1. Trang chủ
  2. » Luận Văn - Báo Cáo

Hệ thống phát hiện xâm nhập

85 254 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Nội dung

-1- MỞ DẦU Internet đời thực cách mạng vĩ đại công nghệ, internet không kết nối hàng tỉ ngƣời giới lại với nhau, mà thƣ viện bách khoa khổng lồ nhân loại Giờ tìm thông tin internet vài từ khóa Tuy nhiên song song với thuận lợi đó, phải đối mặt với nhiều thách thức, thách thức virus, công, xâm nhập, … Do kỹ thuật phát công, xâm nhập ngày đƣợc quan tâm trọng phát triển Thực tế, có nhiều phƣơng pháp cách để tăng cƣờng tính bảo mật an toàn thông tin cho hệ thống mạng, phải kể đến việc triển khai Firewall, đồng thời kết hợp với chƣơng trình diệt virus, trojan, Và thành phần tác giả muốn đề cập đến hệ thống phát xâm nhập (IDS) sử dụng công nghệ phát công, xâm nhập Tuy đời chƣa lâu nhƣng giúp cho việc xử lí toán công nghệ thông tin Phƣơng pháp đƣợc áp dụng luận văn ứng dụng đồ tự tổ chức-Self Organizing Map (SOM) phát công, xâm nhập dựa vào hành vi Phƣơng pháp có khả phát công, xâm nhập, virus,… thông qua hành vi biết trƣớc Chúng không loại trừ phƣơng pháp nhận dạng công dựa vào mẫu công biết truyền thống, mà thêm vào kênh hữu ích cho ngƣời quản trị mạng biết đƣợc công bất thƣờng diễn hệ thống mạng Luận văn xây dựng triển khai với phần nhƣ: bắt gói liệu mạng xây dựng gán thông số đặc trƣng, huấn luyện liệu, dò tìm công online va offline Mặc dù có nhiều cố gắng nhƣng không tránh khỏi luận văn nhiều thiếu sót hạn chế nhiều yếu tố nhƣ: thời gian, kỷ thuật, tài chính… Hy vọng thời gian tới tác giả có nhiều thời gian để phát triển thêm luận văn Rất mong góp ý quý Thầy cô anh chị đồng nghiệp -2- CHƢƠNG 1: TỔNG QUAN  Nội dung chương 1: Trình bày tổng quan “Hệ thống phát xâm nhập”, phân loại IDS, giới thiệu ưu điểm nhược điểm loại IDS Đồng thời, chương nêu lên mục đích, nội dung đóng góp đề tài 1.1 Giới thiệu Với phát triển nhanh chóng internet, tính đến tháng 01/2011 giới có tỷ ngƣời sử dụng internet, Việt Nam có 27 triệu ngƣời dùng internet (31,7% dân số); nhiều công cụ hƣớng dẫn công, xâm nhập hệ thống mạng máy tính có sẵn internet dễ sử dụng Bên cạnh sâu máy tính, virus, spyware, trojan horse,… với tốc độ xuất ngày nhanh Những vấn đề làm cho an toàn hệ thống mạng đƣợc quan tâm hết Trong đó, phát công xâm nhập đƣợc trọng nghiên cứu nhiều từ nhà khoa học, an ninh mạng, điển hình Hội nghị quốc tế RAID (Recent Advances in Intrusion Detection) phát công xâm nhập năm tổ chức đặn, lần thứ 14 diễn Menlo Park, California, USA vào tháng 09-2011 [13] Hình 1.1: Số Web Server bi công từ năm 2003 đến 2011 Ngày công ty phải đối mặt với nhiều vấn đề bảo mật công ngày tinh vi Những nguy hiểm từ bên hay từ nhân viên công ty Các công ty phải có biện pháp bảo vệ toàn vẹn, tính -3- bảo mật, tính sẵn sàng liệu hệ thống, phải xây dựng kết nối tới hệ thống chi nhánh Việc phát công hay xâm nhập dựa vào hành vi “bất thƣờng” hoạt động máy chủ Web hƣớng nghiên cứu đƣợc nhiều chuyên gia quan tâm Cách thức phân biệt hoạt động “bình thƣờng” hay “bất thƣờng” phức tạp Các nhà nghiên cứu áp dụng nhiều thuật toán khác lĩnh vực “Trí tuệ nhân tạo” nhƣ: Mô hình Markov ẩn, Naïve Bayesian, thuật toán di truyền… để giải số khía cạnh toán trên: lọc thƣ điện tử spam, dò tìm spyware, trojan Đề tài đề xuất hƣớng nghiên cứu: ứng dụng thuật toán Bản đồ tự tổ chức – Self Organizing Map (SOM) để phát công Máy chủ Web thông qua hành vi biết 1.2 Hệ thống phát xâm nhập IDS (Intrusion Detecsion Systems) Hệ thống phát xâm nhập IDS hệ thống giám sát lƣu thông mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị Ngoài IDS đảm nhận việc phản ứng lại với lƣu thông bất thƣờng hay có hại cách hành động đƣợc thiết lập trƣớc nhƣ khóa tài khoản ngƣời dùng hay địa IP nguồn truy cập hệ thống mạng, … IDS phân biệt công từ bên (từ ngƣời công ty) hay công từ bên (từ hacker) IDS phát dựa dấu hiệu hành vi đặc biệt nguy công, xâm nhập biết (giống nhƣ cách phần mềm diệt virus dựa vào dấu hiệu đặc biệt để phát diệt virus) hay dựa so sánh lƣu thông mạng với thông số đo đạc chuẩn hệ thống (baseline ) để tìm dấu hiệu khác thƣờng Ngoài có hệ thống phòng chống xâm nhập IPS (Intrusion Prevention System) kỹ thuật an ninh mới, kết hợp ƣu điểm kỹ thuật tƣờng lửa -4- với hệ thống phát xâm nhập IDS Hệ thống IPS có khả phát công tự động ngăn chặn công Hình 1.2: Mô hình hoạt động hệ thống IDS 1.3 Phân loại IDS Tùy vào việc quan sát nơi đặt mà IDS đƣợc phân thành loại khác nhau: 1.3.1 Hệ thống phát xâm nhập mạng - Network based IDS (NIDS ) Hệ thống phân tích tải mạng để so sánh liệu với sở liệu biết dấu hiệu công vào hệ điều hành ứng dụng Khi phát dấu hiệu “bất thƣờng”, NIDS phản ứng lại cách ghi trạng, cảnh báo nhà quản trị, chấm dứt phiên làm việc (session) đƣa vào tƣờng lửa * Ƣu điểm: o Quan sát đƣợc trao đổi, kết nối mạng… o Quản lý đƣợc network segment (gồm nhiều host) o Cài đặt bảo trì đơn giản, không ảnh hƣởng tới mạng o Tránh DoS ảnh hƣởng tới host o Có khả xác định lỗi tầng Network (trong mô hình OSI) * Nhƣợc điểm: o Khó quan sát đƣợc nội dung gói liệu mạng đƣợc mã hóa -5- o Có thể xảy trƣờng hợp báo động giả (false positive), tức công xâm nhập mà NIDS báo có công xâm nhập o NIDS đòi hỏi phải đƣợc cập nhật signature để thực an toàn 1.3.2 Hệ thống phát xâm nhập máy chủ – Host based IDS (HIDS) Hệ thống phân tích nhật kí hệ điều hành ứng dụng hệ thống Sau đó, so sánh kiện với sở liệu “bất thƣờng” biết Hệ thống xem xét nhật kí hệ điều hành, nhật kí truy nhập, nhật kí ứng dụng, nhƣ sách ứng dụng ngƣời dùng định nghĩa Nếu hệ thống thấy có vi phạm, phản ứng cách ghi lại hành động đó, cảnh báo cho nhà quản trị số trƣờng hợp ngừng hành động Ƣu điểm: o Quan sát đƣợc thực diễn máy tính o Có khả xác định user liên quan tới kiện o Có thể phân tích liệu mã hoá o Cung cấp thông tin host lúc công diễn host Nhƣợc điểm: o Không biết đƣợc trạng thái hoạt động toàn mạng o HIDS phải đƣợc thiết lập host cần giám sát o HIDS khả phát dò quét mạng (Nmap, Netcat…) o HIDS cần tài nguyên host để hoạt động o HIDS không hiệu bị DoS Tùy theo phƣơng pháp phát công, xâm nhập mà phân hai loại Host-based IDS Network-based IDS loại nhỏ Phƣơng pháp truyền -6- thống phát công, xâm nhập dựa việc lƣu lại mẫu biết công, chúng so sánh đặc trƣng kết nối mạng với mẫu công để phát công xâm nhập 1.4 Cơ chế hoạt động IDS Có hai cách tiếp cận việc phát phòng chống xâm nhập là: phát lạm dụng (Misuse Detection) phát bất thƣờng (Anomaly Detection) Misuse Detection: hệ thống phát công xâm nhập tìm kiếm hành động tƣơng ứng với kỹ thuật công xâm nhập đƣợc biết đến dựa dấu hiệu (Signatures) điểm dễ bị công hệ thống Anomaly Detection: hệ thống phát công xâm nhập cách tìm kiếm cách hành động khác với hành vi thông thƣờng ngƣời dùng hệ thống Hình 1.3: Sự khác Misuse Detection Anomaly Detection 1.4.1 Misuse based IDS - Hệ thống phát xâm nhập theo dấu hiệu cho trƣớc Hệ thống phát kẻ xâm nhập cố gắng đột nhập vào hệ thống mà sử dụng số kỹ thuật biết Nó liên quan đến việc mô tả đặc điểm -7- cách thức xâm nhập vào hệ thống đƣợc biết đến, cách thức đƣợc mô tả nhƣ mẫu Hệ thống thực kiểm soát mẫu rõ ràng Mẫu bit cố định, tiến trình,… dùng để mô tả tập hay chuỗi hành động nghi ngờ Hệ thống liên tục so sánh hành động hệ thống với tập kịch xâm nhập biết để cố gắng dò kịch tiến hành Hệ thống xem xét hành động hệ thống đƣợc bảo vệ thời gian thực ghi kiểm tra đƣợc ghi lại hệ điều hành Ƣu điểm: o Dễ triển khai o Cho phản hồi xác cảnh báo o Yêu cầu tài nguyên tính toán Nhƣợc điểm: o Mô tả công thƣờng mức độ thấp, khó hiểu o Mỗi công hay biến thể cần thêm dấu hiệu đƣa vào sở liệu, nên kích cỡ trở nên lớn o Dấu hiệu cụ thể tạo cảnh báo nhầm, nhƣng khó phát biến thể 1.4.2 Anomaly based IDS - Hệ thống phát xâm nhập bất thƣờng Hệ thống dựa định nghĩa mô tả đặc điểm hành vi chấp nhận hệ thống để phân biệt chúng với hành vi không mong muốn hay bất thƣờng nhằm tìm hành vi bất hợp pháp Nhƣ vậy, hệ thống phát xâm nhập bất thƣờng phải có khả phân biệt tƣợng “bình thƣờng” tƣợng “bất thƣờng” Ƣu điểm: Có khả nhận biết dạng công xâm nhập chƣa biết -8- Nhƣợc điểm: Thƣờng sinh nhiều cảnh báo sai định nghĩa chung công 1.5 Hành động IDS Sau hệ IDS phát công xâm nhập có hai hành động sau đây:  Gởi tín hiệu đến firewall để ngăn chặn công, gởi tín hiệu đến switch để chuyển port nơi phát sinh công vào VLAN riêng để xử lý Trƣờng hợp gọi hệ thống phát ngăn chặn xâm nhập (IPS)  Chỉ đƣa cảnh báo cho ngƣời quản trị mạng xử lý 1.6 Nhu cầu thực tế Việc so sánh phát hành vi “bất thƣờng” khó, kiểu công có khả giả mạo hành động hợp pháp mà không bị phát Do đó, việc nghiên cứu triển khai hệ thống IDS phát xâm nhập với yếu tố: “thực nhanh, đƣa cảnh báo xác, giá thành hợp lí” vấn đề cấp thiết nghiên cứu nhƣ yêu cầu ứng dụng thực tế 1.7 Mục tiêu luận văn Luận văn tập trung nghiên cứu số vấn đề sau:  Nghiên cứu hệ thống phát xâm nhập IDS  Tìm hiểu máy chủ web môi trƣờng Linux Đồng thời, nghiên cứu cách công phổ biến máy chủ web  Tìm hiểu số phần mềm công Web Server phổ biến  Khảo sát, phân tích thuật toán “Bản đồ tự tổ chức”  Nghiên cứu cài đặt cách lấy tham số đặc trƣng máy chủ Web hệ thống mạng Qua đó, đề xuất tham số đặc trƣng cho hệ thống máy chủ Web -9-  Xây dựng dấu hiệu bất thƣờng công qua thực nghiệm, sau rút trích thông tin qua “bản đồ tự tổ chức SOM” cảnh báo công có bất thƣờng giống nhƣ bất thƣờng đƣợc học 1.8 Ý tƣởng thực  Xây dựng web server  Xác định tham số liên quan tới hệ thống máy chủ Web cần bảo vệ Cách thức lấy thông tin liên quan tới tham số xác định  Xây dựng hệ thống mạng để làm Lab, giả lập công  Xác định phần mềm sinh công thử nghiệm  Triển khai công giả lập ghi nhận thông tin, kết hệ thống vector để học  Sử dụng chƣơng trình SOM + vector học + nơron sinh ngẫu nhiên để đƣợc nơron sau học  Tấn công thử nghiệm lại ghi nhận kết cảnh báo Qua hiệu chỉnh bán kính IDS cho phù hợp  Bình luận, đánh giá kết IDS 1.9 Nội dung luận văn Chƣơng 1: Tổng quan Trình bày tổng quan “Hệ thống phát xâm nhập”, phân loại IDS, giới thiệu ưu điểm nhược điểm loại IDS Đồng thời, chương nêu lên mục đích, nội dung đề tài Chƣơng 2: Máy chủ Web Trình bày tổng quan máy chủ Web Giới thiệu số lỗ hổng phổ biến máy chủ Web Các kỹ thuật phát công, xâm nhập Đồng thời chương trình bày kỹ thuật công, xâm nhập - 10 - Chƣơng 3: Thuật toán đồ tự chức - Self Organizing Map (SOM) Trình bày tổng quan kiến trúc thuật toán đồ tự tổ chức Chƣơng 4: Xây dựng đặc trƣng Trình bày cách thức lấy thông tin hệ thống máy chủ Web Đề xuất tham số đặc trưng Phương pháp xây dựng, chuẩn hóa, gán trọng số đặc trưng Chƣơng 5: Thiết kế, cài đặt thực nghiệm đánh giá chƣơng trình Trình bày tổng quan mô hình chương trình chạy giám sát máy chủ Web Phân tích hệ thống đề xuất, thử nghiệm chương trình IDS với công biết Chƣơng 6: Kết luận hƣớng phát triển - 71 - Cấu hình máy dùng để huấn luyện:  CPU core i5, RAM: 1G, ổ cứng 20G  HĐH: Linux CentOS 6.2 Khởi tạo nơron ngẫu nhiên Sử dụng chƣơng trình randinit để khởi tạo ngẫu nhiên 96 nơron ./randinit -din data-training.txt -cout data-training.cod -topol hexa -neigh gaussian -xdim 12 -ydim Huấn luyện liệu vectơ Bản đồ đƣợc huấn luyện thuật toán “bản đồ tự tổ chức” sử dụng chƣơng trình vsom ./vsom -cin data-training.cod -din data-training.txt -cout data-training1.cod -rlen 100000 -alpha 0.05 -radius 10 Tính lỗi lƣợng tử trung bình Sử dụng chƣơng trình qerror thuật toán “bản đồ tự tổ chức” để tính lỗi lƣợng tử trung bình ./qerror -cin data-training1.cod -din data-training.txt Vẽ đồ liệu vectơ huấn luyện đồ nơron Dùng chƣơng trình Sammon để vẽ đồ Vẽ đồ liệu vectơ huấn luyện ./sammon -cin dada-traing.txt -cout data-traing.bando -rlen 100000 -ps - 72 - Hình 5.13: Bản đồ vectơ huấn luyện Vẽ đồ 96 nơron ngẫu nhiên ./sammon -cin data-training.bando -cout data-training.ngaunhien 100000 -ps Hình 5.14: Bản đồ nơron vị trí ngẫu nhiên -rlen - 73 - Vẽ đồ nơron sau huấn luyện ./sammon -cin data-training1.cod -cout data-training2.cod -rlen 100000 -ps Hình 5.15: Bản đồ SOM sau huấn luyện Với liệu 10000 vectơ số nơron đƣợc chọn để đƣa vào huấn luyện 96 nơron Sau chuẩn hóa liệu, tiến hành huấn luyện đồ với lần huấn luyện ta tính lỗi lƣợng tử trung bình đồ, thu đƣợc thống kê sau: Số lần học Thời gian học (giây) Lỗi lƣợng tử trung bình 100 0.510101 500 0.758031 1000 0.610004 5000 0.181314 10000 0.147686 50000 0.042248 100000 0.024964 200000 18 0.036884 500000 46 0.028759 1000000 93 0.027286 Nhận xét: - 74 -  96 nơron vị trí ngẫu nhiên đƣợc vectơ huấn luyện kéo co vị trí sau huấn luyện  Số lần học nhiều thời gian huấn luyện tăng  Chất lƣợng đồ không phụ thuộc vào thời gian huấn luyện, đồ tốt đồ có lỗi lƣợng tử trung bình thấp 5.9.5 Thực nghiệm lại Lab công giả lập Sau huấn luyện xong đồ SOM ta cho chƣơng trình IDS chạy giám sát hệ thống máy chủ Web thực lại công xâm nhập xem chƣơng trình IDS có nhận biết đƣợc công xâm nhập phát cảnh báo không Khởi động chƣơng trình XAMPP máy chủ web Hình 5.16: Khởi động XAMPP Mở website truy cập website www.abc.com máy chủ web để kiểm tra chƣơng trình Xampp đƣợc khởi động chƣa - 75 - Hình 5.17: Website www.abc.com máy chủ web Các máy trạm thực truy cập website www.abc.com máy chủ web Hình 5.18: Máy trạm truy cập website www.abc.com máy chủ web Các máy trạm thực ping website www.abc.com để xem địa IP Web Server - 76 - Hình 5.19: Máy trạm ping website www.abc.com máy chủ web Chạy chƣơng trình cảnh báo công Chƣơng trình IDS chạy giám sát hệ thống máy chủ Web đƣa cảnh báo công xâm nhập sau giây Hình 5.20: Chạy chương trình cảnh báo công Các máy trạm thực công vào máy chủ web Kịch 1: Các máy trạm dùng chƣơng trình Acunetix Web Vulnekibility Scaner (AWVS) tiến hành scan lỗ hổng công lỗ hổng website www.abc.com máy chủ web - 77 - Hình 5.21: Màn hình scan phần mềm AWVS máy trạm Quan sát chƣơng trình scan từ máy trạm để xem lỗ hổng website Tiếp theo ta xem chƣơng trình chạy giám sát hệ thống máy chủ Web có phát cảnh báo công xâm nhập không Hình 5.22: Màn hình cảnh báo có công xâm nhập - 78 - Dựa theo công thức đánh giá chƣơng trình IDS mục 3.9 chƣơng trang 47, tác giả tính giá trị: độ xác (accuracy), độ đo truy hồi (recall), độ rõ ràng (precision) chƣơng trình IDS thu đƣợc bảng thống kê kết sau: Số lần giám Số TN TP FN FP Accuracy Recall Precision sát máy attack 10 10 90% 80% 100% 10 10 10 0 100% 100% 100% 10 10 10 0 100% 100% 100% Nhận xét: Chƣơng trình phát cảnh báo xác 96%, độ truy hồi 93% độ rõ ràng 100%, nhƣng có trƣờng hợp chƣơng trình không phát cảnh báo có công, lần công chƣa đạt tới ngƣỡng cảnh báo lần máy chủ Web hoạt động bình thƣờng Kết luận: chƣơng trình cho cảnh báo tốt Kịch 2: Các máy trạm sử dụng phần mềm N-Staker Web Application Security Scanner (NWASS) để thực scan lỗ hổng website www.abc.com - 79 - Hình 5.23: Màn hình scan phần mềm NWASS máy trạm Sau máy trạm sử dụng phần mềm NWASS để scan máy chủ Web, ta quan sat hình scan máy trạm để xem thống kê lỗi ứng dụng bảo mật lỗi XSS máy chủ Web Tiếp theo ta quan sat hình chạy giám sát máy cảnh báo công hệ thống máy chủ Web xem có thông báo công xâm nhập không Hình 5.24: Màn hình cảnh báo có công xâm nhập - 80 - Bảng thống kê kết thu đƣợc Số lần giám Số TN TP FN FP Accuracy Recall máy Precision sát attack 10 10 95% 90% 100% 10 10 10 0 100% 100% 100% 10 10 10 0 100% 100% 100% Nhận xét: Chƣơng trình phát cảnh báo xác 98%, độ truy hồi 96% độ rõ ràng 100%, nhƣng có trƣờng hợp chƣơng trình không phát cảnh báo có công công chƣa đạt tới ngƣỡng cảnh báo trƣờng hợp máy chủ Web hoạt động bình thƣờng nên chấp nhận đƣợc Kết luận: chƣơng trình cho cảnh báo công tốt Kịch 3: Các máy trạm sử dụng chƣơng trình Donut HTTP Flooder để công vào Website máy chủ Web qua công 80 số tiến trình chạy công 100 tiến trình (có thể sử dụng không sử dụng danh sách Proxy) Hình 5.25: Màn hình chương trình Donut HTTP Flooder máy trạm - 81 - Sau dùng phần mềm công Website máy chủ Web ta quan sát chƣơng trình chạy giám sát hệ thống xem có thông báo công xâm nhập không Hình 5.26: Màn hình cảnh báo công xâm nhập Bảng thống kê kết thu đƣợc trình thực nghiệm Số lần giám Số TN TP FN FP Accuracy Recall Precision sát máy attack 10 10 10 0 100% 100% 100% 10 10 10 0 100% 100% 100% 10 10 10 0 100% 100% 100% Nhận xét: Chƣơng trình phát cảnh báo xác 100%, độ truy hồi 100% độ rõ ràng 100% Kết luận: chƣơng trình cho cảnh báo tốt - 82 - Kịch 4: Các máy trạm dùng lúc nhiều phần mềm khác để scan công máy chủ Web Sau quan sát chƣơng trình chạy giám sát hệ thống máy chủ Web xem có thông báo công xâm nhập không, tác giả nhận đƣợc kết chƣơng trình thông báo có công xâm nhập hệ thống máy chủ Web Bảng kết thu đƣợc trình thực nghiệm Số lần giám Phần mềm TN TP FN FP Accuracy Recall Precision sát thực công 10 10 90% 80% 100% AWVS 10 10 95% 90% 100% NWASS 10 10 10 0 100% 100% 100% 10 10 10 0 100% 100% 100% 10 10 90% 80% 100% Hijacking 10 10 95% 90% 100% Brutus 10 10 80% 60% 100% SQLDict 10 10 10 0 100% 100% 100% Kết hợp phần mềm Donut HTTP Flooder Sử dùng nhiều phần mềm Nhận xét: Khi sử dụng nhiều phần mềm khác để thực công xâm nhập vào máy chủ Web chƣơng trình phát cảnh báo xác 93%, độ truy hồi 88% độ rõ ràng 100%, nhiên có vài trƣờng hợp chƣơng trình không phát cảnh báo có công công chƣa đạt tới ngƣỡng cảnh báo trƣờng hợp máy chủ Web hoạt động bình thƣờng nên chấp nhận đƣợc Kết luận: chƣơng trình cho cảnh báo công tốt - 83 - 5.10 Nhận xét đánh giá chƣơng trình IDS 5.10.1 Nhận xét Chƣơng trình cảnh báo công xâm nhập hệ thống máy chủ Web đƣợc đặt hệ thống IDS Chƣơng trình có chức chạy giám sát hệ thống máy chủ Web để phát công xâm nhập có ngƣời dùng hay Hacker công xâm nhập vào hệ thống máy chủ Web Chƣơng trình đƣợc huấn luyện để nhận dạng phát công xâm nhập với công cụ công xâm nhập cách công biết Do có công xâm nhập mà chƣơng trinh không nhận biết đƣợc phải đƣợc huấn luyện lại để phát thêm công xâm nhập 5.10.2 Đánh giá chƣơng trình IDS Ta nhận thấy chƣơng trình IDS cảnh báo xác có công xâm nhập vào hệ thống máy chủ Web Tuy nhiên có vài trƣờng hợp có công xâm nhập vào hệ thống máy chủ Web nhƣng chƣơng trình IDS không cảnh báo công chửa đạt tới ngƣỡng cảnh báo 5.11 Kết luận Chƣơng trình đƣợc thử nghiệm môi trƣờng giả lập nên tránh khỏi thiếu sót Nhƣng với đặc trƣng cách thực nghiệm, có kết tốt đề tài việc ứng dụng mạng nơron không giám sát: thuật toán “Bản đồ tự tổ chức” xác định ngƣỡng cảnh báo phù hợp với nơron Qua xây dựng thành công chƣơng trình IDS cảnh báo công xâm nhập máy chủ web - 84 - CHƢƠNG 6: KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 6.1 Kết luận Nhận dạng công xâm nhập vấn đề đƣợc quan tâm thời đại công nghệ tri thức Nhận dạng công xâm nhập phân tích nhận biết hoạt động “bất thƣờng“ mạng ứng dụng “bản đồ tự tổ chức” hỗ trợ tích cực cho nhận dạng công xâm nhập theo phƣơng pháp truyền thống dựa vào mẫu công biết Thực nghiệm cho thấy phƣơng pháp nhận dạng có khả phát loại công xâm nhập, virus hƣớng thời gian, diễn nhanh xác nhờ vào mẫu công biết Tuy nhiên có công xâm nhập liệu phải đƣợc huấn luyện lại để nhận biết công xâm nhập Những đóng góp luận văn - Đề xuất tham số đặc trƣng hệ thống máy chủ Web - Xây dựng Lab công thử nghiệm để ghi nhận trạng thái “bất thƣờng” - Cài đặt hoàn chỉnh theo ý tƣởng thuật toán nêu đề tài: từ việc bắt gói trạng (profile), tạo vectơ đặc trƣng, chuẩn hóa liệu, huấn luyện “bản đồ tự tổ chức”, mô hình hóa đồ, chạy giám sát hệ thống máy chủ Web đƣa cảnh báo công cho nhà quản trị mạng có công xâm nhập - Xây dựng chƣơng trình IDS dựa vào ứng dụng “bản đồ tự tổ chức SOM” Linux chạy giám sát hệ thống để phát có công - 85 - 6.2 Hƣớng phát triển Mặc dù đề tài có đóng góp cụ thể lĩnh vực nghiên cứu nhƣng nhiều vấn đề cần phát triển thêm để đƣa vào ứng dụng thực tế: - Xây dựng tham số đặc trƣng tổng quát Ví dụ: bổ sung thêm đặc trƣng chi tiết tham số đối tƣợng thiết bị mạng máy chủ web, để biết đƣợc máy chủ web bị công từ bên hay bên hệ thống mạng máy tính - Thực nghiệm môi trƣờng thực tế Từ đó, đƣa giá trị bán kính IDS có ý nghĩa thực tiễn - Cải tiến tốc độ nhận dạng “bất thƣờng” nhanh - Kết hợp với tƣờng lửa để hình thành hệ thống ngăn chặn xâm nhập

Ngày đăng: 18/07/2016, 15:50

Xem thêm

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w