Nghiên cứu, xây dựng mô hình giám sát hoạt động và an toàn hệ thống mạng cho các trường đại học sử dụng nguồn mở

 tình trạng xấu như hệ 
thống mail của trường khi gửi mail đến các hệ thống 
mail khác có thể bị chặn lại hoặc bị đẩy vào hòm 
thư rác, làm gián đoạn việc trao đổi thông tin liên 
lạc. Những hiện tượng như trên sẽ gây ảnh hưởng 
lớn, đôi khi là khá nghiêm trọng, đến các hoạt động 
quản lý điều hành trong trường và hoạt động trao 
đổi thông tin chuyên môn của giảng viên và các nhà 
nghiên cứu của trường với các đối tác bên ngoài.
Hình 2. Virus tống tiền (Ransomware)
ISSN 2354-0575
Journal of Science and Technology40 Khoa học & Công nghệ - Số 9/Tháng 3 - 2016
- Server website của các Khoa, viện bị chiếm 
quyền điều khiển từ đó kẻ tấn công sẽ phát tán virus 
dựa trên các truy cập đến server đó. Các nguồn lây 
từ virus có thể chiếm đoạt thông tin của người dùng, 
lợi dụng các máy tính bị nhiễm virus đi tấn công các 
server khác trên hệ thống mạng Internet. Các virus 
đó cũng có khả năng mã hóa các file tài liệu trên 
máy tính của người dùng (word, excel ).
Có thể thấy những vấn đề trên không phải 
của riêng mạng BKNET mà nó là phổ biến cho các 
mạng campus của các trường đại học lớn và có lịch 
sử phát triển hệ thống mạng qua nhiều giai đoạn 
lịch sử mà thiếu tính đồng bộ về trang thiết bị công 
nghệ. Điểm yếu của các hệ thống mạng dạng này là 
khó khăn trong quản lý giám sát vì thiếu tính đồng 
bộ để có thể triển khai các hệ thống thiết bị giám sát 
chuyên dụng của các hãng một cách hiệu quả. Bởi 
các thiết bị này chỉ thật sự phát huy hiệu quả khi 
được triển khai trên một hệ thống thiết bị đồng bộ 
do chính hãng này sản xuất, mặt khác giá thành các 
thiết bị này cũng là một vấn đề đối với ngân sách. 
Từ thực tiễn đó đã đặt ra vấn đề cần nghiên 
cứu phát triển một hệ thống quản lý giám sát cho hệ 
thống mạng BKNET nói riêng hay mạng campus 
nói chung. Đảm bảo hệ thống được giám sát chặt 
chẽ theo thời gian thực, phát hiện và phòng ngừa 
ngăn chặn sự tấn công mạng, có khả năng dự báo 
hay phát hiện tắc nghẽn mạng và trợ giúp quản lý 
phân chia tải hợp lý để nâng cao hiệu năng sử dụng 
băng thông. Đồng thời, phát hiện các gián đoạn 
trên hệ thống mạng và đưa ra các chuẩn đoán hợp 
lý giúp các kỹ thuật viên có thể nhanh chóng khắc 
phục, đáp ứng nhu cầu thông tin liên lạc an toán 
nhanh chóng và thông suốt trên toàn hệ thống.
Hiện nay, chưa có một hệ thống phần mền 
quản lý và giám sát mạng nào toàn diện, đáp ứng 
đầy đủ những yêu cầu nói trên. Chúng hoặc chỉ có 
chức năng giám sát mà thiếu chức năng quản lý 
phân chia tài nguyên, phân chia cân bằng tải. Về 
chức năng giám sát thì cũng mạnh yếu trên từng 
khía cạnh chứ không đáp ứng được đầy đủ các yêu 
cầu để triển khai giám sát và ngăn chặn một cách 
phù hợp và hiệu quả trên hệ thống mạng campus ở 
Việt Nam. Từ thực trạng này, dẫn đến nhu cầu cấp 
thiết cần xây dựng và tích hợp một hệ thống giám 
sát mạng toàn diện phù hợp với mạng các trường 
đại học ở Việt Nam, cũng như mạng của BKNET.
2. Đề xuất và xây dựng giải pháp cho hệ thống 
mạng BKNET
Qua quá trình nghiên cứu, chúng tôi nhận thấy 
một hệ thống quản lý giám sát cho mạng campus với 
đặc thù riêng ở Việt nam phải được hình thành trên 
cơ sở tích hợp 2 thành phần hạt nhân: (1) Hệ thống 
giám sát, phân tích, cảnh báo tấn công mạng. Và (2) 
Hệ thống giám sát, quản lý băng thông mạng. 
2.1. Hệ thống giám sát, phân tích, cảnh báo tấn 
công mạng
Khi các sự kiện nào đó xảy ra trên mạng, 
các thiết bị mạng đã có các cơ chế để thông báo 
cho quản trị viên với những thông báo chi tiết về 
hệ thống. Các thông điệp này có thể là không quan 
trọng hoặc quan trọng. Quản trị viên có nhiều sự 
lựa chọn để lưu trữ, diễn tả, hiển thị các thông báo, 
và được cảnh báo về những thông báo rằng có thể 
có ảnh hưởng lớn nhất về hạ tầng mạng. Phương 
pháp phổ biến nhất để truy cập các thông báo của 
hệ thống thiết bị cung cấp mạng là sử dụng một giao 
thức gọi là syslog.
Syslog là một thuật ngữ dùng để mô tả một 
tiêu chuẩn. Nó cũng được sử dụng để mô tả các giao 
thức được phát triển cho tiêu chuẩn đó. Giao thức 
syslog được phát triển cho các hệ thống UNIX trong 
những năm 1980, nhưng lần đầu tiên được ghi nhận 
như RFC 3164 bởi IETF trong năm 2001. Syslog 
sử dụng cổng UDP 514 để gửi tin nhắn thông báo 
sự kiện qua mạng IP cho người thu gom thông báo, 
như minh họa trong hình [5, 6].
Nhiều thiết bị mạng hỗ trợ syslog, bao gồm: 
routers, switches, application servers, firewalls, và 
các thiết bị mạng khác. Giao thức syslog cho phép 
các thiết bị mạng để gửi tin nhắn hệ thống của họ 
trên mạng đến các máy chủ syslog. Có thể xây dựng 
một (OOB) mạng đặc biệt out-of-band cho mục 
đích này. Có những gói phần mềm máy chủ syslog 
khác nhau cho Windows và UNIX. Nhiều trong số 
đó là phần mềm miễn phí [7, 8].
Dịch vụ ghi syslog cung cấp ba chức năng 
chính: (1) Khả năng thu thập thông tin đăng nhập 
để theo dõi và xử lý sự cố. (2) Khả năng chọn các 
loại thông tin đăng nhập mà bị ghi lại. (3) Khả năng 
xác định những điểm đến của thông điệp syslog bị 
ghi lại.Từ đó hệ thống chúng tôi muốn triển khai tại 
Trường ĐHBK là “Thiết lập hệ thống Log Server 
sử dụng Rsyslog và LogAnalyzer trên mã nguồn 
mở Linux 6.4/6.5”.
Hệ thống này dựa trên thuật ngữ SIEM 
(Security Information and Event Management) 
hay còn gọi là hệ thống bảo mật thông tin và quản 
lý sự kiện là thuật ngữ của dịch vụ và sản phẩm 
phần mềm kết hợp của quản lý thông tin bảo mật 
(SIM) và quản lý sự kiện bảo mật (SEM). Công 
nghệ SIEM cung cấp phân tích thời gian thực tạo 
các cảnh báo về bảo mật bằng phần cứng mạng và 
các ứng dụng. Trong đó hệ thống Log Analyzer là 
hệ thống SEM sẽ thu thập log từ các thiết bị máy 
chủ linux, window dựa vào đó để phân tích và đưa 
ra các cảnh báo cho người quản trị mạng để kịp thời 
khắc phục sự cố và sửa các lỗi về bảo mật nhằm 
nâng cao tính an toàn, ổn định của hệ thống mạng.
ISSN 2354-0575
Khoa học & Công nghệ - Số 9/Tháng 3 - 2016 Journal of Science and Technology 41
2.2. Hệ thống giám sát, quản lý băng thông mạng
Hiện nay, Cacti và Nagios Core là hai giải 
pháp mã nguồn mở hoàn toàn miễn phí với nhiều 
chức năng mạnh mẽ cho phép quản lý băng thông 
kết nối, tình trạng hoạt động của các thiết bị, trạng 
thái của dịch vụ trong hệ thống mạng. Nhiều tính 
năng trên Nagios Core và Cacti còn được đánh giá 
cao hơn các sản phẩm thương mại.
Tuy vậy, trong cả hai phần mềm đều có 
những nhược điểm riêng của mình nhưng khi kết 
hợp cả hai lại sẽ tạo thành một giải pháp mã nguồn 
mở gần như hoàn chỉnh. Chính vì vậy các nhà phát 
triển trên thế giới đã nghiên cứu và ra đời CactiEZ, 
giải pháp mã nguồn mở kết hợp cả hai phần mềm 
Cacti và Nagios Core tạo nên sự hoàn chỉnh cho hệ 
thống quản lý và giám sát mạng [10]. Các hệ thống 
phát hiện thâm nhập hiện nay hoạt động độc lập với 
hệ thống giám sát mạng trong khi hai hệ thống này 
có sự bổ sung cho nhau, là các thành phần chính 
trong quản trị mạng. Việc xây dựng hệ thống phát 
hiện thâm nhập phù hợp với mạng Campus quy mô 
lớn và tích hợp với hệ thống giám sát mạng là nhu 
cầu đang ngày một lớn.
CactiEZ được phát triển và sản xuất bởi 
Jimmy Conner, một nhà phát triển đam mê với 
Cacti và Plugins của nó. CactiEZ khởi đầu là một 
dự án tạo một phần mềm đơn giản để triển khai máy 
chủ Cacti, Nagios một cách nhanh chóng nhất và dễ 
dàng cài đặt. CactiEZ hoàn thành tự động hóa với 
cấu hình tối thiểu cần thiết là mục tiêu chính của dự 
án. Kể từ đó nó đã phát triển về phạm vi và cách sử 
dụng, và đã được sử dụng bởi nhiều công ty có quy 
mô lớn và cả quy mô nhỏ để triển khai các máy chủ 
Cacti [9]. CactiEZ là sự kết hợp của hai hệ thống 
mã nguồn mở tốt nhất là Cacti và Nagios. Phát huy 
tất cả các ưu điểm và bù trừ những nhược điểm cho 
nhau tạo ra một hệ thống quản lý mạng hoàn hảo.
- Lên kế hoạch và cấu hình thiết bị: (1) Xây 
dựng hệ thống giám sát mạng cho mạng với quy mô 
đến tất cả port trên thiết bị. (2) Xây dựng hệ thống 
giám sát hiệu năng của mạng cho phép đo lường các 
tham số hiệu năng như băng thông, CPU, độ sẵn sàng 
của các thiết bị... (3) Xây dựng, phát triển hệ thống 
tương tác, cảnh báo sự cố kịp thời cho người quản 
trị mạng thông qua các con đường như email, SMS.
- Áp dụng thử nghiệm trên một vùng mạng 
nhỏ, đánh giá. Sau đó, áp dụng vào môi trường 
mạng BKNET, thu thập và so sánh các kết quả: (1) 
Ban đầu tiến hành thử nghiệm ngay trên vùng mạng 
của Trung tâm Mạng Thông tin. (2) Sau đó cài đặt 
trên tất cả các thiết bị có thể sử dụng các giao thức 
quản lý như SNMP cho Router/Switch, NRPE cho 
Linux/Unix, NSClient++ cho Windows. (3) Vẽ sơ 
đồ băng thông tổng thể toàn trường ĐHBK Hà Nội.
- Đánh giá chung về hiệu quả với môi trường 
thực tế, từ đó đưa ra phương hướng phát triển trong 
tương lai: (1) Hiệu quả của hệ thống sẽ được đánh 
giá thông qua các số liệu thống kê và so sánh với 
một số hệ thống điển hình khác. (2) Nghiên cứu, 
xây dựng hệ thống tính toán mức độ sử dụng tài 
nguyên mạng của từng người dùng, từng nhóm 
người dùng trong mạng. (3) Nghiên cứu, xây dựng 
hệ thống phát hiện các thâm nhập trái phép.
3. Kết quả đạt được
3.1. Chức năng phân tích, giám sát, cảnh báo tấn 
công mạng
Hình 3. Syslog cho thấy dấu hiệu bị tấn công dò mật khẩu của server
ISSN 2354-0575
Journal of Science and Technology42 Khoa học & Công nghệ - Số 9/Tháng 3 - 2016
Những kết quả đạt được trong quá trình thực 
nghiệm từ hệ thống máy chủ của trường đại học Bách 
khoa là rất khả quan. Hệ thống log đã có thể ghi lại 
những sự kiện xảy ra trên server một cách hiệu quả 
như ngày giờ đăng nhập vào server, các lỗi của hệ 
thống, các tiến trình cơ bản xảy ra trên server, và đưa 
ra các thông báo cảnh bảo về hệ thống rất hiệu quả.
Qua quá trình thực hiện thu thập log của 
các máy chủ linux đã thu thập được các kết quả rất 
tốt dựa vào hệ thống phân tích đã cho ta thấy được 
những kiểu tấn công vào máy chủ tại mạng BKNET 
như là brute force là kiểu tấn công thử password của 
các máy chủ để chiếm quyền điều khiển.
Sau khi phát hiện các dấu hiệu thì Log server 
sẽ đưa ra cảnh bảo bằng cách đưa ra các thống kê 
dựa trên biểu đồ khá chi tiết như Hình 4 dưới đây.
Hình 4. Các report của hệ thống giám sát, cảnh báo tấn công mạng
Từ những dữ liệu thu thập được đã giảm 
thiểu tối đa được các vấn đề về bảo mật được nêu 
ra ở phần trước. Giúp hệ thống được an toàn và vận 
hành ổn định hơn.
3.2. Chức năng giám sát, quản lý băng thông mạng
Hệ thống có khả năng thiết lập SMS, Email 
để gửi cảnh báo đến người quản trị thông qua tin 
nhắn trên thiết bị di động hoặc hòm thư. Hệ thống 
có chức năng tập hợp log, đưa ra thống kê theo 
ngày, tuần, tháng việc sử dụng băng thông của từng 
Port trong hệ thống. Hệ thống chia báo cáo log các 
port có sự thay đổi theo từng giờ mỗi ngày.
Hệ thống với chức năng giám sát việc giao 
tiếp của các địa chỉ IP nội bộ với các IP bên ngoài, 
đưa ra thống kê về mức độ thường xuyên sử dụng 
để kết nối tới đâu. Từ đó người quản trị có thể biết 
được việc sử dụng hệ thống mạng có đúng mục đích 
hay không của người dùng để có thể đưa ra các cảnh 
báo hay ngăn chặn.
4. Kết luận
Nhóm đã nghiên cứu, triển khai thành công 
hệ thống quản lý và giám sát mạng campus, trên cơ 
sở xây dựng và tích hợp một số hệ thống mã nguồn 
mở, tại Trường Đại học Bách Khoa Hà Nội. Hệ 
thống đã và đang được sử dụng để quản lý và giám 
sát các thiết bị Router, Switch, Server của Trường, 
đồng thời theo dõi để phát hiện kịp thời các thiết bị 
treo, hỏng trong phòng máy chủ. Từ đó, giúp đảm 
bảo các công đoạn xử lý, khắc phục sự cố được sớm 
nhất, để không gián đoạn các tới công việc nghiên 
cứu, giảng dạy và học tập của các đơn vị trong toàn 
trường. Mặt khác, việc thống kê sử dụng băng thông 
của các đơn vị trong trường giúp cho người quản trị 
phát hiện băng thông vượt quá cho phép hoặc không 
ổn định. Từ đó, kết hợp với các hệ thống quản trị 
mạng phát hiện ra các máy bị nhiễm mã gửi gói tin 
làm ảnh hưởng đến việc truy cập mạng để có thể 
ngăn chặn và cô lập, đảm bảo an toàn và thông tin 
thông suốt trên toàn hệ thống.
ISSN 2354-0575
Khoa học & Công nghệ - Số 9/Tháng 3 - 2016 Journal of Science and Technology 43
Tài liệu tham khảo
[1]. D Anderson, T Frivold, and A Valdes, Next-generation Intrusion-Detection Expert System 
(NIDES), Technical Report SRI-CSL-95-07, Computer Science Laboratory, SRI International, 
Menlo Park, CA 94025-3493, USA, May 1995.
[2]. Stefan Axelsson, Ulf Lindqvist, Ulf Gustafson, and Erland Jonsson, An Approach to UNIX 
Security Logging, In Proceedings of the 21st National Information Systems Security Conference, 
pages 62–75, Crystal City, Arlington, VA, USA, 5–8 October 1998. NIST - National Institute of 
Standards and Technology/National Computer Security Center.
[3]. Stefan Axelsson, The Base-rate Fallacy and Its Implications for the Difficulty of Intrusion 
Detection, In 6th ACM Conference on Computer and Communications Security, pages 1–7, Kent 
Ridge Digital Labs, Singapore, 1–4 November 1999.
[4]. Herve Debar, Monique Becker, and Didier Siboni, A Neural Network Component for An 
Intrusion Detection System, In Proceedings of the 1992 IEEE Computer Sociecty Symposium on 
Research in Security and Privacy, pages 240–250, Oakland, CA, USA, May 1992. IEEE, IEEE 
Computer Society Press, Los Alamitos, CA, USA.
[5]. The syslog-ng Open Source Edition 3.5 Administrator Guide, Copyright © 1996-2014 BalaBit 
S.a.r.l. (file:///C:/Users/Administrator/Downloads/syslog-ng-ose-v3.5-guide-admin.pdf).
[6]. Extracting Useful Information from Log Messages 
file:///C:/Users/Administrator/Downloads/BSD_12_2011%20%20BalaBit_single_article.pdf)
[7]. Nagios Core Administration Cookbook, Tom Ryder.
[8]. Learning Nagios 4, Wojciech Kocjan.
[9]. The Cacti Manual, Ian Berry, Tony Roman, Larry Adams, J.P.Pasnak, Jimmy Conner, Reinhard 
Scheck, Andreas Braun.
[10]. Cacti 0.8 Beginner’s Guide, Thomas Urban.
RESEARCHING, BUILDING NETWORK ACTIVITIES AND SECURITY MONITORING 
SYSTEM FOR UNIVERSITIES BASE ON OPEN SOURCE
Abstract:
About 5 years recently, computer networks of universities in Vietnam, where in Bach khoa Network 
has developed strongly in scale and plays a more and more important role in such activities as exchanging 
information, doing research in universities. However, due to the features of economics and history, campus 
networks are usually inconsistent, i.e. the equipment is added up gradually with many types from different 
companies. As a result, the performance of the networks has been limited; their operations, controlling the 
systems have met many difficulties because of the inconsistency of the equipment. Currently, there have not 
been any researches, evaluation, and solutions to optimize the using performance of the systems which are 
suitable with the characteristics of these networks. Thence, we did a proposal research and built solutions 
applicable for campus networks.
Keywords: CactiEZ, Security, IDS, SNMP, Rsyslog.