Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 26 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
26
Dung lượng
1,18 MB
Nội dung
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - TRẦN THỊ NGÂN NGHIÊN CỨU PHÁT HIỆN XÂM NHẬP MẠNG DỰA TRÊN MẠNG BAYES CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ : 60.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2015 HÀ NỘI - 20 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: PGS.TS NGUYỄN LINH GIANG Phản biện 1: TS NGUYỄN ĐỨC DŨNG Phản biện 1: PGS TS ĐẶNG VĂN CHUYẾT Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn Thơng Vào lúc: 45 ngày 20 tháng năm 2015 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn Thơng MỞ ĐẦU Ngày phát xâm nhập đề tài quan trọng an ninh mạng hai nguyên nhân chủ yếu là: phổ biến máy tính mạng internet sống hàng ngày, việc sử dụng internet gia tăng cách nhanh chóng kéo theo gia tăng công mạng Số lượng cơng mạng tồn giới không ngừng tăng số lượng mức độ nguy hiểm chúng.Các cơng mạng gây hậu nghiêm trọng kinh tế, trị chí ảnh hưởng tới an ninh quốc gia Việc phát xử lý thủ phạm gây công khó khăn Giải pháp kỹ thuật phổ biến cho vấn đề phát sớm cơng mạng để từ có giải pháp thích hợp xử lý chúng Hầu hết hệ thống phát xâm nhập phát triển dựa tảng giải thuật thơng minh Artificial Intelligence (trí tuệ nhân tạo) Data mining (khai phá liệu) để nâng cao tỷ lệ phát xâm nhập giảm số lượng cảnh báo sai Đề tài luận văn “Nghiên cứu phát xâm nhập mạng dựa mạng Bayes” tập trung nghiên việc sử dụng mạng Bayes để phát công xâm nhập mạng Xây dựng mơ hình phát xâm nhập mạng dựa mạng bayes sử dụng phần mêm WEKA mơ hình thử nghiệm đánh giá liệu KDD DAPRA thiết kế để đánh giá IDS Luận văn gồm chương với nội dung sau: Chương - Tổng quan công xâm nhập mạng giới thiệu khái quát công xâm nhập mạng , phương pháp phát công xâm nhập mạng hệ thống phát xâm nhập Chương - Tổng quan mạng Bayes giới thiệu khái niệm mạng Bayes, cách xấy dựng mạng Bayes, suy diễn với mạng Bayes Mơ hình phát xâm nhập sử dụng mạng Bayes Chương - Cách thức triển khai mô hình IDS đề xuất chương với phần mềm Weka, thử nghiệm hệ thống với liệu KDD DAPRA thiết kế để đánh giá IDS đưa đánh giá hệ thống CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP 1.1 Khái niệm công xâm nhập mạng Tấn công, xâm nhập mạng hành vi công xâm nhập vào mạng để truy cập trái phép vào thông tin hệ thống, lạm dụng tài nguyên mạng Việc lạm dụng dẫn đến hậu khiến cho tài nguyên mạng trở nên không đáng tin cậy không sử dụng Hầu hết cơng xâm nhập mạng máy tính vượt qua lớp bảo mật hệ thống theo phương thức cụ thể nhằm phá vỡ thuộc tính bảo mật thông tin hệ thống 1.2 Các dạng công, xâm nhập mạng 1.2.1 Tấn công mật Tấn công vào mật dạng công nhằm đánh cắp mật thông tin tài khoản để lạm dụng Nếu kẻ cơng có tên người dùng mật đăng nhập vào tài khoản thực thao tác người dùng bình thường 1.2.2 Tấn công mã độc Mã độc tập mã thực thi tự chủ khơng địi hỏi can thiệp Hacker Để tân công, xâm nhập mạng, hacker thường sử dụng trợ thủ virus, worm, trojan, horse, backdoor Khi thực hiện, mã độc có thê gây tác hại như: Phá hoại hệ thống máy tính xóa, sửa, làm hỏng file, liệu; Phát tán thư rác; Lợi dụng máy tính bạn làm công cụ công hệ thống mạng máy tính khác; Đánh cắp thơng tin thơng tin địa mail, thông tin cá nhân, tài khoản ngân hàng, thẻ tín dụng,… 1.2.3 Tấn cơng từ chối dịch vụ Tấn công từ chối dịch vụ (Denial of Service - DoS) dạng công nhằm ngăn chặn người dùng hợp pháp truy nhập tài nguyên mạng 1.2.4 Tấn công giả mạo địa Tấn công giả mạo địa IP (IP Spoofing) : dạng cơng kẻ cơng sử dụng địa IP giả, thường để đánh lừa máy nạn nhân để vượt qua hàng rào kiểm soát an ninh 1.2.5 Tấn công nghe trộm Tấn công nghe trộm (Sniffing/Eavesdropping): dạng công sử dụng thiết bị phần cứng phần mềm, lắng nghe card mạng, hub router để bắt gói tin dùng cho phân tích sau 1.2.6 Tấn cơng kiểu người đứng Tấn công người đứng (Man in the middle) kiểu cơng lợi dụng q trình chuyển gói tin qua nhiều trạm (hop) thuộc mạng khác Kẻ công chặn bắt thông điệp bên tham gia truyền thông chuyển thông điệp lại cho bên 1.2.7.Tấn công bom thư thư rác Tấn công bom thư (Mail bombing) dạng công DoS kẻ công chuyển lượng lớn email đến nạn nhân Tấn công thư rác (Spam emails): kiểu công thực cách gửi email không mong muốn, thường email quảng cáo 1.2.8 Tấn công sử dụng cửa hậu Cổng hậu (Back doors Trap doors) thường lập trình viên tạo ra, dùng để gỡ rối test chương trình Cổng hậu thường cho phép truy nhập trực tiếp vào hệ thống mà không qua thủ tục kiểm tra an ninh thơng thường Do cổng hậu lập trình viên tạo để truy nhập hệ thống bất hợp pháp, trở thành mối đe doạ đến an ninh hệ thống 1.2.9 Tấn công kiểu Social Engineering Tấn công kiểu Social Engineering dạng công sử dụng kỹ thuật xã hội thuyết phục người dùng tiết lộ thông tin truy nhập thơng tin có giá trị cho kẻ công = 1.2.10 Tấn công kiểu phishing Tấn công kiểu Phishing dạng công Social Engineering lừa người dùng để lấy thông tin cá nhân, thơng tin tài khoản, thẻ tín dụng 1.2.11 Tấn cơng kiểu pharming Tấn công kiểu Pharming kiểu công vào trình duyệt người dùng thực sau 1.3 Các phương pháp phát công xâm nhập mạng 1.3.1 Phát công xâm nhập dựa vào dấu hiệu Phát công xâm nhập dựa dấu hiệu [2] trình so sánh kiện giám sát với dấu hiệu để xác định nguy cơng Trong dấu hiệu kiện, hành động tương ứng với mối đe dọa biết đến 1.3.2 Phát công xâm nhập dựa vào bất thường Phương pháp phát dựa bất thường [2] trình so sánh tập hành động coi bình thường hành vi giám sát để xác định sai lệch Nếu phát sai lệch đủ lớn tập hành vi bình thường tập hành vi tại, cảnh báo nguy cơng đột nhập gửi 1.3.3 Phát dựa phân tích trạng thái giao thức Phương pháp phát dựa phân tích trạng thái giao thức [2] trình so sánh hồ sơ hành vi giao thức tốt cho trạng thái giao thức với kiện giám sát để xác định sai lệch 1.4 Hệ thống phát xâm nhập 1.4.1 Khái niệm IDS (Intrusion Detection System- hệ thống phát xâm nhập) hệ thống phần cứng phần mềm có chức giám sát, phân tích lưu lượng mạng, hoạt động khả nghi cảnh báo cho hệ thống, nhà quản trị 1.4.2 Các thành phần chức IDS IDS bao gồm thành phần Thành phần thu thập thơng tin gói tin Thành phần phát gói tin Thành phần xử lý (phản hồi) 1.4.2.1 Thành phần thu thập gói tin Thành phần có nhiệm vụ lấy tất gói tin đến mạng Thơng thường gói tin có địa khơng phải card mạng bị card mạng huỷ bỏ card mạng IDS đặt chế độ thu nhận tất Tất gói tin qua chúng chụp, xử lý, phân tích đến trường thơng tin Bộ phận thu thập gói tin đọc thơng tin trường gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ 1.4.2.2 Thành phần phát gói tin Ở thành phần này, đóng vai trị lọc thơng tin loại bỏ thơng tin liệu khơng tương thích đạt từ kiện liên quan tới hệ thống bảo vệ, phát hành động nghi ngờ 1.4.2.3 Thành phần phản hồi Khi có dấu hiệu công thâm nhập, thành phần phát cơng gửi tín hiệu báo hiệu (alert) có cơng thâm nhập đến thành phần phản ứng Lúc thành phần phản ứng kích hoạt tường lửa thực chức nǎng ngǎn chặn công hay cảnh báo tới người quản trị 1.4.3 Phân loại hệ thống IDS 1.4.3.1 Network based IDS – NIDS NIDS thường bao gồm có hai thành phần logic : Bộ cảm biến – Sensor : đặt đoạn mạng, kiểm soát lưu thơng nghi ngờ đoạn mạng Trạm quản lý : nhận tín hiệu cảnh báo từ cảm biến thông báo cho điều hành viên 1.4.3.2 Host based IDS – HIDS Host-based IDS tìm kiếm dấu hiệu xâm nhập vào host cục bộ; thường sử dụng chế kiểm tra phân tích thơng tin logging Nó tìm kiếm hoạt động bất thường login, truy nhập file khơng thích hợp, bước leo thang đặc quyền không chấp nhận 1.4.4 Hệ thống phát xâm nhập theo dấu hiệu cho trước Hệ thống phát xâm nhập theo dấu hiệu cho trước (Misuse-based IDS) phân chia thành hai loại dựa sở liệu kiểu cơng, knowledgebased signature-based Hệ thống phát xâm nhập theo dấu hiệu cho trước với sở liệu knowledge-based lưu trữ thông tin dạng công Dữ liệu kiểm kê thu thập IDS để so sánh với nội dung sở liệu, thấy có giống tạo cảnh báo Sự kiện không trùng với dạng công coi hành động đáng 1.4.5 Hệ thống phát xâm nhập bất thường Hệ thống phát xâm nhập bất thường(Anomaly-based IDS) dựa hành động bất thường có ý đồ xấu, trước tiên hệ cần xây dựng mẫu hành động bình thường hệ thống xác định hành động bất thường hành động không phù hợp với mẫu hành động cho 1.5 Kết chương Chương đã giới thiệu phương pháp công xâm nhập mạng, phương pháp phát xâm nhập tổng quan hệ thống phát xâm nhập mạng cơng cụ hữu ích phát hiện, cảnh báo rủi ro cho tài nguyên thông tin hệ thống mạng Tiếp theo sau chương sâu nghiên cứu mạng Bayes đề xuất mơ hình phát xâm nhập sử dụng mạng Bayes CHƯƠNG : PHÁT HIỆN XÂM NHẬP MẠNG DỰA TRÊN MẠNG BAYES 2.1 Mạng Bayes 2.1.1 Một số khái niệm xác suất 2.1.1.1 Các tiên đề xác suất - ≤ P (A = a) ≤ với giá trị miền xác định biến A - P (true) = 1; P (false) = - P (A ˄ B) = P (A) + P (B) A B loại trừ tương hỗ Các tính chất: Ngồi tiên đề trên, xác suất có số tính chất quan trọng sau - P ( ̴A) = – P (A) ; ̴ A: phủ định A - P (A) = P (A ˄ B) + P (A ˄ ̴ B) ̴ B: phủ định B - P (A ˅ B) = P (A) + P (B) – P (A ˄ B) - ∑𝑎 𝑃(𝐴 = 𝑎) = , tổng lấy theo giá trị a thuộc miền giá trị A 2.1.1.2 Xác suất đồng thời Xác suất đồng thời kiện xác suất quan sát thấy đồng thời xẩy kiện ký hiệu P(𝑉1 = 𝑣1 , 𝑉2 = 𝑣2 , …, 𝑉𝑛 = 𝑣𝑛 ) Với toán xác suất, biết tất phân bố xác suất đồng thời tức xác suất tất tổ hợp giá trị biến liên quan ta tính xác suất mệnh đề liên quan tới toán xét 2.1.1.3 Xác suất có điều kiện Xác suất có điều kiện xác suất xẩy kiện A biết kiện B xẩy Xác suất có điều kiện tính sau: 𝑃(𝐴 | 𝐵) = 𝑃(𝐴 ∧ 𝐵) 𝑃(𝐵) Xác suất có điều kiện đóng vai trị quan trọng suy diễn xác suất có ý nghĩa sau: - Khi P (A | B) = 1: B chắn suy A - Khi P (A | B) = 0: B suy ̴ A - Có thể xem B chứng quan sát A kết luận Khi đó, P (A | B) xác suất niềm tin A quan sát thấy B 2.1.1.4 Tính độc lập xác suất Sự kiện A độc lập xác suất với kiện B nếu: P (A | B) = P (A) Tức biết giá trị B không cho ta thêm thơng tin B Tương đương với cơng thức trên, A độc lập với B, ta có: P (A, B) = P(A) P(B) P(B | A) = P(B) 2.1.2 Định lý Bayes Định lý Bayes cho phép tính xác suất xảy kiện ngẫu nhiên A biết kiện liên quan B Xác suất kí hiệu P(A| B) , đọc “xác suất A có B” Đại lượng gọi xác suất có điều kiện hay xác suất hậu nghiệm rút từ giá trị cho B phụ thuộc vào giá trị 𝑃(𝐴|𝐵) = 2.1.3 Khái niệm mạng Bayes 𝑃(𝐵|𝐴)𝑃(𝐴) 𝑃(𝐵) 10 cho bảng xác suất điều kiện Trong phần này, ta coi có biến ngẫu nhiên, việc xây dựng mạng bao gồm xây dựng cấu trúc bảng xác suất điều kiện Có cách tiếp cận để xây dựng mạng Bayes: - Cách 1: người (chuyên gia) thực dựa hiểu biết tốn xét 2.1.6 Suy diễn với mạng Bayes Suy diễn xác suất tìm xác suất hậu nghiệm hay xác suất điều kiện số biến Q (gọi biến truy vấn) có số chứng, tức biết giá trị số biến khác E1 , …, Em , (gọi biến chứng) Phần trình bày số kỹ thuật suy diễn cho trường hợp đơn giản 2.1.6.1.Suy diễn dựa xác suất đồng thời Phần giới thiệu xác suất điều kiện giải thích cách tính xác suất điều kiện biết đầy đủ xác suất đồng thời Cụ thể là, với biến truy vấn Q, biến chứng E, biến lại Y, xác suất điều kiện tính sau: P(Q | E) P(Q, E, Y) P(Q, E, Y) Y (2.6) Q ,Y Cách suy diễn thông qua xác suất đồng thời có nguyên tắc đơn giản nhiên địi hỏi tính tổng nhiều xác suất đồng thời Với số lượng biến ngẫu nhiên lớn, số lượng xác suất đồng thời cần tính tăng theo hàm mũ, dẫn tới độ phức tạp tính tốn lớn không thực tế 2.1.6.2 Độ phức tạp suy diễn mạng Bayes Đối với mạng có dạng liên kết đơn hay gọi polytree: Mạng liên kết đơn hay mạng polytree mạng hai nút tồn đường (hình 2.2.a) Trong trường hợp này, tồn thuật tốn cho phép suy diễn 11 xác với độ phức tạp tuyến tính (tỷ lệ thuận) với kích thước mạng Ở đây, kích thước mạng tính tổng số phần tử bảng xác suất điều kiện Trong trường hợp số nút cha giới hạn số, độ phức tạp tỷ lệ tuyến tính với số nút Đối với mạng khơng kiên kết đơn hay mạng đa liên kết: mạng mà hai nút có nhiều đường (hình 2.2.b) Trong trường hợp này, việc tính xác xác suất điều kiện tốn NP-đầy đủ thực mạng có kích thước lớn 2.1.6.3.Suy diễn cho trường hợp riêng đơn giản Phần giới thiệu cách suy diễn cho trường hợp riêng đơn giản nhất, trường hợp mạng liên kết đơn, suy diễn thực cho nút có liên kết trực tiếp với Có thể phân biệt hai loại suy diễn cho trường hợp đơn giản Trong trường hợp thứ nhất, biết giá trị nút cha, yêu cầu tính xác suất quan sát thấy giá trị nút Suy diễn dạng gọi suy diễn nhân suy diễn từ xuống Trường hợp thứ hai ngược lại, tức cho biết giá trị nút cần tính xác suất quan sát thấy giá trị nút cha Trường hợp gọi suy diễn chẩn đoán suy diễn lên Suy diễn chẩn đoán thường gặp toán cần xác định 2.1.6 4.Suy diễn phương pháp lấy mẫu Trong trường hợp mạng Bayes có cấu trúc phức tạp, việc tính xác xác suất điều kiện không thực tế độ phức tạp tính tốn lớn Một phương pháp suy diễn thường sử dụng việc tính tốn xấp xỉ xác suất điều kiện cách lấy mẫu Thực chất trình sinh giá trị biến theo phân bố 12 xác suất mạng, sau cộng lại tính tần suất quan sát được, dùng giá trị tần suất làm giá trị (xấp xỉ) xác suất cần tính 2.2 Phát xâm nhập mạng dựa mạng Bayes Sử dụng mạng Bayes Trong mơ hình IDS mạng Bayes đóng vai trị quan Nhiệm vụ mạng Bayes mơ hình phân loại để phân loại hành vi bình thường bất thường liệu lưu lượng truy cập mạng Mơ hình IDS sử dụng mạng Bayes thể hình 2.4 đưới Hình 2.4 Mơ hình IDS sử dụng mạng Bayes Mơ hình IDS gồm có thành phần chính: - Tiền xử lý: - Cấu trúc học mạng Bayesian (Xây dựng mơ hình Bayesian): - Phân tích suy luận: 13 2.3 Kết chương Chương vào nghiên cứu tổng quan mạng Bayes giới thiệu khái niệm mạng Bayes, cách xấy dựng mạng Bayes, suy diễn với mạng Bayes đề xuất mơ hình phát xâm nhập sử dụng mạng Bayes Tiếp theo chương vào cách thức triển khai mơ hình IDS đề xuất chương với phần mềm Weka, thử nghiệm hệ thống với liệu KDD DAPRA thiết kế để đánh giá IDS đưa đánh giá hệ thống 14 CHƯƠNG CÀI ĐẶT VÀ ĐÁNH GIÁ KẾT QUẢ 3.1 Giới thiệu phần mềm Weka 3.1.1 Giới thiệu Weka môi trường thử nghiệm khai phá liệu nhà khoa học thuộc trường Đại học Waitako, NZ, khởi xướng đóng góp nhiều nhà nghiên cứu giới Weka phần mềm mã nguồn mở, cung cấp công cụ trực quan sinh động cho người tìm hiểu khai phá liệu Weka cho phép giải thuật học phát triển tích hợp vào mơi trường Hệ thống viết java Nó chạy hầu hết tất hệ điều hành 3.1.2 Các môi trường - Simple CLI : giao diện đơn giản kiểu dịng lệnh ( MS-DOS) - Explorer : mơi trường cho phép sử dụng tất khả Weka để khám phá liệu - Experimenter: môi trường cho phép tiến hành thí nghiệm thực kiểm tra thống kế ( statistical tests) mơ hình máy học - KnowledgerFlow: mơi trường cho phép bạn tương tác đồ họa kiểu kéo/ thả để thiết kế bước(các thành phần) thí nghiệm 3.1.3 Mơi trường Explorer Trong mơi trường explorer có tab sau đầy: - Preprocess: - Classify: - Cluster: - Associate: - Select attributes: - Visualize: 15 3.1.3.1 Tiền xử lý liệu Dữ liệu nhập vào (imported) từ tập tin có khn dạng ARFF, CSV Dữ liệu đọc vào từ địa URL từ sở liệu thông qua JDBC 3.1.3.2 Các phân lớp: - Classifier - Cluster - Associate (Luật kếp hợp) 3.2 Bộ liệu KDD cup 99 Bộ liệu KDD cup 99 có nguồn gốc từ MIT’s Lincoln Lab Nó phát triển cho chương trình đánh giá phát cơng mạng Cơ quan Quản lý Nghiên cứu Dự Án Phòng Thủ Tiên tiến Bộ quốc phòng Mỹ (DARPA) năm 1998 coi liệu tiêu chuẩn cho việc đánh giá phát công mạngGiữ liệu huấn luyện KDD gồm có 10% tập liệu gốc tức có nghĩa khoảng 494.020 vectơ kết nối đơn, vecto có chứa 41 đặc trưng nhãn phân loại Mỗi vecto gán nhãn bình thường cơng, gán nhãn cơng se ghi tên cụ thể loại công Tập liệu huấn luyện bao gồm 19,69% kết nối gán nhãn bình thường 80,31% kết nối gán nhãn công Các kiểu công chia vào bốn loại chính: - Tấn cơng từ chối dịch vụ (Denial of Service - DoS) - R2L - Remote to Local - U2R - User to Root attack - Thăm dò (Probe) 3.3 Mơ hình IDS cho cơng DOS Mơ hình IDS cho cơng Dos gồm có ba thành phần tương tự mơ hình nêu phần 2.2 là: 16 - Tiền xử lý liệu - Mô hình mạng Bayes - Phân tích suy luận Mơ hình IDS thực cách sử dụng thư viện Java WEKA cho khai thác liệu máy học 3.3.1 Tiền xử lý liệu thể đạt cách phân tích tính chất cơng kiến thức miền bổ sung Các thuộc tính sau lựa chọn để xây dựng mạng Bayes cho cơng từ chối dịch vụ (Dos) Thuộc tính Tập liệu Loại công nghiên cứu cẩn thận thuộc tính đặc trưng cho loại công chọn:, rerror_rate, lable, flag, DOS diff_srv_rate, dst_host_diff_srv_rate, dst_host_srv_diff_host_rate, dst_host_srv_serror_rate, dst_host_rerror_rate, serror_rate, dst_host_srv_ rerror_rate (Mạng Bayesian hiển thị tồn thuộc tính) Bảng 3.1: Thuộc tính lựa chọn cho công Dos 3.3.2 Xây dựng mạng Bayes phân loại Các sơ đồ thiết kế mạng sau để phát công từ chối dịch vụ phân tán Thuật tốn tìm kiếm leo đồi (Các "Hillclimber" thuật tốn tìm kiếm) với ước lượng đơn giản thuật toán ước lượng với giá trị ngưỡng "0.5" Cuối cùng, sau nghiên cứu biểu đồ công kiến thức chuyên mơn miền phân tích cách sử dụng cơng cụ sau tập hợp tính lựa chọn để xây dựng mạng Bayesian DOS 17 Hình 3.3 Mạng Bayes cho cơng Dos 3.3.3 Phân tích suy luận Đánh giá hiệu phân lớp mạng Bayes tập liệu cho theo phương pháp Cross-validation Chạy mạng Bayes phân lớp theo phương pháp Cross-Validation với tham số Folds có giá trị 10 Kết phân loại thể hình 3.4 sau đây: Hình 3.4 Dự đốn mạng Bayes 18 3.4 Cài đặt thực nghiệm Thiết lập thử nghiệm cho mơ hình IDS cách sử cơng cụ KnowledgeFlow (KF) Weka Tạo mơ hình mạng Bayes sử dụng để phân loại cách sử dụng liệu thử nghiệm lớn Chuẩn hóa tập liệu huấn luyện kiểm tra số liệu thực thông qua tập liệu WEKA học không giám sát Thiết lập thử nghiệm mô sau Hình 3.5: Mơ hình cài đặt thực nghiệm 3.5 Đánh giá hoạt động mơ hình 3.5.1 Các độ đo dùng cho toán phân loại 3.5.1.1 Ma trận nhầm lẫn (Confusion Matrix) Hay gọi Contingency Table sử dụng toán phân loại 3.5.1.2 Precision recall Precision hay cịn gọi độ xác: tập tìm (phân loại) Precision lớp ci tính theo cơng thức: 19 Recall hay gọi độ bao phủ: số tồn tại, tìm (phân loại) Recall lớp ci tính theo cơng thức: 3.5.1.3 Độ đo F1 Tiêu chí đánh giá F1 kết hợp tiêu chí đánh giá Precision Recall F= 2× Precision × Recall × 𝑇𝑃 = Precision + Recall (2 × 𝑇𝑃) + 𝐹𝑃 + 𝐹𝑁 3.5.2.1 Đánh giá mơ hình IDS sử dụng mạng Bayes Tập liệu đánh giá gồm có 488735 trường hợp, trương hợp mơ tả 10 thuộc tính Số lượng nhãn phân loại 7, có loại phân loại công từ chối dịch vụ (Dos) gồm có back, neptune, teardrop, land, smurf, pod Nhãn lại để kêt nối bình thường (normal) Nhãn phân loại với số lượng cụ thể loại mô tả bảng 3.5 Bảng 3.5: Cấu trúc tập liệu đánh giá Loại công Số trường hợp Back 2203 Neptune 107201 Land 21 Smurf 280790 Pod 264 Normal 97277 Teardrop 979 Sau thử nghiệm với tập liệu kết thu bảng ma trận nhầm lẫn (bảng 3.6) bảng độ xác chi tiết phân lớp (bảng 3.7) 20 Bảng 3.6: ma trận nhầm lẫn Phân loại a b c d e f g a=back 2039 0 0 164 b=teardrop 961 0 0 18 c=nepture 107187 0 d=land 0 0 E=smurf 0 0 280761 23 F=pod 0 0 177 85 G=normal 205 18 97038 Bảng 3.7:Độ xác chi tiết phân lớp Loại công TP Rate FP Rate Precision Recall F-Measure back 0.926 0.02 0.908 0.926 0.917 teardrop 0.982 0.02 0.997 0.982 0.989 neptune 0.99 0.01 0.99 land 0.857 0.03 0.529 0.85 0.655 smurf 0.99 0.01 1 Pod 0.984 0.002 0.994 0.995 0.994 Normal 0.998 0.001 0.997 0.998 0.997 21 3.5.2.2 Đánh giá mơ hình IDS sử dụng số thuật tốn học máy khác Để đưa đánh giá cách xác hiệu phân loại mạng Bayes việc so sánh mạng Bayes với số thuật toán phân loại khác học máy cần thiết Hai thuật toán phổ biến thường sử dụng để phân loại học máy Naive Bayes định lựa chọn để so sánh với mạng Bayes Mơ hình IDS sử dụng thuật tốn Naive Bayes để phân loại kết mô tả hình 3.6 Hình 3.6: Kết phân loại mơ hình IDS sử dụng thuật tốn Naive Bayes 22 Mơ hình IDS sử dụng thuật tốn định để phân loại kết mô tả hình 3.7 Hình 3.6: Kết phân loại mơ hình IDS sử dụng thuật tốn định Trong ba thuật tốn nói mạng Bayes cho phân loại có độ xác cao Trong độ xác đạt sử dụng mạng Bayes lên đến 99.85% với hai thuật tốn Naive Bayes định độ xác đạt 81.6% 95.5% Các số để đánh giá tốn phân loại độ xác (Precision), độ bao phủ (Recall) độ đo F1 mạng Bayes cao hai thuật tốn cịn lại nhiều Từ ta thấy mạng Bayes kỹ thuật học máy hiệu sử dụng để phân loại hệ thống IDS Tuy nhiên liệu thử nghiệm dựa tập liệu KDD cup 99 tạo lập để chuyên đánh giá hệ thống IDS nên có khác biệt lớn so với liệu thực Vì 23 độ xác hệ thống IDS cao Nếu thay liệu thử nghiệm liệu thực độ xác giảm xuống n 3.6 Kết chương Weka phần mềm mã nguồn mở, cung cấp công cụ trực quan sinh động cho người tìm hiểu khai phá liệu Với tính tập cơng cụ tiền xử lý liệu, giải thuật học máy, khai phá liệu phương pháp thí nghiệm đánh giá Chương đưa cách thức triển khai mô hình IDS đề xuất chương với phần mềm Weka, thử nghiệm hệ thống với liệu KDD DAPRA thiết kế để đánh giá IDS đưa đánh giá hệ thống Bộ liệu KDD cup 99 có nguồn gốc từ MIT’s Lincoln Lab Nó phát triển cho chương trình đánh giá phát công mạng Cơ quan Quản lý Nghiên cứu Dự Án Phòng Thủ Tiên tiến Bộ quốc phòng Mỹ (DARPA) năm 1998 coi liệu tiêu chuẩn cho việc đánh giá phát cơng mạng 24 KẾT LUẬN Những đóng góp luận văn: Các hệ thống phát xâm nhập mạng nhằm phát cảnh báo sớm hành vi công tới hệ thống mạng giải pháp hữu hiệu đảm bảo an toàn cho hệ thống mạng Luận văn sâu nghiên cứu cứu mạng Bayes việc sử dụng mạng Bayes để phát công xâm nhập mạng, đồng thời xây dựng thử nghiệm mơ hình phát Cụ thể, luận văn thực nội dung sau: - Nghiên cứu tổng quan hệ thống phát xâm nhập - Nghiên cứu mạng Bayes Đưa mơ hình IDS sử dụng mạng Bayes - Cài đặt thử nghiệm mơ hình phát xâm nhập dựa mạng Bayes đề xuất sử dụng phần mêm Weka Xây dựng mạng Bayes cho công từ chối dịch vụ (Dos) Chạy thử nghiệm mơ hình với dự liệu KDD cup 99 cho độ xác cao việc phát tất công ghi liệu Hướng phát triển luận văn: Luận văn phát triển theo hướng nghiên cứu xây dựng hệ thống phát xâm nhập dựa mạng Bayes với sở liệu phân tán Tức mơ hình sử dụng kết hợp nhiều mạng Bayes kết hợp với để phân loại lưu lượng mạng Và tiến hành thử nghiệm hệ thống với liệu thực phát trực tuyến ... lệ phát xâm nhập giảm số lượng cảnh báo sai Đề tài luận văn ? ?Nghiên cứu phát xâm nhập mạng dựa mạng Bayes? ?? tập trung nghiên việc sử dụng mạng Bayes để phát cơng xâm nhập mạng Xây dựng mơ hình phát. .. Tiếp theo sau chương sâu nghiên cứu mạng Bayes đề xuất mơ hình phát xâm nhập sử dụng mạng Bayes 7 CHƯƠNG : PHÁT HIỆN XÂM NHẬP MẠNG DỰA TRÊN MẠNG BAYES 2.1 Mạng Bayes 2.1.1 Một số khái niệm xác... công xâm nhập mạng , phương pháp phát công xâm nhập mạng hệ thống phát xâm nhập Chương - Tổng quan mạng Bayes giới thiệu khái niệm mạng Bayes, cách xấy dựng mạng Bayes, suy diễn với mạng Bayes