Tweet
⚡ Network Baseline – Bí quyết phát hiện tấn công nhanh hơn trong 2025
Muốn phát hiện bất thường, trước tiên chúng ta phải biết “bình thường” trông như thế nào.
Đó chính là lý do Network Baseline trở thành kỹ năng bắt buộc trong SOC, vận hành hệ thống và an ninh mạng.
🔍 Network Baseline là gì?
Đó là việc thu thập và ghi nhận mẫu lưu lượng mạng chuẩn trong trạng thái hệ thống hoạt động bình thường:
Khi có baseline, chỉ cần một điểm bất thường nhỏ — SOC sẽ thấy ngay.
🎯 1. Lưu lượng “chuẩn” thường gặp trong doanh nghiệp
Đây là những traffic gần như hệ thống nào cũng có:
Lưu lượng này lặp lại liên tục, ổn định, không tăng đột biến.
🚨 2. Dấu hiệu bất thường khi so với baseline
Khi ransomware, malware hoặc hacker xâm nhập, lưu lượng thay đổi ngay lập tức. Một số ví dụ SOC phát hiện thường xuyên: ❗ Lưu lượng tăng bất thường
Chỉ cần baseline tốt → SOC biết khác lạ ngay trong 1–5 phút đầu.
🛠 3. Công cụ hỗ trợ xây dựng và giám sát baseline
🧪 4. Gợi ý Lab thực hành (dễ – phù hợp mọi đối tượng IT)
Bước 1: Dùng Wireshark ghi lại lưu lượng mạng trong 5 phút bình thường
→ Lưu thành file baseline.pcap
Bước 2: Chạy 1 script quét mạng (VD: nmap 192.168.1.0/24)
→ Ghi lại tiếp attack-traffic.pcap
Bước 3: So sánh:
Chỉ cần bài lab này là hiểu ngay vì sao baseline quan trọng!
📌 Kết luận
Network Baseline không chỉ là kỹ thuật — nó là “giác quan thứ 6” của SOC.
Không có baseline → phát hiện chậm
Có baseline → chỉ cần 1 dòng lưu lượng lạ là thấy ngay.
Muốn phát hiện bất thường, trước tiên chúng ta phải biết “bình thường” trông như thế nào.
Đó chính là lý do Network Baseline trở thành kỹ năng bắt buộc trong SOC, vận hành hệ thống và an ninh mạng.
🔍 Network Baseline là gì?
Đó là việc thu thập và ghi nhận mẫu lưu lượng mạng chuẩn trong trạng thái hệ thống hoạt động bình thường:
- Ai đang kết nối với ai
- Dịch vụ nào đang chạy
- Lưu lượng trung bình bao nhiêu
- Máy chủ nào thường xuyên gửi/nhận dữ liệu
Khi có baseline, chỉ cần một điểm bất thường nhỏ — SOC sẽ thấy ngay.
🎯 1. Lưu lượng “chuẩn” thường gặp trong doanh nghiệp
Đây là những traffic gần như hệ thống nào cũng có:
- DNS → phân giải tên miền
- HTTP/HTTPS → truy cập web
- SMB → chia sẻ file nội bộ
- ARP → hỏi–đáp địa chỉ MAC trong LAN
Lưu lượng này lặp lại liên tục, ổn định, không tăng đột biến.
🚨 2. Dấu hiệu bất thường khi so với baseline
Khi ransomware, malware hoặc hacker xâm nhập, lưu lượng thay đổi ngay lập tức. Một số ví dụ SOC phát hiện thường xuyên: ❗ Lưu lượng tăng bất thường
- Bỗng dưng nhiều kết nối FTP dù công ty không hề dùng FTP
- HTTP POST tăng vọt vào 2–3 giờ sáng
- Máy nhân viên kết nối đến IP quốc tế không nằm trong whitelist
- Truy cập domain mới tạo (indicator phổ biến liên quan C2)
- Một máy thực hiện scan port hàng loạt
- Tăng traffic SMB đột ngột – dấu hiệu ransomware đang mã hóa file
Chỉ cần baseline tốt → SOC biết khác lạ ngay trong 1–5 phút đầu.
🛠 3. Công cụ hỗ trợ xây dựng và giám sát baseline
| Wireshark | Thu thập gói tin chi tiết, phân tích hành vi |
| Zabbix | Giám sát lưu lượng theo thời gian thực |
| SolarWinds | Theo dõi NetFlow, cảnh báo khi vượt ngưỡng |
| Suricata | IDS/IPS → kết hợp baseline + rule để phát hiện tấn công |
🧪 4. Gợi ý Lab thực hành (dễ – phù hợp mọi đối tượng IT)
Bước 1: Dùng Wireshark ghi lại lưu lượng mạng trong 5 phút bình thường
→ Lưu thành file baseline.pcap
Bước 2: Chạy 1 script quét mạng (VD: nmap 192.168.1.0/24)
→ Ghi lại tiếp attack-traffic.pcap
Bước 3: So sánh:
- Baseline: chỉ vài gói DNS, HTTP
- Attack: hàng trăm packet SYN, ARP request, port scan
Chỉ cần bài lab này là hiểu ngay vì sao baseline quan trọng!
📌 Kết luận
Network Baseline không chỉ là kỹ thuật — nó là “giác quan thứ 6” của SOC.
Không có baseline → phát hiện chậm
Có baseline → chỉ cần 1 dòng lưu lượng lạ là thấy ngay.