NGUYỄN QUỐC DOANH BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG * * * NGUYỄN QUỐC DOANH NGÀNH CÔNG NGHỆ THÔNG TIN ỨNG DỤNG BẢN ĐỒ TỰ TỔ CHỨC SOM (Self Organizing Map) PHÁT HIỆN PHÁT TÁN VIRUS MÁY TÍNH QUA HÀNH VI Luận văn thạc sĩ Công nghệ thông tin KHOÁ II Đồng Nai – Năm 2012 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC LẠC HỒNG NGUYỄN QUỐC DOANH ỨNG DỤNG BẢN ĐỒ TỰ TỔ CHỨC SOM (Self Organizing Map) PHÁT HIỆN PHÁT TÁN VIRUS MÁY TÍNH QUA HÀNH VI Chuyên ngành: Công nghệ thông tin Mã số: 60.48.02.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. TRỊNH NGỌC MINH Đồng Nai – Năm 2012 DANH MỤC CÁC HÌNH Trang Hình 2.1 Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS) 9 Hình 2.2 : Cấu trúc hệ thống phát hiện xâm nhập dạng tập trung 10 Hình 2.3 Phát hiện xâm nhập dựa vào tập CSDL về các dạng tấn công 14 Hình 2.4 Hệ thống phát hiện xâm nhập bất thường 15 Hình 3.1. Mô hình mạng Kohonen 20 Hình 3.2. Mô hình mạng Kohonen đơn giản 21 Hình 3.3 Thuật giải tìm mẫu khớp tốt nhất BMU 22 Hình 3.4 Các phần tử lân cận của BMU 23 Hình 3.5 Ví dụ về sự co lại của bán kính lân 24 Hình 3.6 Đồ thị hàm Gaussian 26 Hình 3.7. Ma trận U 28 Hình 3.8 Không gian điểm 28 Hình 3.9. Biểu đồ cột với mỗi ô là một nơron của “Bản đồ tự tổ chức” 28 Hình 4.1 Danh sách 15 virus lây lan nhiều nhất trong năm 2011 38 Hình 4.2 Số lượng các website bị tấn công trong năm 2011 38 Hình 4.3 Thống kê Malware nhắm vào Hệ thống phát hiện xâm nhập (IDS) 39 Hình 4.4 Những quốc gia có số lượng tấn công cao nhất vào máy tính 40 Hình 4.5 Những quốc gia có tỉ lệ phát hiện các đối tượng độc hại cao nhất 40 Hình 4.6 Các quốc gia có tỷ lệ bị lây nhiễm cao được ghi nhận 41 Hình 4.7 Bộ nhớ máy chủ IDS 44 Hình 4.8 Tài nguyên của bộ vi xử lý 45 Hình 4.9 Tài nguyên mạng 46 Hình 5.1 Mô hình tổng quát thực nghiệm phát hiện phát tán mã độc 51 Hình 5.2 Mô hình tổng quát các bước xây dựng bản đồ đặc trưng 51 Hình 5.3 Véc-tơ tham số đặc trưng được chuẩn hóa thành Nơron huấn luyện 51 Trang Hình 5.4 Nội dung thuật toán bản đồ tự tổ chức 55 Hình 5.5 Mô hình xác định nơron chiến thắng và nơron lân cận 56 Hình 5.6 Cơ chế học của nơron chiến thắng và nơron lân cận 57 Hình 5.7 Nơ ron huấn luyện đặc trưng được chiếu vào bản đồ SOM 57 Hình 5.8 Mô hình tổng quát thực nghiệm Lab 60 Hình 5.9 Thông điệp phát tán worm Iloveyou 67 Hình 5.10 Các mẫu worm thực nghiệm 1 73 Hình 5.11 Các mẫu worm thực nghiệm 2 73 Hình 5.12 Giao diện chương trình phát hiện xâm nhập mã độc 74 Hình 5.13 Giao diện tải tập tin véc-tơ học 75 Hình 5.14 Các véc-tơ đặc trưng trước khi đưa vào huấn luyện 76 Hình 5.15 Khởi tạo bản đồ 76 Hình 5.16 Huấn luyện bản đồ 77 Hình 5.17 Cảnh báo phát hiện xâm nhập trong thời gian thực 77 Hình 5.18 Thực nghiệm 1 78 Hình 5.19 Kết quả thực nghiệm 1 79 Hình 5.20 Thực nghiệm 2 80 Hình 5.21 Kết quả thực nghiệm 2 81 Hình 5.22 Thực nghiệm 3 82 Hình 5.23 Kết quả thực nghiệm 3 82 Hình 5.24 Thực nghiệm 4 83 Hình 5.25 Kết quả thực nghiệm 4 84 Hình 5.26: Bản đồ mô tả các véc-tơ dữ liệu 85 Hình 5.27 Bản đồ mô tả các nơron ngẫu nhiên 86 Hình 5.28: Bản đồ mô tả các nơron sau khi huấn luyện 86 DANH MỤC CÁC TỪ VIẾT TẮT STT Từ viết tắt Diễn giải Ghi chú 1 AIDS Anomaly-based IDS Hệ thống phát hiện xâm nhập bất thường 2 AV Anti - Virus 3 BMU Best Matching Unit 4 CSDL Cơ sở dữ liệu 5 DdoS Distributed Denial of Service 6 DoS Denial of Service 7 FN False Negative 8 FP False Positive 9 HIDS Host based IDS 10 IDS Intrusion Detection System Hệ thống phát hiện sự xâm nhập 11 LAN Local Area Network 12 MIDS Misuse-based IDS Hệ thống phát hiện xâm nhập theo dấu hiệu cho trước 13 NIDS Network based IDS 14 SOM Self Organizing Map Bản đồ tự tổ chức 15 TN True Negative 16 TP True Positive LỜI CAM ĐOAN Tôi xin cam đoan: Luận văn Thạc Sĩ “Ứng dụng Bản đồ tự tổ chức (SOM - Self Organizing Map) phát hiện phát tán virus máy tính qua hành vi” là kết quả nghiên cứu thực sự của cá nhân tôi, được thực hiện trên cơ sở nghiên cứu lý thuyết, nghiên cứu khảo sát tình hình thực tiễn và dưới sự hướng dẫn khoa học của Thầy Tiến sĩ: Trịnh Ngọc Minh Các số liệu, mô hình và những kết quả trong luận văn là trung thực, số liệu đưa ra xuất phát từ thực tiễn và kinh nghiệm, có nguồn gốc rõ ràng, được trích dẫn, có tính kế thừa, phát triển từ các tạp chí, các công trình nghiên cứu đã được công bố. Một lần nữa, tôi xin khẳng định về sự trung thực của lời cam kết trên. Biên Hòa, ngày 20 tháng 12 năm 2012 Tác giả luận văn Nguyễn Quốc Doanh LỜI CẢM Ơ N Xin chân thành cảm ơn Thầy Tiến sĩ Trịnh Ngọc Minh đã tận tình hướng dẫn và quý Thầy Cô Phòng ISeLAB khu Công nghệ phần mềm Đại học Quốc Gia Thành Phố Hồ Chí Minh đã cung cấp thông tin, tư liệu để việc nghiên cứu luận văn của em được thuận lợi. Cảm ơn quý Thầy, Cô phòng Sau đại học, khoa Công nghệ thông tin Trường Đại Học Lạc Hồng. Đồng thời cảm ơn quý thầy cô đã trực tiếp giảng dạy, truyền đạt những kiến thức quý báu trong chương trình Cao học, cùng các bạn đồng nghiệp đã nhiệt tình trao đổi, góp ý để tôi có thêm kinh nghiệm hoàn thành luận văn của mình. Biên Hòa, ngày 20 tháng 12 năm 2012 Học viên Nguyễn Quốc Doanh MỤC LỤC LỜI CẢM ƠN LỜI CAM ĐOAN DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC CÁC HÌNH Trang CHƢƠNG 1 - MỞ ĐẦU 1 1.1 Giới thiệu đề tài 1 1.1.1 Lý do chọn đề tài 1 1.1.2 Mục tiêu của đề tài 2 1.1.3 Các giai đoạn thực hiện đề tài 3 1.2 Đối tƣợng, phạm vi nghiên cứu của đề tài 3 1.2.1 Các hệ học 3 1.2.2 Học giám sát 4 1.2.3 Học không giám sát 4 1.2.4 Bản đồ tự tổ chức (SOM) 5 1.2.3 Sâu máy tính và các hệ thống đích 5 1.3 Cấu trúc chung luận luận văn 6 1.4 Ý nghĩa thực tiễn của đề tài 7 CHƢƠNG 2 - TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP 9 2.1 Khái niệm 9 2.2 Các thành phần và chức năng của IDS 9 2.2.1 Thành phần thu thập gói tin 11 2.2.2 Thành phần phát hiện gói tin 11 2.2.3 Thành phần phản hồi 11 2.3 Phân loại IDS 12 2.3.1 Network Base IDS (NIDS) 12 2.3.2 Host Based IDS (HIDS) .13 2.4 Hệ thống phát hiện xâm nhập theo dấu hiệu cho trƣớc (Misuse-based IDS) và hệ thống phát hiện xâm nhập bất thƣờng (Anomaly-based IDS) 14 2.4.1 Misuse – based system 14 2.4.2 Anomaly – based system 15 2.5 Phân loại các dấu hiệu 16 2.5.1 Phát hiện dấu hiệu bất thƣờng 16 2.5.2 Các mẫu hành vi thông thƣờng- phát hiện bất thƣờng 16 2.5.3 Các dấu hiệu có hành vi bất thƣờng – phát hiện dấu hiệu 17 CHƢƠNG 3 - BẢN ĐỒ TỰ TỔ CHỨC 20 3.1. Giới thiệu 20 3.2. Cấu trúc mạng Kohonen 21 3.3 Thuật giải Bản đồ tự tổ chức (SOM) 22 3.3.1 Khởi tạo: 22 3.3.2 Chọn phần tử đại diện: 22 3.3.3 Tìm mẫu khớp tốt nhất (BMU) : 22 3.3.4 Xây dựng các phần tử lân cận: 23 3.3.5 Hiệu chỉnh trọng số của các phần tử lân cận 24 3.3.6 Vòng lặp 26 3.7. Chất lƣợng “Bản đồ tự tổ chức” 26 3.8. Các phƣơng pháp trực quan minh họa “Bản đồ tự tổ chức” 27 3.9. Phƣơng pháp tìm ngƣỡng cảnh báo 29 3.10. Phát hiện tấn công ứng dụng “Bản đồ tự tổ chức” 30 3.4 Ƣu và nhƣợc điểm của SOM 31 3.4.1 Ƣu điểm 31 3.4.2 Nhƣợc điểm 31 CHƢƠNG 4: CÁCH THỨC PHÁT TÁN CỦA VIRUS, WORM VÀ MỘT SỐ VẤN ĐỀ LIÊN QUAN 32 4.1. Các cơ chế phát hiện phát tán virus máy tính 32 4.1.1. Phát hiện virus dựa vào chuỗi nhận dạng 32 4.1.2. Phát hiện virus dựa vào hành vi 33 4.1.3. Phát hiện virus dựa vào ý định 33 4.2. Tổng quan về sâu máy tính(worm) 34 4.2.1. Khái niệm sâu 34 4.2.2 Sâu máy tính và các virus khác phát tán nhƣ thế nào? 34 4.3. Sự phát triển của virus và worm 35 4.3.1 Khái quát : 35 4.3.2 Các thế hệ phát triển của virus, worm : 35 4.4 Số liệu chung về tình hình virus và an ninh mạng năm 2011 38 4.5 Báo cáo tình hình virus tại Việt Nam – tháng 11/2011 (theo Kaspersky) 39 4.5.1 Malware nhắm vào Hệ thống phát hiện xâm nhập (IDS) 39 4.5.2. Những quốc gia có số lƣợng tấn công cao nhất vào máy tính 40 4.5.3 Những quốc gia có tỉ lệ phát hiện các đối tƣợng độc hại cao nhất 40 4.5.4 Các quốc gia có tỷ lệ bị lây nhiễm cao đƣợc ghi nhận 41 4.5.5 Các vấn đề mở của công nghệ anti-virus 41 4.6 Hƣớng tiếp cận của đề tài 42 4.6.1 Tiếp cận máy học và Bản đồ tự tổ chức (SOM) 43 4.6.2 Giới thiệu các đặc trƣng và ý nghĩa 43 4.7 Đề xuất các đặc trƣng 47 4.8. Thuật toán xây dựng đặc trƣng 48 4.8.1 Gán trọng số cho các nhóm đặc trƣng 49 4.8.2 Chuẩn hóa các đặc trƣng 49 CHƢƠNG 5: THIẾT KẾ XÂY DỰNG HỆ THỐNG VÀ THỰC NGHIỆM 51 [...]... Chúng có thể tự động len lỏi tìm đến các mục tiêu máy tính được nối mạng và lấy cắp những thông tin từ mục tiêu này mà người sử dụng không hay biết gì, mã độc thực sự trở thành mối đe dọa thường xuyên và cấp bách của các hệ thống Công nghệ thông tin hiện nay Trong bối cảnh đó đề tài Ứng dụng Bản đồ tự tổ chức (SOM - Self Organizing Map) phát hiện phát tán virus qua hành vi được tiến hành nhằm góp... sánh thông tin về hoạt động mạng trong thời gian thực Sau đó so sánh với những trạng thái thu nhận khi “bất thường” để phát hiện ra các tấn công của sâu máy tính thông qua hành vi bất thường - Trên cơ sở nhận dạng, phát hiện dấu hiệu “bất thường” các trường hợp lây nhiễm, tiềm ẩn đã biết trên hệ thống đích Ứng dụng Bản đồ tự tổ chức (SOM - Self Organizing Map) phát hiện phát tán virus qua hành vi. ”... đối với một tấn công Thứ hai, cơ sở dữ liệu dấu hiệu tấn công được nâng cấp thường xuyên (bằng cách thêm các dấu hiệu tấn công mới phát hiện) -20- CHƢƠNG 3 - BẢN ĐỒ TỰ TỔ CHỨC (SOM- Self Organizing Map) 3.1 Giới thiệu SOM (Self- Organizing Map) bản đồ tự tổ chức, còn được biết đến như là bản đồ đặc trưng tự tổ chức SOFM (Self- Organizing Feature Map) là kỹ thuật trực quan hóa dữ liệu (data visualation)... luyện bản đồ tự tổ chức , mô hình hóa bản đồ, chạy giám sát hệ thống và đưa ra cảnh báo cho nhà quản trị mạng khi có mã độc tấn công xâm nhập - Ứng dụng bản đồ tự tổ chức SOM , xây dựng một chương trình IDS chạy trên Linux giám sát hệ thống để phát hiện phát tán mã độc qua hành vi -9- CHƢƠNG 2 - TÌM HIỂU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS (Intrusion Detection System) 2.1 Khái niệm Hệ thống phát hiện. .. cận máy học trong lĩnh vực nhận dạng phát tán mã độc qua hành vi Chương 5: Trình bày phương pháp thiết kế chương trình thực nghiệm xây dựng trên cơ sở các nghiên cứu lý thuyết của đề tài Phần đầu Chương 5 mô tả mô hình tổng quát thuật toán Bản đồ tự tổ chức SOM trong vi c phát hiện phát tán mã độc lây lan trong hệ thống mạng Áp dụng tiếp cận máy học và Bản đồ tự tổ chức SOM, sẽ được triển khai qua. .. nay công nghệ thông tin trở thành một lĩnh vực mũi nhọn trong công cuộc phát triển kinh tế xã hội Cùng với công nghệ sinh học và năng lượng mới, công nghệ thông tin vừa là công cụ, vừa là động lực thúc đẩy quá trình công nghiệp hóa, hiện đại hóa đất nước Trong giai đoạn đất nước hội nhập quốc tế, Công nghệ thông tin giữ vai trò đặc biệt quan trọng trong vi c xử lý tính toán dữ liệu, kết nối thông tin. .. đọc thông tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì Các thông tin này được chuyển đến thành phần phát hiện tấn công 2.2.2 Thành phần phát hiện gói tin Ở thành phần này, đóng vai trò lọc thông tin và loại bỏ những thông tin dữ liệu không tương thích đạt được từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được các hành động nghi ngờ 2.2.3 Thành... các hệ thống Công nghệ thông tin hiện nay -2- 1.1.2 Mục tiêu của đề tài - Nghiên cứu hệ thống phát hiện xâm nhập (IDS – Intrusion Detection System) - Nghiên cứu các cách lây lan của virus, worm phổ biến hiện nay - Nghiên cứu và cài đặt cách thức lấy các tham số đặc trưng của mã độc trong hệ thống mạng - Khảo sát, phân tích thuật toán Bản đồ tự tổ chức (SOM) - Ứng dụng bản đồ tự tổ chức SOM để trích... thống phần cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật, virus và đưa ra cảnh báo cho nhà quản trị 2.2 Các thành phần và chức năng của IDS  IDS bao gồm các thành phần chính - Thành phần thu thập thông tin gói tin - Thành phần phát hiện gói tin - Thành phần xử... quyết định liên quan đến bảo mật phù hợp thường không đơn giản – nhiều hành vi không được dự định trước và không rõ ràng Để phân loại các hành động, IDS phải lợi dụng phương pháp phát hiện bất thường, đôi khi là hành vi cơ bản hoặc các dấu hiệu tấn công, … 2.5.2 Các mẫu hành vi thông thƣờng- phát hiện bất thƣờng Các mẫu hành vi thông thường rất hữu ích trong vi c dự đoán người dùng và hành vi hệ thống Do . ỨNG DỤNG BẢN ĐỒ TỰ TỔ CHỨC SOM (Self Organizing Map) PHÁT HIỆN PHÁT TÁN VIRUS MÁY TÍNH QUA HÀNH VI Luận văn thạc sĩ Công nghệ thông tin KHOÁ II Đồng. NGUYỄN QUỐC DOANH ỨNG DỤNG BẢN ĐỒ TỰ TỔ CHỨC SOM (Self Organizing Map) PHÁT HIỆN PHÁT TÁN VIRUS MÁY TÍNH QUA HÀNH VI Chuyên ngành: Công nghệ thông tin Mã số:. thống đích Ứng dụng Bản đồ tự tổ chức (SOM - Self Organizing Map) phát hiện phát tán virus qua hành vi. ” 1.1.3 Các giai đoạn thực hiện đề tài Quá trình nghiên cứu đề tài được tiến hành qua các