ĐẠI HỌC THÁI NGUYÊN TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN & TRUYỀN THÔNG NGUYỄN VĂN DIỄN NGHIÊN CỨU GIẢI PHÁP PHÁT HIỆN XÂM NHẬP MẠNG MÁY TÍNH BẤT THƯỜNG DỰA TRÊN KHAI PHÁ DỮ LIỆU LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH Thái Ngun - 2014 Số hóa Trung tâm Học liệu http://www.lrc-tnu.edu.vn/ i LỜI CAM ĐOAN Tôi xin cam đoan đề tài “Nghiên cứu Giải pháp phát xâm nhập mạng máy tính bất thường dựa Khai phá liệu” cơng trình nghiên cứu riêng tơi Đề tài hồn thành hướng dẫn Thầy TS Nguyễn Ngọc Cương Những kết nghiên cứu, thử nghiệm thực hoàn toàn khách quan trung thực Các số liệu, kết trình bày luận văn hồn tồn trung thực chưa công bố công trình Các tài liệu tham khảo sử dụng luận văn dẫn nguồn (có bảng thống kê tài liệu tham khảo) đồng ý trực tếp tác giả Nếu xảy điều khơng lời cam đoan trên, tơi xin chịu hồn tồn trách nhiệm Hà Nội, ngày 18 tháng 07 năm 2014 TÁC GIẢ Nguyễn Văn Diễn ii LỜI CẢM ƠN Em xin chân thành cảm ơn Thầy TS Nguyễn Ngọc Cương người trực tếp hướng dẫn tận tình em suốt trình thực Luận văn tốt nghiệp Em xin chân thành cảm ơn Quý thầy, cô Trường Đại học Công nghệ thông tn & Truyền thông Thái Nguyên, Viện Công nghệ Thông Tin, người nhiệt tình giảng dạy truyền đạt kiến thức quí báu suốt thời gian em học tập nghiên cứu trường Với vốn kiến thức tếp thu trình học tập nghiên cứu khơng tảng cho q trình nghiên cứu luận văn mà hành trang q báu q trình hoạt động chun mơn em Cuối cùng, em xin kính chúc Q thầy cơ, đồng nghiệp, gia đình dồi sức khỏe thành cơng Trân trọng cảm ơn! MỤC LỤC LỜI CAM i ĐOAN LỜI CẢM ƠN ii DANH MỤC TỪ VIẾT TẮT vi DANH MỤC BẢNG vii DANH MỤC HÌNH viii MỞ ĐẦU .ix TỔNG QUAN VỀ NHIỆM VỤ CỦA LUẬN VĂN .xi CHƯƠNG 1: HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG VÀ PHƯƠNG PHÁP PHÁT HIỆN XÂM NHẬP MẠNG 1 Hệ thống phát xâm nhập mạng IDS (Intrusion Detection System) 1.1.1 Định nghĩa 1.1.2 Vai trò, chức IDS 1.1.3 Mơ hình IDS mức vật lý 1.1.4 Kiến trúc hoạt động bên mơ hình hệ thống IDS 1.1.5 Phân loại IDS 1.1.6 Một số kiểu công vào hệ thống mạng Một số phương pháp phát bất thường hệ thống IDS 11 1.2.1 Phương pháp tiếp cận dựa xác suất thống kê 11 1.2.2 Phương pháp tiếp cận dựa trạng thái 12 1.2.3 Phương pháp tiếp cận dựa hệ chuyên gia 12 1.2.4 Phương pháp tiếp cận dựa khai phá liệu 13 Khai phá liệu IDS 14 1.3.1 Định nghĩa khai phá liệu 14 1.3.2 Nhiệm vụ khai phá liệu 16 1.3.3 Các loại liệu khai phá 17 1.3.4 Quy trình khai phá liệu 18 1.3.5 Một số phương pháp khai phá liệu 19 1.3.6 Một số kỹ thuật dùng khai phá liệu 21 CHƯƠNG 2: PHƯƠNG PHÁP PHÁT HIỆN BẤT THƯỜNG DỰA TRÊN KỸ THUẬT KHAI PHÁ DỮ LIỆU .26 2.1 Phát bất thường dựa khai phá liệu 26 2.1.1 Phương pháp phát bất thường dựa khai phá liệu 26 2.1.2 Kỹ thuật phát xâm nhập dựa khai phá liệu 26 2.2 Bài toán phát phần tử dị biệt khai phá liệu 28 2.2.1 Một số thuật toán phát dị biệt khai phá liệu 30 2.2.2 Mơ hình phát bất thường dựa kỹ thuật khai phá liệu 36 CHƯƠNG 3: ĐỀ XUẤT TRIỂN KHAI THỬ NGHIỆM HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG 42 3.1 Bài toán phân cụm liệu CSDL kết nối mạng 42 3.2 Thuật toán sử dụng cho toán ứng dụng 42 3.3 Đánh giá Thuật toán phân cụm ứng dụng toán 44 3.4 Ứng dụng thuật toán phân cụm K-medoids KPDL 48 3.4.1 Quy trình xử lý toán ứng dụng: 48 3.4.2 Tập hợp liệu 49 3.4.3 Tiền xử lý 49 3.4.4 Tiến trình khai phá liệu 51 3.5 Chương trình Demo 54 3.6 Nhận xét toán KPDL 59 KẾT LUẬN VÀ HƯỚNG PHÁP TRIỂN .61 TÀI LIỆU THAM KHẢO 62 DANH MỤC TỪ VIẾT TẮT ADAM Audit Data Analysis Mining CSDL Cơ sở liệu DdoS Distributed Daniel of Servies DOS Daniel of Services HIDS Host Instrucsion Detection System HTTP Hypertext Markup Languge ICMP Internet Control Message Protocol IDS Intrucsion Detecton System IDDM Intrucsion Detecton Data Mining IPS Intrucsion Prevention System IP Internet Protocol KPDL Khai phá liệu LOF Local Outlier Partor LSC Local Sparsity Ratio NIDS Networks Instrusion Detecton System MAC Media Accsess Controllers SQL Structured Query Language VPN Virtual Private Network TCP Transmission Control Protocol UDP User Datagram Protocol vii DANH MỤC BẢNG Bảng 2.1: Danh sách cảnh báo chưa rút gọn Bảng 2.2: Danh sách cảnh báo sau rút gọn Bảng 3.1: Bảng thuộc tính CSDL mạng Bảng 3.2: Thơng tin chương trình cài đặt ứng dụng DANH MỤC HÌNH Hình 1.1: Mơ hình IDS vật lý Hình 1.2: Kiến trúc Modul IDS Hình 1.3: Mơ hình thu thập liệu ngồi luồng Hình 1.4: Mơ hình thu thập liệu luồng Hình 1.5: Modul phân tích, phát cơng Hình 1.6: Q trình khám phá tri thức Hình 2.1: Gán giá trị để lượng hóa cơng sơ đồ Hình 2.2: Minh họa tốn phát phần tử dị biệt Hình 2.3: Khoảng cách Reach – dist Hình 2.4: Phương pháp LOF Hình 2.5: Thuật tốn LSC – Mine Hình 2.6: Mơ hình phát bất thường sử dụng kỹ thuật KPDL Hình 2.7: Mơ hình Modul tổng hợp Hình 3.1: Lưu đồ thuật tốn K-Medoids Hình 3.2: Tiến trình phát xâm nhập mạng sử dụng kỹ thuật phân cụm Hình 3.3: Biểu diễn CSDL mạng Hình 3.4: Biến đổi liệu CSDL Hình 3.5: Gom cụm liệu CSDL Hình 3.6: Biểu diễn kết mẫu bất thường Hình 3.7: Giao diện Menu Hình 3.8: Giao diện khai phá giao thức HTTP Hình 3.9: Giao diện khai phá liệu tự động Hình 3.10: Giao diện tiền xử lý Hình 3.11: Giao diện khai phá dựa ngưỡng kết nối MỞ ĐẦU Ngày nay, Công nghệ thơng tn nói chung Ngành mạng máy tính nói riêng ứng dụng hầu hết lĩnh vực quan trọng đời sống, tác động trực tếp đến tồn phát triển kinh tế tri thức cơng nghệ Chính vậy, việc áp dụng Công nghệ thông tn trở thành yêu cầu thiếu cho tất tổ chức, doanh nghiệp Với tầm quan trọng vậy, cần phải có hệ thống mạng doanh nghiệp ổn định, hoạt động liên tục, đảm bảo tính tn cậy, nguyên vẹn, sẵn sàng từ chối để đáp ứng yêu cầu kết nối xử lý công việc Tuy nhiên, bên cạnh yêu cầu cấp thiết mạng máy tính ln phải đối diện với nhiều nguy an toàn “viếng thăm” bất hợp pháp cơng từ bên ngồi mạng ln ln xảy với mức độ ngày phức tạp tnh vi Do đó, yêu cầu phải có hệ thống phát tự động hành vi thâm nhập không phép để cảnh báo nguy ngăn chặn trở nên cấp thiết Đã có nhiều hướng nghiên cứu xây dựng hệ thống cảnh báo thâm nhập dựa phương pháp thâm nhập như: phát thâm nhập dựa vào luật; kỹ thuật phân biệt ý định người dùng, phân tích trạng thái phiên, phương pháp phân tích thống kê … Tuy nhiên phương pháp phát xâm nhập dựa dấu hiệu bất thường Tức dựa dấu hiệu vụ công biết, phương pháp phát xâm nhập mạng cách so sánh giá trị đặc tả với dãy ký tự công cung cấp chuyên gia cập nhật lại sở liệu Điểm hạn chế phương pháp chúng phát cơng khơng có sở liệu So với phương pháp phương pháp phân tích dựa kỹ thuật khai phá liệu có nhiều ưu điểm rõ rệt Phương pháp sử dụng với sở liệu chứa nhiều nhiễu, liệu không đầy đủ, biến đổi liên tục, đặc biệt phương pháp đòi hỏi mức độ sử dụng chuyên gia không thường xuyên Các ưu điểm đem lại 3.4.2 Tập hợp liệu Tập liệu đầu vào toán, hệ thống sử dụng hệ điều hành *NIX ta sử dụng cơng cụ TCPDUMP để tập hợp liệu đầu vào giao tiếp mạng TCPDUMP tiến trình chạy chế độ nền, TCPDUMP kết xuất thông tn đầu vào cần thiết cho tốn tệp thơng qua giao diện dòng lệnh Tương tự TCPDUMP hệ thống máy sử dụng hệ điều hành khác *NIX mà đại diện luận văn hệ điều hành Windows, ta sử dụng cơng cụ Windump xem phiên hồn tồn tương thích với TCPDUMP dùng để bắt, kiểm tra lưu vào ổ đĩa network traffic Windump dựa thư viện trình điều khiển dòng lệnh trình WinPcap Windump công cụ mã nguồn mở cung cấp để sử dụng miễn phí theo giấy phép BSD-style có Website http://www.winpcap.org/windump/misc/copyright.htm Sản phẩm phát triển Đại học Califonnia, phòng thí nhiệm Berkeley Lawrence Tập liệu thơ đầu vào tốn có sử dụng sở liệu ghi lại dấu vết mạng DMZ Ethernet công cụ TCPDUMP Sun Sparcstaton sử dụng lọc gói nhân BPF, dấu vết thu thập phòng thí nghiệm Berkeley Lawrence từ ngày 16/9/1993 đến ngày 15/10/1993, sở liệu bao gồm 782281 kết nối diện rộng phòng thí nghiệm với phần lại mạng 3.4.3 Tiền xử lý Dữ liệu đầu vào toán tập hợp dạng file.txt file.log, cơng cụ phát có kết nối thực có dòng lệnh ghi thêm vao file Cấu trúc file bao gồm có chín trường biểu diễn cách khoảng trắng dòng liệu Tên trường Ý nghĩa thuộc tính TimeStamp Thời gian kết nối xẩy đơn vị Micro giây Duraton Khoảng thời gian sống kết nối tính giây Protocol Giao thức kết nối Byte sent by originaton Kích thước gói tn gửi đơn vị tính byte, trường hợp không xác định ta ghi “?” Byte sent by responder Kích thước goi tn phản hồi đơn vị tính byte, trường hợp không xác định ta ghi “?” Remote host Địa IP máy mạng Localhost Địa IP máy nội mạng State Trạng thái kết nối Flag Cờ - kết nối mạng, kết nối mạng Bảng 3.1: Bảng thuộc tính CSDL mạng Ví dụ liệu đầu vào: 748162891.253899 0.079525 nntp ? ? 132.239.1.20 REJ L 748162892.011359 300843 ftp 82 495 10 128.120.9.33 SF 748162902.445209 300.572 nntp 509 70 131.225.40.40 SF L 748162911.084362 5.30702 ftp-data 24224 10 128.120.9.33 SF L 748162912.282781 7.93168 smtp 722 324 11 141.108.5.71 SF 748162914.565597 9.19413 smtp 1866 335 192.107.48.1 SF L 748162915.201912 0.004704 auth ? ? 192.107.48.1 REJ 748162919.111029 176.571 telnet 175 12 192.35.222.222 SF L 748162920.575654 1.179 telnet 175 12 192.35.222.222 SF L 748162921.668532 173.263 telnet 175 12 192.35.222.222 SF L Biểu diễn liệu đầu vào: tập hợp liệu đầu vào lưu vào bảng TCP sở liệu TCP biểu diễn dạng bảng Hình 3.3: Biểu diễn CSDL mạng Biến đổi liệu bảng CSDL: Trường “RemoteHost” biến đổi dạng số nguyên để tham chiếu cách thêm bảng liệu tham chiếu Hình 3.4: Biến đổi liệu CSDL Gom cụm liệu CSDL: liệu gom cụm theo cửa sổ thời gian xác định lưu kết nhóm cụm bảng trung gian TCP_F để phục vụ cho tiến trình khai phá liệu tếp theo Hình 3.5 : Gom cụm liệu CSDL 3.4.4 Tiến trình khai phá liệu 3.4.4.1 Các mẫu bất thường sử dụng cho đầu vào tốn Ta khó định nghĩa hết mẫu bất thường cơng, luận văn đề cập đến số mẫu bất thường công từ chối dịch vụ DoS + Đầu vào tốn cơng từ chối dịch vụ thông qua giao thức HTTP Tức request giao thức HTTP bình thường địch Web dạng URL nên có kích thước nhỏ theo khảo sát nhỏ nhiều ngưỡng 350 byte Để công thông qua giao thức HTTP kẻ công thường phải chèn thêm mã lệnh thực thi trình duyệt nạn nhân, mã lệnh đoạn mã, tệp tn, câu lệnh truy vấn SQL …, request giao thức có thay đổi nhiều kích thước, thơng thường kích thước lớn 350 byte mẫu bất thường có khả xuất cơng Ví dụ: http://www.microsoft.com/education/?ID=MCTN&target=http://www.microsoft.co m/educaton/?ID=MCTN&target=alert(document.cookie) + Đầu vào toán công từ chối dịch vụ dạng như: Ping of Death, Teardrop, Aland Attack, Winnuke, Smurf Attack, UDP/ICMP Flooding TCP/SYN, Flooding Attack DNS Các dạng chủ yếu kẻ cơng gửi số lượng lớn lượt Ping, gói tn … để làm tải máy chủ gây lỗi từ chối dịch vụ Mẫu bất thường trường hợp “RemoteHost” khoảng thời gian xét có gửi lượng lớn gói tn tới “LocalHost” hay nói cách khác cửa sổ thời gian “RemoteHost” gửi nhiều request tới “LocalHost” bất thường, ngưỡng số request thay đổi tùy thuộc vào điều kiện hệ thống cần bảo an toàn đến mức độ xác định + Đầu vào tốn cơng từ nhiều mạng lưới khác vào “LocalHost” hay nói cách khác có lượng lớn Request từ nhiều địa mạng khác gửi tới “LocalHost” cửa sổ thời gian ngắn bất thường, ngưỡng số request thay đổi tùy thuộc vào điều kiện kết nối mạng mức độ cần bảo vên an toàn 3.4.4.2 Khai phá liệu Tiến trình khai phá liệu luận vănsử dụng kỹ thuật dùng đối tượng đại diện: phương pháp K-medoids kỹ thuật gom cụm Khai phá liệu Trong trình khai phá liệu, mẫu bất thường sử dụng để đại diện cho cụm “xâm nhập” phần lại sở liệu cụm “Bình thường” Các mẫu bất thường phụ thuộc vào điều kiện đầu vào tốn tiến trình xử lý Với ngưỡng đầu vào phù hợp cho kết khai phá liệu tương thích + Với liệu đầu vào toán cơng sử dụng giao thức HTTP mẫu bất thường ngưỡng kích thước gói tn request số request thỏa mãn ngưỡng kích thức tới máy chủ Web mà luận văn đề cập đến máy mạng nội “Localhost” cần bảo vệ để làm tham số đầu vào thuật toán K-medoids Kết đầu thuật toán hiển thị cụm chứa mẫu bất thường kết nối có kích thước gói request lớn ngưỡng tham số đầu vào toán, mẫu lại coi bình thường thỏa mãn ngưỡng tham số đầu vào toán khai phá + Với liệu đầu vào tốn cơng từ chối dịch vụ dạng DoS đầu vào thuật tốn ngưỡng số request Kết đầu thuật toán hiển thị cụm bất thường có ngưỡng số request lớn ngưỡng tham số đầu vào toán, mẫu lại coi bình thường thỏa mãn ngưỡng tham số đầu vào toán khai phá + Với liệu liệu đầu vào tốn cơng từ nhiều địa IP khác tới “Localhost” mà đại diện máy cục bộ, đầu vào thuật toán ngưỡng số request, ngưỡng phụ thuộc vào thuộc tính kết nối “LocalHost” Kết đầu thật tốn hiển thị cụm bất thường có ngưỡng số request lớn ngưỡng tham số đầu vào tốn, cụm lại coi bình thường thỏa mãn ngưỡng tham số đầu vào toán khai phá 3.4.4.3 Cơ chế xử lý liệu sau tiến trình khai phá Sau tến trinh khai phá sở liệu sử dụng đối tượng đại diện làm tham số đầu vào bào toán, kết thu tốn hai nhóm cụm liệu “bình thường” “bất thường” Dữ liệu sau khai phá biểu diễn dạng bảng gồm trường thuộc tính thể mẫu bất thường Hình 3.6: Biểu diễn kết mẫu bất thưởng 3.5 Chương trình Demo Hệ thống phát triển ngôn ngữ C# môi trường Microsoft Visual Studio NET 2008, hệ điều hành Windows 32 bit Cấu hình máy để cài đặt: Tốc độ CPU: 1.6 GHZ chạy tốt với tốc độ 3.2 trở lên Dung lượng RAM: 1G chạy tốt với RAM 4G Không gian nhớ: 1G chạy ổn định với không gian nhớ 4G Thơng tn chương trình cài đặt: Ngơn ngữ C# Công cụ phát triển Microsoft Visual Studio 2008 Kiểu ứng dụng Ứng dụng Windows 32 bist Hệ điều hành Windows 32 bit Môi trường hoạt động MS Net Framework 4.0 Cơ sở liệu Microsoft SQL 2008 Kết nối sở liệu ADO.NET Bảng 3.2: Thơng tin chương trình cài đặt ứng dụng 3.5.1 Giao diện chương trình Hình 3.7: Giao diện menu Chức thành phần sau: + Chọn File: Cho phép chọn File liệu thô đầu vào cho tốn File có dạng txt Log để khai phá, File khai phá theo ngưỡng số kết nối từ RemoteHost tới LocalHost cửa số thời gian (mặc định 60s) + Làm lại: cho phép chọn lại file khác để thực trình khai phá từ đầu + HTTP: cho phép mở giao diện khai phá liệu dạng giao thức kết nối HTTP + KP tự động: cho phép mở giao diện khai phá tự động sau khoảng thời gian tùy chọn + Gom liệu: thực công việc đọc file liệu thô chọn sau lưu liệu vào bảng TCP CSDL thực thao tác chuyển đổi số thuộc tính từ dạng văn sang dạng số để tham chiếu + Tiền xủa lý: cho phép mở giao diện tiền xử lý liệu thô đầu vào vừa chọn cho đầu vào tốn + Thốt: cho phép hỏi chương trình 3.5.2 Giao diện HTTP Hình 3.8: Giao diện khai phá giao thức HTTP Chức thành phần sau: + Chọn file Khai phá: chọn file liệu thô đầu vào cho toán file.txt file.log, file khai phá theo dấu hiệu bất thường giao thức HTTP + Chọn bảng sở liệu TCP: cho phép khai phá liệu bảng CSDL TCP vừa thực sau tến trình Gom cụm + Cửa sổ thời gian: cho phép chọn khoảng thời gian khai phá mặc định 60s + HTTP: cho phép khai phá theo dấu hiệu bất thường giao thức HTTP dựa theo ngưỡng kết nối kích thước cách Request theo giao thức HTTP + Tất giao thức: cho phép khai phá liệu dựa mẫu bất thường số Request tất giao thức kết nối + Khai phá: thực chức khai phá liệu thỏa mãn thông số tùy chọn + Thực lại: cho phép chọn lại thông số tùy chọn để thực khai phá + Form main: cho phép kết thúc trình khai phá trở giao diện Form main + Thoát: khỏi chương trình 3.5.3 Giao diện tự động Hình 3.9: Giao diện khai phá liệu tự động Chức thành phần sau: + Chọn file liệu khai phá: chọn file liệu thô đầu vào cho toán + Chọn cửa sổ thời gian: chọn cửa sổ thời gian thực khai phá chương trình tự động khai phá sau khoảng thơig gian tùy chọn + Mốc thời gian bắt đầu khai phá: chọn mốc thời gian bắt đầu khai phá, lấy mốc thời gian thực hệ thống sử dụng + Xét theo số Request đến: cho phép chọn ngưỡng số lần kết nối đến LocalHost cửa sổ thơi gian mặc định 60 s + Xét theo dấu hiệu giao thức HTTP: ta phải chọn ngưỡng đầu vào mẫu bất thường kích thước Request ngưỡng kết nối + Kết quả: hiển thị kết trình khai phá + Khai phá: thực khai phá với thông số tùy chọn + Stop: tạm dừng tạm thười việc khai phá liệu bảo lưu trang thái chương trình + Làm lại: cho phép thực thi khai phá tự động lại từ đầu với thông số tùy chọn + Quay về: dừng trình khai phá tự động trở lại Form main + Thoát: thoát khỏi chương trình 3.5.4 Giao diện tiền xử lý Hinh 3.10: Giao diện tiền xử lý liệu Chức thành phần sau: + Thời gian xử lý: tùy chọn khoảng thời gian để xử lý mặc định 60 s + Tiền xử lý: đọc liệu đầu vào lưu vào bảng TCP CSDL, đồng thừoi chuyển đổi số trường từ dạng văn sang dạng số cho phù hợp với đầu vào thuật toán + Khai phá: mở giao diện khai phá với ngưỡng đầu vào số kết nối từ RemoteHost tới LocalHost cửa sổ thời gian tùy chọn + Kết quả: hiển thị kết cảu q trình tền xử lý + Thoat: khỏi q trình tền xử lý quay giao diện Form main 3.5.5 Giao diện Khai phá liệu Hình 3.11: Giao diện Khai phá liệu dựa ngưỡng kết nối Chức thành phần sau: + Số lần kết nối: ngưỡng đầu vào số lần kết nối từ RemoteHost tới LocalHost sổ thời gian + Kết KP: hiển thị kết khai phá cụm bất thường, kết nhận phụ thuộc vào ngưỡng đầu vào cảu toán + Tiền xử lý DL: cho phép quay lại cửa sổ Tiền xử lý để thực lại trình tền xử lý cho phù hợp + Thốt: khỏi chương trình 3.6 Nhận xét toán KPDL Ứng dụng sử dụng thuật toán phân cụm K-Medoids Khai phá liệu, để phát bất thường sở liệu kết nối mạng Từ đưa cảnh báo cách hiển thị kết cụm liệu “bất thường” từ sở liệu thu thập cho nhà quản trị Với liệu đầu vào tốn từ tập liệu thơ ghi lại dấu vết kết nối mạng từ “Localhost” với phần lại mạng, sau sử dụng kỹ thuật khai phá liệu thuật toán phân cụm K-Medoids như: gom cụm liệu, tền xử lý liệu, chuyển đổi liệu phù hợp với đầu vào thuật toán yêu cầu, khai phá liệu để đạt kết đầu toán cụm liệu “bất thường” để cảnh báo cho nhà quản trị mạng độ an toàn hệ thống mạng Như với việc kết hợp toán ứng dụng khai phá sở liệu, để tìm cụm liệu “bất thường” sở liệu mạng ghi nhận lại việc sử dụng hệ thống có độ tn cậy kiểm nhiệm công nhận như: TCPdum hệ điều hành *NIX, Windump hệ điều hành Windows Ưng dụng giải vấn đề toán đặt sử dụng kỹ thuật khai phá liệu để phát cum liệu “ bất thường” sở liệu mạng, từ đưa cảnh báo bất thường mạng cho nhà quản trị KẾT LUẬN VÀ HƯỚNG PHÁP TRIỂN Đảm bảo An ninh mạng vấn đề nhiều quan, tổ chức cá nhân đặc biệt quan tâm Để đảm bảo an toàn mạng phải cần phương pháp, kỹ thuật phải cập nhật liên tục đủ mạnh để chống trả lại công bất hợp pháp từ nhiều hướng vào hệ thống mạng Khai phá liệu để phát bất thường sở liệu công mở hướng phát triển cho lĩnh vực đảm bảo an toàn, An ninh mạng Nhằm đưa cảnh báo sớm nhất, xác công bất thường vào hệ thống mạng Từ đề xuất thêm giải pháp để ngăn chặn phòng chống cho cơng tếp theo Những vấn đề đạt luận văn + Đã tìm hiểu vấn đề hệ thống phát xâm nhập mạng + Nghiên cứu số kỹ thuật lĩnh vực ứng dụng Khai phá liệu + Nghiên cứu số phương pháp để phát bất thường traffic mạng + Đã đề xuất giải pháp kĩ thuật để phát xâm nhập mạng bất thường dựa Khai phá liệu + Đã vận dụng kĩ thuật phân cụm, sử dụng thuật toán K-Medoids để phát bất thường sở liệu mạng Hướng phát triển + Đi sâu vào thuật toán phân cụm Khai phá liệu để tối ưu hóa ứng dụng phát xâm nhập mạng máy tính bất thường + Sử dụng kết đạt luận văn hồn thiện hệ thống có đầy đủ chức phát ngăn chặn xâm nhập mạng máy tính bất thường đủ mạnh để ứng dụng thực tế TÀI LIỆU THAM KHẢO Tiếng Việt [1] TS Nguyễn Ngọc Cương (2012), An ninh mạng tác chiến tin học, nhà xuất Công An Nhân Dân [2] Vũ Đình Cường (2009), Tìm hiểu cơng & phương pháp phòng chống, nhà xuất Lao động Xã hội Tiếng Anh [3] K Cios, W Pedrycs, R Swiniarski (1998), Data Mining – Methods for Knowledge Discovery, Kluwer Academic Publishers [4] Paul Dokas, Levent Ertoz, Vipin Kumar, Aleksandar Lazarevic, Jaideep Srivastava, Pang-Ning Tan(2002), Data Mining for Network Intrusion Detection [5] The Informaton Assurance Technology Analysis Center (IATAC) (2009), Intrusion Detection Systems http://iac.dtc.mil/iatac [6] ZhaoHui Tang and Jamie MacLennan (2005) Data Mining with SQL Server 2005 Wiley Publishing, Inc., Indianapolis, Indiana [7] http://www.wireshark.org/docs/wsug_html_chunked/ [8] http://www.winpcap.org/windump/default.htm ... tài “ Nghiên cứu giải pháp phát xâm nhập mạng máy tính bất thường dự khai phá liệu Đề tài tập trung nghiên cứu phương pháp phát xâm nhập mạng máy tính bất thường kỹ thuật khai phá liệu để phát. .. PHÁT HIỆN BẤT THƯỜNG DỰA TRÊN KỸ THUẬT KHAI PHÁ DỮ LIỆU .26 2.1 Phát bất thường dựa khai phá liệu 26 2.1.1 Phương pháp phát bất thường dựa khai phá liệu 26 2.1.2 Kỹ thuật phát. .. xâm nhập mạng dựa chế phát bất thường hệ thống phát xâm nhập mạng Nghiên cứu phương pháp phát bất thường CSDL dựa kỹ thuật Khai phá liệu Đề xuất phương pháp để triển khai chương trình ứng dụng phát