BỘ GIÁO DỤC VÀ ĐÀO TẠO TẬP ĐỒN BƯU CHÍNH VIỄN THƠNG VIỆT NAM HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN ĐỨC THIỆN XÂY DỰNG MƠ HÌNH PHÁT HIỆN ĐỘT NHẬP BẤT THƯỜNG DỰA TRÊN HỌC MÁY CHUYÊN NGÀNH : TRUYỀN DỮ LIỆU VÀ MẠNG MÁY TÍNH MÃ SỐ: 60.48.15 TÓM TẮT LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI - 2010 Luận văn hoàn thành tại: Học viện Cơng nghệ Bưu Viễn thơng Tập đồn Bưu Viễn thơng Việt Nam Người hướng dẫn khoa học: TS HOÀNG XUÂN DẬU……………………… Phản biện 1: …………………………………………………… …………………………………………………… Phản biện 2: …………………………………………………… …………………………………………………… Luận văn bảo vệ trước hội đồng chấm luận văn Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng Chương TỔNG QUAN AN TOÀN MẠNG Từ đời mạng Internet mở sóng xu hướng phát triển xã hội, phát triển vũ bão thời đại công nghệ thông tin truyền thông Song song với tiến lợi ích mang lại, Internet khơng gian rộng mở cho kẻ xấu lợi dụng thực vụ công, đột nhập, truy cập trái phép vào hệ thống máy tính mạng người dùng Vì thế, bên cạnh việc phát triển dịch vụ ứng dụng mạng, an toàn, bảo mật mạng vấn đề quan trọng cần quan tâm nghiên cứu thường xuyên Chương trình bày tổng quan an tồn mạng, số hình thức công, đột nhập phổ biến biện pháp phịng chống 1.1 AN TỒN MẠNG VÀ CÁC U CẦU CƠ BẢN Sự bùng nổ công nghệ thông tin ảnh hưởng sâu rộng tới lĩnh vực sống Đặc biệt với phát triển Internet, nhiều dịch vụ trực tuyến phát triển mạnh mẽ dịch vụ thương mại điện tử, toán trực tuyến… Internet mang lại cho phép người truy cập, khai thác chia sẻ thơng tin, vấn đề an tồn mạng bảo mật thông tin thách thức lớn Thông tin trao đổi qua mạng máy tính khơng bảo vệ, kẻ đột nhập, truy nhập trái phép đánh cắp, thay đổi thông tin làm ảnh hưởng khơng tới lợi ích cá nhân mà cịn xâm hại đến lợi ích quốc gia Một hệ thống an ninh mạng phải đảm bảo thuộc tính sau thơng tin hệ thống:  Tính xác thực (Authentication)  Phân quyền (Authorization)  Tính bí mật (Confidentiality)  Tính tồn vẹn liệu (Data Integrity)  Tính khơng thể phủ nhận (Non-repudiation)  Tính sẵn dùng (Availability )  Kiểm sốt truy nhập (Access Control) 1.2 CÁC DẠNG TẤN CÔNG VÀ ĐỘT NHẬP TRÊN MẠNG Tấn công (attack), hay đột nhập (intrusion) lên hệ thống vi phạm sách an tồn bảo mật hệ thống Mặc dù công, đột nhập ngày trở nên phức tạp, tinh vi chia chúng thành số dạng công đột nhập thường gặp Các dạng công đột nhập thường gặp bao gồm: 1.2.1 Các phần mềm phá hoại Có loại phần mềm phá hoại: Phần mềm phá hoại phụ thuộc chương trình chủ phần mềm phá hoại độc lập chương trình chủ Các phần mềm phá hoại cần chương trình chủ bao gồm: Trap-door, Logic bomb, Trojan horse, Virus Các phần mềm phá hoại khơng cần chương trình chủ gồm: Worm, Zombie 1.2.2 Các dạng cơng máy tính mạng Người đứng (Man-in-the-Middle Attack) Nghe trộm (Eavesdropping) Giả mạo địa IP (IP Address Spoofing ) / Identity Spoofing Dạng gián đoạn (interruption) 1.3 CÁC BIỆN PHÁP PHỊNG CHỐNG Các biện pháp phịng chống cơng đột nhập đảm bảo an tồn thơng tin hệ thống thường gồm hai nhóm chính: i) Các biện pháp ngăn chặn đột nhập như: Tường lửa, xác thực, mã hóa ii) Các biện pháp phát đột nhập Trong thực tế, hai nhóm sử dụng biện pháp ngăn chặn đột nhập sử dụng lớp phòng vệ thứ nhất, biện pháp phát đột nhập sử dụng lớp phòng vệ thứ hai 1.3.1 Các biện pháp ngăn chặn đột nhập Tường lửa (Firewall) Bảo vệ vật lý (Physical) Mã hóa liệu (Data Encryption) Xác thực (Authentication) Quyền truy cập (Access Rights) 1.3.2 Các biện pháp phát đột nhập Có phương pháp phân loại biện pháp phát đột nhập: (i) Phương pháp dựa kĩ thuật phân tích liệu ; (ii) Phương pháp dựa nguồn liệu cho phát đột nhập Phương pháp dựa kĩ thuật phân tích liệu: Có kĩ thuật phát đột nhập: Phát đột nhập dựa chữ kí: Phát đột nhập dựa bất thường: Phương pháp dựa nguồn liệu: Có loại hệ thống phát đột nhập: Hệ thống phát đột nhập mạng (Network-based instrusion detection systems-NIDS): Hệ thống phát đột nhập cho host (Host-based instrusion detection systems-HIDS): 1.4 KẾT CHƯƠNG Internet phát triển mạnh kẻ cơng mạng tìm công cụ phương pháp công ngày tinh vi Để tăng tính bảo mật cho hệ thống, biện pháp ngăn chặn phát đột nhập sử dụng đồng thời với hai lớp song song bảo vệ cho hệ thống Ta sâu vào phương pháp phát đột nhập chương II tài liệu Chương CÁC GIẢI PHÁP PHÁT HIỆN ĐỘT NHẬP Phát đột nhập khâu quan trọng đảm bảo an tồn cho hệ thống máy tính mạng Có nhiều giải pháp hiệu sử dụng phát đột nhập Chương trình bày số giải pháp phát đột nhập, với khái niệm phân loại phương pháp phát đột nhập 2.1 KHÁI NIỆM VỀ CÁC GIẢI PHÁP PHÁT HIỆN ĐỘT NHẬP 2.1.1 Phát đột nhập dựa chữ kí Phát đột nhập dựa chữ kí định hành vi bình thường hay bất thường dựa biết Phương pháp gồm hai bước để phát đột nhập: (i) Đầu tiên xây dựng tập chữ kí cơng hay đột nhập biết; (ii) Sau kiểm tra hành vi xem có match với tập chữ kí xây dựng hay không để nhận biết công Một chữ kí đột nhập đặc tả phần kịch hay kiện dẫn đến cơng hay đột nhập Chữ kí cơng khơng dùng để phát đột nhập mà cịn dùng để ngăn chặn đột nhập 2.1.2 Phát đột nhập dựa bất thường Phương pháp nhằm nhận diện hành vi bất thường, hay có dấu hiệu công – xâm nhập luồng liệu dựa vào tập hồ sơ cách hành vi xác định bình thường, hay hợp pháp, không gây hại Tương tự phương pháp phát đột nhập dựa chữ ký, phương pháp phát đột nhập dựa bất thường gồm có hai bước: (i) Bước huấn luyện: Xây dựng sở liệu (CSDL) hành vi bình thường đối tượng (người sử dụng, chương trình ứng dụng, chương trình hệ thống, lưu lượng mạng ); (ii) Và bước kiểm tra: So sánh hành vi đối tượng với hành vi xác định bình thường lưu CSDL để xác định hành vi công, đột nhập 2.2 PHƯƠNG PHÁP PHÁT HIỆN ĐỘT NHẬP BẤT THƯỜNG 2.2.1 Các kĩ thuật giám sát phát đột nhập Một nghiên cứu sớm phát đột nhập thực Jim Anderson Anderson định nghĩa đột nhập cố gắng truy nhập trái phép, thao tác, thay đổi hay xóa thơng tin, đưa hệ thống không tin cậy hay sử dụng Anderson đưa ý tưởng kẻ đột nhập bị phát cách giám sát thay đổi bất thường hành vi người sử dụng, hay rộng ý tưởng áp dụng để phát đột nhập cách giám sát hành vi đối tượng chương trình, lưu lượng mạng 2.2.1.1 Kiểm sốt hành vi người sử dụng Phương pháp thường áp dụng cho hệ thống HIDS, liệu thu thập từ ghi hoạt động hệ thống thân máy trạm Một số hành vi người sử dụng như: thay đổi registry, thao tác file, truy nhập hệ thống, đổi mật khẩu, có thêm quyền sử dụng, số hành vi khác ảnh hưởng trực tiếp tới máy trạm … dùng để lập hồ sơ hành vi cho hệ thống phát đột nhập 2.2.1.2 Kiểm soát hoạt động mạng Trong hệ thống NIDS, hệ thống giám sát thu thập thông tin từ nhiều điểm mạng, bao gồm giao dịch biên nội mạng Các thơng tin có từ việc giám sát hoạt động mạng như: địa IP nguồn – đích, cổng nguồn – đích giao dịch TCP/UDP, gói tin ICMP với thơng điệp khơng tìm thấy trạm đích, máy chủ dịch vụ sử dụng mạng … Từ hệ thống phát cơng đột nhập đưa số cảnh báo, ví dụ: máy trạm mạng có địa khơng xác thực, máy trạm cố gắng sử dụng dịch vụ không xác thực, máy trạm cố gắng kết nối tới máy trạm cụ thể khác mạng … Ưu điểm phương pháp so với phương pháp kiểm soát hành vi người sử dụng hoạt động mạng có thay đổi hành vi bình thường người dùng 2.2.1.3 Kiểm sốt hành vi chương trình Một phương pháp đưa Fink, Levitt Ko, thay cố gắng xây dựng hồ sơ người dùng bình thường, họ xác định hành vi bình thường tiến trình đặc quyền Họ định nghĩa hành vi bình thường sử dụng ngơn ngữ đặc tả chương trình hoạt động phép (các lời gọi hệ thống tham số nó) tiến trình xác định 2.2.2 Mơ hình hóa hành vi chương trình sử dụng lời gọi hệ thống Các hệ thống phát đột nhập sử dụng nhiều loại liệu khác để phân biệt hoạt động bình thường hay đột nhập Và lời gọi hệ thống sinh từ chương trình khác liệu phổ biến mà phương pháp sử dụng để xây dựng mơ hình mơ tả hành vi bình thường cho phát đột nhập Mỗi phương pháp bao gồm việc xây dựng huấn luyện mơ hình sử dụng trace tiến trình bình thường Dưới số phương pháp thường sử dụng 2.2.2.1 Phương pháp dựa tần số Mơ hình phương pháp dựa số phân phối tần số kiện khác Các kiện kiện mẫu lời gọi hệ thống chuỗi Phương pháp mơ hình hóa tính tốn tần số xuất mẫu Phương pháp giới thiệu Bhangoo Helman Trong phương pháp này, tần số chuỗi lời gọi xếp hạng số lần xuất trace bình thường trace có dấu hiệu xâm nhập Vì thế, chuỗi thường xuất trace xâm nhập, hay xuất thao tác bình thường cho phân loại vào nhóm chuỗi khơng đáng tin 2.2.2.2 Phương pháp dựa khai khoáng liệu Phương pháp khai khoáng liệu thiết kế để xác định đặc điểm quan trọng từ tập liệu lớn.Ý tưởng phương pháp phát nhiều định nghĩa ngắn gọn chương trình bình thường đạt đơn giản cách lấy danh sách tất mẫu chương trình bình thường Phương pháp thực sau: Đầu tiên chương trình khai khống liệu sử dụng để phát mẫu tổng quát (tập qui tắc) từ sở liệu lớn Tiếp theo mẫu sử dụng để mô tả hành vi người dùng Hồ sơ người dùng thống kê hành vi người dùng mẫu Từ xác định hành vi người sử dụng đột nhập hay khơng Cuối cùng, mơ hình (đã học) kết hợp với chứng từ hồ sơ đưa cảnh báo có đột nhập 2.3 ỨNG DỤNG HỌC MÁY TRONG PHÁT HIỆN ĐỘT NHẬP BẤT THƯỜNG FSA cách tự nhiên để mô tả hành vi bình thường chương trình cách biểu diễn cấu trúc chương trình vịng lặp, phân nhánh Khác với kĩ thuật trước, trạng thái FSA nhớ tương quan trường hợp ngắn trường hợp dài lời gọi hệ thống thực phát đột nhập tin cậy Kosoresow Hofmeyr xây dựng tay máy tự động hữu hạn đơn định (DFA-Deterministic Finite Automaton) để mô tả hành vi bình thường chương trình sử dụng lời gọi hệ thống DFA xây dựng để mô tả hành vi cách sử dụng ngơn ngữ macro Mỗi chương trình, lựa chọn thủ cơng macro match với mẫu mô tả hành vi chương trình bình thường Sau đó, so sánh macro tạo với hành vi chương trình để tìm mismatch nhằm phát hành vi bất thường DFA phát số đột nhập Tuy nhiên, xây dựng tay FSA từ lời gọi hệ thống công việc tốn thời gian đặc biệt với chương trình phức tạp trace chạy với thời gian dài 2.4 KẾT CHƯƠNG Mục tiêu hệ thống phát đột nhập đưa cảnh báo bất thường có dấu hiệu xâm nhập Nguyên tắc hoạt động hai kỹ thuật phát đột nhập bản, dựa chữ ký dựa bất thường, so sánh trường hợp giám sát với mơ hình định nghĩa xâm nhập Sự khác biệt hai phương pháp hệ thống dựa chữ ký mơ hình hóa trường hợp bất thường, cịn hệ thống dựa bất thường lại sử dụng trường hợp bình thường để mơ hình hóa Mỗi phương pháp phát đột nhập mơ hình hóa liệu hóa khác có ưu nhược điểm riêng Chương III PHÁT HIỆN ĐỘT NHẬP BẤT THƯỜNG ĐA LỚP DỰA TRÊN THÔNG KÊ VÀ MÁY TRẠNG THÁI HỮU HẠN Chương II phân tích chi tiết phương pháp phát đột nhập nghiên cứu Trong phương pháp phát đột nhập dựa thống kê học máy cho kết khả quan Tuy nhiên, dạng công đột nhập phát triển nhanh thường xuyên thay đổi hình thức, nên phương pháp phát đơn lớp thường gặp nhiều khó khăn Trong chương này, mơ hình phát đa lớp phát triển nhằm giảm tỷ lệ cảnh báo sai nâng cáo tỷ lệ phát 3.1 PHƯƠNG PHÁP PHÁT HIỆN ĐỘT NHẬP BẤT THƯỜNG DỰA TRÊN THỐNG KÊ 3.1.1 Xây dựng CSDL bình thường Để xây dựng CSDL, ta trượt cửa sổ kích thước k qua trace lời gọi hàm hệ thống ghi lại chuỗi lời gọi khác xuất bên cửa sổ trượt( loại bỏ chuỗi trùng ) Bởi chương trình chạy hệ điều hành khác tạo chuỗi lời gọi hàm hệ thống khác nhau, cặp chương trình – hệ điều hành phân biệt xây dựng CSDL riêng Sau CSDL sử dụng để giám sát hành vi tiến trình thực cặp chương trình – hệ điều hành tương ứng 3.1.2 Phát đột nhập bất thường Chúng ta xây dựng xong CSDL biểu diễn hành vi bình thường, bước tiến hành kiểm tra trace hành vi sử dụng CSDL xây dựng Mọi chuỗi lời gọi hàm hệ thống chiều dài k trace kiểm tra xem có xuất CSDL bình thường hay khơng Mỗi chuỗi khơng xuất CSDL bình thường coi chuỗi không khớp ( bất thường) – mismatch Độ khẳng định trace bất thường tỉ lệ thuận với số mismatch xuất q trình kiểm tra trace Đây thuật tốn đơn giản cài đặt hiệu với độ phức tạp tính tốn O(N), với N chiều dài trace (trong trường hợp lời gọi hệ thống) 10 3.2 MƠ HÌNH PHÁT HIỆN ĐỘT NHẬP DỰA TRÊN MÁY TRẠNG THÁI HỮU HẠN (FSA) 3.2.1 Xây dựng mơ hình FSA Định nghĩa: Máy trạng tháy hữu hạn (FSM- Finite State Machine) hay máy tự động trạng thái hữu hạn (FSA – Finite State Automaton), gọi đơn giản máy trạng thái, trừu tượng toán học thường sử dụng để thiết kế mạch logic số chương trình máy tính Nó mơ hình hành vi bao gồm số hữu hạn trạng thái, chuyển dịch trạng thái, hành động, tương tự đồ thị luồng biết đường mạch logic điều kiện định thỏa mãn Nó có nhớ hữu hạn, tính đầu vào đọc ký hiệu cách tuần tự, lần ký hiệu không quay ngược trở lại; đầu dạng giao diện người dùng, mơ hình cài đặt Hoạt động FSM trạng thái (gọi trạng thái bắt đầu), qua chuyển dịch sang trạng thái khác tác động đầu vào dừng trạng thái Tuy nhiên số trạng thái định đánh dấu thành công hoạt động (gọi trạng thái chấp nhận hay trạng thái dừng) Khái niệm từ vựng Trạng thái xác định trạng thái khứ hệ thống Như nói FSM ghi thơng tin q khứ, nghĩa phản ánh thay đổi từ trạng thái bắt đầu đến thời điểm Số lượng tên trạng thái thường phụ thuộc vào trạng thái khác nhớ, ví 11 dụ nhớ có bit có trạng thái sử dụng Một chuyển dịch biểu thị thay đổi trạng thái diễn đạt điều kiện cần thỏa mãn để chuyển dịch xảy Một hành động mô tả hoạt động thực thời điểm định Có nhiều loại hành động: Hành động vào (entry action): Được thực vào trạng thái Hành động ( exit action): Được thực trạng thái Hành động đầu vào ( input action): Được thực phụ thuộc vào trạng thái điều kiện vào Hành động chuyển dịch (transition action): Được thực thực chuyển dịch c)Mơ hình tốn học Tương ứng với phân lớp tổng quát trên, định nghĩa FSM sau: Một FSM đơn định (Σ,S,s0,δ,F), đó: Σ bảng chữ đầu vào (một tập hữu hạn, không rỗng ký hiệu) S tập hữu hạn, không rỗng trạng thái s0 trạng thái khởi tạo, phần tử thuộc S δ hàm chuyển trạng: (ở FSM không đơn định a F tập trạng thái kết thúc, rỗng, tập S 3.2.2 Kỹ thuật tự động tạo FSA cho phát đột nhập bất thường 12 Mục tiêu phần đánh giá kỹ thuật tạo máy tự động hữu hạn (FA-Finite Automaton) cho phát đột nhập dựa host Vì liệu mơ tả hành vi đột nhập không sử dụng suốt q trình huấn luyện, mục đích đơn giản xây dựng máy tự động hữu hạn chấp nhận tất chuỗi kiện (audit-event) liệu huấn luyện, chấp nhận từ chối tất liệu sau huấn luyện Thơng qua ví dụ, tạo FA với trạng thái nhất, kiểm tra q trình tạo chuyển trạng thái lại Chúng ta tạo FA khơng có chu trình chấp nhận dãy kiện kiểm tra liệu huấn luyện 3.2.3 Một vài ví dụ FA tạo tự động FA tạo giải thuật mô tả phụ thuộc vào khối lượng liệu huấn luyện, tham số n l Khơng có n-gram liên quan đến nhiều trạng thái, khơng có q kn trạng thái với chương trình tạo k kiện kiểm toán khác (Trong thực hành, số lượng trạng thái thường nhỏ nhiều: nhiều trạng thái gán ngram kn n-gram xuất liệu huấn luyện) Mỗi trạng thái có nhiều kl chuyển trạng thái ra, tổng số chuyển trạng thái tối đa kn+l Cũng vậy, số cạnh nhỏ có hữu hạn l-gram khác xuất liệu luyện 3.2.4 Phát đột nhập dựa FSA Ý tưởng ban đầu phát bất thường dựa trạng thái máy phát trả lại giá trị lớn bất thường 13 gặp phải chuyển dịch trạng thái sai, trả lại giá trị chuyển trạng thái Nhưng điều cách tốt để mơ tả kết phát đột nhập, người sử dụng thay đổi độ nhạy máy phát Máy phát trả lại giá trị từ đến thể chắn có xâm nhập xảy 3.3 MƠ HÌNH KẾT HỢP THỐNG KÊ N-GRAM VÀ FSA ĐỂ PHÁT HIỆN BẤT THƯỜNG Sử dụng CSDL bình thường mơ hình FSA kiểm tra chuỗi thử để phát bất thường Các bước thực hiện: Bước 1: Chuỗi lời gọi hệ thống so sánh với chuỗi lời gọi CSDL bình thường để tìm mismatch Bước 2: Nếu chuỗi phát mismatch, dùng làm đầu vào cho mơ hình FSA để kiểm tra xem có thực mismatch khơng Bằng cách sử dụng phương pháp FSA để phân tích kĩ chuỗi mismatch ta làm giảm số cảnh báo sai 3.4 KẾT LUẬN Phương pháp phát đa lớp dựa thống kê máy trạng thái hữu hạn có khả giúp giảm tỷ lệ cảnh báo sai tăng tỷ lệ phát Điều giúp tăng hiệu phát tổng thể Hơn nữa, mơ hình cịn tích hợp khả tự cập nhật, giúp cho có khả phát đột nhập thay đổi theo thời gian Chương IV THỬ NGHIỆM VÀ KẾT QUẢ 14 Trong chương thử nghiệm mơ hình phát đột nhập kết hợp thực chương trình sendmail chạy hệ điều hành Unix Linux Dữ liệu thử nghiệm để phát đột nhập chuỗi ( trace ) lời gọi hàm hệ thống sendmail gửi đến nhân hệ điều hành để yêu cầu dịch vụ Để mơ tả hành vi bình thường chương trình trace thu thập trình làm việc bình thường sendmail sử dụng để xây dựng CSDL bình thường mơ hình FSA theo kỹ thuật mô tả chương III Sau CSDL bình thường mơ hình FSA sử dụng để kiểm tra chuỗi lời gọi hàm hệ thống trace thử nghiệm để phát bất thường theo phương pháp đề cập mục 3.3 4.1 TẬP DỮ LIỆU THỬ NGHIỆM Tập liệu thử nghiệm sử dụng lấy từ tập liệu tổng hợp cho sendmail thu thập UNM (University of New Mexico) Sun SPARCstations Tập liệu bao gồm định danh tiến trình (PID) định danh lời gọi hệ thống (System Call ID) số chương trình Unix như: sendmail, fpt, lpr…Mỗi trace danh sách lời gọi hàm hệ thống tạo tiến trình chương trình từ bắt đầu thực đến kết thúc Các trace có chiều dài khác chương trình có độ phức tạp khác số trace tiến trình deamon, số khác khơng Ánh xạ số lời gọi hệ thống tên lời gọi hệ thống thực đặt file riêng biệt Mỗi file ánh xạ danh sách tên lời gọi hệ thống 4.2 THỬ NGHIỆM VÀ KẾT QUẢ 4.2.1 Cài đặt thử nghiệm 15 Mục đích thử nghiệm để xác định mức cảnh báo sai (false positive) hệ số phát (true positive) mơ hình phát kết hợp đề nghị Để xác định mức cảnh báo sai, phần liệu bình thường chưa sử dụng tập huấn luyện sử dụng để test mơ hình Nếu hệ thống xác định chuỗi bình thường bất thường xem cảnh báo sai Để xác định hệ số phát đúng, tập liệu bất thường sử dụng để test mơ hình đề nghị Tập liệu bất thường traces sinh q trình sendmail chạy dự cơng công cụ sinh số đột nhập biết, sm5x, sm565a syslog-remote syslog-local Nếu hệ thống nhận chuỗi bất thường xem phát Để khái quát hoá kết quả, việc tính tốn tỷ lệ phát thực thơng qua mức tín hiệu bất thường Để đo tín hiệu bất thường, miền cục theo thời gian với chiều dài gồm r chuỗi liên tiếp sử dụng Cũng giống cửa sổ trượt chuỗi ngắn, miền cục di chuyển qua trace kiểm tra Hệ thống đếm số chuỗi bất thường m vùng xem xét tỷ lệ (m/r) giá trị tín hiệu bất thường Một ngưỡng sử dụng để xác định xem miền cục bình thường hay bất thường 4.2.2 Một số kết Sau xây dựng mô hình kết hợp phát đột nhập bất thường mô tả chương III, thử nghiệm thực liệu thu từ chương trình sendmail Bảng 4.3 cho thấy số chuỗi đơn CSDL bình thường với chiều 16 dài chuỗi từ tới 20 xây dựng dựa 30%, 60% 100% từ tập liệu huyến luyện đầy đủ Trace size (% tập liệu huấn luyện K=5 K=8 K=11 K=15 K=20 535 595 796 941 1112 601 681 955 1151 1378 748 847 1210 1462 1758 đầy đủ ) 30% 60% 100% Bảng 4.3 Số chuỗi đơn lời gọi hệ thống CSDL bình thường 4.3 ĐỀ XUẤT ỨNG DỤNG MƠ HÌNH PHÁT HIỆN ĐỘT NHẬP VÀO HỆ THỐNG MÁY CHỦ ĐHQGHN 4.3.1 Giới thiệu hệ thống mạng ĐHQGHN Đại học quốc gia Hà Nội có tổng cộng 28 đơn vị với 2.503 cán 23.628 sinh viên, học viên hệ tập trung ( tổng cộng 26.131 cán học viên, sinh viên hệ tập trung), khoảng 26.000 sinh viên hệ không tập trung Gần 100% cán có máy tính làm việc Số lượng máy tính phịng thí nghiệm phịng thực hành phục vụ công tác giảng dạy ký túc xá có khoảng 1.500 chiếc, tổng cộng có khoảng 4.000 máy tính kết nối vào mạng VNunet 17 4.3.2 Đề xuất ứng dụng mơ hình phát đột nhập vào hệ thống máy chủ Vùng mạng bên VNUnet, bao gồm máy giảng viên, máy cán trường, máy thực hành sinh viên bảo vệ chế NAT tường lửa CheckPoint nên có khả bị cơng Vì vậy, hướng ứng dụng phù hợp triển khai mơ hình kết hợp FSA phát công, đột nhập vào máy chủ cung cấp dịch vụ Hình 4.4 ví dụ hướng dựng mơ hình phát kết hợp đề nghị cho máy chủ web Mơ hình phát liên tục giám sát máy chủ web nhằm phát bất thường máy chủ web cung cấp dịch vụ KẾT LUẬN Tựu trung, luận văn trình bày tổng quan an toàn mạng, giải pháp phát đột nhập, biện pháp phát bất thường dựa thống kê mơ hình FSA Cụ thể, vấn đề nghiên cứu phạm vi luận văn: Các dạng công đột nhập mạng bao gồm phần mềm phá hoại dạng cơng máy tính mạng Một số phần mềm phá hoại trapdoor, logic bomb, trojan horse, virus, worm, zombie Các số dạng công máy tính mạng nghe trộm, thay đổi liệu, giả mạo địa IP, công dựa passworrd, công từ chối dịch vụ số công khác với đặc điểm loại công Giới thiệu phương pháp phát đột nhập dựa chữ kí, phương pháp phát đột nhập dựa bất thường 18 phương pháp phát đột nhập cách kiểm sốt hành vi chương trình với ưu, nhược điểm loại Luận văn tập trung nghiên cứu mơ hình phát đột nhập dựa thống kê mơ hình FSA Trên sở luận văn đưa mơ hình phát đột nhập kết hợp dựa thống kê FSA Mơ hình đạt số ưu điểm: Giảm tỉ lệ cảnh báo sai so với phương pháp dùng CSDL bình thường mơ hình kết hợp kiểm tra chuỗi mismatch qua hai bước: Đầu tiên, liệu thử nghiệm so sánh với CSDL bình thường để phát mismatch Sau đó, chuỗi mismatch đưa vào mơ hình FSA để kiểm tra xem chuỗi có thật chuỗi bất thường hay khơng Chi phí sử dụng cho việc huấn luyện khơng cao mà hiệu suất phát đột nhập cho kết khả quan Luận văn đề xuất hướng ứng dụng mơ hình phát đề nghị vào hệ thống mạng ĐHQGHN Hướng phát triển luận văn: Chương trình thử nghiệm thực máy cục với liệu offline phần mềm sendmail Mơ hình thử nghiệm cần thử nghiệm với nhiều chương trình để có đánh giá xác Thực cải tiến mơ hình để thực phát đột nhập đồng thời cho nhiều chương trình theo chế độ online Từng bước triển khai thử nghiệm hệ thống máy chủ ĐHQGHN cấp quản lý cho phép 19 ... tích liệu: Có kĩ thuật phát đột nhập: Phát đột nhập dựa chữ kí: Phát đột nhập dựa bất thường: Phương pháp dựa nguồn liệu: Có loại hệ thống phát đột nhập: Hệ thống phát đột nhập mạng (Network-based... PHÁP PHÁT HIỆN ĐỘT NHẬP 2.1.1 Phát đột nhập dựa chữ kí Phát đột nhập dựa chữ kí định hành vi bình thường hay bất thường dựa biết Phương pháp gồm hai bước để phát đột nhập: (i) Đầu tiên xây dựng tập... đột nhập 2.2 PHƯƠNG PHÁP PHÁT HIỆN ĐỘT NHẬP BẤT THƯỜNG 2.2.1 Các kĩ thuật giám sát phát đột nhập Một nghiên cứu sớm phát đột nhập thực Jim Anderson Anderson định nghĩa đột nhập cố gắng truy nhập