ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG NGUYỄN VĂN DIỄN NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH BẤT THƯỜNG DỰA TRÊN KHAI PHÁ DỮ LIỆU LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Nguyên - 2014 Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ i LỜI CAM ĐOAN Tôi xin cam đoan đề tài “Nghiên cứu Giải pháp phát xâm nhập mạng máy tính bất thƣờng dựa Khai phá liệu” cơng trình nghiên cứu riêng tơi Đề tài đƣợc hồn thành dƣới hƣớng dẫn Thầy TS Nguyễn Ngọc Cƣơng Những kết nghiên cứu, thử nghiệm đƣợc thực hoàn toàn khách quan trung thực Các số liệu, kết trình bày luận văn hồn tồn trung thực chƣa đƣợc công bố cơng trình Các tài liệu tham khảo sử dụng luận văn đƣợc dẫn nguồn (có bảng thống kê tài liệu tham khảo) đƣợc đồng ý trực tiếp tác giả Nếu xảy điều khơng nhƣ lời cam đoan trên, tơi xin chịu hồn tồn trách nhiệm Hà Nội, ngày 18 tháng 07 năm 2014 TÁC GIẢ Nguyễn Văn Diễn ii LỜI CẢM ƠN Em xin chân thành cảm ơn Thầy TS Nguyễn Ngọc Cƣơng ngƣời trực tiếp hƣớng dẫn tận tình em suốt trình thực Luận văn tốt nghiệp Em xin chân thành cảm ơn Quý thầy, cô Trƣờng Đại học Công nghệ thông tin & Truyền thông Thái Nguyên, Viện Công nghệ Thông Tin, ngƣời nhiệt tình giảng dạy truyền đạt kiến thức quí báu suốt thời gian em học tập nghiên cứu trƣờng Với vốn kiến thức tiếp thu đƣợc trình học tập nghiên cứu không tảng cho trình nghiên cứu luận văn mà cịn hành trang q báu q trình hoạt động chun mơn em Cuối cùng, em xin kính chúc Q thầy cơ, đồng nghiệp, gia đình dồi sức khỏe thành công Trân trọng cảm ơn! iii MỤC LỤC LỜI CAM ĐOAN .i LỜI CẢM ƠN ii DANH MỤC TỪ VIẾT TẮT vi DANH MỤC BẢNG vii DANH MỤC HÌNH viii MỞ ĐẦU ix TỔNG QUAN VỀ NHIỆM VỤ CỦA LUẬN VĂN .xi CHƢƠNG 1: HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG VÀ PHƢƠNG PHÁP PHÁT HIỆN XÂM NHẬP MẠNG 1 Hệ thống phát xâm nhập mạng IDS (Intrusion Detection System) 1.1.1 Định nghĩa 1.1.2 Vai trò, chức IDS 1.1.3 Mơ hình IDS mức vật lý 1.1.4 Kiến trúc hoạt động bên mơ hình hệ thống IDS 1.1.5 Phân loại IDS 1.1.6 Một số kiểu công vào hệ thống mạng Một số phƣơng pháp phát bất thƣờng hệ thống IDS 11 1.2.1 Phƣơng pháp tiếp cận dựa xác suất thống kê 11 1.2.2 Phƣơng pháp tiếp cận dựa trạng thái 12 1.2.3 Phƣơng pháp tiếp cận dựa hệ chuyên gia 12 1.2.4 Phƣơng pháp tiếp cận dựa khai phá liệu 13 Khai phá liệu IDS 14 1.3.1 Định nghĩa khai phá liệu 14 iv 1.3.2 Nhiệm vụ khai phá liệu 16 1.3.3 Các loại liệu đƣợc khai phá 17 1.3.4 Quy trình khai phá liệu 18 1.3.5 Một số phƣơng pháp khai phá liệu 19 1.3.6 Một số kỹ thuật dùng khai phá liệu 21 CHƢƠNG 2: PHƢƠNG PHÁP PHÁT HIỆN BẤT THƢỜNG DỰA TRÊN KỸ THUẬT KHAI PHÁ DỮ LIỆU 26 2.1 Phát bất thƣờng dựa khai phá liệu 26 2.1.1 Phƣơng pháp phát bất thƣờng dựa khai phá liệu 26 2.1.2 Kỹ thuật phát xâm nhập dựa khai phá liệu 26 2.2 Bài toán phát phần tử dị biệt khai phá liệu 28 2.2.1 Một số thuật toán phát dị biệt khai phá liệu 30 2.2.2 Mơ hình phát bất thƣờng dựa kỹ thuật khai phá liệu 36 CHƢƠNG 3: ĐỀ XUẤT TRIỂN KHAI THỬ NGHIỆM HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG 42 3.1 Bài toán phân cụm liệu CSDL kết nối mạng 42 3.2 Thuật toán sử dụng cho toán ứng dụng 42 3.3 Đánh giá Thuật toán phân cụm ứng dụng toán 44 3.4 Ứng dụng thuật toán phân cụm K-medoids KPDL 48 3.4.1 Quy trình xử lý toán ứng dụng: 48 3.4.2 Tập hợp liệu 49 3.4.3 Tiền xử lý 49 3.4.4 Tiến trình khai phá liệu 51 3.5 Chƣơng trình Demo 54 v 3.6 Nhận xét toán KPDL 59 KẾT LUẬN VÀ HƢỚNG PHÁP TRIỂN 61 TÀI LIỆU THAM KHẢO 62 vi DANH MỤC TỪ VIẾT TẮT ADAM Audit Data Analysis Mining CSDL Cơ sở liệu DdoS Distributed Daniel of Servies DOS Daniel of Services HIDS Host Instrucsion Detection System HTTP Hypertext Markup Languge ICMP Internet Control Message Protocol IDS Intrucsion Detection System IDDM Intrucsion Detection Data Mining IPS Intrucsion Prevention System IP Internet Protocol KPDL Khai phá liệu LOF Local Outlier Partor LSC Local Sparsity Ratio NIDS Networks Instrusion Detection System MAC Media Accsess Controllers SQL Structured Query Language VPN Virtual Private Network TCP Transmission Control Protocol UDP User Datagram Protocol vii DANH MỤC BẢNG Bảng 2.1: Danh sách cảnh báo chƣa rút gọn Bảng 2.2: Danh sách cảnh báo sau rút gọn Bảng 3.1: Bảng thuộc tính CSDL mạng Bảng 3.2: Thơng tin chƣơng trình cài đặt ứng dụng viii DANH MỤC HÌNH Hình 1.1: Mơ hình IDS vật lý Hình 1.2: Kiến trúc Modul IDS Hình 1.3: Mơ hình thu thập liệu ngồi luồng Hình 1.4: Mơ hình thu thập liệu luồng Hình 1.5: Modul phân tích, phát cơng Hình 1.6: Q trình khám phá tri thức Hình 2.1: Gán giá trị để lƣợng hóa cơng sơ đồ Hình 2.2: Minh họa tốn phát phần tử dị biệt Hình 2.3: Khoảng cách Reach – dist Hình 2.4: Phƣơng pháp LOF Hình 2.5: Thuật tốn LSC – Mine Hình 2.6: Mơ hình phát bất thƣờng sử dụng kỹ thuật KPDL Hình 2.7: Mơ hình Modul tổng hợp Hình 3.1: Lƣu đồ thuật tốn K-Medoids Hình 3.2: Tiến trình phát xâm nhập mạng sử dụng kỹ thuật phân cụm Hình 3.3: Biểu diễn CSDL mạng Hình 3.4: Biến đổi liệu CSDL Hình 3.5: Gom cụm liệu CSDL Hình 3.6: Biểu diễn kết mẫu bất thƣờng Hình 3.7: Giao diện Menu Hình 3.8: Giao diện khai phá giao thức HTTP Hình 3.9: Giao diện khai phá liệu tự động Hình 3.10: Giao diện tiền xử lý Hình 3.11: Giao diện khai phá dựa ngƣỡng kết nối ix MỞ ĐẦU Ngày nay, Cơng nghệ thơng tin nói chung Ngành mạng máy tính nói riêng đƣợc ứng dụng hầu hết lĩnh vực quan trọng đời sống, tác động trực tiếp đến tồn phát triển kinh tế tri thức cơng nghệ Chính vậy, việc áp dụng Cơng nghệ thông tin trở thành yêu cầu thiếu cho tất tổ chức, doanh nghiệp Với tầm quan trọng nhƣ vậy, cần phải có hệ thống mạng doanh nghiệp ổn định, hoạt động liên tục, đảm bảo tính tin cậy, nguyên vẹn, sẵn sàng từ chối để đáp ứng đƣợc yêu cầu kết nối xử lý công việc Tuy nhiên, bên cạnh u cầu cấp thiết mạng máy tính ln phải đối diện với nhiều nguy an toàn nhƣ “viếng thăm” bất hợp pháp cơng từ bên ngồi mạng ln ln xảy với mức độ ngày phức tạp tinh vi Do đó, yêu cầu phải có hệ thống phát tự động hành vi thâm nhập không đƣợc phép để cảnh báo nguy ngăn chặn trở nên cấp thiết Đã có nhiều hƣớng nghiên cứu xây dựng hệ thống cảnh báo thâm nhập dựa phƣơng pháp thâm nhập nhƣ: phát thâm nhập dựa vào luật; kỹ thuật phân biệt ý định ngƣời dùng, phân tích trạng thái phiên, phƣơng pháp phân tích thống kê … Tuy nhiên phƣơng pháp phát xâm nhập dựa dấu hiệu bất thƣờng Tức dựa dấu hiệu vụ công biết, phƣơng pháp phát xâm nhập mạng cách so sánh giá trị đặc tả với dãy ký tự công đƣợc cung cấp chuyên gia đƣợc cập nhật lại sở liệu Điểm hạn chế phƣơng pháp chúng phát công khơng có sở liệu So với phƣơng pháp phƣơng pháp phân tích dựa kỹ thuật khai phá liệu có nhiều ƣu điểm rõ rệt Phƣơng pháp sử dụng với sở liệu chứa nhiều nhiễu, liệu không đầy đủ, biến đổi liên tục, đặc biệt phƣơng pháp đòi hỏi mức độ sử dụng chuyên gia không thƣờng xuyên Các ƣu điểm đem lại 48 cụm liệu “bình thƣờng” “bất thƣờng” Qua nghiên cứu khảo sát liệu thực tế, để sử dụng thuật tốn có độ tối ƣu định cho việc giải toán khai phá CSDL mạng này, nhận thấy với ƣu điểm bật thuật toán phân cụm K-Medoids (sử dụng đối tƣợng đại diện làm tâm để phân cụm) có nhiều tƣơng đồng đáp ứng đƣợc yêu cầu tốn ứng dụng Chính Luận văn sử dụng thuật toán phân cụm K-Medoids khai phá liệu để xây dựng ứng dụng phát cụm liệu bất thƣờng CSDL mạng Từ đƣa cảnh báo có xâm nhập mạng bất thƣờng 3.4 Ứng dụng thuật toán phân cụm K-medoids KPDL 3.4.1 Quy trình xử lý tốn ứng dụng: Dữ liệu Các Các mẫu bổ sung tham số bất thƣờng Raw Audit Dữ liệu đƣợc Tiến trình khai Data chuyển đổi phá liệu Các cụm Cơ chế Cơ sở liệu chuyển đổi Hình 3.2: Tiến trình phát xâm nhập sử dụng kỹ thuật phân cụm xử lý 49 3.4.2 Tập hợp liệu Tập liệu đầu vào toán, hệ thống sử dụng hệ điều hành *NIX ta sử dụng công cụ TCPDUMP để tập hợp liệu đầu vào giao tiếp mạng TCPDUMP tiến trình chạy chế độ nền, TCPDUMP kết xuất thông tin đầu vào cần thiết cho toán tệp thơng qua giao diện dịng lệnh Tƣơng tự nhƣ TCPDUMP hệ thống máy sử dụng hệ điều hành khác *NIX mà đại diện luận văn hệ điều hành Windows, ta sử dụng cơng cụ Windump đƣợc xem phiên hồn tồn tƣơng thích với TCPDUMP dùng để bắt, kiểm tra lƣu vào ổ đĩa network traffic Windump dựa thƣ viện trình điều khiển dịng lệnh trình WinPcap Windump cơng cụ mã nguồn mở đƣợc cung cấp để sử dụng miễn phí theo giấy phép BSD-style có Website http://www.winpcap.org/windump/misc/copyright.htm Sản phẩm đƣợc phát triển Đại học Califonnia, phịng thí nhiệm Berkeley Lawrence Tập liệu thô đầu vào tốn có sử dụng sở liệu ghi lại dấu vết mạng DMZ Ethernet công cụ TCPDUMP Sun Sparcstation sử dụng lọc gói nhân BPF, dấu vết đƣợc thu thập phịng thí nghiệm Berkeley Lawrence từ ngày 16/9/1993 đến ngày 15/10/1993, sở liệu bao gồm 782281 kết nối diện rộng phịng thí nghiệm với phần cịn lại mạng 3.4.3 Tiền xử lý Dữ liệu đầu vào toán đƣợc tập hợp dƣới dạng file.txt file.log, cơng cụ phát có kết nối thực có dịng lệnh đƣợc ghi thêm vao file Cấu trúc file bao gồm có chín trƣờng đƣợc biểu diễn cách khoảng trắng dòng liệu Tên trƣờng Ý nghĩa thuộc tính TimeStamp Thời gian kết nối xẩy đơn vị Micro giây Duration Khoảng thời gian sống kết nối tính giây Protocol Giao thức kết nối Byte sent by origination Kích thƣớc gói tin gửi đơn vị tính byte, trƣờng hợp khơng xác định ta ghi “?” 50 Byte sent by responder Kích thƣớc goi tin phản hồi đơn vị tính byte, trƣờng hợp không xác định ta ghi “?” Remote host Địa IP máy mạng Localhost Địa IP máy nội mạng State Trạng thái kết nối Flag Cờ - kết nối mạng, kết nối mạng Bảng 3.1: Bảng thuộc tính CSDL mạng Ví dụ liệu đầu vào: 748162891.253899 0.079525 nntp ? ? 132.239.1.20 REJ L 748162892.011359 300843 ftp 82 495 10 128.120.9.33 SF 748162902.445209 300.572 nntp 509 70 131.225.40.40 SF L 748162911.084362 5.30702 ftp-data 24224 10 128.120.9.33 SF L 748162912.282781 7.93168 smtp 722 324 11 141.108.5.71 SF 748162914.565597 9.19413 smtp 1866 335 192.107.48.1 SF L 748162915.201912 0.004704 auth ? ? 192.107.48.1 REJ 748162919.111029 176.571 telnet 175 12 192.35.222.222 SF L 748162920.575654 1.179 telnet 175 12 192.35.222.222 SF L 748162921.668532 173.263 telnet 175 12 192.35.222.222 SF L Biểu diễn liệu đầu vào: tập hợp liệu đầu vào đƣợc lƣu vào bảng TCP sở liệu TCP đƣợc biểu diễn dƣới dạng bảng Hình 3.3: Biểu diễn CSDL mạng 51 Biến đổi liệu bảng CSDL: Trƣờng “RemoteHost” đƣợc biến đổi dạng số nguyên để tham chiếu cách thêm bảng liệu tham chiếu Hình 3.4: Biến đổi liệu CSDL Gom cụm liệu CSDL: liệu đƣợc gom cụm theo cửa sổ thời gian xác định lƣu kết nhóm cụm bảng trung gian TCP_F để phục vụ cho tiến trình khai phá liệu Hình 3.5 : Gom cụm liệu CSDL 3.4.4 Tiến trình khai phá liệu 3.4.4.1 Các mẫu bất thƣờng đƣợc sử dụng cho đầu vào tốn Ta khó định nghĩa hết mẫu bất thƣờng cơng, luận văn đề cập đến số mẫu bất thƣờng công từ chối dịch vụ DoS + Đầu vào toán công từ chối dịch vụ thông qua giao thức HTTP Tức request giao thức HTTP bình thƣờng địch Web dƣới dạng URL nên có kích thƣớc nhỏ theo khảo sát nhỏ nhiều ngƣỡng 52 350 byte Để công thông qua giao thức HTTP kẻ công thƣờng phải chèn thêm mã lệnh thực thi trình duyệt nạn nhân, mã lệnh đoạn mã, tệp tin, câu lệnh truy vấn SQL …, request giao thức có thay đổi nhiều kích thƣớc, thơng thƣờng kích thƣớc lớn 350 byte mẫu bất thƣờng có khả xuất cơng Ví dụ: http://www.microsoft.com/education/?ID=MCTN&target=http://www.microsoft.co m/education/?ID=MCTN&target=alert(document.cookie) + Đầu vào toán công từ chối dịch vụ dạng nhƣ: Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding TCP/SYN, Flooding Attack DNS Các dạng chủ yếu kẻ công gửi số lƣợng lớn lƣợt Ping, gói tin … để làm tải máy chủ gây lỗi từ chối dịch vụ Mẫu bất thƣờng trƣờng hợp “RemoteHost” khoảng thời gian đƣợc xét có gửi lƣợng lớn gói tin tới “LocalHost” hay nói cách khác cửa sổ thời gian “RemoteHost” gửi nhiều request tới “LocalHost” bất thƣờng, ngƣỡng số request thay đổi tùy thuộc vào điều kiện hệ thống cần bảo an toàn đến mức độ xác định + Đầu vào toán công từ nhiều mạng lƣới khác vào “LocalHost” hay nói cách khác có lƣợng lớn Request từ nhiều địa mạng khác đƣợc gửi tới “LocalHost” cửa sổ thời gian ngắn bất thƣờng, ngƣỡng số request thay đổi tùy thuộc vào điều kiện kết nối mạng mức độ cần bảo vên an tồn 3.4.4.2 Khai phá liệu Tiến trình khai phá liệu luận vănsử dụng kỹ thuật dùng đối tƣợng đại diện: phƣơng pháp K-medoids kỹ thuật gom cụm Khai phá liệu Trong trình khai phá liệu, mẫu bất thƣờng đƣợc sử dụng để đại diện cho cụm “xâm nhập” phần lại sở liệu cụm “Bình thƣờng” Các mẫu bất thƣờng phụ thuộc vào điều kiện đầu vào tốn tiến trình xử lý Với ngƣỡng đầu vào phù hợp cho kết khai phá liệu tƣơng thích 53 + Với liệu đầu vào toán cơng sử dụng giao thức HTTP mẫu bất thƣờng ngƣỡng kích thƣớc gói tin request số request thỏa mãn ngƣỡng kích thức tới máy chủ Web mà luận văn đề cập đến máy mạng nội “Localhost” cần bảo vệ để làm tham số đầu vào thuật toán K-medoids Kết đầu thuật toán hiển thị cụm chứa mẫu bất thƣờng kết nối có kích thƣớc gói request lớn ngƣỡng tham số đầu vào toán, mẫu cịn lại đƣợc coi bình thƣờng thỏa mãn ngƣỡng tham số đầu vào toán khai phá + Với liệu đầu vào toán công từ chối dịch vụ dạng DoS đầu vào thuật tốn ngƣỡng số request Kết đầu thuật toán hiển thị cụm bất thƣờng có ngƣỡng số request lớn ngƣỡng tham số đầu vào toán, mẫu cịn lại đƣợc coi bình thƣờng thỏa mãn ngƣỡng tham số đầu vào toán khai phá + Với liệu liệu đầu vào toán công từ nhiều địa IP khác tới “Localhost” mà đại diện máy cục bộ, đầu vào thuật tốn ngƣỡng số request, ngƣỡng phụ thuộc vào thuộc tính kết nối “LocalHost” Kết đầu thật tốn hiển thị cụm bất thƣờng có ngƣỡng số request lớn ngƣỡng tham số đầu vào tốn, cụm cịn lại đƣợc coi bình thƣờng thỏa mãn ngƣỡng tham số đầu vào toán khai phá 3.4.4.3 Cơ chế xử lý liệu sau tiến trình khai phá Sau tiến trinh khai phá sở liệu sử dụng đối tƣợng đại diện làm tham số đầu vào bào toán, kết thu đƣợc tốn hai nhóm cụm liệu “bình thƣờng” “bất thƣờng” Dữ liệu sau khai phá đƣợc biểu diễn dƣới dạng bảng gồm trƣờng thuộc tính thể mẫu bất thƣờng 54 Hình 3.6: Biểu diễn kết mẫu bất thƣởng 3.5 Chƣơng trình Demo Hệ thống đƣợc phát triển ngôn ngữ C# môi trƣờng Microsoft Visual Studio NET 2008, hệ điều hành Windows 32 bit Cấu hình máy để cài đặt: Tốc độ CPU: 1.6 GHZ chạy tốt với tốc độ 3.2 trở lên Dung lƣợng RAM: 1G chạy tốt với RAM 4G Không gian nhớ: 1G chạy ổn định với không gian nhớ 4G Thơng tin chƣơng trình cài đặt: Ngơn ngữ C# Công cụ phát triển Microsoft Visual Studio 2008 Kiểu ứng dụng Ứng dụng Windows 32 bist Hệ điều hành Windows 32 bit Môi trƣờng hoạt động MS Net Framework 4.0 Cơ sở liệu Microsoft SQL 2008 Kết nối sở liệu ADO.NET Bảng 3.2: Thơng tin chƣơng trình cài đặt ứng dụng 55 3.5.1 Giao diện chƣơng trình Hình 3.7: Giao diện menu Chức thành phần nhƣ sau: + Chọn File: Cho phép chọn File liệu thô đầu vào cho tốn File có dạng txt Log để khai phá, File khai phá theo ngƣỡng số kết nối từ RemoteHost tới LocalHost cửa số thời gian (mặc định 60s) + Làm lại: cho phép chọn lại file khác để thực trình khai phá từ đầu + HTTP: cho phép mở giao diện khai phá liệu dƣới dạng giao thức kết nối HTTP + KP tự động: cho phép mở giao diện khai phá tự động sau khoảng thời gian tùy chọn + Gom liệu: thực công việc đọc file liệu thơ đƣợc chọn sau lƣu liệu vào bảng TCP CSDL thực thao tác chuyển đổi số thuộc tính từ dạng văn sang dạng số để tham chiếu 56 + Tiền xủa lý: cho phép mở giao diện tiền xử lý liệu thô đầu vào vừa chọn cho đầu vào toán + Thoát: cho phép thoát hỏi chƣơng trình 3.5.2 Giao diện HTTP Hình 3.8: Giao diện khai phá giao thức HTTP Chức thành phần nhƣ sau: + Chọn file Khai phá: chọn file liệu thơ đầu vào cho tốn file.txt file.log, file khai phá theo dấu hiệu bất thƣờng giao thức HTTP + Chọn bảng sở liệu TCP: cho phép khai phá liệu bảng CSDL TCP vừa thực sau tiến trình Gom cụm + Cửa sổ thời gian: cho phép chọn khoảng thời gian khai phá mặc định 60s + HTTP: cho phép khai phá theo dấu hiệu bất thƣờng giao thức HTTP dựa theo ngƣỡng kết nối kích thƣớc cách Request theo giao thức HTTP + Tất giao thức: cho phép khai phá liệu dựa mẫu bất thƣờng số Request tất giao thức kết nối + Khai phá: thực chức khai phá liệu thỏa mãn thông số tùy chọn 57 + Thực lại: cho phép chọn lại thông số tùy chọn để thực khai phá + Form main: cho phép kết thúc trình khai phá trở giao diện Form main + Thốt: khỏi chƣơng trình 3.5.3 Giao diện tự động Hình 3.9: Giao diện khai phá liệu tự động Chức thành phần nhƣ sau: + Chọn file liệu khai phá: chọn file liệu thơ đầu vào cho tốn + Chọn cửa sổ thời gian: chọn cửa sổ thời gian thực khai phá chƣơng trình tự động khai phá sau khoảng thơig gian tùy chọn + Mốc thời gian bắt đầu khai phá: chọn mốc thời gian bắt đầu khai phá, lấy mốc thời gian thực hệ thống sử dụng + Xét theo số Request đến: cho phép chọn ngƣỡng số lần kết nối đến LocalHost cửa sổ thơi gian mặc định 60 s + Xét theo dấu hiệu giao thức HTTP: ta phải chọn ngƣỡng đầu vào mẫu bất thƣờng kích thƣớc Request ngƣỡng kết nối + Kết quả: hiển thị kết trình khai phá + Khai phá: thực khai phá với thông số tùy chọn 58 + Stop: tạm dừng tạm thƣời việc khai phá liệu bảo lƣu trang thái chƣơng trình + Làm lại: cho phép thực thi khai phá tự động lại từ đầu với thông số tùy chọn + Quay về: dừng trình khai phá tự động trở lại Form main + Thốt: khỏi chƣơng trình 3.5.4 Giao diện tiền xử lý Hinh 3.10: Giao diện tiền xử lý liệu Chức thành phần nhƣ sau: + Thời gian xử lý: tùy chọn khoảng thời gian để xử lý mặc định 60 s + Tiền xử lý: đọc liệu đầu vào lƣu vào bảng TCP CSDL, đồng thừoi chuyển đổi số trƣờng từ dạng văn sang dạng số cho phù hợp với đầu vào thuật toán + Khai phá: mở giao diện khai phá với ngƣỡng đầu vào số kết nối từ RemoteHost tới LocalHost cửa sổ thời gian tùy chọn + Kết quả: hiển thị kết cảu trình tiền xử lý + Thoat: khỏi q trình tiền xử lý quay giao diện Form main 59 3.5.5 Giao diện Khai phá liệu Hình 3.11: Giao diện Khai phá liệu dựa ngƣỡng kết nối Chức thành phần nhƣ sau: + Số lần kết nối: ngƣỡng đầu vào số lần kết nối từ RemoteHost tới LocalHost sổ thời gian + Kết KP: hiển thị kết khai phá đƣợc cụm bất thƣờng, kết nhận đƣợc phụ thuộc vào ngƣỡng đầu vào cảu toán + Tiền xử lý DL: cho phép quay lại cửa sổ Tiền xử lý để thực lại trình tiền xử lý cho phù hợp + Thoát: thoát khỏi chƣơng trình 3.6 Nhận xét tốn KPDL Ứng dụng sử dụng thuật toán phân cụm K-Medoids Khai phá liệu, để phát bất thƣờng sở liệu kết nối mạng Từ đƣa cảnh báo cách hiển thị kết cụm liệu “bất thƣờng” từ sở liệu thu thập đƣợc cho nhà quản trị Với liệu đầu vào toán từ tập liệu thô ghi lại dấu vết kết nối mạng từ “Localhost” với phần lại mạng, sau sử dụng kỹ thuật khai phá liệu thuật toán phân cụm K-Medoids nhƣ: gom cụm liệu, tiền xử lý liệu, chuyển đổi liệu phù hợp với đầu vào thuật toán yêu cầu, 60 khai phá liệu để đạt đƣợc kết đầu toán cụm liệu “bất thƣờng” để cảnh báo cho nhà quản trị mạng độ an toàn hệ thống mạng Nhƣ với việc kết hợp toán ứng dụng khai phá sở liệu, để tìm cụm liệu “bất thƣờng” sở liệu mạng đƣợc ghi nhận lại việc sử dụng hệ thống có độ tin cậy đƣợc kiểm nhiệm công nhận nhƣ: TCPdum hệ điều hành *NIX, Windump hệ điều hành Windows Ƣng dụng giải đƣợc vấn đề toán đặt sử dụng kỹ thuật khai phá liệu để phát cum liệu “ bất thƣờng” sở liệu mạng, từ đƣa cảnh báo bất thƣờng mạng cho nhà quản trị 61 KẾT LUẬN VÀ HƯỚNG PHÁP TRIỂN Đảm bảo An ninh mạng vấn đề đƣợc nhiều quan, tổ chức nhƣ cá nhân đặc biệt quan tâm Để đảm bảo an toàn mạng phải cần phƣơng pháp, kỹ thuật phải đƣợc cập nhật liên tục đủ mạnh để chống trả lại công bất hợp pháp từ nhiều hƣớng vào hệ thống mạng Khai phá liệu để phát bất thƣờng sở liệu công mở hƣớng phát triển cho lĩnh vực đảm bảo an toàn, An ninh mạng Nhằm đƣa cảnh báo sớm nhất, xác cơng bất thƣờng vào hệ thống mạng Từ đề xuất thêm giải pháp để ngăn chặn phòng chống cho công Những vấn đề đạt đƣợc luận văn + Đã tìm hiểu đƣợc vấn đề hệ thống phát xâm nhập mạng + Nghiên cứu số kỹ thuật lĩnh vực ứng dụng Khai phá liệu + Nghiên cứu số phƣơng pháp để phát bất thƣờng traffic mạng + Đã đề xuất giải pháp kĩ thuật để phát xâm nhập mạng bất thƣờng dựa Khai phá liệu + Đã vận dụng đƣợc kĩ thuật phân cụm, sử dụng thuật toán K-Medoids để phát bất thƣờng sở liệu mạng Hƣớng phát triển + Đi sâu vào thuật toán phân cụm Khai phá liệu để tối ƣu hóa ứng dụng phát xâm nhập mạng máy tính bất thƣờng + Sử dụng kết đạt đƣợc luận văn hồn thiện hệ thống có đầy đủ chức phát ngăn chặn xâm nhập mạng máy tính bất thƣờng đủ mạnh để ứng dụng thực tế 62 TÀI LIỆU THAM KHẢO Tiếng Việt TS Nguyễn Ngọc Cƣơng (2012), An ninh mạng tác chiến tin học, [1] nhà xuất Công An Nhân Dân Vũ Đình Cƣờng (2009), Tìm hiểu cơng & phương [2] pháp phòng chống, nhà xuất Lao động Xã hội Tiếng Anh [3] K Cios, W Pedrycs, R Swiniarski (1998), Data Mining – Methods for Knowledge Discovery, Kluwer Academic Publishers [4] Paul Dokas, Levent Ertoz, Vipin Kumar, Aleksandar Lazarevic, Jaideep Srivastava, Pang-Ning Tan(2002), Data Mining for Network Intrusion Detection [5] The Information Assurance Technology Analysis Center (IATAC) (2009), Intrusion Detection Systems http://iac.dtic.mil/iatac [6] ZhaoHui Tang and Jamie MacLennan (2005) Data Mining with SQL Server 2005 Wiley Publishing, Inc., Indianapolis, Indiana [7] http://www.wireshark.org/docs/wsug_html_chunked/ [8] http://www.winpcap.org/windump/default.htm ... thống phát xâm nhập mạng máy tính Nghiên cứu số phƣơng pháp phát xâm nhập mạng dựa chế phát bất thƣờng hệ thống phát xâm nhập mạng Nghiên cứu phƣơng pháp phát bất thƣờng CSDL dựa kỹ thuật Khai phá. .. PHƢƠNG PHÁP PHÁT HIỆN BẤT THƢỜNG DỰA TRÊN KỸ THUẬT KHAI PHÁ DỮ LIỆU 2.1 Phát bất thƣờng dựa khai phá liệu 2.1.1 Phƣơng pháp phát bất thƣờng dựa khai phá liệu Các phƣơng pháp phát xâm nhập truyền... PHƢƠNG PHÁP PHÁT HIỆN BẤT THƢỜNG DỰA TRÊN KỸ THUẬT KHAI PHÁ DỮ LIỆU 26 2.1 Phát bất thƣờng dựa khai phá liệu 26 2.1.1 Phƣơng pháp phát bất thƣờng dựa khai phá liệu 26 2.1.2