TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS, .... PHÂN BIỆT NHỮNG HỆ THỐNG KHÔNG PHẢI LÀ IDS .... KHAI PHÁ DỮ LIỆU VÀ CÁC KỸ THUẬT PHÂN CỤM .... TỔNG QUAN VỀ KHAI PHÁ DỮ LIỆU .... CÁC MƠ HÌ
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
-
HÀ MINH ĐỨC
PHÁT HIỆN XÂM NHẬP, CÁC DẠNG TẤN CÔNG, MÃ ĐỘC, SỬ DỤNG
KỸ THUẬT KHAI PHÁ DỮ LIỆU
LUẬN VĂN THẠC SĨ KỸ THUẬT
NGƯỜI HƯỚNG DẪN LUẬN VĂN: PGS.TS Nguyễn Linh Giang
Hà Nội – Năm 2016
Trang 2BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
-
HÀ MINH ĐỨC
PHÁT HIỆN XÂM NHẬP, CÁC DẠNG TẤN CÔNG, MÃ ĐỘC, SỬ DỤNG
KỸ THUẬT KHAI PHÁ DỮ LIỆU
Trang 3LỜI CAM ĐOAN Luu và th c hi i s ng d n c a Thy giáo PGS.TS Nguy n Linh Giangễ Vi m c t p, nghiên c nâng cao ki n th t cách nghiêm túc và hoàn toàn trung thc.
hoàn thành b n lu u tham kht kê, tôi
c thi t k t t nghi p c i khác
Hà Nội, tháng 10 năm 2016
Học viên
HÀ MINH ĐỨC
Trang 5MC LC
LỜI CAM ĐOAN i
LỜI CẢM ƠN ii
MỤC LỤC iii
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU v
THÔNG TIN HÌNH VẼ / BẢNG vi
MỞ ĐẦU 1
CHƯƠNG 1 TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS, 3
CÁC DẠNG TẤN CÔNG MÃ ĐỘC. 3
1.1 LỊCH SỬ RA ĐỜI IDS. 3
1.2 GIỚI THIỆU HỆ THỐNG IDS 3
1 4
1.2.2 4
1.3 CHỨC NĂNG CỦA IDS 8
1.4 KIẾN TRÚC CỦA IDS 8
8
9
1.5 PHÂN BIỆT NHỮNG HỆ THỐNG KHÔNG PHẢI LÀ IDS 10
1.6 LỢI ÍCH CỦA IDS: 10
1.7 CÁC DẠNG TẤN CÔNG XÂM NHẬP MẠNG 11
11
11
12
12
- -in the-middle attack 12
12
13
13
Trang 61.8 MÃ ĐỘC 14
14
14
14
1.9 KẾT CHƯƠNG 16
CHƯƠNG 2 KHAI PHÁ DỮ LIỆU VÀ CÁC KỸ THUẬT PHÂN CỤM 17
2.1 TỔNG QUAN VỀ KHAI PHÁ DỮ LIỆU 17
2.2 CÁC MÔ HÌNH KHAI PHÁ DỮ LIỆU 22
2.3 BÀI TOÁN PHÂN CỤM DỮ LIỆU 23
23
2.3. 23
2.4 KẾT CHƯƠNG 26
CHƯƠNG 3 PHƯƠNG PHÁP PHÁP HIỆN XÂM NHẬP, SỬ DỤNG KỸ THUẬT KHAI PHÁ DỮ LIỆU 27
3.1 PHÁT HIỆN XÂM NHẬP DỰA TRÊN THUẬT TOÁN K-MEANS 27
3.1.1 -means 27
- 35
-Means 45
3.1.4 58
3.2 PHÁP HIỆN XÂM NHẬP MẠNG VỚI THUẬT TOÁN PHÂN CỤM K -MEDOIDS 63
-Medoids 63
- 69
3.2.3 71
3.3 79
80
80
TÀI LIỆU THAM KHẢO 81
Trang 7DoS Denial of Service
FSM Finite states machine
HIDS Host-based Intrusion
LAN Local area network
NIDS Network-based Intrusion
Detection System PCDL Data Clustering
Trang 8THÔNG TIN HÌNH VẼ
HÌNH 1.1: HNG NETWORK-BASED INTRUSION DETECTION 4
NG HOST-BASED INTRUSION DETECTION 5
P NIDS VÀ HIDS 8
A IDS 9
HÌNH 1.5: MÔ HÌNH KIP (IDS) 9
N LP 25
I TNG 27
HÌNH 3.2 U 28
I TNG 29
HÌNH 3.4: S T TOÁN PHÂN NHÓM K-MEANS 31
T THNG 39
N CÔNG 42
A MÔ P 43
N GHI CHO FA CHNG TRÌNH 49
A CHNG N 50
A CHNG NOTEPAD 50
U 52
VÀO 53
T TOÁN K-MEANS 53
M 54
U VÀO WEK C TÍNH 55
-3-8- C TÍNH 57
Trang 9HÌN T TOÁN K-MEANS TRÊN WAKA 3.8 58
T TOÁN 70
NG NGÔN
71
Trang 10THÔNG TIN
NH BÁO CHN 44
N 45
C TÍNH C P / IP) CONTINUOUS: LIÊN C 47
C TÍNH L U THÔNG (NHÓM NÀY BA ) 47
NG 3.5: CÁC THUI DUNG 48
KDD CUP99 59
U 10% KDD CUP99 60
M K MEANS- 61
BM 62
P K-MEANS 62
KDD CUP99 72
U 10% KDD CUP99 73
K-MEDOIDS 77
P 78
Trang 11MỞ ĐẦU Đặt vấn đề
Trang 12-Cấu trúc luận văn
Trang 13CHƯƠNG 1 TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS,
Trang 14
1.2.2 Phân loại các hệ thống IDS.
1.2.2.1 Network-based Intrusion Detection System (NIDS)
Trang 15 -based Intrusion Detection System (NIDS), các Sensor
Trang 19Hình 1.4: Hoạt động của IDS
Trang 21
NIDS (Network I
Trang 22
-passwork
1.7.3 Phương thức tấn công bằng Mail Relay
1.7.6 Phương thức tấn công để thăm dò mạng
Trang 23eries, ping sweep, hay port scan
1.7.7 Phương thức tấn công Trust exploitation
TCP port 80, mail server b
1.7.10 Phương thức tấn Virus và Trojan Horse
Trang 25 Luôn luôn cài đặt và sử dụng một phần mềm diệt virus chính hãng
Kaspersky, Bitdifender, Avast, Norton, Bka
Xây dựng chính sách với các thiết bị PnP:
Truy cập web an toàn:
dung không lành dung chat, trên
Trang 27CHƯƠNG 2 KHAI PHÁ DỮ LIỆU VÀ CÁC KỸ THUẬT PHÂN CỤM 2.1 Tổng quan về khai phá dữ liệu
Trang 28
khai thác
Trang 29
(incomplete data) vv
Trang 322.2 Các mô hình khai phá dữ liệu
Nói chung, có ha
Trang 332.3 Bài toán phân cụm dữ liệu
2.3.1 Tổng quan về kỹ thuật phân cụm
Trang 37CHƯƠNG 3 PHƯƠNG PHÁP PHÁP HIỆN XÂM NHẬP,
SỬ DỤNG KỸ THUẬT KHAI PHÁ DỮ LIỆU
3.1 Pháp hiện xâm nhập dựa trên thuật toán K-Means
3.1.1 Thuật toán K-means
Trang 38xij
trong nhóm
Trang 453.1.2 Thuật toán K means với phát hiện xâm nhập.
Trang 47 tính
Trang 50- address, Header length, TOS, Packet size, IP Fragment ID, IP Flag & Pointer, TTL,Checksum
- Header length, Window size, Checksum
Trang 53{SrcIP:X.Y.Z.86, StartTime:10:08:20, DestIP:A.B.C.215, DestPort:158}
{SrcIP:X.Y.Z.86, StartTime:10:15:04, DestIP:A.B.C.217, DestPort:158}
{SrcIP:X.Y.Z.86, StartTime:10:29:08, DestIP:A.B.C.213, DestPort:158}
{SrcIP:X.Y.Z.86, StartTime:10:29:20, DestIP:A.B.C.219, DestPort:158}
Trang 54{SrcIP:X.Y.Z.86, StartTime:10:38:10, DestIP:A.B.C.225, DestPort:158}
{SrcIP:X.Y.Z.86, StartTime:10:38:40, DestIP:A.B.C.228, DestPort:158}
{SrcIP:X.Y.Z.86, StartTime:10:38:51, DestIP:A.B.C.235, DestPort:158}
{SrcIP:X.Y.Z.86, StartTime:10:42:16, DestIP:A.B.C.217, DestPort:158}
Trang 553.1.3 Xây dựng thử nghiệm trong việc pháp hiện xâm nhập mạng dựa trên
thuật toán K-Means
-
Trang 57
Trang 63Hình 3.12
+ -Means
Trang 65Weka 3.8
còn 38
Trang 66 toán K-
KDD cup99
Trang 67-3-8-h
Trang 68Hình 3.17-Means trên Waka -3-8 3.1.4 Kết quả thực nghiệm và đánh giá.
Trang 733.2 Phát hiện xâm nhập mạng với thuật toán phân cụm K-Medoids
3.2.1 Thuật toán phân cụm K-Medoids
Trang 77
> total cost={cost(c1,1) + cost(c1,3) + cost(c1,4)}
+ {cost(c2,5) + cost(c2,6) + cost(c2,7)
Trang 793.2.2 Thuật toán K Medoids với phát hiện xâm nhập.
- Phân tích tập dữ liệu kiểm thử ( Như trên, ở phần thuật toán K-Means)
Trang 80//Thuật toán chính: phân cụm sử dụng k -Medoids
Public void Clustering()
{
LoadData(); //Đọc tập dữ liệu KDD Cup99 (10%)
InitCluster(); //Khởi tạo k phần tử trọng tâm của k cụm (23 cụm) bằng k phần tử
phân biệt dạng tấn công khác nhau đầu tiên của tập dữ liệu vào
for (j = 0; j < numClusterReal; j++) //Xét qua từng cụm
if (medoidReplace(j)==true) //Nếu có phần tử thay thế ở cụm j
isChanged=true; //thì ghi nhận có phần tử thay thế
Trang 81if (isChanged == false) //Nếu duyệt qua tất cả các cụm mà không có sự
thay đổi phần tử trọng tâm break; //thì kết thúc (end while)
} while (true);
SaveClusters(); //Lưu các cụm dữ liệu kết quả
}
Hình 3.19
3.2.3 Kết quả thực nghiệm và đánh giá.
3 buffer_overflow 30
4 ftp_write 8
5 guess_passwd 53
6 imap 12
7 ipsweep 12,481 8 land 21
9 loadmodule 9
10 multihop 7
Trang 90KẾT LUẬN Kết luận
-
-Means, K-
Trang 91-TÀI LIỆU THAM KHẢO
1 C.L Bean, C.Kambhampati (2008), Automonous Clustering Using Rough Set Theory, International Journal of Automation and Computing, Vol.5 (No.1)
of Database Theory and Application, Vol.6, No.5 (2013), pp.23-34
6 Oren Zamir and Oren Etzioni (1998), Web document Clustering: A Feasibility Demonstration, University of Washington, USA, ACM
7 Ulrich Guntzer, Jochen Hipp, Gholamreza (2000), Algorithms for Association Rule Mining A General Survey and Comparison, ACM SIGKDD Explorations Newsletter, Volume 2 Issue 1, pp 58 - 64
Trang 92rd.WriteLine(+ DateTime.№w.ToString("HH:mm
rd.WriteLine( + o.numTuple.ToString("#,#") + ); (o.numAttrib == 37) if
rd.WriteLine(
src_bytes,dst_bytes,land,wrong_fragment,urgent,hot,num_failed_logins,logged_in,n
Trang 93else
rd.WriteLine(src_bytes,dst_bytes,land,wrong_fragment,urgent,hot,num_failed_logins,logged_in,num_compromised,root_shell,su_attempted,num_root,num_file_creations,num_shells,num_access_files,num_outbound_cmds,is_host_login,is_guest_login,count,srv_count,serror_rate,srv_serror_rate,rerror_rate,srv_rerror_rate,same_srv_rate,diff_srv_rate,srv_diff_host_rate,dst_host_count,dst_host_srv_count,dst_host_same_srv_rate,dst_host_diff_srv_rate,dst_host_same_src_port_rate,dst_host_srv_diff_host_rate,dst_host_serror_rate,dst_host_srv_serror_rate,dst_host_rerror_rate,dst_host_srv_rerror_