Vấn đề bảo mật được đặt ra và những đóng góp lớn trong việc hạn chế và ngăn chặn bảo mật, như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với các các cơ sở dữ liệu được cập nhật. Những yêu cầu trên dẫn đến yêu cầu phải có một phương pháp bảo mật mới hỗ trợ cho những phương pháp bảo mật truyền thống. Hệ thống phát hiệm xâm nhập IDS (Intruction Detection System) là một hệ thống giám sát lưu thông mạng có khả năng phát hiện các hoạt động khả nghi hay các hành động xâm nhập trái phép trên hệ thống mạng trong tiến trình tấn công, cung cấp thông tin nhận biết và đưa ra cảnh báo cho hệ thống, nhà quản trị.
1 MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT .vi DANH MỤC CÁC BẢNG vii DANH MỤC CÁC HÌNH VẼ viii MỞ ĐẦU Chương 1: TỔNG QUAN VỀ IDS .6 1.1 Khái quát IDS .6 1.1.1 Lịch sử phát triển IDS 1.1.2 Lợi ích chung IDS 1.1.3 Những thành phần IDS 1.2 Phân loại IDS 1.2.1 Hệ thống phát xâm nhập dựa host (Host IDS) 1.2.2 Hệ thống phát xâm nhập dựa mạng (NIDS) .10 1.2.3 Phát xâm nhập IDS lai (Distributed (Hybrid) IDS) 11 1.3 Kiến trúc IDS 11 1.4 Cơ chế phát xâm nhập IDS .13 1.5 Kết chương 14 Chương 2: MỘT SỐ KỸ THUẬT PHÂN TÍCH LƯU LƯỢNG PHÁT HIỆN TẤN CÔNG MẠNG 15 2.1 Tổng quan phương pháp, mơ hình phân tích phát lưu lượng bất thường 15 2.2 Lưu lượng mạng bất thường .20 2.2.1 Khái niệm lưu lượng mạng bất thường 20 2.2.2 Nguyên nhân gây lưu lượng mạng bất thường 22 2.2.3 Phân tích phát lưu lượng mạng bất thường 23 2.3 Một số phương pháp phân tích phát lưu lượng bất thường điển hình 24 2.3.1 Phương pháp dựa mơ hình Markov 24 2.3.2 Phương pháp dựa mạng Bayesian 25 2.3.3 Phương pháp dựa phân tích thống kê 25 2.3.4 Phương pháp dựa phân cụm 28 2.3.5 Phương pháp máy vector hỗ trợ (SVM) 28 2.3.6 Phương pháp dựa hệ chuyên gia (Ruler base) 29 2.3.7 Phương pháp dựa luật học máy .30 2.3.8 Phương pháp dựa khai phá liệu 31 2.3.9 Phương pháp dựa PCA 33 2.4 Kết chương 35 Chương 3: ỨNG DỤNG PCA XÂY DỰNG IDS CHO MÁY CHỦ DỊCH VỤ 36 3.1 Thuật tốn phân tích thành phần PCA 36 3.1.1 Giới thiệu 36 3.1.2 Thuật toán PCA 37 3.1.3 Phương pháp phân tích phát lưu lượng bất thường dựa PCA .43 3.1.4 Thiết lập mức ngưỡng 45 3.2 Mô hình hệ thống phân tích liệu bất thường PCA 46 3.3 Kiến trúc hệ thống giám sát máy chủ dịch vụ thi trắc nghiệm 47 3.3.1 Phạm vi thu thập liệu 47 3.2.2 Kiến trúc tổng thể hệ thống giám sát 49 3.2.3 Máy trinh sát 49 3.3 Nhận dạng, phân loại bất thường khả kết hợp phát lưu lượng bất thường với phát công mạng dựa mẫu dấu hiệu 54 3.4 Mơ hình phát lưu lượng bất thường máy chủ dịch vụ 55 3.4.1 Các loại công phổ biến máy chủ dịch vụ: 58 3.5 Mô thử nghiệm phát công PCA máy chủ dịch vụ: 59 3.5.1 Tập liệu thử nghiệm 59 3.5.2 Mô thử nghiệm phát bất thường số loại công .62 KẾT LUẬN VÀ KIẾN NGHỊ 65 TÀI LIỆU THAM KHẢO 67 DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT DNS IDS Domain Name System Intrussion Detection Hệ thống tên miền Hệ thống phát công ISP System Internet Service Provider xâm nhập Nhà cung IP KPDL PC PCA Internet Internet Protocol Giao thức Internet Khai phá liệu Principal Component Thành phần Principal Component Phân tích thành phần SVD Analysis Singular SVM TCP Decompossition Support Vector Machine Véc tơ máy hỗ trợ Transmision Control Giao thức điều khiển truyền VPN Protocol Vitual Private Network cấp dịch vụ Value tin Mạng riêng ảo DANH MỤC CÁC BẢNG Bảng 1.1 Ưu điểm, nhược điểm hệ thống phát xâm nhập dựa host (Host IDS) Bảng 1.3 Ưu điểm, nhược điểm hệ thống phát xâm nhập dựa mẫu dấu hiệu13 Bảng 1.4 Ưu điểm, nhược điểm hệ thống phát xâm nhập dựa bất thường 14 Bảng 2.1 Các phương pháp phân tích phát lưu lượng bất thường 16 Bảng 2.2 Tổng kết tóm tắt số ưu, nhược điểm nhóm phương pháp phát lưu lượng bất thường 18 Bảng 2.3 Các nguyên nhân điển hình gây lưu lượng mạng bất thường 22 Bảng 3.1 Thuộc tính dùng thử nghiệm tập liệu NSL – KDD 61 Bảng 3.2 Kết phát PCA với số loại công 63 DANH MỤC CÁC HÌNH VẼ Hình 1.1 Kiến trúc IDS Hình 1.2 IDS dựa host Hình 1.3 IDS dựa vào mạng 10 Hình 2.1 Biểu diễn tập liệu bình thường bất thường thu từ mạng toạ độ hai chiều 20 Hình 2.2 Mơ hình hệ thống phát bất thường dựa tập luật 30 Hình 3.1 Minh họa PCA: tìm trục tọa độ cho liệu biến thiên lớn 37 Hình 3.2 PCA mặt phẳng 2D (2 thành phần chính) 43 Hình 3.3 Mơ hình chung hệ thống phân tích phát lưu lượng bất thường dựa PCA 46 Hình 3.4 Hệ thống mạng thi trắc nghiệm có kết nối Internet 48 Hình 3.5 Kiến trúc tổng thể hệ thống giám sát 48 Hình 3.6 Cấu trúc thiết bị trinh sát .49 Hình 3.7 Hệ thống phần mềm trinh sát 51 Hình 3.8 Một số kiện thu trung tâm giám sát 54 Hình 3.8 Mơ hình kết hợp phát bất thường mẫu dấu hiệu 57 MỞ ĐẦU Kể từ đời, Internet không ngừng phát triển mở rộng mang lại nhiều tiện ích hữu dụng như: hệ thống thư điện tử (email), trò chuyện trực tuyến (chat), tìm kiếm liệu, trao đổi thông tin Khả kết nối toàn giới mang lại thuận tiện cho tất người, tiềm ẩn nguy khó lường đe dọa tới mặt đời sống xã hội Việc trộm thông tin mạng gây ảnh hưởng đến tính riêng tư cho cá nhân, vụ lừa đảo, công gây từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho cơng ty gây phiền tối cho người sử dụng Internet làm cho vấn đề bảo mật mạng ln vấn đề nóng quan tâm đến thời điểm Vấn đề bảo mật đặt đóng góp lớn việc hạn chế ngăn chặn bảo mật, Firewall ngăn chặn kết nối không đáng tin cậy, mã hóa làm tăng độ an tồn cho việc truyền liệu, chương trình diệt virus với các sở liệu cập nhật Những yêu cầu dẫn đến yêu cầu phải có phương pháp bảo mật hỗ trợ cho phương pháp bảo mật truyền thống Hệ thống phát hiệm xâm nhập IDS (Intruction Detection System) hệ thống giám sát lưu thông mạng có khả phát hoạt động khả nghi hay hành động xâm nhập trái phép hệ thống mạng tiến trình cơng, cung cấp thông tin nhận biết đưa cảnh báo cho hệ thống, nhà quản trị Từ lý trên, học viên lựa chọn đề tài “Nghiên cứu hệ thống phát xâm nhập IDS cho máy chủ dịch vụ ” cho luận văn Thạc sĩ Tổng quan vấn đề nghiên cứu - Trên giới: Ra đời cách khoảng 30 năm, khái niệm phát xâm nhập xuất qua báo James Anderson Khi người ta cần IDS với mục đích dò tìm nghiên cứu hành vi bất thường thái độ người sử dụng mạng, phát việc lạm dụng đặc quyền để giám sát tài sản hệ thống mạng Các nghiên cứu hệ thống phát xâm nhập nghiên cứu thức từ năm 1983 đến năm 1988 trước sử dụng mạng máy tính khơng lực Hoa Kỳ Cho đến tận năm 1996, khái niệm IDS chưa phổ biến, số hệ thống IDS xuất phòng thí nghiệm viện nghiên cứu Tuy nhiên thời gian này, số công nghệ IDS bắt đầu phát triển dựa bùng nổ công nghệ thông tin Đến năm 1997 IDS biết đến rộng rãi thực đem lại lợi nhuận với đầu công ty ISS, năm sau Cisco nhận tầm quan trọng IDS mua lại công ty cung cấp giải pháp IDS tên Wheel Group - Hiện nay, giới có nhiều sản phẩm giám sát an ninh mạng mức công nghiệp (Enterprise - Level) có khả tích hợp nhiều chức năng: phát xâm nhập (detection), giám sát (monitoring) ngăn chặn (blocking) Nhiều hệ thống phần mềm tích hợp vào thiết bị máy tính chun dụng có cấu trúc rack-mount để cắm trực tiếp vào tủ mạng chạy theo chế độ thời gian thực (real time) Một số hệ thống tích hợp ln firewall Đa phần sản phẩm Mỹ có chất lượng tính đảm bảo an tồn cao Tuy nhiên, giá hệ thống thiết bị cao thông thường từ 25.000USD đến 35.000USD Tại Việt Nam số quan, đơn vị lớn ứng dụng công nghệ thông tin mua sản phẩm bảo vệ an ninh để sử dụng bảo vệ mạng máy tính Trong nước có số đơn vị cung cấp giải pháp an ninh mạng BKAV, Công ty Cổ phần giải pháp IDS Việt Nam, Cisco Việt Nam… giá thành cao đơn vị có đủ khả tài để chi trả Hiện có số đề tài nghiên cứu phòng chống thâm nhập trái phép IDS Linux Snort có khả phát xâm nhập việc ngăn chặn khó khăn phát Việc sử dụng mã nguồn mở đòi hỏi người quản trị phải nắm vững tảng Linux Xuất phát từ nhu cầu trên, để xây dựng triển khai hệ thống giám sát IDS đủ mạnh lại tiết kiệm chi phí, phù hợp với tổ chức, đơn vị có quy mơ vừa nhỏ, học viên nghiên cứu lựa chọn giải pháp phần mềm hệ thống giám sát an ninh IDS Mục đích nghiên cứu - Nghiên cứu hệ thống phát xâm nhập IDS cho máy chủ dịch vụ - Nghiên cứu kỹ thuật phân tích lưu lượng dựa thống kê, học máy nhằm phát sớm dấu hiệu công phần mềm độc hại - Nghiên cứu hệ thống phát xâm nhập trái phép dựa phân tích lưu lượng mạng bất thường - Đề xuất xây dựng hệ thống phát xâm nhập trái phép IDS cho máy chủ dịch vụ Xây dựng hệ thống IDS cho thiết bị mạng, thiết lập hệ thống thu thập thông tin cho vùng lưu lượng mạng, kết hợp với hệ thống IDS cho máy chủ tạo thành hệ thống cho toàn mạng Đối tượng phạm vi nghiên cứu - Tập trung vào phân tích rủi ro, lỗ hổng mạng, cách thức công, nhược điểm giao thức TCP/IP phương pháp bảo vệ mạng khỏi cơng Tìm hiểu kiến thức hệ thống dò tìm phát xâm nhập (IDS), cấu trúc hệ thống, phương pháp phân loại, cách thức dò tìm xâm nhập phương pháp xử lý liệu Nghiên cứu mơ hình thống kê, thành phần hệ thống bao gồm chủ thể đối tượng, hồ sơ, ghi, luật hoạt động Nghiên cứu giải pháp dò tìm xâm nhập thời gian thực cho máy - chủ dịch vụ Trình bày mơ hình, cấu trúc số kết hệ thống IDS thử nghiệm cho máy chủ dịch vụ Phương pháp nghiên cứu - Kết hợp nghiên cứu lý thuyết, tìm hiểu mơ hình, cấu trúc số kết thu từ hệ thống IDS, thử nghiệm cho máy chủ dịch vụ Nội dung luận văn chia thành chương với nội dung cụ thể sau: Chương 1: TỔNG QUAN VỀ IDS - Khái quát IDS - Phân loại IDS - Kiến trúc thành phần IDS - Cơ chế hoạt động IDS - Kết luận chương 68 không mã hóa (Clear text password), thơng tin nhạy cảm sử dụng kiểu công khác - Tấn công nội (Insider Attack): Người dùng nhóm nội cố ý nghe trộm, ăn cắp phá hoại thông tin, sử dụng thông tin cách gian lận truy cập trái phép thông tin - Tấn công mật (Password Attack): Các hacker cố gắng phá mật lưu trữ máy chủ sở liệu tài khoản hệ thống mạng mật bảo vệ tập tin Các công mật gồm ba loại chính: cơng dạng từ điển (Dictionnary Attack), brute-force attack hybrid attack Cuộc công dạng từ điển sử dụng danh sách tập tin chứa mật tiềm - Buffer Overflow (lỗi tràn đệm): Tấn công Buffer Attack xảy hacker gửi liệu tới ứng dụng máy chủ nhiều so với dự kiến Kết công Buffer Attack hacker công truy cập quản trị hệ thống Commad Prompt Shell - Tấn cơng phá mã khóa (Compromised – key Attack): Mã khóa bí mật số quan trọng để “giải mã” thông tin bảo mật Sau hacker có mã khóa, mã khóa gọi mã khóa gây hại Hacker sử dụng mã khóa gây hại để dành quyền truy cập thông tin liên lạc mà không cần phải gửi nhận giao thức công Với mã khóa gây hại, hacker giải mã sửa đổi liệu - Giả mạo địa IP: Việc giả mạo địa IP thực thông qua việc sử dụng khả dẫn đường trực tiếp (sourcerouting) Kẻ cơng gửi gói tin IP tới mạng bên với dịa IP giả mạo (thông thường địa mạng máy coi an toàn mạng nội bộ), đồng thời rõ đường dẫn mà gói tin IP phải gửi - Vơ hiệu hóa chức hệ thống: Đây kiểu cơng nhằm tê liệt hệ thống, khơng cho thực chức mà thiết kế Kiểu công ngăn chặn được, 69 phương tiện tổ chức cơng phương tiện để làm việc truy nhập thông tin mạng Ví dụ sử dụng lệnh “ping” với tốc độ cao có thể, buộc hệ thống tiêu hao tồn tốc độ tính tốn khả mạng để trả lời lệnh này, khơng tài ngun để thực cơng việc hữu ích khác - Lỗ hổng không cần Login: Nếu ứng dụng không thiết kế chặt chẽ, không ràng buộc trình tự bước duyệt ứng dụng lỗ hổng bảo mật mà hacker lợi dụng để truy cập thẳng đến ứng dụng bên máy chủ mà không cần phải qua bước đăng nhập 3.5 Mô thử nghiệm phát công PCA máy chủ dịch vụ: 3.5.1 Tập liệu thử nghiệm KDD (Knowledge Data Mining Data Set) tập liệu tri thức thuộc lĩnh vực khác như: y tế, an ninh mạng, kinh tế… tổng hợp từ điều kiện thực tế sử dụng thuật toán, phương pháp khai phá liệu Một tập liệu hay sử dụng để kiểm nghiệm phương pháp phát xâm nhập KDD - CUP99 [34] KDD - CUP 99 tách trường liệu đặc trưng (thuộc tính) từ gói tin sau tổng hợp lại cho kết nối Các trường liệu hay thuộc tính trở thành biến đầu vào cho chế phát cơng Tổng cộng có 42 trường liệu trường số 42 đánh nhãn (labeling) kết nối bình thường tên loại cơng Dữ liệu phân loại thành lớp: bình thường (Normal) lớp công (Denial Of Service, Probe, Root To Local, User To Root) Đã có nhiều nghiên cứu sử dụng KDDCUP ’99 để thử nghiệm mơ hình phương pháp đề xuất [34] Điển hình, [35], tác giả chứng tỏ KDD - CUP 99 tập liệu 70 quan trọng để đánh giá hiệu phương pháp phát xâm nhập giai đoạn phát triển sau Các tác giả cho thấy IDS phát dựa mẫu dấu hiệu biết trước (signal based IDS) bỏ qua nhiều công so với IDS dựa phương pháp phát bất thường (anomaly – based IDS) Mặc dù vậy, KDD – CUP 99 tồn số vấn đề mà điển hình có nhiều liệu dư thừa trùng lặp Điều ảnh hưởng đến kết đánh giá hiệu phương pháp phát nghiên cứu sử dụng tập liệu nêu [30] Tiếp đó, NSL – KDD tập liệu phát triển từ tập KDD CUP 99 loại bỏ kết nối dư thừa trùng lặp [30] Do khắc phục số nhược điểm quan trọng KDD - CUP 99, NSL – KDD tập liệu có độ tin cậy cao KDD - CUP 99 thử nghiệm phương pháp phát công Những phương pháp đề xuất có độ xác cao với KDD CUP 99 thử nghiệm với NSL – KDD có kết bị suy giảm nhiều [30] Những cơng trình nghiên cứu gần thử nghiệm với tập liệu [5], chứng tỏ NSL – KDD tập liệu có đủ độ tin cậy để mơ phỏng, thử nghiệm phát bất thường công mạng Với lý trên, chương 3, NSL – KDD tập liệu lựa chọn thử nghiệm phân tích phát lưu lượng bất thường nói chung số loại cơng nói riêng Chi tiết tập NSL–KDD mô tả [30,33] Bảng 3.1 liệt kê thuộc tính sử dụng thử nghiệm tập liệu NSL – KDD (16 thuộc tính) Các thuộc tính lựa chọn dựa thực nghiệm Bảng 3.1 Thuộc tính dùng thử nghiệm tập liệu NSL – KDD [3] Thuộc tính Ý nghĩa 71 Duration Protocol_type Service Src_bytes Dst_bytes Flag Count Srv_count Thời gian kết nối Loại giao thức Loại dịch vụ Số lượng byte gửi từ nguồn đến đích Số lượng byte gửi từ đích nguồn Bit cờ Số lượng kết nối đến địa đích xét 2s Số lượng kết nối đến dịch vụ đích Serror_rate Rerror _rate Diff_srv_rate Dst_host_count Dst_host_srv_cou xét 2s % số kết nối có lỗi đồng SYN % số kết nối có lỗi đồng REJ % số kết nối có dịch vụ giống Số lượng địa đích Số lượng kết nối đến địa đích nt Sdt_host_diff_srv_ xét dịch vụ đích % số kết nối đến dịch vụ giống với rate địa đích Số lượng lần đăng nhập không thành công Num_failed_logins Logged_in ứng dụng Bit cờ cho biết trạng thái đăng nhập thành công ứng dụng Bit thành công, bit không thành công 72 3.5.2 Mô thử nghiệm phát bất thường số loại công Phần thử nghiệm thực đánh giá thơng số sau: TPR FPR tồn kết nối thử nghiệm TPR cho biết tỷ lệ phát tổng cộng tất loại công FPR cho biết tỷ lệ phát sai liệu bình thường bị phát công Tỷ lệ phát số loại công: - Smurf: kiểu cơng từ dối dịch vụ số lượng lớn gói tin ICMP với địa nguồn giả mạo máy tính nạn nhân gửi đến địa IP quảng bá Khi thiết bị nhận gói tin quảng bá chấp nhận trả lời, số lượng lớn gói tin làm tràn tài nguyên máy tính nạn nhân - Neptune: kiểu cơng từ chối dịch vụ cách gửi gói tin giả mạo địa IP nguồn để thiết lập phiên làm việc đến máy nạn nhân nhằm làm cho máy nạn nhân bị cạn kiệt tài nguyên - Pingsweep: kiểu cơng qt, thăm dò cách ping qt cổng để tìm máy tính thiết bị hoạt động - Portsweep: công quét cổng, tìm cổng mở dịch vụ chạy máy nạn nhân - Guest password: công dò tìm mật Hiện kiểu cơng thực cách tự động với trợ giúp từ điển mật hay dùng wi trọng số cơng thức tính khoảng cách, k số thành phần sử dụng k = 16 sử dụng tất PC Trong tất loại công trên, phần lớn việc phát công cần liệu lưu lượng tầng mạng (Network Layer) tầng giao vận (Transport Layer) Tuy nhiên với 73 công “Guest password” yêu cầu phải có liệu tầng ứng dụng ( Application Layer) Đó thuộc tính “num_failed_logins” “logged_in” wi 1 1/ wi 1/ wi 1/ wi 1/ wi 1/ wi 1/ wi 1/ wi 1/ wi 1/ wi Bảng 3.2 Kết phát PCA với Neptu IPTPR FPR k Smurf ne sweep (%) (%) (%) (%) 87.3 5.0 73.1 100 87.5 83.1 4.9 76.2 99.1 63.8 số loại công [3] PortGuest- 84.9 5.1 86.2 99.1 84.2 5.1 73.9 88.4 5.4 90 sweep passwo (%) 31.4 17.0 rd 88.1 88.6 76.2 19.4 86.8 99.2 62.6 40.5 86.8 81.6 98.1 88.1 49.8 98.1 5.3 71.2 99.5 99.5 73.6 96.2 82.2 4.8 67.7 99.4 13.3 82.7 98.1 86.3 4.9 91.1 99.4 85.2 18.3 88.6 86.6 5.0 90.2 99.8 80.4 37.1 98.1 89 4.7 83.4 99.7 97.8 47.2 98.1 89.6 5.3 86.1 99.9 87.6 66.0 88.7 83.6 4.6 68.1 99.8 20.4 83.1 98.1 1/ wi Khi tăng số lượng PC để tính khoảng cách, tỷ lệ phát Portsweep tăng lên Tuy nhiên tỷ lệ phát Smurf, Nmap, Ipsweep lại giảm ĐIều cho thấy tăng số lượng PC lên, tỷ lệ xác TPR loại công 74 tăng lên Đồng thời với loại công, số lượng PC cần thiết khác Mỗi loại cơng nói riêng loại bất thường nói chung cần phải có tập thuộc tính riêng Ví dụ với Ipsweep, thuộc tính cho biết biến động địa IP đích; với Portsweep cần biết thuộc tính biến động dải cổng số lượng dịch vụ địa IP đích; cơng lớp ứng dụng dò tìm mật (Guest password) cần có thuộc tính đặc trưng ứng dụng Do phương pháp PCA phương pháp đa biến, việc kết hợp nhiều thuộc tính với PCA xét tính tương quan thuộc tính Tuy nhiên giá trị ngoại lai thuộc tính miền PCA cho loại bất thường lại biến đổi theo quy luật khác với số lượng PC Chính cần kết hợp phương pháp phát khác đơn biến, đa biến, phương pháp dựa mẫu dấu hiệu, IDS phương pháp phát bất thường… thực tế để phát loại bất thường, cơng mạng Ví dụ ngồi PCA hệ thống giám sát kết hợp IDS Snort, Ossec, Nagios… phần mềm phát xâm nhập dựa mẫu dấu hiệu, theo dõi trạng thái lưu lượng việc sử dụng tài nguyên mạng, máy tính, thiết bị kết nối vào máy chủ dịch vụ 3.6 Kết luận chương Trong chương 3, luận văn trình bày nội dung: - Kiến trúc hệ thống giám sát bao gồm máy trinh sát trung tâm giám sát - Kiến trúc tổng thể hệ thống giám sát, thành phần chức máy trinh sát, thành phần chức trung tâm giám sát 75 - Phương pháp PCA phần mềm tiện tích tích hợp vào phần mềm trinh sát PCA thực chức phân tích, phát lưu lượng bất thường qua điểm trinh sát Mặt khác, PCA cài đặt trung tâm giám sát để thực chức phân tích, phát lưu lượng bất thường tồn phân đoạn mạng có kết nối Internet - Vấn đề nhận dạng, phân loại bất thường khả kết hợp IDS phát lưu lượng bất thường dựa mẫu dấu hiệu Phát lưu lượng bất thường giai đoạn tồn q trình chẩn đốn ngun nhân bất thường - Phân tích tập liệu KDD-CUP 99, NSL-KDD KẾT LUẬN VÀ KIẾN NGHỊ Mạng Internet có phát triển vượt bậc năm qua trở thành tảng thiếu lĩnh vực đời sống Tính mở đa dạng hạ tầng dịch vụ/ứng dụng làm cho khả kiểm sốt mạng Internet khó khăn nhiều lần Sự cố hạ tầng mạng, thay đổi môi trường truyền dẫn, thay đổi cấu hình thiết bị, hoạt động truy cập mạng người dùng, số lượng dịch vụ/ứng dụng so đặc tính lưu lượng biến thiên đa dạng khác sử dụng,… kể hành vi rà quét, trinh sát, thám, cơng mạng,… 76 tạo nên biến động bất thường lưu lượng mạng Việc giám sát, phát lưu lượng mạng bất thường cần thiết, có ý nghĩa quan trọng người quản trị mạng, vận hành mạng Phát bất thường giúp cho người quản trị mạng sớm phát nguyên nhân : tắc nghẽn, cố mạng, lỗi luồng tin, thay đổi định tuyến mạng, đột biến lưu lượng người dùng ứng dụng/dịch vụ kể công mạng Trong số phương pháp khảo sát, thống kê có ưu điểm dựa phân bố biết trước dựa hoàn toàn vào thực nghiệm, tham số trạng thái bình thường thu từ liệu thực nghiệm, phát bất thường với độ xác cao thiết lập tham số hợp lý Tuy nhiên khó thiết lập tham số, mức ngưỡng,… Số lượng thuộc tính lưu lượng mạng dẫn đến tốn phân tích đa biến, có tương quan biến cố có độ phức tạp cao số chiều liệu cần xử lý Do vậy, phương pháp phân tích thành phần PCA đề xuất số năm trở lại Phương pháp PCA quan tâm nhiều cộng đồng nghiên cứu Các phương pháp phân tích phát lưu lượng bất thường dựa PCA có mục tiêu giảm bớt số chiều liệu song đảm bảo trì phần lớn đặc tính liệu, qua giúp phân tích, phát bất thường lưu lượng mạng hiệu Mặc dù tỏ hiệu so với nhiều phương pháp khác, song qua khảo sát cơng trình nghiên cứu điển hình dựa PCA, luận văn vấn đề tồn cần tiếp tục nghiên cứu cụ thể là: - Chưa khử ngoại lai xuất liệu đầu vào dẫn đến có sai lệch kết phát 77 - Mức ngưỡng đưa dựa vào thực nghiệm chưa xác, phát sai sót lưu lượng bình - thường bất thường Đặc trưng PCA thành phần Tuy nhiên sử dụng PC nào, số lượng PC để đạt hiệu đồng thời - giảm độ phức tạp tính tốn Các nghiên cứu PCA chủ yếu phân tích giải pháp, chưa khả áp dụng vị trí cụ thể mạng Những đóng góp luận văn: - Nghiên cứu kỹ thuật phân tích lưu lượng dựa thống kê, học máy nhằm phát sớm dấu hiệu công, xâm nhập phần mềm độc hại Sử dụng thuật toán PCA, kết hợp với IDS phát lưu lượng bất thường qua dấu hiệu để loại bỏ công biết - Đề xuất mơ hình phân tích lưu lượng mạng nhằm phát sớm dấu hiệu công, xâm nhập phần mềm độc hại máy chủ thi trắc nghiệm trường Đại học Công nghệ Giao thông vận tải Hướng phát triển luận văn - Thử nghiệm mơ hình phát xâm nhập mạng dựa phân tích lưu lượng bất thường với tập liệu thực phát trực tuyến - Nghiên cứu phương pháp tự động phát công, xâm nhập trái phép - Nghiên cứu xử lý sau phát bất thường, nhận dạng loại công 78 TÀI LIỆU THAM KHẢO TIẾNG VIỆT [1] Nguyễn Hà Dương, Hoàng Đăng Hải (2015), “Phát lưu lượng mạng bất thường sử dụng phương pháp PCA lựa chọn đặc tính liệu”, Tạp chí Khoa học cơng nghệ, Chun san cơng trình nghiên cứu điện tử, viễn thông công nghệ thông tin, Học viện cơng nghệ Bưu viễn thơng, tập 53-số 2C, tr 5264 [2] Nguyễn Hà Dương (2015), “Một số phương pháp phát bất thường lưu lượng mạng”, Kỷ yếu Hội thảo quốc gia 2015 điện tử, truyền thông công nghệ thông tin (REV-ECIT 2015) tr.92-95 [3] Nguyễn Hà Dương, Hoàng Đăng Hải (2016) “Phát lưu lượng mạng bất thường điều kiện liệu huấn luyện chứa ngoại lai,” Tạp chí Khoa học công nghệ thông tin truyền thông, Học viện công nghệ Bưu viễn thơng, Bộ thơng tin Truyền thơng, tập 1, số 1, tr.3-15 [4] Hồng Đăng Hải, Nguyễn Chung Tiến, Bùi Thanh Phong, Nguyễn Hà Dương, Nguyễn Trường Giang (2010), “Đề xuất giải pháp thiết kế thiết bị sensor cho hệ thống theo dõi an toàn mạng,” Hội nghị ICT.Rda’10 TIẾNG ANH [5] P Aggarwal S K Sharma (2015), “Analysis of KDD Dataset Attributes – Class wise for Intrusion Detection,” in Proc Of rd International Conference on Recent Trends in Computing 2015 (ICRTC-2015), Procedia Computer Science, vol 57, pp 842-851 [6] S A1-Haj Baddar, A Merlo, M Migliardi (2014), “Anomaly detection in computer network: Astate-of-the art review,” Jounrnal of Wireless Mobile 79 Networks, Ubiquitous Computing and Dependable Applications, Vol.5, No.4, pp.2964 [7] V Barnett, T Lewis (1994), “Outlier in Statistic Data,” John Wiley, 3rd ed [8] M Bhuyan, D Bhattacharyya, J Kalita (2014), “Network anomaly detection: Methods, system and tools” IEEE Comunications Survays Tutorials, Vol.16, No.1, pp.303-336 [9] D Brauckhoff (2010), Network Traffic Anomally Detection and Evaluation, Doctoral disertation, ETH ZURICH, ETH No 18835 [10] D Brauckhoff, K Salamatian, M May (2009), “Applying PCA for traffic anomaly detection: Problems and solutions,” in Proc of IEEE Conference on Computer Communications (INFOCOM2009) [11] C Callegari, L Gazzarrini, S Giodano, M Pagano, and T Pepe “A Novel PCA – Based Network Anomally Detection,” in IEEE Conference on Communications (ICC), pp – June 2011 [12] V Chandola, A Banerje, V Kummar, (2009) “Anomaly Detection: A Survey”, ACM Computing Surveys, Vol 41, Issue 3, Article No 15 [13] D David (2011), “A performance analysis of Snort and Suricata Network Intrusion Detection and Prevention Engines,” In Proc of The Fiffth International Conference on Digital Society (ICDS 2011), pp 187-192 [14] J J Davis, A J Clark (2011), “Data preprocessing for anomaly based network intrusion detection: A review,” Computer & Security, Vol 30, No.6-7, pp.353-375 [15] A Delimargas, E Skevakis, H Halabian, H I Lambadaris (2015), “IPCA for network traffic anomally detection,” IEEE MILCOM2015, pp 617-622 [16] Nguyen Ha Duong, Hoang Dang Hai (2015), “A semi-supervised model for network traffic anomaly detection,” in Proc of 17th IEEE International Conference on Advanced Communication Technology (ICACT), Korea, pp.70-75 80 [17] Nguyen Ha Duong, Hoang Dang Hai (2015), “A model for network traffic anomaly detection,” Transactions on Advanced Communications Technolpgy (TACT) Vol 4, Issue 4, pp 644-650 [18] D Dunia, Q Qin (1997), “Multimedimensional fault diagnosis using a subspace approach,” in American Control Conference [19] L Ertoz, E Eilertson, A Lazarevic, P Tan, V Kumar, and J Srivastava (2004),” The MINDS – Minnesota Intrustion Detection System,” Next Generation Data Mining, MIT Press [20] P Gogoi, D K Bhattacharyya, B Brah, and J.K Kalita (2011), “A Survey of Outlier Detection Methods in Network Anomally Indentification,” Computer Jounrnal, Vol 54, No 4, pp 570-588 [21] V.J Hodge, J Austin (2004), “A survey of outlier detection methodologies,” Artifical Intelligence Review, Vol.22, Issue, 2, pp.85-126 [22] J E Jackson (1980), “Principal componet and Factor Analysis: Part 1: Principal Components”, Journal of Quality Technology, Vol 12, pp 201-213 [23] I T Jolliffe (2002), “Principal component Analysis”, Springer Verlag, New York, 3rd ed [24] A Lakhina, M Crowella C Diot (2004), “Diagnosing networkwide traffic anomalies”, in Proc of ACM SIGCOMM ’04, pp.219-230 [25] A Lakhina (2007), “Network Wide Traffic Analysis: Methods and Applications” dissertation for the degree of Doctor of Philosophy, Boston University, UMI No 3232904 [26] G Munz (2010), “Traffic Anomally Detection and Cause Identification Using Flow-Level Measurements”, phD thesis, Technische Universität München [27] Principal Component https://onlinecourses.science.psu.edu/stat505/node/49 Analysis, 81 [28] Principal Component Analysis, https://en.wikipedia.org/wiki/Principal_ component_analysis [29] I Paredes-Oliva (2013), Addressing Practical Challenges for Anomaly Detection in Blackbone Networks” Phd Dissertation in Computer Science, Universitat Polit` ecnica de Catalyna BarcelonaTech [30] M Tavallee, E Bagheri, W Lu, A A Ghorbani (2009), “A Detailed Analysis of the KDD CUP 99 Data Set”, in Proc Of IEEE Symposium on Computational Intelligence for Security and Defence Applications (CISDA2009), pp 1-6 [31] Rafeeq Ur Rehman: Intruction Detection Systems with Snort, 2003 [32] H Teng, K Chen, S Lu (1990), “Adaptive real-time anomaly detection using inductively generated sequential pattens”, in Proc of IEEE Computer Society Symposium on Reseach in Security and Privacy, pp.278-284 [33] The NSL-KDD Dataset (2009) – http://www.unb.ca/research/iscx/dataset/iscx-NSL-KDDdataset.html [34] The KDD Archive, 76 cup dataset (1999), http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html [35] C Thomas, V Sharma, N Balakrishnan (2008), “Usefuness of DARPA dataset for intrusion detection system evaluation”, in Proc of The International Sciety for Optical Engineering [36] W Wang, S Gombault (2007), “Detecting masquerades with principal component analysis based on cross frequency weights”, in Proc of 14th Anniversary HP-SUA Workshop, Munich, Gemany, pp 227-232 [37] W Wang, X Zhang, S Gombault, S J Knapskog (2009), “Atribute Normalization in Network Intrustion Detection”, in 10 th 82 International Symposium on Pervasive Systems, Algorithms and Networks (I-SPAN 2009), IEEE Press, pp 448-453 [38] analysis/ https://phvu.net/2011/10/05/pca-principal-component- ... loại IDS Chức IDS phát người xâm nhập, IDS có dạng như: - Hệ thống phát xâm nhập dựa host (Host IDS) - Hệ thống phát xâm nhập dựa mạng (Network IDS) - Hệ thống lai (Hybrid IDS – Distributed IDS) ... chương với nội dung cụ thể sau: Chương 1: TỔNG QUAN VỀ IDS - Khái quát IDS - Phân loại IDS - Kiến trúc thành phần IDS - Cơ chế hoạt động IDS - Kết luận chương Chương 2: MỘT SỐ KỸ THUẬT PHÂN TÍCH... tiềm ẩn IDS đặt tập trung (ví dụ tích hợp vào tường lửa) phân tán Một IDS phân tán gồm nhiều IDS khác mạng lớn, tất chúng truyền thơng với IDS có khả dò tìm phát công vào hệ thống mạng IDS tạo