TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Phát xâm nhập mạng phát bất thường dựa phân tích lưu lượng mạng học máy NGUYỄN ANH ĐỨC Ngành Công nghê Thông tin Giảng viên hướng dẫn: PGS TS Nguyễn Linh Giang Viện: Công nghệ Thông tin Truyền thông HÀ NỘI, 06/2020 TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Phát xâm nhập mạng phát bất thường dựa phân tích lưu lượng mạng học máy NGUYỄN ANH ĐỨC Ngành Công nghệ thông tin Giảng viên hướng dẫn: PGS TS Nguyễn Linh Giang Viện: Công nghệ Thông tin Truyền thông Chữ ký GVHD HÀ NỘI, 06/2020 CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn: Nguyễn Anh Đức Đề tài luận văn: Phát xâm nhập mạng phát bất thường dựa phân tích lưu lượng mạng học máy Ngành: Công nghệ thông tin Mã số SV: CA170240 Tác giả, Người hướng dẫn khoa học Hội đồng chấm luận văn xác nhận tác giả sửa chữa, bổ sung luận văn theo biên họp Hội đồng ngày…27/06/2020 với nội dung sau STT 10 11 12 13 14 Nội dung chỉnh sửa Bổ sung mục tiêu luận văn Bổ sung ưu nhược điểm IDS IPS Bổ sung phương pháp phát bất thường Bô sung ưu nhược điểm hệ thống IDS/IPS dựa luật Bơ sung mơ tả chi tiết thuật tốn lan truyền ngược Đưa kiểu công Portscan xuống chương Bổ sung giới thiệu mô tả chi tiết PortscanAI Sửa lại mô tả chi tiết liệu đầu vào cho mạng nơ-ron Thay đổi hình vẽ mơ hình thử nghiệm Bổ sung giải thích kết thử nghiệm Bổ sung so sanh hiệu suất trước sau áp dụng học máy Bổ sung đánh giá kết thử nghiệm Sửa lỗi tả Sửa lỗi trích dẫn tài liệu tham khảo Giáo viên hướng dẫn Mục lục Trang 1.1.2 2.1 4-5 19 2.1.1 19-20 2.1.2.2 3.1 3.2.1 23-26 36-38 39-42 3.2.1 3.2.2 3.2.3.1 42-49 50 61-62 3.2.3.2 3.2.4 63-62 64-65 Ngày tháng năm Tác giả luận văn CHỦ TỊCH HỘI ĐỒNG Lời cảm ơn Trước hết, em xin chân thành gửi lời cảm ơn đến trường Đại Học Bách Khoa Hà Nội đào đạo, trau dồi cho em kiến thức thật bổ ích thời gian học trường Em xin cảm ơn thầy Nguyễn Linh Giang hướng dẫn em hoàn thành Đồ án chuyên ngành Cảm ơn thầy định hướng, hướng dẫn, truyền đạt lại kiến thức bổ ích, cung cấp tài liệu cần thiết để em hoàn thành đồ án Cảm ơn nhiệt tình, tận tâm thầy chúng em Em xin cảm ơn tất thầy cô trường Đại Học Bách Khoa Hà Nội thầy cô viện Công Nghệ Thông Tin truyền thông đào tạo, tạo điều kiện cung cấp cho chúng em kiến thức hữu ích, làm hành trang bước vào tương lai Em kính chúc thầy Nguyễn Linh Giang tất thầy cô viện Công Nghệ Thông Tin truyền thông trường Đại Học Bách Khoa Hà Nội dồi sức khỏe, gặt hái nhiều thành nghiệp trồng người mà thầy cô chọn Em xin cảm ơn Viện Hóa học Mơi trường Qn hỗ trợ tơi q trình thực luận văn "Nghiên cứu tài trợ Quỹ Phát triển khoa học công nghệ Quốc gia (NAFOSTED) đề tài mã số 102.02- 2019.314” Tóm tắt nội dung luận văn Đề tài: Phát xâm nhập mạng phát bất thường dựa phân tích lưu lượng mạng học máy Tác giả luận văn: Nguyễn Anh Đức Khóa: 2017A Người hướng dẫn: PGS.TS Nguyễn Linh Giang Nội dung tóm tắt: a) Lý chọn đề tài: An ninh thơng tin nói chung an ninh mạng nói riêng vấn đề quan tâm khơng Việt Nam mà tồn giới Thời gian gần đây, quan, tổ chức tăng cường triển khai đào tạo, đầu tư mua sắm trang thiết bị nghiên cứu biện pháp nhằm đảm bảo an tồn thơng tin cho máy tính cá nhân mạng nội Tuy nhiên, tình trạng cơng mạng thường xun xảy ra, có nhiều quan, tổ chức bị đánh cắp thông tin gây nên hậu vô nghiêm trọng Hiện nay, theo nghiên cứu Việt Nam giới xây dựng hệ thống phát xâm nhập mạng trái phép dựa mã nguồn mở phát triển mạnh, nhiên Việt Nam nghiên cứu có mức độ triển khai vào thực tế chưa cao Ngoài ra, chương trình giám sát hầu hết tích hợp thiết bị phần cứng nên việc khai thác chức năng, người dùng tự phát triển mở rộng thêm chức chương trình nhằm phục vụ cho cơng việc quản trị mạng bị hạn chế Vì vậy, lựa chọn đề tài "Phát xâm nhập mạng phát bất thường dựa phân tích lưu lượng mạng học máy" nhằm nâng cao khả bảo đảm an tồn thơng tin, hỗ trợ giám sát bảo vệ hệ thống mạng yêu cầu khách quan cần thiết giai đoạn b) Mục đích nghiên cứu luận văn, đối tượng, phạm vi nghiên cứu - Mục đích nghiên cứu: Nghiên cứu phương pháp phát xâm nhập trái phép dựa phát bất thường học máy - Đối tượng, phạm vi nghiên cứu: + Phương pháp phát xâm nhập trái phép dựa bất thường + Thử nghiệm Snort phát xâm nhập + Ứng dụng Snorttrong IDS/IPS c) Kết luận Luận văn nghiên cứu trình bày tổng quan hệ thống phát xâm nhập, kỹ thuật phát xâm nhập, nghiên cứu thử nghiệm hệ thống Snort đưa số kết phát xâm nhập dựa dấu hiệu; nghiên cứu phương pháp phát xâm nhập dựa bất thường học máy MỤC LỤC MỞ ĐẦU CHƯƠNG TƠNG QUAN VỀ PHÁT HIỆN VÀ PHỊNG CHỐNG XÂM NHẬP MẠNG IDS/IPS 1.1 Giới thiệu IDS/IPS 1.1.1 Khái niệm IDS/IPS 1.1.2 Sự khác IDS/IPS 1.1.3 Phân biệt hệ thống IDS 1.2 Chức IDS/IPS 1.3 Phân biệt IDS IPS 1.4 1.5 1.3.1 Network based IDS – NIDS 1.3.2 Host Based IDS-HIDS 1.3.3 So sánh NIDS HIDS 10 Kiến trúc IDS nguyên lý hoạt động 12 1.4.1 Kiến trúc IDS 12 1.4.2 Nguyên lý hoạt động 13 Cơ chế hoạt động hệ thống IDS/IPS 14 1.5.1 Phát lạm dụng 14 1.5.2 Phát bất thường 15 1.5.3 So sánh mô hình 17 CHƯƠNG CÁC PHƯƠNG PHÁP PHÁT HIỆN TẤN CÔNG TRONG HỆ THỐNG IDS/IPS VÀ SNORT 19 2.1 Các phương pháp phát bất thường 19 2.1.1 Phát xâm nhập mạng bất thường dựa luật (rule-based) IDS/IPS 19 2.1.2 Phát xâm nhập mạng bất thường dựa mạng nơ-ron (Artificial Neural Network) 20 2.2 Hệ thống phát xâm nhập với Snort 26 2.3 Kiến trúc snort 27 2.3.1 Môđun giải mã gói tin 28 2.3.2 Môđun tiền xử lý 28 2.3.3 Môđun phát 29 2.3.4 Môđun log cảnh báo 30 2.3.5 Mô đun kết xuất thông tin 30 2.3.6 Bộ luật snort 31 CHƯƠNG THỬ NGHIỆM PHÁT HIỆN TẤN CÔNG XÂM NHẬP MẠNG BẤT THƯỜNG BẰNG HỌC MÁY 36 3.1 3.2 Các kiểu cống Portscan 36 3.1.1 TCP Connect Scan 36 3.1.2 UDP Scan 37 3.1.3 SYN Scan 37 3.1.4 FIN Scan 38 3.1.5 XMAS Scan 38 3.1.6 NULL Scan 38 3.1.7 Decoy Scan 38 Thử nghiệm phát công học máy 39 3.2.1 Giới thiệu PortscanAI 39 3.2.2 Mơ hình thử nghiệm 50 3.2.3 Quá trình thử nghiệm 50 3.2.4 Đánh giá kết thử nghiệm 64 KẾT LUẬN 66 TÀI LIỆU THAM KHẢO 67 DANH MỤC HÌNH VẼ HÌNH 1.1 Mơ hình IDS HÌNH 1.2 Mơ hình NIDS HÌNH 1.3 Mơ hình Host based IDS – HIDS HÌNH 1.4 Một ví dụ sử dụng kết hợp NIDS HIDS 11 HÌNH 1.5 Thành phần IDS 12 HÌNH 1.6 Hoạt động IDS 13 HÌNH 1.7 Hệ thống kết hợp mơ hình phát 18 HÌNH 2.1 Mơ hình hệ thống phát bất thường dựa rule-based 20 HÌNH 2.2 Kiến trúc nơ ron nhân tạo 22 HÌNH 2.3Mơ hình mạng nơ ron 22 HÌNH 2.4 Mạng truyền thẳng 24 HÌNH 2.5 Hệ thống phát xâm nhập sử dụng snort (Snort IDS) 27 HÌNH 2.6 Kiến trúc Snort 27 HÌNH 2.7 Mơ hình xử lý gói tin Ethernet 28 HÌNH 3.1 Mơ hình kiến trúc snort chưa tích hợp học máy 39 HÌNH 3.2 Kiểu cơng TCP CONNECT ( Trái ) TCP SYN ( Phải ) 40 HÌNH 3.3 Sơ đồ hoạt động hệ thống 41 HÌNH 3.4 Sơ đồ chi tiết PortscanAI 42 HÌNH 3.5 Mơ hình mạng nơ ron PortscanAI 45 HÌNH 3.6 Sơ đồ gói AI tích hợp Snort 47 HÌNH 3.7 Thông số lớp đầu vào đâu mạng nơ ron 48 HÌNH 3.8 Đồ thị huấn luyện mạng 49 HÌNH 3.9 Mạng nơ-ron với lớp đầu vào lớp đâu 49 HÌNH 3.10 Mơ hình thử nghiệm 50 MỤC LỤC BẢNG BIỂU Bảng 1.1 So sánh mơ hình phát 17 Bảng 2.1 Cấu trúc luật Snort 31 Bảng 2.2 Cấu trúc Header luật Snort 32 Bảng 3.1 Bảng thu thập liệu đầu vào 44 MỞ ĐẦU 1.Tính cấp thiết đề tài: An ninh mạng vấn đề giới công nghệ thông tin quan tâm Một internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục tiêu việc nối mạng làm cho người sử dụng chung tài nguyên từ vị trí địa lý khác Cũng mà tài ngun dễ dàng bị phân tán, dẫn điều hiển nhiên chúng bị xâm phạm, gây mát liệu thơng tin có giá trị Càng giao thiệp rộng dễ bị cơng Từ đó, vấn đề bảo vệ thơng tin đồng thời xuất Ngồi lợi ích mà Internet mạng lại cho người hiểm họa từ Internet mang đến khơng Nhiều người dựa lỗ hỗng bảo mật Internet để xâm nhập, chiếm dụng thông tin phá hoại hệ thống máy tính khác Vì vậy, phát phịng chống công xâm nhập trái phép cho mạng máy tính vấn đề cần thiết Có nhiều giải pháp đưa dùng tường lửa (Firewall), Mạng riêng ảo VPN, IDS/IPS… Hệ thống phát xâm nhập IDS (Intrusion Detection System) phương pháp bảo mật có khả phát chống lại kiểu công mới, vụ lạm dụng, dùng sai xuất phát từ hệ thống hoạt động tốt với phương pháp bảo mật truyền thống khác Luận văn tập trung nghiên cứu Phát xâm nhập mạng phát bất thường dựa phân tích lưu lượng mạng học máy 2.Tổng quan nội dung nghiên cứu đề tài Cách khoảng 25 năm, khái niệm phát xâm nhập xuất qua báo James Anderson [1] Khi người ta cần IDS với mục đích dị tìm nghiên cứu hành vi bất thường thái độ người sử dụng mạng, phát việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng Hiện IDS/IPS công nghệ an ninh sử dụng nhiều phát triển Hệ thống phát xâm nhập (IDS) phương pháp bảo mật có khả chống lại kiểu cơng hoạt động tốt với phương pháp bảo mật truyền thống Nó nghiên cứu, phát triển ứng dụng nhiều quốc gia Tuy nhiên Việt Nam hệ thống nghiên cứu ứng dụng thực tế nhiều hạn chế Nguyên nhân việc hệ thống IDS phức tạp, tốn thời gian đào tạo để sử dụng, hệ thống lớn, yêu cầu nhiều trang thiết bị, nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện hệ thống Việt Nam Từ vấn đề nêu trên, thực đề tài với mong muốn nghiên cứu đặc trưng hệ thống phát xâm nhập trái phép, giới Kiểm tra file cấu hình snort lệnh snort -T -c /etc/snort/snort.conf Thêm rule để test vào file /etc/snort/rules/local.rules alert icmp any any -> $HOME_NET any (msg:"ICMP- Co may dang Ping"; sid:10000001; rev:001;) Ta tiến hành ping tư vào máy client Sau máy server cài đặt Snort ta thực lệnh sau để kiểm tra sau snort -A console -u snort -c /etc/snort/snort.conf Với luật đơn giản thêm vào tập luật ta cảnh báo sau : 53 Bước : Tiến hành cài đặt PortscanAI vào Snort Ta tiến hành thêm file sau vào khối Tiền xử lý theo đường dẫn sau src/preprocessors/MLP_7_4_2.c MLP_7_4_2.h Đây mạng nơ ron MLP (MultiLayer Perceptron) Ở ta thấy mơ hình mạng nở ron PortscanAI có hàm kích hoạt (hàm chuyền) hàm sigmoid, hàm đặc biệt thuận lợi ta sử dụng thuật toán huấn luyện lan truyền ngược, đồng thời phù hợp với chương trình xây dựng có đầu mong muốn rơi vào khoảng [0,1] Mô tả dạng công thức hàm sigmoid: Với lớp mạng khai báo gồm lớp : Lớp đầu vào gồm nơ ron tương ứng với liệu nói trên, lớp ẩn gồm nơ ron, lớp đầu gồm nơ ron 54 Tương tự ta thêm file theo đường dẫn sau src/preprocessors/net_elman_16_dic_5pm.c and net_elman_16_dic_5pm.h Sau đò ta tiến hành thêm file sau vào khối tiền xử lý theo đường dẫn src/preprocessors/spp_portscanai.c spp_portscanai.h 55 Các file viết ngôn ngữ c Chỉnh sửa file snort_config để kích hoạt tiền xử lý PortscanAI preprocessor portscanai: ignorebc \ analyze_thr_lower 100 \ analyze_thr_upper 1600 \ sense_level 0.05 \ net_topology \ log_method preprocessor portscanai_train - Hướng dẫn cài đặt console_web PortscanAI : Trước hết ta cài đặt Apache2 MySQL lên máy chủ câu lệnh : sudo apt-get install apache2 Chạy thử ta kết sau Service apache2 star 56 Để kích hoạt bảng điều khiển phân tích sở web PortscanAI,ta có console_web thư mục snort-ai, ta cần chép tesis thư mục nằm console_web sang / var / www / html ( thư mục gốc apache) Sau thực thay đổi cho biến sau /var/www/html/tesis/file/config.php $ log_path = '/ var / log / snort / portscanai'; $ jpgraph_path = '/var/www/jpgraph-1.19; Ở tác giả cài đặt sẵn jpgraph1.19 Bước : Thực việc công Máy công IP 192.168.32.132 sử dụng nmap để quét cổng đến máy chủ câu lệnh admi@admin:~$ sudo nmap –F 192.168.32.129 -A Đây dạng quét nhanh (-F) tồn phạm vi mạng tạo danh sách tất địa IP thuộc máy chủ hoạt động mạng này, với số thông tin bổ sung 57 Bước : Hệ thống trả kết quả, sơ đồ - Tiến hành bật Snort chế độ lắng nghe cổng eth0 ta kết sau snort -A console -q -c /etc/snort/PortscanAI/snort.conf -i eth0 Snort PortscanAI cảnh báo kiện portscan mà không cần dựa vào tập luật 58 Biểu đồ phía thể giá trị thời gian số luồng kết nối đến server ghi nhận, tổng số kết thể trục X trục Y, số lượng kết nối ghi nhận hệ thống với địa ip cụ thể Nhìn biểu đồ ta thấy tổng số lượng truy cập ghi nhận hệ thống với gia tăng kết nối mà hệ thông thống nhận -250 sau kết nối bắt đầu chấm dứt Biểu đồ thứ (rcv_time) thời gian tổng số luồng ghi lại, thấy chúng kết nối nhanh 59 Trong số tham số xác định để thực phép đo, có hai tham số kết việc lấy trung bình liệu Đó av_rcv_time (thời gian nhận trung bình) av_snd_time (thời gian gửi trung bình) Giá trị hits_as_src lớn ta kết luận kiện quét cổng Ở ta dễ dàng thấy số lần truy cập địa IP máy công 192.168.32.132 284 với thời gian nhanh Thực quét TCP-Connect câu lệnh sau: Nmap –sS 192.168.32.129 ta kết sau Quay trở lại máy server 60 Snort tích hợp học máy cảnh báo có kiện portscan Từ biểu đồ ta thấy với thời số luồng máy attacker kết nối đến máy chủ với thời gian ngắn sau thực kiện portscan Sự ngắt quãng thể đồ thị trình tiến hành portscan từ lần thăm trước đên lần - Để tăng độ phức tạp lần quét ta tiến hành thực Decoy Scan với nhiều IP nhằm ẩn địa Ip thực máy attacker câu lệnh sau nmap –n D192.168.1.3,10.5.1.2,172.1.2.3 192.168.32.129 Quay trở lại máy server ta kết sau 61 Snort đưa cảnh báo kiện portscan có địa IP 192.168.32.129 sử dụng cổng 11110 Trên bảng băm Ip Hash thể số lượng kết nối đến Ip đích Ip nguồn có giá trị lớn đột biến Đồ thị thể khoảng thời gian số lượng mà máy attacker gửi đến server Có thể thấy thực Decoy biểu đồ có thay đổi rõ rết Ở biểu đồ (bao gôm tổng số lượt truy cập so với số luồng), có gia tăng số lượng kết nối mà PC nhận số luồng (flow) bắt từ đến 3500 rời rạc ngắt quãng Đồng thời, biểu đồ thứ ba (thời gian kết nối so với tổng số luồng ghi lại) thể thời gian kết nối luồng (flow), giá trị thời gian kết nối bắt đầu 62 3.2.3.2 Kiểm tra hiệu suất Để xác định chất lượng giải pháp thử nghiệm ta thực cách so sánh hiệu suất tiền xử lý sfPortscan (được kèm mặc định Snort để phát quét cổng) tiền xử lý PortscanAI [9] Cấu hình sfPortscan : - Phát bao gồm tất giao thức truyền thông : (proto { all }), - Báo cáo tất loại quét với mức độ nhạy thấp : (sense_level {low}) Cấu hình tiền xử lý PortscanAI: Bỏ qua lưu lượng phát phát (bỏ qua 1), Giới hạn thấp cửa sổ 100, cao 1600 (analy_thr_lower 100 analy_thr_upper 1600) Mức độ nhạy 0,05 (sense_level 0,05) Trong snort.conf có dạng preprocessor portscanai: ignorebc \ analyze_thr_lower 100 \ analyze_thr_upper 1600 \ sense_level 0.05 \ net_topology \ log_method preprocessor portscanai_train Kiểm tra thực - Tỷ lệ gói tin bị bỏ qua: tỷ lệ gói khơng phân tích bị bỏ qua (tính giá trị phần trăm), nghĩa gói tin đến máy chủ xử lý hạn chế khả xử lý sử dụng sai Tỷ lệ phải 0, điều kiện lượng lớn giao thức sử dụng mạng, tỷ lệ tăng lên Một yếu tố ảnh hưởng đến biện pháp hiệu thuật toán thiết kế, đó, thuật tốn khơng hiệu tỷ lệ lớn gói thời gian xử lý thuật toán, thuật toán hiệu không Phép đo thực cách cho máy chủ chịu tải lưu lượng lớn không đổi, chạy Snort mà không sử dụng PortscanAI ngược lại Kết thu giá trị trung bình từ lần thử Trong thử nghiệm này, 109.000 gói bắt 60 giây Tiến hành thử nghiệm ta kết sau Điều kiện: Số lượng gói tin bị bắt 109.000 Thời lượng 60s Kết : 63 Khơng PortscanAI PortscanAI % gói tin bị 0.151 % 0.896% - Sử dụng tài nguyên : Để đo mức độ sử dụng tài nguyên máy chủ tiến hành cho 1.676 gói TCP đến từ nguồn nhất, gói hướng đến cổng khác cảm biến ta kết sau : Điều kiện ban đầu sfPortscan PortscanAI 0.3 MB 0.1 MB Lưu lượng truy cập (gồm 0.2 MB < 0.1 MB 1676 gói) - Kiêm tra hiệu Thử nghiệm snort với sfPortscan PortscanAI với mạng MLP, snort với sfPortscan PortscanAI với mạng Elman Các cảnh báo tạo hai cài đặt sfPortscan gần tương đồng Với lưu lương bình thường : Các gói tin lưu thơng qua mạng cảnh báo hai bên tạo sau đo so sánh với nhau, ta bỏ qua cảnh báo Portsweep sfPortscan Thử nghiệm kéo dài bắt 2.585.956 gói tin tham số bảng bao gơm • Quét phát hiện: Có lần quét mà cảm biến phát • Báo động sai - Cho biết có lần quét báo cáo trước xác nhận cảnh báo sai (dương tính giả) Các cơng khơng coi báo động sai khơng xác nhận, điều có nghĩa chúng báo động sai •% gói bị mất: phần trăm gói bị cảm biến đánh rơi với mạng MLP cảm biến với mạng Elman Điều kiện: sfPortscan PortscanAI MLP Elman Quét phát Báo động sai 0.057% 0.045% % gói tin bị 3.2.4 Đánh giá kết thử nghiệm Quá trình xây dựng thử nghiệm mơ hình tích hợp học dựa tảng mạng nơ ron đạt kết sau: 64 Ở so sánh với hệ thống chưa áp dụng học máy mơ hình áp dụng học máy Tiêu chí Hệ thống cũ Hệ thống Khả tự động cảnh báo Khơng (phụ thuộc vào Có xâm nhập tập luật) Khả cảnh báo có Khơng Có cơng không nằm tập luật Như nêu kiến trúc Snort có phần, mơ-đun tiền xử lý (preprocessor) viết plug-in giúp cho Snort linh hoạt hơn, mở rộng khả Snort để phát bất thường mạng, phát công (không cần dựa vào luật) cách tìm dấu hiệu bất thường gói tin tạo cảnh báo Khi PortscanAI tích hợp vào Snort, Snort có khả phát xâm nhập bất thường, phát công TCPConnect, TCP SYN, Decoy… mà xây dựng luật mục tiêu chung hệ thống phát xâm nhập khả cảnh báo sớm nguy cho người quản trị Ngoài việc sử dụng Mạng nơ ron nhân tạo làm đơn giản hóa cơng việc nhà phát triển, thay tốn nhiều thời gian vào việc xây dựng luật cho hệ thống Tuy nhiên cịn cảnh báo dư thừa hay bỏ xót gói tin để xây dựng hệ thống sử dụng học máy cần lựa chọn xác giá trị tham số đầu vào cho mạng để đưa kết tốt Vấn đề tồn mạng nơ ron cấu trúc mạng nơ ron ảnh hưởng nhiều đến khả hệ thống Nếu mạng có nhiều lớp khả hội tụ mạng chậm Nên để có mạng tốt phải trải qua thực nghiệm nhiều với tham số khác để xây dựng mơ hình phù hợp Vậy để Snort phát xâm nhập dựa bất thường, ta xây dựng mơđun sử dụng mạng nơ-ron, sau tích hợp vào mô-đun Preprocessor Snort 65 KẾT LUẬN Trong trình làm luận văn, tác giả tìm hiểu hệ thống bảo mật, đặc biệt Hệ thống phát ngăn chặn xâm nhập (IDS/IPS) IDS/IPS thành phần chiến lược phòng thủ theo chiều sâu Hệ thống thông tin Hệ thống có chức phát ngăn chặn dấu hiệu công, giúp chuyên gia, nhà quản trị mạng chủ động đối phó với nguy xâm phạm Luận văn trình bày cách tổng quan nguyên lý hoạt động, phân loại, phương pháp phát xâm nhập, công, luật cách sử dụng Snort để xây dựng hệ thống phát ngăn chặn xâm nhập Ngày với tính chất phức tạp công xâm nhập mạng việc sử dụng học máy đem lại nhiều lợi ích việc quản trị mạng Hệ thống hỗ trợ phát xâm nhập mạng kết hợp với mạng nơ ron trình thử nghiệm thực tế cho thấy ưu điểm với khả phát sớm cơng Tuy có cố gắng, thời gian có hạn nên tác giả triển khai thử nghiệm phương pháp phát bất thường học máy thử nghiệm Snort hệ thống phát xâm nhập dựa dấu hiệu Kết nghiên cứu đề tài áp dụng để phát nguy xâm nhập trái phép vào hệ thống mạng; hỗ trợ giám sát, bảo vệ mạng máy tính, góp phần đảm bảo an ninh an tồn thơng tin * Hướng phát triển luận văn : - Tiếp tục nghiên cứu, thử nghiệm phương pháp phát xâm nhập dựa bất thường để nâng cao khả phát xâm nhập hệ thống mạng; - Nghiên cứu kết hợp hai phương pháp: phát xâm nhập bất thường dựa dấu hiệu phát xâm nhập bất thường sử dụng học máy để kết hợp ưu điểm hai phương pháp khắc phục khuyết nhược điểm chúng 66 TÀI LIỆU THAM KHẢO Tài liệu tiếng Việt [1] Nguyễn Ngọc Tuấn, Công nghệ bảo mật, NXB Thống Kê, 2005 Tài liệu tiếng Anh [1] J.P Anderson, Computer Security Threat Monitoring and Surveil- lance, James P Anderson Co., Fort Washington, Pa 1980 [2] Christopher Kruegel, Fredrik Valeur, Giovanni Vigna, Computer security and Intrusion Detection, Alert Corelation, Challenges and Solution, Springer, 2005 [3] Earl Carter, Introduction to Network Security, Cisco Secure Intrusion Detection system, Cisco Press, 2000 [4] Rafeeq Rehman, Intrusion Detection with Snort, NXB Prentice Hall, 2003 [5] Martin Roesch, Chris Green ,Snort User Manual, The Snort Project, 2003 [6] KnowledgeNet Security+ Student Guide, Module 1–3, knowledgenet.com, 2003 [7] Intrusion Detection Systems with Snort Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID (BRUCE PERENS’ OPEN SOURCE SERIES) [8] Snort 2.1 Intrustion Detection Andrew R Backer; Brian Caswell [9] VI Jornada Nacional de Seguridad Informática ACIS 2006 Tài liệu Internet [10] www.Snort.org [11] https://help.ubuntu.com/10.04/serverguide/C/mysql.html [12] http://www.youtube.com/watch?v=FzKdaiUZUwM [13] http://www.slideshare.net/phanleson/snort [14] http://artemisa.unicauca.edu.co/~aarboleda/snort_ai_faq.htm [15] http://geek00l.blogspot.com/2006/04/snort-portscanai-testing.html 67 ... quan hệ thống phát xâm nhập, kỹ thuật phát xâm nhập, nghiên cứu thử nghiệm hệ thống Snort đưa số kết phát xâm nhập dựa dấu hiệu; nghiên cứu phương pháp phát xâm nhập dựa bất thường học máy MỤC LỤC... 19 2.1 Các phương pháp phát bất thường 19 2.1.1 Phát xâm nhập mạng bất thường dựa luật (rule-based) IDS/IPS 19 2.1.2 Phát xâm nhập mạng bất thường dựa mạng nơ-ron (Artificial... tự phát triển mở rộng thêm chức chương trình nhằm phục vụ cho cơng việc quản trị mạng bị hạn chế Vì vậy, lựa chọn đề tài "Phát xâm nhập mạng phát bất thường dựa phân tích lưu lượng mạng học máy"