Bài tiểu luận môn An toàn mạng đề tài "Giải pháp an ninh mạng với Honeypot thông minh"

Bài tiểu luận môn An toàn mạng đề tài "Giải pháp an ninh mạng với Honeypot thông minh" của Học viện Công nghệ Bưu chính Viễn thông với những kiến thức và thông tin bổ ích giúp sinh viên tham khảo, ôn luyện và phục vụ nhu cầu học tập của mình cụ thể là có định hướng ôn tập, nắm vững kiến thức môn học và làm bài tốt trong những bài kiểm tra, bài tiểu luận, bài tập kết thúc học phần, từ đó học tập tốt và có kết quả cao cũng như có thể vận dụng tốt những kiến thức mình đã học vào thực tiễn cuộc sống. Mời bạn đọc đón xem!

Thông tin:
21 trang 10 tháng trước

Bình luận

Vui lòng đăng nhập hoặc đăng ký để gửi bình luận.

Bài tiểu luận môn An toàn mạng đề tài "Giải pháp an ninh mạng với Honeypot thông minh"

Bài tiểu luận môn An toàn mạng đề tài "Giải pháp an ninh mạng với Honeypot thông minh" của Học viện Công nghệ Bưu chính Viễn thông với những kiến thức và thông tin bổ ích giúp sinh viên tham khảo, ôn luyện và phục vụ nhu cầu học tập của mình cụ thể là có định hướng ôn tập, nắm vững kiến thức môn học và làm bài tốt trong những bài kiểm tra, bài tiểu luận, bài tập kết thúc học phần, từ đó học tập tốt và có kết quả cao cũng như có thể vận dụng tốt những kiến thức mình đã học vào thực tiễn cuộc sống. Mời bạn đọc đón xem!

288 144 lượt tải Tải xuống
lOMoARcPSD|36067889
Mc lc
Danh mục hình vẽ ............................................................................................... 1
Lời mở ầu ............................................................................................................. 3
Chương I - Tổng quan về hệ thống Honeypot .................................................. 3
1.1. Khái niệm ................................................................................................... 4
1.2. Phân loại Honeypot ................................................................................... 5
1.3. Phân loại theo cấp ộ .................................................................................. 6
1.4. Phân loại theo mục ích ............................................................................. 8
1.5. Lợi ích sử dụng Honeypots .................................................................... 10
1.6. Rủi ro khi sử dụng Honeypots ............................................................... 11
1.7. HONEYNET............................................................................................ 12
1.7.1. Khái niệm Honeynets ........................................................................ 12
1.7.2. Các chức năng của Honeynet ........................................................... 12
1.7.3. Mô hình kiến trúc vật lý .................................................................... 13
Chương II – Honeypot thông minh ................................................................. 16
2.1. Giới thiệu ................................................................................................. 16
2.2. Honeypot thông minh ............................................................................. 16
2.2.1. Ý tưởng ............................................................................................... 16
2.2.2. Client Honeypot tương tác thấp ........................................................ 17
2.2.3. Client Honeypot tương tác cao ......................................................... 18
2.3. Kết luận .................................................................................................... 18
Kết luận .............................................................................................................. 20
Tài liệu tham khảo ............................................................................................ 21
Danh mc hình v
Hình 1.1 Phân loi honeypot .................................................................................
6
Hình 1.2 Phân loi Honeypot theo mức ộ ........................................................... 7
Hình 1.3 Phân loi Honeypot theo mục ích ........................................................ 9
Hình 1.4 Mô hình Honneynet GEN I ..................................................................
15
lOMoARcPSD| 36067889
Hình 1.5 Mô hình kiến trúc Honeyney thế h II, III ...........................................
16
Hình 2.1 Phishing attack Tn công gi mo ....................................................
17
Hình 2.2 Lung hoạt ộng ca Phishing attack .................................................. 18
Hình 2.3 Mô hình phân tích AI Honeypot ..........................................................
18
Hình 2.4 K-means Clustering ..............................................................................
19
lOMoARcPSD|36067889
Li m u
An ninh mạng các phương thức mt t chc gim thiểu nguy b tn công
mạng, tác ng trc tiếp vi các hoạt ng kinh doanh ca t chc, nhm bo v
các thiết b, dch v doanh nghip s dng. mt chiến lược ược mt công ty s
dụng bo v tài sn k thut s khi b hack. Các chiến lược th bao gm công
ngh, quy trình và các bin pháp bo mt khác cho h thng, thiết b và d liu. Chúng
ược thiết kế ngăn chặn truy cp trái phép vào d liệu ược lưu trữ trên thiết b vt
hoc trc tuyến.An ninh mng không giống như bảo mt thông tin bao quát nhiều
lĩnh vực hơn, gồm tt c các tài sn d liệu như bản sao giy ca tài liu.
Vic h thng s hóa ngày càng tăng của thế gii to ra nhiều hội mi cho các
doanh nghip ca tt c các ngành nghề. Tuy nhiên, i kèm với chúng cũng là những mối
e dọa an ninh mng. Vic tp trung nhiều hơn vào bán hàng trực tuyến ca nhiu doanh
nghip truyn thng, cũng như việc chuyn tài liu d liu ca h lên ám mây, iều
này ồng nghĩa với vic bo mt k thut s vn quan trọng hơn bao giờ hết.
An ninh mng ngày càng tr nên quan trọng khi iện thoi thông minh, máy tính và
máy tính bng là mt phn không th thiếu trong công vic hàng ngày và cuc sng cá
nhân mi chúng ta. Mc ph thuc vào các công c trc tuyến trong các khía cnh
khác nhau ca hoạt ng kinh doanh t mng xã hi và tiếp th qua email ến u trữ d
liệu nhân viên khách hàng trên ám y t ra nhu cu b sung cho chúng ta trong
vic bo v nhng thông tin quý giá này.
Trong tiu lun y gii thiệu cho người c mt trong nhng gii pháp an ninh
mng ph biến hin nay Honeypot By mật. Qua ó, với công ngh AI trí tu thông
minh nhân tạo ang phát triển rt nhanh, tiu lun gii thiệu người ọc kết hp AI vi h
thng Honeypot ci thin kh năng bảo mt.
Phn còn li bài tiu luận này ược t chức như sau:
Chương I. Tng quan v h thng Honeypot.
Chương II. H thng Honeypot thông minh.
Chương I - Tng quan v h thng Honeypot
lOMoARcPSD|36067889
1.1. Khái nim
Trong lĩnh vực an ninh mng, "honeypot" có th hiểu ơn giản là mt h thng máy
tính ược dng lên vi mục ích m mồi nh cho nhng k tn công. Nhng h thng
này có th tn ti nhng l hng bo mt nhất nh hoặc ưc thiết lp m bo mt y
vào người xây dng honeypot, khi k xu tn công vào, những người ứng sau h thng
này s th theo dõi quá trình tn công, ng c, mã khai thác... ca chúng. T ó ưa
ra các gii pháp phòng chng phù hợp trước các cuộc công trong tương lai.
Một “Honeypot” có thể là bt c th gì bn mun. Nếu bạn quan m ến Honeypots
với tư cách người dùng mới, trưc tiên bn phi quyết nh mc tiêu của mình, iều này
s xác ịnh loi Honeypot bn s trin khai.
Có nhiu honeypots khác nhau và chúng có th ược thiết lp theo nhng gì t chc
ca bn cn. Bi chúng v nhng mối e dọa hp pháp, honeypots hoạt ng
giống như một cái by, cho phép bạn xác ịnh các cuc tn công sớm và ưa ra phản ng
thích hợp. Ý nghĩa của honeypot y ch ra mt s cách chúng th ược s dng
hướng nhng k tn công ra khi h thng quan trng nht ca bn. Trong khi k tn
công rơi vào miếng mi ngon, bn có th thu thp thông tin tình báo quan trng v kiu
tấn công, cũng như các phương pháp mà kẻ tn công ang sử dng.
Mt honeypot hoạt ng tt nht khi v mt h thng hp pháp. Nói cách
khác, phi chy cùng mt quy trình h thng sn xut thc tế ca bn s chy.
cũng phải cha các tp mi nh k tn công s thy thích hp cho các quy
trình ược nhm mc tiêu. Trong nhiều trường hp, tt nhất t honeypot phía sau tường
lửa ể bo v mng ca t chc bạn. Điều này cho phép bn kim tra các mối e dọa vượt
qua tường lửa và ngăn chặn các cuc tấn công ược thiết kế khởi ộng t bên trong mt
honeypot b m phm. Khi cuc tn công xảy ra, tường la ca bạn, ược t gia
honeypot và internet, có th chn nó và loi b d liu.
Bằng cách theo dõi lưu lượng truy cp vào h thng honeypot, bn có th ánh giá:
Ti phm mạng ến t âu
Mức ộ ca mối e dọa
H ang sử dng modus operandi nào
D liu hoc ng dng nào h quan tâm
Các bin pháp bo mt ca bạn ang hoạt ng tốt như thế nào ể ngăn chặn các
cuc tn công mng
lOMoARcPSD|36067889
Chương I – Tổng quan về hệ thống Honeypots
1.2. Phân loi Honeypot
hai loi honeypots da trên vic thiết kế trin khai các hợp ng thông minh:
honeypots nghiên cu sn xuất. Honeypots nghiên cu thu thp thông tin v các
cuc tấn công và ược s dụng ể phân tích hành vi thù ịch trong t nhiên.
Hình 1.1 Phân loi honeypot a)Nghiên cứu b)Sản xuất
H thu thp thông tin v xu hướng ca k tn công, l hng bo mt các chng
phn mềm c hi k thù hiện ang nhắm mc tiêu bng cách xem xét c môi trưng
ca bn thế gii bên ngoài. Thông tin y th giúp bn quyết nh các bin pháp
phòng ngừa, các ưu tiên vá lỗi và các khoản ầu tư trong tương lai.
Mt khác, honeypots sn xut nhm mục ích phát hiện s m nhp mạng ang hoạt
ộng và ánh lừa k tn công. Honeypots cung cấp thêm cơ hội giám sát lấp y nhng
khong trng phát hin ph biến xung quanh việc xác nh quét mng chuyn ộng bên;
do ó, việc ly d liu vn là trách nhim hàng ầu.
Sn xut honeypots chy các dch v thường chạy trong môi trường ca bn cùng vi
phn còn li ca máy ch sn xut ca bn. Honeypots cho nghiên cu phc tạp hơn và
lưu trữ nhiu loi d liệu hơn honeypots ể sn xut.
Ngoài ra n nhiu cp bên trong honeypots sn xut và nghiên cu, tùy thuc vào
mức ộ hoc mục ích sử dng.
lOMoARcPSD|36067889
Chương I – Tổng quan về hệ thống Honeypots
1.3. Phân loi theo cấp ộ
Hình 1.2 Phân loại Honeypot theo mức ộ
High-interaction
Honeypot tương tác cao: Loại này có th so sánh vi honeypot nguyên cht ch
vn hành mt s lượng ln dch vụ, nhưng kém phức tạp hơn chứa ít d liệu hơn.
Mặc honeypots tính tương tác cao không nhằm tái to các h thng sn xut quy
mô ầy ủ, nhưng chúng chạy (hoc có v chy) tt c các dch v thường ược liên kết vi
h thng sn xut, bao gm c h iều hành ang hoạt ộng.
Đây kiểu honeypot phc tp nhm thu hút nhiu thi gian thao tác ca k tn
công. Nhm thu thp càng nhiu càng tt v mục ích, quá trình, lỗ hng mà k tn công
mun khai thác. H thng dng y s tn nhiều tài nguyên hơn nữa triển khai cũng
như giám sát cần người kinh nghim vì nếu honeypot không bo mật úng ch s b
tin tc khai thác.
lOMoARcPSD|36067889
Chương I – Tổng quan về hệ thống Honeypots
Mid-interaction
Honeypot tương tác giữa: Những ặc iểm này bắt chước các ặc iểm ca lp ng dụng
nhưng thiếu h iều hành ca chúng. H c gng can thip hoc làm bi ri nhng k tấn
công ể các doanh nghip có thêm thi gian tìm ra cách phn ng phù hp vi mt cuc
tn công.
Low-interaction
Honeypot tương tác thấp: Đây honeypot phổ biến nhất ược s dng trong môi
trường sn xut. Mật ong tương tác thấp chy mt s dch v ch yếu ược s dng
như một công c phát hin cnh báo sm. Nhiu nhóm bo mật cài t nhiu honeypots
trên các phân oạn khác nhau ca mng vì chúng d thiết lp và duy trì.
Đây kiểu honeypot ơn giản, s dụng ít tài nguyên ồng thi thông tin thu thp ược
cũng mức bn. Chúng th trin khai d dàng nhanh chóng dưới dng
phỏng cơ bản các các dch v mng, giao thc TCP và IP.
Pure honeypot
Honeypot nguyên cht: H thng sn xut quy mô ln y chy trên nhiu y ch.
Nó cha y các cm biến bao gm d liu "bí mt" và thông tin người dùng. Thông
tin h cung cp là vô giá, mc dù vic qun lý có th phc tạp và ầy thách thc.
Đánh giá về Honeypot tương tác cao và thp
Honeypots ơng tác thấp s dụng ít tài nguyên hơn thu thập thông tin bản v
mức ộ và loi mối e dọa cũng như nguồn gc ca nó. Chúng d dàng và nhanh chóng
thiết lập, thường ch vi mt s giao thc TCP IP phỏng bản các dch v
mạng. Nhưng không trong honeypot thu hút k tn công trong thi gian dài
bn s không nhận ược thông tin chuyên sâu v thói quen ca chúng hoc v các mối e
dọa phc tp.
Mặt khác, honeypots tính tương tác cao nhằm mục ích khiến tin tc dành nhiu
thi gian nht có th trong honeypot, cung cp nhiu thông tin v ý ịnh và mc tiêu ca
chúng, cũng như các l hổng chúng ang khai thác phương thức hoạt ng ca
chúng. y coi như một cái m có thêm 'keo' - sở d liu, h thng quy trình
có th thu hút k tấn công lâu hơn nữa. Điều này cho phép các nhà nghiên cu theo dõi
nơi những k tn ng i vào hệ thống m thông tin nhy cm, nhng công c nào
chúng s dụng nâng cao c quyn hoc nhng cách khai thác chúng s dụng xâm
phm h thng.
Tuy nhiên, honeypots tính tương tác cao lại rt tn tài nguyên. Vic thiết lp
giám sát chúng s khó khăn và tốn thời gian hơn. Họ cũng có thể to ra ri ro; nếu chúng
không ược bo mt bng 'honeywall', mt tin tc thc s kiên nh và xo quyt có th s
lOMoARcPSD|36067889
Chương I – Tổng quan về hệ thống Honeypots
dụng honeypot tương tác cao tn công các y ch internet khác hoc gửi thư rác t
mt máy b xâm nhp.
C hai loại honeypot u có mt v trí trong vấn ề an ninh mng ca honeypot. S dng
kết hp c hai, bn th tinh chỉnh thông tin bản v các loi mối e dọa ến t honeypot
tương tác thấp bng cách thêm thông tin v ý nh, giao tiếp khai thác t honeypot
tương tác cao.
Bng cách s dng các honeypots trên mạng to ra mt khuôn kh tình báo v mi
e dọa, mt doanh nghip có th m bo rng h ang nhắm mc tiêu chi tiêu cho an ninh
mng của mình vào úng nơi và có thể biết ược âu là iểm yếu v bo mt.
1.4. Phân loi theo mục ích
Tu vào cơ chế hoạt ộng, mục ích sử dng s có nhng loi honeypot khác nhau
Hình 1.3 Phân loi Honeypot theo mục ích
Client honeypots
Các honeypots máy khách: Phn ln các honeypots là các máy ch ang lắng nghe các
kết ni. Các honeypots ca khách hàng ch ng m kiếm các máy ch c hi nhm mục
tiêu ến các khách hàng và h theo dõi honeypot biết bt k thay ổi áng ng hoc không
lOMoARcPSD|36067889
Chương I – Tổng quan về hệ thống Honeypots
mong mun nào. Các h thống y thường ược o hóa kế hoch ngăn chặn gi
an toàn cho nhóm nghiên cu.
Malware honeypots
Mt ong phn mềm c hi: Nhng phn mềm này xác nh phn mềm c hi bng cách
s dng các kênh sao chép tấn công ã thiết lp. Honeypots (chng hạn như Ghost) ã
ược thiết kế trông ging như thiết b u trữ USB.
Đây dạng honeypot thường ược s dng bi các công ty bo mt, các chuyên gia
nghiên cứu mã ộc vi mục ích phát hiện mã c. Ví d s dng honeypot mô phng mt
thiết b USB, nếu mt máy b nhiễm mã c lây nhim qua USB, honeypot s ánh la mã
c lây nhim sang thiết b gi lp.
Honeynets
Honeynet: Honeynet ược thiết kế theo dõi các hành ộng ộng của k tn công
trong khi cha tt cc thông tin liên lạc ến và i.
mt mng bao gm nhiu honeypot vi nhiu loi khác nhau to thành th dùng
nghiên cu c kiu tấn công như DDos, tấn công vào CDN (content delivery network),
tn công của ransomware. Honeynet ược s dng nhm theo nghiên cu quá trình cũng
như phương pháp của k tấn công ng thi lưu lại traffic vào/ra h thng phc v mục
ích theo dõi phân tích.
Open mail relays
Đây một a ch email ưc tạo ra ưa vào website người dùng thông thường
không m thy nhưng các công c thu thp t ng th tìm ra nhng k spam
gửi email. Địa ch email này thc tế mt cái by ch nhn email c. Khi những email
rác ược gửi vào a ch này d liu s ược phân tích thu thập ưa vào b lc nhằm
ngăn chặn người dùng nhận ược nhng email tương tự.
Database honeypots
Cơ sở d liu mi nh có th ược thiết lập ể theo dõi các l hng phn mm và phát
hin các cuc tn công khai thác kiến trúc h thng không an toàn hoc s dng SQL
injection, khai thác dch v SQL hoc lm dng ặc quyn.
Một cơ sở d liệu cũng có thể ược lập ra ể by và theo dõi nhng cuc tn công SQL
injection, khai thác dch v ca SQL... Vi dng honeypot này có th trin khai bng
cách s dụng tường la cơ sở d liu (database firewall).
Spider honeypots
Mt honeypot hình nhn ược dùng by các webcrawler/spider bng cách to ra
nhng trang web nhng liên kết ch các crawler mi có th truy cập. Sau ó dùng
thông tin thu thập ược chặn các crawler ộc hi. Vic phát hin trình thu thp thông tin
lOMoARcPSD|36067889
Chương I – Tổng quan về hệ thống Honeypots
th giúp bn m hiu cách chặn các chương trình c hại, cũng như trình thu thập
thông tin mng qung cáo.
1.5. Li ích s dng Honeypots
Honeypots có th là mt cách tốt ể phơi bày các lỗ hng trong các h thng chính. Ví
d, mt honeypot có th cho thy mức e dọa cao do các cuc tn công vào các thiết b
IoT . Nó cũng có thể xut các cách mà bo mt có th ược ci thin.
S dng honeypot có mt s li thế so vi vic c gng phát hin s xâm nhp trong
h thng thc.dụ, theo ịnh nghĩa, honeypot sẽ không nhn ược bt k u lượng truy
cp hp pháp nào,vy bt k hot ộng nào ược ghi lại u kh năng là một n lực
thăm dò hoặc xâm nhp.
Điều ó giúp d dàng phát hin ra các mu, chng hạn như ịa ch IP tương tự (hoc a
ch IP ều ến t mt quốc gia) ang ược s dụng ể thc hin quét mạng. Ngược li, nhng
du hiệu báo trước v mt cuc tn công rt d b mất i khi bạn ang xem xét mức lưu
lượng truy cp hp pháp cao trên mng lõi ca mình. Li thế ln ca vic s dng bo
mt honeypot những a ch c hi y th những a ch duy nht bn nhìn
thy, làm cho cuc tấn công ược xác ịnh d dàng hơn nhiều.
Bi honeypots x lý lưu lượng truy cp rt hn chế, chúng cũng ánh sáng tài
nguyên. H không ưa ra yêu cầu ln v phn cng; có th thiết lp honeypot bng y
tính bạn không dùng nữa. Đối vi phn mm, mt s honeypot ược viết sn
sn t các kho lưu trữ trc tuyến, giúp gim thiu n lc ni b cn thiết ể khởing
chy honeypot.
Honeypots có t l dương tính giả thấp. Điều ó hoàn toàn trái ngược vi các h thng
phát hin xâm nhp (IDS) truyn thng có th to ra cnh báo sai mức ộ cao. Mt ln
nữa, iều ó giúp ưu tiên các nỗ lc và gi cho nhu cu tài nguyên t mt honeypot mc
thp. (Trên thc tế, bng cách s dng d liu do honeypots thu thp và so sánh nó vi
các nhật tường la h thng khác, IDS th ược nh cu hình vi các cnh o
phù hợp hơn, tạo ra ít dương tính giả hơn. Bằng cách ó, honeypots thể giúp tinh
chnh và ci thin các h thng an ninh mng khác .)
Honeypots th cung cp cho bạn thông tin tình báo áng tin cậy v cách các mi e
dọa ang phát triển. Chúng cung cp thông tin v c vectơ tấn công, cách khai thác
phn mềm ộc hi - trong trưng hp by email, v nhng k gửi thư rác và các cuc
tn công lừa o. Tin tc liên tc tinh chnh các k thut xâm nhp ca h; mt honeypot
mng giúp phát hin các mối e da và s xâm nhp mi xut hin. S dng tt cây mật
nhân cũng giúp loại b các iểm mù.
Honeypots cũng công cụ ào tạo tuyt vi cho các nhân viên an ninh k thut.
Honeypot là một môi trường ược kiểm soát và an toàn hin th cách nhng k tn công
hoạt ộng và kim tra các loi mối e dọa khác nhau. Vi honeypot, nhân viên an ninh s
lOMoARcPSD|36067889
Chương I – Tổng quan về hệ thống Honeypots
không b phân tâm bởi lưu lượng truy cp thc s dng mng - h s th tp trung
100% vào mối e dọa.
Honeypots cũng thể bắt ược các mối e dọa ni b. Hu hết các t chức u dành
thời gian ể bo v nh ai và ảm bảo người ngoài và km nhp không thm nhập.
Nhưng nếu bn ch bo v vành ai, bất k hacker nào ã vượt qua tường la ca bạn thành
công ều th thc hin bt c thit hi nào mà h có th làm y gi ' ang ở bên trong.
Tường la cũng sẽ không giúp chng li mối e dọa ni b - chng hạn như một nhân
viên muốn ánh cắp tệp trước khi ngh vic. Mt honeypot th cung cp cho bn thông
tin tốt như nhau về các mối e dọa n trong hin th các l hổng trong các lĩnh vực
như quyền cho phép người trong cuc khai thác h thng.
Các tin tc càng lãng phí công sc ca mình vào các honeypots, thì chúng càng có ít
thời gian hơn ể hack các h thống ang hoạt ộng và gây ra thit hi thc s - cho bn
hoc cho những người khác.
Cui cùng, Honeypots em lại cho chúng ta:
Có th theo dõi ược quá trình và k thut mà nhng k tn công s dng.
Giúp thu thp thông tin v nhng k tn công.
Xây dựng phương án phòng thủ da trên d liệu thu ược.
Giúp t chức ánh lạc hướng, làm mt thi gian nhng k tn công t bên ngoài.
Giúp phát hin sm những nguy cơ tiềm n t ni b doanh nghip.
1.6. Ri ro khi s dng Honeypots
Mc dù an ninh mng ca honeypot s giúp lp biểu v môi trường e dọa, nhưng
honeypots s không nhìn thy mi th ang diễn ra - ch hot ộng hướng vào honeypot.
Ch mt mối e dọa nào ó không nhắm vào honeypot, bn không th cho rng không
tn tại; Điều quan trng phi cp nht tin tc bo mt CNTT, không ch da vào
honeypots ể thông báo cho bn v các mối e dọa.
Mt honeypot tốt, ược cấu hình úng cách sẽ ánh lừa nhng k tn ng tin rng h
ã có quyền truy cp vào h thng thc. Nó scác thông báo cảnh báo ăng nhập giống
nhau, các trưng d liu ging nhau, thm chí là giao din và biểu trưng giống như các
h thng thc ca bn. Tuy nhiên, nếu k tấn công xác ịnh ược ó là honeypot, thì chúng
có th tiến hành tn công các h thng khác ca bn trong khi vn ể nguyên honeypot.
Khi một honeypot ã ược 'ly du vân tay', k tn công th to ra các cuc tn
công gi mạo ánh lạc hướng s chú ý khi vic khai thác thc s ang ược nhm mc
tiêu chng li h thng sn xut ca bn. H cũng thể cung cp thông tin xu cho
honeypot.
lOMoARcPSD|36067889
Chương I – Tổng quan về hệ thống Honeypots
T hơn nữa, k tn công thông minh th s dụng honeypot như một ch xâm
nhp vào h thng ca bạn. Đó là lý do tại sao honeypots không bao gi có th thay thế
các bin pháp kim soát bo mt thích hp, chng hạn như tường la các h thng
phát hin xâm nhp khác. Vì honeypot có th óng vai trò như mt b phóng ể xâm nhập
thêm, hãy m bo rng tt c các honeypot ều ược bo mt tt. Mt 'bức tường mt ong'
th cung cp bo mật honeypot cơ bản ngăn chặn các cuc tn công nhm vào
honeypot xâm nhp vào h thng trc tiếp ca bn.
Tng kết li, ri ro khi s dụng Honeypots em lại:
Honeypot không ưc bo mt tt th b li dụng tn ng vào h thng
tht ca t chc, doanh nghip.
Mt h thng honeypot vn th b nhng k tn công kinh nghim phát
hin và làm sai lch d liu honeypot cn thu thp nhm ánh lạc hướng.
Nhìn chung, li ích ca vic s dng honeypots lớn hơn nhiều so vi ri ro. Tin tc
thường ược coi là mt mối e dọa vô hình, xa vi - nhưng sử dng honeypots, bn có th
thy chính xác những chúng ang làm, trong thời gian thc s dng thông tin ó
ngăn chúng ạt ưc nhng chúng mun. Honeypots h tr các nhà nghiên cu hiểu
ược ri ro trong h thng mạng, nhưng chúng không nên ược s dng thay cho IDS tiêu
chun.
1.7. HONEYNET
1.7.1. Khái nim Honeynets
Honeynet là hình thức honeypot tương tác cao. Khác với các honeypots, Honeynet là
mt h thng tht, hoàn toàn ging mt mng làm việc bình thường. Honeynet cung cp
các h thng, ng dng, các dch v tht.
Quan trng nht khi y dng mt honeynet chính honeywall. Honeywall
gateway gia honeypots mng bên ngoài. hoạt ộng tầng 2 như Bridged. Các
lung d liu khi vào và ra t honeypots ều phải i qua honeywall.
1.7.2. Các chức năng của Honeynet
a. Điều khin d liu:
Khi Hacker s dụng các mã ộc ( như : virus, trojan, spyware, worm,…) thâm nhp
vào H thng Honeynet, thì hai công c IDS Snort và Firewall Iptable trên Honeywall
s thc hin kim soát các hoạt ng ca các loại ộc y, ng như các hành vi
Hacker thc hin trên h thống ; ồng thời ưa ra các cảnh báo cho người qun h thng
biết ể kp thi s lý.
lOMoARcPSD|36067889
Chương I – Tổng quan về hệ thống Honeypots
Các lung d liệu khi i vào không bị hn chế, nhưng khi i ra ngoài thì sẽ b hn chế
. Chính vy, Hacker s rất khó khăn, thậm trí nếu H thống Honeynet ược Cu
hình tt thì Hacker s không th thu thập ược y ủ thông tin v h thng ca ta, iều này
cũng có nghĩa là Hacker sẽ không th thâm nhp thành công vào h thng mng.
b. Thu nhn d liu
Khi d liệu i vào thì honeynet sẽ xem xét và ghi li tt c các hoạt ộng có tính phá hoại
và sau ó sẽ phân tích các ộng cơ hoạt ộng ca tin tc.
c. Phân tích d liu
Mục ích chính của honey net chính thu thp thông tin. Khi ã thông tin thì người
dùng cn phi có kh năng ể phân tích các thông tin này.
d. Thu thp d liu
Thu thp d liu t các honeynets v mt ngun tp trung. Ch áp dng cho các t chc
có nhiều honeynets. Đa số các t chc ch có mt honeynet.
1.7.3. Mô hình kiến trúc vt lý
Mô hình kiến trúc Honeynet thế hệ I :
Mô hình Honeynet thế h I gm mt mng riêng biệt ược tạo ra ặt ằng sau mt
thiết b iều khin truy nhp mạng, thường tường la (Firewall); bt k lung
d liệu vào ra Honeynet u phải i qua tường la. Honeyney ược b trí trên mt mng
riêng bit vi vùng mng sn xuất ể gim nguy cơ mất an toàn cho h thng.
lOMoARcPSD|36067889
Chương I – Tổng quan về hệ thống Honeypots
Hình 1.4 Mô hình Honneynet GEN I
mô hình Honeynet thế h I này thì h thống tường la (Firewall) và H thng phát
hin xâm nhp ( Instruction Detection System IDS) hai h thống c lập nhau. Đây
chính s khác bit gia Honeynet I vi Honeynet II Honeynet III. hình
Honeynet II III thì hai h thống Firewall IDS ược kết hp thành mt h thng
Gateway duy nht là Honeywall.
Trong h thng Honeynet, Firewall gi vai trò kiếm soát các lung d liu ra vào h
thng, nhm ch cho Hacker tấn công vào Honeynet và ngăn chặn không cho Hacker tn
công vào vùng mng sn xut hay không cho Hacker biến Honeynet làm công c tn
công các H thng mng bên ngoài. Firewall thc hiện ược nhim v y là da vào các
luật (Rule) ịnh nghĩa sự cho phép (Allow) hoc không cho phép (Deny ) các truy cp t
bên ngoài vào hoc bên trong h thng ra.
Mô hình kiến trúc Honeynet II, III
Honeynet thế h II ược phát triển o năm 2002 và Honeynet thế h III ược ưa ra vào
cuối năm 2004. Về bản, Honeynet II Honeynet III ng mt kiến trúc. Điểm
khác bit chính là Honeynet III ci tiến vic trin khai và qun lý.
Một thay ổi cơ bản trong kiến trúc ca Honeynet II và Honeynet III so vi Honeynet
I là s dng mt thiết b ơn lẻ iều khin vic kim soát d liu thu nhn d liu ược
gi là Honeywall (Honeynet Sensor).
lOMoARcPSD|36067889
Chương I – Tổng quan về hệ thống Honeypots
Honeywall là s kết chức năng của hai h thống tường la Firewall và h thng phát
hin xâm nhp IDS ca mô hình kiến trúc Honeynet I.. Nh vy chúng ta d dàng trin
khai và quản lý hơn.
S thayi trong Honeywall ch yếu module kim soát d liu. Honeywall làm vic
tầng hai (trong hình OSI) như một thiết b Bridge. Nh s thay i này
Honeynet II, Honeynet III ã khiến cho k tn công khó phát hiện ra là chúng ang tương
tác với H thống “bẫy” Honeynet hai u card mng ca eth0 (kết ni vi mng bên
ngoài Honeynet phía hacker) và eth1 (kết ni với Honeynet) ều không có ịa ch mng
IP. Vì vậy, Honeynet hoàn toàn “trong suốt” vi Hacker
Hình 1.5 Mô hình kiến trúc Honeyney thế hệ II, III
lOMoARcPSD|36067889
Chương II – Honeypot thông minh
Chương II – Honeypot thông minh
2.1. Gii thiu
Trên Internet, hu hết các k tấn công u nhm tới thông tin người dùng qua các
trang mng hi. Mt trong nhng cách tn công ph biến nht Phishing attack
(Man in the Middle) Tấn công giả mạo.
Hình 2.1 Phishing attack Tn công gi mo
Phishing là hình thc tn công mng bng vic xây dng nhng h thng la o
nhằm ánh cắp các thông tin nhy cm, như tên ăng nhập, mt khu hay thông
tin v các loi th tín dng của người dùng. Phishing xut hiện như một thc th
áng tin cậy, một trang thông tin iện t, eBay, Paypal, gmail, hay các ngân hàng
trc tuyến là nhng mục tiêu hướng ến ca hình thc tn công này.
Honeypot là mt công c ánh lạc hướng/chuyển hướng các cuc tn công t thông
tin ược bo mật ến mt server gi nhằm ánh lừa k tn công rng hắn ã thành công. Tuy
nhiên honeypot vn có mt s l hng bo mt mà k tn công có th li dng, mt s
công c hacker thường dùng ể nhn biết honeypot trong network có th k ến như:
Shodan, n-map…
2.2. Honeypot thông minh
2.2.1. Ý tưởng
Trong phn này, mc tiêu ca nhóm to một hình phân tích thông minh nâng
cp các honeypot sn có, giúp chúng hoạt ộng tốt hơn.
Lung hoạt ộng ca mt Phishing attack xy ra như sau:
lOMoARcPSD|36067889
Chương II – Honeypot thông minh
Hình 2.2 Luồng hoạt ộng của Phishing attack
hình phân tích ca AI Honeypot:
Hình 2.3 Mô hình phân tích AI Honeypot
2.2.2. Client Honeypot tương tác thấp
Tt c các URL ều s ược ưa vào Client Honeypot tương tác thấp. Tại ây Honeypot
s dùng phương pháp Heuristic nhn dạng mã c hại trong ường link bằng cách ọc mã
ngun.
Heuristic là mt b quy tắc ược ặt ra ể chng li mt s các phn mm c th, dùng
nhn dạng các hành vi c hi/nguy him mà không cn phải xác ịnh ưc chính xác
phn mềm có hành vi ó.
lOMoARcPSD|36067889
Chương II – Honeypot thông minh
Phương pháp Heuristic dùng bởi mt phn mm antimalware bao gm các quy tc sau
chng các phn mm:
Phn mm hành vi copy chính vào phn mm khác (nói cách khác, virus
máy tính).
Phn mm có hành vi viết trc tiếp lên ĩa.
Phn mm có hành vi tn li trong b nh k c sau khi ã hoàn thành thực thi.
Phn mm gii (decrypt) chính khi thc thi (một phương pháp malware
thường dùng ể qua mt quét signature).
Phn mm có hành vi bt port TCP/IP và nghe mt kết ni mng
(bot/drones/zombies).
Phn mm có hành vi [copy, delete, modify, rename, replace…] file hệ thng.
Phn mềm tương ồng vi các phn mềm ộc hi khác.
2.2.3. Client Honeypot tương tác cao
Thay iều hướng ường link ến server giả, ường link ược chuyn tiếp ến Client
Honeypot tương tác cao nhn dng loại code/script c hại ưc s dng. Client
Honeypot tương tác cao hoạt ộng như sau:
Các file log (t các ng c như wireshark) sẽ ược dùng thc hin phương
pháp K-means Clustering phân loi các hành vi khác nhau vào các nhóm
riêng bit phân tích iểm tương ồng gia tt c các mã ộc hi.
Da trên kết qu phân tích, to ra log riêng của chính to signature mi.
Các signature này s ược dùng trong nhng ln tn công tiếp theo.
Hình 2.4 K-means Clustering
2.3. Kết lun
Mô hình s ược chy lp li liên tc trong mạng, qua ó có tính t ci tiến bng cách
log các hành vi c hi mới dùng làm signature xác nh mã/script tn công mới
trong tương lai.
lOMoARcPSD| 36067889
Chương II – Honeypot thông minh
lOMoARcPSD|36067889
Kết lun
Qua bài tiu luận y, người ọc nm bt khái niệm cũng như nguyên hoạt ng h
thng Honeypots. Đồng thi, kết hp công ngh AI vi Honeypots nhm ci thin h
thng bo mt, c th là phòng chng tn công gi mo.
Trong h thng bo mt, lp chn bo mt luôn phi ược cp nhật i trước
nhng k xâm nhp. Hin nay, các cuc tn công mạng ang dần tr nên tinh vi hơn, sử
dng công ngh AI kết hp h thng bo mật ang vấn áng ược quan tâm. Tuy nhiên,
công ngh AI cũng tồn tại iểm yếu, các k tn công th li dụng ngược li tìm ược
l hng và tn công h thng.
lOMoARcPSD|36067889
Tài liu tham kho
Tài liu tiếng anh
[1] Giáo trình “Cetified Ethical Hacker” (CEH).
Tài liu internet
[2] quantrimang.com [3] whitehat.vn
[4] forum.vnpro.org
[5] blogs.umass.edu
[6] manthang.wordpress.com
[7] github.com
| 1/21

Preview text:

lOMoARcPSD| 36067889 Mục lục
Danh mục hình vẽ ............................................................................................... 1
Lời mở ầu ............................................................................................................. 3
Chương I - Tổng quan về hệ thống Honeypot .................................................. 3
1.1. Khái niệm ................................................................................................... 4
1.2. Phân loại Honeypot ................................................................................... 5
1.3. Phân loại theo cấp ộ .................................................................................. 6
1.4. Phân loại theo mục ích ............................................................................. 8
1.5. Lợi ích sử dụng Honeypots .................................................................... 10
1.6. Rủi ro khi sử dụng Honeypots ............................................................... 11
1.7. HONEYNET............................................................................................ 12
1.7.1. Khái niệm Honeynets ........................................................................ 12
1.7.2. Các chức năng của Honeynet ........................................................... 12
1.7.3. Mô hình kiến trúc vật lý .................................................................... 13
Chương II – Honeypot thông minh ................................................................. 16
2.1. Giới thiệu ................................................................................................. 16
2.2. Honeypot thông minh ............................................................................. 16
2.2.1. Ý tưởng ............................................................................................... 16
2.2.2. Client Honeypot tương tác thấp ........................................................ 17
2.2.3. Client Honeypot tương tác cao ......................................................... 18
2.3. Kết luận .................................................................................................... 18
Kết luận .............................................................................................................. 20
Tài liệu tham khảo ............................................................................................ 21 Danh mục hình vẽ
Hình 1.1 Phân loại honeypot ................................................................................. 6
Hình 1.2 Phân loại Honeypot theo mức ộ ........................................................... 7
Hình 1.3 Phân loại Honeypot theo mục ích ........................................................ 9
Hình 1.4 Mô hình Honneynet GEN I .................................................................. 15 lOMoAR cPSD| 36067889
Hình 1.5 Mô hình kiến trúc Honeyney thế hệ II, III ........................................... 16
Hình 2.1 Phishing attack – Tấn công giả mạo .................................................... 17
Hình 2.2 Luồng hoạt ộng của Phishing attack .................................................. 18
Hình 2.3 Mô hình phân tích AI Honeypot .......................................................... 18
Hình 2.4 K-means Clustering .............................................................................. 19 lOMoARcPSD| 36067889 Lời mở ầu
An ninh mạng là các phương thức ể một tổ chức giảm thiểu nguy cơ bị tấn công
mạng, nó tác ộng trực tiếp với các hoạt ộng kinh doanh của tổ chức, và nhằm bảo vệ
các thiết bị, dịch vụ mà doanh nghiệp sử dụng. Là một chiến lược ược một công ty sử
dụng ể bảo vệ tài sản kỹ thuật số khỏi bị hack. Các chiến lược có thể bao gồm công
nghệ, quy trình và các biện pháp bảo mật khác cho hệ thống, thiết bị và dữ liệu. Chúng
ược thiết kế ể ngăn chặn truy cập trái phép vào dữ liệu ược lưu trữ trên thiết bị vật lý
hoặc trực tuyến.An ninh mạng không giống như bảo mật thông tin mà nó bao quát nhiều
lĩnh vực hơn, gồm tất cả các tài sản dữ liệu như bản sao giấy của tài liệu.
Việc hệ thống số hóa ngày càng tăng của thế giới tạo ra nhiều cơ hội mới cho các
doanh nghiệp của tất cả các ngành nghề. Tuy nhiên, i kèm với chúng cũng là những mối
e dọa an ninh mạng. Việc tập trung nhiều hơn vào bán hàng trực tuyến của nhiều doanh
nghiệp truyền thống, cũng như việc chuyển tài liệu và dữ liệu của họ lên ám mây, iều
này ồng nghĩa với việc bảo mật kỹ thuật số vẫn quan trọng hơn bao giờ hết.
An ninh mạng ngày càng trở nên quan trọng khi iện thoại thông minh, máy tính và
máy tính bảng là một phần không thể thiếu trong công việc hàng ngày và cuộc sống cá
nhân mỗi chúng ta. Mức ộ phụ thuộc vào các công cụ trực tuyến trong các khía cạnh
khác nhau của hoạt ộng kinh doanh – từ mạng xã hội và tiếp thị qua email ến lưu trữ dữ
liệu nhân viên và khách hàng trên ám mây – ặt ra nhu cầu bổ sung cho chúng ta trong
việc bảo vệ những thông tin quý giá này.
Trong tiểu luận này giới thiệu cho người ọc một trong những giải pháp an ninh
mạng phổ biến hiện nay là Honeypot – Bẫy mật. Qua ó, với công nghệ AI – trí tuệ thông
minh nhân tạo ang phát triển rất nhanh, tiểu luận giới thiệu người ọc kết hợp AI với hệ
thống Honeypot cải thiện khả năng bảo mật.
Phần còn lại bài tiểu luận này ược tổ chức như sau:
Chương I. Tổng quan về hệ thống Honeypot.
Chương II. Hệ thống Honeypot thông minh.
Chương I - Tổng quan về hệ thống Honeypot lOMoARcPSD| 36067889 1.1. Khái niệm
Trong lĩnh vực an ninh mạng, "honeypot" có thể hiểu ơn giản là một hệ thống máy
tính ược dựng lên với mục ích làm mồi nhử cho những kẻ tấn công. Những hệ thống
này có thể tồn tại những lỗ hổng bảo mật nhất ịnh hoặc ược thiết lập kém bảo mật tùy
vào người xây dựng honeypot, khi kẻ xấu tấn công vào, những người ứng sau hệ thống
này sẽ có thể theo dõi quá trình tấn công, công cụ, mã khai thác... của chúng. Từ ó ưa
ra các giải pháp phòng chống phù hợp trước các cuộc công trong tương lai.
Một “Honeypot” có thể là bất cứ thứ gì bạn muốn. Nếu bạn quan tâm ến Honeypots
với tư cách là người dùng mới, trước tiên bạn phải quyết ịnh mục tiêu của mình, iều này
sẽ xác ịnh loại Honeypot bạn sẽ triển khai.
Có nhiều honeypots khác nhau và chúng có thể ược thiết lập theo những gì tổ chức
của bạn cần. Bởi vì chúng có vẻ là những mối e dọa hợp pháp, honeypots hoạt ộng
giống như một cái bẫy, cho phép bạn xác ịnh các cuộc tấn công sớm và ưa ra phản ứng
thích hợp. Ý nghĩa của honeypot này chỉ ra một số cách chúng có thể ược sử dụng ể
hướng những kẻ tấn công ra khỏi hệ thống quan trọng nhất của bạn. Trong khi kẻ tấn
công rơi vào miếng mồi ngon, bạn có thể thu thập thông tin tình báo quan trọng về kiểu
tấn công, cũng như các phương pháp mà kẻ tấn công ang sử dụng.
Một honeypot hoạt ộng tốt nhất khi nó có vẻ là một hệ thống hợp pháp. Nói cách
khác, nó phải chạy cùng một quy trình mà hệ thống sản xuất thực tế của bạn sẽ chạy.
Nó cũng phải chứa các tệp mồi nhử mà kẻ tấn công sẽ thấy là thích hợp cho các quy
trình ược nhắm mục tiêu. Trong nhiều trường hợp, tốt nhất là ặt honeypot phía sau tường
lửa ể bảo vệ mạng của tổ chức bạn. Điều này cho phép bạn kiểm tra các mối e dọa vượt
qua tường lửa và ngăn chặn các cuộc tấn công ược thiết kế ể khởi ộng từ bên trong một
honeypot bị xâm phạm. Khi cuộc tấn công xảy ra, tường lửa của bạn, ược ặt giữa
honeypot và internet, có thể chặn nó và loại bỏ dữ liệu.
Bằng cách theo dõi lưu lượng truy cập vào hệ thống honeypot, bạn có thể ánh giá:
• Tội phạm mạng ến từ âu
• Mức ộ của mối e dọa
• Họ ang sử dụng modus operandi nào
• Dữ liệu hoặc ứng dụng nào họ quan tâm
• Các biện pháp bảo mật của bạn ang hoạt ộng tốt như thế nào ể ngăn chặn các cuộc tấn công mạng lOMoARcPSD| 36067889
Chương I – Tổng quan về hệ thống Honeypots
1.2. Phân loại Honeypot
Có hai loại honeypots dựa trên việc thiết kế và triển khai các hợp ồng thông minh:
honeypots nghiên cứu và sản xuất. Honeypots ể nghiên cứu thu thập thông tin về các
cuộc tấn công và ược sử dụng ể phân tích hành vi thù ịch trong tự nhiên.
Hình 1.1 Phân loại honeypot a)Nghiên cứu b)Sản xuất
Họ thu thập thông tin về xu hướng của kẻ tấn công, lỗ hổng bảo mật và các chủng
phần mềm ộc hại mà kẻ thù hiện ang nhắm mục tiêu bằng cách xem xét cả môi trường
của bạn và thế giới bên ngoài. Thông tin này có thể giúp bạn quyết ịnh các biện pháp
phòng ngừa, các ưu tiên vá lỗi và các khoản ầu tư trong tương lai.
Mặt khác, honeypots sản xuất nhằm mục ích phát hiện sự xâm nhập mạng ang hoạt
ộng và ánh lừa kẻ tấn công. Honeypots cung cấp thêm cơ hội giám sát và lấp ầy những
khoảng trống phát hiện phổ biến xung quanh việc xác ịnh quét mạng và chuyển ộng bên;
do ó, việc lấy dữ liệu vẫn là trách nhiệm hàng ầu.
Sản xuất honeypots chạy các dịch vụ thường chạy trong môi trường của bạn cùng với
phần còn lại của máy chủ sản xuất của bạn. Honeypots cho nghiên cứu phức tạp hơn và
lưu trữ nhiều loại dữ liệu hơn honeypots ể sản xuất.
Ngoài ra còn có nhiều cấp bên trong honeypots sản xuất và nghiên cứu, tùy thuộc vào
mức ộ hoặc mục ích sử dụng. lOMoARcPSD| 36067889
Chương I – Tổng quan về hệ thống Honeypots
1.3. Phân loại theo cấp ộ
Hình 1.2 Phân loại Honeypot theo mức ộ High-interaction
Honeypot tương tác cao: Loại này có thể so sánh với honeypot nguyên chất ở chỗ nó
vận hành một số lượng lớn dịch vụ, nhưng kém phức tạp hơn và chứa ít dữ liệu hơn.
Mặc dù honeypots có tính tương tác cao không nhằm tái tạo các hệ thống sản xuất quy
mô ầy ủ, nhưng chúng chạy (hoặc có vẻ chạy) tất cả các dịch vụ thường ược liên kết với
hệ thống sản xuất, bao gồm cả hệ iều hành ang hoạt ộng.
Đây là kiểu honeypot phức tạp nhằm thu hút nhiều thời gian và thao tác của kẻ tấn
công. Nhằm thu thập càng nhiều càng tốt về mục ích, quá trình, lỗ hổng mà kẻ tấn công
muốn khai thác. Hệ thống dạng này sẽ tốn nhiều tài nguyên hơn nữa ể triển khai cũng
như giám sát cần người có kinh nghiệm vì nếu honeypot không bảo mật úng cách sẽ bị tin tặc khai thác. lOMoARcPSD| 36067889
Chương I – Tổng quan về hệ thống Honeypots
Mid-interaction
Honeypot tương tác giữa: Những ặc iểm này bắt chước các ặc iểm của lớp ứng dụng
nhưng thiếu hệ iều hành của chúng. Họ cố gắng can thiệp hoặc làm bối rối những kẻ tấn
công ể các doanh nghiệp có thêm thời gian tìm ra cách phản ứng phù hợp với một cuộc tấn công.
Low-interaction
Honeypot tương tác thấp: Đây là honeypot phổ biến nhất ược sử dụng trong môi
trường sản xuất. Mật ong tương tác thấp chạy một số dịch vụ và chủ yếu ược sử dụng
như một công cụ phát hiện cảnh báo sớm. Nhiều nhóm bảo mật cài ặt nhiều honeypots
trên các phân oạn khác nhau của mạng vì chúng dễ thiết lập và duy trì.
Đây là kiểu honeypot ơn giản, sử dụng ít tài nguyên ồng thời thông tin thu thập ược
cũng ở mức cơ bản. Chúng có thể triển khai dễ dàng và nhanh chóng dưới dạng mô
phỏng cơ bản các các dịch vụ mạng, giao thức TCP và IP. Pure honeypot
Honeypot nguyên chất: Hệ thống sản xuất quy mô lớn này chạy trên nhiều máy chủ.
Nó chứa ầy các cảm biến và bao gồm dữ liệu "bí mật" và thông tin người dùng. Thông
tin họ cung cấp là vô giá, mặc dù việc quản lý có thể phức tạp và ầy thách thức.
Đánh giá về Honeypot tương tác cao và thấp
Honeypots tương tác thấp sử dụng ít tài nguyên hơn và thu thập thông tin cơ bản về
mức ộ và loại mối e dọa cũng như nguồn gốc của nó. Chúng dễ dàng và nhanh chóng ể
thiết lập, thường chỉ với một số giao thức TCP và IP mô phỏng cơ bản và các dịch vụ
mạng. Nhưng không có gì trong honeypot ể thu hút kẻ tấn công trong thời gian dài và
bạn sẽ không nhận ược thông tin chuyên sâu về thói quen của chúng hoặc về các mối e dọa phức tạp.
Mặt khác, honeypots có tính tương tác cao nhằm mục ích khiến tin tặc dành nhiều
thời gian nhất có thể trong honeypot, cung cấp nhiều thông tin về ý ịnh và mục tiêu của
chúng, cũng như các lỗ hổng mà chúng ang khai thác và phương thức hoạt ộng của
chúng. Hãy coi nó như một cái ấm có thêm 'keo' - cơ sở dữ liệu, hệ thống và quy trình
có thể thu hút kẻ tấn công lâu hơn nữa. Điều này cho phép các nhà nghiên cứu theo dõi
nơi những kẻ tấn công i vào hệ thống ể tìm thông tin nhạy cảm, những công cụ nào
chúng sử dụng ể nâng cao ặc quyền hoặc những cách khai thác chúng sử dụng ể xâm phạm hệ thống.
Tuy nhiên, honeypots có tính tương tác cao lại rất tốn tài nguyên. Việc thiết lập và
giám sát chúng sẽ khó khăn và tốn thời gian hơn. Họ cũng có thể tạo ra rủi ro; nếu chúng
không ược bảo mật bằng 'honeywall', một tin tặc thực sự kiên ịnh và xảo quyệt có thể sử lOMoARcPSD| 36067889
Chương I – Tổng quan về hệ thống Honeypots
dụng honeypot tương tác cao ể tấn công các máy chủ internet khác hoặc gửi thư rác từ một máy bị xâm nhập.
Cả hai loại honeypot ều có một vị trí trong vấn ề an ninh mạng của honeypot. Sử dụng
kết hợp cả hai, bạn có thể tinh chỉnh thông tin cơ bản về các loại mối e dọa ến từ honeypot
tương tác thấp bằng cách thêm thông tin về ý ịnh, giao tiếp và khai thác từ honeypot tương tác cao.
Bằng cách sử dụng các honeypots trên mạng ể tạo ra một khuôn khổ tình báo về mối
e dọa, một doanh nghiệp có thể ảm bảo rằng họ ang nhắm mục tiêu chi tiêu cho an ninh
mạng của mình vào úng nơi và có thể biết ược âu là iểm yếu về bảo mật.
1.4. Phân loại theo mục ích
Tuỳ vào cơ chế hoạt ộng, mục ích sử dụng sẽ có những loại honeypot khác nhau
Hình 1.3 Phân loại Honeypot theo mục ích Client honeypots
Các honeypots máy khách: Phần lớn các honeypots là các máy chủ ang lắng nghe các
kết nối. Các honeypots của khách hàng chủ ộng tìm kiếm các máy chủ ộc hại nhắm mục
tiêu ến các khách hàng và họ theo dõi honeypot ể biết bất kỳ thay ổi áng ngờ hoặc không lOMoARcPSD| 36067889
Chương I – Tổng quan về hệ thống Honeypots
mong muốn nào. Các hệ thống này thường ược ảo hóa và có kế hoạch ngăn chặn ể giữ
an toàn cho nhóm nghiên cứu.
Malware honeypots
Mật ong phần mềm ộc hại: Những phần mềm này xác ịnh phần mềm ộc hại bằng cách
sử dụng các kênh sao chép và tấn công ã thiết lập. Honeypots (chẳng hạn như Ghost) ã
ược thiết kế ể trông giống như thiết bị lưu trữ USB.
Đây là dạng honeypot thường ược sử dụng bởi các công ty bảo mật, các chuyên gia
nghiên cứu mã ộc với mục ích phát hiện mã ộc. Ví dụ sử dụng honeypot mô phỏng một
thiết bị USB, nếu một máy bị nhiễm mã ộc lây nhiễm qua USB, honeypot sẽ ánh lừa mã
ộc lây nhiễm sang thiết bị giả lập. Honeynets
Honeynet: Honeynet ược thiết kế ể theo dõi các hành ộng và ộng cơ của kẻ tấn công
trong khi chứa tất cả các thông tin liên lạc ến và i.
Là một mạng bao gồm nhiều honeypot với nhiều loại khác nhau tạo thành có thể dùng
ể nghiên cứu các kiểu tấn công như DDos, tấn công vào CDN (content delivery network),
tấn công của ransomware. Honeynet ược sử dụng nhằm theo nghiên cứu quá trình cũng
như phương pháp của kẻ tấn công ồng thời lưu lại traffic vào/ra hệ thống phục vụ mục ích theo dõi phân tích.
Open mail relays
Đây là một ịa chỉ email ược tạo ra và ưa vào website ể người dùng thông thường
không tìm thấy nhưng ể các công cụ thu thập tự ộng có thể tìm ra và ể những kẻ spam
gửi email. Địa chỉ email này thực tế là một cái bẫy chỉ ể nhận email rác. Khi những email
rác ược gửi vào ịa chỉ này dữ liệu sẽ ược phân tích và thu thập ể ưa vào bộ lọc nhằm
ngăn chặn người dùng nhận ược những email tương tự.
Database honeypots
Cơ sở dữ liệu mồi nhử có thể ược thiết lập ể theo dõi các lỗ hổng phần mềm và phát
hiện các cuộc tấn công khai thác kiến trúc hệ thống không an toàn hoặc sử dụng SQL
injection, khai thác dịch vụ SQL hoặc lạm dụng ặc quyền.
Một cơ sở dữ liệu cũng có thể ược lập ra ể bẫy và theo dõi những cuộc tấn công SQL
injection, khai thác dịch vụ của SQL... Với dạng honeypot này có thể triển khai bằng
cách sử dụng tường lửa cơ sở dữ liệu (database firewall).
Spider honeypots
Một honeypot hình nhện ược dùng ể bẫy các webcrawler/spider bằng cách tạo ra
những trang web và những liên kết mà chỉ các crawler mới có thể truy cập. Sau ó dùng
thông tin thu thập ược ể chặn các crawler ộc hại. Việc phát hiện trình thu thập thông tin lOMoARcPSD| 36067889
Chương I – Tổng quan về hệ thống Honeypots
có thể giúp bạn tìm hiểu cách chặn các chương trình ộc hại, cũng như trình thu thập
thông tin mạng quảng cáo.
1.5. Lợi ích sử dụng Honeypots
Honeypots có thể là một cách tốt ể phơi bày các lỗ hổng trong các hệ thống chính. Ví
dụ, một honeypot có thể cho thấy mức ộ e dọa cao do các cuộc tấn công vào các thiết bị
IoT . Nó cũng có thể ề xuất các cách mà bảo mật có thể ược cải thiện.
Sử dụng honeypot có một số lợi thế so với việc cố gắng phát hiện sự xâm nhập trong
hệ thống thực. Ví dụ, theo ịnh nghĩa, honeypot sẽ không nhận ược bất kỳ lưu lượng truy
cập hợp pháp nào, vì vậy bất kỳ hoạt ộng nào ược ghi lại ều có khả năng là một nỗ lực thăm dò hoặc xâm nhập.
Điều ó giúp dễ dàng phát hiện ra các mẫu, chẳng hạn như ịa chỉ IP tương tự (hoặc ịa
chỉ IP ều ến từ một quốc gia) ang ược sử dụng ể thực hiện quét mạng. Ngược lại, những
dấu hiệu báo trước về một cuộc tấn công rất dễ bị mất i khi bạn ang xem xét mức lưu
lượng truy cập hợp pháp cao trên mạng lõi của mình. Lợi thế lớn của việc sử dụng bảo
mật honeypot là những ịa chỉ ộc hại này có thể là những ịa chỉ duy nhất mà bạn nhìn
thấy, làm cho cuộc tấn công ược xác ịnh dễ dàng hơn nhiều.
Bởi vì honeypots xử lý lưu lượng truy cập rất hạn chế, chúng cũng là ánh sáng tài
nguyên. Họ không ưa ra yêu cầu lớn về phần cứng; có thể thiết lập honeypot bằng máy
tính cũ mà bạn không dùng nữa. Đối với phần mềm, một số honeypot ược viết sẵn có
sẵn từ các kho lưu trữ trực tuyến, giúp giảm thiểu nỗ lực nội bộ cần thiết ể khởi ộng và chạy honeypot.
Honeypots có tỷ lệ dương tính giả thấp. Điều ó hoàn toàn trái ngược với các hệ thống
phát hiện xâm nhập (IDS) truyền thống có thể tạo ra cảnh báo sai ở mức ộ cao. Một lần
nữa, iều ó giúp ưu tiên các nỗ lực và giữ cho nhu cầu tài nguyên từ một honeypot ở mức
thấp. (Trên thực tế, bằng cách sử dụng dữ liệu do honeypots thu thập và so sánh nó với
các nhật ký tường lửa và hệ thống khác, IDS có thể ược ịnh cấu hình với các cảnh báo
phù hợp hơn, ể tạo ra ít dương tính giả hơn. Bằng cách ó, honeypots có thể giúp tinh
chỉnh và cải thiện các hệ thống an ninh mạng khác .)
Honeypots có thể cung cấp cho bạn thông tin tình báo áng tin cậy về cách các mối e
dọa ang phát triển. Chúng cung cấp thông tin về các vectơ tấn công, cách khai thác và
phần mềm ộc hại - và trong trường hợp bẫy email, về những kẻ gửi thư rác và các cuộc
tấn công lừa ảo. Tin tặc liên tục tinh chỉnh các kỹ thuật xâm nhập của họ; một honeypot
mạng giúp phát hiện các mối e dọa và sự xâm nhập mới xuất hiện. Sử dụng tốt cây mật
nhân cũng giúp loại bỏ các iểm mù.
Honeypots cũng là công cụ ào tạo tuyệt vời cho các nhân viên an ninh kỹ thuật.
Honeypot là một môi trường ược kiểm soát và an toàn ể hiển thị cách những kẻ tấn công
hoạt ộng và kiểm tra các loại mối e dọa khác nhau. Với honeypot, nhân viên an ninh sẽ lOMoARcPSD| 36067889
Chương I – Tổng quan về hệ thống Honeypots
không bị phân tâm bởi lưu lượng truy cập thực sử dụng mạng - họ sẽ có thể tập trung 100% vào mối e dọa.
Honeypots cũng có thể bắt ược các mối e dọa nội bộ. Hầu hết các tổ chức ều dành
thời gian ể bảo vệ vành ai và ảm bảo người ngoài và kẻ xâm nhập không thể xâm nhập.
Nhưng nếu bạn chỉ bảo vệ vành ai, bất kỳ hacker nào ã vượt qua tường lửa của bạn thành
công ều có thể thực hiện bất cứ thiệt hại nào mà họ có thể làm bây giờ ' ang ở bên trong.
Tường lửa cũng sẽ không giúp chống lại mối e dọa nội bộ - chẳng hạn như một nhân
viên muốn ánh cắp tệp trước khi nghỉ việc. Một honeypot có thể cung cấp cho bạn thông
tin tốt như nhau về các mối e dọa bên trong và hiển thị các lỗ hổng trong các lĩnh vực
như quyền cho phép người trong cuộc khai thác hệ thống.
Các tin tặc càng lãng phí công sức của mình vào các honeypots, thì chúng càng có ít
thời gian hơn ể hack các hệ thống ang hoạt ộng và gây ra thiệt hại thực sự - cho bạn
hoặc cho những người khác.
Cuối cùng, Honeypots em lại cho chúng ta:
• Có thể theo dõi ược quá trình và kỹ thuật mà những kẻ tấn công sử dụng.
• Giúp thu thập thông tin về những kẻ tấn công.
• Xây dựng phương án phòng thủ dựa trên dữ liệu thu ược.
• Giúp tổ chức ánh lạc hướng, làm mất thời gian những kẻ tấn công từ bên ngoài.
• Giúp phát hiện sớm những nguy cơ tiềm ẩn từ nội bộ doanh nghiệp.
1.6. Rủi ro khi sử dụng Honeypots
Mặc dù an ninh mạng của honeypot sẽ giúp lập biểu ồ về môi trường e dọa, nhưng
honeypots sẽ không nhìn thấy mọi thứ ang diễn ra - chỉ hoạt ộng hướng vào honeypot.
Chỉ vì một mối e dọa nào ó không nhắm vào honeypot, bạn không thể cho rằng nó không
tồn tại; Điều quan trọng là phải cập nhật tin tức bảo mật CNTT, không chỉ dựa vào
honeypots ể thông báo cho bạn về các mối e dọa.
Một honeypot tốt, ược cấu hình úng cách sẽ ánh lừa những kẻ tấn công tin rằng họ
ã có quyền truy cập vào hệ thống thực. Nó sẽ có các thông báo cảnh báo ăng nhập giống
nhau, các trường dữ liệu giống nhau, thậm chí là giao diện và biểu trưng giống như các
hệ thống thực của bạn. Tuy nhiên, nếu kẻ tấn công xác ịnh ược ó là honeypot, thì chúng
có thể tiến hành tấn công các hệ thống khác của bạn trong khi vẫn ể nguyên honeypot.
Khi một honeypot ã ược 'lấy dấu vân tay', kẻ tấn công có thể tạo ra các cuộc tấn
công giả mạo ể ánh lạc hướng sự chú ý khỏi việc khai thác thực sự ang ược nhắm mục
tiêu chống lại hệ thống sản xuất của bạn. Họ cũng có thể cung cấp thông tin xấu cho honeypot. lOMoARcPSD| 36067889
Chương I – Tổng quan về hệ thống Honeypots
Tệ hơn nữa, kẻ tấn công thông minh có thể sử dụng honeypot như một cách ể xâm
nhập vào hệ thống của bạn. Đó là lý do tại sao honeypots không bao giờ có thể thay thế
các biện pháp kiểm soát bảo mật thích hợp, chẳng hạn như tường lửa và các hệ thống
phát hiện xâm nhập khác. Vì honeypot có thể óng vai trò như một bệ phóng ể xâm nhập
thêm, hãy ảm bảo rằng tất cả các honeypot ều ược bảo mật tốt. Một 'bức tường mật ong'
có thể cung cấp bảo mật honeypot cơ bản và ngăn chặn các cuộc tấn công nhắm vào
honeypot xâm nhập vào hệ thống trực tiếp của bạn.
Tổng kết lại, rủi ro khi sử dụng Honeypots em lại:
• Honeypot không ược bảo mật tốt có thể bị lợi dụng ể tấn công vào hệ thống
thật của tổ chức, doanh nghiệp.
• Một hệ thống honeypot vẫn có thể bị những kẻ tấn công có kinh nghiệm phát
hiện và làm sai lệch dữ liệu honeypot cần thu thập nhằm ánh lạc hướng.
Nhìn chung, lợi ích của việc sử dụng honeypots lớn hơn nhiều so với rủi ro. Tin tặc
thường ược coi là một mối e dọa vô hình, xa vời - nhưng sử dụng honeypots, bạn có thể
thấy chính xác những gì chúng ang làm, trong thời gian thực và sử dụng thông tin ó ể
ngăn chúng ạt ược những gì chúng muốn. Honeypots hỗ trợ các nhà nghiên cứu hiểu
ược rủi ro trong hệ thống mạng, nhưng chúng không nên ược sử dụng thay cho IDS tiêu chuẩn. 1.7. HONEYNET
1.7.1. Khái niệm Honeynets
Honeynet là hình thức honeypot tương tác cao. Khác với các honeypots, Honeynet là
một hệ thống thật, hoàn toàn giống một mạng làm việc bình thường. Honeynet cung cấp
các hệ thống, ứng dụng, các dịch vụ thật.
Quan trọng nhất khi xây dựng một honeynet chính là honeywall. Honeywall là
gateway ở giữa honeypots và mạng bên ngoài. Nó hoạt ộng ở tầng 2 như là Bridged. Các
luồng dữ liệu khi vào và ra từ honeypots ều phải i qua honeywall.
1.7.2. Các chức năng của Honeynet
a. Điều khiển dữ liệu:
Khi Hacker sử dụng các mã ộc ( như : virus, trojan, spyware, worm,…) ể thâm nhập
vào Hệ thống Honeynet, thì hai công cụ IDS Snort và Firewall Iptable ở trên Honeywall
sẽ thực hiện kiểm soát các hoạt ộng của các loại mã ộc này, cũng như các hành vi mà
Hacker thực hiện trên hệ thống ; ồng thời ưa ra các cảnh báo cho người quản lý hệ thống
biết ể kịp thời sử lý. lOMoARcPSD| 36067889
Chương I – Tổng quan về hệ thống Honeypots
Các luồng dữ liệu khi i vào không bị hạn chế, nhưng khi i ra ngoài thì sẽ bị hạn chế
. Chính vì vậy, mà Hacker sẽ rất khó khăn, thậm trí nếu Hệ thống Honeynet ược Cấu
hình tốt thì Hacker sẽ không thể thu thập ược ầy ủ thông tin về hệ thống của ta, iều này
cũng có nghĩa là Hacker sẽ không thể thâm nhập thành công vào hệ thống mạng. b. Thu nhận dữ liệu
Khi dữ liệu i vào thì honeynet sẽ xem xét và ghi lại tất cả các hoạt ộng có tính phá hoại
và sau ó sẽ phân tích các ộng cơ hoạt ộng của tin tặc. c. Phân tích dữ liệu
Mục ích chính của honey net chính là thu thập thông tin. Khi ã có thông tin thì người
dùng cần phải có khả năng ể phân tích các thông tin này. d. Thu thập dữ liệu
Thu thập dữ liệu từ các honeynets về một nguồn tập trung. Chỉ áp dụng cho các tổ chức
có nhiều honeynets. Đa số các tổ chức chỉ có một honeynet.
1.7.3. Mô hình kiến trúc vật lý
Mô hình kiến trúc Honeynet thế hệ I :
Mô hình Honeynet thế hệ I gồm một mạng riêng biệt ược tạo ra ặt ằng sau một
thiết bị iều khiển truy nhập mạng, thường là tường lửa (Firewall); và bất kỳ luồng
dữ liệu vào ra Honeynet ều phải i qua tường lửa. Honeyney ược bố trí trên một mạng
riêng biệt với vùng mạng sản xuất ể giảm nguy cơ mất an toàn cho hệ thống. lOMoARcPSD| 36067889
Chương I – Tổng quan về hệ thống Honeypots
Hình 1.4 Mô hình Honneynet GEN I
Ở mô hình Honeynet thế hệ I này thì hệ thống tường lửa (Firewall) và Hệ thống phát
hiện xâm nhập ( Instruction Detection System – IDS) là hai hệ thống ộc lập nhau. Đây
chính là sự khác biệt giữa Honeynet I với Honeynet II và Honeynet III. Ở mô hình
Honeynet II và III thì hai hệ thống Firewall và IDS ược kết hợp thành một hệ thống
Gateway duy nhất là Honeywall.
Trong hệ thống Honeynet, Firewall giữ vai trò kiếm soát các luồng dữ liệu ra vào hệ
thống, nhằm chỉ cho Hacker tấn công vào Honeynet và ngăn chặn không cho Hacker tấn
công vào vùng mạng sản xuất hay không cho Hacker biến Honeynet làm công cụ ể tấn
công các Hệ thống mạng bên ngoài. Firewall thực hiện ược nhiệm vụ này là dựa vào các
luật (Rule) ịnh nghĩa sự cho phép (Allow) hoặc không cho phép (Deny ) các truy cập từ
bên ngoài vào hoặc bên trong hệ thống ra.
Mô hình kiến trúc Honeynet II, III
Honeynet thế hệ II ược phát triển vào năm 2002 và Honeynet thế hệ III ược ưa ra vào
cuối năm 2004. Về cơ bản, Honeynet II và Honeynet III có cùng một kiến trúc. Điểm
khác biệt chính là Honeynet III cải tiến việc triển khai và quản lý.
Một thay ổi cơ bản trong kiến trúc của Honeynet II và Honeynet III so với Honeynet
I là sử dụng một thiết bị ơn lẻ iều khiển việc kiểm soát dữ liệu và thu nhận dữ liệu ược
gọi là Honeywall (Honeynet Sensor). lOMoARcPSD| 36067889
Chương I – Tổng quan về hệ thống Honeypots
Honeywall là sự kết chức năng của hai hệ thống tường lửa Firewall và hệ thống phát
hiện xâm nhập IDS của mô hình kiến trúc Honeynet I.. Nhờ vậy chúng ta dễ dàng triển khai và quản lý hơn.
Sự thay ổi trong Honeywall chủ yếu ở module kiểm soát dữ liệu. Honeywall làm việc
ở tầng hai (trong mô hình OSI) như là một thiết bị Bridge. Nhờ sự thay ổi này mà
Honeynet II, Honeynet III ã khiến cho kẻ tấn công khó phát hiện ra là chúng ang tương
tác với Hệ thống “bẫy” Honeynet vì hai ầu card mạng của eth0 (kết nối với mạng bên
ngoài Honeynet – phía hacker) và eth1 (kết nối với Honeynet) ều không có ịa chỉ mạng
IP. Vì vậy, Honeynet hoàn toàn “trong suốt” với Hacker
Hình 1.5 Mô hình kiến trúc Honeyney thế hệ II, III lOMoARcPSD| 36067889
Chương II – Honeypot thông minh
Chương II – Honeypot thông minh 2.1. Giới thiệu
Trên Internet, hầu hết các kẻ tấn công ều nhắm tới thông tin người dùng qua các
trang mạng xã hội. Một trong những cách tấn công phổ biến nhất là Phishing attack
(Man in the Middle) – Tấn công giả mạo
.
Hình 2.1 Phishing attack – Tấn công giả mạo
Phishing là hình thức tấn công mạng bằng việc xây dựng những hệ thống lừa ảo
nhằm ánh cắp các thông tin nhạy cảm, như tên ăng nhập, mật khẩu hay thông
tin về các loại thẻ tín dụng của người dùng. Phishing xuất hiện như một thực thể
áng tin cậy, một trang thông tin iện tử, eBay, Paypal, gmail, hay các ngân hàng
trực tuyến là những mục tiêu hướng ến của hình thức tấn công này.
Honeypot là một công cụ ánh lạc hướng/chuyển hướng các cuộc tấn công từ thông
tin ược bảo mật ến một server giả nhằm ánh lừa kẻ tấn công rằng hắn ã thành công. Tuy
nhiên honeypot vẫn có một số lỗ hổng bảo mật mà kẻ tấn công có thể lợi dụng, một số
công cụ hacker thường dùng ể nhận biết honeypot trong network có thể kể ến như: Shodan, n-map…
2.2. Honeypot thông minh
2.2.1. Ý tưởng
Trong phần này, mục tiêu của nhóm là tạo một mô hình phân tích thông minh ể nâng
cấp các honeypot sẵn có, giúp chúng hoạt ộng tốt hơn.
Luồng hoạt ộng của một Phishing attack xảy ra như sau: lOMoARcPSD| 36067889
Chương II – Honeypot thông minh
Hình 2.2 Luồng hoạt ộng của Phishing attack
hình phân tích của AI Honeypot:
Hình 2.3 Mô hình phân tích AI Honeypot
2.2.2. Client Honeypot tương tác thấp
Tất cả các URL ều sẽ ược ưa vào Client Honeypot tương tác thấp. Tại ây Honeypot
sẽ dùng phương pháp Heuristic ể nhận dạng mã ộc hại trong ường link bằng cách ọc mã nguồn.
Heuristic là một bộ quy tắc ược ặt ra ể chống lại một số các phần mềm cụ thể, dùng
ể nhận dạng các hành vi ộc hại/nguy hiểm mà không cần phải xác ịnh ược chính xác phần mềm có hành vi ó. lOMoARcPSD| 36067889
Chương II – Honeypot thông minh
Phương pháp Heuristic dùng bởi một phần mềm antimalware bao gồm các quy tắc sau chống các phần mềm:
• Phần mềm có hành vi copy chính nó vào phần mềm khác (nói cách khác, virus máy tính).
• Phần mềm có hành vi viết trực tiếp lên ổ ĩa.
• Phần mềm có hành vi tồn lại trong bộ nhớ kể cả sau khi ã hoàn thành thực thi.
• Phần mềm giải mã (decrypt) chính nó khi thực thi (một phương pháp malware
thường dùng ể qua mắt quét signature).
• Phần mềm có hành vi bắt port TCP/IP và nghe một kết nối mạng (bot/drones/zombies).
• Phần mềm có hành vi [copy, delete, modify, rename, replace…] file hệ thống.
• Phần mềm tương ồng với các phần mềm ộc hại khác.
2.2.3. Client Honeypot tương tác cao
Thay vì iều hướng ường link ến server giả, ường link ược chuyển tiếp ến Client
Honeypot tương tác cao ể nhận dạng loại code/script ộc hại ược sử dụng. Client
Honeypot tương tác cao hoạt ộng như sau:
• Các file log (từ các công cụ như wireshark) sẽ ược dùng ể thực hiện phương
pháp K-means Clustering ể phân loại các hành vi khác nhau vào các nhóm
riêng biệt ể phân tích iểm tương ồng giữa tất cả các mã ộc hại.
• Dựa trên kết quả phân tích, tạo ra log riêng của chính nó ể tạo signature mới.
Các signature này sẽ ược dùng trong những lần tấn công tiếp theo.
Hình 2.4 K-means Clustering 2.3. Kết luận
Mô hình sẽ ược chạy lặp lại liên tục trong mạng, qua ó có tính tự cải tiến bằng cách
log các hành vi ộc hại mới và dùng nó làm signature ể xác ịnh mã/script tấn công mới trong tương lai. lOMoAR cPSD| 36067889
Chương II – Honeypot thông minh lOMoARcPSD| 36067889 Kết luận
Qua bài tiểu luận này, người ọc nắm bắt khái niệm cũng như nguyên lý hoạt ộng hệ
thống Honeypots. Đồng thời, kết hợp công nghệ AI với Honeypots nhằm cải thiện hệ
thống bảo mật, cụ thể là phòng chống tấn công giả mạo.
Trong hệ thống bảo mật, lớp lá chắn bảo mật luôn phải ược cập nhật và i trước
những kẻ xâm nhập. Hiện nay, các cuộc tấn công mạng ang dần trở nên tinh vi hơn, sử
dụng công nghệ AI kết hợp hệ thống bảo mật ang vấn ề áng ược quan tâm. Tuy nhiên,
công nghệ AI cũng tồn tại iểm yếu, các kẻ tấn công có thể lợi dụng ngược lại tìm ược
lỗ hổng và tấn công hệ thống. lOMoARcPSD| 36067889
Tài liệu tham khảo Tài liệu tiếng anh [1]
Giáo trình “Cetified Ethical Hacker” (CEH). Tài liệu internet [2]
quantrimang.com [3] whitehat.vn [4] forum.vnpro.org [5] blogs.umass.edu [6] manthang.wordpress.com [7] github.com