BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI HOÀNG THANH TÙNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG DỰA THEO PHÁT HIỆN BẤT THƢỜNG LUẬN VĂN THẠC SỸ KỸ THUẬT CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN Hà Nội, 10/2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - HOÀNG THANH TÙNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG DỰA THEO PHÁT HIỆN BẤT THƢỜNG LUẬN VĂN THẠC SỸ KỸ THUẬT CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN Ngƣời hƣớng dẫn khoa học: PGS.TS Nguyễn Linh Giang Hà Nội, 10 – 2018 LỜI CAM ĐOAN Tôi xin cam đoan Luận văn “Hệ thống phát xâm nhập mạng dựa theo bất thƣờng” cơng trình nghiên cứu riêng tơi Các số liệu đƣợc cơng bố Luận văn hồn tồn trung thực chƣa đƣợc cơng bố cơng trình khoa học khác Tơi trích dẫn đầy đủ tài liệu tham khảo, cơng trình nghiên cứu có liên quan nƣớc quốc tế Tôi cam đoan không chép, sử dụng lại số liệu, kết nghiên cứu khác mà không ghi rõ tài liệu tham khảo Ngồi tài liệu tham khảo có liên quan luận văn kết nghiên cứu cá nhân tơi Hà Nội, tháng 11/2018 Hồng Thanh Tùng LỜI CẢM ƠN Trƣớc tiên, xin gửi lời cảm ơn sâu sắc tới PGS.TS Nguyễn Linh Giang, ngƣời tận tình bảo tơi từ bƣớc nghiên cứu hoàn thành luận văn Tôi xin chân thành cảm ơn thầy cô môn Truyền thông mạng Đại học Bách khoa Hà Nội hỗ trợ nhiều kiến thức chun mơn q trình thực hiện, hoàn thành đề tài Cuối cùng, xin gửi lời cảm ơn tới gia đình bạn bè, nguồn động viên tinh thần to lớn với tôi, cổ vũ tin tƣởng tơi Hà Nội, tháng 11/2018 Hồng Thanh Tùng MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC HÌNH VẼ DANH MỤC BẢNG BIỂU MỞ ĐẦU Lý chọn đề tài Mục đích nghiên cứu Nội dung Đối tƣợng phạm vi nghiên cứu Phƣơng pháp nghiên cứu CHƢƠNG 1: TỔNG QUAN PHÁT HIỆN XÂM NHẬP MẠNG DỰA TRÊN BẤT THƢỜNG 10 1.1 Tổng quan tình hình an tồn thơng tin mạng .10 1.2 Giải pháp phát xâm nhập mạng 12 1.3 Tổng quan phát xâm nhập mạng dựa bất thƣờng 14 CHƢƠNG 2: KỸ THUẬT PHÁT HIỆN BẤT THƢỜNG THEO CHUỖI THỜI GIAN 20 2.1 Các vấn đề cần giải kỹ thuật phát bất thƣờng theo chuỗi thời gian 20 2.2 Các kỹ thuật chuyển đổi liệu .21 2.3 Các kỹ thuật phát bất thƣờng .23 2.4 Các vấn đề thực tế trình giám sát, phát xâm nhập mạng 28 2.5 Lựa chọn kỹ thuật áp dụng .30 CHƢƠNG 3: ÁP DỤNG KỸ THUẬT PHÁT HIỆN BẤT THƢỜNG THEO CHUỖI THỜI GIAN TRONG PHÁT HIỆN XÂM NHẬP MẠNG 32 3.1 Yêu cầu hệ thống cần xây dựng 32 3.2 Các công cụ, giải pháp có để giải tốn thực tế 32 3.2.1 IBM Qradar 32 3.2.2 Splunk 34 3.2.3 Elastic stack (ELK) 34 3.2.4 Skyline 35 3.2.5 Graphite 37 3.3 Mơ hình triển khai phát xâm nhập mạng sử dụng kỹ thuật phát bất thƣờng theo chuỗi thời gian .39 CHƢƠNG 4: CÀI ĐẶT VÀ ĐÁNH GIÁ KẾT QUẢ THỬ NGHIỆM 42 4.1 Cài đặt hệ thống 42 4.2 Các kịch phát xâm nhập mạng dựa bất thƣờng 44 4.3 Dữ liệu thử nghiệm 44 4.4 Đánh giá kết thử nghiệm 46 KẾT LUẬN 50 Kết đạt đƣợc: .50 Hạn chế: .50 Hƣớng phát triển: 50 DANH MỤC TÀI LIỆU THAM KHẢO 52 DANH MỤC HÌNH VẼ Hình 1: Thống kê cơng DdoS vào quốc gia 11 Hình 2: Phân loại phƣơng pháp phát bất thƣờng 15 Hình 3: Dữ liệu điên tâm đồ bệnh nhân .16 Hình 4: Chuỗi thời gian tuần hoàn lặp lại 17 Hình 5: Chuỗi thời gian có chu kỳ lặp lại 18 Hình 6:Chuỗi thời gian có tính chu kỳ nhƣng không lặp lại .18 Hình 7: Chuỗi thời gian khơng có tính chu kỳ khơng lặp lại .19 Hình 8: Chuỗi thời gian nhiệt độ tháng năm .20 Hình 9: Ví dụ rời rạc hóa gán nhãn giá trị 22 Hình 10: Ngƣỡng bất thƣờng sử dụng giá trị sigma 26 Hình 11: Dữ liệu thu thập cơng DDos .29 Hình 12: Các thời điểm đăng nhập sai cao bât thường 29 Hình 13: Kiến trúc giải pháp SIEM IBM Qradar .33 Hình 14: Các thành phần hệ thống Elastic stack .34 Hình 15: Kiến trúc công cụ phát bất thƣờng thời gian thực skyline 35 Hình 16: Giao diện quan sát kết phân tích skyline 36 Hình 17: Kiến trúc giải pháp lƣu trữ liệu chuỗi thời gian Graphite 37 Hình 18: Mơ hình hệ thống phát xâm nhập mạng dựa bất thƣờng theo chuỗi thời gian 40 Hình 19: Sơ đồ triển khai mức logic hệ thống 42 Hình 20: Kết thử nghiệm phát cơng tài khoản .47 Hình 21: Kết thử nghiệm công Ddos máy chủ web .47 Hình 22: Kết thử nghiệm công Ping Of Death máy chủ 48 DANH MỤC BẢNG BIỂU Bảng 1: Chuỗi tạo thành dịch chuyển cửa sổ với giá trị bƣớc nhảy 25 Bảng 2: Cấu trúc lƣu trữ liệu Whisper 39 Bảng 3: Danh sách gói phần mềm cần cài đặt 44 MỞ ĐẦU Lý chọn đề tài Trong thời đại internet phát triển nhƣ việc đảm bảo an tồn thơng tin việc làm vô cần thiết cá nhân, tổ chức, quốc gia Hiện nhờ có phát triển bùng nổ công nghệ liệu lớn (big data) việc thu thập liệu mạng, liệu hoạt động ứng dụng, ngƣời dùng, thiết bị mạng … trở nên dễ dàng Các liệu đƣợc lƣu trữ xếp theo thời gian vận hành thực tế Do việc phát công dựa bất thƣờng cách khai thác liệu hoạt động hệ thống theo chuỗi thời gian vô cần thiết khả thi với điều kiện Đây hƣớng nghiên cứu khả quan ứng dụng cao thực tiễn Phát xâm nhập mạng (Network intrusion dectection) nhánh nghiên cứu quan trọng an tồn thơng tin mạng (network security) Có hai phƣơng pháp đƣợc sử dụng để phát xâm nhập mạng là: phát dựa hành vi không hợp pháp (misuse detection) phát dựa bất thƣờng (anomaly detection) Phát dựa hành không hợp pháp đƣợc thực cách định nghĩa các mẫu/dấu hiệu công biết Trong phát cơng dựa theo bất thƣờng có khả phát cơng chƣa biết Có nhiều kĩ thuật đƣợc sử dụng để phát bất thƣờng: sử dụng học máy, tuân thủ sách, thống kê Việc phát bất thƣờng dựa chuỗi thời gian (time series) nhánh nghiên cứu đƣợc áp dụng nhiều ngành dựa liệu thu thập lớn lƣu trữ theo thời gian thực Vì vậy, tơi chọn nghiên cứu đề tài “Hệ thống phát xâm nhập mạng dựa bất thƣờng”, với mục đích đƣa đƣợc cơng cụ phát cơng hệ thống mạng máy tính Mục đích nghiên cứu - Nghiên cứu vấn đề lý thuyết liên quan tới đề tài (các phƣơng pháp phát bất thƣờng phổ biến, kỹ thuật công hệ thống mạng, kỹ thuật lƣu trữ xử lý liệu lớn, giải thuật sử dụng để cài đặt); - Mơ hình hóa tốn “Phát xâm nhập mạng dựa theo phát bất thường” đề xuất mơ hình giải dựa phát bất thƣờng theo chuỗi thời gian - Đánh giá kết hệ thống xây dựng thông qua kịch thử nghiệm Nội dung Nội dung luận văn tập trung vào việc lý giải cần xây dựng hệ thống phát công mạng dựa phát bất thƣờng theo chuỗi thời gian Thông qua kỹ thuật phát bất thƣờng, luận văn đƣa thành phần cần có hệ thống phát xâm nhập mạng bất thƣờng mơ tả q trình cài đặt hệ thống thực tế Cuối phần xây dựng kịch thử nghiệm để đánh giá hệ thống xây dựng Đối tƣợng phạm vi nghiên cứu Đối tƣợng nghiên cứu luận văn nghiên cứu phƣơng pháp phát bất thƣờng liệu chuỗi thời gian Để đạt đƣợc kết nghiên cứu, tiến hành thực nội dung nghiên cứu sau: - Các phƣơng pháp thu thập, xử lý liệu chuỗi thời gian - Các kỹ thuật phát chuỗi bất thƣờng liệu chuỗi thời gian - Các kỹ thuật công mạng khả phát phát bất thƣờng theo chuỗi thời gian - Các công cụ thu thập, lƣu trữ phân tích liệu chuỗi thời gian Dữ liệu chuỗi thời gian có hai hay nhiều chiều Phạm vi nghiên cứu luận văn liệu chuỗi thời gian có hai chiều, có chiều thời gian Graphite làm chức thu thập module đơn giản, đủ tốc độ để đáp ứng nhu cầu lƣu trữ liệu - Khối phân tích liệu chuỗi thời gian: Đây khối quan trọng hệ thống có nhiệm vụ phát điểm liệu bất thƣờng từ nhật ký liệu thu thập chuỗi thời gian thu đƣợc Khối phải có tốc độ tính tốn đủ lớn để xử lý lúc nhiều luồng liệu chuỗi thời gian, đảm bảo tính thời gian thực cho hệ thống - Khối cảnh báo: Khối thực ghi nhật ký gửi cảnh báo nhận đƣợc điểm từ khối phân tích đƣa - Khối giao diện: Khối có nhiệm vụ hiển thị biểu đồ liệu chuỗi thời gian, thể điểm bất thƣờng từ liệu thu đƣợc để ngƣời sử dụng theo dõi phân tích sơ kết phân tích Trong đề tài tơi sử dụng giải pháp Skyline tính đơn giản, dễ dàng chỉnh sửa cần thiết, việc triển khai không phức tạp Công cụ có đủ thành phần phân tích, cảnh báo giao diện hiển thị Nhƣ từ việc tìm hiểu yêu cầu chức nhƣ nghiên cứu cơng cụ có tơi đề xuất mơ hình hệ thống để tiến hành thử nghiệm phát xâm nhập mạng dựa bất thƣờng theo chuỗi thời gian 41 CHƢƠNG 4: CÀI ĐẶT VÀ ĐÁNH GIÁ KẾT QUẢ THỬ NGHIỆM 4.1 Cài đặt hệ thống Việc cài đặt hệ thống tƣơng đối phức tạp sử dụng nhiều công cụ mã nguồn mở Các thành phần cần cài đặt bao gồm: Hệ thống đƣợc triển khai hệ thống ảo hóa, sử dụng máy ảo để thực thành phần hệ thống Sơ đồ triển khai nhƣ sau: Thu thập liệu: 2GB Ram 2xCPU 192.168.13.129 Lưu trữ liệu: -2GB Ram - 2xCPU Logstash 192.168.13.130 Graphite app Phân tích cảnh báo: - 4GB Ram - 4xCPU 192.168.13.131 Skyline Hình 19: Sơ đồ triển khai mức logic hệ thống + Máy 192.168.13.129: Máy ảo có cấu hình 2GB Ram, 2xCPU cài đặt thành phần thu thập nhật ký logstash + Máy 192.168.13.130: Máy ảo có cấu hình 2GB Ram, 2xCPU cài đặt công cụ lƣu trữ liệu chuỗi thời gian Graphite + Máy 192.168.13.131: Máy ảo có cấu hình 3GB Ram, 4xCPU cài cơng cụ phân tích phát bất thƣờng theo thời gian thực skyline Các máy kết nối với qua switch chung có dải địa private 192.168.13.0/24 Triển khai cài đặt thử nghiệm thực tế: 42 Toàn hệ thống đƣợc triển khai mơ hình ảo hóa, sử dụng giải pháp ảo hóa cơng cụ Vmware ESxi Vmware Hệ thống ảo hóa Vmware cho phép ảo hóa phần cứng hỗ trợ nhiều hệ điều hành tảng Windows, Linux… cho phép thiết lập hệ thống mạng đầy đủ Phần cứng dùng thử nghiệm: Toàn hệ thống đƣợc cài đặt máy vật lý có cấu hình nhƣ sau:  Ram 96GB  Chip Intel Xenon( R ) E5-2640 v3 2.6GHz 16 lõi  HDD 900 GB  Hệ điều hành ESXi-5.5 Các công cụ cần thiết để cài đặt:  Bộ cài Vmware ESXi version 5.5 Phiên miễn phí cho phép dùng thử 90 ngày  Các máy chủ ảo sử dụng hệ điều hành Ubuntu  Các phần mềm dịch vụ hệ thống: gói phần mềm ghi phía Danh mục gói phần mềm cần cài đặt: STT Tên Python 2.7 Logstash JetBrains PyCharm Nhà cung cấp Python.org https://www.elastic co/products/logstash Mục đích sử dụng 43 phát triển Ngơn ngữ lập trình C Bộ thu thập liệu Java, Ruby Chƣơng trình dịch JetBrains Ngơn ngữ Graphite, https://graphite.read carbon thedocs.io/en/latest/ graphite web skyline install.html https://github.com/e Công cụ lƣu trữ liệu chuỗi thời gian Bộ công cụ phát bất thƣờng tsy/skyline Python Python Bảng 3: Danh sách gói phần mềm cần cài đặt Danh sách cơng cụ cần có để triển khai hệ thống thử nghiệm Trong trình cài đặt thực tế cần cài thêm số thƣ viện bổ sung Các hệ điều hành dịch vụ Linux phần mềm dùng thử miễn phí 4.2 Dữ liệu thử nghiệm Dữ liệu thu thập công tài khoản ngƣời dùng Dữ liệu phát cơng dị qt mật khẩu: Nguồn từ github Elastic, dùng thử nghiệm module phát công bruce-force mật hệ thống Nguồn liệu: https://github.com/elastic/examples/blob/master/Machine%20Learning/Security%2 0Analytics%20Recipes/suspicious_login_activity/data/auth.log Sau trích liệu ngày có cơng ta có liêu gồm: - 1200 dòng nhật ký hệ thống - 173 lần đăng nhập sai - 147 lần đăng nhập sai đến từ địa IP - Thời gian đăng nhập sai nhiều từ lúc 15:56:30 đến 16:01:35 ngày sau tin tặc đăng nhập thành công 4.3 Các kịch phát xâm nhập mạng dựa bất thƣờng Kịch 1: Phát công bruce-force tài khoản máy chủ Linux: Tin tặc thực công dò quét tài khoản máy chủ hệ thống cách liên tục gửi truy vấn đăng nhập ssh từ xa lên máy chủ Máy chủ nhận đƣợc yêu cầu 44 truy cập từ xa nhƣng sai mật log lại hành vi vào nhật ký máy chủ Sau máy chủ gửi liệu nhật ký sang cho máy chủ thu thập nhật ký có địa IP 192.168.13.129 Sau phân tích lọc liệu máy chủ gửi liệu sang cho máy chủ lƣu trữ cài graphite Tại liệu đƣợc phân phối sang cho máy chủ phân tích có cài skyline thực phân tích hiển thị điểm bất thƣờng liệu thu đƣợc Trong kịch thử nghiệm này, liệu đƣợc mô từ tập liệu mẫu mục 4.3.1 Dữ liệu đăng nhập sai có dạng nhƣ sau: Mar 30 15:54:47 authentication ip-10-77-20-248 failure; sshd[14376]: logname= uid=0 pam_unix(sshd:auth): euid=0 tty=ssh ruser= rhost=24.151.103.17 user=elastic_user_0 Mar 30 15:54:49 ip-10-77-20-248 sshd[14376]: Failed password for elastic_user_0 from 24.151.103.17 port 57460 ssh2 Mar 30 15:54:49 ip-10-77-20-248 sshd[14376]: Connection closed by 24.151.103.17 port 57460 [preauth] Ở cấu hình logstash lọc đếm nhật ký có nội dung “Failed password for” sau gửi số lƣợng kiện sang cho hệ thống lƣu trữ graphite Cấu hình mặc định logstash tiến hành gửi số lần/phút giá trị đo Kịch 2: Phát công từ chối dịch vụ lớp ứng dụng: Tại hệ thống thử nghiệm bố trí máy chủ dịch vụ web có địa IP 192.168.1.3 sử dụng apache2 làm máy chủ dịch vụ Sử dụng công cụ liên tục kết nối vào máy chủ để công Thu thập nhật ký webser máy chủ, phát số lƣợng kết nối tăng đột biến Việc tăng đột biến số lƣợng kết nối dấu hiệu đáng ngờ công từ chối dịch vụ 45 Dữ liêu sử dụng: Đây kịch công theo thời gian thực lên website thử nghiệm hệ thống cách viết kịch tự động liên tục kết nối đến hệ thống máy chủ Công cụ công sử dụng Kali Linux Kịch 3: Phát công DOS máy chủ: Ping of Death kỹ thuật công làm tải hệ thống mạng cách gửi gói tin ICMP có kích thƣớc vƣợt q 65.536 byte đến mục tiêu Do kích thƣớc lớn kích thƣớc cho phép gói tin IP nên đƣợc chia nhỏ gửi phần đến máy đích Khi đến mục tiêu, đƣợc ráp lại thành gói tin hồn chỉnh, có kích thƣớc mức cho phép, gây tràn nhớ đệm bị treo Bằng cách gửi gói tin ICMP Type với mã số 3, hacker gây tình trạng từ chối dịch vụ (DoS) cách làm tải CPU số loại tƣờng lửa định máy chủ, cho dù chất lƣợng đƣờng Internet Thực công gửi liên tục gửi gói tin liệu lớn đến máy chủ dịch vụ 192.168.1.3 Trên máy có cài phần mềm UFW làm tƣờng lửa hệ thống Tiến hành thu thập liệu từ tƣờng lửa chuyển sang hệ thống phân tích Sau ghi nhận lƣu lƣợng tăng đột biến đƣa cảnh bảo công từ chối dịch vụ 4.4 Đánh giá kết thử nghiệm Ở kịch thứ kịch thứ phát công đăng nhập không thành công vào hệ thống với số lần tăng đột biệt hệ thống đƣợc điểm liễu bất thƣờng Các điểm nằm phía đƣờng màu đỏ thể điểm liệu bất thƣờng 46 Hình 20: Kết thử nghiệm phát công tài khoản Ở kịch thứ hai hệ thống đƣợc điểm bất thƣờng liệu thời gian thu thập tiến hành công vào máy chủ web công cụ tự động Ở ghi nhận tăng đột biến số lƣợng kết nối đến máy chủ thời gian ngắn Hình 21: Kết thử nghiệm công Ddos máy chủ web Kịch thứ sau thực công hệ thống phát đƣợc cảnh báo Có thể thấy đồ thị sau thời gian bị công hệ thống ngừng hoạt động khơng ghi nhận thêm liệu 47 Hình 22: Kết thử nghiệm công Ping Of Death máy chủ Nhận xét kết quả: Việc phát điểm liệu có giá trị cao bất thƣờng có kết tƣơng đối xác Thời điểm ghi nhận cảnh báo tƣơng đối gần với thời điểm công Tuy nhiên cơng khơng có tính chu kỳ Các điểm bất thƣờng hầu hết giá trị ngoại lai có độ lệch chuẩn lớn Việc thử nghiệm với mẫu cơng có tính chu kỳ thƣờng hiệu khơng cao phát khơng xác Khi số điểm đƣợc tính bất thƣờng nhiều gần nhƣ điều tra hệ thống nhật ký để xác thực lại cảnh báo có hay khơng Đây yếu điểm giải thuật 3-sigma đƣợc cài đặt module phân tích phát bất thƣờng Về hiệu hệ thống: Mặc dù hệ thống có nhiều thành phần nhƣng nhờ triển khai nhiều máy khác nên đảm bảo đƣợc yêu cầu chức Độ trễ trình vận hành thử nghiệm mức chấp nhận đƣơc Tuy nhiên nhƣ với lƣợng liệu chuỗi thời gian triển khai thực tế cần phải nâng cấp số lõi cho máy chủ làm nhiệm vụ phân tích khối lƣợng tính tốn mà 48 module phải đảm nhiệm nhiều Việc mở rộng cân tải với hệ thống cần đƣợc xem xét chỉnh sửa Về yêu cầu chức năng: Tuy hệ thống có hỗ trợ giao diện nhƣng cịn đơn giản chƣa thể tích hợp vào hệ thống điều tra mở rộng phát bất thƣờng nghi ngờ công thực tế Điều khắc phục nhƣ tích hợp cảnh báo đƣa từ hệ thống vào hệ thống SIEM để tiếp tục phân tích chuyên sâu 49 KẾT LUẬN Kết đạt đƣợc: Luận văn nêu đƣợc vấn đề an ninh mạng cấp bách Việc hệ thống công nghệ thơng tin ln đặt tình trạng nguy hiểm bị cơng lúc cà tử nguyên nhân bên nhƣ tin tặc bên ngồi Từ nêu bật đƣợc mục đích, vai trị việc xây dựng hệ thống phát xâm nhập mạng dựa bất thƣờng theo chuỗi thời gian Trong nội dung luận văn thực đƣợc nội dung nhƣ sau: - Nghiên cứu phƣơng pháp phát bất thƣờng theo liệu chuỗi thời gian: vấn đề cần giải việc phát bất thƣờng, kỹ thuật chuyển đổi liêu, kỹ thuật phát bất thƣờng theo chuỗi thời gian - Tìm hiểu cơng cụ, mơ hình hệ thống có từ đề xuất mơ hình triển khai thực tế - Lựa chọn kết hợp cơng cụ mã nguồn mở có để xây dựng hệ thống - Đƣa kịch thử nghiệm, cài đặt hệ thống thực thử nghiệm tập liệu mẫu, đồng thời đánh giá kết thu đƣợc - Đánh giá kết đạt đƣợc Hạn chế: Mặc dù đạt đƣợc số kết định nhiên đề tài số hạn chế nhƣ sau: - Chƣa xử lý đƣợc toán phát chuỗi bất thƣờng, tuần hồn - Các kịch thử nghiệm cịn chƣa đa dạng - Việc triển khai hệ thống thực điểm mạng, chƣa xây dựng đƣợc hệ thống giám sát theo mơ hình phân tán - Chƣa thực đƣợc theo dõi đƣợc liệu mức tuần, tháng - Xây dựng giao diện hoàn chỉnh để đáp ứng đƣợc đầy đủ yêu cầu tìm kiếm mở rộng Hƣớng phát triển: 50 - Tiếp tục hoàn chỉnh hệ thống cho phép phân tích liệu chuỗi thời gian với thời gian lâu - Tích hợp kết phát đƣợc với giải pháp phân tích quản lý nhật ký SIEM - Tối ƣu hiệu suất hoạt động hệ thống, cho phép mở rộng quy mô lớn 51 DANH MỤC TÀI LIỆU THAM KHẢO [1] Chandola, V., Banerjee, A and Kumar, V., 2009 Anomaly detection: A survey ACM computing surveys , 41(3), p.15 [2] Dorothy E Denning An intrusion-detection model Software Engineering, IEEE Transactions on, (2):222–232, 1987 [3] Aleksandar Lazarevic, Levent Ertoz, Vipin Kumar, Aysel Ozgur, and Jaideep Srivastava A comparative study of anomaly detection schemes in network intrusion detection Proc SIAM, 2003 [4] Pedro Garcia-Teodoro, J Diaz-Verdejo, Gabriel Maci´a-Fern´andez, and Enrique V´azquez Anomaly-based network intrusion detection: Techniques, systems and challenges computers & security, 28(1):18–28, 2009 [5] Gupta, M., Gao, J., Aggarwal, C.C and Han, J., 2014 Outlier detection for temporal data: A survey IEEE Transactions on Knowledge and Data Engineering, 26(9), pp.2250-2267 [6] Peter J Huber and Elvezio Ronchetti Robust statistics Wiley, Hoboken, N.J., 1981 [7] Nguyen Linh Giang, Le Tuan Anh, Pham Duy, Tran Duc Quy, Anomaly detection by statistical analysis and neural networks, RIFV2007, Proceedings of RIFV2007, Addendum contribution, pp 137-141 2007 [8] Skyline an open-source framework for real-time anomaly detection using Python, https://github.com/etsy/skyline/wiki [9].Splunk document detecting anomalies http://docs.splunk.com/Documentation/Splunk/7.2.0/Search/Detectinganomalies [10] Graphite document guide https://graphite.readthedocs.io/en/latest/index.html [11] IBM Security QRadar SIEM V7.3.0 Product Documentation https://www-01.ibm.com/support/docview.wss?uid=swg27049537 52 [12] Logstash configure guide https://www.elastic.co/guide/en/logstash/current/setup-logstash.html [13] Jordan Hochenbaumn, Owen S Vallis, Arun Kejariwal Twitter Inc Automatic Anomaly Detection in the Cloud Via Statistical Learning, 2014 [14] Sheng Zhang, Amit Chakrabarti, James Ford, and Fillia Makedon Attack detection in time series for recommender systems In KDD ’06: Proceedings of the 12th ACM SIGKDD international conference on Knowledge discovery and data mining, pages 809–814, New York, NY, USA, 2006 ACM [15] Manuele Bicego and Vittorio Murino Investigating hidden markov models’ capabilities in 2d shape classification IEEE Trans Pattern Anal Mach Intell., 26(2):281–286, 2004 [16] Haibin Cheng, Pang-Ning Tan, Christopher Potter, and Steven Klooster Detection and characterization of anomalies in multivariate time series In Proceedings of the ninth SIAM International Conference on Data Mining, 2009 [17] Junshui Ma and Simon Perkins Online novelty detection on temporal sequences In KDD ’03: Proceedings of the ninth ACM SIGKDD international conference on Knowledge discovery and data mining, pages 613–618, New York, NY, USA, 2003 ACM [18] Qingtao Wu and Zhiqing Shao Network anomaly detection using time series analysis In Proceedings of the Joint International Conference on Autonomic and Autonomous Systems and International Conference on Networking and Services, page 42, Washington, DC, USA, 2005 IEEE Computer Society [19] Li Wei, Nitin Kumar, Venkata Lolla, Eamonn J Keogh, Stefano Lonardi, and Chotirat Ratanamahatana Assumption-free anomaly detection in time series In Proceedings of the 17th international conference on Scientific and statistical database management, pages 237–240, Berkeley, CA, US, 2005 Lawrence Berkeley Laboratory 53 [20] B Pincombe Anomaly detection in time series of graphs using arma processes ASOR BULLETIN, 24(4):2–10, 2005 [21] Elastic Stack and Product Documentation, https://www.elastic.co/learn [22] Varun Chandola Anomaly detection for symbolic sequences and time series data : Ph.d dissertation [23] M Basseville, M Abdelghani, and A Benveniste Subspace-based fault detection algorithms for vibration monitoring Automatica, 36:101–109, 2000 [24] Stephanie Forrest, Christina Warrender, and Barak Pearlmutter Detecting intrusions using system calls: Alternate data models In Proceedings of the 1999 IEEE ISRSP, pages 133–145, Washington, DC, USA, 1999 IEEE Computer Society [25] Shyam Boriah Time series change detection: Algorithms for land cover change : Ph.d dissertation [26] Manabu Kano, Shinji Hasebea, Iori Hashimotoa, and Hiromu Ohno A new multivariate statistical process monitoring method using principal component analysis Computers & Chemical Engineering, 25(7–8):1103– 1113, 2001 [27] Ling Huang, Xuanlong Nguyen, Minos Garofalakis, Michael Jordan, Anthony Joseph, and Nina Taft In-network pca and anomaly detection Technical support, U.C Berkeley, Berkeley, CA, 01/2007 2007 [28] Ashok N Srivastava Discovering system health anomalies using data mining techniques In Proceedings of 2005 Joint Army Navy NASA Airforce Conference on Propulsion, 2005 [29] Jamal Ameen and Rawshan Basha Mining time series for identifying unusual subsequences with applications In ICICIC ’06: Proceedings of the First International Conference on Innovative Computing, Information and Control, pages 574–577, Washington, DC, USA, 2006 IEEE Computer Society 54 [30] Ninad Thakoor and Jean Gao Hidden markov model based 2d shape classification, 2005 [31] Vladimir N Vapnik The nature of statistical learning theory Springer- Verlag New York, Inc., New York, NY, USA, 1995 [32] David Moore and George McCabe Introduction to the Practice of Statistics 5th edition, 2004 [33] H Zare Moayedi and M.A Masnadi-Shirazi Arima model for network traffic prediction and anomaly detection International Symposium on Information Technology, 4:1–6, Aug 2008 [34] Việt Nam thuộc top 10 quốc gia bị công DDoS nhiều https://congnghe.tuoitre.vn/viet-nam-thuoc-top-10-quoc-gia-bi-tan-congddos-nhieu-nhat-20180226095210865.htm 55 ... chuyên gia an ninh mạng 1.2 Giải pháp phát xâm nhập mạng Hệ thống phát xâm nhập – IDS hệ thống giám sát lƣu lƣợng mạng nhằm phát hiện tƣợng bất thƣờng, hoạt động trái xâm nhập phép hệ thống IDS phân... THUẬT PHÁT HIỆN BẤT THƢỜNG THEO CHUỖI THỜI GIAN TRONG PHÁT HIỆN XÂM NHẬP MẠNG 3.1 Yêu cầu hệ thống cần xây dựng Để thực phát xâm nhập mạng dựa theo phân tích chuỗi thời gian nhƣ cần hệ thống. .. giám sát, tƣờng lửa, diệt virus tạo thành hệ thống bảo mật hoàn chỉnh Phân loại IDS (hệ thống phát xâm nhập) - NIDS: hệ thống phát hện xâm nhập mạng Hệ thống tập hợp gói tin để phân tích sâu bên