Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)Nghiên cứu phát hiện sự lẩn tránh với Port Hopping (Luận văn thạc sĩ)
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - ĐÀO THỊ DOAN NGHIÊN CỨU PHÁT HIỆN SỰ LẨN TRÁNH VỚI PORT HOPPING LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) TP.HCM - 2018 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - ĐÀO THỊ DOAN NGHIÊN CỨU PHÁT HIỆN SỰ LẨN TRÁNH VỚI PORT HOPPING Chuyên ngành : Mã số: HỆ THỐNG THÔNG TIN 8480104 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN HỒNG SƠN TP.HCM - 2018 i LỜI CAM ĐOAN Tơi cam đoan cơng trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa cơng bố tài liệu khác TP.HCM, ngày 22 tháng 07 năm 2018 Học viên thực luận văn Đào Thị Doan ii LỜI CẢM ƠN Đầu tiên, tơi xin bày tỏ lòng biết ơn chân thành đến TS Nguyễn Hồng Sơn Thầy trực tiếp, tận tâm giúp đỡ truyền đạt, định hướng kiến thức, kinh nghiệm quý báu cho suốt trình thực luận văn “Nghiên cứu phát lẩn tránh với Port Hopping ” Để hồn thành luận văn này, tơi xin chân thành cảm ơn đến quý thầy cô giảng viên khoa Đào tạo sau đại học, Học Viện Công Nghệ Bưu Chính Viễn Thơng sở Thành Phố Hồ Chí Minh tận tình giảng dạy, hướng dẫn tơi suốt trình học tập nghiên cứu Học Viện Và cuối cùng, xin chân thành cảm ơn gia đình, bạn bè, đồng nghiệp ln động viên, tạo điều kiện cho tơi hồn thành tốt luận văn Mặc dù cố gắng thực tốt nội dung nghiên cứu luận văn, song khơng tránh khỏi thiếu sót định Tơi mong nhận ý kiến đóng góp quý báu thầy để tơi hồn thiện đề tài TP.HCM, ngày 22 tháng 07 năm 2018 Học viên thực luận văn Đào Thị Doan iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT v DANH SÁCH BẢNG vi DANH SÁCH HÌNH VẼ vii LỜI MỞ ĐẦU .1 1.1 Giới thiệu kỹ thuật lẩn tránh 1.1.1 Khái niệm kỹ thuật lẩn tránh 1.1.2 Cách thức hoạt động 1.1.3 Cách phòng chống cơng AETs .6 1.2 Một số kỹ thuật lẩn tránh 1.2.1 Kỹ thuật proxy 1.2.2 Kỹ thuật tunneling 1.2.3 Kỹ thuật Port Hopping 1.3 Một số phương pháp phân tích kĩ thuật lẩn tránh 10 1.3.1 Phương pháp phân tích tĩnh 11 1.3.2 Phương pháp phân tích động 15 CHƯƠNG - KỸ THUẬT PHÂN CỤM DỮ LIỆU 18 2.1 Khái niệm phân cụm liệu 18 2.2 Mục tiêu phân cụm liệu 18 2.3 Ứng dụng phân cụm liệu 19 2.4 Các u cầu q trình phân cụm liệu .20 2.5 Kiểu liệu độ đo phân cụm liệu .23 2.6 Một số phương pháp phân cụm liệu điển hình 29 2.6.1 Phân cụm phân hoạch .30 2.6.2 Phân cụm phân cấp 31 2.6.3 Phân cụm dựa lưới 32 2.6.4 Phân cụm dựa mơ hình .33 2.6.5 Phân cụm có liệu ràng buộc 35 iv 2.6.6 Phân cụm dựa mật độ .36 CHƯƠNG - ỨNG DỤNG KỸ THUẬT PHÂN CỤM DỮ LIỆU 37 TRONG NHẬN DẠNG ỨNG DỤNG PORT HOPPING .37 3.1 Giải pháp nhận dạng ứng dụng Port Hopping .37 3.1.1 Giải pháp chặn thu lưu lượng mạng máy tính 38 3.1.2 Rút trích đặc trưng tạo liệu phân cụm 40 3.1.3 Phân cụm liệu dựa thuật toán DBSCAN .43 3.1.4 Nhận dạng Port Hopping dựa kết phân cụm 46 3.2 Xây dựng công cụ nhận dạng ứng dụng Port Hopping 46 3.3 Thử nghiệm đánh giá kết 47 3.3.1 Kịch thử nghiệm 47 3.3.2 Kết thử nghiệm 48 3.3.3 Đánh giá kết 49 KẾT LUẬN .51 Kết đạt 51 1.1 Về mặt lý thuyết 51 1.2 Về mặt thực tiễn 51 Hạn chế 51 Hướng phát triển 51 DANH MỤC CÁC TÀI LIỆU THAM KHẢO 53 v DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Viết tắt AETS IDS Tiếng Anh Advanced Evasion Techniques Intrusion Detection System IPS Intrusion Prevention System P2P TCP Peer-to-Peer Transmission Control Protocol UDP User Datagram Protocol Tiếng Việt Kỹ thuật lẩn tránh tiên tiến Hệ thống phát xâm nhập Hệ thống ngăn ngừa xâm nhập Điểm-tới-điểm Giao thức kiểm sốt truyền tải Giao thức gói người dùng VPN Virtual private network Mạng riêng ảo vi DANH SÁCH BẢNG Bảng 2.1: Bảng tham số 27 Bảng 3.1: Thống kê kết với ứng dụng Port Hopping 49 Bảng 3.2: Thống kê kết với ứng dụng Port Hopping 50 vii DANH SÁCH HÌNH VẼ Hình 1.1: Ví dụ mơ tả cách hoạt động kỹ thuật AETs Hình 1.2: Cấu hình tường lửa chặn cổng 6667 Hình 1.3: Sử dụng proxy vượt tường lửa Hình 1.4: Mơ hình VPN sử dụng tunneling Hình 1.5: Đoạn mã virus Stoned phân tích nhận dạng kỹ thuật String scan 12 Hình 1.6: Nhận dạng virus Heuristic 13 Hình 1.7: Phân loại ngưỡng lây nhiễm dựa kết tính tốn Heuristic 14 Hình 2.1: Quá trình gom cụm liệu .18 Hình 2.2: Hình ảnh đặc trưng cụm sử dụng phân cụm phân hoạch .31 Hình 2.3: Phân cụm phân cấp dựa tập liệu đối tượng 32 Hình 2.4: Cấu trúc phân cụm dựa lưới 34 Hình 2.5: Hình mơ tả phương pháp phân cụm dựa mơ hình 35 Hình 2.6: Hình ảnh phân cụm theo mật độ 37 Hình 3.1: Giải pháp nhận dạng ứng dụng Port Hopping 38 Hình 3.2: Sơ đồ chặn bắt lưu lượng mạng 39 Hình 3.3: Dữ liệu giá trị đặc trưng theo dạng cột .42 Hình 3.4: Dữ liệu giá trị đặc trưng theo dạng Weka 42 Hình 3.5: Dạng cụm liệu thực thuật toán DBSCAN 43 Hình 3.6: Thuật tốn DBSCAN 46 Hình 3.7: Quá trình chặn bắt lưu lượng mạng 47 Hình 3.8: Kết phân cụm nhận dạng 49 LỜI MỞ ĐẦU Vấn đề tăng cường an ninh, đảm bảo an tồn mạng thơng tin trở thành vấn đề cấp thiết, không riêng cá nhân, tổ chức độc lập mà toàn quan nhà nước, doanh nghiệp cần đảm bảo giám sát.Trong năm gần đây, tình hình an tồn thơng tin (ATTT) mạng Internet diễn phức tạp tần suất công mạng mức độ nguy hiểm Việt Nam tiếp tục nước nằm danh sách quốc gia có tỷ lệ lây nhiễm phần mềm độc hại bị công mạng cao giới Một kiện công mạng nghiêm trọng xảy thời gian qua việc tin tặc công hệ thống mạng hãng hàng không Vietnam Airlines xảy chiều ngày 29/7/2016 việc lây lan mã độc WannaCry (5/2017) Đặc biệt hơn, công gần đây, có kết hợp nhiều loại mã độc mới, lỗ hổng hệ thống mới, kỹ thuật vượt qua việc giám sát thiết bị cảnh báo xâm nhập, tường lửa Theo tài liệu công bố Công ty an ninh mạng Fireeye Hoa Kỳ, bật nhóm cơng có chủ đích gán nhãn mối đe dọa thường trực cao cấp (APT) hoạt động Việt Nam riêng khu vực Đơng Nam Á nói chung Mục đích nhóm cơng có chủ đích (APT) thường khơng mang tính phá hoại, chủ yếu thu thập thông tin, đánh cắp liệu nhạy cảm Phần lớn cá nhân tổ chức, doanh nghiệp Việt Nam nhận thức chưa tốt tính nguy hiểm cơng mạng nói chung cơng APT nói riêng Dù có nhiều doanh nghiệp, tổ chức triển khai công cụ, biện pháp bảo mật tối tân đắt tiền chưa tránh cơng APT.Các nhóm thường kiên trì, bền bỉ, có chủ đích tìm cách để khai thác điểm yếu cách vận hành, cấu hình lỗ hổng hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS), tường lửa antivirus 41 - Giao thức: để nhận biết dạng kết nối chặn thu (mặc định TCP), khơng tham gia phép tính thuật toán phân cụm - Cổng: để nhận biết kết nối TCP cổng nào, không tham gia phép tính thuật tốn phân cụm - Thời gian kết nối trung bình: (đơn vị tính giây), thời gian tồn trung bình kết nối ứng dụng đến giá trị cổng server Thời gian tồn kết nối khoảng thời gian gói tin (đến) gói tin cuối (đến) kết nối - Khoảng thời gian đổi cổng trung bình: (đơn vị tính giây), thời gian đổi cổng trung bình kết nối (của ứng dụng cụ thể) đến giá trị cổng server Thời gian đổi cổng kết nối khoảng cách thời điểm khởi tạo kết nối với thời điểm khởi tạo kết nối khác ứng dụng khác cổng - Tổng số kết nối: số kết nối (của ứng dụng) giá trị cổng thời gian chặn thu - Tổng số gói TCP bật cờ SYN: (nhưng khơng bật cờ ACK) số gói tin TCP bật cờ SYN, không bật cờ ACK kết nối (của ứng dụng) giá trị cổng thời gian chặn thu - Tổng số gói tin từ client-server: số gói tin theo chiều từ client đến server kết nối (của ứng dụng) giá trị cổng thời gian chặn thu - Payload trung bình client-server: (đơn vị tính KB) độ dài payload trung bình gói tin TCP kết nối (của ứng dụng) giá trị cổng thời gian chặn thu Như vậy, đặc trưng trên, đặc trưng chứa thông tin nhận dạng, đặc trưng cuối tham gia vào phép tính thuật tốn phân cụm Mẫu liệu nhận dạng sau rút trích đặc trưng hiển thị theo hai dạng sau: - Dữ liệu giá trị đặc trưng theo dạng cột: 42 Hình 3.3: Dữ liệu giá trị đặc trưng theo dạng cột - Giá trị đặc trưng theo định dạng ARFF phần mềm weka Hình 3.4: Dữ liệu giá trị đặc trưng theo dạng Weka 43 3.1.3 Phân cụm liệu dựa thuật toán DBSCAN Giải thuật DBSCAN (Density Based Spatial Clustering of Application with Noise) [10] phát triển Ester, Kriegel Sander vào năm 1996 nghiên cứu thuật toán gom cụm liệu dựa mật độ Giải thuật DBSCAN giống giải thuật phân cụm liệu dựa mật độ khác, phát cụm có hình dạng bất kỳ, có khả phát nhiễu, phần tử ngoại lai tốt Tại thời điểm cụm bị ảnh hưởng thứ tự đối tượng liệu nhập vào Khi đối tượng chèn vào tác động đến láng giềng xác định Hình 3.5: Dạng cụm liệu thực thuật toán DBSCAN Giải thuật DBSCAN dựa ý tưởng bên cụm tồn mật độ dày đặc bên cụm để phát cụm Đồng thời, mật độ cụm nhiễu thấp mật độ bên tất cụm khác cụm nhiễu DBSCAN yêu cầu phải xác định bán kính (Eps) láng giềng số láng giềng tối thiểu đối tượng cụm (MinPts) để kiểm soát mật độ cụm Việc xác định tham số cách tối ưu khó khăn, thường xác định phép chọn ngẫu nhiên dựa theo kinh nghiệm Định nghĩa: Eps-láng giềng (Eps-neighborhood) Eps-láng giềng điểm p, ký hiệu NEps(p), xác định sau: NEps(p) = {q D | dist(p,q) ≤ Eps} Trong đó: D tập liệu cho trước, dist(p, q) khoảng cách hai điểm p, q tính dựa hàm đo khoảng cách Để điểm p nằm cụm NEps(p) phải có tối thiểu MinPts điểm 44 Định nghĩa: Mật độ trực tiếp tiến (Directly Density – reachable) Một điểm p D gọi mật độ trực tiếp tiến từ điểm q D khi: p NEps(q) |NEps(q)| ≥ MinPts (điều kiện nhân) Định nghĩa: Mật độ tiến (density–reachable) Một điểm p gọi mật độ tiến từ điểm q tồn chuỗi điểm p1, …, pn D với p1 = q pn = p cho pi+1 mật độ trực tiếp tiến từ pi theo thông số Eps MinPts, ≤ i ≤ n Hai điểm nằm biên cụm khơng mật độ tiến lẫn nhau, điều kiện xác định điểm nhân không chứa chúng Tuy nhiên, cụm tồn điểm lõi mà hai điểm biên mật độ tiến lẫn Định nghĩa: Mật độ liên kết (density-connected) Một điểm p gọi mật độ liên kết với điểm q tồn điểm o D cho hai điểm p q mật độ tiến từ o theo thông số Eps MinPts Một cụm tập điểm mật độ liên kết lớn Nhiễu điểm không thuộc cụm Định nghĩa: Cụm (Clustering) Giả sử D tập điểm liệu, C tập khác rỗng D gọi Cụm thỏa điều kiệu sau: Với p, q: p C q mật độ tiến từ p q C Với p, q C: p mật độ liên kết từ q theo thông số Eps MinPts Một cụm tìm thấy thông qua bước Bước thứ nhất, chọn điểm từ D thỏa điều kiện điểm lõi làm hạt giống Bước thứ 2, tìm tất điểm mật độ tiến từ điểm hạt giống Định nghĩa: Nhiễu (Noise) Gọi C1, C2,…, Ck cụm tập liệu D theo thông số Eps MinPts Nhiễu tập hợp tất điểm không thuộc cụm Ci với i=1, …, k Hai bổ đề sử dụng thuật toán DBSCAN: Bổ đề 1: Gọi p điểm thuộc D |NEps(p)| ≥ MinPts tập O = {o | o D o mật độ tiến từ p} cụm theo thông số Eps MinPts 45 Bổ đề 2: Giả sử C cụm phát dựa hai thông số Eps MinPts p điểm C với | NEps (p)| ≥ MinPts C tập O = {o | o mật độ tiến từ p} Thuật toán DBSCAN Thuật toán DBSCAN phát triển để phát cụm nhiễu dựa hai khái niệmvề Nhóm Nhiễu trình bày Thuật tốn cần phải biết trước hai tham số Eps MinPts Để tìm nhóm, DBSCAN bắt đầu khởi tạo với điểm p tùy ý tìm tất điểm mật độ tiến từ p tới Eps MintPts Nếu p điểm lõi thuật tốntạo cụm theo Eps MintPts Nếu p điểm biên khơng có điểm mật độ tiến từ p DBSCAN đến điểm tập liệu [3] Hình 3.6: Thuật tốn DBSCAN Trong đó: Hàm regionQuery(xi, X, eps) giải thuật DBSCAN trả điểm láng giềng bán kính eps điểm x Hàm cần duyệt qua toàn tập liệu để tìm k láng giềng 46 Độ phức tạp DBSCAN O(n2) hàm regionQuery(xi, X, eps) phải duyệt tồn tập liệu để tìm k láng giềng Có số phương pháp sử dụng để cải thiện tốc độ tìm kiếm k láng giềng chẳng hạn sử dụng số không gian, cấu trúc mục nhiều chiều [1a] giúp cải tiến độ phức tạp thuật toán 3.1.4 Nhận dạng Port Hopping dựa kết phân cụm Kết q trình phân cụm liệu tạo vài cụm cụ thể với liệu nhiễu (khơng phân cụm được) Các dòng liệu chứa thơng tin thống kê kết nối ứng dụng Port Hopping (nếu có) thơng thường gom một vài cụm có số lượng lớn Việc xác định ứng dụng Port Hopping dựa vào cụm Tuy nhiên, trình phân cụm, dòng liệu chứa thơng tin thống kê kết nối số ứng dụng Port Hopping vơ tình lọt vào cụm ứng dụng Port Hopping Để loại bỏ trường hợp số ứng dụng Port Hopping xuất cụm lớn nhất, chương trình thêm tùy chọn “Số cổng tối thiểu ứng dụng cụm lớn để xác định Port Hopping ” ứng dụng Port Hopping thường kết nối đến nhiều cổng Các ứng dụng nằm cụm lớn phải thỏa mãn tiêu chí ứng dụng Port Hopping 3.2 Xây dựng công cụ nhận dạng ứng dụng Port Hopping Phần mềm nhận dạng ứng dụng Port Hopping xây dựng tảng NET Framework, sử dụng ngơn ngữ lập trình C# Phần mềm chạy độc lập máy tính cá nhân có kết nối Internet Một số chức phần mềm gồm: - Chặn bắt kết nối TCP/IP ứng dụng chạy máy tính - Rút trích đặc trưng lưu lượng mạng dựa liệu chặn thu - Hiển thị, lưu liệu phân cụm thành dạng cột, định dạng phần mềm Weka - Chạy thuật toán DBSCAN phân loại lưu lượng mạng phát ứng dụng sử dụng kỹ thuật Port Hopping Mơ-đun phân cụm dựa thuật tốn thực dựa vào mô tả phần lý thuyết dựa phiên source code chia sẻ địa https://www.c- 47 sharpcorner.com/uploadfile/b942f9/implementing-the-dbscan-algorithm-using-CSharp/ 3.3 Thử nghiệm đánh giá kết 3.3.1 Kịch thử nghiệm Việc thử nghiệm thực máy tính kết nối Internet, cụ thể: - Bật nhiều ứng dụng chạy lúc trình chặn bắt liệu: + Các trình duyệt chrome, firefox, edge: trình duyệt bật tab kết nối đến trang web https http có liệu hiển thị theo thời gian thực + Ứng dụng đào tiền ảo minergate: đào loại tiền khác nhau, mô-đun đào loại tiền ảo kết nối đến máy chủ cổng khác + Ứng dụng skype, có đăng nhập + Các ứng dụng P2P (peer-to-peer) Lime, FrostWire, gIFt, Shareaza + Chương trình diệt virus Avast - Số gói tin TCP/IP chặn bắt: khoảng 30.000 gói Số dòng xử liệu sau rút trích đặc trưng 861 - Tổng thời gian chặn bắt: phút 16 giây Quá trình chặn bắt liệu thể hình sau: Hình 3.7: Quá trình chặn bắt lưu lượng mạng 48 3.3.2 Kết thử nghiệm Sau thử chạy thuật toán DBSCAN với số giá trị Epsilon MinPts khác để kiểm tra độ phân cụm, đề tài đề xuất cặp giá trị (Epsilon,MinPts) = (10,5) Kết phân cụm sau: - Phân thành cụm với 839/861 dòng (chiếm 97.44%) - Dữ liệu nhiễu có 22/861 dòng (chiếm 2.56 %) Việc xác định ứng dụng Port Hopping sau phân cụm dựa vào cụm lớn với việc thống kê số cổng khác kết nối ứng dụng Để loại bỏ trường hợp số ứng dụng Port Hopping xuất cụm lớn nhất, chương trình thêm tùy chọn “Số cổng tối thiểu ứng dụng cụm lớn để xác định Port Hopping ” ứng dụng Port Hopping thường kết nối đến nhiều cổng Với tùy chọn số cổng tối thiểu 3, số ứng dụng chương trình tự động nhận dạng sau phân cụm : LimePro.exe, FrostWire.exe, giFtl.exe, Unknown Các ứng dụng lại khơng phải Port Hopping Kết nhận dạng thể hình sau, số cụm lớn chiếm 97.44% số dòng, lại cụm nhiễu Số ứng dụng nhận dạng Port Hopping 49 Hình 3.8: Kết phân cụm nhận dạng 3.3.3 Đánh giá kết Để nhận dạng ứng dụng Port Hopping dựa vào tập liệu với đặc trưng xác định trên, đề tài áp dụng thuật toán phân cụm DBSCAN Đây thuật toán hiệu vấn đề phân loại lưu lượng mạng Với kịch thử nghiệm trên, kết nhận dạng thể bảng sau: - Với ứng dụng Port Hopping : Bảng 1: Thống kê kết với ứng dụng Port Hopping Số ứng dụng tham gia thử nghiệm (100%) Số ứng dụng nhận dạng xác (chiếm 75%) Số ứng dụng nhận dạng không xác (chiếm 25%) 50 - Với ứng dụng Port Hopping : Bảng 2: Thống kê kết với ứng dụng Port Hopping Số ứng dụng tham gia thử nghiệm (100%) Số ứng dụng nhận dạng xác (chiếm 88.88%) Số ứng dụng nhận dạng khơng xác (chiếm 11.12%) Với ứng dụng Port Hopping LimePro.exe, FrostWire.exe, giFTl.exe khởi tạo nhiều kết nối Internet nhiều cổng khác thời gian chặn thu lưu lượng mạng, chúng nhận dạng xác Tuy nhiên, có ứng dụng khác Shareaza.exe ứng dụng Port Hopping không nhận dạng không khởi tạo đủ số kết nối cần thiết Ngoài ra, tất kết nối từ máy tính ngồi Internet khơng xác định khởi tạo từ ứng dụng gán vào ứng dụng “Unknow.exe” Do đó, phần mềm nhận dạng nhầm ứng dụng “Unknown.exe” thành ứng dụng Port Hopping ứng dụng chứa nhiều kết nối từ ứng dụng Port Hopping thực 51 KẾT LUẬN Kết đạt 1.1 Về mặt lý thuyết - Tìm hiểu kỹ thuật lẩn tránh, tập trung tìm hiều kỹ thuật Port Hopping (nhảy cổng) - Nghiên cứu lưu lượng mạng, giao thức TCP/IP, giải pháp chặn bắt, phân tích gói tin TCP - Tìm hiểu kỹ thuật phân cụm liệu, nghiên cứu kỹ thuật toán DBSCAN khả ứng dụng phân cụm lưu lượng mạng 1.2 Về mặt thực tiễn - Luận văn đưa giải pháp chặn thu lưu lượng mạng từ ứng dụng máy tính, xác định xác kết nối xuất phát từ ứng dụng - Đưa giải pháp nhận dạng ứng dụng Port Hopping dựa kỹ thuật phân cụm, cụ thể giải thuật DBSCAN - Kết hợp giải pháp trên, xây dựng thành công phần mềm có khả chặn bắt lưu lượng máy tính nhận dạng ứng dụng Port Hopping thông qua kỹ thuật phân cụm liệu, giúp quản trị viên nhanh chóng xác định phần mềm sử dụng kỹ thuật lẩn tránh Port Hopping không mong muốn chạy máy tính Hạn chế -Giao diện chương trình chưa chuyên nghiệp - Việc thử nghiệm máy tính cụ thể với số lượng phần mềm Port Hopping hạn chế - Kết nhận dạng có sai sót Hướng phát triển - Tập trung nghiên cứu rút trích đặc trưng phù hợp cho trình phân cụm, tăng độ xác việc nhận dạng ứng dụng Port Hopping 52 - Nghiên cứu ứng dụng kỹ thuật phân cụm nhằm phát dạng xâm nhập trái phép vào máy tính - Nghiên cứu phương pháp để cải tiến tốc độ tính tốn thuật toán phân cụm 53 DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1] Đỗ Hữu Tuyến (2014), “Kỹ thuật trốn tiên tiến (AETs) mối nguy hiểm cho toàn hệ thống bảo mật giới”, Tạp chí CNTT&TT Kỳ II 2014, số 477, pp.57-61 [2] Đỗ Xuân Cường (2015), Kĩ thuật phân cụm liệu phát xâm nhập trái phép, Luận văn Thạc sĩ – Đại học Công nghệ Thông tin Truyền thôngĐại học Thái Nguyên [3] Nguyễn Huỳnh Anh Duy, Trần Nguyễn Minh Thư, Đỗ Thanh Nghị (2014), Giải thuật DBSCAN cải tiến cho gom cụm tập liệu lớn, Đại học Cần Thơ [4] Võ Văn Trường (2016), Nghiên cứu ứng dụng kỹ thuật học máyvào toán phát mã độc, Luận văn Thạc sĩ– Đại học Công nghệ - Đại học Quốc gia Hà Nội [5] Henry C.J Lee, Vrizlynn L.L Thing(2004), Port Hopping for Resilient Networks, Vehicular Technology Conference, VTC2004-Fall 2004 IEEE 60th [6] Jiawei Han, Micheline Kamber (2006), Data Mining: Concepts and Techniques, Second Edition, Morgan Kaufmann Publishers, San Francisco [7] Klaus Majewski (2013), Advanced_evasion_techniques_for_dummies, McAfee [8] Konrad Rieck, Philipp Trinius, Carsten Willems, Thorsten Holz(2011), Automatic Analysis of Malware Behavior using Machine Learning, Volume 19 Issue 4, Journal of Computer Security [9] Michael R Anderber(1973), Cluster analysis of application, Academic Press, Inc, New York [10] M Ester, H.P Kriegel, J Sander and X Xu, A densitybased algorithm for discovering clusters in large spatial databases with noise Proceedings of the SecondInternational Conference on Knowledge Discovery and Data Mining (KDD96), AAAI Press 54 [11] Paula Januszkiewic (2015), “IDS Evasion Technique”,DefCamp 2015 [12] Packeteer (2006), “Configuring PacketShaper for Threat Containment”, Packeteer, Inc [13] R Praveen Kumar, Jagdish Babu, T Guna Sekhar, S Bharath Bhushan (01/2015), “Mitigating Application DDoS Attacks using Random Port Hopping Technique”, ISSN: 2278-9359 Volume-4, Issue-1, International Journal ofEmerging Research in Management &Technology [14] Stephen Lawler, Nick Harbour, Lindsey Lack, Jerrold “Jay” Smith (2012), “Practical malware analysis”, William Pollock [15] THOMAS H PTACEK, TIMOTHY N NEWSHAM (1998), “Insertion, Evasion, and Denial of Service Eluding Network Intrusion Detection”, Secure Networks, Inc [16] Tsung-Huan Cheng, Ying-Dar Lin,Yuan-Cheng Lai, Po-Ching Lin(2011), “Evasion Techniques: Sneaking through YourIntrusion Detection/Prevention Systems”,IEEE COMMUNICATIONS SURVEYS & TUTORIALS [17] Wooyoung Kim (2009), “Parallel Clustering Algorithms” [18].http://www.academia.edu/19660657/khai_phá_dữ_liệu, truy cập ngày 30/7/2014 [19] http://bis.net.vn/forums/t/374.aspx [20] http://blog.vnaking.com/thu-thuat/cach-hoat-dong-cua-proxy [21] http://dulieu.tailieuhoctap.vn/books/luan-van-de-tai/luan-van-de-tai-cddh/file_goc_774305.pdf [22] http://en.wikipedia.org/wiki/Evasion_(network_security) [23] http://kenhgiaiphap.vn/Detail/60/Tim-hieu-mang-rieng-ao-VPN.html [24] http://searchsecunty.techtarget.com/definition/advanced- evasiontechnique-AET [25] http://www.cndltd.com/index.php?option=com_content&vi ew=article&id=32&Itemid=88 [26] http://www.mcafee.com/us/products/next-generation- firewall.aspx 55 [27] http://www.itbusinessedge.com/slideshows/show aspx?c=89280 [28] http://scholar.vimaru.edu.vn/sites/default/files/thinhnv/files/dm chapter_5_-_clustering.pdf [29] https://text.123doc.org/document/4158635-phan-cum-tho-cua-du-lieutuan-tu.htm [30] https://text.123doc.org/document/4311659-ky-thuat-phan-cum-du-lieukhong-gian-co-rang-buoc.htm [31] https://toc.123doc.org/document/465034-2-phep-do-do-tuong-tu-va-phepdo-khoang-cach.htm [32] https://toc.123doc.org/document/465052-chuong-3-cac-thuat-toan-phancum-phan-cap.htm [33] https://toc.123doc.org/document/498663-3-phan-cum-dua-tren-mat-do.htm [34] https://toc.123doc.org/document/498664-4-phan-cum-dua-tren-luoi.htm [35] https://toc.123doc.org/document/498665-5-phan-cum-dua-tren-mohinh.htm [36] https://toc.123doc.org/document/826964-phuong-phap-phan-cum-phanhoach.htm [37] https://www.slideshare.net/hoangcuongflp/bo-co-nckh-nghin-cu-mt-s-k- thut-sinh-m-c-t-ng-v-vt-qua-phn-mm-phng-chng-m-c-ni-dung-bo-co [38] https://www.techrepublic.com/article/survey-confirms-aets-are-real-anddangerous-threats/ ... muốn nghiên cứu kỹ thuật lẩn tránh nói chung kĩ thuật Port Hopping nói riêng đồng thời tìm hiểu thực trạng giải pháp phòng chống nay, học viên thực đề tài Nghiên cứu phát lẩn tránh với Port Hopping. .. VIỄN THƠNG - ĐÀO THỊ DOAN NGHIÊN CỨU PHÁT HIỆN SỰ LẨN TRÁNH VỚI PORT HOPPING Chuyên ngành : Mã số: HỆ THỐNG THÔNG TIN 8480104 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng)... hướng kiến thức, kinh nghiệm q báu cho tơi suốt q trình thực luận văn Nghiên cứu phát lẩn tránh với Port Hopping ” Để hoàn thành luận văn này, xin chân thành cảm ơn đến quý thầy cô giảng viên khoa