NGHIÊN CỨU TÍCH HỢP VÀ THỬ NGHIỆM MẠNG NƠ-RON PERCEPTRON ĐA TẦNG MLP VÀ SNORT IDS MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT DANH MỤC HÌNH VẼ .4 LỜI NÓI ĐẦU CHƯƠNG TỔNG QUAN VỀ IDS VÀ IDS SNORT 1.1 Kiến thức sở IDS .6 1.1.1 Khái niệm chung IDS .6 1.1.2 Các thành phần chức IDS 1.1.3 Phân loại IDS .8 1.1.4 Cơ chế hoạt động IDS 11 1.1.5 Các ứng dụng phổ biến IDS 12 1.2 IDS Snort 13 1.2.1 Giới thiệu Snort 13 1.2.2 Kiến trúc chế hoạt động Snort 13 1.2.3 Bộ luật Snort 17 CHƯƠNG II MẠNG NƠ-RON MLP .29 2.1 Giới thiệu mạng nơ-ron nhân tạo 29 2.1.1 Mạng nơron nhân tạo gì? 29 2.1.2 So sánh mạng nơron với máy tính truyền thống 29 2.1.3 Mạng nơ ron nhân tạo 30 2.2 Mạng Perceptron đa tầng ( nhiều lớp) 32 2.2.1 Perceptron 32 2.2.2 Mạng nhiều tầng truyền thẳng (MLP) .33 2.2.3 Các vấn đề xây dựng mạng MLP 35 2.3 Ứng dụng mạng nơ-ron 43 KẾT LUẬN .44 TÀI LIỆU THAM KHẢO .45 DANH MỤC CÁC TỪ VIẾT TẮT Viết tắt Tiếng anh Tiếng việt CNTT Công nghệ thông tin IDS Intrusion Detection System IP Internet Protocal ICMP Internet Control Message Protocol Transmission Control Protocol User Datagram Protocol TCP UDP HTTP HyperText Protocol hệ thống phát truy nhập trái phép Giao thức internet Giao thức điều khiển thông báo Internet Giao thức điều khiển truyền vận Giao thức truyền thông điệp nhỏ tầng giao vận Transfer giao thức truyền tải siêu văn DANH MỤC HÌNH VẼ Hình 1 Mơ hình kiến trúc hệ thống phát xâm nhập (IDS) Hình Network Based IDS Hình Host Based IDS 10 Hình Cấu trúc IP header 12 Hình Mơ hình kiến trúc hệ thống Snort 14 Hình Một gói tin sau giải mã đưa tiếp vào module tiền xử lý 15 Hình Cấu trúc luật Snort .18 Hình Header luật Snort 18Y Hình Nơron nhân tạo 30 Hình 2 Perceptron 33 Hình Mạng MLP tổng quát 34 Hình Mối liên hệ sai số kích thước mẫu 36 Hình Huấn luyện luân phiên hai tập mẫu 41 LỜI NÓI ĐẦU Ngày số lượng xâm phạm ngày tăng, Internet mạng nội ngày xuất nhiều khắp nơi, thách thức vấn đề xâm phạm mạng buộc tổ chức phải bổ sung thêm hệ thống khác để kiểm tra lỗ hổng bảo mật CNTT Hệ thống phát xâm phạm (IDS – Intrusion Detection System) hệ thống gần đông đảo người liên quan đến bảo mật quan tâm Hơn công tinh vi, phức tạp đến từ nhiều chiều hướng khác Trước tình hình cần phải có chiến lược, giải pháp phòng thủ theo chiều hướng sâu nhiều lớp Xuất phát từ vấn đề đề tài :”nghiên cứu tích hợp thử nghiệm mạng nơ-ro Perceptron đa tầng MLP vào Snort IDS” giúp ta phòng chống xâm phạm trái phép CHƯƠNG TỔNG QUAN VỀ IDS VÀ IDS SNORT 1.1 Kiến thức sở IDS 1.1.1 Khái niệm chung IDS IDS tên viết tắt Intrusion Detection System hay gọi hệ thống phát truy nhập trái phép IDS có nhiệm vụ rà quét gói tin mạng, phát truy nhập trái phép, dấu hiệu cơng vào hệ thống từ cảnh cáo cho người quản trị hay phận điều khiển biết nguy xảy cơng trước xảy Một hệ thống phát truy nhập trái phép có khả phát tất luồng liệu có hại từ mạng vào hệ thống mà Firewall phát Thông thường công mạng thuộc kiểu công : từ chối dịch vụ, phá hoại liệu ứng dụng, công vào máy trạm thay đổi máy tính, đăng nhập bất hợp pháp truy nhập vào tin nhạy cảm loại Virus, Trojan, Worm độc hại khác 1.1.2 Các thành phần chức IDS Các thành phần IDS Hình 1 Mơ hình kiến trúc hệ thống phát xâm nhập (IDS) IDS bao gồm thành phần chính: - Thành phần thu thập thơng tin gói tin - Thành phần phát gói tin - Thành phần xử lý (phản hồi) * Thành phần thu thập thơng tin gói tin Thành phần có nhiệm vụ lấy tất gói tin đến mạng Thơng thường gói tin có địa khơng phải card mạng bị card mạng huỷ bỏ card mạng IDS đặt chế độ thu nhận tất Tất gói tin qua chúng lưu, xử lý, phân tích đến trường thơng tin Bộ phận thu thập gói tin đọc thơng tin trường gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ Các thơng tin chuyển đến thành phần phát công * Thành phần phát gói tin Ở thành phần này, cảm biến đóng vai trị định Vai trị cảm biến dùng để lọc thông tin loại bỏ thơng tin liệu khơng tương thích đạt từ kiện liên quan tới hệ thống bảo vệ, phát hành động nghi ngờ * Thành phần xử lý Khi có dấu hiệu cơng thâm nhập, thành phần phát cơng gửi tín hiệu báo hiệu (alert) có cơng thâm nhập đến thành phần phản ứng Lúc thành phần phản ứng kích hoạt tường lửa thực chức nǎng ngǎn chặn công hay cảnh báo tới người quản trị Dưới số kỹ thuật ngǎn chặn Cảnh báo thời gian thực Gửi cảnh báo thời gian thực đến người quản trị để họ nắm chi tiết công, đặc điểm thông tin chúng Ghi lại vào tập tin Các liệu gói tin lưu trữ hệ thống tập tin log Mục đích để người quản trị theo dõi luồng thông tin nguồn thông tin giúp cho module phát công hoạt động Ngăn chặn, thay đổi gói tin Khi gói tin khớp với dấu hiệu cơng IDS phản hồi cách xóa bỏ, từ chối hay thay đổi nội dung gói tin, làm cho gói tin trở nên khơng bình thường Chức IDS Chức quan trọng IDS là: -Giám sát: giám sát lưu lượng mạng hoạt động bất thường hoạt động khả nghi -Cảnh báo: Khi biết hoạt động bất thường truy cập đó, IDS đưa cảnh báo hệ thống cho người quản trị -Bảo vệ: Dùng thiết lập mặc định cấu hình từ nhà quản trị mà có hành động chống lại kẻ xâm nhập Chức mở rộng IDS: -Phân biệt cơng từ từ bên ngồi: phân biệt đâu truy cập hợp lệ (hoặc không hợp lệ) từ bên đâu cơng từ bên ngồi -Phát hiện: dựa vào so sánh lưu lượng mạng với baseline, IDS phát dấu hiệu bất thường đưa cảnh báo bảo vệ ban đầu cho hệ thống 1.1.3 Phân loại IDS Có loại IDS Network Based IDS(NIDS) Host Based IDS (HIDS) 1.1.3.1 Network Based IDS Hệ thống IDS dựa mạng sử dụng dò bộ cảm biến cài đặt tồn mạng Những dị theo dõi mạng nhằm tìm kiếm lưu lượng trùng với mô tả sơ lược định nghĩa dấu hiệu Những bộ cảm biến thu nhận phân tích lưu lượng thời gian thực Khi ghi nhận mẫu lưu lượng hay dấu hiệu, cảm biến gửi tín hiệu cảnh báo đến trạm quản trị cấu hình nhằm tìm biện pháp ngăn chặn xâm nhập xa NIDS tập nhiều sensor đặt toàn mạng để theo dõi gói tin mạng so sánh với với mẫu định nghĩa để phát cơng hay khơng Hình Network Based IDS Lợi Network Based IDS - Quản lý network segment (gồm nhiều host) - Cài đặt bảo trì đơn giản, khơng ảnh hưởng tới mạng - Tránh DOS ảnh hưởng tới host - Có khả xác định lỗi tầng Network (trong mơ hình OSI) - Độc lập với hệ điều hành Hạn chế Network Based IDS - Có thể xảy trường hợp báo động giả (false positive), tức khơng có intrusion mà NIDS báo có intrusion - NIDS địi hỏi phải cập nhật signature để thực an toàn - Có độ trễ thời điểm bị attack với thời điểm phát báo động Khi báo động phát ra, hệ thống bị tổn hại - Hạn chế giới hạn băng thơng Hacker công cách chia nhỏ liệu để xâm nhập vào hệ thống - Không cho biết việc attack có thành cơng hay khơng alert tcp 192.168.2.0/24 23 -> any any (content:”confidential”; msg: “Detected confidential”) Ta thấy cấu trúc luật có dạng sau: Hình Cấu trúc luật Snort Diễn giải: Tất Luật Snort logic gồm phần: Phần header phần Option • Phần Header chứa thơng tin hành động mà luật thực phát có xâm nhập nằm gói tin chứa tiêu chuẩn để áp dụng luật với gói tin • Phần Option chứa thông điệp cảnh báo thông tin phần gói tin dùng để tạo nên cảnh báo Phần Option chứa tiêu chuẩn phụ thêm để đối sánh luật với gói tin Một luật phát hay nhiều hoạt động thăm dị hay cơng Các luật thơng minh có khả áp dụng cho nhiều dấu hiệu xâm nhập Dưới cấu trúc chung phần Header luật Snort: Hình Header luật Snort • Action: phần qui định loại hành động thực thi dấu hiệu gói tin nhận dạng xác luật Thơng thường, hành động tạo cảnh báo log thông điệp kích hoạt luật khác • Protocol: phần qui định việc áp dụng luật cho packet thuộc giao thức cụ thể Ví dụ IP, TCP, UDP … • Address: phần địa nguồn địa đích Các địa máy đơn, nhiều máy mạng Trong hai phần địa địa nguồn, địa đích địa thuộc loại phần Direction “->” qui định • Port: xác định cổng nguồn đích gói tin mà luật áp dụng • Direction: phần đâu địa nguồn, đâu địa đích Ví dụ: alert icmp any any -> any any (msg: “Ping with TTL=100”;ttl: 100;) Phần đứng trước dấu mở ngoặc phần Header luật phần lại phần Option Chi tiết phần Header sau: • Hành động luật “alert” : cảnh báo tạo điều kiện gói tin phù hợp với luật(gói tin ln log lại cảnh báo tạo ra) • Protocol luật ICMP tức luật áp dụng cho gói tin thuộc loại ICMP Bởi vậy, gói tin khơng thuộc loại ICMP phần cịn lại luật khơng cần đối chiếu • Địa nguồn “any”: tức luật áp dụng cho tất gói tin đến từ nguồn cịn cổng “any” loại gói tin ICMP cổng khơng có ý nghĩa Số hiệu cổng có ý nghĩa với gói tin thuộc loại TCP UDP thơi • Cịn phần Option dấu đóng ngoặc cảnh báo chứa dòng “Ping with TTL=100” tạo tìm thấy điều kiện TTL=100 TTL Time To Live trường Header IP a, Phần tiêu đề Như phần trình bày, Header luật bao gồm nhiều phần Sau đây, chi tiết cụ thể phần Hành động luật (Rule Action) Là phần luật, hành động thực mà điều kiện luật thoã mãn Một hành động thực tất điều kiện phù hợp Có hành động định nghĩa ta tạo hành động riêng tuỳ thuộc vào yêu cầu Đối với phiên trước Snort nhiều luật phù hợp với gói tin luật áp dụng Sau áp dụng luật luật khơng áp dụng cho gói tin Nhưng phiên sau Snort tất luật áp dụng gói tin • Pass: Hành động hướng dẫn Snort bỏ qua gói tin Hành động đóng vai trị quan trọng việc tăng cường tốc độ hoạt động Snort mà ta không muốn áp dụng kiểm tra gói tin định Ví dụ ta sử dụng bẫy (đặt máy đó) để nhử hacker cơng vào ta phải cho tất gói tin đến máy Hoặc dùng máy quét để kiểm tra độ an toàn mạng ta phải bỏ qua tất gói tin đến từ máy kiểm tra • Log: Hành động dùng để log gói tin Có thể log vào file hay vào sở liệu tuỳ thuộc vào nhu cầu • Alert: Gửi thông điệp cảnh báo dấu hiệu xâm nhập phát Có nhiều cách để gửi thơng điệp gửi file Console Tất nhiên sau gửi thơng điệp cảnh báo gói tin log lại • Activate: sử dụng để tạo cảnh báo kích hoạt luật khác kiểm tra thêm điều kiện gói tin • Dynamic: luật gọi luật khác có hành động Activate Các hành động người dùng định nghĩa: hành động định nghĩa theo cấu trúc sau: ruletype action_name { action definition } ruletype từ khoá Hành động định nghĩa xác dấu ngoặc nhọn: hàm viết ngôn ngữ C chẳng hạn Ví dụ như: ruletype smb_db_alert { type alert output alert_smb: workstation.list output database: log, mysql, user=test password=test dbname=snort host = localhost } Đây hành động có tên smb_db_alert dùng để gửi thông điệp cảnh báo dạng cửa sổ pop-up SMB tới máy có tên danh sách liệt kê file workstation.list tới sở liệu MySQL tên snort Protocols Là phần thứ hai luật có chức loại gói tin mà luật áp dụng Hiện Snort hiểu protocol sau : • IP • ICMP • TCP • UDP Nếu IP Snort kiểm tra header lớp liên kết để xác định loại gói tin Nếu giao thức khác sử dụng Snort sử dụng header IP để xác định loại protocol Protocol đóng vai trị việc rõ tiêu chuẩn phần header luật Phần option luật có điều kiện khơng liên quan đến protocol Address Có hai phần địa luật Snort Các địa dùng để kiểm tra nguồn sinh đích đến gói tin Địa địa IP đơn địa mạng Ta dùng từ any để áp dụng luật cho tất địa Địa viết theo sau dấu gạch chéo số bít subnet mask Ví dụ địa 192.168.2.0/24 thể mạng lớp C 192.168.2.0 với 24 bít subnet mask Subnet mask 24 bít 255.255.255.0 Ta biết : • Nếu subnet mask 24 bít mạng lớp C • Nếu subnet mask 16 bít mạng lớp B • Nếu subnet mask bít mạng lớp A • Nếu subnet mask 32 bít địa IP đơn Trong hai địa luật Snort có địa địa nguồn địa lại địa đích Việc xác định đâu địa nguồn, đâu địa đích phụ thuộc vào phần hướng (direction) Ví dụ luật : alert tcp any any -> 192.168.1.10/32 80 (msg: “TTL=100”; ttl: 100;) Luật tạo cảnh báo tất gói tin từ nguồn có TTL = 100 đến web server 192.168.1.10 cổng 80 Ngăn chặn địa hay loại trừ địa Snort cung cấp cho ta kĩ thuật để loại trừ địa cách sử dụng dấu phủ định (dấu !) Dấu phủ định đứng trước địa cho Snort khơng kiểm tra gói tin đến từ hay tới địa Ví dụ, luật sau áp dụng cho tất gói tin ngoại trừ gói có nguồn xuất phát từ mạng lớp C 192.168.2.0 alert icmp ![192.168.2.0/24] any -> any any (msg: “Ping with TTL=100”; ttl: 100;) Danh sách địa Ta định rõ danh sách địa luật Snort Ví dụ bạn muốn áp dụng luật cho tất gói tin trừ gói xuất phát từ hai mạng lớp C 192.168.2.0 192.168.8.0 luật viết sau: alert icmp ![192.168.2.0/24, 192.168.8.0/24] any -> any any (msg: “Ping with TTL=100”; ttl: 100;) Hai dấu [] cần dùng có dấu ! đứng trước Cổng (Port Number) Số hiệu cổng dùng để áp dụng luật cho gói tin đến từ đến cổng hay phạm vi cổng cụ thể Ví dụ ta sử dụng số cổng nguồn 23 để áp dụng luật cho tất gói tin đến từ server Telnet Từ any dùng để đại diện cho tất cổng Chú ý số hiệu cổng có ý nghĩa giao thức TCP UDP Nếu protocol luật IP hay ICMP số hiệu cổng khơng đóng vai trị Ví dụ : alert tcp 192.168.2.0/24 23 -> any any (content: “confidential”; msg: ”Detected confidential”;) Số hiệu cổng hữu dụng ta muốn áp dụng luật cho loại gói tin liệu cụ thể Ví dụ luật để chống hack cho web ta cần sử dụng cổng 80 để phát công Dãy cổng hay phạm vi cổng: Ta áp dụng luật cho dãy cổng thay cho cổng Cổng bắt đầu cổng kết thúc phân cách dấu hai chấm “:” Ví dụ : alert udp any 1024:2048 -> any any (msg: “UDP ports”;) Ta dùn cổng theo kiểu cận cận dưới, tức sử dụng cổng bắt đầu cổng kết thúc mà thơi Ví dụ “1024:” “:2048” Dấu phủ định áp dụng việc sử dụng cổng Ví dụ sau log tất gói tin ngoại trừ gói tin xuất phát từ cổng 53 log udp any !53 -> any any log udp Sau số cổng thông dụng cổng dịch vụ thơng dụng nhất: • • • • • • • • • • • 20 FTP data 21 FTP 22 SSH 23 Telnet 24 SMTP 53 DNS Server 80 HTTP 110 POP3 161 SNMP 443 HTTPS 3360 MySQL Hướng – Direction Chỉ đâu nguồn đâu đích, -> hay 192.168.1.0/24 any (flags: A; ack: 0; msg: “TCP ping detected”) Từ khố classtype Các luật phân loại gán cho số độ ưu tiên để nhóm phân biệt chúng với Để hiểu rõ từ khoá ta phải hiểu file classification.config (được bao gồm file snort.conf sử dụng từ khố include) Mỗi dịng file classification.config có cú pháp sau: config classification: name, description, priority đó: • name: tên dùng để phân loại, tên dùng với từ khoá classtype luật Snort • description: mơ tả loại lớp • priority: số độ ưu tiên mặc định lớp Độ ưu tiên điều chỉnh từ khố priority phần option luật Snort Ví dụ : config classification: DoS , Denial of Service Attack, luật: alert udp any any -> 192.168.1.0/24 6838 (msg:”DoS”; content: “server”; classtype: DoS;) alert udp any any -> 192.168.1.0/24 6838 (msg:”DoS”; content: “server”; classtype: DoS; priority: 1;) Trong câu lệnh thứ ta ghi đè lên giá trị priority mặc định lớp định nghĩa Từ khoá content Một đặc tính quan trọng Snort có khả tìm mẫu liệu bên gói tin Mẫu dạng chuỗi ASCII chuỗi nhị phân dạng kí tự hệ 16 Giống virus, cơng có dấu hiệu nhận dạng từ khố content dùng để tìm dấu hiệu bên gói tin Ví dụ: alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: “GET”; msg: “GET match”;) Luật tìm mẫu “GET” phần liệu tất gói tin TCP có nguồn từ mạng 192.168.1.0/24 đến địa khơng thuộc mạng Từ “GET” hay dùng công HTTP Một luật khác thực nhiệm vụ giống lệnh mẫu liệu lại dạng hệ 16 là: alert tcp 192.168.1.0/24 any -> ![192.168.1.0/24] any (content: “|47 45 54|”; msg: “GET match”;) Để ý số 47 hệ 16 kí tự ASCII : G tương tự 45 E 54 T Ta dùng hai dạng luật nhớ phải để dạng thập lục phân cặp kí tự || Tuy nhiên sử dụng từ khoá content ta cần nhớ rằng: Đối sánh nội dung phải xử lý tính tốn lớn ta phải cân nhắc sử dụng nhiều luật có đối sánh nội dung Ta sử dụng nhiều từ khố content luật để tìm nhiều dấu hiệu gói tin Đối sánh nội dung cơng việc nhạy cảm Có từ khố khác hay dùng với từ khoá content dùng để bổ sung thêm điều kiện để tìm kiếm : • offset: dùng để xác định vị trí bắt đầu tìm kiếm (chuỗi chứa từ khố content ) offset tính từ đầu phần liệu gói tin Ví dụ sau tìm chuỗi “HTTP” vị trí cách đầu đoạn liệu gói tin byte: alert tcp 192.168.1.0/24 any -> any any (content: “HTTP”; offset: 4; msg: “HTTP matched”;) • dept : dùng để xác định vị trí mà từ Snort dừng việc tìm kiếm.Từ khố thường dùng chung với từ khố offset vừa nêu • Ví dụ: alert tcp 192.168.1.0/24 any -> any any (content: “HTTP”; offset: 4; dept: 40; msg: “HTTP matched”;) • Từ khoá giúp cho việc tiêu tốn thời gian tìm kiếm mà đoạn liệu gói tin lớn • content-list: sử dụng với file Tên file (được phần tham số từ khoá này) file text chứa danh sách chuỗi cần tìm phần liệu gói tin Mỗi chuỗi nằm dịng riêng biệt Ví dụ file test có dạng sau: • “test” “Snort” “NIDS” ta có luật sau: alert tcp 192.168.1.0/24 any -> any any (content-list: “test”;msg: “This is my Test”;) Ta dùng kí tự phủ định ! trước tên file để cảnh báo gói tin khơng tìm thấy chuỗi file Từ khố dsize Dùng để đối sánh theo chiều dài phần liệu Rất nhiều công sử dụng lỗi tràn đệm cách gửi gói tin có kích thước lớn Sử dụng từ khố này, ta so sánh độ lớn phần liệu gói tin với số alert ip any any -> 192.168.1.0/24 any (dsize: > 6000; msg: “Goi tin co kich thuoc lon”;) Từ khoá flags Từ khoá dùng để phát xem bit cờ flag bật (thiết lập) phần TCP header gói tin Mỗi cờ sử dụng tham số từ khoá flags Sau số cờ sử dụng từ khố flags: Flag Kí tự tham số dùng luật Snort FIN (Finish Flag) F SYN – Sync Flag S RST – Reset Flag R PSH – Push Flag P ACK – Acknowledge A Flag URG – Urgent Flag U Reserved Bit 1 Reserved Bit 2 No Flag set Bảng Các cờ sử dụng với từ khố flags Ta sử dụng dấu +, * ! để thực phép toán logic AND, OR NOT bit cờ muốn kiểm tra Ví dụ luật sau phát hành động quét dùng gói tin TCP SYN-FIN: alert tcp any any -> 192.168.1.0/24 any (flags: SF; msg: “SYNC-FIN packet detected”;) Từ khoá fragbits Phần IP header gói tin chứa bit dùng để chống phân mảnh tổng hợp gói tin IP Các bit là: • Reserved Bit (RB) dùng để dành cho tương lai • Don’t Fragment Bit (DF): bit thiết lập tức gói tin khơng bị phân mảnh • More Fragments Bit (MF): thiết lập tức phần khác (gói tin bị phân mảnh) gói tin cịn đường mà chưa tới đích Nếu bit khơng thiết lập có nghĩa là phần cuối gói tin (hoặc gói nhất) Điều xuất phát từ nguyên nhân: Nơi gửi phải chia gói tin IP thành nhiều đoạn nhỏ phụ thuộc vào Đơn vị truyền liệu lớn cho phép (Maximum Transfer Units - MTU) đường truyền Kích thước gói tin khơng phép vượt q kích thước lớn Do vậy, bit MF giúp bên đích tổng hợp lại phần khác thành gói tin hồn chỉnh Đơi bit bị hacker sử dụng để công khai thác thơng tin mạng ta Ví dụ, bit DF dùng để tìm MTU lớn nhỏ đường từ nguồn xuất phát đến đích đến Sử dụng fragbits, ta kiểm tra xem bit có thiết lập hay khơng Ví dụ luật sau phát xem bit DF gói tin ICMP có bật hay không: alert icmp any any -> 192.168.1.0/24 any (fragbits: D; msg: “Dont Fragment bit set”;) Trong luật , D dùng cho bit DF, R cho bit dự trữ M cho bit MF Ta dùng dấu phủ định ! luật để kiểm tra bit không bật: alert icmp any any -> 192.168.1.0/24 any (fragbits: !D; msg: “Dont Fragment bit not set”;) CHƯƠNG II MẠNG NƠ-RON MLP 2.1 Mơ hình mạng nơ-ron nhân tạo 2.1.1 Cấu trúc mạng nơ-ron nhân tạo Mạng nơ-ron tái tạo kỹ thuật chức hệ thần kinh người Trong trình tái tạo tất chức não người tái tạo mà có chức cần thiết Bên cạnh cịn có chức tạo nhằm giải toán điều khiển định hướng trước Mạng nơ-ron bao gồm vô số nơ-ron liên hết truyền thơng với mạng Hình 2.1 phần mạng nơ-ron: Hình 2.1: Một mạng nơ-ron đơn giản gồm nơ-ron Một nơ-ron chứa đựng thành phần bản: - Thân nơ-ron giới hạn màng membran nhân Từ thân nơ-ron cịn có nhiều đường rẽ nhánh tạm gọi rễ - “Bus” liên kết nơ-ron với nơ-ron khác gọi axon, axon có đường rẽ nhánh Nơ-ron cịn liên kết với nơ-ron khác qua rễ Chính cách liên kết đa dạng nên mạng nơ-ron có độ liên kết cao Các rễ nơ-ron chia thành hai loại: loại nhận thông tin từ nơ-ron khác qua axon, mà ta gọi rễ đầu vào loại đưa thông tin qua axon tới nơ-ron khác gọi rễ đầu Một nơ-ron có nhiều rễ đầu vào, có rễ đầu Bởi xem nơ-ron khâu điều khiển khâu có nhiều đầu vào, đầu ra(khâu MISO) Một tính chất mạng nơ-ron sinh học đáp ứng theo kích thích có khả thay đổi theo thời gian Các đáp ứng tăng lên, giảm hoàn toàn biến Qua nhánh axon kéo theo thay đổi trạng thái nơron khác thay đổi toàn mạng nơ-ron Việc thay đổi trạng thái mạng nơ-ron thực qua q trình “dạy” khả “học” tự nhiên Sự thay tính chất mơ hình tốn học tương đương gọi mạng nơ-ron nhân tạo Mạng nơ-ron nhân tạo chế tạo nhiều cách khác thực tế tồn nhiều kiểu mạng nơ-ron nhân tạo Hình 2.2 Mơ hình nơ-ron nhân tạo Hình 2.2 biểu diễn nơ-ron nhân tạo gồm m(rễ) đầu vào x1, ,xm rễ đầu y Mơ hình gồm ba thành phần bản: 1, Khâu cộng: Các kích thích ( đầu vào) tế bào nơ-ron tác động vào màng membran khác biểu diễn qua trọng số ωi , i= 1, ,m tương ứng với cường độ kích thích đầu vào Tổng giá trị kích thích đầu vào Tổng giá trị kích thích đầu vào thực qua cộng; (2.1) 2, khâu tiền đáp ứng : Đầu khâu cộng đưa đến khâu tiền đáp ứng c Một cách đơn giản tạo đáp ứng đầu là: c=ԑ (2.2) Nhưng để tăng độ xác đặc tính động học, phù hợp với nguyên lý làm việc nơ-ron có kích thích ԑ(t) đầu vào, c(t) màng membran tăng dần có quán tính, người ta thay (2.2) bằng: (2.3) c0 mạng membran trọng thái khơng kích thích Đó phương trình động học khâu quán tính bậc với số thời gian quan tính T Khâu tạo chức đáp ứng kiểu cịn có tên khâu BSB Bên cạnh khâu tạo đáp ứng c(t) kiểu tuyến tính BSB tồn kiểu khâu theo đáp ứng kiểu gián đoạn Thuộc tính nhóm khâu kiểu gián đoạn có khâu tạo đáp ứng theo hàm Hopfield: c=(2.4) 3, Khâu tạo đáp ứng đầu ra: Khi c(t) màng membran vượt ngưỡng Nơ-ron trạng thái tích cực: y= α(c) = (2.5) Tuy nhiên chuyển đổi trạng thái nơ-ron từ khơng tích cực sang tích cực ngược lại thường trình liên tục Một khâu α mơ tả q trình liên tục khâu Sigma biểu diễn dướu dạng hàm Fermi: (2.6) Ngoài người ta sử dụng nhiều khâu α khác, chẳng hạn như: a, khâu lưỡng tuyến tính y= ( 2.7) b, khâu tuyến tính y=kc, với k số c, khâu đồng dạng k=c (2.8) (2.9) d, khâu tạo đáp ứng ngẫu nhiên Khâu cho giá trị y nhị phân (hoặc 1) đầu Điểm khác biệt so với loại khâu tiền định hàm mô tả không không dạng tiền định (2.50 –(2.9)mà hàm thơng báo xác suất để có y= đầu Một đại diện cho mơ hình mơ tả khâu ngẫu nhiên hàm Boltzman định nghĩa sau: (2.10) Trong c0 giá trị ngưỡng tham số T đại lượng vật lý biểu diễn độ nhạy cảm nơ-ron Tất dạng hàm mô tả khâu tạo đáp ứng α cho đáp ứng y tín hiệu nằm khoảng đến Tuy vật không bắt buộc ta phải giữ nguyên miền giá trị y Tùy vào tứng toán áp dụng, ta thay đổi chúng cho y nhận giá trị chẳng hạn ymin đến ymax cho trước Mỗi kết nối từ vector tín hiệu TÀI LIỆU THAM KHẢO [1] Rafeeq Ur Rehman, (2003) Advanced IDS Techniques Using Snort, Apache, MySQL, PHP, and ACID, Prentice Hall PTR, USA, 275 pages [2] Stuart McClure, Joel Scambray and George Kurtz, (2009) Hacking Exposed 6: Network Security Secret & Solutions, Mc Graw Hill, USA, 720 pages [3] Kerry J Cox and Christopher Gerg, (2004) Managing Security with Snort and IDS Tools, O'Reilly, USA, 288 pages [4] Jay Beale and Snort Team, (2007) Snort Intrusion Detection and Prevention Toolkit, Syngress Publishing, Syngress Publishing, 769 pages [5] Charlie Scott,Paul Wolfe, and Bert Hayes, (2004) Snort For Dummies, Wiley Publishing, Indiana, 385 pages [6] Jon Erickson, (2008) Hacking: The Art of Exploitation 2nd Edition, No Starch, 480 pages [7] Snort Forum Site, http://forums.snort.org ... Denial of Service Attack, luật: alert udp any any -> 19 2 .1 68 . 1. 0 /24 68 3 8 (msg:”DoS”; content: “server”; classtype: DoS;) alert udp any any -> 19 2 .1 68 . 1. 0 /24 68 3 8 (msg:”DoS”; content: “server”; classtype:... (direction) Ví dụ luật : alert tcp any any -> 19 2 .1 68 . 1. 10/ 32 80 (msg: “TTL = 10 0”; ttl: 10 0;) Luật tạo c? ??nh báo tất gói tin từ nguồn c? ? TTL = 10 0 đến web server 19 2 .1 68 . 1. 10 c? ??ng 80 Ngăn chặn đ? ?a. .. USA, 27 5 pages [2] Stuart McClure, Joel Scambray and George Kurtz, ( 20 09) Hacking Exposed 6: Network Security Secret & Solutions, Mc Graw Hill, USA, 7 20 pages [3] Kerry J Cox and Christopher Gerg,