Bảo mật hệ thống máy chủ web dựa trên trực quan hóa

- Nghiên cứu các kỹ thuật thể hiện dữ liệu trực quan được sử dụng và đề xuất cách hiển thị thích hợp đối với dữ liệu cảnh báo.. Mở đầu Trong phạm vi nghiên cứu của đề tài, tác giả sẽ tìm

TRƯỜNG ĐẠI HỌC BÁCH KHOA

CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG -HCM

Cán bộ hướng dẫn khoa học : PGS TS Đặng Trần Khánh

Cán bộ chấm nhận xét 1 : TS Võ Thị Ngọc Châu

Cán bộ chấm nhận xét 2 : TS Nguyễn Tuấn Đăng

Luận văn thạc sĩ được bảo vệ tại Trường Đại học Bách Khoa, ĐHQG Tp HCM ngày 07 tháng 09 năm 2011

Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm:

NHIỆM VỤ LUẬN VĂN THẠC SĨ

Họ tên học viên: Phạm Hồng Thanh MSHV: 09070462 Ngày, tháng, năm sinh: 04/04/1984 Nơi sinh: Long An

Chuyên ngành: Khoa học máy tính Mã số : 604801

I TÊN ĐỀ TÀI: Bảo mật hệ thống máy chủ Web dựa trên trực quan hóa

II NHIỆM VỤ VÀ NỘI DUNG:

- Đề tài sẽ tập trung vào nghiên cứu các kỹ thuật gom nhóm đã được công bố Trên cơ sở đó cải tiến một kỹ thuật đã có hoặc đề xuất một kỹ thuật mới

- Nghiên cứu các kỹ thuật thể hiện dữ liệu trực quan được sử dụng và đề xuất cách hiển thị thích hợp đối với dữ liệu cảnh báo

- Xây dựng một ứng dụng mẫu sử dụng kỹ thuật đã phát triển

- Thử nghiệm, đánh giá và phân tích kỹ thuật đã phát triển để thấy được ưu điểm

và nhược điểm

III NGÀY GIAO NHIỆM VỤ : 14/02/2011

IV NGÀY HOÀN THÀNH NHIỆM VỤ: 04/07/2011

LỜI CẢM ƠN

Xin chân thành cảm ơn thầy hướng dẫn PGS TS Đặng Trần Khánh đã gợi ý phương hướng, đóng góp ý kiến và cho những lời khuyên giá trị giúp tôi có thể hoàn thành đề tài

Xin chân thành cảm ơn Ban giám hiệu trường Đại học Hoa Sen đã tạo điều kiện

hỗ trợ trong công việc để tôi có đủ thời gian hoàn thành đề tài

Xin cám ơn các thành viên trong gia đình đã động viên tinh thần, giúp đỡ tôi những lúc khó khăn trong thời gian hoàn thiện đề tài

Tôi xin cam kết luận văn này được hoàn thành dựa trên các kết quả nghiên cứu của tôi và các kết quả của nghiên cứu này chưa được dùng cho bất cứ luận văn cùng cấp nào khác

TÓM TẮT

Vấn đề an toàn cho hệ thống máy chủ web luôn là vấn đề nóng hổi của bất kỳ doanh nghiệp nào có các hoạt động gắn liền với nó Làm sao để đảm bảo cho website vận hành an toàn là thách thức đối với những người làm bảo mật hệ thống Nhu cầu đặt

ra là làm sao có thể xây dựng được hệ thống theo dõi, giám sát và ngăn chặn các cuộc tấn công trái phép

Đã có nhiều nghiên cứu về các hệ thống phát hiện xâm nhập tuy nhiên hầu hết vẫn cần sự cấu hình, phân tích tỉ mỉ từ nhà quản trị chuyên nghiệp Một trong những cách tiếp cận cho vấn đề này là theo hướng trực quan hoá Bằng sự kết hợp các hình ảnh, âm thanh người quản trị sẽ có được sự hỗ trợ trong việc giám sát hệ thống

Trong phạm vi nghiên cứu của đề tài, tác giả đã tìm hiểu các kỹ thuật gom nhóm phổ biến và đề xuất cải tiến phù hợp cho việc gom nhóm dữ liệu cảnh báo Ngoài ra luận văn cũng xây dựng một prototype đơn giản để thể hiện trực quan các dữ liệu cảnh báo thu thập được

Trang

Chương 1: Mở đầu 1

1.1 Phát biểu vấn đề 1

1.2 Tên đề tài 3

1.3 Giới hạn đề tài 3

1.4 Mục tiêu đề tài 3

Chương 2: Tổng quan bảo mật hệ thống và phát hiện xâm nhập 4

2.1 Nhu cầu bảo mật hệ thống 4

2.2 Cách thức tấn công 4

2.3 Các tính chất an toàn 5

2.4 Cơ chế bảo mật 8

Chương 3: Bảo mật dựa trên trực quan hoá 10

3.1 Giới thiệu 10

3.2 Các nghiên cứu 10

Chương 4: Cơ sở lý thuyết 18

4.1 Các phương pháp trực quan hoá dữ liệu [2] [7] 18

4.2 Các phương pháp phân tích trực quan dữ liệu bảo mật 23

4.3 Các phương pháp đặc tả lỗ hổng bảo mật 29

4.4 Mô hình lập trình MapReduce 33

Chương 5: Ứng dụng bảo mật hệ thống máy chủ web dựa trên trực quan hoá 37

5.1 Giới thiệu hệ thống 37

5.2 Các chức năng của hệ thống 37

5.3 Kiến trúc hệ thống 38

5.4 Mô tả chức năng thu thập dữ liệu - Collector 42

5.5 Kỹ thuật gom nhóm cảnh báo 45

5.6 Trực quan hóa dữ liệu cảnh báo 54

Mục lục

5.7 Mô tả hệ thống triển khai 58

5.8 Đánh giá số liệu 59

5.9 Ưu điểm, hạn chế 65

Chương 6: Kết luận 66

6.1 Tổng kết 66

6.2 Hướng phát triển hệ thống và kiến nghị những nghiên cứu tiếp theo 66

DANH MỤC HÌNH

Hình 1-1: Các phương pháp tấn công phổ biến 1

Hình 1-2: Những điểm yếu phổ biến của hệ thống web 2

Hình 1-3: Các thiệt hại của hệ thống sau cuộc tấn công 2

Hình 2-1: Các loại tấn công trên kênh truyền thông tin 4

Hình 3-1: Giao diện chính chương trình SnortView 10

Hình 3-2: Giao diện chính chương trình IDS RainStorm 12

Hình 3-3: Hình ảnh IDS RainStorm khi phóng to để xem chi tiết 12

Hình 3-4: Giao diện chính chương trình VisAlert 14

Hình 3-5: Biểu diễn dữ liệu của VisAlert trong không gian hai chiều 14

Hình 3-6: Trực quan hoá cấu trúc (Topology) 15

Hình 3-7: Gom cụm cảnh báo sử dụng mô hình “bầy đàn” (Flocking Model) 16 Hình 3-8: Minh hoạ việc tiên đoán bước tiếp theo của cuộc tấn công 17

Hình 4-1: Minh hoạ việc sử dụng không gian không hợp lý khi thể hiện đồ thị18 Hình 4-2: Minh hoạ việc sử dụng không gian hợp lý khi thể hiện đồ thị 19

Hình 4-3: Vùng B và C có diện tích như nhau 20

Hình 4-4: Phối cảnh 3 chiều tạo ra cảm giác diện tích vùng C bằng A và B 20

Hình 4-5: Báo cáo mẫu minh hoạ lưu lượng lưu thông trên một máy tính 24

Hình 4-6: Biểu đồ minh hoạ số lần đăng nhập thành công/thất bại 25

Hình 4-7: Biểu đồ mẫu dạng timetable 26

Hình 4-8: So sánh giá trị theo thời gian sử dụng nhiều chuỗi thời gian 27

Hình 4-9:Dashboard dành cho CISO (chief information security officer) 28

Hình 4-10: Các thành phần của state transition diagram 29

Hình 4-11: Ví dụ một state diagram cho một kịch bản tấn công 29

Hình 4-12: Các thành phần của Colored Petri Nets 30

Hình 4-13: Ví dụ một Colored Petri Nets 31

Hình 4-14: Một attack graph ví dụ 31

Hình 4-15: Time-Dependent DFA 32

Hình 4-16: Different-Length Vectors 32

Hình 4-17: Tổng quan cách thực thi của MapReduce 34

Hình 4-18: Minh hoạ quá trình hoạt động của MapReduce 35

Danh mục hình

Hình 5-1: Kiến trúc tổng quát của hệ thống 38

Hình 5-2: Kiến trúc hệ thống 39

Hình 5-3: Hệ thống cần bảo vệ 40

Hình 5-4: Hệ thống theo dõi và gom nhóm cảnh báo 41

Hình 5-5: Chương trình trực quan dữ liệu và tạo báo cáo 42

Hình 5-6: Biểu đồ mô tả số lượng cảnh báo từ CSDL thử nghiệm 46

Hình 5-7: Lược đồ mô tả quá trình xử lý của bước phân tích và gom nhóm 48

Hình 5-8: Flowchart của quá trình gom nhóm 49

Hình 5-9: Flowchart của giải thuật K-means 51

Hình 5-10 Sự tương đồng về loại tấn công 53

Hình 5-11: Đồ thị liên kết 55

Hình 5-12: Đồ thị liên kết khi chọn một đối tượng 55

Hình 5-13: Biểu đồ hiển thị cảnh báo 56

Hình 5-14: Hình ảnh chi tiết của cảnh báo 57

Hình 5-15: Điều chỉnh thông số Time Scales 57

Hình 5-16: Gom nhóm các cảnh báo lại theo ngày 57

Hình 5-17: Biểu đồ thống kê số lượng cảnh báo theo ngày 58

Hình 5-18: Sơ đồ mạng trong thử nghiệm của MIT Lincoln Lab 60

Hình 5-19: Biểu đồ đánh giá thời gian chạy chương trình thu thập dữ liệu 61

Hình 5-20: Biểu đồ đánh giá thời gian chạy chương trình gom nhóm 62

Hình 5-21: Mô tả một phần của đồ thị liên kết 64

Bảng 5.1: Diễn giải ý nghĩa các thuộc tính trong vector cảnh báo 43

Bảng 5.2: Ví dụ một cảnh báo thu thập được 44

Bảng 5.3: Bảng tra cứu thông tin protocol 45

Bảng 5.4 Các loại tấn công phổ biến từ CSDL thử nghiệm 46

Bảng 5.5: Bảng phân loại nhóm của những cảnh báo từ CSDL thử nghiệm 47

Bảng 5.6: Số liệu thống kê từ CSDL thử nghiệm 52

Bảng 5.7: Các loại layout hỗ trợ trong đồ thị liên kết 56

Bảng 5.8: Thống kê số lượng cảnh báo từ CSDL thử nghiệm 59

Bảng 5.9: Bảng số liệu kết quả thu giảm cảnh báo 63

Bảng 5.10: Số lượng liên kết từ một địa chỉ IP nguồn 63

Bảng 5.11: Số lượng liên kết đến địa chỉ đích 64

Dưới đây là số liệu phân tích Web Hacking Incident Database 1

về các phương pháp tấn công, các điểm yếu của hệ thống và những nguy hại hệ thống gặp phải

Hình 1-1: Các phương pháp tấn công phổ biến

Dựa vào số liệu về các phương pháp tấn công phổ biến ta thấy hai cách tấn công SQL Injection và Cross Site Scripting chiếm đa số, ngoài ra tỉ lệ tấn công không rõ nguyên nhân cũng cao không kém

Số liệu các điểm yếu ở Hình 1-1 chỉ ra rằng việc xử lý không tốt dữ liệu đầu vào và đầu ra của hệ thống là nguyên nhân căn bản nhất dẫn đến cuộc tấn công

Mặc dù các số liệu trên không phản ánh đúng hoàn toàn thực tế, tuy nhiên ta có thể nhìn thấy sự đa dạng của cách thức tấn công cũng như các lỗi thường gặp của hệ thống

1

http://projects.webappsec.org/w/page/13246995/Web-Hacking-Incident-Database

Hình 1-2: Những điểm yếu phổ biến của hệ thống web

Hình 1-3: Các thiệt hại của hệ thống sau cuộc tấn công

Nhu cầu đặt ra là làm sao có thể xây dựng được hệ thống theo dõi, giám sát và ngăn chặn các cuộc tấn công trái phép Đã có nhiều nghiên cứu về các hệ thống phát hiện xâm nhập tuy nhiên hầu hết vẫn cần sự cấu hình, phân tích tỉ mỉ từ nhà quản trị chuyên nghiệp Một trong những cách tiếp cận cho vấn đề này là theo hướng trực quan hoá Bằng sự kết hợp các hình ảnh, âm thanh người quản trị sẽ có được sự hỗ trợ đắc lực trong việc giám sát hệ thống

Chương 1 Mở đầu

Trong phạm vi nghiên cứu của đề tài, tác giả sẽ tìm hiểu và xây dựng phân hệ trực quan hoá cho dữ liệu cảnh báo thu thập được từ các chương trình phát hiện xâm nhập như Snort2, chương trình dò tìm lỗ hổng bảo mật như Nessus3

Một số nghiên cứu liên quan4

chưa thật sự quan tâm đến khả năng vận hành của

hệ thống trực quan hoá trên tập dữ liệu cực lớn Tác giả cũng tìm hiểu cách thức tổ chức dữ liệu hiệu quả để có thể vận hành được hệ thống trơn tru khi kích thước tập dữ liệu gia tăng liên tục Tác giả cũng đề xuất giải pháp để gia tăng hiệu suất chương trình trên hệ thống tính toán song song

Ngoài ra đề tài còn tập trung nghiên cứu kỹ thuật gom nhóm cảnh báo nhằm giảm số lượng cảnh báo, loại bỏ bớt cảnh báo sai và phát hiện được các kịch bản tấn công từ các cảnh báo rời rạc

 Xây dựng một ứng dụng mẫu sử dụng kỹ thuật đã phát triển

 Thử nghiệm, đánh giá và phân tích kỹ thuật đã phát triển để thấy được ưu điểm và nhược điểm

Chương 2: Tổng quan bảo mật hệ thống và phát hiện xâm nhập

2.1 Nhu cầu bảo mật hệ thống

Các hệ thống máy tính nói chung và máy chủ web nói riêng khi đưa vào vận hành đều tiềm ẩn nguy cơ bị xâm phạm bất hợp pháp Tuỳ vào mức độ mà hệ thống có thể bị mất dữ liệu, bị hư hỏng hoặc sụp đổ hoàn toàn

Việc hiểu đúng các tính chất an toàn của hệ thống và đánh giá đúng sự cần thiết của nó sẽ làm giảm đến mức tối đa những nguy cơ

Để làm được việc đó, trước tiên chúng ta cần tìm hiểu các tính chất của một hệ thống phải thỏa mãn các yêu cầu nào để được xem là an toàn

Phần dưới đây sẽ trình bày sơ lược về cách thức tấn công, các tính chất an toàn của hệ thống và những cơ chế bảo mật có thể được triển khai

2.2 Cách thức tấn công

Nội dung trong phần này giả định chức năng của máy tính là cung cấp thông tin, luồng thông tin đi từ nguồn (ví dụ tập tin, bộ nhớ, …) đến đích (ví dụ máy từ xa, tập tin khác hoặc người dùng, …) thông qua kênh truyền (dây dẫn, bus dữ liệu, …) Nhiệm vụ của hệ thống bảo mật là giới hạn truy cập thông tin đối với các đối tượng không được cấp phép truy cập Dưới đây là những hình ảnh minh hoạ về kênh truyền bình thường và phân loại tấn công trên nó (dựa trên [1])

Hình 2-1: Các loại tấn công trên kênh truyền thông tin

Chương 3.Hệ thống phát hiện xâm nhập

2.2.1 Gián đoạn - Interruption

Interruption – Gián đoạn: Một phần hệ thống bị phá huỷ hoặc không thể truy cập được Mục tiêu của loại tấn công này là nguồn phát hoặc kênh truyền nhằm ngăn cản thông tin đến đích đến

2.2.2 Nghe lén - Interception

Interception – Nghe lén: Một đối tượng khác không có quyền nghe lén thông tin truyền đi trên kênh truyền

2.2.3 Thay đổi - Modification

Modification – Thay đổi: Thông tin không chỉ bị nghe lén mà còn bị chỉnh sửa bất hợp pháp khi truyền từ nguồn phát đến đích

2.2.4 Đóng giả - Fabrication

Fabrication – Đóng giả:Người tấn công sẽ chèn đối tượng giả mạo vào hệ thống

và tiến hành đóng giả vai trò của người gởi để truyền thông tin cho người nhận

và mức độ nhạy cảm cao Điển hình là thông tin trong các tổ chức nhà nước về quốc phòng, an ninh Không chỉ vậy, các công ty kinh doanh cũng có nhiều thông tin mà họ không muốn đối thủ của mình biết, ví dụ như thông tin về sản phẩm hoặc thông tin về các nhà cung cấp Ngoài ra, các thông tin về nhân sự, tiền lương cũng là ví dụ về những loại thông tin cần sự bí mật

Có nhiều cách có thể mang tính bí mật đến cho thông tin Một cách phổ biến trong số đó là sử dụng các kỹ thuật mã hóa Mã hóa làm xáo trộn thông tin gốc, dẫn đến việc người đọc không thể hiểu được những gì mà nó hiển thị Để có thể đọc và hiểu được nó thì cần phải có khóa

nó phải được giữ kín không cho những người bên ngoài truy xuất được Điều này dẫn đến nhu cầu phải lưu trữ và bảo vệ khóa một cách hiệu quả Nếu tính bí mật của khóa

bị vi phạm, thì tính bí mật của thông tin được mã hóa cũng bị ảnh hưởng theo

Một cách khác có thể mang tính bí mật đến cho thông tin là sử dụng các cơ chế kiểm soát truy cập (access control) và chỉ cho phép các truy cập nào hợp lệ Chẳng hạn như hệ điều hành Linux có cơ chế đăng nhập trước khi sử dụng máy để đảm bảo chỉ những người nào là người sử dụng hợp pháp của hệ thống mới biết được mật khẩu (password) và đăng nhập được thành công Tuy nhiên, cách này phụ thuộc vào hệ thống kiểm soát truy cập và nếu như hệ thống kiểm soát không được bật (xét ví dụ về

hệ điều hành Linux ở trên, nếu người sử dụng khởi động máy trực tiếp từ một đĩa CD

hỗ trợ khởi động thì hệ thống kiểm soát sẽ không được kích hoạt) hoặc có lỗi thì tính

bí mật của dữ liệu mà nó bảo vệ cũng sẽ không còn được đảm bảo nữa

Bí mật không chỉ là che dấu nội dung các thông tin, mà trong một số trường hợp cần phải che dấu luôn cả sự tồn tại của thông tin đó Một ví dụ điển hình là thông tin về kết quả bỏ phiếu bất tín nhiệm đối với các nhà chính trị Rõ ràng việc biết được

có một cuộc bỏ phiếu như thế diễn ra cũng có ảnh hưởng không kém việc biết kết quả chính thức của cuộc bỏ phiếu đó

là người được thông báo là đã tạo ra dữ liệu hay không Ví dụ khi nhận được một thông tin mật, thì ngoài việc kiểm tra tính hợp lệ của thông tin, chúng ta cũng cần kiểm tra danh tánh chính xác của người cung cấp tin

Các cơ chế để hiện thực tính toàn vẹn cho một hệ thống có thể được phân loại thành 2 nhóm: các cơ chế phòng ngừa (prevention) và các cơ chế phát hiện (detection)

Các cơ chế phòng ngừa đảm bảo tính toàn vẹn bằng cách chặn đứng các nỗ lực thay đổi dữ liệu của những người không được phép làm chuyện đó, hoặc của những

Chương 3.Hệ thống phát hiện xâm nhập

người được phép thay đổi dữ liệu nhưng phải thực hiện việc thay đổi theo một cách thức, quy trình nào đó Sở dĩ phải phân loại ra thành 2 trường hợp, vì với trường hợp đầu ta có thể đối phó bằng cách áp dụng các biện pháp xác thực và kiểm soát truy cập, còn với trường hợp sau thì việc đối phó phải tùy theo yêu cầu cụ thể của tình huống chứ không có những cách thức chung Ví dụ như một nhân viên kế toán có thể thay đổi

dữ liệu của các sổ sách kế toán, nhưng phải theo những cách thức và quy trình được quy định trước, chứ không thể thay đổi một cách tùy tiện Trong ví dụ trên, hệ thống không thể dùng các biện pháp xác thực hay kiểm soát truy cập mà đảm bảo được việc thay đổi dữ liệu của nhân viên kế toán được tiến hành theo đúng quy trình

Trong khi đó, cơ chế phát hiện không thực hiện việc ngăn chận các hành vi có thể dẫn đến vi phạm tính toàn vẹn Nó chỉ kiểm tra xem dữ liệu có còn đáng tin cậy không hay nguồn gốc của dữ liệu có chính xác không và đưa ra kết luận tương ứng Việc kiểm tra có thể dựa trên thông tin về các sự kiện diễn ra trong hệ thống (ví dụ như

có sự thay đổi bất thường diễn ra trên các tập tin dữ liệu quan trọng), hoặc dựa trên chính bản thân dữ liệu xem nó có còn thỏa mãn các ràng buộc nào đó hay không Khi phát hiện tính toàn vẹn bị vi phạm, cơ chế có thể thông báo chính xác nguyên nhân gây nên sự vi phạm (ví dụ như do phần nào đó của dữ liệu bị chỉnh sửa) hoặc đơn giản cho biết là dữ liệu đã không còn được toàn vẹn nữa

Việc đánh giá tính toàn vẹn của hệ thống một cách chính xác là rất khó Vì nó phụ thuộc vào nhiều yếu tố như: đánh giá độ tin cậy của nguồn dữ liệu, độ chính xác của

dữ liệu sau khi được tạo ra, mức độ bảo vệ dữ liệu trong quá trình vận chuyển, và cả mức độ bảo vệ đối với dữ liệu trên máy tính hiện hành khi nó đang trong quá trình xử lý

2.3.3 Tính sẵn sàng - Availability

Sẵn sàng là khả năng có thể sử dụng hệ thống một khi có nhu cầu của những người dùng hợp lệ Tính chất này cũng quan trọng không kém tính bí mật và toàn vẹn Một hệ thống không sẵn sàng để đáp ứng nhu cầu của người sử dụng thì cũng giống như hệ thống ấy không tồn tại

Chẳng hạn như một website cung cấp các tin tức cho người sử dụng, nhưng người sử dụng không thể vào để đọc được thông tin thì website này cũng không mang lại ích lợi gì cho người sử dụng cả

Tính sẵn sàng của hệ thống có thể bị vi phạm nếu như có sự ngăn chặn truy cập đến dữ liệu hoặc dịch vụ nào đó của hệ thống, làm cho hệ thống không thể đáp ứng

từ chối dịch vụ (denial ofservice) Các cuộc tấn công từ chối dịch vụ thường được thực hiện bằng cách gửi hàng loạt các yêu cầu đến hệ thống, làm cho hệ thống không thể xử

lý kịp và do đó các yêu cầu hợp lệ từ phía những người sử dụng cũng không được xử

lý Kiểu tấn công này rất khó bị phát hiện Nó đòi hỏi nhà quản trị bảo mật cho hệ thống phải phân tích việc sử dụng tài nguyên của hệ thống xem có bất thường không,

và nếu có thì bất thường này có phải do việc cố tình tấn công gây ra hay không Trong khi không phải lúc nào cũng có thể phát hiện được sự bất thường, cũng như có khi việc

sử dụng là hợp lệ nhưng cũng phát sinh ra các bất thường

2.3.4 Tính xác thực - Authentication

Tính xác thực đảm bảo thông tin là tin tưởng được Hệ thống hiện thực tính xác thực phải đảm bảo với người nhận rằng dữ liệu nhận được chính xác từ người gởi được mong đợi Hệ thống phải đảm bảo không có bên thứ ba có thể đóng giả vai trò của người khác

2.3.5 Tính chống thoái thác - Non-repudiation

Thuộc tính này đảm bảo rằng người gởi hoặc người nhận không thể từ chối được chính mình đã gởi thông điệp Khi thông điệp đã được truyền đi, người gởi có thể chứng minh được nó đã được nhận Tương tự người nhận có thể chứng minh rằng thông điệp đã thật sự được gởi bởi nguồn phát

2.4 Cơ chế bảo mật

Cơ chế bảo mật là các phương pháp, cách thức và công cụ để hiện thực chính sách bảo mật Cơ chế bảo mật có thể là giải pháp kỹ thuật (chẳng hạn như cơ chế của

hệ điều hành không cho phép một người đọc được tập tin của người khác), hoặc cũng

có thể không liên quan đến kỹ thuật (chẳng hạn khi đi vào một cơ quan thì cần xuất trình giấy tờ tùy thân phù hợp)

Dựa trên mô tả của chính sách bảo mật về các hành vi an toàn và không an toàn,

cơ chế bảo mật có thể được hiện thực để giúp ngăn ngừa (prevent) những cuộc tấn công, phát hiện (detect) những cuộc tấn công hoặc phục hồi (recover) sau những cuộc tấn công Những kỹ thuật này có thể được sử dụng kết hợp với nhau hoặc sử dụng riêng lẻ

Chương 3.Hệ thống phát hiện xâm nhập

2.4.1 Ngăn ngừa tấn công

Ngăn ngừa: đây là biện pháp làm cho những cuộc tấn công không thể thực hiện được và bị thất bại Ví dụ nếu như có khả năng xảy ra một cuộc tấn công đến hệ thống thông qua mạng Internet thì một cách ngăn ngừa là ngắt kết nối Internet của hệ thống này Việc ngăn ngừa có thể ảnh hưởng đến hoạt động bình thường của hệ thống như trong ví dụ vừa rồi Tuy nhiên cũng có những cơ chế ngăn ngừa không làm ảnh hưởng đến hoạt động của hệ thống và được chấp nhận rộng rãi (ví dụ như việc sử dụng mật khẩu để ngăn ngừa truy xuất đến hệ thống cần bảo vệ)

2.4.2 Phát hiện tấn công

Phát hiện: biện pháp này rất có ích trong trường hợp những cuộc tấn công không thể ngăn ngừa được Cơ chế phát hiện cho phép tấn công có thể xảy ra và thực hiện việc theo dõi, báo cáo những thông tin liên quan về cuộc tấn công như tính chất, mức độ ảnh hưởng và kết quả của nó Thông thường, cơ chế phát hiện sẽ thực hiện việc quan sát, theo dõi hệ thống để tìm ra những hành vi hay thông tin chỉ ra khả năng của tấn công Chẳng hạn như khi một người sử dụng nhập vào mật khẩu sai quá 3 lần,

cơ chế phát hiện vẫn cho người sử dụng tiếp tục việc đăng nhập, nhưng nó sẽ ghi nhận lại trong hệ thống của mình trường hợp này Tuy nhiên, cơ chế phát hiện có một điểm yếu là nó chỉ phát hiện tấn công chứ không thể ngăn chặn được tấn công làm tê liệt hay hư hỏng một phần hoặc toàn bộ hệ thống

2.4.3 Phục hồi

Phục hồi: Có 2 dạng phục hồi được sử dụng Đối với dạng thứ nhất, cơ chế phục hồi chặn đứng cuộc tấn công đang diễn ra và sửa chữa các hư hỏng hiện có Chẳng hạn nếu cuộc tấn công làm cơ sở dữ liệu của hệ thống bị xóa thì việc cần làm là ngăn cản người tấn công tiếp tục truy xuất vào cơ sở dữ liệu và phục hồi lại dữ liệu ban đầu từ các thiết bị lưu trữ dự phòng Tuy nhiên, mỗi cuộc tấn công có đặc thù riêng và không phải lúc nào cũng có thể thiết lập các cơ chế phục hồi cần thiết Trong dạng thứ hai, cơ chế phục hồi giúp cho hệ thống tiếp tục vận hành bình thường cho dù đang trong điều kiện bị tấn công Nó khác với dạng thứ nhất ở chỗ hệ thống không bị dừng lại tại bất cứ thời điểm nào, mà vẫn tiếp tục cung cấp các dịch vụ của mình Việc hiện thực dạng phục hồi này cũng rất khó vì sự phức tạp và đa dạng của các hệ thống, cũng như sự khác nhau về tính chất và cường độ của các cuộc tấn công

Chương 3: Bảo mật dựa trên trực quan hoá

SnortView thu thập dữ liệu từ 2 nguồn: Snort log và syslog mỗi 2 phút

Hình 3-1: Giao diện chính chương trình SnortView

Giao diện chương trình gồm 3 vùng: vùng hiển thị địa chỉ nguồn, vùng các cảnh báo và vùng hiển thị địa chỉ đích tương ứng với từng cảnh báo

SnortView sử dụng màu để phận biệt độ ưu tiên với 3 cấp độ tương ứng với màu đỏ, vàng và xanh Các hình tượng khác nhau được dùng để phân loại các dịch vụ hoặc giao thức

Chương 4 Bảo mật dựa trên trực quan hoá

Thông tin header và URL của cảnh báo không được sử dụng

Cách thức trình bày bị giới hạn bởi giới hạn hiển thị của màn hình nên hệ thống chỉ trình bày được tối đa sự kiện trong 4h

Không có cơ chế xem lại sự kiện trước đó cũng như xác định mối liên quan giữa các sự kiện

Dữ liệu sau khi được xử lý từ log file không được lưu lại để giảm quá trình xử

lý khi cần hiển thị lại các sự kiện trong khoảng thời gian trước

Chưa có cơ chế phát hiện cảnh báo sai hoàn hảo

Chưa có khả năng gom nhóm các cảnh báo giống nhau lại vì vậy có thể dẫn đến tràn ngập một loại cảnh báo

3.2.2 IDS RainStorm: Visualizing IDS Alarms [4]

3.2.2.1 Giới thiệu

IDS RainStorm sử dụng dữ liệu cảnh báo từ chương trình Stealthwatch IDS5

, thông tin cảnh báo bao gồm 4 thông số: Thời gian, loại cảnh báo, IP nội bộ và IP phía ngoài

IDS RainStorm sử dụng các hình chữ nhật để hiển thị dãy IP liên tục, mỗi hàng

là 20 địa chỉ Theo chiều ngang của hình tương ứng với 24h hoạt động, các chấm màu

là số cảnh báo của 20 địa chỉ IDS RainStorm sử dụng 3 màu để phân loại cảnh báo

Khi phóng to vùng cần hiển thị các chi tiết sẽ được hiển thị rõ hơn

5

http://www.lancope.com/solutions/intrusion-detection-system.aspx

Hình 3-2: Giao diện chính chương trình IDS RainStorm

Hình 3-3: Hình ảnh IDS RainStorm khi phóng to để xem chi tiết

Chương 4 Bảo mật dựa trên trực quan hoá

3.2.2.2 Ưu điểm

Có thể sử dụng để hiển thị dữ liệu cảnh báo cho một mạng lớn Dữ liệu cảnh báo được sắp xếp theo thời gian dễ cho việc theo dõi các cảnh báo có tính lập lại Các chế độ phóng to rõ ràng giúp ích cho người quản trị có cái nhìn tổng quan trên toàn mạng lớn hoặc chi tiết đến từng máy

3.2.3 A Visualization Paradigm for Network Intrusion Detection [5] 3.2.3.1 Giới thiệu

VisAlert sử dụng dữ liệu từ nhiều nguồn khác nhau cho người quản trị có cái nhìn toàn cục hệ thống.Dữ liệu cần hiển thị gồm 3 thông số: Cái gì, khi nào và ở đâu

Với ba thông số cần hiển thị nhưng VisAlert vẫn có thể biểu diễn trên không gian hai chiều Hình 3-5 minh hoạ cách biểu diễn, trục x là chiều Cái gì (what), trục y

là Khi nào (when), mỗi sự kiện chính là một điểm trong hệ trục cho biết cái gì xảy ra khi nào Tiếp theo sẽ có một đường thẳng nối giữa sự kiện và trục thứ ba (trên đường tròn) cho biết sự kiện đó xảy ra ở đâu

Hình 3-4: Giao diện chính chương trình VisAlert

Hình 3-5: Biểu diễn dữ liệu của VisAlert trong không gian hai chiều

Chương 4 Bảo mật dựa trên trực quan hoá

3.2.3.2 Ưu điểm

Sử dụng dữ liệu từ nhiều nguồn khác nhau và thể hiện lên một giao diện để phần tích.Giúp hạn chế cảnh báo sai, với nhận xét cảnh báo chỉ có ở một nguồn thì nhiều khả năng là cảnh báo sai

Sử dụng không gian hai chiều để biểu diễn dữ liệu ba chiều

3.2.3.3 Hạn chế

Thông tin hiển thị không cho thấy được sự liên qua với nhau của các sự kiện rời rạc Không quan tâm đến việc gom nhóm các cảnh báo chung nhóm, không thể hiện các mức độ khác nhau của cảnh báo

3.2.4 Alerts Analysis and Visualization in Network-based Intrusion Detection Systems [6]

3.2.4.1 Giới thiệu

Hệ thống xây dựng có khả năng gom nhóm dựa vào đặc điểm chung nhau địa chỉ nguồn, loại cảnh báo và cách nhau một khoảng thời gian đủ ngăn quy định trước Hai thông tin sẽ được thêm vào mỗi nhóm là số lượng cảnh báo của nhóm đó và một

mã số cho biết mức độ tương tự của cảnh báo này với cảnh báo khác

Hình 3-6: Trực quan hoá cấu trúc (Topology)

như Hình 3-7 – những chú chim hay cá giống nhau thường có xu hướng bay hoặc bơi chung với nhau Mỗi nút là một cảnh báo và được mã hoá bằng màu sắc riêng Các cảnh cáo có mức độ tương tự với nhau sẽ được gom chung một nhóm

Mức độ tương tự giữa hai cảnh báo là con số từ 0 đến 1, tương ứng với không giống nhau đến rất giống, cách thức xác định dựa trên giải thuật so trùng chuỗi xấp xỉ Q-grams

Hình 3-7: Gom cụm cảnh báo sử dụng mô hình “bầy đàn” (Flocking Model)

Hệ thống sử dụng giải thuật Apriori để tạo ra được các luật từ dữ liệu cảnh báo

từ đó được sử dụng để tiên đoán trước hành động tiếp theo của cuộc tấn công Hệ thống sử dụng hai giá trị support và confidence, hai giá trị nay sẽ quyết định mức độ tin cậy, chắc chắn và chính xác của các luật

Chương 4 Bảo mật dựa trên trực quan hoá

Hình 3-8: Minh hoạ việc tiên đoán bước tiếp theo của cuộc tấn công

Cách thức xử lý gom nhóm có thể bỏ sót cảnh báo, hoặc nhận định cảnh báo sai

không đúng vì đôi khi cuộc tấn công chỉ phát sinh một cảnh báo duy nhất

Chương 4: Cơ sở lý thuyết

4.1 Các phương pháp trực quan hoá dữ liệu [2] [7]

4.1.1 Sử dụng không gian

Các phương pháp trực quan hóa thông thường sử dụng không gian để thể hiện

sự phân chia, hay so sánh giữa các thành phần với nhau Tuy nhiên, việc lựa chọn mô hình thích hợp để thể hiện đóng một vài trò quan trọng Các mô hình khác nhau có thể cho người xem có các cảm nhận khác nhau về dữ liệu bên dưới, hoặc có thể làm cho người xem dễ dàng hay khó khăn trong việc nhận ra sự liên quan giữa các thành phần Chẳng hạn như đối với các khác biệt rõ rệt, hệ thống thị giác của con người có thể dễ dàng nhận ra, nhưng đối với các sự khác biệt không rõ ràng thì con người rất khó khăn trong việc nhận ra mối liên hệ Trong trường hợp này, mô hình trực quan hóa có thể thêm các thành phần để hỗ trợ con người trong việc thấu hiểu dữ liệu Chẳng hạn như Hình 4-1 và Hình 4-2 dưới đây, đối với hình Hình 4-1, chúng ta không chắc là độ cao cột thứ hai bằng khoảng 1/10 độ cao cột thứ nhất, nhưng khi thêm vào các đường kẻ như ở Hình 4-2 thì mối quan hệ này sẽ dễ dàng nhận ra hơn

Hình 4-1: Minh hoạ việc sử dụng không gian không hợp lý khi thể hiện đồ thị

Chương 5.Cơ sở lý thuyết

Hình 4-2: Minh hoạ việc sử dụng không gian hợp lý khi thể hiện đồ thị

Ngoài ra, trong một số trường hợp, khi cần thể hiện các mối quan hệ có nhiều biến hơn là khả năng có thể biểu diễn trong không gian 2 chiều, có thể dùng kỹ thuật phối cảnh trong không gian 3 chiều để thể hiện Mặc dù phối cảnh trong không gian 3 chiều có thể giúp tăng khả năng nhận biết của con người bằng cách tăng số lượng biến có thể biểu diễn, nhưng không phải lúc nào nó cũng hữu ích Quy tắc chung là thể hiện trong không gian 3 chiều nên tránh khi nó không cần thiết cho việc trực quan hóa, và bắt buộc tránh trong trường hợp nó có thể dẫn đến cảm nhận sai về dữ liệu bên dưới

Trong biểu đồ tròn ở Hình 4-3 dưới đây, có thể dễ dàng nhận ra vùng B và vùng C có cùng diện tích nên đại lượng mà chúng biểu diễn là như nhau:

Hình 4-3: Vùng B và C có diện tích như nhau

Tuy nhiên, với cùng số liệu đó, khi thể hiện dưới dạng phối cảnh 3 chiều, sẽ tạo ra cảm giác vùng C bằng cùng A và vùng B cộng lại () Điều này cho thấy công

cụ trực quan hóa chẳng những không giúp hiểu dữ liệu mà còn làm người xem có kết luận sai do sử dụng mô hình biểu diễn không phù hợp

Hình 4-4: Phối cảnh 3 chiều tạo ra cảm giác diện tích vùng C bằng A và B

4.1.2 Sử dụng màu sắc

Sau yếu tố không gian, màu sắc cũng là một thành phần quan trọng thường được dùng trong việc trực quan hóa để biểu diễn thông tin

Chương 5.Cơ sở lý thuyết

Màu sắc có thể giúp người xem nhận thức được một cách rõ ràng đại lượng đang được biểu diễn nếu như việc lựa chọn màu sắc là phù hợp với nhận thức chung của con người Chẳng hạn như khi biểu diễn sự biến thiên nhiệt độ của một đối tượng nào đó, nếu như sử dụng màu xanh dương cho vị trí có nhiệt độ thấp nhất, sau đó chuyển dần sang đến màu đỏ cho vị trí có nhiệt độ cao nhất có thể giúp người xem dễ dàng nhận ra đây là một biểu diễn cho nhiệt độ Giả sử như việc lựa chọn màu sắc để biểu diễn không phù hợp, ví dụ như từ vàng sang xanh lá, thì người xem sẽ gặp khó khăn trong việc hiểu về ý nghĩa của màu sắc được dùng để biểu diễn trong trường hợp này

Ngoài ra, màu sắc cũng có thể được sử dụng như là một chiều không gian để biểu diễn thông tin về một biến nào đó mà không làm vùng không gian hiển thị bị phức tạp Trong các mô hình trực quan hóa mà số lượng biến nhiều, có thể làm cho khu vực hiển thị bị rối vì dùng nhiều chiều không gian cho việc hiển thị Trong trường hợp đó, sử dụng màu sắc như là một chiều không gian sẽ giúp hệ thống thị giác của con người đỡ bị rối hơn mà vẫn cung cấp đầy đủ thông tin cần thiết Như ví

dụ trên, chúng ta có thể dùng màu sắc để biểu thị cho nhiệt độ

Trong lĩnh vực địa lý, màu sắc cũng được dùng để biểu thị độ cao Trong trường hợp này, nếu không dùng màu sắc thì phải dùng đến một chiều không gian thứ 3 trong bản đồ để biểu diễn độ cao và chắc chắn là sẽ làm cho người xem rất khó khăn trong việc nhận thức mô hình này

Tuy vậy, cũng như không gian, việc sử dụng màu sắc trong trực quan hóa cũng có các giới hạn nhất định Thứ nhất là không phải ai cũng có thể phân biệt các màu như nhau, đối với những người mắc chứng bệnh “mù màu” và “loạn sắc” thì họ không thể phân biệt được một số màu sắc Những người có thị giác bình thường cũng có thể gặp những vấn đề về màu sắc trong trực quan hóa Chẳng hạn như màu sắc sẽ bị ảnh hưởng khi đối tượng được chiếu sáng Bề mặt khuất sẽ trở nên đậm hơn và bề mặt sáng sẽ trở nên nhạt hơn Nếu màu sắc được dùng để thể hiện giá trị thì trong trường hợp này có thể làm cho cảm nhận của người xem bị sai lệch Nếu như mô hình trực quan hóa này là cố định thì rất khó khăn cho người xem trong việc nhận thức chính xác, nhưng nếu mô hình trực quan hóa cho phép tương tác chẳng hạn như xoay đối tượng thì vấn đề sẽ trở nên dễ giải quyết hơn, bởi vì người

phần còn mơ hồ

4.1.3 Sử dụng chuyển động (animation)

Ngoài 3 chiều không gian, thì thời gian là chiều thứ tư mà con người nhận thức được trong cuộc sống thực tế Do đó, việc sử dụng chuyển động để mô tả thời gian là một ý tưởng tự nhiên Tuy nhiên, tùy thuộc vào mục tiêu của việc trực quan hóa mà quyết định có chọn cách thức này hay không, bởi vì cũng như không gian và màu sắc, chuyển động cũng có khả năng dẫn đến nhận thức sai cho con người

Trong một mô hình trực quan hóa, có 2 loại chuyển động: thứ nhất là chuyển động do bản thân dữ liệu thay đổi theo thời gian tạo ra, và thứ hai là chuyển động do người dùng tương tác tạo ra, ví dụ như xoay đối tượng quanh một trục nào đó Chuyển động trên máy tính được thực hiện bằng cách hiển thị hàng loạt các ảnh kế tiếp liên tục nhau, tạo ra cảm giác thay đổi và chuyển động đối với người xem Tuy nhiên, nếu sự hiển thị này không đủ nhanh thì có thể tạo ra cảm giác không thoải mái khi sử dụng hệ thống Chẳng hạn như khi người sử dụng xoay đối tượng nhưng phải vài giây sau góc xoay mới được thể hiện trên hình ảnh thì rất khó cho người sử dụng tương tác một cách thoải mái với hệ thống Với tốc độ thể hiện tối thiểu là 20 khung hình trong một giây thì có thể cung cấp cảm giác thoải mái đối với người sử dụng Nếu hình ảnh trực quan hóa đơn giản thì tốc độ này không phải là một vấn đề, nhưng đối với hình ảnh 3 chiều phức tạp, số lượng đa giác nhiều và mẫu tô (texture) rắc rối thì việc hiển thị được ở tốc độ này là rất khó Trong trường hợp này, thay vì hiển thị các khung hình theo dạng liên tục, người ta có thể chỉ sử dụng một số khung hình tiêu biểu và hiển thị một cách tĩnh những khung hình đó mà thôi Mặc dù các hình ảnh hiển thị là rời rạc, nhưng chúng cũng có thể giúp cho người sử dụng có được cái nhìn

về sự tiến triển của dữ liệu Việc hiển thị này ngoài yêu cầu thấp về khả năng xử lý của máy tính ra, còn có một ưu điểm khác là do đây là các hình ảnh tĩnh nên người sử dụng có thể dễ dàng quan sát chi tiết theo nhu cầu, điều mà hình ảnh chuyển động không cung cấp được Do ưu điểm riêng của hình ảnh động và hình ảnh tĩnh nên các chương trình trực quan hóa trong thực tế với dữ liệu thay đổi theo thời gian thường cung cấp cả 2 cơ chế quan sát cho người xem chọn lựa khi cần thiết

Chương 5.Cơ sở lý thuyết

4.2 Các phương pháp phân tích trực quan dữ liệu bảo mật

Để có thể phân tích tốt các thông tin thu thập được phục vụ cho việc bảo mật cần phải có phương pháp và công cụ hỗ trợ hợp lý Trong phần này sẽ điểm qua ba phương pháp phân tích đồ thị chủ yếu: Báo cáo (Reporting), Phân tích lịch sử (Historical analysis) và Giám sát thời gian thực (Real-time monitoring)

4.2.1 Kỹ thuật lập Báo cáo (Reporting)

Các báo cáo (report) khi được kết hợp với các đồ thị sẽ giúp cho việc tổng kết và liên kết các thông tin lại với nhau tốt hơn Report thường được tập trung vào các thông tin trong quá khứ Hình 4-5 minh hoạ một ví dụ mô tả lưu lượng lưu thông (traffic) trên một máy tính, mô tả sự phân bố trên giao thức, nguồn khởi phát nhiều nhất cũng như số lượng traffic bị chặn lại trong 7 ngày vừa qua

Trái với dạng dashboard, các report thường mô tả thông tin tĩnh, nguồn dữ liệu chủ yếu được lưu trữ sẵn trong CSDL thay vì dữ liệu thời gian thực (real-time data) Các minh hoạ trong report phải đơn giản, người xem có thể hiểu được ngay

mà không cần phải xem thêm các thông tin giải thích kèm theo

Hình 4-5: Báo cáo mẫu minh hoạ lưu lượng lưu thông trên một máy tính

Biểu đồ đơn giản như bar chart, line chart thích hợp hơn so với các biểu đồ khác như link graph, treemaps, 3D Ngoài ra việc lựa chọn đúng kích thước, màu sắc, hình dạng, tỉ lệ trong biểu đồ cũng là phần rất quan trọng

Chương 5.Cơ sở lý thuyết

Hình 4-6: Biểu đồ minh hoạ số lần đăng nhập thành công/thất bại

4.2.2 Kỹ thuật lập phân tích lịch sử (historical analysis)

Trong phần này có bốn phân loại chính: Trực quan hoá dữ liệu chuỗi thời gian (time-series visualization), đồ thị tương quan (correlation graphs), phân tích tương tác (interactive analysis) và phân tích điều tra (forensic analysis) Ở báo cáo này sẽ tập trung vào phần trực quan hoá dữ liệu chuỗi thời gian

visualization)

Dữ liệu chuỗi thời gian là những dữ liệu được thu thập theo thời gian, ví dụ

ta thu thập số lần đăng nhập sai kèm theo thời gian, chúng ta sẽ có được một chuỗi thời gian Mục tiêu chính của phân tích này là:

 Phát triển mô hình tiên đoán giá trị trong tương lai

 Nhìn thấy những bất thường cũng như xu hướng của dữ liệu

Dưới đây là một số phương pháp dùng phân tích dữ liệu trong quá khứ:

 Time Tables

Hình 4-7: Biểu đồ mẫu dạng timetable

Nhìn vào biểu đồ trong Hình 4-7 ta thấy nó thể hiện được ba khía cạnh: khoảng trống (gap) trong chuỗi thời gian, chu kỳ lập lại (periodic) và sự liên hệ giữa các sự kiện về mặt thời gian

Chương 5.Cơ sở lý thuyết

 So sánh nhiều phiên bản dữ liệu - Multiple-Graph

Snapshots

Hình 4-8: So sánh giá trị theo thời gian sử dụng nhiều chuỗi thời gian

Đối với phương pháp này ta sẽ có nhiều phiên bản dữ liệu tại những thời điểm khác nhau và so sánh chúng Một số nguyên tắc phải tuân thủ để có được biểu đồ tốt:

 So sánh dữ liệu cùng loại với nhau Ví dụ đừng so sánh biểu đồ thể hiện đăng nhập thành công và thất bại chung với nhau

 So sánh cùng tập dữ liệu với nhau Ví dụ khi so sánh việc đăng nhập phải giữ nguyên tập tên các users trên các đồ thị

 Các giá trị phải được sắp xếp thứ tự giống nhau Ví dụ user A trước user B

ở biểu đồ 1 thì ở biểu đồ 2 cũng phải giữ đúng thứ tự này

 Sử dụng cùng tỉ lệ ở các biểu đồ

4.2.4 Giám sát và phân tích thời gian thực

Phần này sẽ trình bày qua kỹ thuật tạo dashboard để giám sát hệ thống Dashboard là cách thể hiện thông tin trực quan trên một màn hình máy tính duy nhất để người dùng có thể giám sát hệ thống ở nhiều khía cạnh khác nhau

Tuỳ thuộc vào đối tượng người dùng mà sẽ có cách thiết kế khác nhau, Hình 4-9 là một minh hoạ mẫu dashboard dành cho CISO (chief information security officer – trưởng phòng an toàn thông tin)

Hình 4-9:Dashboard dành cho CISO (chief information security officer)

Một số nguyên tắc cần chú ý khi thiết kế dashboard:

 Sử dụng thiết kế hiển thị trên một màn hình duy nhất

 Hiện thị mức độ chi tiết thông tin vừa phải (ví dụ không cần hiển thị số liệu chính xác mà hãy làm tròn số)

 Sử dụng thiết kế và đồ thị đơn giản

 Lựa chọn đồ thị và biểu đồ phù hợp

 Cung cấp đủ thông tin phù hợp ngữ cảnh với dữ liệu cần hiển thị Ví dụ thay vì hiển thị tháng này có 100 tấn công, ta nên đưa ra so sánh với tháng trước, hoặc xu hướng, … để con số 100 có ý nghĩa hơn

 Đánh dấu những thông tin quan trọng

Chương 5.Cơ sở lý thuyết

4.3 Các phương pháp đặc tả lỗ hổng bảo mật

4.3.1 State transition [8] [9]

Phương pháp này mô tả một cuộc tấn công bằng những state Signature actions là những hành động cần phải xảy ra để chuyển từ state này sang state khác Ngoài ra còn một số giả định trước đối với từng state

Hình 4-10: Các thành phần của state transition diagram

Hình 4-11: Ví dụ một state diagram cho một kịch bản tấn công