Luận án phát hiện tấn công web sử dụng web log - Nguyễn Trọng Hưng

Web log ghi lại mọi yêu cầu HTTP đến máy chủ. Mỗi dòng log chứa thông tin về địa chỉ IP, thời gian, phương thức HTTP, URL và mã trạng thái. Dữ liệu này vô cùng giá trị cho phân tích bảo mật.

Các định dạng log phổ biến bao gồm Common Log Format và Combined Log Format. Apache, Nginx, IIS đều tạo ra web log với cấu trúc tương tự. Log analysis tools phân tích hàng triệu bản ghi mỗi ngày. Security monitoring dựa vào log để phát hiện các mẫu tấn công đã biết.

SQL injection là kỹ thuật chèn mã SQL độc hại vào input. Kẻ tấn công khai thác lỗ hổng để truy cập trái phép cơ sở dữ liệu. XSS cross-site scripting cho phép thực thi JavaScript trên trình duyệt nạn nhân. CSRF attack lợi dụng phiên đăng nhập hợp lệ để thực hiện hành động trái phép.

Web application firewall lọc các request nguy hiểm dựa trên signature. Tuy nhiên, các cuộc tấn công zero-day vượt qua được WAF truyền thống. Intrusion detection system cần kết hợp nhiều phương pháp để phát hiện đầy đủ.

Thuật toán học máy phân loại traffic bình thường và bất thường. Cây quyết định và rừng ngẫu nhiên cho độ chính xác cao. Mô hình được huấn luyện trên tập dữ liệu lớn chứa cả tấn công và traffic hợp lệ.

Anomaly detection phát hiện các hành vi lệch khỏi baseline. SIEM tích hợp kết quả từ nhiều mô hình học máy. Log analysis tự động giảm thiểu công sức thủ công. Security monitoring real-time cảnh báo ngay khi phát hiện mối đe dọa.

Defacement attack thay đổi toàn bộ nội dung trang chủ. Kẻ tấn công khai thác lỗ hổng để upload file độc hại hoặc sửa đổi database. Phishing tạo trang giả mạo để đánh cắp thông tin đăng nhập.

Web log không ghi lại được thay đổi về mặt hiển thị. Security monitoring truyền thống bỏ sót loại tấn công này. Screenshot analysis định kỳ chụp màn hình để so sánh. Anomaly detection phát hiện sự khác biệt về layout, màu sắc, nội dung văn bản.

Thu thập screenshot tự động theo lịch trình định sẵn. Tiền xử lý ảnh bao gồm resize, normalize và augmentation. Mô hình CNN trích xuất feature vector từ mỗi ảnh.

So sánh similarity score giữa ảnh hiện tại và baseline. Threshold được thiết lập để phân biệt thay đổi bình thường và bất thường. Log analysis kết hợp với screenshot analysis tăng độ tin cậy. SIEM tổng hợp cảnh báo từ cả hai nguồn.

Phân tích văn bản trích xuất từ HTML source code. Natural Language Processing phát hiện thay đổi về ngữ nghĩa. Screenshot analysis phát hiện thay đổi về mặt trực quan.

Mô hình kết hợp cho độ chính xác cao hơn từng phương pháp riêng lẻ. Feature fusion tích hợp đặc trưng từ cả text và image. Intrusion detection system đa phương thức phát hiện toàn diện hơn. Security monitoring hiệu quả với nhiều lớp phòng thủ.

Web application firewall kiểm tra mọi HTTP request trước khi đến ứng dụng. Rule-based filtering chặn các payload độc hại đã biết. Virtual patching bảo vệ lỗ hổng chưa được vá.

WAF chống SQL injection bằng cách kiểm tra input validation. XSS cross-site scripting bị phát hiện qua pattern matching. CSRF attack được ngăn chặn bởi token verification. Security monitoring qua WAF dashboard cung cấp visibility về traffic.

IDS phân tích network traffic để tìm signature của tấn công. Signature-based detection hiệu quả với các mối đe dọa đã biết. Anomaly detection phát hiện hành vi lệch khỏi baseline bình thường.

IPS kết hợp khả năng phát hiện và chặn tự động. Inline deployment cho phép block traffic nguy hiểm real-time. Log analysis từ IDS/IPS cung cấp thông tin chi tiết về tấn công. SIEM tích hợp alerts từ nhiều IDS sensors.

SIEM thu thập log từ WAF, IDS, firewall, web server và nhiều nguồn khác. Correlation engine phân tích mối liên hệ giữa các sự kiện. Real-time alerting cảnh báo ngay khi phát hiện mối đe dọa.

Log analysis tự động phân loại và ưu tiên các cảnh báo. Security monitoring dashboard hiển thị trực quan tình hình bảo mật. Anomaly detection machine learning cải thiện độ chính xác. Forensic analysis hỗ trợ điều tra sau sự cố.

Access log ghi lại IP address, timestamp, HTTP method, URL path, status code. Error log chứa thông tin về lỗi ứng dụng và server. Combined Log Format bao gồm thêm user agent và referrer.

Mỗi trường dữ liệu cung cấp thông tin hữu ích cho security monitoring. IP address giúp theo dõi nguồn tấn công. URL path và query string chứa payload của SQL injection hoặc XSS. Status code cho biết kết quả của request. Log analysis tools parse các trường này để phân tích.

Parsing chuyển đổi raw log thành structured data. Regular expressions trích xuất các trường cần thiết. Normalization chuẩn hóa format từ nhiều nguồn khác nhau.

Feature engineering tạo ra các thuộc tính mới cho machine learning. URL length, number of parameters, special characters count là các feature quan trọng. Tokenization tách URL thành các components. Anomaly detection dựa vào các feature này để phân loại.

Supervised learning phân loại log thành attack và normal traffic. Decision trees, random forests, neural networks là các thuật toán phổ biến. Training data cần chứa cả benign và malicious samples.

Unsupervised learning phát hiện anomaly không cần labeled data. Clustering nhóm các request tương tự nhau. Outlier detection xác định các request bất thường. SIEM tích hợp các mô hình này để tăng độ chính xác phát hiện.

Statistical-based methods sử dụng threshold trên các metrics. Request rate vượt quá 3 standard deviations được coi là bất thường. Distribution-based methods so sánh với expected distribution.

Machine learning approaches học normal behavior từ training data. Autoencoders reconstruct normal traffic với low error. High reconstruction error indicates anomaly. Isolation Forest phân lập outliers hiệu quả. Security monitoring sử dụng ensemble của nhiều methods.

Baseline được thiết lập từ historical data trong giai đoạn bình thường. Traffic patterns thay đổi theo giờ trong ngày, ngày trong tuần. Adaptive learning cập nhật baseline theo thời gian.

Concept drift xảy ra khi user behavior thay đổi dần. Model retraining định kỳ để duy trì accuracy. Anomaly detection cần balance giữa sensitivity và false positive rate. SIEM cho phép tuning threshold dựa trên risk tolerance.

SQL injection tạo ra unusual patterns trong URL parameters. XSS cross-site scripting chứa JavaScript code trong input fields. CSRF attack có referrer không khớp với expected domain.

Anomaly detection phát hiện brute force qua spike trong failed login attempts. DDoS attacks tạo sudden increase trong request volume. Web application firewall sử dụng anomaly scores để quyết định block. Log analysis kết hợp với anomaly detection nâng cao detection rate.

Log collectors thu thập dữ liệu từ distributed sources. Agents được cài đặt trên web servers, application servers. Syslog protocol truyền log đến central SIEM.

Data pipeline xử lý và enrich log data. Parsing extracts structured information. Geo-IP lookup adds location context. Threat intelligence enrichment tags known malicious IPs. Security monitoring dashboard displays processed data real-time.

Alert rules định nghĩa conditions kích hoạt notifications. Severity levels prioritize alerts dựa trên impact. Alert aggregation giảm alert fatigue từ duplicate events.

Incident response workflows orchestrate các bước xử lý. Automated blocking qua web application firewall cho high-severity threats. Ticket creation trong ITSM system để track resolution. Log analysis hỗ trợ investigation và forensics.

Key Performance Indicators đo lường hiệu quả security monitoring. Mean Time To Detect (MTTD) và Mean Time To Respond (MTTR) là metrics quan trọng. Attack volume trends cho thấy threat landscape.

Compliance reporting chứng minh adherence với security standards. Intrusion detection system effectiveness qua detection rate và false positive rate. Anomaly detection accuracy cải thiện qua tuning. SIEM dashboards cung cấp executive-level visibility.