Đang tải... (xem toàn văn)
DSpace at VNU: Đánh giá hiệu quả một số thuật toán trong phát hiện xâm nhập mạng tài liệu, giáo án, bài giảng , luận văn...
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN - TRẦN THỊ HƢƠNG ĐÁNH GIÁ HIỆU QUẢ MỘT SỐ THUẬT TOÁN TRONG PHÁT HIỆN XÂM NHẬP MẠNG LUẬN VĂN THẠC SĨ KHOA HỌC Hà Nội – 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN - TRẦN THỊ HƢƠNG ĐÁNH GIÁ HIỆU QUẢ MỘT SỐ THUẬT TOÁN TRONG PHÁT HIỆN XÂM NHẬP MẠNG Chuyên ngành: Cơ sở Toán học cho Tin học Mã số: 60460110 LUẬN VĂN THẠC SĨ KHOA HỌC NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS Lê Trọng Vĩnh Hà Nội – 2016 MỤC LỤC DANH MỤC HÌNH VẼ iii DANH MỤC BẢNG BIỂU iv DANH MỤC CÁC TỪ VIẾT TẮT v LỜI CẢM ƠN vi LỜI MỞ ĐẦU .1 Chƣơng 1: Tổng quan phát xâm nhập mạng 1.1 Giới thiệu 1.2 Xâm nhập 1.2.1 Khái niệm 1.2.2 Một số kiểu xâm nhập phổ biến .4 1.2.3 Một số giải pháp ngăn chặn xâm nhập truyền thống 1.3 Hệ thống phát xâm nhập mạng 1.3.1 Định nghĩa 1.3.2 Phân loại hệ thống phát xâm nhập mạng 1.4 Một số cách tiếp cận cho toán phát xâm nhập 11 1.4.1 Cách tiếp cận dựa vào luật .11 1.4.2 Cách tiếp cận dựa vào thống kê .12 1.4.3 Cách tiếp cận dựa vào học máy .13 1.4.4 Hƣớng tiếp cận luận văn 16 Chƣơng 2: Phát xâm nhập mạng dựa vào học máy 17 2.1 Hồi quy logistic 18 2.2 Máy véc-tơ hỗ trợ 21 2.2.1 SVM tuyến tính 22 2.2.2 SVM phi tuyến tính 26 2.3 Mạng nơ-ron nhân tạo 27 2.3.1 Mơ hình mạng nơ-ron nhân tạo .28 2.3.2 Phát xâm nhập dựa vào mạng nơ-ron 33 2.4 Rút gọn đặc trƣng 36 i Chƣơng 3: Đánh giá hiệu số thuật toán học máy 41 việc phát xâm nhập mạng 41 3.1 Bộ liệu KDD CUP 99 41 3.2 Tiền xử lý liệu 45 3.2.1 Chuyển giá trị phi số sang số 46 3.2.2 Chuẩn hóa giá trị đầu vào 50 3.3 Kết thực nghiệm 52 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 58 CÁC CÔNG BỐ LIÊN QUAN 60 TÀI LIỆU THAM KHẢO 61 ii DANH MỤC HÌNH VẼ Hình 1.1 Hệ thống phát xâm nhập NIDS Hình 1.2 Hệ thống phát xâm nhập HIDS 10 Hình 2.1 Quá trình phát xâm nhập dựa vào học máy 18 Hình 2.2 Hình dạng hàm sigmoid .19 Hình 2.3 Một siêu phẳng phân chia liệu học thành hai lớp 22 Hình 2.4 Dữ liệu khơng phân tách tuyến tính 25 Hình 2.5 Hàm ánh xạ từ không gian hai chiều sang không gian ba chiều 27 Hình 2.6 Mơ perceptron 28 Hình 2.7 Mô mạng nơ-ron ba lớp 30 Hình 2.8 Các bƣớc huấn luyện mạng nơ-ron 33 Hình 2.9 Các bƣớc kiểm tra liệu với mơ hình mạng nơ-ron sau huấn luyện 34 Hình 2.10 Sơ đồ huấn luyện mạng nơ-ron hệ thống phát xâm nhập 35 Hình 2.11 Phát gói tin bất thƣờng sử dụng mạng nơ-ron .36 Hình 3.1 Độ đo Information Gain 41 thuộc tính .55 iii DANH MỤC BẢNG BIỂU Bảng 3.1 Mô tả đặc trƣng liệu KDD cup 99 .41 Bảng 3.2 Bảng phân bố số lƣợng kiểu trạng thái kết nối 45 Bảng 3.3 Bảng chuyển đổi loại giao thức .46 Bảng 3.4 Bảng chuyển đổi trạng thái cờ kết nối 46 Bảng 3.5 Bảng chuyển đổi loại dịch vụ 47 Bảng 3.6 Bảng phân bố chuyển đổi nhãn trạng thái mạng .48 Bảng 3.7 Các kiểu công liệu 50 Bảng 3.8 Giá trị nhỏ lớn cột tập “Whole KDD 99” 51 Bảng 3.9 Kết chạy chƣơng trình thuật tốn học máy 54 Bảng 3.10 Kết thực nghiệm sử dụng 31 đặc trƣng 56 iv DANH MỤC CÁC TỪ VIẾT TẮT Viết tắt IDS NIDS HIDS LR SVM ANN DOS R2L U2R IG Ý nghĩa Intrusion Detection System Network- Based Intrusion Detection System Host- Based Intrusion Detection System Logistic Regression Support Vector Machine Artificial Neural Network Denial of Service Remote to Local User to root Information Gain v LỜI CẢM ƠN Trƣớc tiên, em xin đƣợc gửi lời cảm ơn chân thành tới PGS.TS Lê Trọng Vĩnh, trƣờng Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội dành nhiều công sức hƣớng dẫn em thực luận văn nhƣ suốt trình học tập làm việc trƣờng Em xin chân thành cảm ơn thầy cô Bộ môn Tin học, trƣờng Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội nhiệt tình truyền đạt kiến thức, kinh nghiệm, phƣơng pháp nghiên cứu say mê khoa học tới nhiều lứa học viên cao học có em Em xin gửi lời cảm ơn sâu sắc tới gia đình, bạn bè, anh chị em ngƣời sát cánh bên em, giúp đỡ quan tâm, động viên suốt trình học tập nhƣ thời gian thực đề tài Với bảo tận tình thầy, cơ, em cố gắng để hoàn thành luận văn Tuy nhiên, em nhiều điểm hạn chế nên luận văn tồn nhiều thiếu sót Em kính mong tiếp tục nhận đƣợc ý kiến góp ý thầy, cô nhƣ bạn học viên để em phát triển đề tài Một lần em xin gửi tới tất ngƣời lời cảm ơn chân thành Học viên Trần Thị Hƣơng vi LỜI MỞ ĐẦU Thế kỷ XXI, chứng kiến phát triển nhanh chóng Internet ảnh hƣởng sâu rộng tới lĩnh vực đời sống ngƣời Song song với lợi ích mà mạng máy tính đem lại trở thành mục tiêu lợi dụng kẻ công, xâm nhập trái phép nhằm thực mƣu đồ xấu, đe dọa tới tính an tồn bảo mật thông tin tổ chức hay ngƣời dùng kết nối mạng Mặc dù, hệ thống máy tính có chế tự bảo vệ riêng nhƣng chƣa đủ để phát hay ngăn chặn công ngày tinh vi Vấn đề đặt xây dựng đƣợc hệ thống phát sớm có hiệu cơng hay xâm nhập trái phép từ đƣa cảnh báo biện pháp xử lý kịp thời Một số hệ thống phát xâm nhập mạng truyền thống đƣợc áp dụng phổ biến rộng rãi giới nhƣ hệ thống phát xâm nhập dựa tập luật, phân tích thống kê,…Các hệ thống phát tốt công biết với tỷ lệ cảnh báo sai thấp Tuy nhiên, chúng tỏ hiệu công mới, đồng thời phải cập nhật luật Một vài nghiên cứu gần [1][5] đƣa hƣớng tiếp cận dựa vào học máy cho toán phát xâm nhập mạng Từ nghiên cứu thực nghiệm liệu chuẩn, tác giả thuật toán dựa vào học máy có khả học tiếp thu tri thức từ tri thức biết từ giúp phân loại mẫu đƣợc học, dự đoán tốt mẫu (các kiểu công mới) Điều hứa hẹn đem lại cách tiếp cận hiệu cho tốn phát xâm nhập.Vì vậy, luận văn tập trung theo hƣớng tiếp cận lựa chọn ba thuật tốn điển hình nhận đƣợc quan tâm nghiên cứu gần hồi quy logistic, máy véc-tơ hỗ trợ, mạng nơ-ron nhân tạo Đồng thời tiến hành xây dựng hệ thống phát xâm nhập dựa vào thuật toán học máy từ phân tích đánh giá hiệu thuật toán việc phát xâm nhập Luận văn “Đánh giá hiệu số thuật toán phát xâm nhập mạng” đƣợc chia làm ba chƣơng với nội dung nhƣ sau: Chƣơng 1: Tổng quan: Hệ thống hóa vấn đề liên quan tới phát xâm nhập mạng hệ thống phát xâm nhập mạng Ngồi ra, chƣơng trình bày số cách tiếp cận để giải vấn đề phát xâm nhập mạng Chƣơng 2: Phát xâm nhập mạng dựa vào học máy: Trình bày số thuật tốn học máy có giám sát điển hình nhƣ hồi quy logistic, máy véc-tơ hỗ trợ, mạng nơ-ron nhân tạo cho toán phát xâm nhập, nhƣ việc áp dụng thuật toán giải tốn Bên cạnh đó, chƣơng trình bày vấn đề rút gọn đặc trƣng sử dụng độ đo information gain để giảm thiểu chi phí tính toán thời gian phát Chƣơng 3: Đánh giá hiệu số thuật toán việc phát xâm nhập mạng: Tiến hành thực nghiệm thuật toán học máy nêu chƣơng hai nhiều liệu chuẩn (KDD CUP 99), từ có đánh giá, nhận xét so sánh tỷ lệ phát xâm nhập thời gian phát mơ hình Chƣơng 1: Tổng quan phát xâm nhập mạng 1.1 Giới thiệu Trong năm gần đây, phát triển nhƣ vũ bão mạng Internet đem lại lợi ích khơng nhỏ cho ngƣời bao gồm đời sống, công nghệ, kinh tế, xã hội, Bên cạnh Interner trở thành môi trƣờng lý tƣởng cho kẻ xấu lợi dụng để thực hành vi xâm nhập trái phép, cơng vào hệ thống máy tính cá nhân hay tổ chức gây thiệt hại nghiêm trọng Vì vậy, vấn đề an ninh bảo mật ngày đƣợc quan tâm Khi triển khai hệ thống thơng tin đồng nghĩa với việc xây dựng chế bảo vệ chặt chẽ, an tồn cho hệ thống thơng tin doanh nghiệp, tổ chức góp phần quan trọng vào việc trì tính bền vững hệ thống Để làm đƣợc điều đó, tất hệ thống cần trang bị công cụ đủ mạnh, am hiểu cách xử lý để đối phó với phƣơng thức cơng vào hệ thống mạng Một tƣờng lửa đủ mạnh để chống đỡ ý đồ xâm nhập vào hệ thống Vì vậy, ngồi việc am hiểu sâu sắc vấn đề bảo mật ngƣời quản trị an ninh mạng cần hệ thống, hay cơng cụ trợ giúp đặc lực cho việc đảm bảo an toàn hệ thống Nhiệm vụ bảo mật thông tin bảo vệ mơi trƣờng mạng mà nặng nề khó đốn định trƣớc Nhƣng tựu chung lại, nhiệm vụ gồm bốn hƣớng là: bảo đảm an tồn cho phía máy chủ, bảo đảm an tồn cho phía khách, bảo mật thơng tin đƣờng truyền phát xâm nhập mạng Trong đó, phát xâm nhập mạng (intrusion detection) vấn đề đƣợc quan tâm hàng đầu gia tăng nhanh chóng xâm nhập trái phép Những kẻ xâm nhập ngày nguy hiểm, tinh vi phức tạp Vì thế, nghiên cứu này, luận văn tập trung vào việc nghiên cứu toán phát xâm nhập mạng, xây dựng đánh giá mơ hình phát xâm nhập mạng 1.2 Xâm nhập 1.2.1 Khái niệm Hiện chƣa có định nghĩa xác thuật ngữ xâm nhập Mỗi chuyên gia lĩnh vực an toàn thông tin luận giải thuật ngữ theo ý hiểu Tuy nhiên, định nghĩa Kendall năm 1999 đƣợc biết đến rộng rãi Tác giả đƣa khái niệm xâm nhập nhƣ sau: “Tấn công hay gọi xâm nhập mạng hoạt động có chủ đích, lợi dụng tổn thương hệ thống thơng tin nhằm phá vỡ tính sẵn sàng, tính tồn vẹn tính bảo mật hệ thống” [8] 1.2.2 Một số kiểu xâm nhập phổ biến Có nhiều kiểu xâm nhập mạng khác thƣờng đƣợc phân thành loại chính: cơng từ chối dịch vụ, kiểu thăm dò, cơng chiếm quyền “root”, công điều khiển từ xa Phần dƣới trình bày chi tiết kiểu cơng a) Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ (Denial of Service) hay viết tắt DoS kiểu công làm cho hệ thống bị q tải khơng thể cung cấp dịch vụ, làm gián đoạn hoạt động hệ thống hệ thống phải ngƣng hoạt động [8] Tùy theo phƣơng thức thực mà đƣợc biết dƣới nhiều tên gọi khác Bắt đầu lợi dụng yếu giao thức TCP để thực công từ chối dịch vụ DoS Ngồi có kiểu công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) công từ chối dịch vụ theo phƣơng pháp phản xạ DRDoS (Distributed Reflection of Service) Tấn công từ chối dịch vụ cổ điển DoS sử dụng hình thức: bom thƣ, đăng nhập liên tiếp, làm ngập SYN, cơng Smurf, thủ phạm sinh nhiều giao tiếp ICMP tới địa Broadcast mạng với địa nguồn mục tiêu cần công, công “gây lụt” UDP… Tấn công dịch vụ phân tán DDoS xuất vào năm 1999, so với công DoS cổ điển, sức mạnh DDoS cao gấp nhiều lần Hầu hết công DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạch hệ thống dẫn đến hệ thống ngƣng hoạt động Để thực kẻ cơng tìm cách chiếm dụng điều khiển nhiều máy tính/mạng máy tính trung gian, từ nhiều nơi để đồng loạt gửi ạt gói tin với số lƣợng lớn nhằm chiếm dụng tài nguyên làm nghẽn đƣờng truyền mục tiêu xác định b) Tấn cơng thăm dò Đối với kiểu cơng thăm dò (Probe), tin tặc qt mạng máy tính để tìm điểm yếu dễ cơng mà thơng qua tin tặc thu thập thơng tin trái phép tài nguyên, lỗ hổng dịch vụ hệ thống Các kiểu công thăm dò nhƣ: Sniffing, Ping Sweep, Ports Scanning,… [8] Ví dụ: Sniffer hình thức nghe hệ thống mạng dựa đặc điểm chế TCP/IP Sniffer ban đầu kỹ thuật bảo mật, đƣợc phát triển nhằm giúp nhà quản trị mạng khai thác mạng hiệu kiểm tra liệu vào mạng nhƣ liệu mạng Sau này, kẻ công dùng phƣơng pháp để lấy cắp mật hay thông tin nhạy cảm khác Biến thể sniffer chƣơng trình nghe bất hợp pháp nhƣ: cơng cụ nghe yahoo, ăn cắp mật thƣ điện tử,… c) Tấn công chiếm quyền root Kiểu công chiếm quyền root (User to Root) viết tắt U2R, tin tặc với quyền ngƣời dùng bình thƣờng cố gắng để đạt đƣợc quyền truy nhập cao (đặc quyền ngƣời quản trị) vào hệ thống cách bất hợp pháp [8] Cách thức phổ biến kiểu công gây tràn đệm Kiểu cơng gặp so với hai kiểu công DoS probe Tuy nhiên, loại công nguy hiểm kẻ cơng chiếm đƣợc quyền cao chúng kiểm sốt tồn hệ thống d) Tấn cơng điều khiển từ xa Đây kiểu công điều khiển từ máy tính từ xa có tên tiếng anh “remote to local” hay R2L Ban đầu, kẻ cơng khơng có tài khoản hệ thống nhƣng chúng lại cố gắng gửi gói tin đến máy tính hệ thống thơng qua mạng Sau đó, chúng khai thác lỗ hổng bảo mật để truy cập trái phép nhƣng với tƣ cách ngƣời dùng cục [8] Cách công phổ biến loại đốn mật thơng qua phƣơng pháp từ điển brute-force, FTP Write, 1.2.3 Một số giải pháp ngăn chặn xâm nhập truyền thống Một số biện pháp ngăn chặn xâm nhập đƣợc sử dụng phổ biến nhƣ: tƣờng lửa (firewall), mã hóa, xác thực, quyền truy cập,… a) Tường lửa Tƣờng lửa phần mềm hay phần cứng đƣợc thiết kế để ngăn chặn truy cập trái phép cho phép truy cập hợp pháp đƣợc lƣu thông dựa tập luật tiêu chuẩn khác Ngoài tƣờng lửa mã hóa, giải mã hay ủy quyền cho giao dịch miền bảo mật khác Một số loại tƣờng lửa có chức chuyên dụng nhƣ: tƣờng lửa lọc gói, cổng ứng dụng, cổng mức mạch… Tƣờng lửa có số điểm yếu nhƣ: (i) Không chống đƣợc công từ bên mạng Tƣờng lửa giả sử kẻ xấu bên ngồi mạng, trạm bên mạng đánh tin cậy (ii) Không chống đƣợc lây nhiễm phá hoại chƣơng trình virus hay mã độc (iii) Không chống đƣợc công kiểu bỏ qua Tƣờng lửa cho kết nối bên mạng cần qua tƣờng lửa, nhƣng thực tế có số kết nối không qua tƣờng lửa thân tổ chức tạo nên b) Mã hóa liệu Mã hóa liệu phƣơng pháp bảo vệ thơng tin liệu cách chuyển liệu từ dạng thơng thƣờng sang dạng bị mã hóa khơng thể đọc đƣợc, nhƣng đƣa dạng ban đầu đƣợc nhờ hình thức giải mã tƣơng ứng Tác dụng ngăn chặn việc nghe trộm chỉnh sửa liệu đƣờng truyền, bên thứ ba lấy đƣợc gói tin mã hóa, nhƣng đọc đƣợc nội dung thông điệp từ gói tin Ngăn chặn việc giả mạo thơng tin đảm bảo tính khơng thể phủ nhận an tồn mạng Tƣơng ứng với cách mã hóa cách giải mã định, bao gồm thuật toán khóa mã bí mật c) Xác thực Xác thực (authentication) trình xác định xem ngƣời dùng truy cập vào hệ thống có phải ngƣời dùng hợp lệ hay không d) Quyền truy cập Quyền truy cập mức bảo vệ Sau xác thực thành cơng, ngƣời dùng truy cập vào hệ thống Tùy vào ngƣời dùng cụ thể mà hệ thống phân quyền truy cập, sử dụng hệ thống khác 1.3 Hệ thống phát xâm nhập mạng Mặc dù, thân hệ thống máy tính có chế bảo mật riêng nhằm chống lại ngăn chặn xâm nhập trái phép nhƣng giải pháp bảo mật nhƣ firewall, mã hóa liệu,…chƣa đủ mạnh để phát hiện, cảnh báo, ngăn chặn đƣợc công mới, ngày tinh vi Vấn đề đặt cần phải xây dựng hệ thống giám sát chuyên biệt, có khả phát đƣa cảnh báo sớm nguy công Các hệ thống có nhiệm vụ nhƣ đƣợc gọi hệ thống phát xâm nhập 1.3.1 Định nghĩa Phát xâm nhập mạng trình theo dõi kiện xảy hệ thống máy tính mạng máy tính phân tích chúng để tìm dấu hiệu cố xảy ra, hành vi mối đe dọa xảy ra, vi phạm sách bảo mật, sách sử dụng đƣợc chấp nhận dựa tiêu chuẩn bảo mật [8] Hệ thống phát xâm nhập mạng (Intrusion Detetion System) hệ thống (có thể thiết bị phần cứng hay phần mềm) nhằm giám sát lƣu lƣợng mạng theo dõi, thu thập thông tin để phát xâm nhập mạng đƣa cảnh báo 1.3.2 Phân loại hệ thống phát xâm nhập mạng Hệ thống IDS đƣợc phân loại dựa cách thu thập liệu giám sát dựa phƣơng pháp phân tích [4] Theo cách phân loại thứ IDS đƣợc chia thành hai dạng hệ thống phát mức mạng NIDS (Network -based IDS) hệ thống phát xâm nhập mức máy trạm chủ HIDS (Host – based IDS) Hệ thống phát xâm nhập mức mạng (Network – based IDS) NIDS hệ thống độc lập, xác định truy cập trái phép cách kiểm tra luồng thông tin mạng giám sát nhiều máy trạm NIDS truy cập vào luồng thông tin mạng cách kết nối vào Hub, Switch đƣợc cấu hình Port mirroring Network tap để bắt gói tin, phân tích nội dung gói tin từ sinh cảnh báo phát công Port mirroring đƣợc sử dụng Switch mạng để gửi tất gói tin mạng qua cổng Switch tới thiết bị giám sát mạng cổng khác Switch Nó thƣờng đƣợc dùng thiết bị mạng cần giám sát luồng mạng, ví dụ nhƣ hệ thống IDS, Port mirroring Switch Cisco System thƣờng đƣợc gọi Switched Port Analyzer (SPAN) 3Com Roving Analysis Port (RAP) Network tap thiết bị phần cứng dùng để truy cập vào luồng liệu ngang qua mạng máy tính Trong nhiều trƣờng hợp, đƣợc xem nhƣ thành phần thứ ba để giám sát luồng liệu trao đổi hai điểm mạng, điểm A điểm B Một network tap có ba cổng kết nối, cổng A, cổng B, cổng giám sát Để đặt Network tap điểm A điểm B, cáp mạng hai điểm A, B đƣợc thay cặp dây, dây đấu cổng A dây đấu cổng B Network tap cho qua tất liệu A B giao tiếp A B diễn bình thƣờng, nhiên liệu trao đổi bị Network tap chép đƣa vào thiết bị giám sát thơng qua cổng giám sát Hình 1.1 Hệ thống phát xâm nhập NIDS Tuy nhiên, nhƣợc điểm hệ thống NIDS giới hạn băng thông xảy tƣợng tắc nghẽn cổ chai lƣu lƣợng mạng hoạt động mức cao Hệ thống phát xâm nhập mức máy trạm chủ (Host – based IDS) HIDS thƣờng phần mềm chạy trạm làm việc để giám sát tất hoạt động máy trạm Hệ thống phân tích thơng tin thu đƣợc nội hệ thống, cung cấp chế phân tích tồn diện hoạt động phát cách xác thành phần cơng Hình 1.2 Hệ thống phát xâm nhập HIDS Nhƣợc điểm HIDS việc thu thập liệu xảy trạm máy chủ ghi vào log làm giảm hiệu mạng Theo cách phân loại thứ hai IDS đƣợc chia làm hai dạng phát dấu hiệu dựa vào đặc trƣng (của xâm nhập) hay dựa vào dấu hiệu (Signature-based IDS) dựa vào bất thƣờng (Anomaly-based IDS) Hệ thống phát xâm nhập dựa vào đặc trưng (Signature-based IDS) Hệ thống IDS loại dựa vào dấu hiệu xâm nhập Những dấu hiệu thơng tin kết nối nguy hiểm biết trƣớc Hệ thống mơ hình hóa dấu hiệu xâm nhập biết việc so sánh thông tin gói tin đến với dấu hiệu để phát hoạt động đáng ngờ đƣa cảnh báo cho hệ thống Ƣu điểm hệ thống hiệu việc phát công biết với tỷ lệ cảnh báo sai thấp Tuy nhiên, nhƣợc điểm hệ thống phát đƣợc công biết, thƣờng xuyên cập nhật đặc trƣng (dấu hiệu) công thời gian phát tăng sở liệu lớn Hệ thống phát xâm nhập dựa vào bất thường (Anomaly-based IDS) Ý tƣởng cách tiếp cận xuất phát từ giả thiết “Dấu hiệu 10 công khác biệt với dấu hiệu trạng thái mạng coi bình thường” Khi đó, việc phát diễn đƣợc tiến hành qua hai giai đoạn: giai đoạn huấn luyện (pha huấn luyện) gia đoạn phát (pha phát hiện) Tại pha huấn luyện xây dựng hồ sơ hoạt động bình thƣờng (thơng số chuẩn) Sau pha phát tiến hành so khớp quan sát (gói tin) với hồ sơ từ xác định dấu hiệu bất thƣờng Ƣu điểm hệ thống hiệu việc phát mối nguy hiểm không đƣợc biết trƣớc Những năm gần đây, hƣớng tiếp cận thu hút nhiều quan tâm nhà nghiên cứu [5][17] Do đó, luận văn tập trung vào hƣớng tiếp cận 1.4 Một số cách tiếp cận cho toán phát xâm nhập Trong phần luận văn điểm qua số cách tiếp cận phổ biến cho toán phát xâm nhập mạng nhƣ phát xâm nhập dựa vào luật, dựa vào phân tích thống kê hay dựa vào thuật tốn học máy 1.4.1 Cách tiếp cận dựa vào luật Phát xâm nhập dựa vào luật (rule-based) phƣơng pháp đời từ sớm có ứng dụng rộng rãi phổ biến [20] Đó cách tiếp cận dựa vào dấu hiệu xâm nhập Quá trình phát xâm nhập dựa tập luật thƣờng đƣợc thực nhƣ sau: Bƣớc 1: Hệ thống tiến hành trích chọn dấu hiệu xâm nhập từ dấu hiệu xâm nhập cơng trƣớc Bƣớc 2: Xây dựng sở liệu luật kiểu xâm nhập với định dạng nhƣ sau: if {condition} then {atc} Trong đó: o condition: dấu hiệu (đặc trƣng) liên quan tới kiểu xâm nhập 11 nhƣ: duration, protocol, source port, destination port, service, o atc: kiểu công Bƣớc 3: Hệ thống sử dụng thuật toán so khớp để phát xâm nhập Ví dụ: Luật quy định kiểu công dos if(duration = “0:0:1” and protocol = “finger” and source_port = 18982 and destination_port = 79 and source_ip = “9.9.9.9” and destination_ip = “172.16.112.50” and service =“private”) then (attack name = “dos”) Luật quy định kiểu công probe if(duration = “0:0:1” and protocol = “telnet” and source_port = 18982 and destination_port = 79 and source_ip = “9.9.9.9” and destination_ip = “172.16.112.50” and service =“fpt”) then (attack name = “probe”) Ƣu điểm hệ thống phát dựa vào luật dễ cài đặt, dễ thêm luật đơn giản việc sử dụng Khi hệ thống mạng đứng trƣớc nguy công mới, ngƣời quản trị việc cập nhật thêm luật chƣa có vào sở liệu Phƣơng pháp có tỉ lệ phát nhầm thấp dùng cách phân tích gói tin so sánh với mẫu có Tuy nhiên, nhƣợc điểm cách tiếp cận khơng phát đƣợc mẫu công chƣa đƣợc biết trƣớc Bên cạnh đó, hệ thống phải liên tục cập nhật luật công Nếu sở liệu chứa luật lớn thời gian phát tăng theo 1.4.2 Cách tiếp cận dựa vào thống kê Phát xâm nhập dựa vào thống kê phƣơng pháp điển hình cho cách tiếp cận phát dựa vào bất thƣờng đƣợc áp dụng rộng rãi hệ thống phát xâm nhập từ nhiều thập kỷ Hệ thống hoạt động nguyên tắc quan sát hoạt động đối tƣợng sinh hồ sơ biểu diễn hành vi 12 ... hành xây dựng hệ thống phát xâm nhập dựa vào thuật toán học máy từ phân tích đánh giá hiệu thuật toán việc phát xâm nhập Luận văn Đánh giá hiệu số thuật toán phát xâm nhập mạng đƣợc chia làm ba... tới phát xâm nhập mạng hệ thống phát xâm nhập mạng Ngồi ra, chƣơng trình bày số cách tiếp cận để giải vấn đề phát xâm nhập mạng Chƣơng 2: Phát xâm nhập mạng dựa vào học máy: Trình bày số thuật. .. trung vào việc nghiên cứu toán phát xâm nhập mạng, xây dựng đánh giá mơ hình phát xâm nhập mạng 1.2 Xâm nhập 1.2.1 Khái niệm Hiện chƣa có định nghĩa xác thuật ngữ xâm nhập Mỗi chuyên gia lĩnh