Đang tải... (xem toàn văn)
Những nỗ lực đáng kể gần đây dành cho sự phát triển của hệ thống quản lý cơ sở dữ liệu (DBMS)nhằm đảm bảo an ninh tốt hơn . Một phần quan trọng của bất kì giải pháp bảo mật mạnh mẽ nào là Intrusion Detection (ID), nó có thể phát hiện hành vi bất thường của các ứng dụng và người dùng. Ngày nay có rất ít các cơ chế ID đề xuất các thiết kế đặc biệt để hoạt động trong các DBMS. Trong bài báo này, chúng tôi đề xuất một cơ chế như vậy. Phương pháp tiếp cận của chúng tôi là dựa trên khai thác truy vấn SQL được lưu trữ trong tập tin đăng nhập của cơ sở dữ liệu kiểm toán. Kết quả của quá trình khai thác tài nguyên được sử dụng để tạo ra các cấu hình có thể mô hình hành vi bình thường truy cập cơ sở dữ liệu và xác định những kẻ xâm nhập. Chúng tôi xem xét hai kịch bản để giải quyết vấn đề. Trong trường hợp đầu tiên , chúng tôi giả định rằng cơ sở dữ liệu có một Role Based Access Control (RBAC) mô hình tại chỗ. Ở dưới một hệ thống RBAC cho phép được liên kết với các vai trò, nhóm nhiều người dùng, hơn là với những người dùng duy nhất. Một lợi ích quan trọng của việc cung cấp một kỹ thuật ID cụ thể phù hợp với cơ sở dữ liệu RBAC là nó có thể giúp bảo vệ chống lại các mối đe dọa nội bộ. Hơn nữa, sự tồn tại của vai trò làm cho việc dùng phương pháp tiếp cận của chúng tôi có thể dùng cả với các cơ sở dữ liệu với lượng người dùng lớn. Trong kịch bản thứ hai , chúng tôi giả định rằng không có vai trò liên quan đến người sử dụng cơ sở dữ liệu. Trong trường hợp này, chúng ta nhìn trực tiếp vào các hành vi của người dùng. Chúng tôi sử dụng các thuật toán phân nhóm để tạo thành các hồ sơ ngắn gọn đại diện cho hành vi người dùng bình thường. Để phát hiện, chúng tôi sử dụng các cụm cấu hình như vai trò hoặc sử dụng kỹ thuật phát hiện outlier để xác định hành vi lệch từ các cấu hình. Thử nghiệm đánh giá sơ bộ của chúng tôi trên cả hai cơ sở dữ liệu thực tế và tổng hợp các dấu vết cho thấy phương pháp của chúng tôi làm việc tốt trong các tình huống thực tế.
NHẬN XÉT CỦA GIÁO VIÊN MỤC LỤC Trang Nhận xét giáo viên Mục lục Danh mục hình vẽ Lời nói đầu Giới thiệu 1.1 Methodology( Phương pháp) .6 1.2 System architecture( Kiến trúc hệ thống) .8 1.3 Related work( công việc liên quan) .9 1.4 Paper roadmap (lộ trình phát triển) 11 Trình bày liệu .12 Vai Trò Phát Hiện Bất Thường .16 3.1 Phân Loại 16 3.2 Thử Nghiệm Đánh Giá .19 3.2.1 Tập hợp liệu .20 3.3 Kết .21 Phát dị thường không bị giám sát 24 4.1 Hàm khoảng cách .26 4.2 Thuật toán nhóm cụm 27 4.2.1 k-centers 27 4.2.2 k-means 28 4.3 Phương pháp phát bất thường 29 4.4 Đánh giá thử nghiệm 30 Kết Luận 34 2 DANH MỤC CÁC HÌNH VẼ, BẢNG Danh mục hình vẽ Trang Hình Tổng quan trình ID Bảng Ví dụ xây dựng Quiplet 16 Hình Zipf phân phối cho mẫu N = 10 19 Hình Hình 3: Tập liệu 2: Mô tả vai trò 22 Bảng Dữ liệu thực tế: Tỉ lệ xác thực sai từ chối sai 23 Hình Dữ liệu thực tế: Tỉ lệ xác thực sai từ chối sai 25 Hình Dữ liệu thực tế: Tỉ lệ xác thực sai từ chối sai 25 Hình Tập liệu không giám sát: Thuật toán k-means - Tỉ lệ xác thực sai từ chối sai phương thức phát Naive Bayes Hình Tập liệu không giám sát: Thuật toán k-centers - Tỉ lệ xác thực sai từ chối sai phương thức phát Naive Bayes Hình Tập liệu không giám sát: Thuật toán k-means - Tỉ lệ xác thực sai từ chối sai phương thức phát ngoại tuyến Hình Tập liệu không giám sát: Thuật toán k-centers - Tỉ lệ xác thực sai từ chối sai phương thức phát ngoại tuyến Hình 10 Tập liệu không giám sát: Tỉ lệ xác chối sai phương thức phát ngoại tuyến với xâm nhập truy vấn từ phân bố xác suất khác 31 31 33 32 33 Lời Nói Đầu Những nỗ lực đáng kể gần dành cho phát triển hệ thống quản lý sở liệu (DBMS)nhằm đảm bảo an ninh tốt Một phần quan trọng giải pháp bảo mật mạnh mẽ Intrusion Detection (ID), phát hành vi bất thường ứng dụng người dùng Ngày có chế ID đề xuất thiết kế đặc biệt để hoạt động DBMS Trong báo này, đề xuất chế Phương pháp tiếp cận dựa khai thác truy vấn SQL lưu trữ tập tin đăng nhập sở liệu kiểm toán Kết trình khai thác tài nguyên sử dụng để tạo cấu hình mô hình hành vi bình thường truy cập sở liệu xác định kẻ xâm nhập Chúng xem xét hai kịch để giải vấn đề Trong trường hợp , giả định sở liệu có Role Based Access Control (RBAC) mô hình chỗ Ở hệ thống RBAC cho phép liên kết với vai trò, nhóm nhiều người dùng, với người dùng Một lợi ích quan trọng việc cung cấp kỹ thuật ID cụ thể phù hợp với sở liệu RBAC giúp bảo vệ chống lại mối đe dọa nội Hơn nữa, tồn vai trò làm cho việc dùng phương pháp tiếp cận dùng với sở liệu với lượng người dùng lớn Trong kịch thứ hai , giả định vai trò liên quan đến người sử dụng sở liệu Trong trường hợp này, nhìn trực tiếp vào hành vi người dùng Chúng sử dụng thuật toán phân nhóm để tạo thành hồ sơ ngắn gọn đại diện cho hành vi người dùng bình thường Để phát hiện, sử dụng cụm cấu vai trò sử dụng kỹ thuật phát outlier để xác định hành vi lệch từ cấu hình Thử nghiệm đánh giá sơ hai sở liệu thực tế tổng hợp dấu vết cho thấy phương pháp làm việc tốt tình thực tế Trong trình thực đề tài nhóm em không khỏi mắc phải thiếu sót Mong thầy đóng góp ý kiến để chúng em hoàn thiện tốt đề tài sau Em xin chân thành cảm ơn! Sinh viên thực hiện: Hà văn Trường Nguyễn việt Long La Khắc Điệp Đỗ văn Tiền Nguyễn Tỉnh 4 Kiểm toán sở liệu Phát mẫu truy cập bất thường sở liệu quan hệ Giới thiệu Ngày nay, liệu tài sản quan trọng cho công ty tổ chức Có liệu trị giá hàng triệu USD tổ chức cần phải cần thần việc kiểm soát truy cập vào liệu, người dùng bên tổ chức người dùng bên Bảo mật liệu quan trọng giải vấn đề liên quan đến riêng tư liệu liên quan đến cá nhân công ty tổ chức quản lý liệu cần phải cung cấp đảm bảo mạnh mẽ tính bảo mật liệu để thực theo quy định pháp luật sách Nhìn chung, bảo mật liệu có vai trò trung tâm bối cảnh lớn hệ thống an toàn thông tin Vì , phát triển Database Management Systems (DBMS) với đảm bảo an toàn cao vấn đề nghiên cứu trọng tâm Sự phát triển DBMS yêu cầu phiên kiến trúc công nghệ thông qua DBMS truyền thống Một phần quan trọng hệ security-aware DBMS chế Intrusion Detection (ID) Mặc dù DBMS cung cấp chế kiểm soát truy cập, riêng chế không đủ để đảm bảo an toàn liệu Chúng cần phải bổ sung chế ID phù hợp , việc sử dụng chế quan trọng để bảo vệ chống lại công mạo danh chống lại mã độc hại nhúng vào chương trình ứng dụng Ngoài chế ID giúp đỡ việc giải vấn đề mối đe dọa nội bộ, vấn đề ngày quan trọng tổ chức mà không đưa nhiều giải pháp Tuy nhiên, thực tế xây dựng hệ thống ID cho mạng hệ điều hành có khu vực hoạt động nghiên cứu, có vài hệ thống ID thiết kế đặc biệt vào DBMS Mục tiêu công trình nghiên cứu báo để giải nhu cầu cách điều tra phát triển hệ thống ID DBMS cụ thể Có hai lý thúc đẩy cần thiết hệ thống ID Đầu tiên hành động coi độc hại cho ứng dụng sở liệu không thiết độc hại cho mạng hệ điều hành; hệ thống ID thiết kế đặc biệt cho sau hiệu để bảo vệ sở liệu Thứ hai, phù hợp hơn, hệ thống ID thiết kế cho mạng hệ điều hành không đủ để bảo vệ sở liệu chống lại mối đe dọa nội bộ, vấn đề quan trọng 5 giao dịch riêng tư Có nhiều khó khăn để bảo vệ chống lại mối đe dọa, chúng xuất phát từ đối tượng người dùng hợp pháp hệ thống, có quyền truy cập vào liệu tài nguyên Một điểm bổ sung cần làm rõ không cung cấp định nghĩa thức an ninh mà chế ID DBMS cụ thể phải đảm bảo Tuy nhiên, cho định nghĩa cần thiết Cụ thể hơn, hệ thống ID hoạt động cấp DBMS không chịu trách nhiệm để đảm bảo yêu cầu bảo mật định bảo đảm Đây trách nhiệm thành phần khác sở hạ tầng an ninh Mục tiêu hệ thống ID để xác định mô hình truy cập không mong muốn người dùng có thẩm quyền (và ứng dụng) báo cáo với bên liên quan, chẳng hạn DataBase Administrator (DBA) or the Site Security Officer (SSO) Hành động đáng ngờ dấu hiệu công có tổ chức người sử dụng ủy quyền (các mối đe dọa nội bộ), số trường hợp hữu ích để tiếp tục tinh chỉnh yêu cầu an ninh ban đầu hệ thống 1.1 Methodology( Phương pháp) Chìa khóa ý tưởng cách tiếp cận xây dựng hồ sơ hành vi người dùng bình thường tương tác với sở liệu Chúng dùng cấu hình để phát hành vi bất thường.Trong bối cảnh này, cách tiếp cận xem xét hai kịch ứng dụng khác Chúng cho sở liệu có Role Based Access Control (RBAC) mô hình chỗ Giấy phép quy định cụ thể liên quan đến vai trò liên quan đến người dùng cá nhân nhiều vai trò gán cho người dùng Hệ thống ID xây dựng hồ sơ cá nhân cho vai trò xác định vai trò kẻ xâm nhận, cá nhân nắm giữ vai trò cụ thể chệch khỏi hành vi bình thường vai trò Việc sử dụng vai trò làm cho cách tiếp cận sử dụng sở liệu với số đông người dùng Quản lý vài vai trò hiệu nhiều so với quản lý nhiều người dùng cá nhân Với liên quan đến ID, cách sử dụng vai trò có nghĩa số lượng hồ sơ để xây dựng trì nhỏ nhiều so với người dùng cá nhân RBAC chuẩn hóa Trong trường hợp thứ hai, giải vấn đề điều kiện DBMS mà định nghĩa vai trò Đây trường hợp cần phải xem xét tất tổ chức phải tuân theo mô hình RBAC cho người dùng ủy quyền sở liệu họ Trong bối cảnh vậy, giao dịch có liên quan đến người sử dụng phát hành Một phương pháp tiếp cận cho ID thiết lập xây dựng hồ sơ khác cho người sử dụng Đối với hệ thống với sở người dùng lớn cách tiếp cận hiệu Hơn nữa, nhiều người dùng 6 hệ thống gửi truy vấn liệu Trong trường hợp người dùng hoạt động cao,hồ sơ phù hợp hơn, người dùng không hoạt động hồ sơ không phù hợp Trong trường hợp đầu tiên, thấy số lượng lớn báo động sai, trường hợp thứ hai dẫn đến số lượng lớn báo động bị mất, báo động cần phải có nâng lên Chúng khắc phục khó khăn cách xây dựng nhóm người sử dụng hồ sơ dựa người sử dụng giao dịch gửi đến sở liệu Do hồ sơ, xác định bất thường mô hình truy cập lệch từ cấu hình Bài viết nêu giải pháp ID thiết kế đặc biệt cho hệ thống sở liệu, vấn đề giải sau: làm để xây dựng trì xác hồ sơ đại diện quán hành vi người dùng Dùng hồ sơ để thực nhiệm vụ ID Các giải pháp cho hai vấn đề dựa việc sử dụng dấu vết “intrusion free (xâm nhập miễn phí)” sở liệu ghi sở liệu log kiểm toán đại diện cho hành vi người dùng bình thường Tuy nhiên, thông tin chứa dấu vết khác tùy thuộc vào tình ứng dụng câu hỏi Khi vai trò thông tin không tồn tại, vấn đề chuyển đổi thành vấn đề có giám sát Hình Tổng quan trình ID Phân loại A đào tạo cách dùng tập hợp hồ sơ đào tạo xâm nhập Sau phân loại sử dụng để phát hành vi bất thường Ví dụ, người cho để có vai trò cụ thể phân loại hành vi phân loại họ mang vai trò khác, cảnh báo nâng lên Mặt khác, trường hợp thông tin vai trò, hình thành giải pháp dựa kỹ thuật không giám sát Chúng sử dụng thuật toán phân nhóm để xây dựng nhóm người sử dụng Những nhóm 7 giúp DBA việc định vai trò để xác định Với người dùng, trì sơ đồ nhóm đại diện Với giai đoạn ID, định hai cách tiếp cận khác Phương pháp tiếp cận đầu tiên, xử lý vấn đề theo cách thức tương tự trường hợp giám sát với nhóm giống lớp phân loại Cách tiếp cận thứ hai, xử lý giai đoạn phát Khi đó, báo động nâng lên cho truy vấn đánh dấu outlier cụm đại diện Thách thức việc công trích xuất thông tin xác từ dấu vết sở liệu, hồ sơ xác xây dựng Để giải vấn đề này, đưa số đại diện cho hồ sơ đăng nhập sở liệu, đặc trưng đặc tính khác nhau, tương ứng, mức độ xác khác Bằng cách sử dụng đại diện giải kịch vấn đề phân loại kịch thứ hai vấn đề phân nhóm 1.2 System architecture (Kiến trúc hệ thống) Kiến trúc hệ thống bao gồm ba thành phần chính: thông thương chế DBMS xử lý trình thực truy vấn, tập tin đăng nhập sở liệu kiểm toán chế ID Các thành phần tạo thành DBMS mở rộng tăng cường với hệ điều hành độc lập ID cấp sở liệu Tổng quan trình ID thể hình Đầu tiên, chọn tính chuyển đổi truy vấn SQL thành quiplet hình hỗ trợ chế ID(xem phần 2) Các công cụ phát sau kiểm tra quiplet chống lại cấu hình có trình đánh giá truy vấn (bất thường không bất thường) công cụ phản ứng Các công cụ đáp ứng tham khảo sở sách chế phản ứng đáp ứng tùy thuộc vào đánh giá truy vấn gửi công cụ phát Một truy vấn bất thường không thiết bao hàm xâm nhập Các thông tin sách an ninh phải đưa vào tài khoản Ví dụ, người dùng đăng nhập vai trò thực số hoạt động đặc biệt để quản lý trường hợp khẩn cấp, chế ID hướng dẫn để nâng báo động trường hợp Nếu kết đáp ứng định để nâng cao báo thức, số hành động để xử lý thealarm thực Các hành động phổ biến gửi cảnh báo cho người quản trị bảo mật Tuy nhiên, hành động khác (hình 1), chẳng hạn vô hiệu hóa vai trò ngắt kết nối người sử dụng truy cập thả truy vấn Nếu cách đánh giá, truy vấn bất thường, kết đáp ứng đơn giản cập nhật ghi kiểm toán sở liệu cấu hình với thông tin truy vấn Trước phát hiện, module tạo hồ sơ cá nhân tạo cấu hình ban đầu từ tập hợp hồ sơ xâm nhập miễn phí từ sở liệu log kiểm tra 1.3 Related work (Công việc liên quan) 8 Một số phương pháp tiếp cận đối phó với ID cho hệ điều hành mạng lưới phát triển Tuy nhiên chúng không đầy đủ để bảo vệ sở liệu Một mức độ trừu tượng cao kiến trúc DBMS kết hợp với thành phần ID đề xuất gần Tuy nhiên, công việc chủ yếu tập trung giải pháp chung chung đề xuất phương pháp tiếp cận thuật toán cụ thể Cuối cùng, phương pháp để ID mô tả dùng cho ứng dụng thời gian thực, chẳng hạn giao dịch chứng khoán lập trình tương tác với sở liệu Ý tưởng công việc để khai thác thuộc tính thời gian thực liệu để thực nhiệm vụ ID Kỹ thuật phát bất thường để phát công vào ứng dụng web thảo luận Vigna et al [15] Ý tưởng dựa phương pháp tiếp cận để phát công SQL đề xuất Valeur et al [26] Cơ sở công việc tương tự việc sử dụng kỹ thuật để phát công SQL dựa sở liệu Tuy nhiên, phương pháp họ tập trung vào việc phát công chống lại sở liệu back-end sử dụng ứng dụng dựa web Như vậy, kiến trúc ID thuật toán phù hợp với bối cảnh Chúng đề xuất cách tiếp cận mục đích chung phát mẫu truy cập bất thường sở liệu đại diện truy vấn SQL gửi đến sở liệu Một phát bất thường hệ thống sở liệu quan hệ đề xuất Spalka et al [24 ] Công trình tập trung vào phát bất thường trạng thái sở liệu cụ thể thể liệu mối quan hệ Kỹ thuật họ sử dụng chức thống kê để so sánh giá trị tham khảo cho mối quan hệ thuộc tính theo dõi để phát bất thường Kỹ thuật thứ hai giới thiệu khái niệm quan hệ ghi lại lịch sử thay đổi giá trị liệu thuộc tính giám sát hệ thống phát bất thường Công việc bổ sung cho công việc tập trung vào khía cạnh ngữ nghĩa truy vấn SQL cách phát trạng thái sở liệu bất thường đại diện liệu mối quan hệ, tập trung vào khía cạnh cú pháp cách phát mẫu truy cập bất thường DBMS Một cách tiếp cận khác phù hợp hướng tới chế ID sở liệu cụ thể Hu et al [13] Họ đề xuất chế cho việc tìm kiếm mối quan hệ phụ thuộc liệu giao dịch sử dụng thông tin để tìm bất thường ẩn ghi sở liệu Nguyên nhân phương pháp tiếp cận họ sau: mục liệu cập nhật, cập nhật không xảy mình, kèm với tập hợp kiện khác đăng tập tin ghi lưu sở liệu Do đó, lần cập nhật mục đặc trưng ba bộ: đọc, mục đọc cập nhật, viết trước, thiết lập hạng mục viết trước cập nhật, 9 tập hợp viết, tập hợp mục viết sau cập nhật kết nó.Cách tiếp cận xác định giao dịch độc hại cách so sánh cập nhật mục khác Một cách tiếp cận nữalà khái niệm tương tự sở hệ thống DEMIDS [7] EMIDS phát lạm dụng hệ thống, phù hợp cho hệ thống sở liệu quan hệ Nó dùng liệu đăng nhập kiểm toán để lấy hồ sơ mô tả mô hình điển hình truy cập người sử dụng sở liệu.Cần thiết cách tiếp cận giả định mô hình truy cập người sử dụng thường tạo thành phạm vi hoạt động bao gồm thuộc tính thường tham chiếu với số giá trị DEMIDS giả sử kiến thức cấu trúc ngữ nghĩa liệu mã hóa lược đồ sở liệu định.Các biện pháp từ xa sau sử dụng để hướng dẫn tìm kiếm cho tập phổ biến mô tả phạm vi làm việc người sử dụng Hạn chế cách tiếp cận số lượng người sử dụng cho hệ thống sở liệu lớn trì (hoặc cập nhật) cấu hình cho số lượng lớn người sử dụng khó Hơn nữa, cách tiếp cận sử dụng DEMIDS để xây dựng hồ sơ người dùng yêu cầu giả thiết sở liệu định giản đồ Điều ảnh hưởng đến việc áp dụng phương pháp Cách tiếp cận xây dựng hồ sơ cách sử dụng thông tin cú pháp từ truy vấn SQL xuất ghi sở liệu làm cho cách tiếp cận tổng quát Lee et al.[18] cách tiếp cận để phát truy cập sở liệu bất hợp pháp vân tay giao dịch Đây công nghệ tóm tắt câu lệnh SQL vào dấu vân tay biểu thường nhỏ gọn Hệ thống phát xâm nhập cách kết hợp báo cáo SQL với tập dấu vân tay giao dịch hợp pháp sở liệu Công việc phân loại hệ thống ID dựa khái niệm chữ ký khác từ phương pháp mà đề xuất báo Ngoài phương pháp tiếp cận trên, công việc trước truy vấn [6] mô tả chế ID DBMS cụ thể Tuy nhiên, công việc mà tập trung việc xác định loại hình cụ thể kẻ xâm nhập, cụ thể người gây công truy vấn Một người kĩ sư dùng công sở liệu với truy vấn làm cạn kiệt nguồn tài nguyên DBMS làm cho khả phục vụ người sử dụng hợp pháp Cuối cùng, viết mở rộng công việc theo hai hướng Chúng tăng cường biểu diễn truy vấn SQL cách lấy thông tin từ truy vấn Điều có ích việc phát bất thường củacác đặc tính vị ngữ truy vấn sửa đổi mà không cần chạm vào thuộc tính dự kiến Hơn nữa, công việc trước trường hợp mà vai trò thông tin có sẵn kiểm toán sở liệu đăng nhập Trong thiết lập vấn đề ID giảm xuống vấn đề giám sát Ở đây, xem xét 10 10 khai cho ứng dụng Đối với mô hình truy cập truy vấn SQLmô hình sở liệu triển khai thực tế, Tổng hình thức hàm phân bố xác suất Zipf (pdf) thường sử dụng để mô hình truy cập không đồng Pdf Zipf, biến ngẫu nhiên X, định nghĩa sau: Trong N số phần tử s tham số đặc trưng cho phân bố Hình cho thấy hàm mật độ tích lũy cho phân phối Zipf N = 10 giá trị khác s Giả sử N biểu thị số lượng bảng lược đồ sở liệu theo số tiêu chí trật tự từ điển Sau số cho thấy rằng, gia tăng, khối lượng xác suất tích lũy nửa trái giản đồ, làm cho mô hình truy cập nhiều lệch Đối với thí nghiệm chúng tôi, sử dụng đảo ngược Zipf phân phối hình ảnh phản chiếu tương ứng Zipf hình thành với trục thẳng đứng Hình Zipf phân phối cho mẫu N = 10 Trước mô tả kết thử, cung cấp phác thảo ngắn gọn thủ tục hệ toàn liệu truy vấn bất thường 3.2.1 Tập hợp liệu Bộ liệu tổng hợp: Các liệu tổng hợp tạo theo mô hình sau đây: Mỗi vai trò r có xác suất, p (r), xuất tập tin đăng nhập Ngoài ra, để r quy định cụ thể vấn đề sau khả năng: (i) xác suất việc sử dụng lệnh cho c vai trò, p (cjr), (ii) xác suất dự án t bảng đưa vai trò lệnh, p (Ptjr c), (iii) xác suất dự thuộc tính bảng T cho vai trò, bảng lệnh, p (Pajr; t; c), (iv) xác suất cách sử dụng bảng t mệnh đề lựa chọn cho vai trò lệnh, p (Stjr c) cuối cùng, 20 20 (v) xác suất cách sử dụng lúc t vị ngữ truy vấn vai trò, bảng lệnh, p (Sajr; t; c) Chúng sử dụng bốn lại khác với loại chức phân phối xác suất cụ thể là, thống nhất, Zipf, đảo ngược Zipf đa thức Thiết lập liệu: Các số liệu sử dụng để đánh giá phương pháp tiếp cận bao gồm 8368 SQL từ ứng dụng trình truy vấn máy chủ MS SQL sở liệu Các lược đồ sở liệu bao gồm 130 bảng 1201 cột Các truy vấn liệu bao gồm kết hợp lựa chọn, chèn cập nhật lệnh với 7583 lệnh chọn, 213 lệnh chèn 572 lệnh cập nhật Có phụ truy vấn Ngoài ra, vai trò thông tin sẵn, xem xét ứng dụng Đối với mô tả chi tiết tập liệu độc giả xem [28] Truy vấn bất thường: Truy vấn thiết lập bất thường lưu giữ mối đe dọa nội Đối với điều này, tạo truy vấn bất thường từ phân phối xác suất giống bình thường truy vấn, với vai trò thông tin phủ nhận Ví dụ, thông tin vai trò liên kết với truy vấn bình thường 0, sau đơn giản thay đổi vai trò với vai trò khác làm cho truy vấn bất thường 3.3 Kết Bây mô tả tập liệu tổng hợp mà sử dụng Lược đồ sở liệu bao gồm100 bàn 20 cột bảng Thuộc tính vai trò csdl Truy vấn SQL trình mô hình cho vai trò quản lý pdf, Zipf (N = 4; s = 1) Hai vai trò đọc, mà họ sử dụng lệnh lựa chọn với xác suất Vai trò truy cập vào bảng với pdf, Zipf (100), cột với pdf, Zipf (20; s) Thay đổi tham số Tương tự, vai trò thứ hai truy cập vào bảng cột với pdf phối tương ứng R Zipf (100) R Zipf (20) Vai trò thứ đọc-ghi mà họ phát hành lựa chọn, chèn, xóa cập nhật lệnh với xác suất 00:01; 00:01; 00:01 00:07 Lựa chọn, xóa chèn lệnh, vai trò truy cập vào tất bảng cột bảng với xác suất thống Vai trò thứ ba thực lệnh cập nhật với một, pdf Zipf (100), thứ tư với R pdf, Zipf (100, s) Chúng sử dụng liệu huấn luyện kích thước cardinality 5000 thiết lập tham số m (phương trình 2) đến 100 Hình cho thấy đường (FP) vàTỷ lệ âm (FN) cho giá trị ngày tăng s FP tỷ lệ FN-f quiplet thấp số ba loại quiplet Ngoài ra, thực truy cập sở liệu trở nên sai lệch cách tăng s, FP tỷ lệ cho quiplet-f xuống Chúng tạo tập liệu thứ hai sau Các lược đồ sở liệu tương tự tập liệu với 100 bảng 20 cột bảng Tuy nhiên, có vai trò truy cập vào sở liệu thể 21 21 hình Vai trò đến đọc vai trò 7, đọc-ghi Hình cho thấy tỷ lệ FP FN tập liệu Một quan sát hoạt động m-quiplet thực tốt so với f-quiplet cho giá trị thấp so sánh-f quiplet cho giá trị cao s Điều cho thấy m-quiplet thay hiệu cho-f quiplet cho DBMS với mô hình truy cập tương tự tập liệu Cuối cùng, trình bày kết thử nghiệm tập liệu Các kết trung bình 10 lần xác nhận tập liệu Truy vấn bất thường tạo mô tả trước M tham số phương trình lần thiết lập 100 Bảng cho thấy hiệu suất ba quiplet loại Tỷ lệ FN cho tất quiplet ba loại thấp Một vấn đề quan tâm FP cao tỷ lệ cho số liệu Kết chất cụ thể tập liệu thực sự, cho m f-quiplet số lượng lớn thuộc tính gây Hình 3: Tập liệu 2: Mô tả vai trò Nhìn chung, việc đánh giá thử nghiệm cho thấy hầu hết trường hợp f-quiplet mô hình truy cập người sử dụng tốt nhiều so với c m-quiplet 22 22 Bảng Dữ liệu thực tế: Tỉ lệ xác thực sai từ chối sai 23 23 Phát dị thường không bị giám sát Trường hợp thông tin vai trò tập tin nhật kí kiểm toán Trong trường hợp này, vấn đề hình thành hồ sơ người dùng rõ ràng không bị giám sát coi vấn đề phân cụm Phương pháp cụ thể mà sử dụng cho nhiệm vụ phát xâm nhập ID sau: phân vùng liệu thành cụm (Trong thiết lập không giám sát, cụm thu sau trình phân nhóm đại diện cho hồ sơ) cách sử dụng kỹ thuật phân nhóm chuẩn Duy trì đồ cho người sử dụng cụm đại diện Cụm đại diện cho người sử dụng cụm có chứa số lượng tối đa hồ sơ cho người dùng sau giai đoạn phân nhóm Đối với truy vấn theo quan sát, cụm đại diện xác định cách kiểm tra lập đồ sử dụng cụm Lưu ý giả định tất truy vấn liên kết với người sử dụng sở liệu 24 24 Hình Dữ liệu thực tế: Tỉ lệ xác thực sai từ chối sai Hình Dữ liệu thực tế: Tỉ lệ xác thực sai từ chối sai Đối với giai đoạn phát hiện, phác thảo hai cách tiếp cận.Trong phương pháp tiếp cận đầu tiên, áp dụng phân loại Bayes ngây thơ cách tương tự trường hợp giám sát, để xác định xem người dùng có liên quan đến truy vấn thuộc cụm đại diện hay không.Trong cách tiếp cận thứ hai, kiểm tra astatistical sử dụng để xác định truy vấn outlier cụm đại diện.Nếu kết kiểm tra thống kê tích cực, truy vấn đánh dấu bất thường báo động nâng lên.Các phương pháp sử dụng cho clustering bao gồm số kỹ thuật tiêu chuẩn.Phần giải thích chi tiết biện pháp khoảng cách sử dụng cho clustering.Sau giải thích ngắn gọn thuật toán phân cụm kiểm tra thống kê để phát kẻ xâm nhập cuối báo cáo kết thực nghiệm chúng 25 25 4.1 Hàm khoảng cách Đối với cụm quiplets (Quiplets đơn vị để xem tập tin đăng nhập thành phần cho hồ sơ hình thành) xếp thành nhóm mà quiplets nhóm gần nhau, cần biện pháp để thiết lập “sự gần” quiplets Đối với điều này, cần cung cấp định nghĩa chức khoảng cách cần thiết Để giới thiệu chức khoảng cách, cần phải giới thiệu chức (chung chung tải) () sử dụng để đánh giá so sánh quiplets loại Để Q = (c;PR;PA;SR;SA) Q’ = (c’;PR’;PA’;SR’;SA’) hai quiplets toàn thể để T = (P R;PA;SR;SA) T’ = (PR’;PA’;SR’;SA’) rõ thông tin bao gồm thứ tự Q Q’, không kể lệnh c Định nghĩa : T x T -> R ánh xạ từ hai Quiplets (không kể lệnh c) để đọc số Đối với c-quiplet, hàm () tính sau : (T,T’)= - Đối với m-quiplet, ta có: (T,T’) = ||PRPA – PR’PA’||2 + ||SRSA – SR’SA’||2 - Chú ý véc-tơ vi = {vi1, vi2,…, vin} vj = {vj1, vj2,…, vjn}, L2 khoảng cách chúng ||vi – vj||2 định nghĩa ||vi – vj||2 = Đối với f-quiplet, hàm () tính sau : (T,T’)= - Nhận xét Tất định nghĩa phía () thỏa mãn bất đẳng thức tam giác Định nghĩa Khoảng cách hai quiplets Q Q’ định nghĩa sau : Tiên đề rõ thuộc tính quan hàm dT Tiên đề Nếu () thỏa mãn bất đẳng thức tam giác, d Q() thỏa mãn ba tam giác không cân Chứng minh quiplets T1, T2 T3, ngoại trừ lệnh c Nếu () thỏa mãn bất đẳng thức tam giác thỏa mãn bất đắng thức : 26 26 Điều có nghĩa dQ thỏa mãn bất đẳng thức tam giác tất trường hợp c1 = c2 = c3 Cho nên, ta phải xem xét lại trường hợp c c3 Giả sử c1 c3 Nếu c1 = c2 c3 c2 bất đẳng thức tam giác cho d Q bảo vệ 4.2 Thuật toán nhóm cụm Được sử dụng để định hình hồ sơ cài đặt không giám sát 4.2.1 k-centers Thuật toán k-centers kiểm soát liệu vào, khoảng cách chúng, tham số k, để miêu tả số nhóm, nhóm bao gồm k cluster C = {C 1, …,Ck} Nếu x điểm liệu, cho quiplet tập tin nhật kí, điểm biểu thị cho nhóm cluster thứ j, k-centers, thuật toán nhóm cụm cố gắng tìm kiếm phân vùng tối ưu hàm sau: Vấn đề NP-Hard Để giải nó, cần sử dụng thuật toán gần sau đây, gọi kỹ thuật furthest-first traversal Ý tưởng lấy điểm liệu để bắt đầu, sau chọn điểm xa từ (Khoảng cách điểm x từ tập S, thông thường ) Những điểm thực trung tâm cụm điểm lại sau giao cho trung tâm gần Thuật toán cung cấp đảm bảo xấp xỉ cho chức khoảng cách thước đo Tiên đề chứng minh thước đo, thuật toán cung cấp giải pháp gần thiết lập Thuật toán giảm thiểu bán kính lớn cụm trả đầu sử dụng trung tâm cụm, thể hiện, điểm có tập liệu Những lợi thuật toán dự kiến tiết lộ trường hợp tập liệu không chứa số lượng lớn giá trị ngoại tuyến Đó là, liệu sử dụng để tạo hồ sơ người dùng tự khỏi kẻ xâm nhập, thuật toán mong đợi tạo hồ sơ hợp lý cho người dùng thực 4.2.2 k-means 27 27 Để giải trường hợp số biến ngoại tuyến tồn liệu sử dụng để xây dựng hồ sơ, cần xem xét phân nhóm dựa kinh nghiệm cải tiến thay Đây thuật toán k-means sử dụng rộng rãi Thuật toán k-means phần thuật toán phân nhóm kclustering, đầu phân nhóm gồm k-clusters phân vùng điểm đầu vào.Mặc dù, không chứng minh làm để đánh giá xấp xỉ cách sử dụng k-means, thuật toán áp dụng rộng rãi yêu cầu tính toán dễ dàng nó, dễ thực thực tế làm việc hiệu quả.Thuật toán bao gồm thủ tục đánh giá lại đơn giản hoạt động sau.Trước tiên, điểm k lựa chọn ngẫu nhiên, đại diện cho thể cụm ban đầu Sau đó, điểm liệu lại giao cho cụm gần Đại diện mới, theo phân công cuối cùng, tính toán lại cho cụm.Hai bước cuối luân phiên tiêu chuẩn đáp ứng, có nghĩa là, thay đổi việc bố trí điểm liệu vào cụm.Thuật toán giảm thiểu chi phí: x tương ứng với điểm liệu thể cụm thứ j, trường hợp này, trung bình điểm cụm Một lợi đáng kể thuật toán k-means so sánh với thuật toán phân cụm khác cập nhật cụm thực thời gian liên tục Hãy xem xét trường hợp mà chúng hình thành cụm k số thiết lập ban đầu điểm đầu vào bình thường Bây giả sử điểm bình thường đến kết hợp chúng vào cụm có Giả sử x điểm muốn kết hợp cụm Ci tập hợp |Ci| mô tả Sau đó, tất nhiên việc tìm kiếm có nghĩa cụm sau việc bổ sung điểm x công việc quan trọng, Với yêu cầu khác, cho lỗi cụm có chứa điểm x :cũng tính thời gian liên tục Điều thực cách tính toán lỗi cụm cách sử dụng công thức sau : Bây giờ, lỗi bổ sung x tính thời gian liên tục cách giữ hai mảng tính toán trước cho điểm cụm: tổng giá trị tổng bình phương giá trị điểm xuất cụm 4.3 Phương pháp phát bất thường 28 28 Đến mô tả hai cách xây dựng hồ sơ cho nhật kí quiplets chưa phân loại Trong phần này, mô tả phương pháp chi tiết để xác định hành vi bất thường cho thiết lập cấu trúc hồ sơ Hãy để z biểu thị truy vấn SQL mà cho dù chế có bất thường hay không Cơ chế định truy vấn kẻ xâm nhập tiềm hoạt động sau: Tìm cụm thể (Cz) cho truy vấn z đưa người dùng U Cụm thể thu cách đơn giản tìm kiếm ánh xạ cụm người dùng tạo giai đoạn phân nhóm Hai phương pháp tiếp cận khác cho giai đoạn phát Trong phương pháp tiếp cận thứ nhất, sử dụng phân loại Naive Bayes tương tự trường hợp giám sát cách xử lý cụm lớp phân loại Trong cách tiếp cận thứ hai, xác định z biến ngoại tuyến cụm Cz với giúp đỡ kiểm tra thống kê Nếu biến ngoại tuyến khai báo z bất thường Trong hai phương pháp tiếp cận giai đoạn phát hiện, sử dụng kiểm tra thống kê với truy vấn để xem có bất thường hay không Về nguyên lý, kiểm tra thích hợp biến ngoại tuyến nhận dạng từ tập liệu phổ biến, liệu mà ánh xạ đến phân bố thông kê chuẩn Normal and Lognormal sử dụng Về cài đặt, sử dụng kiểm tra MAD (Median of Absolute Deviations – Trung bình cộng sai số tuyệt đối), miêu tả ngắn gọn Kiểm tra MAD: Giả sử n điểm liệu (nhật kí quiplets) d i knhoảng cách từ điểm liệu i đế cụm clustar trung tâm Ngoài ra, giá trị trung bình với i = 1, 2,…, n Đầu tiên, tính MAD sau : Ngoài ra, với điểm i, ta tính : Ngoài ra, tính giá trị điểm i công thức: Bây , di biến ngoại tuyến D số phải đánh giá thử nghiệm Trong trường hợp này, giá trị D đạt đến 1,5 thỏa thử nghiệm hoạt động hệ thống Trường hợp MAD = 0, nhiều khả quiplets xung đột với trung tâm cụm cluster Trong trường hợp đó, xem xét điểm thuộc Cj hồ sơ cá nhân biến ngoại biên Trong phương trình trên, tương ứng với giá trị trung bình khoảng cách tất 29 29 điểm cụm Cj từ thể cluster i, cụ thể là, tương tự vậy, tương ứng với độ lệch chuẩn khoảng cách 4.4 Đánh giá thử nghiệm Chúng ta có kết từ thử nghiệm trường hợp không bị giám sát Mục đích định hình ánh xạ cụm người dùng user-cluster giống trường hợp giám sát Mỗi truy vấn theo dõi kĩ càng, kiểm tra truy vấn người dùng có thực từ ánh xạ cụm cluster Các số liệu sử dụng cho đánh giá tương tự với tập liệu sử dụng trường hợp giám sát Tuy nhiên, hạn chế số bảng đến 20 số cột bảng đến 10 Số liệu ghi lại sử dụng cho cụm 1000 Kết tính giá trị trung bình lần thuật toán nhóm cụm clustering Hình trình bày kết phương thức phát Naive Bayes hai thuật toán nhóm cụm k-means k-centers Tỉ lệ FP thuật toán thấp Tuy nhiên, tỉ lệ FN thuật toán k-means cao nhiều so với thuật toán k-centers Điều làm cho k-means thuật toán lựa chọn cho loại tập liệu xem xét trường hợp thử nghiệm Dễ nhận thấy theo dõi m-quiplets biểu diễn tốt tập liệu với giá trị nhỏ s Hình báo cáo phương thức phát ngoại tuyến Phương thức cho kết không tốt thuật toán nhóm cụm clustering Một lý cho kết xảy truy vấn bất thường xem xét trường hợp thử nghiệm đến từ phân phối xác suất tương tự truy vấn bình thường, thông tin vai trò đảo ngược Kể từ họ đến từ phân phối, họ không hành xử ngoại tuyến không gianric gặp đó, phương pháp phát ngoại tuyến không đặc trưng truy vấn bất thường ngoại tuyến Chúng minh họa điều với giúp đỡ hình 10 cho thấy tỷ lệ FN ngã k-means k-centers truy vấn bất thường tạo từ phân bố xác suất ngẫu nhiên đồng Đối với truy vấn vậy, tỷ lệ FN giảm mô hình truy cập trở nên đặc thù Điều cho thấy hữu dụng phương pháp phát dựa ngoại tuyến mô hình truy cập người sử dụng độ chênh lẹch từ phân bố tổng thể mô hình truy cập bình thường Nhìn chung, phương pháp tiếp cận phân nhóm dựa trường hợp người giám sát cho thấy kết đầy hứa hẹn cho hai m f-quiplet.Trong số thuật toán phân cụm, kết cho k-means tốt so với người cho thuật toán k-centers Điều kmeans tốt nắm bắt xu hướng tập liệu 30 30 Hình Tập liệu không giám sát: Thuật toán k-means - Tỉ lệ xác thực sai từ chối sai phương thức phát Naive Bayes Hình Tập liệu không giám sát: Thuật toán k-centers - Tỉ lệ xác thực sai từ chối sai phương thức phát Naive Bayes Hình Tập liệu không giám sát: Thuật toán k-means - Tỉ lệ xác thực sai từ chối sai phương thức phát ngoại tuyến 31 31 Hình Tập liệu không giám sát: Thuật toán k-centers - Tỉ lệ xác thực sai từ chối sai phương thức phát ngoại tuyến 32 32 Hình 10 Tập liệu không giám sát: Tỉ lệ xác chối sai phương thức phát ngoại tuyến với xâm nhập truy vấn từ phân bố xác suất khác 33 33 Kết Luận Trong đề tài này, chúng em trình bày cách tiếp cận để phát mô hình truy cập bất thường DBMS Chúng ta có ba mô hình phát triển, tính chất khác nhau, miêu tả truy vấn SQL xuất tập tin đăng nhập sở liệu Do trích xuất thông tin hữu ích từ tập tin đăng nhập liên quan đến mô hình truy cập truy vấn Khi có sẵn thông tin hồ sơ đăng nhập, xây dựng phân loại sau sử dụng thành phần cho chế phát bất thường Cho trường hợp khác, thông tin vai trò diện hồ sơ đăng nhập, hồ sơ người dùng tạo cách sử dụng thuật toán phân nhóm Thời điểm phát bất thường giải cách tương tự trường hợp giám sát vấn đề phát outlier Kết thực nghiệm cho hai liệu thực tế tổng hợp cho thấy phương pháp thực tốt Chúng ta phải lập kế hoạch để mở rộng công việc cho mô hình sau Các mô hình truy vấn mô tả này lấy thông tin từ cú pháp truy vấn Chúng ta cần phát triển cách tiếp cận cách xem xét câu lệnh truy vấn giá trị liệu sử dụng thuộc tính thống kê liệu truy cập truy vấn tới giá trị liệu Đây vấn đề không tầm thường để giải chất động liệu sở liệu.một khu vực khác bổ sung để nghiên cứu thêm phản ứng hệ thống xâm nhập phát hiện.chúng dự tính id kiến trúc hệ thống (hình 1) với thành phần phản ứng riêng biệt xác định rõ ràng xâm nhập Hệ thống ứng phó xâm nhập, tùy thuộc vào bất thường phát hiện, vấn đề xử lý thích hợp cách tìm kiếm sở sách ngăn chặn xác định trước cách học từ phản ứng trước Những tìm hiểu bọn em phát xâm nhập sở liệu thiếu, chúng em nghiên cứu bổ xung thêm sau 34 34