ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC BÁCH KHOA PHẠM HỒNG THANH BẢO MẬT HỆ THỐNG MÁY CHỦ WEB DỰA TRÊN TRỰC QUAN HOÁ Chuyên ngành: Khoa học máy tính LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH, tháng 07 năm 2011 CƠNG TRÌNH ĐƯỢC HỒN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG -HCM Cán hướng dẫn khoa học : PGS TS Đặng Trần Khánh Cán chấm nhận xét : TS Võ Thị Ngọc Châu Cán chấm nhận xét : TS Nguyễn Tuấn Đăng Luận văn thạc sĩ bảo vệ Trường Đại học Bách Khoa, ĐHQG Tp HCM ngày 07 tháng 09 năm 2011 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: TS Nguyễn Đức Cường TS Võ Thị Ngọc Châu TS Nguyễn Tuấn Đăng PGS.TS Đặng Trần Khánh TS Trần Văn Hoài Xác nhận Chủ tịch Hội đồng đánh giá LV Trưởng Khoa quản lý chuyên ngành sau luận văn sửa chữa (nếu có) CHỦ TỊCH HỘI ĐỒNG TRƯỞNG KHOA Trang i ĐẠI HỌC QUỐC GIA TP.HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC BÁCH KHOA Độc lập - Tự - Hạnh phúc NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: Phạm Hồng Thanh MSHV: 09070462 Ngày, tháng, năm sinh: 04/04/1984 Nơi sinh: Long An Chuyên ngành: Khoa học máy tính Mã số : 604801 I TÊN ĐỀ TÀI: Bảo mật hệ thống máy chủ Web dựa trực quan hóa II NHIỆM VỤ VÀ NỘI DUNG: - Đề tài tập trung vào nghiên cứu kỹ thuật gom nhóm cơng bố Trên sở cải tiến kỹ thuật có đề xuất kỹ thuật - Nghiên cứu kỹ thuật thể liệu trực quan sử dụng đề xuất cách hiển thị thích hợp liệu cảnh báo - Xây dựng ứng dụng mẫu sử dụng kỹ thuật phát triển - Thử nghiệm, đánh giá phân tích kỹ thuật phát triển để thấy ưu điểm nhược điểm III NGÀY GIAO NHIỆM VỤ : 14/02/2011 IV NGÀY HOÀN THÀNH NHIỆM VỤ: 04/07/2011 V CÁN BỘ HƯỚNG DẪN: PGS TS Đặng Trần Khánh Tp HCM, ngày 15 tháng 09 năm 2011 CÁN BỘ HƯỚNG DẪN CHỦ NHIỆM BỘ MÔN ĐÀO TẠO TRƯỞNG KHOA Ghi chú: Học viên phải đóng tờ nhiệm vụ vào trang tập thuyết minh LV Trang ii LỜI CẢM ƠN Xin chân thành cảm ơn thầy hướng dẫn PGS TS Đặng Trần Khánh gợi ý phương hướng, đóng góp ý kiến cho lời khun giá trị giúp tơi hoàn thành đề tài Xin chân thành cảm ơn Ban giám hiệu trường Đại học Hoa Sen tạo điều kiện hỗ trợ cơng việc để tơi có đủ thời gian hoàn thành đề tài Xin cám ơn thành viên gia đình động viên tinh thần, giúp đỡ tơi lúc khó khăn thời gian hồn thiện đề tài Trang iii LỜI CAM ĐOAN Tơi xin cam kết luận văn hoàn thành dựa kết nghiên cứu kết nghiên cứu chưa dùng cho luận văn cấp khác Trang iv TĨM TẮT Vấn đề an tồn cho hệ thống máy chủ web ln vấn đề nóng hổi doanh nghiệp có hoạt động gắn liền với Làm để đảm bảo cho website vận hành an toàn thách thức người làm bảo mật hệ thống Nhu cầu đặt xây dựng hệ thống theo dõi, giám sát ngăn chặn công trái phép Đã có nhiều nghiên cứu hệ thống phát xâm nhập nhiên hầu hết cần cấu hình, phân tích tỉ mỉ từ nhà quản trị chuyên nghiệp Một cách tiếp cận cho vấn đề theo hướng trực quan hoá Bằng kết hợp hình ảnh, âm người quản trị có hỗ trợ việc giám sát hệ thống Trong phạm vi nghiên cứu đề tài, tác giả tìm hiểu kỹ thuật gom nhóm phổ biến đề xuất cải tiến phù hợp cho việc gom nhóm liệu cảnh báo Ngồi luận văn xây dựng prototype đơn giản để thể trực quan liệu cảnh báo thu thập Trang v Mục lục MỤC LỤC Trang Chương 1: Mở đầu 1.1 Phát biểu vấn đề 1.2 Tên đề tài 1.3 Giới hạn đề tài 1.4 Mục tiêu đề tài Chương 2: Tổng quan bảo mật hệ thống phát xâm nhập 2.1 Nhu cầu bảo mật hệ thống 2.2 Cách thức công 2.3 Các tính chất an tồn 2.4 Cơ chế bảo mật Chương 3: Bảo mật dựa trực quan hoá 10 3.1 Giới thiệu 10 3.2 Các nghiên cứu 10 Chương 4: Cơ sở lý thuyết 18 4.1 Các phương pháp trực quan hoá liệu [2] [7] 18 4.2 Các phương pháp phân tích trực quan liệu bảo mật 23 4.3 Các phương pháp đặc tả lỗ hổng bảo mật 29 4.4 Mơ hình lập trình MapReduce 33 Chương 5: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan hoá 37 5.1 Giới thiệu hệ thống 37 5.2 Các chức hệ thống 37 5.3 Kiến trúc hệ thống 38 5.4 Mô tả chức thu thập liệu - Collector 42 5.5 Kỹ thuật gom nhóm cảnh báo 45 5.6 Trực quan hóa liệu cảnh báo 54 Trang vi Mục lục 5.7 Mô tả hệ thống triển khai 58 5.8 Đánh giá số liệu 59 5.9 Ưu điểm, hạn chế 65 Chương 6: Kết luận 66 6.1 Tổng kết 66 6.2 Hướng phát triển hệ thống kiến nghị nghiên cứu 66 Trang vii Danh mục hình DANH MỤC HÌNH Hình 1-1: Các phương pháp công phổ biến Hình 1-2: Những điểm yếu phổ biến hệ thống web Hình 1-3: Các thiệt hại hệ thống sau công Hình 2-1: Các loại công kênh truyền thông tin Hình 3-1: Giao diện chương trình SnortView 10 Hình 3-2: Giao diện chương trình IDS RainStorm 12 Hình 3-3: Hình ảnh IDS RainStorm phóng to để xem chi tiết 12 Hình 3-4: Giao diện chương trình VisAlert 14 Hình 3-5: Biểu diễn liệu VisAlert khơng gian hai chiều 14 Hình 3-6: Trực quan hoá cấu trúc (Topology) 15 Hình 3-7: Gom cụm cảnh báo sử dụng mơ hình “bầy đàn” (Flocking Model) 16 Hình 3-8: Minh hoạ việc tiên đoán bước cơng 17 Hình 4-1: Minh hoạ việc sử dụng không gian không hợp lý thể đồ thị18 Hình 4-2: Minh hoạ việc sử dụng không gian hợp lý thể đồ thị 19 Hình 4-3: Vùng B C có diện tích 20 Hình 4-4: Phối cảnh chiều tạo cảm giác diện tích vùng C A B 20 Hình 4-5: Báo cáo mẫu minh hoạ lưu lượng lưu thông máy tính 24 Hình 4-6: Biểu đồ minh hoạ số lần đăng nhập thành công/thất bại 25 Hình 4-7: Biểu đồ mẫu dạng timetable 26 Hình 4-8: So sánh giá trị theo thời gian sử dụng nhiều chuỗi thời gian 27 Hình 4-9:Dashboard dành cho CISO (chief information security officer) 28 Hình 4-10: Các thành phần state transition diagram 29 Hình 4-11: Ví dụ state diagram cho kịch cơng 29 Hình 4-12: Các thành phần Colored Petri Nets 30 Hình 4-13: Ví dụ Colored Petri Nets 31 Hình 4-14: Một attack graph ví dụ 31 Hình 4-15: Time-Dependent DFA 32 Hình 4-16: Different-Length Vectors 32 Hình 4-17: Tổng quan cách thực thi MapReduce 34 Hình 4-18: Minh hoạ trình hoạt động MapReduce 35 Trang viii Danh mục hình Hình 5-1: Kiến trúc tổng quát hệ thống 38 Hình 5-2: Kiến trúc hệ thống 39 Hình 5-3: Hệ thống cần bảo vệ 40 Hình 5-4: Hệ thống theo dõi gom nhóm cảnh báo 41 Hình 5-5: Chương trình trực quan liệu tạo báo cáo 42 Hình 5-6: Biểu đồ mơ tả số lượng cảnh báo từ CSDL thử nghiệm 46 Hình 5-7: Lược đồ mơ tả q trình xử lý bước phân tích gom nhóm 48 Hình 5-8: Flowchart q trình gom nhóm 49 Hình 5-9: Flowchart giải thuật K-means 51 Hình 5-10 Sự tương đồng loại công 53 Hình 5-11: Đồ thị liên kết 55 Hình 5-12: Đồ thị liên kết chọn đối tượng 55 Hình 5-13: Biểu đồ hiển thị cảnh báo 56 Hình 5-14: Hình ảnh chi tiết cảnh báo 57 Hình 5-15: Điều chỉnh thơng số Time Scales 57 Hình 5-16: Gom nhóm cảnh báo lại theo ngày 57 Hình 5-17: Biểu đồ thống kê số lượng cảnh báo theo ngày 58 Hình 5-18: Sơ đồ mạng thử nghiệm MIT Lincoln Lab 60 Hình 5-19: Biểu đồ đánh giá thời gian chạy chương trình thu thập liệu 61 Hình 5-20: Biểu đồ đánh giá thời gian chạy chương trình gom nhóm 62 Hình 5-21: Mơ tả phần đồ thị liên kết 64 Trang ix Chương 6: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan hố Hình 5-14: Hình ảnh chi tiết cảnh báo Hình 5-15: Điều chỉnh thơng số Time Scales Hình 5-15 cho thấy việc thay đổi time scale giúp co giãn trục thời gian Hình 5-16: Gom nhóm cảnh báo lại theo ngày Ngồi chương trình cịn cung cấp chức cho phép gom nhóm cảnh báo lại để hiển thị theo ngày Ngồi chương trình cho phép tạo biểu đồ thống kê số lượng cảnh báo theo ngày Trang 57 Chương 6: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan hoá Hình 5-17: Biểu đồ thống kê số lượng cảnh báo theo ngày 5.7 Mô tả hệ thống triển khai Hệ thống thử nghiệm thực triển khai dựa công nghệ: - Hệ thống IDS sử dụng Snort 2.9 với tập luật nhận dạng phiên 2905 ngày 03/08/2011 Cơ sở liệu thử nghiệm lấy từ MIT Lincoln Lab [19] với thời gian thu thập vịng tuần CSDL Snort cấu hình lưu vào MySQL - Chương trình Collector xây dựng dựa công nghệ NET triển khai máy truy xuất trực tiếp với MySQL database dịch vụ Web từ máy chủ xử lý gom nhóm - Dịch vụ Web xây dựng cơng nghệ WCF NET với hai dịch vụ chính: lưu liệu thô vào CSDL cho phép chương trình trực quan truy xuất để đồng liệu CSDL lưu trữ MongoDB 1.8.3 [22] - Chương trình gom nhóm server triển khai server gom nhóm, cho phép truy xuất trực tiếp vào MongoDB để xử lý - Chương trình Client xây dựng công nghệ WPF NET, sử dụng thư viện DevExpress [23] cho biểu đồ trực quan Phần biểu đồ liên kết sử dụng thư viện GraphSharp [24], CSDL client sử dụng SQLite Trang 58 Chương 6: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan hố 5.8 Đánh giá số liệu 5.8.1 Mơ tả liệu thử nghiệm Dữ liệu sử dụng cho trình phần tích DARPA Intrusion Detection Evaluation phịng thí nghiệm MIT Lincoln [19] Hình 5-18 mơ tả sơ đồ mạng phục vụ cho việc thử nghiệm Tập liệu thu thập suốt tuần, liệu thu thập trình sniff traffic mạng Ngày Mon Mar 29 Tue Mar 30 Wed Mar 31 Thu Apr Fri Apr Mon Apr Tue Apr Wed Apr Thu Apr Fri Apr Trung bình Tổng cộng Outside TCPdump data Inside TCPdump data Kích thước Kích thước Số cảnh báo Số cảnh báo (Kb gziped) (Kb gziped) 76,009 995 87,256 1226 157,847 2050 N/A N/A 158,768 2808 177,223 2980 196,637 3121 219,701 3154 117,000 3246 87,256 3038 122,874 10503 146,149 2210 180,384 2397 198,800 2549 169,831 2508 195,966 2157 295,227 5155 323,373 5425 459,857 2455 483,364 2655 3524 2822 35238 25394 Bảng 5.8: Thống kê số lượng cảnh báo từ CSDL thử nghiệm Trang 59 Chương 6: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan hoá Hình 5-18: Sơ đồ mạng thử nghiệm MIT Lincoln Lab 5.8.2 Đánh giá hiệu suất dịch vụ thu thập liệu Để đánh giá hiệu suất ta lần lược gởi lên lượng lớn liệu quan sát thời gian từ gởi lên đến dịch vụ lưu trữ xong liệu trả Hình 5-19 cho thấy kết sau đo đạt trục x biểu diễn số lượng cảnh báo, trục y biểu diễn thời gian chạy tính milli giây Trang 60 Chương 6: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan hoá 1600 1400 Thời gian thực thi (ms) 1200 1000 800 Thời gian 600 400 200 0 10000 20000 30000 40000 50000 60000 70000 Số lượng cảnh báo Hình 5-19: Biểu đồ đánh giá thời gian chạy chương trình thu thập liệu Dựa vào biểu đồ ta nhận thấy lần chạy chương trình phải tốn chi phí thiết lập kết nối với dịch vụ web nên thời gian thực thi lớn Thời gian thực thi tăng gần tuyến tính lượng cảnh báo tăng từ 2000-22.000, nhiên sau thời gian thực thi có xu hướng ổn định ngang Với lượng cảnh báo ghi nhận từ Bảng 5.8: Thống kê số lượng cảnh báo từ CSDL thử nghiệm vào khoảng 3524 cảnh báo/ngày outside traffic 2822 cảnh báo/ngày inside traffic, chương trình thu thập liệu cho thể cấu hình cho chạy phút nên lượng cảnh báo xử lý lần nhỏ 5.8.3 Đánh giá hiệu suất chương trình gom nhóm liệu Để đánh giá giải thuật gom nhóm ta cho chạy với tập liệu mẫu đo đạt số liệu Đầu tiên thời gian chạy giải thuật với số lượng cảnh báo tăng dần Hình 5-20 cho thấy kết đo đạt lần chạy thử nghiệm, kết thời Trang 61 Chương 6: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan hoá gian thực thi tăng lên chậm so với mức tăng lượng cảnh báo nhiên xu hướng tăng Điều độ phức tạp K-means O(nkt) n số đối tượng, k số cụm, t số lần lặp Khi kích thước n tăng dẫn đến k tăng (theo giải thuật cải tiến k tăng có cảnh báo khơng gom chung với nhóm có) dẫn đến thời gian chạy tăng theo tương ứng 900 800 700 Thời gian thực thi (ms) 600 500 Thời gian 400 300 200 100 0 5000 10000 15000 20000 25000 30000 35000 Số lượng cảnh báo Hình 5-20: Biểu đồ đánh giá thời gian chạy chương trình gom nhóm Tiếp theo khả thu giảm cảnh báo, Bảng 5.1 mơ tả kết q trình gom nhóm lượng cảnh báo thu giảm khoảng 90% Tỉ lệ tăng giảm phụ thuộc vào giá trị ngưỡng quy định cho thuộc tính vector cảnh báo Trang 62 Chương 6: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan hố Số cảnh báo trước gom nhóm Ngày Mon Mar 29 Tue Mar 30 Wed Mar 31 Thu Apr Fri Apr Mon Apr Tue Apr Wed Apr Thu Apr Fri Apr Tổng cộng Số cảnh báo sau gom nhóm Tỉ lệ 2221 209 91% 2050 428 79% 5788 540 91% 6275 617 90% 6284 779 88% 12713 444 97% 4946 530 89% 4665 593 87% 10580 637 94% 5110 575 89% 60632 5352 91% Bảng 5.9: Bảng số liệu kết thu giảm cảnh báo 5.8.4 Đánh giá chương trình trực quan Với tập liệu thử nghiệm thống kê số lượng địa IP nguồn 691 IP đích 312 Dưới bảng phân tích kết nối chúng Source IP Số liên kết 194.7.248.153 263 172.16.114.50 34 172.16.112.100 29 172.16.112.50 26 172.16.113.50 25 194.27.251.21 23 207.200.75.201 20 Bảng 5.10: Số lượng liên kết từ địa IP nguồn Bảng 5.10 cho thấy số lượng liên kết từ địa nguồn đến đích, địa 194.7.248.153 có số liên kết nhiều 263 (dạng công 1-n), địa cịn lại có số kết nối nhỏ, khoảng 30 liên kết trở xuống Trang 63 Chương 6: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan hoá Destination IP Số liên kết 172.16.112.207 168 172.16.113.204 159 172.16.115.87 141 172.16.116.201 130 172.16.114.168 129 172.16.116.44 128 172.16.117.52 128 Bảng 5.11: Số lượng liên kết đến địa đích Bảng 5.11 thể số lượng kết nối đến địa đích, có khoảng 20 địa có số kết nối > 60 Cùng với trợ giúp giải thuật xếp biểu đồ, với số lượng liên kết hoàn toàn hiển thị tốt người quản trị dễ dàng nhận bất thường hệ thống Hình 5-21: Mơ tả phần đồ thị liên kết Đối với dạng hiển thị thứ 2, chương trình phân chia hình thành dịng để hiển thị cảnh báo nhóm nên khó nhìn số lượng nhóm tăng lên Màn hình hiển thị tốt 3-5 nhóm, nhiều ta áp dụng chức lọc Trang 64 Chương 6: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan hoá 5.9 Ưu điểm, hạn chế 5.9.1 Ưu điểm Chức gom nhóm liệu có khả thu giảm số lượng cảnh báo đáng kể giúp việc hiễn thị thông tin dễ dàng Hệ thống cung cấp khả lọc liệu linh hoạt để giúp việc hiển thị đồ thị cơng hiệu Ngồi hệ thống cho phép người dùng lựa chọn giải thuật bố trí phần tử đồ thị giúp hiển thị tốt đồ thị dầy Thiết kế hệ thống đơn giản, dễ dàng tích hợp vào hệ thống Ngồi với thiết kế khơng cần phải cài đặt nhiều thành phần phụ vào máy chủ web nên hệ thống máy chủ tốn nhiều tài nguyên cho hệ thống giám sát Việc thiết kế CSDL cho cảnh báo tối ưu hố cho mục đích lưu trữ lượng liệu cực lớn MongoDB chọn để quản lý phần lưu trữ cho liệu cảnh báo, khả phân mãnh liệu tốt nhằm hỗ trợ cho việc mở rộng hệ thống sau Chương trình client thiết kế độc lập với server, xây dựng dạng ứng dụng nên khả xử lý đồ hoạ tốt Ngoài liệu lưu trữ phía client đặt CSDL nhúng (SQLite) giúp cho việc cài đặt dễ dàng Dữ liệu sau truyền xuống client để vẽ biểu đồ lưu trữ lại, điều giúp gia tăng tốc độ cho lần truy cập 5.9.2 Hạn chế Các biểu đồ chưa có tính tương tác cao, cịn rời rạc với Chương trình dừng mức độ hiển thị liệu có sẵn, chưa tích hợp phần cảnh báo sớm nhận biết mẫu công Chưa thực phần gởi mail SMS cảnh báo tới quản trị phát bất thường hệ thống Trang 65 Chương 7: Kết luận Chương 6: Kết luận 6.1 Tổng kết Việc lựa chọn mơ hình trực quan hố phù hợp, lựa chọn biểu đồ, đồ thị hiển thị tốt liệu thu thập cung cấp nhìn xác cho người quản trị cơng việc khó Việc lựa chọn sai làm giảm hiệu chương trình đồng thời dẫn đến nhận định sai lệch Hệ thống xây dựng bước chuẩn bị khởi đầu cho nghiên cứu sâu lĩnh vực bảo mật hệ thống web thơng qua trực quan hóa Trong phần thực chương trình tập trung vào hai phần chính: gom nhóm cảnh báo loại bỏ cảnh báo sai, trực quan hóa cảnh báo thu thập Kết bước đầu tạo hệ thống tích hợp dễ dàng vào hệ thống máy chủ web 6.2 Hướng phát triển hệ thống kiến nghị nghiên cứu Hiện thông tin hiển thị biểu đồ rời rạc nhau, chưa thể liên kết, ví dụ thấy bất thường biểu đồ cần thêm thông tin từ biểu đồ nhiên việc phải làm thủ cơng Chương trình dừng mức độ hiển thị liệu có sẵn, chưa tích hợp phần cảnh báo sớm nhận biết mẫu cơng Trong phần cải tiến phát triển thêm hệ thống nhận biết mẫu (pattern) bất thường có tính lặp lại cho người quản trị biết Chưa thực phần gởi mail SMS cảnh báo tới quản trị phát bất thường hệ thống Phần gởi mail thực dễ dàng nhiên hệ thống gởi SMS đòi hỏi thiết bị chuyên dụng thuê dịch vụ đắt tiền Cho phép tuỳ biến cách thị thay đổi màu sắc, kích thước phần tử, giúp cho người dùng tuỳ biến phù hợp với nhu cầu Phát triển hệ thống phản ứng lại cơng, xây dựng thêm chức cho sensor để thay đổi cấu hình hệ thống kích hoạt hệ thống bảo vệ server Trang 66 Chương 7: Kết luận Mở rộng chức phân tích, gom nhóm cảnh báo cho phép sử dụng liệu kiểm tra từ nhiều nguồn (Nessus, log file, P0f, …), giúp cho việc loại bỏ cảnh báo sai hiệu Phát triển thêm module cập nhật cho chương trình, module có chức cung cấp mẫu nhận dạng nhất, thay đổi cho chương trình chính, … giúp cho chương trình ln ln có liệu Trang 67 Danh mục tài liệu tham khảo DANH MỤC TÀI LIỆU THAM KHẢO [1] C Kruege, F V and G Vigna, Intrusion Detection and Correlation - Challenges and Solutions, S Jajodia, Ed., Santa Barbara: Springer, 2005 Đ T Trí, "Bảo mật dựa trực quan hóa cho ứng dụng chia sẻ [2] tập tin ngang hàng," Hồ Chí Minh, 2008 [3] H Koike and K Ohno, "SnortView: visualization system of snort logs," in VizSEC/DMSEC: Proceedings of the 2004 ACM workshop on Visualization and data mining for computer security ACM, New York, NY, USA, 2004 [4] K Abdullah, C Lee, G Conti, J A Copeland and J Stasko, "IDS RainStorm: Visualizing IDS Alarms," in Proceedings of the IEEE Workshop on Visualization for Computer Security (VizSec), 2005 [5] Y Livnat, J Agutte, S Moon, R F Erbacher and S Foresti, "A Visualization Paradigm for Network Intrusion Detection," in 6th IEEE Systems, Man and Cybernetics Information Assurance Workshop,, West Point, NY, June 2005 [6] L Yang and X Cui, "Alerts Analysis and Visualization in Network-based Intrusion Detection Systems," in IEEE International Conference on Social Computing / IEEE International Conference on Privacy, Security, Risk and Trust, 2010 [7] R Marty, Applied Security Visualization, Addison Wesley, 2008 [8] S Eckmann, G Vigna and R Kemmerer, "STATL: An Attack Language for State-based Intrusion Detection," Journal of Computer Security, vol 10, no 1/2, pp 71-104, 2002 [9] I K., R A Kemmerer and P A Porras, "State transition analysis: A rule-based intrusion detection approach," IEEE Transactions on Software Engineering, vol 3, no 21, pp 181-199, Trang 68 Danh mục tài liệu tham khảo March 1995 [10] S Kumar and E H Spafford, "A pattern matching model for misuse intrusion detection," in Proceedings of the 17th National Computer Security Conference, Baltimore MD, USA, 1994 [11] K Jensen, L Kristensen and L Wells, "Coloured Petri Nets and CPN Tools for Modelling and Validation of Concurrent Systems," International Journal on Software Tools for Technology Transfer, no 9, pp 213-254, 2007 [12] S Jajodia and S Noel, "Topological Vulnerability Analysis: A Powerful New Approach for Network Attack Prevention, Detection, and Response," Indian Statistical Institute Monograph Series, World Scientific Press, 2008 [13] J Branch, A Bivens, C.-Y Chan, T.-K Lee and B Szymanski, "Denial of Service Intrusion Detection Using Time Dependent Deterministic Finite Automata," in Graduate Research Conference, Troy, NY, 2002 [14] A G and S Petrovic, "Encoding a taxonomy of Web attacks with different-length vectors," Computers and Security, vol 22, pp 435-449, 2003 [15] J Dean and S Ghemawat, "MapReduce: Simplified data processing on large clusters," in Symposium on Operating System Design and Implementation, 2004 [16] M M Romera, M A S Vázquez and J C G García, "Comparing Improved Versions of 'K-Means' and 'Subtractive' Clustering in a Tracking Application," R Moreno-Díaz et al (Eds.): EUROCAST 2007, LNCS 4739, p 717–724, 2007 [17] M M Siraj, M A Maarof and S Z M Hashim, "Intelligent Alert Clustering Model for Network Intrusion Analysis," Int J Advance Soft Comput Appl., vol 1, no 1, pp 33-48, July 2009 [18] J K Reynolds and J Postel, "Assigned Numbers," October 1994 [Online] Available: http://www.ietf.org/rfc/rfc1700.txt Trang 69 Danh mục tài liệu tham khảo [19] MIT Lincoln Laboratory, "1999 DARPA Intrusion Detection Evaluation Data Set," 1999 [Online] Available: http://www.ll.mit.edu/mission/communications/ist/corpora/ideval/data/ 1999data.html [20] M B Al-Daoud, "A New Algorithm for Cluster Initialization," Transactions on Engineering, Computing and Technology, vol V4, p 74–76, 2005 [21] S C B K H L Y P C a Y H Lee, "Real-time analysis of intrusion detection alerts via correlation," Computers & Security, pp 168-183 [22] "MongoDB," [Online] Available: http://www.mongodb.org/ [23] "DevExpress," [Online] Available: http://www.devexpress.com/Products/NET/Controls/WinForms/ [24] "Graph#," [Online] Available: http://graphsharp.codeplex.com/ Trang 70 PHẦN LÝ LỊCH TRÍCH NGANG Họ tên: Phạm Hồng Thanh Ngày, tháng, năm sinh: 04/04/1984 Nơi sinh: Long An Địa liên lạc: 33/20/3 tổ 53, KP4, đường Phan Văn Hớn, phường Tân Thới Nhất, Q.12, Tp HCM QUÁ TRÌNH ĐÀO TẠO Là sinh viên khoa Khoa học kỹ thuật máy tính trường đại học Bách khoa khóa 2002 Q TRÌNH CƠNG TÁC Hiện giảng viên hữu trường Đại học Hoa Sen Trang 71 ... dụng bảo mật hệ thống máy chủ web dựa trực quan hoá Chương 5: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan hoá 5.1 Giới thiệu hệ thống Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan. .. bảo mật hệ thống phát xâm nhập 2.1 Nhu cầu bảo mật hệ thống Các hệ thống máy tính nói chung máy chủ web nói riêng đưa vào vận hành tiềm ẩn nguy bị xâm phạm bất hợp pháp Tuỳ vào mức độ mà hệ thống. .. tích trực quan liệu bảo mật 23 4.3 Các phương pháp đặc tả lỗ hổng bảo mật 29 4.4 Mơ hình lập trình MapReduce 33 Chương 5: Ứng dụng bảo mật hệ thống máy chủ web dựa trực quan