Giải pháp giám sát ATTT

Giải pháp giám sát ATTT

1. GIỚI THIỆU

1.1. Mục đích tài liệu

Mục tiêu chính:

- Phát triển modules giám sát lưu lượng mạng tích hợp vào hệ thống giám sát an toàn thông tin. Mục đích chính là cung cấp giải pháp giám sát ATTT, ANM bằng cách sử dụng modules này để phát hiện xâm nhập và gửi log đến hệ thống giám sát an toàn thông tin để hiển thị và phân tích.

- Đảm bảo module này có thể hoạt động tốt với các thành phần khác của hệ thống sau khi tích hợp.

1.2. Phạm vi tài liệu

  Tài liệu tập trung vào việc:

Tích hợp modules giám sát lưu lượng mạng trong mô hình của hệ thống giám sát an toàn thông tin đang được triển khai.

Cấu hình các thành phần của hệ thống để hiển thị dữ liệu từ modules giám sát lưu lượng mạng.

Đảm bảo hiệu năng và độ ổn định của hệ thống khi triển khai giám sát ATTT trên môi trường mạng.

1.3. Thuật ngữ và các từ viết tắt

Thuật ngữ

Định nghĩa

Giải thích

DB

DatabaseCơ sở dữ liệu

IDS

Intrusion Detection System

Hệ thống phát hiện xâm nhập

IPS

Intrusion Prevention System

Hệ thống ngăn chặn xâm nhập

JSON

JavaScript Object Notation

Định dạng dữ liệu

YAML

Yet Another Markup Language

Ngôn ngữ đánh dấu

1.4. Tài liệu tham khảo

1.5. Mô tả tài liệu

Tài liệu cung cấp mô tả chi tiết về hệ thống giám sát an ninh mạng, tập trung vào kiến trúc, yêu cầu, và thiết kế hệ thống tích hợp.

2. TỔNG QUAN VỀ PHẦN MỀM

  1. Yêu cầu chức năng

Module giám sát lưu lượng mạng có các chức năng và yêu cầu như sau:

 

STT

Tính năng

Yêu cầu

1

Phát hiện và cảnh báo các hành vi bất thườngModule giám sát lưu lượng mạng sẽ phát hiện các tấn công như DDoS, port scan, brute-force và gửi log đến Hệ thống giám sát ATTT để xử lý.

2

Phân tích lưu lượng mạngLưu trữ các log từ Module giám sát lưu lượng mạng vào Hệ thống giám sát ATTT. Phân tích log để xác định các mối đe dọa và hành vi bất thường.

3

Hiển thị dữ liệu giám sátSử dụng web để hiển thị dữ liệu và tạo các dashboard trực quan về lưu lượng mạng và các sự kiện bảo mật.

4

Quản lý cảnh báo và sự kiện bảo mậtThiết lập cảnh báo trong web khi có các sự kiện nghiêm trọng được phát hiện từ Module giám sát lưu lượng mạng.

5

Thu thập logHỗ trợ thu thập log từ lưu lượng mạng qua cổng SPANPORT

6

Báo cáo và phân tích lịch sửCung cấp khả năng tạo báo cáo tự động về tình trạng bảo mật mạng dựa trên dữ liệu log lưu trữ trong Hệ thống giám sát ATTT.

 

  1. Các yêu cầu phi chức năng

TT

Yêu cầu

1

Hiệu năng: Hệ thống phải có khả năng xử lý lượng lớn log từ Module giám sát lưu lượng mạng mà không làm gián đoạn quá trình giám sát mạng.

2

Độ tin cậy: Log từ Module giám sát lưu lượng mạng phải được gửi liên tục tới Hệ thống giám sát ATTT mà không bị mất mát dữ liệu.

3

Bảo mật: Đảm bảo an toàn cho dữ liệu log, chỉ người dùng được ủy quyền mới có quyền truy cập vào dữ liệu và dashboard trên web.

4

Khả năng mở rộng: Hệ thống phải có khả năng mở rộng khi số lượng thiết bị giám sát tăng lên mà vẫn đảm bảo hiệu suất và ổn định.

5

Dễ quản lý: Cung cấp giao diện quản lý trực quan, dễ sử dụng trên web, hỗ trợ theo dõi và cấu hình hệ thống giám sát.

6

Khả năng khôi phục: Hệ thống phải hỗ trợ các phương thức sao lưu và phục hồi dữ liệu nhanh chóng trong trường hợp xảy ra sự cố.

7

Tính sẵn sàng cao: Hệ thống phải hoạt động liên tục, đảm bảo thời gian hoạt động (uptime) tối thiểu là 99,9%.
  1. THIẾT KẾ KIẾN TRÚC PHẦN MỀM

- Kiến trúc của Modules giám sát lưu lượng mạng gồm 4 phần cơ bản sau:

+ Sniffer (Packet Decoder).

+ Preprocessors.

+ Detection Engine.

+ Module Alert/ Logging 

Hình 1.1. Kiến trúc của Module giám sát lưu lượng mạng

Khi Thành phần giám sát lưu lượng mạng hoạt động nó sẽ thực hiện lắng nghe và thu bắt tất cả các gói tin nào di chuyển qua nó. 

Các gói tin sau khi bị bắt được đưa và module Sniffer, tại đây các gói tin sẽ được giải mã.

Tiếp theo gói tin sẽ được đưa vào module Preprocessor, tại đây gói tin sẽ được phân tích một cách chi tiết và đầy đủ theo các cách khác nhau

- Sau khi phân tích xong các gói tin được đưa vào module Detection. Tại đây, tùy theo việc có phát hiện được xâm nhập hay không mà gói tin có thể được lưu thông tiếp hay được đưa vào module Alert/ Logging để xử lý. 

- Khi các cảnh báo được xác định module kết xuất thông tin sẽ thực hiện việc đưa cảnh báo ra theo đúng định dạng mong muốn.

Preprocessors, detection engine và alert system đều là các plug-ins.

- Detection Engine

Đầu vào là các gói tin đã được sắp xếp ở quá trình preprocessors. Detection engine là một phần của hệ thống phát hiện xâm nhập dựa trên dấu hiệu. Detection engine sẽ lấy dữ liệu từ preprocessors và kiểm tra chúng thông qua các luật. Nếu các luật đó khớp với dữ liệu trong gói tin, nó sẽ được gửi tới hệ thống cảnh báo, nếu không nó sẽ bị bỏ qua như hình phía dưới . 

- Các luật có thể được chia thành 2 phần:

+ Phần Header: gồm các hành động (log/alert), loại giao thức (TCP, UDP, ICMP...), địa chỉ IP nguồn, địa chỉ IP đích và port.

+ Phần Options: là phần nội dung của gói tin được tạo ra để phù hợp với luật.

Luật là phần quan trọng trong Thành phần giám sát lưu lượng mạng. Các luật trong hệ thống có một cú pháp cụ thể. Cú pháp này có thể liên quan đến giao thức, nội dung, chiều dài, hearder và một vài thông số khác.

Hình 1.2. Gói tin được xử lý ở Detection Engine bằng các luật

- Thành phần cảnh báo/logging

Cuối cùng sau khi các luật đã phù hợp với dữ liệu, chúng sẽ được chuyển tới thành phần cảnh báo và ghi lại (alert and loggin component). Cơ chế log sẽ lưu trữ các gói tin đã kích hoạt, các luật còn cơ chế cảnh báo sẽ thông báo các phân tích bị thất bại.

Giống như Preprocessors, chức năng này được cấu hình trong tập tin Thành phần giám sát lưu lượng mạng.yaml, có thể chỉ định cảnh báo và ghi lại trong tập tin cấu hình nếu muốn kích hoạt.

Dữ liệu là giá trị cảnh báo, nhưng có thể chọn nhiều cách để gửi các cảnh báo này cũng như chỉ định nơi ghi lại các gói tin. Dữ liệu cảnh báo được lưu dưới dạng file .json và gửi tới thành phần Xử lý logs của Hệ thống giám sát giám sát ATTT.

Hình 1.3. Thành phần cảnh báo và ghi logs

Tích hợp: Module đóng vai trò là Thành phần giám sát lưu lượng mạng và được tích hợp vào hệ thống giám sát ATTT theo sơ đồ sau:

Hình 1.4. Sơ đồ nguyên lý hoạt động chung của hệ thống giám sát ATTT.