ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA LÊ NGUYỄN TRƯỜNG GIANG XÂY DỰNG CÂY QUYẾT ĐỊNH TRỰC QUAN TƯƠNG TÁC ĐỂ PHÁT TRIỂN CÁC QUY TẮC PHÁT HIỆN TẤN CÔNG MẠNG Chuyên ngành : KHOA HỌC MÁY TÍNH Mã số : 60.48.01.01 LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, tháng 12 năm 2018 ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA LÊ NGUYỄN TRƯỜNG GIANG XÂY DỰNG CÂY QUYẾT ĐỊNH TRỰC QUAN TƯƠNG TÁC ĐỂ PHÁT TRIỂN CÁC QUY TẮC PHÁT HIỆN TẤN CÔNG MẠNG Build interactive visual decision tree for developing detection rules of network attacks Chuyên ngành : KHOA HỌC MÁY TÍNH Mã số : 60.48.01.01 LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, tháng 12 năm 2018 CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG -HCM Cán hướng dẫn khoa học : PGS.TS ĐẶNG TRẦN KHÁNH Cán chấm nhận xét : PGS TS NGUYỄN TUẤN ĐĂNG Cán chấm nhận xét : TS PHAN TRỌNG NHÂN Luận văn thạc sĩ bảo vệ Trường Đại học Bách Khoa, ĐHQG Tp HCM ngày 27 tháng 12 năm 2018 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: TS TRẦN MINH QUANG – CHỦ TỊCH TS LÊ HỒNG TRANG – THƯ KÝ PGS TS NGUYỄN TUẤN ĐĂNG – PHẢN BIỆN TS PHAN TRỌNG NHÂN – PHẢN BIỆN PGS TS NGUYỄN THANH BÌNH - ỦY VIÊN Xác nhận Chủ tịch Hội đồng đánh giá LV Trưởng Khoa quản lý chuyên ngành sau luận văn sửa chữa (nếu có) CHỦ TỊCH HỘI ĐỒNG TRƯỞNG KHOA KH & KT MÁY TÍNH ii ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: LÊ NGUYỄN TRƯỜNG GIANG MSHV: 1570207 Ngày, tháng, năm sinh: 20/08/1978 Nơi sinh: Đồng Nai Ngành: Khoa học Máy tính Mã số : 60.48.01.01 I TÊN ĐỀ TÀI: XÂY DỰNG CÂY QUYẾT ĐỊNH TRỰC QUAN TƯƠNG TÁC ĐỂ PHÁT TRIỂN CÁC QUY TẮC PHÁT HIỆN TẤN CÔNG MẠNG II NHIỆM VỤ VÀ NỘI DUNG: - Tìm hiểu vấn đề học từ định, định tương tác, trực quan hóa bảo mật - Phân tích, đánh giá thực trạng khó khăn thách thức việc phát triển quy tắc/giải pháp phát công mạng - Đề xuất giải pháp nhằm hỗ trợ phát triển quy tắc phát công mạng định trực quan tương tác - Xây dựng công cụ, thực đánh giá hệ thống với liệu thực đơn vị nơi công tác III NGÀY GIAO NHIỆM VỤ : 26/02/2018 IV NGÀY HOÀN THÀNH NHIỆM VỤ: 02/12/2018 V CÁN BỘ HƯỚNG DẪN: PGS TS ĐẶNG TRẦN KHÁNH Tp HCM, ngày tháng năm 20 CÁN BỘ HƯỚNG DẪN TRƯỞNG KHOA KH & KTMT iii LỜI CẢM ƠN Tôi xin chân thành cảm ơn khoa Khoa Học Kỹ Thuật Máy Tính, trường đại học Bách Khoa Tp Hồ Chí Minh, đại học Quốc gia Tp.Hồ Chí Minh tạo điều kiện thuận lợi cho tơi suốt q trình học tập thực đề tài Tôi xin chân thành cảm ơn thầy cô khoa Khoa Học Kĩ Thuật Máy Tính tận tình giảng dạy, trang bị cho kiến thức cần thiết suốt năm học qua Tôi xin gửi lời cảm ơn chân thành đến thầy PGS.TS Đặng Trần Khánh, giảng viên hướng dẫn trực tiếp đề tài Thầy người theo bước tôi, giúp đỡ, định hướng cho tơi, sửa chữa sai sót góp ý để tơi thực đề tài Tôi xin gửi lời cảm ơn tới thầy Ths Đặng Trần Trí, nghiên cứu sinh nhóm nghiên cứu trực quan hóa bảo mật Thầy người giúp đỡ nhiều để tiếp cận nhanh hơn, cung cấp cho tơi tài liệu bổ ích để giúp hiểu kiến thức tảng việc thực đề tài Tôi xin cảm ơn tới gia đình, bạn bè sát cánh bên cạnh tơi, giúp đỡ để tơi có điều kiện tốt vật chất tinh thần trình thực đề tài Mặc dù có cố gắng phạm vi khả cho phép, tránh khỏi thiếu sót, mong góp ý, bảo thêm quý thầy cô bạn Cuối xin chân thành cảm ơn thầy cô bạn giành thời gian đọc tài liệu iv TÓM TẮT LUẬN VĂN THẠC SĨ Đây luận văn thạc sỹ học viên cao học Lê Nguyễn Trường Giang Trong luận văn này, đề xuất phương pháp công cụ gọi trực quan tương tác để phát triển quy tắc phát công mạng Đề tài thực dựa tài liệu cơng trình nghiên cứu ứng dụng trực quan hóa bảo mật, học máy, tương tác người dùng Một mơ hình thực nghiệm thực môi trường hoạt động phịng CNTT cơng ty tài Tp Hồ Chí Minh, để đánh giá đóng góp hạn chế đề xuất việc hỗ trợ quản trị viên bảo mật việc phân tích, xây dựng phát triển luật phát công mạng hệ thống quản lý kiện thông tin bảo mật (SIEM) Hệ thống quản lý kiện thông tin bảo mật tổng hợp, lưu trữ, quản lý phân tích liệu nhật ký, thông tin liên quan đến bảo mật từ công nghệ bảo mật hệ thống bảo vệ thiết bị đầu cuối (EPS), hệ thống tường lửa, hệ thống phát xâm nhập (IDS), hệ thống phòng chống xâm nhập (IPS) để đưa cảnh báo kiện bảo mật hệ thống mạng, hay phát công ẩn dấu đằng sau liệu dựa tập luật xây dựng sẵn quy tắc tạo quản trị viên bảo mật theo phạm vi, ngữ cảnh, yêu cầu môi trường hoạt động cụ thể tổ chức Tạo quy tắc phát công mạng công việc đơn giản, đặc biệt cơng thực kẻ cơng có kinh nghiệm Trong tình vậy, chun mơn người điều cần thiết để tạo kết hiệu Tuy nhiên, người dễ dàng bị tải liệu đầu vào lớn để phân tích, học hỏi sử dụng để phát triển quy tắc phát cơng thích hợp Vì phương pháp cơng cụ gọi trực quan tương tác đề xuất để hỗ trợ quản trị viên bảo mật việc phát triển quy tắc phát công mạng hiệu dễ dàng Phương pháp luận đề tài bao gồm hai phần Phần đầu tập trung vào việc xác định phạm vi, ngữ cảnh sử dụng, yêu cầu đặt ra, hạn chế cơng trình nghiên cứu liên quan từ đề xuất phương pháp tiếp cận phù hợp Dựa cách tiếp cận này, phần hai, tập trung vào việc phân tích, thiết kế xây dựng phương pháp trực quan, tương tác việc xây dựng định trực quan tương tác để phát triển quy tác phát công mạng Phần kết luận luận văn nêu lên ưu điểm phương pháp, số hạn chế điểm cần cải tiến tương lai v ABSTRACT This is the Master Thesis of Le Nguyen Truong Giang In this thesis the methodology of building interactive visual decision tree for developing detection rules of network attacks is discused It is based on currently available literature and new research on security visualization application, machine learning, human interaction The research was done at a Financial Company in Ho Chi Minh City with a prototype was evaluated by security administrators in IT department to discuss about advantages and drawbacks of the methodology in analyzing, building and developing detection rules of network attacks for Securiy Information and Event Management (SIEM) system Security information and event management system, which aggregate, store, manage, and analyze Endpoint Protection System (EPS), Firewall, Intrusion Detection System (IDS), Intrusion Prevention System (IPS), and other securityrelevant log data to provide an indication of the security condition of systems and networks, or attacks hidden under these data based on built-in rules or rules created by security administrators with his/her understanding about scope, use cases, requirements of organization’s operational environment Creating detection rules of network attacks is not a trivial task, especially when the attacks are launched by experienced hackers In such a situation, human expertise is essential to produce effective results However, human users are easily overloaded by the huge input data, which is meant to be analyzed, learned from, and used to develop appropriate detection rules So I propose a novel technique and tool called interactive visual decision tree to support human users easily and effective in developing detection rules of network attacks The methodology consists of two parts The first part focuses on defining a scope, use cases, requirements of organization operational environment and some relative researches to propose a appropriate approach If so, the second part consists of analyzing, design and build a prototype of visualization and human interaction in developing detection rules of network attacks The conclusion in experimental result discusses several advantages of the methodology and some drawbacks and future points for optimization vi LỜI CAM ĐOAN Tôi xin cam đoan luận văn thạc sĩ với đề tài “Xây dựng định trực quan tương tác để phát triển quy tắc phát công mạng” kết trình học tập, nghiên cứu khoa học, độc lập nghiêm túc Các số liệu luận văn trung thực, có nguồn gốc rõ ràng, trích dẫn có tính kế thừa, phát triển từ tài liệu, sách báo, tạp chí cơng trình nghiên cứu cơng bố, có trích dẫn rõ ràng Ngồi tài liệu liệt kê, tơi xin cam đoan nội dung luận văn không chép từ đề tài hay cơng trình nghiên cứu người khác Nếu sai tơi xin chịu hồn tồn trách nhiệm Học viên thực Lê Nguyễn Trường Giang (1570207) Tp Hồ Chí Minh, tháng 12, năm 2018 vii MỤC LỤC NHIỆM VỤ LUẬN VĂN THẠC SĨ iii LỜI CẢM ƠN iv TÓM TẮT LUẬN VĂN THẠC SĨ v ABSTRACT vi LỜI CAM ĐOAN vii DANH MỤC HÌNH x CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI 1.1 Lý lựa chọn đề tài 1.2 Mục tiêu nghiên cứu 1.3 Ý nghĩa khoa học thực tiễn 1.4 Giới hạn đề tài 1.5 Cấu trúc báo cáo CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 Hệ thống phát xâm nhập (IDS) 2.2 Hệ thống quản lý kiện thông tin bảo mật (SIEM) 2.3 Bảo mật dựa trực quan hóa 15 2.4 Học dựa định 16 CHƯƠNG 3: CÁC CƠNG TRÌNH NGHIÊN CỨU LIÊN QUAN 19 3.1 Học dựa theo định 19 3.2 Xây dựng định tương tác 20 3.3 Trực quan hóa bảo mật 21 3.4 Phát xâm nhập dựa trực quan hóa 23 CHƯƠNG 4: ĐỀ XUẤT THIẾT KẾ VÀ HIỆN THỰC NGUYÊN MẪU 27 4.1 Đặc tả liệu đầu vào 27 4.2 Thành phần hệ thống 28 4.3 Chức thành phần hệ thống 29 4.4 Thiết kế trực quan – tương tác 32 CHƯƠNG 5: THÍ NGHIỆM VÀ KẾT QUẢ 35 5.1 Mục tiêu 35 5.2 Thu thập liệu 35 5.3 Thiết lập thí nghiệm 37 5.4 Quan sát bước thực 42 5.5 Kết thảo luận 43 viii CHƯƠNG 6: KẾT LUẬN 47 6.1 Đóng góp đề tài 47 6.2 Hạn chế đề tài cải tiến tương lai 48 TÀI LIỆU THAM KHẢO 50 PHỤ LỤC 53 Các khai báo hàm sử dụng đề tài 53 Hướng dẫn sử dụng hệ thống 53 Bảng câu hỏi khảo sát 54 Công trình khoa học 58 LÝ LỊCH TRÍCH NGANG 59 ix ... việc xây dựng định để phát triển quy tắc phát công mạng - Cây định tương tác, bước tương tác người dùng việc xây dựng định trực quan - Trực quan hoá tác vụ đối tượng hỗ trợ, trực quan nút, trực quan. .. TÊN ĐỀ TÀI: XÂY DỰNG CÂY QUY? ??T ĐỊNH TRỰC QUAN TƯƠNG TÁC ĐỂ PHÁT TRIỂN CÁC QUY TẮC PHÁT HIỆN TẤN CÔNG MẠNG II NHIỆM VỤ VÀ NỘI DUNG: - Tìm hiểu vấn đề học từ định, định tương tác, trực quan hóa bảo... khó khăn thách thức việc phát triển quy tắc/ giải pháp phát công mạng - Đề xuất giải pháp nhằm hỗ trợ phát triển quy tắc phát công mạng định trực quan tương tác - Xây dựng công cụ, thực đánh giá