trong thế giới thực hay tư duy được quan tâm trong quản

lý Tên của thực thể phải thể hiện kiểu hay lớp của các đối tượng

 Thuộc tính: là giá trị thể hiện một đặc điểm nào đó của một thựcthể hay một liên kết Mỗi thuộc tính có một tập giá trị gọi là miềngiá trị của thuộc tính đó

Một thực thể phải có ít nhất hai thuộc tính trong đó có một thuộc tínhlàm khóa Thuộc tính phục vụ cho việc đánh giá chất lượng, xác định, phânloại, đánh giá số lượng hay biểu diễn trạng thái của thực thể

Mối quan hệ giữa các thực thể: là giữa các thực thể luôn có mối quan

hệ tác động với nhau trong thế giới thực Mối quan hệ đó có thể là trực tiếphoặc gián tiếp

Phân loại quan hệ:

 Quan hệ một – một (1 - 1) : Một thể hiện của thực thể A tươngứng với một và chỉ một thể hiện của thực thể B

 Quan hệ một – nhiều (1 – n): Một thể hiện của thực thể A quan

hệ với một hoặc nhiều thể hiện của thực thể B Ngược lại mỗithực thể B quan hệ với chỉ một thể hiện của thực thể A

 Quan hệ nhiều – nhiều (n - m): Mỗi thể hiện của thực thể A quan

hệ với nhiều thể hiện của thực thể B và ngược lại

Trên cơ sở phân tích, ta thấy được hệ thống giám sát mạng có những thực thể như sau:

 Thực thể Người dùng: Lưu các thông tin liên quan đến người dùng hệ thống Các thuộc tính bao gồm:

 Thực thể Thành phố: Lưu thông tin liên quan đến các thành phố

mà dữ liệu được thu thập Các thuộc tính gồm:

 Mã thành phố

 Tên thành phố