Đồ án Năng lượng gió đi sâu tìm hiểu điểm công suất cực đại cho tuabin gió
De_tai_Blockchain.pptx
1. Bộ Tư Lệnh 86
Viện 10
Báo cáo đề tài
Nghiên cứu, ứng dụng công nghệ Blockchain lưu trữ bảo mật
Window Event Log hỗ trợ điều tra số
Chủ nhiệm đề tài:
1// Vũ Quang Minh
Hà Nội, 2022
2. Nội dung báo cáo
1. Tính cấp thiết
2. Mục tiêu
3. Nội dung thực hiện
4. Kết quả dự kiến
5. Khả năng ứng dụng
3. Tính cấp thiết
- Tội phạm mạng gia tăng
- Hacker luôn tìm cách xóa dấu vết
- Khó khăn trong việc điều tra số
4. Tính cấp thiết
Event Viewer, có sẵn trên hệ điều hành Window, lưu lại Window Logs:
- Application
- Security
- Setup
- System
- Forwarded Events
- Tiện dụng, tích hợp sẵn trên HĐH Window
- Hỗ trợ đắc lực cho quá trình phân tích,
điều tra, khắc phục sự cố
- Dễ dàng xóa log nên cần lưu trữ bảo mật,
kịp thời
5. Tính cấp thiết
- Lưu trữ dữ liệu tập trung
- Không có sẵn trên Window (cần cài đặt thêm , trả
phí…)
- Chưa có công cụ hỗ trợ lưu trữ bảo mật Window
Log
Phù hợp cho việc lưu trữ bảo mật
Window Event Log
Lưu trữ bảo mật Window
Event Log sử dụng công nghệ
Blockchain là cấp thiết!
• ELK Stack
• vMonitor Log
• digiLogs
6. Mục tiêu
- Nghiên cứu, xây dựng mô hình mạng Blockchain lưu trữ bảo mật và
quản lý các file log của hệ điều hành Window.
+ Đảm bảo lưu trữ bảo mật Window Log, chống xóa, sửa dữ liệu;
+ Quản lý các file Window Logs, đảm bảo khả năng khôi phục, truy
vấn khi cần.
7. Nội dung thực hiện
1. Nghiên cứu, khảo sát các mô hình, hệ thống lưu trữ, phân tích và quản lý log trong nước và trên thế giới
1.1. Khảo sát, đánh giá các phần mềm, ứng dụng lưu trữ, quản lý log (ELK Stack, vMonitor, Solarwind Log,
Splunk, InsightOps…)
1.2. Nghiên cứu tài liệu, tìm hiểu các mô hình hệ thống lưu trữ, quản lý log ứng dụng công nghệ Blockchain.
1.3. Nghiên cứu, khảo sát về Window Event Viewer (cách thức lưu trữ, vị trí, các loại log lưu trữ…).
2. Nghiên cứu, xây dựng mô hình hệ thống mạng Blockchain lưu trữ Window Event Log
2.1. Nghiên cứu, lựa chọn và cài đặt mô hình mạng Blockchain phù hợp.
2.2. Cấu hình mạng Blockchain để tự động lưu trữ log.
2.3. Xây dựng tool thu thập, đẩy Window Event Log lên mạng Blockchain.
2.4. Phân loại log theo địa chỉ MAC…
2.5. Phân tích file log thành các trường lưu trữ trong CSDL.
2.6. Thiết kế, xây dựng giao diện quản lý log.
3. Xây dựng tài liệu báo cáo tổng kết kết quả nghiên cứu đề tài
9. Kết quả dự kiến
1. Mô hình hệ thống lưu trữ và quản lý Window log ứng dụng công
nghệ Blockchain.
2. Tài liệu nghiên cứu, báo cáo kết quả thực hiện đề tài.
3. Bài báo khoa học
10. Khả năng ứng dụng, hướng phát triển
1. Ứng dụng trong hỗ trợ công tác điều tra số
- Hỗ trợ công tác kiểm tra ATTT, thu thập Window Logs;
- Bảo lưu Window Log, hỗ trợ quá trình phân tích mã độc, phân tích
hành vi hacker.
2. Có thể mở rộng, phát triển lưu trữ các loại log khác (Web,
App…) hoặc chứng cứ số khác như mẫu mã độc, thông tin thu
thập từ mục tiêu…
3. Sử dụng riêng lẻ hoặc phát triển để phối hợp lưu trữ, chuyển
giao log, tích hợp với các công cụ phân tích log, kiểm tra ATTT,
phân tích mã độc.
* TẦM QUAN TRỌNG CỦA CHỨNG CỨ SỐ
- Như chúng ta đã biết, hiện nay với sự phát triển bùng nổ của mạng Internet và CNTT trên toàn cầu, số lượng các cuộc tấn công mạng không ngừng tăng lên với nhiều hình thức tấn công đa dạng như Ddos, Phishing, cài cắm MĐ…Chứng cứ số, đóng vai trò vô cùng quan trọng trong việc điều tra, phân tích hành vi của hacker, PTMĐ, tìm hiểu nguyên nhân, khắc phục sự cố… Một trong các chứng cứ số quan trọng là các dữ liệu log hệ thống, phục vụ hiệu quả cho quá trình điều tra số. Và tất nhiên, các hacker luôn tìm cách xóa bỏ log để che dấu nguồn gốc, hành vi của mình. Từ đó gây ra rất nhiều khó khăn trong công tác điều tra số, khắc phục sự cố….
*GIỚI THIỆU VỀ EVENT VIEWER
Trên các phiên bản của HĐH Window gần đây có tích hợp sẵn 1 công cụ giúp ghi lại nhật ký hệ thống, đó là Event Viewer. Nhật ký của Windows, toàn bộ các sự kiện tác động vào hệ thống như đăng nhập đăng xuất, remote desktop, bật tắt máy, cài đặt service... sẽ được ghi lại.
Event Log có 3 phần chínhWindows Logs: Là phần quan trọng nhất, phục vụ chủ yếu cho điều tra.
Application: Nơi lưu nhật ký các chương trình, phần mềm cài trên máy
Security: Nơi lưu nhật ký liên quan đến bảo mật của máy tính. Như đăng nhập đăng xuất, bật tắt máy...
System: Nơi lưu nhật ký liên quan đến tác động vào hệ thống file của Windows. Như cài đặt, bật tắt service…
Setup: Nơi lưu lại nhật ký cài đặt các bản vá của Windows.
Forwarded events: Nơi lưu nhật ký liên quan đến các máy tính khác trong mạng tác động tới máy tính của bạn.
Application and Services Logs: Nơi lưu lại nhật ký liên quan đến các chương trình, phần mềm của Windows hoặc của các chương, trình phần mềm đăng ký với Windows để ghi lại nhật ký.
Event Log trên Windows thì nó là nơi mà những hoạt động trên máy tính được lưu lại, ví dụ như ai đăng nhập vào máy, đăng nhập thời gian nào, đang chạy tiến trình gì, kết nối đi đâu,…đều được lưu lại. Đây cũng là những câu hỏi thường gặp trong vấn đề điều tra truy vết
USE BLOCKCHAIN FOR STORING EVENT LOGS
Qua khảo sát 1 số ứng dụng phần mềm, dịch vụ thu thập, quản lý, phân tích log hiện nay như ……, chúng tôi nhận thấy một số điểm còn tồn tại về vấn đề lưu trữ và tính khả dụng như việc thu thập, lưu trữ và quản lý log tập trung, dữ liệu được lưu trữ tập trung nên thiếu an toàn khi hệ thống bị tấn công. Và quan trọng hơn, các phần mềm dịch vụ này đều cần phải cài đặt thêm, phải trả phí, không có sẵn trên HĐH Window. Khi cần điều tra đối với 1 hệ thống hoặc máy tính riêng lè, không phải lúc nào chúng ta cũng sẵn có hoặc được phép cài đặt các công cụ khôi phục, thu thập Log. Lúc này, việc sử dụng công cụ tích hợp sẵn trên HĐH Window sẽ thuận tiện hơn nhiều. Và hiện nay cũng chưa có công cụ giúp hỗ trợ lưu trữ bảo mật WEL.
CN BC hiện nay với những đặc tính như lưu trữ dữ liệu phân tán, phi tập trung, bảo mật mã hóa, tính bất biến và minh bạch của data hoàn toàn phù hợp cho việc lưu trữ WEL, đòi hỏi về tính bảo mật, toàn vẹn, bất biến của dữ liệu. Vì vậy, nhóm thực hiện đề tài nhận thấy đây là vấn đề cấp thiết và đề xuất nc, ứng dụng cn BC lưu trữ bao mật WEL.
Ý TƯỞNG CỦA ĐỀ TÀI
Trên hình là minh họa cho mạng Blockchain, mỗi máy tính tham gia mạng BC là 1 node. Khi hacker tấn công, xâm nhập vào 1 node. Window log tại node đó ghi lại các sự kiện tác động lên hệ thống. Việc Window log update các sự kiện được coi như 1 giao dịch (transaction) trong mạng Blockchain. Lúc này, 1 khối đại diện cho giao dịch được tạo ra. Sau đó, bản ghi của giao dịch được gửi đến mọi nút mạng trong mạng BC. Khi giao dịch được xác thực và đồng ý giữa các nút, thông qua cơ chế đồng thuận, nút mạng sẽ xác thực giao dịch và giao dịch (bản ghi của Window log) sẽ được thêm vào choỗi BC hiện có. Bất kỳ bản cập nhật nào cũng được phân phối trên toàn mạng BC. Vì vậy, khi hacker xóa Window log trên node bị tấn công, thì bản ghi của log đã và vẫn tồn tại trên mạng BC, để khi các nhà điều tra, phân tích cần thi có thể truy vấn vào mạng BC, trích xuất để kiểm tra, phân tích log.