1 MỞ ĐẦU Tóm lược đề tài Ngày Internet trở thành phần thiếu đời sống xã hội Việc học tập, kinh doanh, vui chơi giải trí, liên lạc trao đổi thơng tin mạng trở thành hành động thường ngày người, khả kết nối toàn giới mang lại thuận tiện cho tất người, đặc biệt với hỗ trợ máy tìm kiếm Google tìm kiếm thứ Internet cần Bên cạnh thuận lợi đó, phải đối mặt với nguy trộm thông tin mạng, mua bán thơng tin cá nhân gây ảnh hưởng đến tính riêng tư, vụ lừa đảo, công từ chối dịch vụ gây ảnh hưởng đến hoạt động kinh doanh cho công ty gây phiền hà cho người sử dụng internet…làm cho việc bảo mật mạng vấn đề nóng quan tâm đến thời điểm Các giải pháp bảo mật trọng có đóng góp lớn việc hạn chế ngăn chặn xâm nhập mạng trái phép, ví dụ: firewall ngăn chặn kết nối không đáng tin cậy, mã hóa làm tăng độ an tồn cho việc truyên liệu, chương trình diệt virus với sở liệu liên tục cập nhật loại virus Tuy nhiên, để phát cơng hay xâm nhập hệ thống máy tính thơng thường ta dựa vào trạng thái máy chủ mạng, để nhận biết hệ thống mạng bình thường hay bị công việc làm cần phải có đầu tư nhân lực tài Các chuyên gia nghiên cứu sử thuật toán lĩnh vực Trí tuệ nhân tạo để giải vấn đề như: thuật tốn Markov ẩn, Nạve Bayesian, thuật tốn di truyền,….[2][5][18] có thuật tốn đồ tự tổ chức (Self Organizing Map - SOM) Giáo sư Teuvo Kohonen người Phần Lan đưa vào đầu năm 80 nghiên cứu vấn đề Hiện nay, nước như: Nhật Bản, Mĩ, Phần Lan có đề tài nghiên cứu có ứng dụng đồ tự tổ chức SOM để xây dựng hệ thống cảnh báo phát xâm nhập mạng, Việt Nam đề tài nghiên cứu thuật toán đồ tự tổ chức như: Trường Đại học Công nghệ thông tin, Đại học Khoa học Tự nhiên Tp Hồ Chí Minh khu Công nghệ phần mềm Đại học quốc gia Tp Hồ Chí Minh Mục tiêu đề tài Mục tiêu luận văn tập trung nghiên cứu số vấn đề sau: - Tấn công từ chối dịch vụ (Denial of Service – DoS) - Hệ thống cảnh báo xâm nhập mạng (Intrusion Detection System – IDS) - Lý thuyết thuật toán “bản đồ tự tổ chức” SOM - Cài đặt công cụ cảnh báo công với ứng dụng thuật toán “Bản đồ tự tổ chức” SOM nhằm cảnh báo công DoS qua hành vi biết Nội dung đề tài Những nội dung thực để đạt mục tiêu luận văn là: - Nghiên cứu hệ thống cảnh báo phát xâm nhập IDS thông qua thầy cô, giáo viên hướng dẫn, qua kiến thức học, qua sách báo internet để tìm hiểu chế hoạt động IDS từ đề xuất công cụ cảnh báo công DoS thiết kế hệ điều hành mã nguồn mở Linux - Nghiên cứu kiểu công từ chối dịch DoS, để hiểu sâu công từ chối dịch vụ công từ chối dịch vụ phân tán, cách thức làm việc Attacker cơng mục tiêu, mục đích ý nghĩa pha cơng, để có phương pháp ngăn chặn cơng có biện pháp xử lí kịp thời hệ thống mạng vơ tình mục tiêu attacker - Nghiên cứu thuật toán đồ tự tổ chức SOM - Xây dựng Lab thử nghiệm công từ chối dịch vụ, xác định ảnh hưởng công từ chối dịch vụ DoS qua hệ thống mạng ảo - Cài đặt cộng cụ cảnh báo công DoS Phạm vi ứng dụng Đề tài: “Ứng dụng công nghệ đồ tự tổ chức (Self Organizing Map - SOM) nhằm phát công từ chối dịch vụ DoS qua hành vi” ứng dụng đưa cảnh báo công giúp tổ chức, cá nhân, quan doanh nghiệp phát công từ chối dịch vụ DoS Những đóng góp luận văn Các đóng góp luận văn là: - Giới thiệu hệ thống phát xâm nhập IDS có - Giới thiệu phân loại công từ chối dịch vụ DoS - Phân tích thuật tốn “Bản đồ tự tổ chức” SOM ứng dụng vào trình học cơng biết để có xảy cơng tương tự cảnh báo đến người quản trị hệ thống - Thiết kế công cụ cảnh báo công từ chối dịch vụ DoS hệ điều hành mã nguồn mở Linux Cấu trúc luận văn: Luận văn gồm thành phần sau: MỞ ĐẦU Chương 1: TỔNG QUAN VỀ IDS VÀ DoS Chương trình bày tổng quan về: Hệ thống phát xâm nhập IDS; Giới thiệu chung mạng neuron nhân tạo công từ chối dịch vụ DoS Chương 2: CƠ SỞ LÝ THUYẾT: THUẬT TOÁN BẢN ĐỒ TỰ TỔ CHỨC (Self Organizing Map - SOM) Trình bày tổng quan, kiến trúc, thuật tốn số ưu điểm, nhược điểm thuật toán SOM Chương 3: XÂY DỰNG CÁC VECTOR HUẤN LUYỆN XÁC ĐỊNH CÁC ĐẶC TRƯNG HỆ THỐNG Nội dung chương trình bày cách thức lấy thơng tin qua Procfile hệ điều hành Linux Từ thông tin đó, chọn vector huấn luyện đặc trưng hệ thống cách thức lấy vector huấn luyện; giới thiệu thuật toán xây dựng tham số đặc trưng, cách thức gán trọng số chuẩn hóa đặc trưng đề xuất Chương 4: THIẾT KẾ VÀ CÀI ĐẶT THỬ NGHIỆM Chương trình bày mục tiêu tổng quan mơ hình đề xuất, thử nghiệm hệ thống phát công IDS với cách công từ chối dịch vụ DoS biết trước Từ đó, đưa số nhận xét đánh giá IDS đề xuất KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN DANH MỤC TÀI LIỆU THAM KHẢO PHỤ LỤC Chương TỔNG QUAN VỀ IDS VÀ DoS Trong chương trình bày tổng quan về: Hệ thống phát xâm nhập IDS; Mạng neuron nhân tạo kĩ thuật công từ chối dịch vụ DoS 1.1 Giới thiệu hệ thống phát xâm nhập IDS 1.1.1 IDS gì? IDS hệ thống phịng chống, nhằm phát hành động công vào mạng Mục đích phát hành động phá hoại vấn đề bảo mật hệ thống, hành động tiến trình cơng sưu tập, qt cổng IDS cung cấp thơng tin nhận biết hành động bất thường đưa cảnh báo thông báo cho nhà quản trị mạng khóa kết nối cơng Thêm vào cơng cụ IDS phân biệt công từ bên tổ chức (từ nhân viên khách hàng) cơng bên ngồi (tấn cơng từ hacker) IDS giám sát phát lạm dụng tài nguyên hệ thống quét mạng, công DoS, hành vi truy cập dịch vụ hệ thống mạng cách trái phép 1.1.2 Phân loại hệ thống phát xâm nhập mạng IDS Có loại IDS Network based IDS (NIDS) Host based IDS (HIDS) Hệ thống phát xâm nhập mạng (Network based IDS – NIDS): Được đặt kết nối hệ thống mạng bên bên để giám sát toàn lưu lượng mạng vào Có thể thiết bị phần cứng riêng biệt thiết lập sẵn hay phần mềm cài đặt máy tính Chỉ dùng để đo lưu lượng mạng sử dụng, phát dấu hiệu “bất thường” NIDS phản ứng lại cách ghi trạng, cảnh báo nhà quản trị, chấm dứt phiên làm việc đưa vào tường lửa [7] Tuy nhiên, xảy tượng nghẽn cổ chai lưu lượng mạng hoạt động mức cao Ưu điểm: Giám sát lưu lượng mạng, kết nối mạng Nhược điểm: Khó quan sát nội dung gói liệu mạng mã hóa, đồng thời khơng thể biết diễn máy tính mạng Hệ thống phát xâm nhập máy chủ (Host based IDS – HIDS): Được cài đặt cục máy tính làm cho trở nên linh hoạt nhiều so với NIDS, kiểm soát lưu lượng vào máy tính, triển khai nhiều máy tính hệ thống mạng, HIDS cài đặt nhiều dạng máy khác máy chủ, máy trạm hay máy xách tay HIDS cho phép ta thực cách linh hoạt đoạn mạng mà NIDS thực được, lưu lượng gửi tới máy tính HIDS phân tích chuyển qua chúng không chứa mã nguy hiểm HIDS hoạt động chủ yếu hệ điều hành windows, có sản phẩm hoạt động Unix nhiều hệ điều hành khác Như vậy, kết hợp NIDS HIDS cung cấp bảo mật hiệu hệ thống mạng máy tính, máy chủ máy trạm Ưu điểm: Cài đặt nhiều dạng máy tính: xách tay, máy trạm, máy chủ Phân tích lưu lượng mạng forward Giám sát thực diễn máy tính Nhược điểm: Khơng biết trạng thái hoạt động toàn mạng theo phương thức này, người quản trị khó phát xâm nhập theo thời gian thực Hình 1.1: Vị trí IDS mạng 1.2 Giới thiệu mạng neuron: 1.2.1 Mạng neuron nhân tạo gì? Định nghĩa: Mạng neuron nhân tạo, Artificial Neuron Network (ANN) gọi tắt mạng neuron, neuron network, mơ hình xử lí thơng tin theo cách xử lý thông tin hệ neuron sinh học Nó tạo nên từ số lượng phân tử (gọi phần tử xử lý hay neuron) kết nối với thông qua liên kết (gọi trọng số liên kết) làm việc thể thống để giải vấn đề cụ thể Một mạng neuron nhân tạo cấu hình cho ứng dụng cụ thể (nhận dạng mẫu, phân loại liệu,…) thông qua trình học từ tập mẫu huấn luyện Về chất học q trình hiệu chỉnh trọng số liên kết neuron 1.2.2 Kiến trúc mạng neuron Kiến trúc mạng truyền thẳng (feedforward architechture): kiểu kiến trúc mạng khơng có kết nối ngược trở lại từ neuron đầu neuron đầu vào; mạng không lưu lại giá trị output trước trạng thái kích hoạt neuron Các mạng neuron truyền thẳng cho phép tín hiệu di chuyển theo đường nhất; từ đầu vào tới đầu ra, đầu tầng khơng ảnh hưởng tới tầng Các mạng kiểu perceptron mạng truyền thẳng Hình 1.2: – Mạng truyền thẳng Kiến trúc mạng phản hồi (feedback architechture): kiểu kiến trúc mạng có kết nối từ neuron đầu tới neuron đầu vào Mạng lưu trạng thái trước đó, trạng thái không phụ thuộc vào tín hiệu đầu vào mà cịn phụ thuộc vào trạng thái trước mạng Mạng hopfield thuộc loại Hình 1.3 – Mạng kiến trúc phản hồi 1.2.3 Các hệ học máy 1.2.3.1 Học máy gì? [2] Học trình thay đổi hành vi vật theo cách làm cho chúng thực tốt tương lai gặp tình trạng tương tự Một trình mà chương trình máy tính cải thiện hiệu suất cơng việc thơng qua kinh nghiệm Việc lập trình máy tính để tối ưu hóa tiêu chí hiệu suất dựa liệu ví dụ kinh nghiệm q khứ Học làm ? - Học cần thiết môi trường chưa quen thuộc - Học phương pháp hữu hiệu để xây dựng hệ thống - Học cách để chương trình thơng minh hiệu chỉnh hành vi để tăng hiệu giải vấn đề Học ? - Tri thức người chưa đủ (Ví dụ: Trên hỏa) - Con người khơng đủ khả giải thích (nhận dạng giọng nói, nhận dạng chữ viết, nhận dạng khuôn mặt người,…) - Lời giải thay đổi theo thời gian (routing on a computer network) - Lời giải cần thích nghi trường hợp cụ thể (sinh vật học) Một mạng neuron huấn luyện (hay học) cho tập vector đầu vào X, mạng có khả tạo tập vector đầu mong muốn Y Tập X sử dụng cho huấn luyện mạng gọi tập huấn 10 luyện (training set) Quá trình huấn luyện chất thay đổi trọng số liên kết mạng Trong trình này, trọng số mạng hội tụ dần tới giá trị cho với vector đầu vào x từ tập huấn luyện, mạng cho vector đầu y mong muốn Có ba phương pháp học phổ biến học có giám sát (supervised learning), học khơng có giám sát (unsupervised learning) học tăng cường (Reinforcement learning) 1.2.3.2 Học có giám sát Là q trình học có tham gia giám sát “thầy giáo”, việc ta dạy em nhỏ chữ Ta đưa chữ bảo với em chữ “a” Việc thực tất mẫu chữ Sau kiểm tra ta đưa chữ (có thể viết khác đi) hỏi em chữ gì? Với học có giám sát, tập mẫu huấn luyện cho trước dạng D = {(x,t) | (x,t) ∈ [IRN x RK]}, đó: x = (x1,x2,…,xN) vector đặc trưng N chiều mẫu huấn luyện t = (t1,t2,…,tK) vector mục tiêu K chiều tương ứng, nhiệm vụ thuật toán phải thiết lập cách tính tốn mạng để cho với vector đặc trưng đầu vào sai số giá trị đầu thực mạng giá trị mục tiêu tương ứng nhỏ Chẳng hạn, mạng học để xấp xỉ hàm t = f(x) biểu diễn mối quan hệ tập mẫu huấn luyện (x,t) Như học có giám sát, số lớp cần phân loại biết trước Nhiệm vụ thuật toán phải xác định cách thức phân lớp cho với vector đầu vào phân loại xác vào lớp 1.2.3.3 Học khơng có giám sát Là việc học khơng cần có giám sát ... ? ?Ứng dụng công nghệ đồ tự tổ chức (Self Organizing Map - SOM) nhằm phát công từ chối dịch vụ DoS qua hành vi? ?? ứng dụng đưa cảnh báo công giúp tổ chức, cá nhân, quan doanh nghiệp phát công từ chối. .. toán đồ tự tổ chức SOM 3 - Xây dựng Lab thử nghiệm công từ chối dịch vụ, xác định ảnh hưởng công từ chối dịch vụ DoS qua hệ thống mạng ảo - Cài đặt cộng cụ cảnh báo công DoS Phạm vi ứng dụng. .. TOÁN BẢN ĐỒ TỰ TỔ CHỨC (Self Organizing Map - SOM) Trình bày tổng quan, kiến trúc, thuật toán số ưu điểm, nhược điểm thuật toán SOM 2.1 Giới thiệu Bản đồ tự tổ chức (Self – Organizing – Map) vi? ??t