ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN - TRẦN THỊ HƢƠNG ĐÁNH GIÁ HIỆU QUẢ MỘT SỐ THUẬT TOÁN TRONG PHÁT HIỆN XÂM NHẬP MẠNG LUẬN VĂN THẠC SĨ KHOA HỌC Hà Nội – 2016 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN - TRẦN THỊ HƢƠNG ĐÁNH GIÁ HIỆU QUẢ MỘT SỐ THUẬT TOÁN TRONG PHÁT HIỆN XÂM NHẬP MẠNG Chuyên ngành: Cơ sở Toán học cho Tin học Mã số: 60460110 LUẬN VĂN THẠC SĨ KHOA HỌC NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS Lê Trọng Vĩnh Hà Nội – 2016 MỤC LỤC DANH MỤC HÌNH VẼ iii DANH MỤC BẢNG BIỂU iv DANH MỤC CÁC TỪ VIẾT TẮT v LỜI CẢM ƠN vi LỜI MỞ ĐẦU .1 Chƣơng 1: Tổng quan phát xâm nhập mạng 1.1 Giới thiệu 1.2 Xâm nhập 1.2.1 Khái niệm 1.2.2 Một số kiểu xâm nhập phổ biến .4 1.2.3 Một số giải pháp ngăn chặn xâm nhập truyền thống 1.3 Hệ thống phát xâm nhập mạng 1.3.1 Định nghĩa 1.3.2 Phân loại hệ thống phát xâm nhập mạng 1.4 Một số cách tiếp cận cho toán phát xâm nhập 11 1.4.1 Cách tiếp cận dựa vào luật .11 1.4.2 Cách tiếp cận dựa vào thống kê .12 1.4.3 Cách tiếp cận dựa vào học máy .13 1.4.4 Hƣớng tiếp cận luận văn 16 Chƣơng 2: Phát xâm nhập mạng dựa vào học máy 17 2.1 Hồi quy logistic 18 2.2 Máy véc-tơ hỗ trợ 21 2.2.1 SVM tuyến tính 22 2.2.2 SVM phi tuyến tính 26 2.3 Mạng nơ-ron nhân tạo 27 2.3.1 Mơ hình mạng nơ-ron nhân tạo .28 2.3.2 Phát xâm nhập dựa vào mạng nơ-ron 33 2.4 Rút gọn đặc trƣng 36 i Chƣơng 3: Đánh giá hiệu số thuật toán học máy 41 việc phát xâm nhập mạng 41 3.1 Bộ liệu KDD CUP 99 41 3.2 Tiền xử lý liệu 45 3.2.1 Chuyển giá trị phi số sang số 46 3.2.2 Chuẩn hóa giá trị đầu vào 50 3.3 Kết thực nghiệm 52 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN 58 CÁC CÔNG BỐ LIÊN QUAN 60 TÀI LIỆU THAM KHẢO 61 ii DANH MỤC HÌNH VẼ Hình 1.1 Hệ thống phát xâm nhập NIDS Hình 1.2 Hệ thống phát xâm nhập HIDS 10 Hình 2.1 Quá trình phát xâm nhập dựa vào học máy 18 Hình 2.2 Hình dạng hàm sigmoid .19 Hình 2.3 Một siêu phẳng phân chia liệu học thành hai lớp 22 Hình 2.4 Dữ liệu khơng phân tách tuyến tính 25 Hình 2.5 Hàm ánh xạ từ không gian hai chiều sang không gian ba chiều 27 Hình 2.6 Mơ perceptron 28 Hình 2.7 Mô mạng nơ-ron ba lớp 30 Hình 2.8 Các bƣớc huấn luyện mạng nơ-ron 33 Hình 2.9 Các bƣớc kiểm tra liệu với mơ hình mạng nơ-ron sau huấn luyện 34 Hình 2.10 Sơ đồ huấn luyện mạng nơ-ron hệ thống phát xâm nhập 35 Hình 2.11 Phát gói tin bất thƣờng sử dụng mạng nơ-ron .36 Hình 3.1 Độ đo Information Gain 41 thuộc tính .55 iii DANH MỤC BẢNG BIỂU Bảng 3.1 Mô tả đặc trƣng liệu KDD cup 99 .41 Bảng 3.2 Bảng phân bố số lƣợng kiểu trạng thái kết nối 45 Bảng 3.3 Bảng chuyển đổi loại giao thức .46 Bảng 3.4 Bảng chuyển đổi trạng thái cờ kết nối 46 Bảng 3.5 Bảng chuyển đổi loại dịch vụ 47 Bảng 3.6 Bảng phân bố chuyển đổi nhãn trạng thái mạng .48 Bảng 3.7 Các kiểu công liệu 50 Bảng 3.8 Giá trị nhỏ lớn cột tập “Whole KDD 99” 51 Bảng 3.9 Kết chạy chƣơng trình thuật tốn học máy 54 Bảng 3.10 Kết thực nghiệm sử dụng 31 đặc trƣng 56 iv DANH MỤC CÁC TỪ VIẾT TẮT Viết tắt IDS NIDS HIDS LR SVM ANN DOS R2L U2R IG Ý nghĩa Intrusion Detection System Network- Based Intrusion Detection System Host- Based Intrusion Detection System Logistic Regression Support Vector Machine Artificial Neural Network Denial of Service Remote to Local User to root Information Gain v LỜI CẢM ƠN Trƣớc tiên, em xin đƣợc gửi lời cảm ơn chân thành tới PGS.TS Lê Trọng Vĩnh, trƣờng Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội dành nhiều công sức hƣớng dẫn em thực luận văn nhƣ suốt trình học tập làm việc trƣờng Em xin chân thành cảm ơn thầy cô Bộ môn Tin học, trƣờng Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội nhiệt tình truyền đạt kiến thức, kinh nghiệm, phƣơng pháp nghiên cứu say mê khoa học tới nhiều lứa học viên cao học có em Em xin gửi lời cảm ơn sâu sắc tới gia đình, bạn bè, anh chị em ngƣời sát cánh bên em, giúp đỡ quan tâm, động viên suốt trình học tập nhƣ thời gian thực đề tài Với bảo tận tình thầy, cơ, em cố gắng để hoàn thành luận văn Tuy nhiên, em nhiều điểm hạn chế nên luận văn cịn tồn nhiều thiếu sót Em kính mong tiếp tục nhận đƣợc ý kiến góp ý thầy, cô nhƣ bạn học viên để em phát triển đề tài Một lần em xin gửi tới tất ngƣời lời cảm ơn chân thành Học viên Trần Thị Hƣơng vi LỜI MỞ ĐẦU Thế kỷ XXI, chứng kiến phát triển nhanh chóng Internet ảnh hƣởng sâu rộng tới lĩnh vực đời sống ngƣời Song song với lợi ích mà mạng máy tính đem lại trở thành mục tiêu lợi dụng kẻ công, xâm nhập trái phép nhằm thực mƣu đồ xấu, đe dọa tới tính an tồn bảo mật thông tin tổ chức hay ngƣời dùng kết nối mạng Mặc dù, hệ thống máy tính có chế tự bảo vệ riêng nhƣng chƣa đủ để phát hay ngăn chặn công ngày tinh vi Vấn đề đặt xây dựng đƣợc hệ thống phát sớm có hiệu cơng hay xâm nhập trái phép từ đƣa cảnh báo biện pháp xử lý kịp thời Một số hệ thống phát xâm nhập mạng truyền thống đƣợc áp dụng phổ biến rộng rãi giới nhƣ hệ thống phát xâm nhập dựa tập luật, phân tích thống kê,…Các hệ thống phát tốt công biết với tỷ lệ cảnh báo sai thấp Tuy nhiên, chúng tỏ hiệu công mới, đồng thời phải cập nhật luật Một vài nghiên cứu gần [1][5] đƣa hƣớng tiếp cận dựa vào học máy cho toán phát xâm nhập mạng Từ nghiên cứu thực nghiệm liệu chuẩn, tác giả thuật toán dựa vào học máy có khả học tiếp thu tri thức từ tri thức biết từ giúp phân loại mẫu đƣợc học, dự đoán tốt mẫu (các kiểu công mới) Điều hứa hẹn đem lại cách tiếp cận hiệu cho tốn phát xâm nhập.Vì vậy, luận văn tập trung theo hƣớng tiếp cận lựa chọn ba thuật tốn điển hình nhận đƣợc quan tâm nghiên cứu gần hồi quy logistic, máy véc-tơ hỗ trợ, mạng nơ-ron nhân tạo Đồng thời tiến hành xây dựng hệ thống phát xâm nhập dựa vào thuật toán học máy từ phân tích đánh giá hiệu thuật toán việc phát xâm nhập Luận văn “Đánh giá hiệu số thuật toán phát xâm nhập mạng” đƣợc chia làm ba chƣơng với nội dung nhƣ sau: Chƣơng 1: Tổng quan: Hệ thống hóa vấn đề liên quan tới phát xâm nhập mạng hệ thống phát xâm nhập mạng Ngồi ra, chƣơng trình bày số cách tiếp cận để giải vấn đề phát xâm nhập mạng Chƣơng 2: Phát xâm nhập mạng dựa vào học máy: Trình bày số thuật tốn học máy có giám sát điển hình nhƣ hồi quy logistic, máy véc-tơ hỗ trợ, mạng nơ-ron nhân tạo cho toán phát xâm nhập, nhƣ việc áp dụng thuật toán giải tốn Bên cạnh đó, chƣơng trình bày vấn đề rút gọn đặc trƣng sử dụng độ đo information gain để giảm thiểu chi phí tính toán thời gian phát Chƣơng 3: Đánh giá hiệu số thuật toán việc phát xâm nhập mạng: Tiến hành thực nghiệm thuật toán học máy nêu chƣơng hai nhiều liệu chuẩn (KDD CUP 99), từ có đánh giá, nhận xét so sánh tỷ lệ phát xâm nhập thời gian phát mơ hình ... hành xây dựng hệ thống phát xâm nhập dựa vào thuật toán học máy từ phân tích đánh giá hiệu thuật toán việc phát xâm nhập Luận văn ? ?Đánh giá hiệu số thuật toán phát xâm nhập mạng? ?? đƣợc chia làm ba... tới phát xâm nhập mạng hệ thống phát xâm nhập mạng Ngồi ra, chƣơng trình bày số cách tiếp cận để giải vấn đề phát xâm nhập mạng Chƣơng 2: Phát xâm nhập mạng dựa vào học máy: Trình bày số thuật. .. trung vào việc nghiên cứu toán phát xâm nhập mạng, xây dựng đánh giá mơ hình phát xâm nhập mạng 1.2 Xâm nhập 1.2.1 Khái niệm Hiện chƣa có định nghĩa xác thuật ngữ xâm nhập Mỗi chuyên gia lĩnh