Đang tải... (xem toàn văn)
Hệ thống phát hiện truy nhập bất thường
Học viện công nghệ bưu chính viễn thông Khoa viễn thông I C H U Y Ê N Đ Ề V Ô T U Y Ế N 1 Đề tài: Hệ thống phát hiện truy nhập bất thường Giáo viên hướng dẫn : Bùi Trung Hiếu Hệ thống phát hiện truy nhập bât thường • Chương I : Những giả thiết • Chương II : Mô hình mạng và mô hình di chuyển • Chương III : Hệ thống phát hiện bất thường dựa vào tính di động • Chương IV : Kết luận Chương I: Những giả thiết • Một là : hoạt động của người dùng là có thể quan sát được qua một số cơ chế,qua một số hệ thống kiểm tra quản lý. • Hai là: những hoạt động thông thường hay cố ý phải biểu hiện rõ hành vi khác biệt. II. Mô hình mạng và mô hình di chuyển Mô hình mạng di động tế bào và mô hình đồ thị Khu vực định vị trong mạng tế bào và Graph của nó Mô hình di chuyển • Sử dụng mô hình Markov bậc m, sự di chuyển của người dùng có thể được mô tả bởi chuỗi thuộc tính C 1 , C 2 ,…, C i • Vị trí tương lai của người dùng ở tương lai tương quan với sự di chuyển trong quá khứ. • Xác suất người dùng di chuyển đến cell thực tế phụ thuộc vào vị trí hiện tại và danh sách những cell gần đây nhất đến. III. Hệ thống phát hiện bất thường dựa vào tính di động Dựa trên LZ: xây dựng một cây di động từ sự di chuyển trong quá khứ của người dùng để quyết định hành động là theo thói quen hay không Dựa theo markov: xác suất cell tiếp theo có thể tính từ m cell trước đó. 1. Phát hiện xâm nhập dựa trên LZ •. LZ thuộc về kỹ thuật nén và mã hóa dựa trên từ điển. •. LZ8 là được sử dụng phổ biến •. LZ8 phân tích chuỗi S thành các chuỗi con phân biệt x 1 , x 2 ,…,x m với đặc tính sau: với j>1, tồn tại i<j, nó tạo lên x j bằng x i kết nối với c, trong đó c là ký tự trong bảng chữ cái Thuật LZ8 Phát hiện bất thường dựa trên LZ 2. Tính toán xác suất • Sử dụng mô hình markov bậc m để mô hình chuỗi, sử dụng m ký tự phía trước liên tiếp để dự đoán ký tự tiếp theo và tính toán xác suất của nó. • ký tự dự đoán từ i ký tự trước, m là bậc markov, • xác suất trong mô hình bậc i • vecto trọng số hỗn hợp • Xác suất hỗn hợp: α )( α i P α ], ,,[ 21 m www )(*)( 0 αα i m i i pwP ∑ = = Tích hợp EWMA trong cây di động • Mỗi đối tượng có một hồ sơ thói quen, hoạt động gần hiện tại nhất có trọng số lớn nhất. • Cây di động được thay đổi khi một cụm từ mới được tạo thành trong suốt quá trình phân tích chuỗi. Khi một cụm mới được chèn vào, chúng ta nói xảy ra một sự kiện. • Việc chèn thêm một cụm từ mới cần thiết để thay đổi tần xuất hiện tại của cây di động.Chúng ta gọi là sự thay đổi tần xuất EWMA. • Tần xuất EWMA đo lường mức độ thường xuyên node tương ứng xuất hiện trong quá khứ. 3. Thuật toán xác định bất thường [...]... nhau • Xác suất của chuỗi S: •Sự giống nhau (S) = •Nếu sự giống nhau(S) m P = ∑ w i * Pi i =0 P thì chuỗi coi là bình thường, nếu không thỏa mãn được coi là bất thường dodai ( S ) ≥ Pthr Phát hiện bất thường dựa vào markov • Chuỗi markov bậc o: • Ma trận xác suất chuyển đổi: Phát hiện bất thường dựa vào markov • • Danh sách quan sát cell Với xác suất chuyển: S qs = ( X 1 , X 2 , , X n ) o ≥1 n −o Po =... = ∑i =1 ∑ j =1 Pij log Pij m m 5 Phát hiện bất thường thích ứng Cây di động dựa vào EWMA Thuật toán thích ứng Chương IV: Kết luận • Mặc dù có nhiều giao thức bằng cách đề phòng trong mạng di động tế bào, nhưng làm thế nào để thiết kế một mạng di động tế bào có tính bảo mật cao vẫn là một thách thức lớn bởi vì môi trường truy n dẫn là mở trong di động • Hệ thống phát hiện tấn công là không thể thiếu... i + 1, , = p{= i + o − 1} → j i =1 Sự giống nhau (S) Po dodai (S ) ≥ Pthr− markov 5 Phát hiện bất thường thích ứng Tiếp cận dựa vào phản hồi: dựa vào đầu ra của thuật toán để điều chỉnh ngưỡng phát hiện Tiếp cận dựa trên entropy: • Entropy: Ý nghĩa: entropy càng nhỏ sự phân bố lớp càng giống nhau, đo lường mức độ thường xuyên của dữ liệu kiểm tra m Entropy có điều kiện: i i i =1 • H ( X ) = ∑ −...3 Thuật toán xác định bất thường • EWMA được cập nhật như sau • Nếu node i là phần tử của sự kiện tương ứng • Nếu node i không là phần tử sự kiện tương ứng • F (i ) = λ *1 + (1 − λ ) * F (i ) chuỗi aababccbababbabb được phân . nghệ bưu chính viễn thông Khoa viễn thông I C H U Y Ê N Đ Ề V Ô T U Y Ế N 1 Đề tài: Hệ thống phát hiện truy nhập bất thường Giáo viên hướng dẫn : Bùi Trung Hiếu Hệ thống phát hiện truy nhập. Hiếu Hệ thống phát hiện truy nhập bât thường • Chương I : Những giả thiết • Chương II : Mô hình mạng và mô hình di chuyển • Chương III : Hệ thống phát hiện bất thường dựa vào tính di động • Chương. người dùng di chuyển đến cell thực tế phụ thuộc vào vị trí hiện tại và danh sách những cell gần đây nhất đến. III. Hệ thống phát hiện bất thường dựa vào tính di động Dựa trên LZ: xây dựng một