ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ĐINH MẠNH CƢỜNG PHÁT HIỆN XÂM NHẬP DỰA TRÊN THUẬT TOÁN K-MEANS Thái Nguyên 2015 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ĐẠI HỌC THÁI NGUYÊN TRƢỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG ĐINH MẠNH CƢỜNG PHÁT HIỆN XÂM NHẬP DỰA TRÊN THUẬT TOÁN K-MEANS Chuyên ngành: Khoa học máy tính Mã số: 60.48.01.01 NGƢỜI HƢỚNG DẪN KHOA HỌC PGS.TS NGUYỄN VĂN TAM Thái Nguyên 2015 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ LỜI CAM ĐOAN Tôi xin cam đoan luận văn “Phát xâm nhập dựa thuật toán KMeans” PGS.TS Nguyễn Văn Tam Các nội dung trình bày luận văn kết đạt thời gian thực đề tài hướng tập thể giáo viên hướng dẫn, không chép nguyên lại kết nghiên cứu công bố kết trình nghiên cứu, học tập làm việc nghiêm túc trình học cao học Bên cạch đó, số nội dung luận văn kết phân tích, nghiên cứu, tổng hợp từ nhiều nguồn tài liệu khác Các thông tin tổng hợp hay kết lấy từ nhiều nguồn tài liệu khác trích dẫn cách đầy đủ hợp lý Nguồn tài tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Các số liệu thông tin sử dụng luận văn trung thực Thái Nguyên, ngày 20 tháng 07 năm 2015 Ngƣời cam đoan Đinh Mạnh Cƣờng Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ LỜI CẢM ƠN Tôi xin chân thành cảm ơn thầy, cô Viện Công nghệ thông tin, Trường Đại học Công nghệ thông tin Truyền thông - Đại học Thái Nguyên tham gia giảng dạy, giúp đỡ suốt trình học tập nâng cao trình độ kiến thức để phục vụ cho công tác giảng dạy sau Tôi xin bày tỏ lòng biết ơn chân thành tới PGS.TS Nguyễn Văn Tam, Thầy tận tình hướng dẫn hướng dẫn suốt thời gian thực luận văn Vì điều kiện thời gian trình độ có hạn nên luận văn tránh khỏi thiếu sót Tôi xin kính mong Thầy, Cô giáo, bạn đồng nghiệp đóng góp ý kiến để đề tài hoàn thiện Tôi xin chân thành cảm ơn! Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ i MỤC LỤC MỞ ĐẦU .4 Chƣơng 1: KHÁI QUÁT BÀI TOÁN PHÁT HIỆN XÂM NHẬP 1.1 Định nghĩa phát xâm nhập 1.1.1 Định nghĩa 1.1.2 Sự khác IDS/IPS 1.2 Các thành phần chức hệ thống phát thâm nhập .5 1.2.1 Thành phần thu thập gói tin .6 1.2.2 Thành phần phát gói tin .6 1.2.3 Thành phần phản hồi 1.3 Phân loại phát xâm nhập 1.3.1 Network based IDS – NIDS .7 1.3.2 Host based IDS – HIDS .9 11 1.4.1 Mô hình phát lạm dụng .11 1.4.2 Mô hình phát bất thường 12 1.4.3 So sánh hai mô hình 15 Chƣơng 2: PHÁT HIỆN XÂM NHẬP DỰA TRÊN THUẬT TOÁN K-MEANS 17 2.1 Thuật toán K-means 17 2.1.1 Các khái niệm 17 2.1.2 Thuật toán 20 2.1.3 Nhược điểm K-Means cách khắc phục 35 2.2 Thuật toán K-means với phát xâm nhập .35 2.2.1 Phân tích tập liệu kiểm thử .35 2.2.2 Mô hình phát bất thường dựa thuât toán K-means 39 Chƣơng 3: XÂY DỰNG CHƢƠNG TRÌNH PHÁT HIỆN XÂM NHẬP DỰA TRÊN THUẬT TOÁN K-MEANS 47 3.1 Mô tả toán 47 3.2 Mô tả liệu đầu vào 47 3.2.1 Mô tả thuộc tính file liệu đầu vào .48 3.2.2 Giảm số lượng ghi liệu đầu vào: 50 3.3 Cài đặt thuật toán K-Means thử nghiệm phân cụm phần tử dị biệt 53 3.3.1 Giới thiệu môi trường cài đặt 53 3.3.2 Các chức chương trình .53 3.4 Nhận xét, đánh giá chương trình thử nghiệm .59 KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU 60 TÀI LIỆU THAM KHẢO 61 PHẦN PHỤ LỤC .62 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ ii DANH MỤC HÌNH ẢNH Hình 1.1: Các vị trí đặt IDS mạng .4 Hình 1.2: Mô hình kiến trúc hệ thống phát xâm nhập (IDS) Hình 1.3: Mô hình NIDS Hình 2.1 Ví dụ phân nhóm đối tượng 17 Hình 2.2: Các thiết lập để xác định ranh giới cụm ban đầu .18 Hình 2.3: Mô tả độ đo khoảng cách đối tượng 19 Hình 2.4: Sơ đồ thuật toán phân nhóm K-Means 21 Hình 2.5: Mô tả trực quan trình phân cụm liệu 22 Hình 2.6: Biểu diễn đối tượng mặt phẳng toạ độ x, y .25 Hình 2.7: Biểu diễn đối tượng, phần tử trung tâm mặt phẳng toạ độ x, y 26 Hình 2.8: Biểu diễn đối tượng, phần tử trung tâm mặt phẳng toạ độ x, y (Vòng lặp 1) .29 Hình 2.9: Biểu diễn đối tượng, phần tử trung tâm mặt phẳng toạ độ x, y 31 (Vòng lặp 2) 31 Hình 2.10: Biểu diễn đối tượng, phần tử trung tâm mặt phẳng toạ độ x, y (Vòng lặp 3) 33 Hình 2.11: Mô hình hệ thống phát bất thường sử dụng thuật toán K-means 40 Hình 2.12: Bốn quan hệ công 42 Hình 2.13: Mô tả hoạt động môđun tổng hợp 44 Hình 3.1: Giảm số ghi cho file đầu vào chương trình 51 Hình 3.2: Xem chỉnh sửa cho file đầu vào chương trình cần 52 Hình 3.3: Dữ liệu chương trình mở Notepad 52 Hình 3.5: Giao diện chọn liệu 54 Hình 3.6: Hiển thị chi tiết liệu đầu vào 55 Hình 3.7: Form thực thuật toán K-Means 56 Hình 3.8: Kết thực thuật toán K-Means 57 Hình 3.9: Số ghi kết nối thuộc cụm 58 Hình 3.10: Kết thực thuật toán K-Means với liệu có 494020 ghi kết nối 58 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ iii DANH MỤC BẢNG Bảng 2.1: Danh mục đối tượng 24 Bảng 2.2: Bảng biểu diễn thuộc tính mặt phẳng x,y 24 Bảng 2.3: Khởi tạo phần tử trọng tâm 25 Bảng 2.4: Bảng khoảng cách Euclidean (vòng lặp 1) 28 Bảng 2.5: Tìm khoảng cách khoảng cách (Vòng lặp 1) 28 Bảng 2.6: Kết phân nhóm đối tượng (vòng lặp 1) .28 Bảng 2.7: Phần tử trọng tâm (vòng lặp 1) 29 Bảng 2.8: Bảng khoảng cách Euclidean (Vòng lặp 2) 30 Bảng 2.9: Tìm khoảng cách khoảng cách (Vòng lặp 2) 30 Bảng 2.10: Kết phân nhóm đối tượng (vòng lặp 2) 31 Bảng 2.11: Phần tử trọng tâm (vòng lặp 2) .31 Bảng 2.12: Bảng khoảng cách Euclidean (vòng lặp 3) 32 Bảng 2.13: Tìm khoảng cách khoảng cách (vòng lặp 3) 32 Bảng 2.14: Kết phân nhóm đối tượng (vòng lặp 3) 33 Bảng 2.15: Phần tử trọng tâm (vòng lặp 3) .33 Bảng 2.16: Kết phân nhóm đối tượng (vòng lặp 4) 34 Bảng 2.17: Bảng kết phân nhóm thuốc .34 Bảng 2.18: danh sách cảnh báo chưa rút gọn 45 Bảng 2.19: Danh sách cảnh báo sau rút gọn 46 Bảng 3.1: Các thuộc tính (nhóm chứa tất thuộc tính có từ kết nối TCP / IP) 48 Bảng 3.2: Các thuộc tính lưu thong (nhóm bao gồm thuộc tính mà tính toán với khoảng thời gian cửa sổ) 49 Bảng 3.2: Các thuộc tính nội dung 49 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ iv BẢNG TỪ VIẾT TẮT IDS IPS Intrusion Detection System Intrusion Prevention Systems HIDS Host-based IDS NIDS Network-based IDS Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ MỞ ĐẦU Ngày nay, hệ thống mạng máy tính trở nên phổ biến ứng dụng hầu hết hoạt động kinh tế-xã hội nước ta Tuy nhiên, mạng máy tính phải đương đầu với nhiều thách thức, đặc biệt vấn đề an toàn bảo mật liệu mạng Trong mối đe dọa an ninh mạng việc xâm nhập mạng để thay đổi thông tin, lấy cắp liệu phá hoại hạ tầng mạng nghiêm trọng Chính vậy, việc phát ngăn chặn xâm nhập mạng máy tính chủ đề quan tâm nghiên cứu phát triển ứng dụng mạnh mẽ Phát ngăn chặn hiểu xác định xâm nhập ngăn chặn cách nhanh xảy Hiện phương pháp phát truy nhập trái phép hoàn hảo kĩ thuật xâm nhập ngày tinh vi luôn đổi Khi phương pháp phát xâm nhập biết đến kẻ xâm nhập sửa chiến lược thử kiểu xâm nhập Chính lựa chọn chủ đề “ -means.” đề tài nghiên cứu cho luận văn * Cấu trúc luận văn bao gồm chương sau: Chƣơng 1: Chương trình bày kiến thức phát xâm nhập như: định nghĩa, thành phần chức hệ thống, phân loại, phương pháp phát xâm nhập Chƣơng 2: Chương trình bày việc phát xâm nhập dựa thuật toán K-means Nội dung thuật toán, ví dụ minh họa thuật toán, tập liệu kiểm thử mô hình phát xâm nhập dựa thuật toán K-means Chƣơng 3: Chương kết cài đặt toán phát xâm nhập dựa thuật toán k-means Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ Chƣơng KHÁI QUÁT BÀI TOÁN PHÁT HIỆN XÂM NHẬP 1.1 Định nghĩa phát xâm nhập 1.1.1 Định nghĩa Hệ thống phát xâm nhập (IDS) hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai thác trái phép tài nguyên hệ thống bảo vệ mà dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn vẹn tính sẵn sàng hệ thống.[6] Hệ thống IDS thu thập thông tin từ nhiều nguồn hệ thống bảo vệ sau tiến hành phân tích thông tin theo cách khác để phát xâm nhập trái phép Khi hệ thống IDS có khả ngăn chặn nguy xâm nhập mà phát gọi hệ thống phòng chống xâm nhập hay IPS Hình sau minh họa vị trí thường cài đặt IDS mạng: Hình 1.1: Các vị trí đặt IDS mạng 1.1.2 Sự khác IDS/IPS Có thể nhận thấy khác biệt hai khái niệm tên gọi: “phát hiện” “ngăn chặn” Các hệ thống IDS thiết kế với mục đích chủ yếu phát cảnh báo nguy xâm nhập mạng máy tính bảo vệ đó, hệ thống IPS khả phát tự hành động chống lại Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 53 Mỗi dòng tương ứng với giá trị đối tượng luận văn dòng thể liệu ghi kết nối Các giá trị thuộc tính cách dấu “,” 3.3 Cài đặt thuật toán K-Means thử nghiệm phân cụm phần tử dị biệt 3.3.1 Giới thiệu môi trƣờng cài đặt Chương trình viết ngôn ngữ C#.Net Visual Studio 2010 sử dụng phiên Net Framework 4.0 Các thuộc tính liệu đầu vào lưu thành trường liệu chương trình, lưu trữ hệ quản trị sở liệu Sql Server 2008 R2 Thuật toán K-mean thuật toán kinh điển cài đặt sử dụng rộng rãi Trong ta sử dụng thư viện thuật toán K-Means ứng dụng cho toán phát cụm di biệt thư viện sử dụng có tên IKVM.OpenJDK.Core.dll, IKVM.OpenJDK.Util.dll, IKVM.OpenJDK.Text.dll, IKVM.Runtime.JNI.dll, WekaSharp.dll 3.3.2 Các chức chƣơng trình Lƣu đồ thực chƣơng trình Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 54 a Đọc file liệu đầu vào Cho phép nhập liệu từ tệp có cấu trúc mô tả mục 3.2 Trước nhập liệu cho chương trình, người dùng chỉnh sửa giao diệ phần mềm Weka Để nhập liệu, người dùng nhấn vào nút “Chọn ”, sau tìm đến tệp liệu có cấu trúc lưu trữ máy tính có đuôi dạng *.arff Sau chọn tệp, liệu lấy thông tin cần thiết thuộc tính thực đưa vào sở liệu hiển thị lên nhóm “Chi tiết liệu” để phục vụ cho việc thực thuật toán dễ dàng Hình 3.5: Giao diện chọn liệu b Chi tiết liệu Nhóm chi tiết liệu: hiển thị thông tin ghi kết nối file liệu đầu vào, số dòng thứ tự ghi, cột thuộc tính chi tiết nội dung liệu ghi Do số lượng ghi liệu đầu thường lớn nên việc hiển thị chi tiết liệu thực với số lượng nhỏ để tránh ảnh hưởng tới tốc độ thực thi Mặc định liệu hiển thị đặt từ tới 100, Nếu muốn xem chi tiết ghi ta đánh số vào textbox liệu từ đến nhấn hiển thị để xem: Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 55 Hình 3.6: Hiển thị chi tiết liệu đầu vào Sau chọn file liệu đầu vào ta click vào button “Thực KMeans” để chuyển sang form thực thuật toán phân cụm ghi thông thường dị biệt c Tham số phân cụm K-Means Cho phép người dùng nhập tham số điều khiển cho thuật toán K-Means bao gồm: số cụm cần phân Theo phân tích chương việc phân cụm phát phần tử dị biệt ta chọn số cụm cần phân Chương trình cho phép thực hàm khoảng cách theo Euclid Sau lựa chọn đầy đủ tham số, người dùng nhấn nút “Thực K-Means” để chương trình xử lý tính toán Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 56 Hình 3.7: Form thực thuật toán K-Means Do số lượng ghi lớn nên việc thực hết khoảng phút máy tính có cấu hình CPU Celeron D 1,6GHZ nhớ Ram 1GB cho liệu có 49402 ghi kết nối Và khoảng 20 phút cho liệu có 49402 ghi (1/10) liệu KDD đầy đủ Sau thực xong thuật toán thông tin chi tiết phân cụm ghi hiển thị bảng bên trái Ta chọn chi tiết phân cụm từ ghi x đến y chọn hiển thị để xem chi tiết khoảng Thông tin số lần lặp, tổng bình phương lỗi khai tính khoảng cách Euclid cụm hiển thị “Kết phân cụm K-Means” phía bên phải form Các giá trị bị thay giá trị trung bình tính lại trọng tâm cho cụm Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 57 Hình 3.8: Kết thực thuật toán K-Means Bảng phân cụm cho ta thông tin chi tiết trọng tâm thuộc tính cụm, số ghi cụm Từ ta nhận thấy thông tin cụm thể nhiều biểu cụm ghi dị biệt, lấy ví dụ như: đăng nhập không thành công (login giá trị =0), Số giây kết nối duration ngắn, số kết nối tới host thời điểm khoản thời gian s trước với số kết nối tới có loại dịch vụ thời điểm khoản thời gian s trước lớn (biểu cho công) v.v Còn phần tử đánh dấu là ghi kết nối bình thường Việc nhận biết cụm bình thường dị biệt phụ thuộc vào giá trị thuộc tính vào số hay thuật toán K-Means khả nhận biết cụm có giá trị thuộc tính thuộc dạng Ở cuối bảng phân cụm thông số tỉ lệ % ghi thuộc cụm bình thường hay dị biệt cụ thể số ghi cụm: Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 58 Hình 3.9: Số ghi kết nối thuộc cụm Ảnh cho ta thấy kết thực thuật toán K-Means liệu lớn 49402 ghi 1/10 liệu KDD cup Kết cho thấy cụm liệu đánh số cụm chứa ghi kết nối thông thường cụm liệu đánh cụm ghi kết nối dị biệt Hình 3.10: Kết thực thuật toán K-Means với liệu có 494020 ghi kết nối Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 59 Ngoài chương trình cho phép lưu kết định dạng file text ta nhấn vào “Lưu kết file”, chọn đường dẫn, tên file save 3.4 Nhận xét, đánh giá chƣơng trình thử nghiệm Chương trình cài đặt dựa thuật toán K-Meana, sử dụng hai hàm khoảng cách phổ biến khoảng cách Euclid Cho phép người dùng tùy chọn số cụm, Khoảng cách tối đa seed thông số ảnh hưởng tới số lần lặp để kết cuối Kết thu phần tử phân theo cụm đánh số từ đến số cụm Nhược điểm chương trình kết hiển thị chưa trực quan Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 60 KẾT LUẬN VÀ HƢỚNG NGHIÊN CỨU KẾT LUẬN Trong luận văn tìm hiểu, nghiên cứu số vấn đề sau: - Luận văn trình bày lý thuyết công mạng kiểu công, phân cụm liệu, thuật toán K-Means phân cụm liệu dựa vào cụm trung tâm để ứng dụng vào phân cụm phần tự dị biệt kết nối - Giới thiệu cấu trúc, thuộc tính liệu KDD Cup 1999 phương pháp giảm số ghi liệu đầu vào - Luận văn cài đặt thuật toán phân cụm K-means để minh họa cho việc phân loại kết nối thông thường dị biệt Tuy nhiên chương trình có nhiều hạn chế kết hiển thị chưa trực quan định dạng tệp hỗ trợ đầu vào tệp *.arff HƢỚNG NGHIÊN CỨU Trong tương lai đề tài phát triển theo hướng nghiên cứu phần thu thập trực tiếp ghi kết nối từ mạng, thực phân loại có modul phát đâu kết nối thông thường, đâu kết nối dị biệt từ cảnh báo kết nối không an toàn lượng ghi kết nối thuộc nhóm dị biệt xuất nhiều Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 61 TÀI LIỆU THAM KHẢO Tiếng việt: [1] Vũ Lan Phương, “Nghiên cứu cài đặt số giải thuật phân cụm phân lớp”, 2006 (Đại học Bách khoa Hà Nội) [2] Hoàng Thị Toàn (2012), Nghiên cứu sở liệu KDD 99 ứng dụng cho bảo mật mạng, Đề tài nghiên cứu khoa học Tiếng Anh: [3] Han J and Kamber M, Data Mining: Concepts and Techniques 3rd Edition, Morgan Kaufman, Academic Press 2011 [4] Tapas Kanungo, An Efficient K-Means Clustering Algorithm: Analysis and Implementation, 2002 [5] Andrew Moore: “K-means and Hierarchical Clustering– TutorialSlides”,http://www2.cs.cmu.edu/~awm/tutorials/kmeans.html [6] IATAC , Intrusion Detection Systems - The Information Assurance Technology Analysis Center - Sixth Edition September 25, 2009 [7] Gerhard M¨unz, Sa Li, Georg Carle, Wilhelm Schickard, Traffic Anomaly Detection Using K-Means Clustering, University of Tuebingen, Germany, 2008 Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 62 PHẦN PHỤ LỤC Xử lý giao diện người dùng phần thuật toán K-Means using using using using using using using using using using using using using using using System.Configuration; System; weka; WekaSharp; weka.core; weka.clusterers; weka.core.matrix; System.Collections.Generic; System.ComponentModel; System.Data; System.Drawing; System.Linq; System.Text; System.Windows.Forms; System.IO; namespace GSSL { public partial class frmMain : Form { public string sFilePath; public int[] assignments; public frmMain() { InitializeComponent(); } private void btnThucHien_Click(object sender, EventArgs e) { int numberOfClusters=Convert.ToInt16(txtNumCluster.Text); Scripting.FileSystemObject MyFile = new Scripting.FileSystemObject(); string sFileName; Scripting.TextStream string sContents; string strR=""; Số hóa Trung tâm Học liệu - ĐHTN msgStream; http://www.lrc-tnu.edu.vn/ 63 Instances insts = new Instances(new java.io.BufferedReader(new java.io.FileReader(sFilePath))); weka.filters.unsupervised.attribute.StringToNominal filter = new weka.filters.unsupervised.attribute.StringToNominal(); filter.setAttributeRange("first"); filter.setInputFormat(insts); weka.filters.Filter.useFilter(insts, filter); SimpleKMeans kmeans = new SimpleKMeans(); kmeans.setSeed(Convert.ToInt16(txtSeed.Text)); // This is the important parameter to set kmeans.setPreserveInstancesOrder(true); kmeans.setNumClusters(numberOfClusters); kmeans.buildClusterer(insts); ClusterEvaluation eval = new ClusterEvaluation(); eval.setClusterer(kmeans); eval.evaluateClusterer(new Instances(insts)); kmeans.getClusterCentroids(); sContents= eval.clusterResultsToString(); sFileName = @"D:\DE TAI THAC SI\BoCai\Manguon\IDS\KDDCupOutPut.txt"; msgStream = MyFile.CreateTextFile(sFileName,true,true); msgStream.Write(sContents); msgStream.Close(); sContents = ""; //msgStream = MyFile.OpenTextFile(sFileName,Scripting.IOMode.ForReading,fal se,Scripting.Tristate.TristateTrue ); int i=0; string[] words; words = File.ReadAllLines(sFileName, Encoding.Default); for (i = 0; i < words.Length; i++) { //i = i + 1; string t = words[i].Trim(); t.Replace(" ", " "); t.Replace(" ", " "); t.Replace(" ", " "); t.Replace(" ", " "); t.Replace(" ", " "); t.Replace(" ", " "); string[] strlv = t.Split(' '); Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 64 t = t.Replace("Attribute", "Thuộc tính"); t = t.Replace("Number of iteration", "Số lần lặp"); t = t.Replace("Missing values globally replaced with mean/mode", "Toàn giá trị bị thay trung bình/mode"); t = t.Replace("Full Data", "Dữ liệu đầy đủ"); t = t.Replace("Cluster centroids", "Trọng tâm cụm");t = t.Replace("Cluster", "Cụm "); t = t.Replace("Within cluster sum of squared errors", "Tổng bình phương lỗi cụm"); t = t.Replace("Clustered Instances", "Các cụm phân"); if (i == 11) { ListViewItem lvt = new ListViewItem("Số ghi"); for (int j = 0; j < strlv.Length; j++) { if (strlv.ElementAt(j).ToString() != "") { ListViewItem.ListViewSubItem lvt1 = new ListViewItem.ListViewSubItem(lvt, strlv[j].ToString()); lvt.SubItems.Add(lvt1); } } lvtResullt.Items.Add(lvt); } if (i > 12) { //t.Replace("\t", "\t\t\t\t"); strR = ""; for (int j = 0; j < strlv.Length; j++) { if (strlv.ElementAt(j).ToString() != "") { strR = strR + strlv[j].ToString() + " "; } } string[] strv = strR.Split(' '); ListViewItem lvt = new ListViewItem(strv); Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 65 lvtResullt.Items.Add(lvt); } if (i > && i < 7) { txtEvalue.Text = txtEvalue.Text + " \r\n " + t; } } //while (msgStream.AtEndOfStream == false); msgStream.Close(); assignments = kmeans.getAssignments(); DataDetail(); } private void txtKetQua_TextChanged(object sender, EventArgs e) { } private void txtEvalue_TextChanged(object sender, EventArgs e) { } private void groupBox1_Enter(object sender, EventArgs e) { } private void groupBox2_Enter(object sender, EventArgs e) { } private void DataDetail() { int i, start, stop; start = 0; stop = 100; start = Convert.ToInt32(txtFrom.Text); stop = Convert.ToInt32(txtTo.Text); if (start < || stop < start) { MessageBox.Show("Giá trị bắt đầu cần > 0, Giá trị kết thúc cần > = giá trị bắt đầu", "Thông Báo", MessageBoxButtons.OK); return; } for (i = 0; i < assignments.Length; i++) { Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 66 ListViewItem lvt = new ListViewItem("Bản ghi " + i.ToString()); ListViewItem.ListViewSubItem lvt1 = new ListViewItem.ListViewSubItem(lvt, assignments[i].ToString()); lvt.SubItems.Add(lvt1); lvDetail.Items.Add(lvt); } } private void label2_Click(object sender, EventArgs e) { } private void btnLuuKQ_Click(object sender, EventArgs e) { saveFileDialog.ShowDialog(); } private void txtEvalue_TextChanged_1(object sender, EventArgs e) { } private void groupBox3_Enter(object sender, EventArgs e) { } private void btnHienthi_Click(object sender, EventArgs e) { DataDetail(); } } } Số hóa Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ [...]... kĩ thuật xâm nhập đã được biết đến (dựa trên các dấu hiệu - signatures) hoặc các điểm dễ bị tấn công của hệ thống - Phát hiện sự bất thường (Anomaly Detection Model): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các hành động khác với hành vi thông thường của người dùng hay hệ thống 1.4.1 Mô hình phát hiện sự lạm dụng Phát hiện sự lạm dụng là phát hiện những kẻ xâm nhập đang cố gắng đột nhập. .. chi tiết và chính xác hơn một hệ network-based IDS • Phát hiện các xâm nhập mà NIDS bỏ qua: chẳng hạn kẻ đột nhập sử dụng bàn phím xâm nhập vào một server sẽ không bị NIDS phát hiện • Thích nghi tốt với môi trường chuyển mạch, mã hoá: Việc chuyển mạch và mã hoá thực hiện trên mạng và do HIDS cài đặt trên máy nên nó không bị ảnh hưởng bởi hai kỹ thuật trên • Không yêu cầu thêm phần cứng: Được cài đặt trực... phát hiện Do các kịch bản xâm nhập có thể được đặc tả một cách chính xác, các hệ thống phát hiện sự lạm dụng sẽ dựa theo đó để theo vết hành động xâm nhập Trong một chuỗi hành động, hệ thống phát hiện có thể đoán trước được bước tiếp theo của hành động xâm nhập Bộ dò tìm phân tích thông tin hệ thống để kiểm tra bước tiếp theo, và khi cần sẽ can thiệp để làm giảm bởi tác hại có thể 1.4.2 Mô hình phát hiện. .. thống phát hiện xâm nhập thực hiện, nó xem xét các sự kiện liên quan đến thực thể hoặc các hành động là thuộc tính của thực thể Chúng xây dựng thêm một dữ liệu hiện tại Các hệ thống phát hiện xâm nhập thế hệ trước phải phụ thuộc vào các bản ghi kiểm tra (audit record) để bắt giữ các sự kiện hoặc các hành động liên quan Các hệ thống sau này thì ghi lại một cơ sở dữ liệu đặc tả cho phát hiện xâm nhập. .. ràng dấu hiệu khác Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/ 17 Chƣơng 2 PHÁT HIỆN XÂM NHẬP DỰA TRÊN THUẬT TOÁN K-MEANS 2.1 Thuật toán K-means 2.1.1 Các khái niệm a Phân nhóm dữ liệu K-Means Thuật toán phân cụm K-means do MacQuean đề xuất trong lĩnh vực thống kê năm 1967 Đây là thuật toán truyền thống được sử dụng phổ biến Ý tưởng của phương pháp này là từ tập ban đầu ta tìm một... hiệu xuất phát từ đây Ví dụ: nhiều cuộc tấn công DoS, TearDrop (phân nhỏ) chỉ bị phát hiện khi xem header của các gói tin lưu chuyển trên mạng • Khó xoá bỏ dấu vết (evidence): Các thông tin lưu trong log file có thể bị kẻ đột nhập sửa đổi để che dấu các hoạt động xâm nhập, trong tình huống này HIDS khó có đủ thông tin để hoạt động NIDS sử dụng lưu thông hiện hành trên mạng để phát hiện xâm nhập Vì thế,... thực hoặc các tài liệu dễ bị xâm phạm khác trên mạng • Chiếm tài nguyên hệ thống: Do cài đặt trên các máy cần bảo vệ nên HIDS phải sử dụng các tài nguyên của hệ thống để hoạt động như: bộ vi xử lí, RAM, bộ nhớ ngoài Có hai cách tiếp cận cơ bản đối với việc phát hiện và phòng chống xâm nhập là: - Phát hiện sự lạm dụng (Misuse Detection Model): Hệ thống sẽ phát hiện các xâm nhập bằng cách tìm kiếm các... kẻ đột nhập không thể xoá bỏ được các dấu vết tấn công Các thông tin bắt được không chỉ chứa cách thức tấn công mà cả thông tin hỗ trợ cho việc xác minh và buộc tội kẻ đột nhập • Phát hiện và đối phó kịp thời: NIDS phát hiện các cuộc tấn công ngay khi xảy ra, vì thế việc cảnh báo và đối phó có thể thực hiện được nhanh hơn VD: Một hacker thực hiện tấn công DoS dựa trên TCP có thể bị NIDS phát hiện và... các gói tin trên mạng rộng hoặc có mật độ lưu thông cao, dẫn đến không thể phát hiện các cuộc tấn công thực hiện vào lúc "cao điểm" Một số nhà sản xuất đã khắc phục bằng cách cứng hoá hoàn toàn IDS nhằm tăng cường tốc độ cho nó Tuy nhiên, do phải đảm bảo về mặt tốc độ nên một số gói tin được bỏ qua có thể gây lỗ hổng cho tấn công xâm nhập • Tăng thông lượng mạng: Một hệ thống phát hiện xâm nhập có thể... sử dụng trong cả quá trình hoặc trên một đơn vị thời gian: chiều dài phiên giao dịch, số các thông điệp gửi ra mạng trong một đơn vị thời gian,… • Chuỗi biểu diễn các hành động Sau khi khởi tạo dữ liệu cơ sở, quá trình phát hiện xâm nhập có thể được bắt đầu Phát hiện động lúc này cũng giống như phát hiện tĩnh ở đó chúng kiểm soát hành vi bằng cách so sánh mô tả đặc điểm hiện tại về hành vi với mô tả ... thuật toán, ví dụ minh họa thuật toán, tập liệu kiểm thử mô hình phát xâm nhập dựa thuật toán K-means Chƣơng 3: Chương kết cài đặt toán phát xâm nhập dựa thuật toán k-means Số hóa Trung tâm Học... Chƣơng KHÁI QUÁT BÀI TOÁN PHÁT HIỆN XÂM NHẬP 1.1 Định nghĩa phát xâm nhập 1.1.1 Định nghĩa Hệ thống phát xâm nhập (IDS) hệ thống có nhiệm vụ theo dõi, phát (có thể) ngăn cản xâm nhập, hành vi khai... nhập như: định nghĩa, thành phần chức hệ thống, phân loại, phương pháp phát xâm nhập Chƣơng 2: Chương trình bày việc phát xâm nhập dựa thuật toán K-means Nội dung thuật toán, ví dụ minh họa thuật