BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - VŨ THANH BÌNH HỆ THỐNG PHÁT HIỆN BẤT THƯỜNG TRONG MẠNG SỬ DỤNG MẠNG NƠRON Chuyên ngành: Cơng nghệ thơng tin LUẬN VĂN THẠC SĨ CƠNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN LINH GIANG HÀ NỘI - 2009 Lời cảm ơn Trước hết xin gửi lời cảm ơn đặc biệt tới TS Nguyễn Linh Giang, Bộ môn Truyền Thông Mạng, Khoa Công nghệ thông tin, Trường Đại học Bách Khoa Hà Nội, người định hướng đề tài tận tình hướng dẫn bảo tơi suốt q trình thực luận văn cao học Tôi xin gửi lời cảm ơn sâu sắc tới Trung tâm Đào tạo Sau đại học thầy cô giáo Khoa Công nghệ thông tin, Trường Đại học Bách Khoa Hà Nội tận tình giảng dạy truyền đạt kiến thức, kinh nghiệm quý báu suốt năm học Cao học Cuối tơi xin dành tình cảm biết ơn tới gia đình bạn bè, người luôn bên cạnh tôi, động viên, chia sẻ suốt thời gian học cao học trình thực luận văn Hà Nội, tháng 03 năm 2009 Vũ Thanh Bình ii Mục lục Lời cảm ơn ii Mục lục iii Danh sách ký hiệu, từ viết tắt v Danh sách hình vẽ vi Chương Mở đầu 1 Bối cảnh nghiên cứu Nội dung nghiên cứu Cấu trúc luận văn Chương Tổng quan Hệ thống phát xâm nhập trái phép Khái quát bảo mật hệ thống thông tin 1.1 Các nguy đe dọa 1.2 Các nguyên tắc bảo vệ hệ thống thông tin 1.3 Các biện pháp bảo vệ 10 Kỹ thuật phát xâm nhập trái phép 13 2.1 Thành phần 13 2.2 Phân loại 16 2.2.1 Host-based IDS 16 2.2.2 Network-based IDS 17 2.2 Nguyên lý hoạt động 19 2.3 Chất lượng cảnh báo 23 2.4 Phát xâm nhập 25 Kết chương 27 Chương Hệ thống IDS dựa phát bất thường 29 Định nghĩa Bất thường mạng 30 Kỹ thuật phát Bất thường 32 Ưu nhược điểm Phát bất thường 33 Dữ liệu phát bất thường 35 Các phương pháp phát bất thường 38 5.1 Xác suất thống kê 38 5.1.1 Haystack 39 5.1.2 NIDES 39 5.1.3 SPADE 40 5.2 Máy trạng thái hữu hạn 43 5.3 Phát bất thường Mạng Nơ-ron 45 iii 5.4 Hệ chuyên gia 47 5.5 Mạng Bayes 48 Kết chương 50 Chương Phát bất thường sử dụng mạng nơron FANN 51 Giới thiệu mạng nơron 51 Ứng dụng mạng nơ-ron phát bất thường 54 2.1 Hình thành tốn 54 2.2 Ứng dụng mạng nơ-ron FANN Phát bất thường 56 2.2.1 Bộ phân loại nơ-ron thích ứng nhanh FANNC 56 2.2.2 Kiến trúc mơ hình mạng FANNC 57 2.2.3 Tiến trình học FANNC 58 Mơ hình Hệ thống Phát bất thường dựa mạng nơron 63 3.1 Mơđun đọc gói tin 64 3.2 Mơđun thu nhận gói tin 64 3.3 Môđun Trích chọn đặc trưng 65 3.4 Môđun mạng nơ-ron FANNC 68 3.5 Môđun điều phối hiển thị 68 So sánh Đánh giá 69 Kết chương 72 Chương Kết luận 73 5.1 Kết luận luận văn 73 5.2 Hướng nghiên cứu 74 Tài liệu tham khảo 76 Phụ lục 79 Tấn công từ chối dịch vụ 79 iv Danh sách ký hiệu, từ viết tắt Từ viết tắt Tên đầy đủ VPN Virtual Private Network IPSec Internet Protocol Security IPS Intrusion Prevention System HTTPS Hypertext Transfer Protocol Secure SNMP Simple Network Management Protocol DoS Denial of Service SSL Secure Socket Layer IDS Intrusion Detection System NIDS Network-based Intrusion Detection System HIDS Host-based Intrusion Detection System SOM Self Organized Map FSM Finite States Machine SPADE Statistical Packet Anomaly Detection Engine MINDS Minnesota Intrusion Detection System NN Nearest Neighbor BTTM Bất thường mạng LOF Local Outlier Factor KPDL Khai phá liệu v Danh sách hình vẽ Hình Nội dung Hình 2.1 Thời gian có cơng sau cơng bố lỗ hổng Hình 2.2 Số lượng máy bị cơng ngày tăng Hình 2.3 Thời gian lây nhiễm 10.000 máy rút ngắn Hình 2.4 Vai trị IDS hệ thống bảo mật Hình 2.5 Hệ thống phịng thủ theo chiều sâu Hình 2.6 Thành phần hệ thống IDS Hình 2.7 Hoạt động IDS Hình 2.8 Vị trí NIDS HIDS hệ thống mạng Hình 2.9 Nguyên lý hoạt động hệ thống IDS Hình 2.10 IDS gửi TCP Reset Hình 2.11 IDS yêu cầu Firewall tạm dừng dịch vụ Hình 2.12 Ví dụ đường cong ROC Hình 2.13 IDS dựa dấu hiệu Hình 2.14 Thêm luật vào IDS dựa dấu hiệu Hình 3.1 IDS dựa Phát bất thường Hình 3.2 Hoạt động IDS dựa phát bất thường Hình 3.3 Mơ hình hệ thống Phát xâm nhập bất thường thống kê xác suất Hình 3.4 Mơ hình IDS sử dụng FSM Hình 3.5 Hoạt động IDS sử dụng FSM Hình 3.6 IDS dựa SOM Hình 3.7 Sơ đồ Mạng Bayes tổng quát Hình 4.1 Hệ thống Phát bất thường sử dụng mạng nơ-ron FANNC vi Vũ Thanh Bình Cao học CNTT 2006-2008 Chương Mở đầu Bối cảnh nghiên cứu Ngày nay, giới, cơng nghệ thơng tin đóng vai trị quan trọng thiếu lĩnh vực từ văn hóa, giáo dục, tới đào tạo, sản xuất kinh doanh, quản lý Cùng với lợi ích vơ to lớn mà cơng nghệ thông tin mang lại, nhận thấy nguy ngày tăng hành vi trái phép, xâm phạm đến hệ thống thông tin Những năm gần chứng kiến bùng phát vụ cơng vào hệ thống thơng tin tồn giới Đặc điểm chung vụ công trình độ cơng nghệ ngày cao, khả lây lan phạm vi rộng thời gian ngắn Số vụ cơng liên quan đến lợi ích kinh tế gia tăng gây tổn thất to lớn cho cá nhân, tổ chức doanh nghiệp Báo cáo hãng bảo mật Symantec năm 2006 cho thấy ngày, giới có đến 6110 vụ cơng Từ chối dịch vụ, 63.912 máy tính bị nhiễm mã độc hại [18] Tình hình an ninh mạng Việt Nam thời gian gần diễn biến phức tạp số vụ công không ngừng gia tăng Các dạng công DoS, Deface xuất ngày nhiều, gây ảnh hưởng lớn đến trình hoạt động uy tín tổ chức Số lượng máy tính bị nhiễm virus, worm Việt Nam ước tính đến số hàng triệu năm 2006 Để đối phó trước nguy đó, người ta đưa nhiều giải pháp nhằm tăng cường tính an ninh, hạn chế đến mức tối đa khả bị công Hệ thống Phát xâm nhập (Instrustion Detection System - IDS) thành Chương 1: Mở đầu Vũ Thanh Bình Cao học CNTT 2006-2008 phần quan trọng chiến lược xây dựng Hệ thống An ninh Mạng theo chiều sâu Nhiệm vụ IDS thu thập liệu Mạng, tiến hành phân tích, đánh giá, từ xác định xem có dấu hiệu công hay không IDS cảnh bảo cho nhà quản trị trước thủ phạm thực hành vi đánh cắp thông tin hay phá hoại, giảm thiểu nguy an ninh hệ thống Hệ thống Phát xâm nhập có hướng tiếp cận Tiếp cận dựa dấu hiệu Tiếp cận dựa phát bất thường Nếu dựa dấu hiệu, hệ thống sử dụng mẫu cơng có từ trước, tiến hành so sánh để xác định liệu xét có phải bất thường khơng Hướng sử dụng rộng rãi nhiên điểm yếu phát cơng có dấu hiệu biết trước Kỹ thuật phát bất thường khắc phục nhược điểm này, cách tiến hành xây dựng hồ sơ mô tả “trạng thái bình thường” Một hành vi hệ thống coi “bất thường” thông số đo có độ khác biệt đáng kể với mức “bình thường”, từ suy luận “bất thường” dấu hiệu hành vi công Rõ ràng hướng tiếp cận dựa Hành vi bất thường có tính “trí tuệ” cao hồn tồn nhận diện cơng mà chưa có dấu hiệu cụ thể Nội dung nghiên cứu Trong thời gian thực luận văn, tác giả tiến hành nghiên cứu vấn đề sau: • Phân tích vai trị, chức Hệ thống xâm nhập trái phép, tìm hiểu thành phần, cách phân loại hoạt động hệ thống Đưa tiêu chí đánh giá hệ thống IDS Chương 1: Mở đầu Vũ Thanh Bình Cao học CNTT 2006-2008 • Tìm hiểu Hệ thống IDS dựa Phát bất thường Phân tích ưu nhược điểm hướng tiếp cận Nghiên cứu kỹ thuật sử dụng để phát bất thường: Mạng nơ-ron (FANNC), Xác suất thống kê, mạng Neutral, Hệ chuyên gia, Máy trạng thái hữu hạn v.v Đưa đánh giá hiệu kỹ thuật • Nghiên cứu khái quát hóa Hệ thống phát bất thường dựa 0F kỹ thuật Mạng nơ-ron Đưa đề xuất cải tiến số giai đoạn So sánh đánh giá hệ thống dựa Kỹ thuật với hệ thống Phát xâm nhập khác Cấu trúc luận văn Phần lại luận văn cấu trúc sau: Chương giới thiệu tổng quan Hệ thống Phát xâm nhập trái phép Trong chương tác giả trình bày cách khái quát vai trò IDS hệ thống thơng tin, hình thức phân loại, cấu trúc nguyên lý hoạt động Hệ thống IDS Chương mô tả nguyên tắc phát công dựa theo dõi dấu hiệu bất thường hệ thống, so sánh đánh giá ưu nhược điểm Hệ thống phát xâm nhập trái phép dựa phát bất thường Chương đưa đánh giá số hướng nghiên cứu thực Chương giới thiệu kỹ thuật Mạng nơ-ron (FANN), đưa toán phát bất thường mạng tốn phân loại gói tin mạng nơ-ron FANNC Chương Kết luận luận văn đưa hướng nghiên cứu đề tài Từ đến cuối luận văn, Hệ thống Phát bất thường hiểu Hệ thống Phát xâm nhập trái phép dựa hướng tiếp cận Phát bất thường mạng Chương 1: Mở đầu Vũ Thanh Bình Cao học CNTT 2006-2008 Chương Tổng quan Hệ thống phát xâm nhập trái phép Khái quát bảo mật hệ thống thơng tin Thơng tin có giá trị cao đảm bảo tính xác kịp thời, hệ thống cung cấp thơng tin có giá trị thực chức hệ thống đảm bảo hoạt động đắn Mục tiêu việc đảm bảo an tồn an ninh cho hệ thống thơng tin đưa giải pháp ứng dụng giải pháp vào hệ thống để loại trừ giảm bớt nguy hiểm Hiện công ngày tinh vi, gây mối đe doạ tới an tồn thơng tin Các cơng đến từ nhiều hướng theo cách khác nhau, cần phải đưa sách biện pháp đề phịng cần thiết Mục đích cuối an tồn bảo mật bảo vệ thông tin tài nguyên theo yêu cầu sau [9]:  Đảm bảo tính tin cậy (Confidentiality): Thông tin bị truy nhập trái phép người khơng có thẩm quyền  Đảm bảo tính nguyên vẹn (Integrity): Thông tin bị sửa đổi, bị làm giả người khơng có thẩm quyền  Đảm bảo tính sẵn sàng (Availability): Thơng tin ln sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền  Đảm bảo tính khơng thể từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp Chương 2: Tổng quan Hệ thống phát xâm nhập trái phép Vũ Thanh Bình 68 Cao học CNTT 2006-2008 3.4 Môđun mạng nơ-ron FANNC Mạng FANNC : thành phần quan trọng toàn hệ thống, mạng FANNC việc sử dụng giải thuật mạng nơ-ron FANNC mô tả trên, chịu trách nhiệm phân loại nhận dạng gói tin nhận Các kết q trình nhận dạng gói tin chuyển tới Bộ điều phối hiển thị 3.5 Môđun điều phối hiển thị Bộ điều phối hiển thị: hiển thị kết trình nhận dạng, dựa kết đưa cảnh bảo hệ thống Hoạt động hệ thống mô tả biểu đồ luồng sau đây: Bắt đầu Thu nhận gói tin (online/offline) Tiền xử lý gói tin Nhận dạng gói tin Đưa cảnh báo Kết thúc Chương 4: Phát bất thường sử dụng mạng nơ ron FANN Vũ Thanh Bình 69 Cao học CNTT 2006-2008 So sánh Đánh giá Để thử nghiệm so sánh Hệ thống phát xâm nhập sử dụng FANNC, sử dụng Bộ liệu đánh giá chuẩn DARPA 1998 (1998 DARPA Intrusion Detection Evaluation Data Set) Đây dử liệu chuẩn dùng để đánh giá Hệ thống Phát Xâm nhập Bộ liệu chuẩn DARPA 1998 bao gồm tập liệu: Tập liệu phục vụ việc huấn luyện Hệ thống Phát xâm nhập: gói tin nhận 4h gói tin nhận tuần liên tục Các gói tin có dấu hiệu công gán nhãn Tập liệu thử nghiệm: gói tin nhận tuần liên tục Hệ thống phát xâm nhập dùng để so sánh SNORT SNORT hệ thống phát ngăn chặn xâm nhập mã nguồn mở ( www.snort.org ) SNORT sử dụng phương pháp phát công: phát dựa dấu hiệu, dựa bất thường, dựa giao thức Phiên dùng thử nghiểm SNORT v2.8.3.2 tập luật Sourcefire VRT cập nhật 24/02/2009 Chúng ta tiến hành thử nghiệm với thử nghiệm: Thử nghiệm 1: • Sử dụng tập Dữ liệu Huấn luyện DARPA 1998 với gói tin nhận 4h để huấn luyến Hệ thống Phát Xâm nhập Sử dụng FANNC (FANNC IDS) • SNORT sử dụng tập luật SourceFire VRT 24/02/2009 • Chạy thử nghiệm lận lượt hệ thống sử dụng SNORT FANNC IDS với Tập liệu thử nghiệm DARPA 1998 • Ghi nhận kết Chương 4: Phát bất thường sử dụng mạng nơ ron FANN Vũ Thanh Bình Cao học CNTT 2006-2008 70 Thử nghiệm 2: • Sử dụng tập Dữ liệu Huấn luyện DARPA 1998 với gói tin nhận tuần liên tục để Huấn luyện Hệ thống Phát Xâm nhập Sử dụng FANNC • SNORT sử dụng tập luật SourceFire VRT 24/02/2009 • Chạy thử nghiệm hệ thống sử dụng SNORT FANNC IDS với Tập liệu thử nghiệm DARPA 1998 • Ghi nhận kết Các kết thử nghiệm thể qua bảng sau Kết thử nghiệm Hệ thống False True Tỉ lệ False Alarm/ True IDS Alarm Alarm Alarm SNORT 37 258 0.143 FANNC 42 122 0.344 IDS Kết thử nghiệm Chương 4: Phát bất thường sử dụng mạng nơ ron FANN Vũ Thanh Bình 71 Cao học CNTT 2006-2008 Hệ thống False True Tỉ lệ False Alarm/ True IDS Alarm Alarm Alarm SNORT 37 258 0.143 FANNC 19 247 0.077 IDS Đánh giá kết thử nghiệm Trong thử nghiêm 1, thấy rõ ti lệ False Alarm/ True Alarm Hệ thông FANNC IDS cao hẳn so với Hệ thống SNORT Số lượng False Alarm Hệ thống FANNC IDS đưa nhiều hơn, đồng thời True Alarm tháp Điều giải thích sau: Do Hệ thống SNORT sử dụng tập luật SourceFire mạnh việc phát dấu hiệu cơng, cịn Hệ thống FANNC IDS dựa vào việc học mạng FANNC tập Dữ liệu huấn luyện nhỏ Với tập liệu huấn luyện nhỏ, khả phát cơng FANNC IDS cịn yếu, tỉ lệ đưa cảnh báo sai cao Trong thử nghiệm 2, thấy tỉ lệ False Alarm/ True Alarm giưa hệ thống lúc tương đương Khả nhận dang, phát công FANNC IDS cải thiện nhiều Trong đó, hệ thống SNORT đưa cảnh báo thử nghiệm sử dụng tập luật SourceFire VRT 24/02/2009 Các thông số kết Hệ thống FANNC IDS cải thiện mạnh Thử nghiệm giải thích sau: Do thử nghiệm này, sử dụng tập liệu huấn luyện lớn (các gói tin nhận tuần liên tiếp) khả học mạng FANNC Qua thử nghiệm trên, thấy được, khả nhận dạng tính xác cảnh báo hệ thống FANNC IDS phụ thuộc Chương 4: Phát bất thường sử dụng mạng nơ ron FANN Vũ Thanh Bình 72 Cao học CNTT 2006-2008 nhiều vào tập liệu huấn luyện khả học mạng FANNC Khi huấn luyện tập liệu “tốt”, hệ thống FANNC IDS cho thấy khả nhận dạng phát công ưu so với hệ thống SNORT sử dụng tập luật cho trước Kết chương Chương đề cập đến việc áp dụng mạng nơ-ron FANNC cho Hệ thống phát bất thường Sử dụng hướng tiếp cận dựa FANNC để có nhiều ưu điểm Trước hết, giống hầu hết kỹ thuật phát bất thường khác, Hệ thống IDS sử dụng FANNC khơng cần có tri thức trước lỗ hổng bảo mật hay dạng cơng, phát công “zero-day” dạng công hình thành Sử dụng kỹ thuật FANNC phát xác dạng cơng diễn thời gian kéo dài DoS hay Quét cổng Thêm vào đó, Kỹ thuật FANNC thích ứng với trường hợp liệu không đầy đủ, liệu thiếu sót khơng xác Chương 4: Phát bất thường sử dụng mạng nơ ron FANN Vũ Thanh Bình 73 Cao học CNTT 2006-2008 Chương Kết luận 5.1 Kết luận luận văn Trong thời gian làm luận văn, tác giả tìm hiểu hệ thống bảo mật, đặc biệt Hệ thống Phát xâm nhập trái phép IDS thành phần quan trọng chiến lược phòng thủ theo chiều sâu Hệ thống thông tin Hệ thống Phát xâm nhập trái phép có chức phát cảnh báo sớm dấu hiệu công, giúp người quản trị chủ động đối phó với nguy xâm phạm Luận văn trình bày cách tổng quan nguyên lý hoạt động, hình thức phân loại, phương pháp phát xâm nhập Hệ thống IDS hoạt động dựa thành phần Cảm ứng, Giao diện Bộ phân tích Xét chức IDS phân làm loại NIDS HIDS NIDS thường đặt cửa ngõ mạng để giám sát lưu thơng tồn mạng, cịn HIDS cài đặt máy trạm để phân tích hành vi liệu đến máy trạm Xét cách thức hoạt động hệ thống IDS chia thành giai đoạn : Giám sát, Phân tích, Liên lạc, Cảnh báo Phản ứng Hệ thống IDS phát cơng dựa dấu hiệu dựa tượng bất thường Ý tưởng phương pháp Phát bất thường lấy sở nhận định: công thường gây dấu hiệu khác thường hệ thống, ví dụ tăng đột biến loại gói tin xuất phát từ Tấn công từ chối dịch vụ, hay xuất kết nối lạ thủ phạm dị qt điểm yếu Do đó, để cảnh báo công, hệ thống phân loại phát dấu hiệu “bất thường” tập thông Chương 4: Phát bất thường sử dụng mạng nơ ron FANN Vũ Thanh Bình 74 Cao học CNTT 2006-2008 số quan sát Với tiếp cận vậy, lợi Phương pháp khả phát kiểu cơng chưa có dấu hiệu hay biến thể cơng có mà Hệ thống IDS khác nhận Ngồi ra, phương pháp Phát bất thường cịn giải vấn đề q tải tính tốn, tính tự động vận hành Hệ thống phát xâm nhập trái phép Hệ thống IDS dựa Phát bất thường sử dụng kỹ thuật khác Luận văn giới thiệu hệ thống Phát bất thường dựa Xác suất thống kê, Máy trạng thái hữu hạn, Hệ chuyên gia, Mạng Bayes v.v Mỗi kỹ thuật có chế hoạt động riêng, đồng thời có ưu-nhược điểm khác Luận văn giới thiệu số hướng nghiên cứu lĩnh vực đưa đánh giá hướng Chương Luận văn sâu vào nghiên cứu Mơ hình hệ thống phát bất thường sử dụng mạng nơ-ron Đây hướng công nghệ có nhiều ưu điểm bật khả hoạt động với CSDL chứa nhiều nhiễu, liệu không đầy đủ biến đổi liên tục Đây tính chất thường thấy liệu Mạng Ở tác giả đưa số đề xuất cải tiến Mơđun Tổng hợp để tối ưu hóa hoạt động Hệ thống Đó việc xây dựng hàm định lượng để đánh giá trình tổng hợp, việc tổng hợp tri thức thành tri thức dùng chung hệ thống IDS 5.2 Hướng nghiên cứu Lĩnh vực Phát bất thường lĩnh vực nghiên cứu mới, đã, quan tâm vai trò quan trọng Hệ thống thơng Chương 4: Phát bất thường sử dụng mạng nơ ron FANN Vũ Thanh Bình 75 Cao học CNTT 2006-2008 tin Sau số hướng nghiên cứu mà tác giả dự định phát triển thêm:  Xây dựng Phần mềm Phát bất thường dựa mạng nơron  Thử nghiệm thuật toán xây dựng mạng nơ-ron, thuật toán học khác để tăng tỉ lệ Phát đúng, giảm tỷ lệ Cảnh báo sai Chương 4: Phát bất thường sử dụng mạng nơ ron FANN Vũ Thanh Bình 76 Cao học CNTT 2006-2008 Tài liệu tham khảo [1] Marina Thottan, Chuanyi Ji, Anomaly Detection in IP Networks, IEEE transactions on Signal processing, August 2003 [2] Nguyen Linh Giang, Anomaly detection by statistical analysis and neutral network, Department of Communications and Computer Networks, Hanoi University of Technology [3] Stefan Axelsson, Research in Intrusion-Detection System : A Survey, Chalmers University of Technology, Sweden 1998 [4] James A Hoagland, Practical automated detection of stealthy portscans, Journal of Computer Security 10 (2002) [5] Matthew Vincent Mahoney, A Machine Learning Approach to Detecting Attacks by Identifying Anomalies in Network Traffic, Florida Institute of Technology 2003 [6] Christopher Kruegel, Bayesian Event Classification for Intrusion Detection, University of California, Santa Barbara, 2003 [7] Intrusion Prevention Fundamental, Cisco Press 2006 [8] Matthew Tanase, One of These Things is not Like the Others: The State of Anomaly Detection [9] Network Security Architectures, Cisco Press, 2004 [10] Network Intrusion Detection, Third Edition, SANS 2006 [11] F Feather and R Maxion, Fault detection in an ethernet network using anomaly signature matching Chương 4: Phát bất thường sử dụng mạng nơ ron FANN Vũ Thanh Bình 77 Cao học CNTT 2006-2008 [12] M M Breunig, H.-P Kriegel, R T Ng, J Sander, LOF: Identifying Density-Based Local Outliers, Proceedings of the ACM SIGMOD Conference, 2000 [13] Hawkins D.M, Identification of Outliers, Chapman and Hall, London 1980 [14] M Ramadas, S O B Tjaden, Detecting Anomalous Network Traffic with Self-organizing Maps, 6th International Symposium on Recent Advances in Intrusion Detection, Pittsburgh, PA, USA, 2003, pp 36 – 54 [15] James Michael Stewart, Security+ Fast Pass, Sybex Press [16] J P Anderson, Computer security threat monitoring and surveillance, Technical Report, 1980 [17] S E Smaha, Haystack: An Intrusion Detection System, IEEE Fourth Aerospace Computer Security Applications Conference, Orlando, FL, 1988, pp 37 – 44 [18] Symantec Internet Security Threat Report – Symantec 03-2007 www.symantec.com [19] A K Ghosh, A Schwartzbart, M Schatz, Learning Program Behavior Profiles for Intrusion Detection, 1st USENIX Workshop on Intrusion Detection and Network Monitoring, Santa Clara, CA, USA, 1999 [20] J L Elman, Finding Structure in Time, Cognitive Science, vol 14, pp 179-211, 1990 [21] A Valdes and K Skinner, Adaptive Model-based Monitoring for Chương 4: Phát bất thường sử dụng mạng nơ ron FANN Vũ Thanh Bình 78 Cao học CNTT 2006-2008 Cyber Attack Detection, Recent Advances in Intrusion Detection Toulouse, France, 2000, pp 80—92 [22] Debra Anderson, Next-Generation Intrusion Detection Expert System (NIDES) – A summary, SRI-CSL-95-07, 1995 [23] Gerald Tripp, A finite-state-machine based string matching system for intrusion detection on high-speed networks, EICAR, 2005 [24] T Mitchell, Machine Learning and Data Mining, Communications of the ACM, Vol.42 (1999), No 11, pp 30—36 [25] U M Fayyad, G Piatetsky-Shapiro, P Smyth and R Uthurusamy: Advances in Knowledge Discovery and Data Mining, AAAI Press, Menlo Park, CA, (1996) [26] P Chapman, J Clinton, R Kerber, T Khabaza, T Reinartz, C Shearer, R.Wirth, CRISP-DM 1.0 Process and User Guide, http://www.crisp-dm.org, (2000) [27] Vipin Kumar, A Comparative Study of Anomaly Detection Schemes in Network Intrusion Detection, Minnesota University [28] Jiawei Han, Micheline Kamber, Data Mining: Concepts and Techniques, Morgan Kaufmann Publishers, 2001 [39] David Hand, Heikki Mannila, Padhraic, Principles of Data Mining, The MIT Press, 2001 [30] Matthew Vincent Mahoney, A Machine Learning Approach to Detecting Attacks by Identifying Anomalies in Network Traffic, Florida Institute of Technology, 2003 Chương 4: Phát bất thường sử dụng mạng nơ ron FANN VŨ THANH BÌNH 79 Cao học CNTT 2006-2008 Phụ lục Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ DoS (Denial of Service) mơ tả hành động ngăn cản người dùng hợp pháp khả truy cập sử dụng vào dịch vụ Nó bao gồm làm tràn ngập mạng, kết nối với dịch vụ… mà mục đích cuối máy chủ (Server) đáp ứng yêu cầu sử dụng dịch vụ từ máy trạm (Client) DoS làm ngưng hoạt động máy tính, mạng nội bộ, chí hệ thống mạng lớn Về chất thực DoS, kẻ công chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ… làm khả xử lý yêu cầu dịch vụ từ client khác Các cách thức công DoS Tấn công kiểu SYN flood Lợi dụng cách thức hoạt động kết nối TCP/IP, hacker bắt đầu trình thiết lập kết nối TPC/IP tới mục tiêu muốn cơng mà khơng gửi trả gói tin ACK, khiến cho mục tiêu ln rơi vào trạng thái chờ (đợi gói tin ACK từ phía yêu cầu thiết lập kết nối) liên tục gửi gói tin SYN ACK để thiết lập kết nối Một cách khác giả mạo địa IP nguồn gói tin yêu cầu thiết lập kết nối SYN trường hợp trên, máy tính đích rơi vào trạng thái chờ gói tin SYN ACK khơng thể đến đích địa IP nguồn khơng có thật Kiểu Phụ lục VŨ THANH BÌNH 80 Cao học CNTT 2006-2008 công SYN flood hacker áp dụng để cơng hệ thống mạng có băng thơng lớn hệ thống hacker Kiểu công Land Attack Kiểu công Land Attack tương tự SYN flood, hacker sử dụng IP mục tiêu cần công để dùng làm địa IP nguồn gói tin, đẩy mục tiêu vào vịng lặp vô tận cố gắng thiết lập kết nối với Kiểu cơng UDP flood Hacker gửi gói tin UDP echo với địa IP nguồn cổng loopback mục tiêu cần cơng máy tính mạng Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi nhận gói tin echo máy tính (hoặc mục tiêu với mục tiêu có cấu hình cổng loopback), khiến cho máy tính sử dụng hết băng thơng chúng, cản trở hoạt động chia sẻ tài nguyên mạng máy tính khác mạng Tấn công kiểu DDoS (Distributed Denial of Service) Đây cách thức công nguy hiểm Hacker xâm nhập vào hệ thống máy tính, cài đặt chương trình điều khiển từ xa, kích hoạt đồng thời chương trình vào thời điểm để đồng loạt công vào mục tiêu Với DDoS, hacker Phụ lục VŨ THANH BÌNH 81 Cao học CNTT 2006-2008 huy động tới hàng trăm chí hàng ngàn máy tính tham gia công thời điểm (tùy vào chuẩn bị trước hacker) "ngốn" hết băng thông mục tiêu nháy mắt Tấn công kiểu Smurf Attack Kẻ công lợi dụng nguồn tài nguyên mà nạn nhân cần sử dụng để cơng Những kẻ cơng thay đổi liệu tự chép liệu mà nạn nhân cần lên nhiều lần, làm CPU bị tải trình xử lý liệu bị đình trệ Kiểu công cần hệ thống quan trọng, mạng khuyếch đại Hacker dùng địa máy tính cần cơng cách gửi gói tin ICMP echo cho toàn mạng (broadcast) Các máy tính mạng đồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn cơng Kết máy tính khơng thể xử lý kịp thời lượng lớn thông tin dẫn tới bị treo máy Tấn công kiểu Tear Drop Trong mạng chuyển mạch gói, liệu chia thành nhiều gói tin nhỏ, gói tin có giá trị offset riêng truyền theo nhiều đường khác để tới đích Tại đích, nhờ vào giá trị offset gói tin mà liệu lại kết hợp lại ban đầu Lợi dụng điều này, hacker tạo nhiều gói tin có giá trị offset trùng lặp Phụ lục VŨ THANH BÌNH 82 Cao học CNTT 2006-2008 gửi đến mục tiêu muốn cơng Kết máy tính đích khơng thể xếp gói tin dẫn tới bị treo máy bị "vắt kiệt" khả xử lý Phụ lục ... dựa Phát bất thường Hình 3.2 Hoạt động IDS dựa phát bất thường Hình 3.3 Mơ hình hệ thống Phát xâm nhập bất thường thống kê xác suất Hình 3.4 Mơ hình IDS sử dụng FSM Hình 3.5 Hoạt động IDS sử dụng. .. thuật phát xâm nhập Kỹ thuật dựa bất thường Chương 2: Tổng quan Hệ thống phát xâm nhập trái phép Vũ Thanh Bình 29 Cao học CNTT 2006-2008 Chương Hệ thống IDS dựa phát bất thường Hệ thống phát bất thường. .. dựa phát bất thường Định nghĩa Bất thường mạng Trước hết phải xác định bất thường gì? Bất thường mạng (BTTM) thuật ngữ dùng để tình trạng hoạt động hệ thống mạng biến động ngồi trạng thái bình thường