HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG BÙI ĐIỀN PHONG XÂY DỰNG CÔNG CỤ PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH Chun ngành: Hệ thống thơng tin Mã số: 8.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ TPHCM - NĂM 2022 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS NGUYỄN ĐỨC THÁI Phản biện 1: ………………………………………………… Phản biện 2: ………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng PHẦN MỞ ĐẦU Lý chọn đề tài Tên đề tài: Xây dựng công cụ phát xâm nhập mạng máy tính Năm 1986 mạng NSFnet thức thiết lập, kết nối năm trung tâm máy tính Đây năm có bùng nổ kết nối, đặc biệt trường đại học Như NSF ARPANET song song tồn theo giao thức, có kết nối với Năm 1990, với tư cách dự án ARPANET dừng hoạt động mạng NSF ARPANET tạo sử dụng vào mục đích dân dụng, tiền thân mạng Internet ngày Đến lúc đối tượng sử dụng Internet chủ yếu nhà nghiên cứu dịch vụ phổ biến email FTP Internet phương tiện đại chúng Ngày Internet gần sử dụng phổ biến lúc nơi, khơng máy tính cịn sử dụng đại đa số di dộng thông minh kể Y học Mọi hồ sơ sau khám, chữa bệnh phải đưa lên cổng thông tuyến Bảo hiểm Xã hội Việt Nam, Bộ Y tế Vì vậy, an ninh mạng vấn đề lớn quan trọng cho người quản trị để đảm bảo an ninh mơi trường làm việc họ Có thể nói tổn thất cho người dùng không lớn không quan trọng với họ, doanh nghiệp, tổ chức lớn tổn thất lên tới hàng triệu la quan tổ chức, nhà nước bị lộ thơng tin bí mật nhà nước Hàng loạt cơng nhắm vào thứ liệu cá nhân tổ chức, tài khoản ngân hàng, phần mềm, tài khoản người dùng, mạng cục bộ, … Đó lý công cụ bảo mật phát triển ngày nhiều để đáp ứng dạng phần mềm nguy hiểm, phần mềm độc hại tin tặc ngày Bảo mật thơng tin hay an tồn an ninh mạng yếu tố đuợc quan tâm hàng đầu doanh nghiệp Ðã có doanh nghiệp thực việc thuê đối tác thứ với việc chuyên bảo mật hệ thống mạng bảo mật thông tin cho đơn vị mình, có doanh nghiệp đưa kế hoạch tính tốn chi phí cho việc mua sản phẩm phần cứng phần mềm để nhằm đáp ứng việc đảm bảo an toàn liệu đơn vị Tuy nhiên giải pháp quan doanh nghiệp phải thực cân đối sách tài năm với mục đích cho giải pháp an tồn tối ưu có đuợc chi phí rẻ đảm bảo việc trao đổi thơng tin an tồn, bảo vệ thơng tin đơn vị truớc mối nguy công tội phạm công nghệ Do đề tài “Xây dựng cơng cụ phát xâm nhập mạng máy tính” phát triển nhằm giúp phần yêu cầu quan, tổ chức, doanh nghiệp đảm bảo an tồn thơng tin bảo mật hệ thống mạng đơn vị Luận văn nghiên cứu phương pháp phát phịng chống xâm nhập mạng máy tính xây dựng cơng cụ phát xâm nhập mạng máy tính Mục đích đề tài nhằm nhằm xây dựng hệ thống phát xâm nhập phòng chống công từ internet áp dụng giải pháp vào thực tiễn công việc Trung tâm Y tế huyện Gò Dầu Tổng quan vấn đề nghiên cứu Xây dựng hệ thống phát xâm nhập theo thời gian thực Thêm vào đó, hệ thống có chức nhận dạng phân tích xâm nhập trái phép vào hệ thống Sau thu kết tổng hợp kết xuất liệu báo cáo file để tổng hợp Viết báo cáo tổng kết luận văn Mục đích nghiên cứu Tập trung nghiên cứu loại xâm nhập mạng, phân tích phân loại thành mức độ nguy hiểm khác Nghiên cứu chế hoạt động hệ thống chống xâm nhập mạng, từ đưa tiếp thu đưa giải pháp phù hợp việc xây dựng hệ thống Nghiên cứu công cụ hỗ trợ phân tích luồng thơng tin vào mạng máy tính kết hợp với thuật tốn phân lớp phân cụm để theo dõi truy vết dấu hiệu hợp pháp bất hợp pháp, sau gửi tính hiệu cảnh báo cho quản trị mạng biết dấu hiệu xâm nhập trái phép Đối tượng phạm vi nghiên cứu Đề tài nghiên cứu đưa cách nhìn tổng quan hệ thống phát xâm nhập mạng máy tính, phương thức công mạng giải pháp bảo mật hệ thống mạng Bên cạnh xây dựng hệ thống giám sát cảnh báo email đến quản trị viên, giúp cho việc quản trị hệ thống mạng trở nên động an toàn Đề tài ứng dụng Trung tâm Y tế huyện Gị Dầu học viên mở rộng tồn ngành nơi mà học viên cơng tác đáp ứng nhu cầu quan Phương pháp nghiên cứu Tìm hiểu cách thức xâm nhập trái phép mạng máy tính Nghiên cứu lý thuyết khả cơng mạng Phân tích khả phát xâm nhập phòng chống cơng Nghiên cứu thuật tốn, đặt biệt thuật toán Support Vector Machine (SVM), Decision Tree (DT), K Nearest Neighbor để phát xâm nhập trái phép Nghiên cứu ứng dụng sử dụng để phát xâm nhập trái phép Tiến hành hệ thống thử nghiệm Bố cục luận văn Ngoài phần mở đầu, mục lục, kết luận tài liệu tham khảo, nội dung luận án chia thành chương, cụ thể sau: Chương Tổng quan phương pháp phát phòng chống xâm nhập mạng Chương Các cơng trình liên quan Chương Hệ thống phát phòng chống xâm nhập mạng Chương Xây dựng triển khai hệ thống phát xâm nhập mạng dựa vào học máy cho hệ thống mạng trung tâm y tế huyện Gò Dầu PHẦN NỘI DUNG CHƯƠNG TỔNG QUAN CÁC PHƯƠNG PHÁP PHÁT HIỆN VÀ PHÒNG CHỐNG XÂM NHẬP MẠNG Tổng quan đề tài Phát xâm nhập tập hợp kỹ thuật phương pháp dùng để dò tìm hoạt động đáng nghi ngờ mạng Một hệ thống phát xâm nhập định nghĩa tập hợp công cụ, phương thức, tài nguyên giúp người quản trị xác định, đánh giá, báo cáo hoạt động không phép mạng Phát xâm nhập xem tiến trình định người không xác thực cố gắng để xâm nhập hệ thống mạng trái phép Hệ thống phát xâm nhập kiểm tra tất gói tin qua hệ thống định gói tin có vấn đề khả nghi hay khơng Hệ thống phát xâm nhập đuợc trang bị hàng triệu tình để nhận dạng cơng đuợc cập nhật thường xuyên Chúng thực quan trọng lựa chọn hàng đầu để phòng thủ việc phát phòng chống xâm nhập mạng Việc nghiên cứu xây dựng hệ thống phát phòng chống xâm nhập (IDS/IPS) phát triển mạnh phát triển mạnh mẽ thời gian tới Các sản phẩm thương mại thị trường có chi phí lớn, vượt khả đầu tư nhiều doanh nghiệp Bên cạnh đó, nghiên cứu mã nguồn mở đầu tư nghiên cứu triển khai Có nhiều đề tài nước nghiên cứu liên quan đến IDS/IPS mã nguồn mở chủ yếu tập trung vào Snort Nhìn chung chưa áp dụng rộng rãi, tồn nhiều hạn chế như: chương trình mã nguồn mở nên hầu hết khơng có giao diện thân thiện; thành phần báo động không tích hợp sẵn, có qua giao diện console, qua giao diện Web chưa tạo linh động tiện dụng cho người quản trị mạng; phần mềm mang tính đơn lẻ (chỉ tập trung nghiên cứu Snort) nhu cầu tích hợp nhiều tính giám sát khác để nâng cao hiệu sử dụng chưa trọng phát triển Hơn nữa, dấu hiệu kiểu công ngày tinh vi phức tạp đòi hỏi hệ thống phát phòng chống xâm nhập (IDS/IPS) phải thường xuyên cập nhật dấu hiệu Người quản trị mạng cịn dựa vào phân tích khác dấu hiệu bất thường lưu lượng vào hệ thống, hoạt động CPU, RAM để có phản ứng kịp thời Bên cạnh đó, hệ thống báo động cần triển khai mang tính chất đa dạng nhiều hình thức, linh động, tiện dụng thực hỗ trợ thiết thực cho người quản trị mạng Các nghiên cứu chứng minh hầu hết hệ thống có đặc điểm chung tính đa dạng thay đổi Việc nghiên cứu triển khai hệ thống giám sát mạng, phát phòng chống xâm nhập với yếu tố: xác, nhanh chóng, trực quan, linh động tiện lợi vấn đề cấp thiết thực tế Phát triển hệ thống giám sát trực quan theo dõi diễn biến mạng lưu lượng vào Server, Switch, … hay hoạt động CPU, nhớ,… giúp người quản trị mạng có phân tích để đưa ứng phó kịp thời Hệ thống phát xâm nhập dựa vào mẫu dấu hiệu công triển khai để giúp phát nhanh công mạng Hệ thống phát kết hợp với tường lửa chống lại Phát bất thường thống kê - DDO thống kê Phát phân tích giao thức trạng thái 1.4 Giải pháp phát phòng chống xâm nhập 1.4.1 Phân chia mạng 1.4.2 Điều chỉnh quyền truy cập Internet qua máy chủ proxy 1.4.3 Đặt thiết bị bảo mật xác 1.4.4 Sử dụng NAT (Network Address Translation) 1.4.5 Giám sát lưu lượng mạng 1.4.6 Sử dụng cơng nghệ “đánh lừa” 1.5 Các thuật tốn học máy hệ thống phát xâm nhập mạng 1.5.1 Decision Tree (DT) 1.5.2 K-Nearest Neighbor (KNN) 1.5.3 Support vector machine 1.5.4 K-mean clustering 1.5.5 Artificial neural network 1.5.6 Ensemble methods 10 CHƯƠNG 2: CÁC CƠNG TRÌNH LIÊN QUAN 2.1 Một số cơng trình nghiên cứu Việt Nam 2.2 Một số cơng trình nghiên cứu giới 2.3 Kết luận chương CHƯƠG HỆ THỐNG PHÁT HIỆN VÀ PHỊNG CHỐNG XÂM NHẬP MẠNG 3.1 Vai trị chức hệ thống phát phòng chống xâm nhập 3.1.1 3.1.2 Q trình phát triển Vai trị chức hệ thống xâm nhập Cách thức hoạt động IDS Hình 0.1: Cách thức hoạt động hệ thống IDS Chức IDS 11 3.2 Đặc điểm, kiến trúc hệ thống IDS Hình 0.2: Kiến trúc hệ thống phát xâm nhập [15] 3.3 Các mơ hình sử dụng cho hệ thống IDS 3.3.1 Mơ hình Decision Tree Một số lợi định là: Những điểm yếu định bao gồm: Hình 0.3: Sơ đồ định [16] 12 3.3.2 3.3.3 Mơ hình KNN Mơ hình máy Vector hỗ trợ (SVM) Mơ hình IDS đề xuất Hình 0.4: Mơ hình đề xuất luận văn Xử lý liệu Label Encoding [21] Hình 0.5: Cách hoạt động Label Encoding One hot encoding [22] 13 Hình 0.6: Cách One hot encoding biến đổi liệu CHƯƠNG XÂY DỰNG VÀ TRIỂN KHAI HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG DỰA VÀO HỌC MÁY CHO HỆ THỐNG MẠNG TRUNG TÂM Y TẾ HUYỆN GỊ DẦU Mơ tả liệu sử dụng NSL-KDD Quá trình hình thành Trong trình nghiên cứu lĩnh vực bảo mật tên DARPA khơng q xa lạ với người DARPA liệu thô sở Trong đó, KDD99 phiên trích xuất tính liệu DARPA Tiếp đó, NSL-KDD phiên loại bỏ giảm kích thước liệu KDD99, đồng thời liệu chuẩn cho liệu Internet Hình 0.1: Mối quan hệ liệu cho hệ thống IDS: DARPA, KDD99, NSL-KDD 14 Mô tả liệu NSL-KDD 4.2 Mơi trường mơ q trình thực nghiệm Dựa vào liệu thuật tốn có sẵn sử dụng cho hệ thống IDS, luận văn đề xuất mơ hình phân loại thuật tốn dựa giao thức truyền dẫn thông tin Tiến hành áp dụng thuật toán học máy liệu NSL-KDD, đánh giá kết đạt từ đưa phân loại phù hợp cho tập liệu Cài đặt thuật toán SVM, KNN, Decision Tree môi trường Google Collab kiểm nghiệm kết Kết thực nghiệm Như trình bày trên, luận văn sử dụng ba thuật toán phân lớp KNN, Decision Tree SVM để tiến hành thực nghiệm liệu NSL-KDD Ngoài ra, kết thu tiến hành phân tích độ đo đánh giá hiệu mơ hình, từ kết hợp với q trình chọn mơ hình thích hợp cho liệu dựa vào số lượng loại giao thức liệu, cụ thể trường protocol_type Trước tiên, ta chạy thực nghiệm thuật toán KNN với liệu NSL-KDD, kết ghi nhận sau: Bảng 0.1: Các độ đo accuracy, precision, recall, fmeasure, traning time, testing time thuật toán KNN tập liệu NSL-KDD 15 k val Accura Precisi Recal cy on l ue k= k= k= 10 0.95968 0.95506 0.95755 0.95021 0.95484 0.94720 Fmeasu re 0.975 0.9649 06 0.976 0.9632 62 0.975 0.9609 06 Traini Testi ng ng time time (s) (s) 0.380 11.477 0.383 11.191 0.390 12.849 Bảng 4.1 ghi nhận kết thu sau thực nghiệm tập liệu với thuật toán KNN Kết cho thấy thuật tốn KNN có đầu tốt n = với độ xác 95.97% Các độ đo hiệu mơ hình cịn lại đạt giá trị cao tương tự Accuracy Bảng 0.2 Các độ đo accuracy, precision, recall, fmeasure, traning time, testing time thuật toán Decision Tree tập liệu NSL-KDD Accurac Precisio y n 0.98062 0.98317 Recall 0.9827 F- Trainin Testin measur g time g time e (s) (s) 0.98324 0.557 0.004 16 0.9835 0.983 0.9825 0.982 0.9815 0.981 0.9805 0.98 0.9795 0.979 Accuracy Precision Recall F-measure Hình 0.2: Biểu đồ thể độ đo áp dụng thuật toán Decision Tree tập liệu NSL-KDD Thuật toán Decision Tree ghi nhận kết vượt trội, với độ xác (Accuracy) đạt 98.06%, khoảng 2.09% so với thuật tốn KNN Ngồi ra, thời thử nghiệm (Testing time) thuật toán ghi nhận kết ấn tượng 40 mili giây Bảng 0.3 Các độ đo accuracy, precision, recall, fmeasure, traning time, testing time thuật toán SVM tập liệu NSL-KDD với 17 Kernel Measure linear rbf poly Accuracy 0.90751 0.92716 0.92366 Precision 0.86203 0.89232 0.88810 Recall 0.99735 0.99182 0.99182 0.92472 0.93942 0.93663 449.304s 91.381 87.186 11.112s 11.467 6.117 Fmeasure Training time (s) Testing time (s) sigmo id 0.812 63 0.832 41 0.840 18 0.836 22 465.5 70s 24.43 2s 18 1.2 0.8 0.6 0.4 0.2 linear Accuracy rbf Precision poly Recall F-measure sigmoid linear Hình 0.3: Biểu đồ thể độ đo áp dụng thuật toán SVM tập liệu NSL-KDD Bảng 4.3 mô tả kết thu với loại kernel khác thuật toán SVM Qua thấy rõ kernel rbf ghi nhận kết tốt với độ xác đạt 92.71% Tuy nhiên, vừa xét thời gian độ xác với kernel poly vượt trội so với rbf Thời gian training testing kernel poly 87.186 6.117 giây, đồng thời độ xác 0.35% so với kernel rbf 19 Bảng 0.4: Các độ đo accuracy, precision, recall, fmeasure, traning time, testing time tổng hợp từ ba thuật toán tập liệu NSL-KDD Classifier Accuracy Precision Recall Fmeasure KNN 0.95755 0.95021 0.97662 0.96322 Decision 0.98062 0.98317 0.98278 0.98324 0.81263 0.83241 0.84018 0.83622 Tree SVM 1.2 0.8 0.6 0.4 0.2 Accuracy Precision KNN Recall Decision Tree F-measure SVM Hình 0.4: Biểu đồ thể tổng hợp độ đo áp dụng thuật toán tập liệu NSL-KDD Bảng 4.4 cho thấy kết tổng hợp ba thuật toán KNN, 20 Decision Tree SVM Kết tổng hợp lấy kết tốt lần chạy thuật toán Dựa vào bảng tổng hợp kết quả, thấy Decision Tree ghi nhận thông số đầu vượt trội so với hai thuật tốn cịn lại Dựa kết này, mơ hình đề xuất triển khai áp dụng vào việc lựa chọn mơ hình cho liệu sau Xét liệu NSL-KDD, trường liệu protocol_type có tổng cộng ba loại giao thức TCP, UDP IMCP Trong đó, số lượng loại giao thức mơ tả cụ thể sau: TCP, UDP, IMCP có số lượng 18880, 2621 1043 Theo kết có được, với liệu có số lượng giao thức TCP lớn số lượng loại giao thức cịn lại Decision Tree mơ hình thích hợp cho liệu Tương tự vậy, liệu có số lượng UDP lớn số lượng giao thức cịn lại KNN mơ hình phù hợp Và cuối ứng với liệu có số lượng IMCP lớn số lượng giao thức cịn lại SVM mơ hình phù hợp Kết luận chương Chương giới thiệu mơ tả q trình thực nghiệm liệu NSL-KDD - liệu lấy làm chuẩn để giúp nhà nghiên cứu so sánh phương thức phát xâm nhập khác Các kết nhận xét, phân tích đánh giá Đồng thời, chương đề xuất phương pháp chọn lọc hệ thống phù hợp với trường liệu protocol_type dịch vụ, xem xét chọn trường liệu phù hợp, từ chọn mơ hình tốt cho liệu 21 KẾT LUẬN Kết nghiên cứu đề tài Trên giới, cơng trình nghiên cứu lĩnh vực an ninh, an tồn thơng tin tiến hành trường đại học khoa học máy tính, cơng nghệ thơng tin, cơng trình bật ứng dụng rộng rãi cơng trình nghiên cứu tiến hành công ty bảo mật Một số công ty bảo mật hàng đầu phát triển giải pháp an ninh mạng kể đến là: Cisco System, Juniper Network, TrendMicro Sản phẩm nghiên cứu mà cơng ty bảo mật tiến hành sản phẩm riêng rẽ Cisco IDS, Juniper IPS, TrendMicro Server Protect, giải pháp với nhiều sản phẩm phần cứng phần mềm khác Về việc nghiên cứu phát triển hệ thống phát xâm nhập, có số xu hướng nghiên cứu lĩnh vực thực Đó phát xâm nhập dựa dấu hiệu xâm nhập; phát xâm nhập dựa vào khả tự học hệthống; phát xâm nhập cách kết hợp hai phương pháp Đối với phương pháp phát xâm nhập dẫn đến nhiều nghiên cứu, nghiên cứu trí tuệ nhân tạo, hệ chuyên gia, nghiên cứu phương pháp đặt luật so sánh phân tích lưu thông mạng Như vậy, an ninh thông tin lĩnh vực ngày có thêm nhiều cơng trình nghiên cứu sản phẩm tạo từ cơng trình đó, trình độ hacker ngày tiến Tuy sản phẩm an ninh thơng tin mà cơng ty nước ngồi phát triển hoạt động hiệu quả, sản phẩm có mức giá cao hàng năm phải tốn chi phí để cập nhật Việc áp dụng sản phẩm 22 cách thụ động nhược điểm Vì đội ngũ quản trị mạng không thực hiểu chất hệ thống hoạt động nào, hệ thống phân tích mức hệ thống thông tin, dẫn đến việc không linh hoạt nghiệp vụ quản trị bảo mật Với việc hoàn thành sản phẩm luận văn hệ thống phát xâm nhập mạng dựa tảng mã nguồn mở quy trình phòng ngừa ngăn chặn xâm nhập mạng, hy vọng việc ứng dụng sản phẩm góp phần cải thiện điểm yếu hệ thống an ninh thơng tin Trung tâm Y tế huyện Gị Dầu Bên cạnh đó, mở hướng phát triển nghiên cứu ứng dụng hệ thống phát xâm nhập mạng, giúp công nghệ thơng tin nước ta có bước tiến ứng dụng làm chủ sản phẩm công nghệ an ninh thông tin Hạn chế luận văn Bên cạnh kết đạt được, luận văn cịn số hạn chế định Trong đó, liệu sử dụng chưa phải liệu thực tế từ hệ thống IDS, từ chưa thể áp dụng mơ hình đề xuất vào liệu thực tế để kiểm tra đánh giá kết cách trực quan Ngoài ra, số hệ thống IDS áp dụng thuật toán học sâu (một hướng nghiên cứu phát triển từ học máy) tối ưu hơn, nhằm mục đích cải thiện tốc độ xử lý liệu phát loại công mạng nguy hiểm Hướng phát triển luận văn Áp dụng kỹ thuật thuật toán tối ưu tốc độ xử lý, thời gian huấn luyện thử nghiệm cho mơ hình Ngồi ra, liệu sử dụng thay tập liệu thực tế lấy từ 23 hệ thống IDS hoạt động bất kỳ, từ đưa kết đánh giá khách quan mức độ hiệu hệ thống phát xâm nhập mạng