Đang tải... (xem toàn văn)
Nghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụNghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụNghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụNghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụNghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụNghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụNghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụNghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụNghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụNghiên cứu hệ thống phát hiện xâm nhập IDS cho máy chủ dịch vụ
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Phùng Văn Thuần NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS CHO MÁY CHỦ DỊCH VỤ LUẬN VĂN THẠC SĨ KỸ THUẬT HÀ NỘI – 2018 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - PHÙNG VĂN THUẦN NGHIÊN CỨU HỆ THỐNG PHÁT HIỆN XÂM NHẬP IDS CHO MÁY CHỦ DỊCH VỤ CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN MÃ SỐ: 8480104 LUẬN VĂN THẠC SĨ KỸ THUẬT NGƯỜI HƯỚNG DẪN KHOA HỌC: TS NGUYỄN CHIẾN TRINH HÀ NỘI – 2018 i LỜI CAM ĐOAN Tơi cam đoan cơng trình nghiên cứu riêng tơi Nội dung luận văn có tham khảo sử dụng tài liệu, thông tin đăng tải tạp chí trang web theo danh mục tài liệu tham khảo Tất tài liệu tham khảo có xuất xứ rõ ràng trích dẫn hợp pháp Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ luật theo quy định cho lời cam đoan Tác giả luận văn Phùng Văn Thuần ii LỜI CẢM ƠN Học viên xin chân thành cảm ơn thầy, cô Khoa Quốc tế Đào tạo Sau đại học Khoa Công nghệ thông tin 1, Học viện Bưu Viễn thơng tạo điều kiện thuận lợi cho học viên trình học tập nghiên cứu Lời cảm ơn trân trọng xin gửi tới Ban Giám hiệu Trường Đại học Công nghệ Giao thông vận tải tạo điều kiện thời gian, công việc để học viên theo học khóa đào tạo thạc sỹ Và học viên xin chân thành cảm ơn Tiến sĩ Nguyễn Chiến Trinh người trực tiếp tận tình hướng dẫn học viên hồn thành luận văn Học viên chân thành cảm ơn bạn bè gia đình sát cánh giúp học viên có kết ngày hôm Học viên xin trân trọng cảm ơn! Tác giả luận văn Phùng Văn Thuần iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT v DANH MỤC CÁC BẢNG vi DANH MỤC CÁC HÌNH VẼ vii MỞ ĐẦU Chương 1: TỔNG QUAN VỀ IDS 1.1 Khái quát IDS 1.1.1 Lịch sử phát triển IDS 1.1.2 Lợi ích chung IDS 1.1.3 Những thành phần IDS 1.2 Phân loại IDS 1.2.1 Hệ thống phát xâm nhập dựa host 1.2.2 Hệ thống phát xâm nhập dựa mạng 1.2.3 Phát xâm nhập IDS lai 1.3 Kiến trúc IDS 1.4 Cơ chế phát xâm nhập IDS 11 1.5 Kết chương 12 Chương 2: MỘT SỐ KỸ THUẬT PHÂN TÍCH LƯU LƯỢNG PHÁT HIỆN TẤN CÔNG MẠNG 13 2.1 Tổng quan phương pháp, mô hình phân tích phát lưu lượng bất thường 13 2.2 Lưu lượng mạng bất thường 18 2.2.1 Khái niệm lưu lượng mạng bất thường 18 2.2.2 Nguyên nhân gây lưu lượng mạng bất thường 20 2.2.3 Phân tích phát lưu lượng mạng bất thường 21 2.3 Một số phương pháp phân tích phát lưu lượng bất thường điển hình 22 2.3.1 Phương pháp dựa mơ hình Markov 22 2.3.2 Phương pháp dựa mạng Bayesian 23 2.3.3 Phương pháp dựa phân tích thống kê 23 2.3.4 Phương pháp dựa phân cụm 26 iv 2.3.5 Phương pháp máy vector hỗ trợ 26 2.3.6 Phương pháp dựa hệ chuyên gia 27 2.3.7 Phương pháp dựa luật học máy 28 2.3.8 Phương pháp dựa khai phá liệu 29 2.3.9 Phương pháp dựa PCA 31 2.4 Kết chương 33 Chương 3: ỨNG DỤNG PCA XÂY DỰNG IDS CHO MÁY CHỦ DỊCH VỤ 34 3.1 Thuật tốn phân tích thành phần PCA 34 3.1.1 Giới thiệu 34 3.1.2 Thuật toán PCA 35 3.1.3 Phương pháp phân tích phát lưu lượng bất thường dựa PCA 41 3.1.4 Thiết lập mức ngưỡng 44 3.2 Mơ hình hệ thống phân tích liệu bất thường PCA 44 3.3 Kiến trúc hệ thống giám sát máy chủ dịch vụ thi trắc nghiệm 46 3.3.1 Phạm vi thu thập liệu 46 3.2.2 Kiến trúc tổng thể hệ thống giám sát 47 3.2.3 Máy trinh sát 47 3.3 Nhận dạng, phân loại bất thường khả kết hợp phát lưu lượng bất thường với phát công mạng dựa mẫu dấu hiệu 53 3.4 Mơ hình phát lưu lượng bất thường máy chủ dịch vụ 54 3.4.1 Các loại công phổ biến máy chủ dịch vụ: 56 3.5 Mô thử nghiệm phát công PCA máy chủ dịch vụ: 58 3.5.1 Tập liệu thử nghiệm 58 3.5.2 Mô thử nghiệm phát bất thường số loại công 60 KẾT LUẬN VÀ KIẾN NGHỊ 63 TÀI LIỆU THAM KHẢO 65 v DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT DNS Domain Name System Hệ thống tên miền IDS Intrussion Detection System Hệ thống phát công xâm nhập ISP Internet Service Provider Nhà cung cấp dịch vụ Internet IP Internet Protocol Giao thức Internet Khai phá liệu KPDL PC Principal Component Thành phần PCA Principal Component Analysis Phân tích thành phần SVD Singular Value Decompossition SVM Support Vector Machine Véc tơ máy hỗ trợ TCP Transmision Control Protocol Giao thức điều khiển truyền tin VPN Vitual Private Network Mạng riêng ảo vi DANH MỤC CÁC BẢNG Bảng 1.1 Ưu điểm, nhược điểm hệ thống phát xâm nhập dựa host Bảng 1.3 Ưu điểm, nhược điểm hệ thống phát xâm nhập dựa mẫu dấu hiệu 11 Bảng 1.4 Ưu điểm, nhược điểm hệ thống phát xâm nhập dựa bất thường12 Bảng 2.1 Các phương pháp phân tích phát lưu lượng bất thường 14 Bảng 2.2 Tổng kết tóm tắt số ưu, nhược điểm nhóm phương pháp phát lưu lượng bất thường 16 Bảng 2.3 Các nguyên nhân điển hình gây lưu lượng mạng bất thường 20 Bảng 3.1 Thuộc tính dùng thử nghiệm tập liệu NSL – KDD 59 Bảng 3.2 Kết phát PCA với số loại công 61 vii DANH MỤC CÁC HÌNH VẼ Hình 1.1 Kiến trúc IDS Hình 1.2 IDS dựa host Hình 1.3 IDS dựa vào mạng Hình 2.1 Biểu diễn tập liệu bình thường bất thường thu từ mạng toạ độ hai chiều 18 Hình 2.2 Mơ hình hệ thống phát bất thường dựa tập luật 28 Hình 3.1 Minh họa PCA: tìm trục tọa độ cho liệu biến thiên lớn 35 Hình 3.2 PCA mặt phẳng 2D 41 Hình 3.3 Mơ hình chung hệ thống phân tích phát lưu lượng bất thường dựa PCA 45 Hình 3.4 Hệ thống mạng thi trắc nghiệm có kết nối Internet 46 Hình 3.5 Kiến trúc tổng thể hệ thống giám sát 47 Hình 3.6 Cấu trúc thiết bị trinh sát 48 Hình 3.7 Hệ thống phần mềm trinh sát 49 Hình 3.8 Một số kiện thu trung tâm giám sát 52 Hình 3.8 Mơ hình kết hợp phát bất thường mẫu dấu hiệu 55 MỞ ĐẦU Kể từ đời, Internet không ngừng phát triển mở rộng mang lại nhiều tiện ích hữu dụng như: hệ thống thư điện tử, trò chuyện trực tuyến, tìm kiếm liệu, trao đổi thơng tin Khả kết nối toàn giới mang lại thuận tiện cho tất người, tiềm ẩn nguy khó lường đe dọa tới mặt đời sống xã hội Việc trộm thơng tin mạng gây ảnh hưởng đến tính riêng tư cho cá nhân, vụ lừa đảo, công gây từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho công ty gây phiền toái cho người sử dụng Internet làm cho vấn đề bảo mật mạng vấn đề nóng quan tâm đến thời điểm Vấn đề bảo mật đặt đóng góp lớn việc hạn chế ngăn chặn bảo mật, Firewall ngăn chặn kết nối không đáng tin cậy, mã hóa làm tăng độ an tồn cho việc truyền liệu, chương trình diệt virus với các sở liệu cập nhật Những yêu cầu dẫn đến yêu cầu phải có phương pháp bảo mật hỗ trợ cho phương pháp bảo mật truyền thống Hệ thống phát hiệm xâm nhập IDS (Intruction Detection System) hệ thống giám sát lưu thơng mạng có khả phát hoạt động khả nghi hay hành động xâm nhập trái phép hệ thống mạng tiến trình công, cung cấp thông tin nhận biết đưa cảnh báo cho hệ thống, người quản trị Từ lý trên, học viên lựa chọn đề tài “Nghiên cứu hệ thống phát xâm nhập IDS cho máy chủ dịch vụ ” cho luận văn Thạc sĩ 54 pháp nên kết hợp với phương pháp phát dựa mẫu dấu hiệu phương pháp phân lớp, phân cụm để đạt hiệu cao 3.4 Mơ hình phát lưu lượng bất thường máy chủ dịch vụ Trong hệ thống giám sát, PCA thành phần để phát bất thường mạng cần giám sát cần phải làm việc kết hợp với thành phần khác Một thành phần quan trọng làm việc với PCA phận phát xâm nhập dựa tập mẫu dấu hiệu Hình 3.8 mơ tả đề xuất mơ hình kết hợp phát bất thường Dữ liệu đầu vào để tạo tập mẫu kiểm tra phần mềm phát xâm nhập IDS theo mẫu dấu hiệu (ví dụ Snort, Suricata, Bro) [13] để loại bỏ công biết Trong trường hợp liệu đầu vào để tạo tập mẫu đảm bảo (bởi người quản trị mạng), liệu sử dụng trực tiếp làm tập liệu mẫu Bộ biến đổi PCA dùng để tính tham số profile Những liệu đọc vào sau ánh xạ qua tham số profile tính khoảng cách Nếu khoảng cách vượt giá trị ngưỡng, liệu tương ứng coi bất thường, ngược lại bình thường Kết phát kiểm tra lại mẫu dấu hiệu [26], phần mềm phát xâm nhập theo mẫu dấu hiệu Snort/Suricata/Bro phương pháp học máy dựa bất thường biết [36,29] Những bất thường nhận dạng kiểm tra trực tiếp người Để tránh tải cho IDS theo mẫu dấu hiệu, liệu phát bình thường khơng phải kiểm tra lại tồn IDS theo mẫu dấu hiệu mà kiểm tra lại cách ngẫu nhiên để xem có cơng hay khơng Điều sở liệu IDS chứa nhiều luật (Rule) sử dụng tất luật làm tải IDS Tuy nhiên, thấy nhiều liệu bình thường bị phát cơng, tất liệu bình thường phải kiểm tra IDS 55 Hình 3.8 Mơ hình kết hợp phát bất thường mẫu dấu hiệu Sau tất bước kiểm tra trên, liệu coi bình thường hồi tiếp quay trở lại tập liệu mẫu Những liệu đưa vào thay liệu cũ, đảm bảo profile cập nhật theo thời gian Profile thay đổi theo thời gian (giờ, ngày) Người quản trị mạng tạo nhiều profile đặt thời gian để chuyển profile cách tự động 56 3.4.1 Các loại công phổ biến máy chủ dịch vụ: - Tấn công chủ động (Active Attack): Tấn công chủ động tên gọi cơng hồn tồn công khai chủ động tổ chức thực cơng với mục đích làm giảm hiệu tê liệt hoạt động mạng máy tính hệ thống Đối với kiểu công chủ động hoàn toàn nhận biết qua kết tác động Tấn cơng chủ động bao gồm phương thức công từ chối dịch vụ (DoS), công từ chối dịch vụ phân tán (DDoS), công tràn đệm, công qua ký tự điều khiển đồng SYN, giả mạo, người trung gian (MITM), giả mạo giao thức điều khiển truyền tin qua Internet, tự động kết nối đường truyền Hình thức có nghĩa lục lại thông tin từ vùng rác, vùng đệm thơng tin để có thơng tin quan trọng - Tấn công bị động (Passive Attack): Bao gồm quét cổng, bắt trộm nghe trộm gói tin đường truyền, phân tích lưu lượng liệu, giám sát giao tiếp không bảo vệ, giải mã lưu lượng liệu mã hóa yếu thu thập thông tin xác thực mật Trong công bị động, hacker kiểm sốt lưu lượng khơng mã hóa tìm kiếm mật khơng mã hóa (Clear text password), thơng tin nhạy cảm sử dụng kiểu công khác - Tấn công nội (Insider Attack): Người dùng nhóm nội cố ý nghe trộm, ăn cắp phá hoại thông tin, sử dụng thông tin cách gian lận truy cập trái phép thông tin - Tấn công mật (Password Attack): Các hacker cố gắng phá mật lưu trữ máy chủ sở liệu tài khoản hệ thống mạng mật bảo vệ tập tin Các công mật gồm ba loại chính: cơng dạng từ điển (Dictionnary Attack), brute-force attack hybrid attack Cuộc công dạng từ điển sử dụng danh sách tập tin chứa mật tiềm - Buffer Overflow (lỗi tràn đệm): Tấn công Buffer Attack xảy hacker gửi liệu tới ứng dụng máy chủ nhiều so với dự kiến Kết 57 công Buffer Attack hacker công truy cập quản trị hệ thống Commad Prompt Shell - Tấn cơng phá mã khóa (Compromised – key Attack): Mã khóa bí mật số quan trọng để “giải mã” thông tin bảo mật Sau hacker có mã khóa, mã khóa gọi mã khóa gây hại Hacker sử dụng mã khóa gây hại để dành quyền truy cập thông tin liên lạc mà không cần phải gửi nhận giao thức cơng Với mã khóa gây hại, hacker giải mã sửa đổi liệu - Giả mạo địa IP: Việc giả mạo địa IP thực thơng qua việc sử dụng khả dẫn đường trực tiếp (source-routing) Kẻ cơng gửi gói tin IP tới mạng bên với dịa IP giả mạo (thông thường địa mạng máy coi an toàn mạng nội bộ), đồng thời rõ đường dẫn mà gói tin IP phải gửi - Vơ hiệu hóa chức hệ thống: Đây kiểu công nhằm tê liệt hệ thống, khơng cho thực chức mà thiết kế Kiểu cơng khơng thể ngăn chặn được, phương tiện tổ chức cơng phương tiện để làm việc truy nhập thơng tin mạng Ví dụ sử dụng lệnh “ping” với tốc độ cao có thể, buộc hệ thống tiêu hao toàn tốc độ tính tốn khả mạng để trả lời lệnh này, khơng cịn tài ngun để thực cơng việc hữu ích khác - Lỗ hổng khơng cần Login: Nếu ứng dụng không thiết kế chặt chẽ, khơng ràng buộc trình tự bước duyệt ứng dụng lỗ hổng bảo mật mà hacker lợi dụng để truy cập thẳng đến ứng dụng bên máy chủ mà không cần phải qua bước đăng nhập 58 3.5 Mô thử nghiệm phát công PCA máy chủ dịch vụ: 3.5.1 Tập liệu thử nghiệm KDD (Knowledge Data Mining Data Set) tập liệu tri thức thuộc lĩnh vực khác như: y tế, an ninh mạng, kinh tế… tổng hợp từ điều kiện thực tế sử dụng thuật toán, phương pháp khai phá liệu Một tập liệu hay sử dụng để kiểm nghiệm phương pháp phát xâm nhập KDD - CUP99 [34] KDD - CUP 99 tách trường liệu đặc trưng (thuộc tính) từ gói tin sau tổng hợp lại cho kết nối Các trường liệu hay thuộc tính trở thành biến đầu vào cho chế phát cơng Tổng cộng có 42 trường liệu trường số 42 đánh nhãn (labeling) kết nối bình thường tên loại cơng Dữ liệu phân loại thành lớp: bình thường (Normal) lớp công (Denial Of Service, Probe, Root To Local, User To Root) Đã có nhiều nghiên cứu sử dụng KDDCUP ’99 để thử nghiệm mơ hình phương pháp đề xuất [34] Điển hình, [35], tác giả chứng tỏ KDD - CUP 99 tập liệu quan trọng để đánh giá hiệu phương pháp phát xâm nhập giai đoạn phát triển sau Các tác giả cho thấy IDS phát dựa mẫu dấu hiệu biết trước (signal based IDS) bỏ qua nhiều công so với IDS dựa phương pháp phát bất thường (anomaly – based IDS) Mặc dù vậy, KDD – CUP 99 tồn số vấn đề mà điển hình có q nhiều liệu dư thừa trùng lặp Điều ảnh hưởng đến kết đánh giá hiệu phương pháp phát nghiên cứu sử dụng tập liệu nêu [30] Tiếp đó, NSL – KDD tập liệu phát triển từ tập KDD - CUP 99 loại bỏ kết nối dư thừa trùng lặp [30] Do khắc phục số nhược điểm quan trọng KDD - CUP 99, NSL – KDD tập liệu có độ tin cậy cao KDD - CUP 99 thử nghiệm phương pháp phát cơng Những phương pháp đề xuất có độ xác cao với KDD - CUP 99 59 thử nghiệm với NSL – KDD có kết bị suy giảm nhiều [30] Những cơng trình nghiên cứu gần thử nghiệm với tập liệu [5], chứng tỏ NSL – KDD tập liệu có đủ độ tin cậy để mơ phỏng, thử nghiệm phát bất thường công mạng Với lý trên, chương 3, NSL – KDD tập liệu lựa chọn thử nghiệm phân tích phát lưu lượng bất thường nói chung số loại cơng nói riêng Chi tiết tập NSL–KDD mô tả [30,33] Bảng 3.1 liệt kê thuộc tính sử dụng thử nghiệm tập liệu NSL – KDD (16 thuộc tính) Các thuộc tính lựa chọn dựa thực nghiệm Bảng 3.1 Thuộc tính dùng thử nghiệm tập liệu NSL – KDD [3] Thuộc tính Duration Protocol_type Service Src_bytes Dst_bytes Flag Ý nghĩa Thời gian kết nối Loại giao thức Loại dịch vụ Số lượng byte gửi từ nguồn đến đích Số lượng byte gửi từ đích nguồn Bit cờ Số lượng kết nối đến địa đích xét Count 2s Số lượng kết nối đến dịch vụ đích xét Srv_count 2s Serror_rate % số kết nối có lỗi đồng SYN Rerror _rate % số kết nối có lỗi đồng REJ Diff_srv_rate % số kết nối có dịch vụ giống Dst_host_count Số lượng địa đích Số lượng kết nối đến địa đích xét Dst_host_srv_count dịch vụ đích % số kết nối đến dịch vụ giống với địa Sdt_host_diff_srv_rate đích Số lượng lần đăng nhập không thành công ứng Num_failed_logins dụng Bit cờ cho biết trạng thái đăng nhập thành công Logged_in ứng dụng Bit thành công, bit không thành công 60 3.5.2 Mô thử nghiệm phát bất thường số loại công Phần thử nghiệm thực đánh giá thông số sau: • TPR FPR toàn kết nối thử nghiệm TPR cho biết tỷ lệ phát tổng cộng tất loại công FPR cho biết tỷ lệ phát sai liệu bình thường bị phát cơng • Tỷ lệ phát số loại công: - Smurf: kiểu công từ dối dịch vụ số lượng lớn gói tin ICMP với địa nguồn giả mạo máy tính nạn nhân gửi đến địa IP quảng bá Khi thiết bị nhận gói tin quảng bá chấp nhận trả lời, số lượng lớn gói tin làm tràn tài ngun máy tính nạn nhân - Neptune: kiểu công từ chối dịch vụ cách gửi gói tin giả mạo địa IP nguồn để thiết lập phiên làm việc đến máy nạn nhân nhằm làm cho máy nạn nhân bị cạn kiệt tài nguyên - Pingsweep: kiểu công quét, thăm dị cách ping qt cổng để tìm máy tính thiết bị hoạt động - Portsweep: cơng qt cổng, tìm cổng mở dịch vụ chạy máy nạn nhân - Guest password: cơng dị tìm mật Hiện kiểu cơng thực cách tự động với trợ giúp từ điển mật hay dùng • wi trọng số cơng thức tính khoảng cách, k số thành phần sử dụng k = 16 sử dụng tất PC • Trong tất loại công trên, phần lớn việc phát công cần liệu lưu lượng tầng mạng (Network Layer) tầng giao vận (Transport Layer) Tuy nhiên với cơng “Guest password” u cầu phải có liệu tầng ứng dụng ( Application Layer) Đó thuộc tính “num_failed_logins” “logged_in” 61 wi k Bảng 3.2 Kết phát PCA với số loại công [3] IPPortTPR FPR Neptune GuestSmurf sweep sweep (%) (%) (%) password (%) (%) 87.3 5.0 73.1 100 87.5 31.4 88.1 83.1 4.9 76.2 99.1 63.8 17.0 88.6 1/wi 84.9 5.1 86.2 99.1 76.2 19.4 86.8 1/wi 84.2 5.1 73.9 99.2 62.6 40.5 86.8 1/wi 88.4 5.4 81.6 98.1 88.1 49.8 98.1 1/wi 90 5.3 71.2 99.5 99.5 73.6 96.2 1/wi 16 82.2 4.8 67.7 99.4 13.3 82.7 98.1 1/wi 86.3 4.9 91.1 99.4 85.2 18.3 88.6 1/wi 86.6 5.0 90.2 99.8 80.4 37.1 98.1 1/wi 89 4.7 83.4 99.7 97.8 47.2 98.1 1/wi 89.6 5.3 86.1 99.9 87.6 66.0 88.7 1/wi 16 83.6 4.6 68.1 99.8 20.4 83.1 98.1 Khi tăng số lượng PC để tính khoảng cách, tỷ lệ phát Portsweep tăng lên Tuy nhiên tỷ lệ phát Smurf, Nmap, Ipsweep lại giảm Điều cho thấy tăng số lượng PC lên, tỷ lệ xác TPR loại công tăng lên Đồng thời với loại công, số lượng PC cần thiết khác Mỗi loại công nói riêng loại bất thường nói chung cần phải có tập thuộc tính riêng Ví dụ với Ipsweep, thuộc tính cho biết biến động địa IP đích; với Portsweep cần biết thuộc tính biến động dải cổng số lượng dịch vụ địa IP đích; cơng lớp ứng dụng dị tìm mật (Guest password) cần có thuộc tính đặc trưng ứng dụng 62 Do phương pháp PCA phương pháp đa biến, việc kết hợp nhiều thuộc tính với PCA xét tính tương quan thuộc tính Tuy nhiên giá trị ngoại lai thuộc tính miền PCA cho loại bất thường lại biến đổi theo quy luật khác với số lượng PC Chính cần kết hợp phương pháp phát khác đơn biến, đa biến, phương pháp dựa mẫu dấu hiệu, IDS phương pháp phát bất thường… thực tế để phát loại bất thường, công mạng Ví dụ ngồi PCA hệ thống giám sát cịn kết hợp IDS Snort, Ossec, Nagios… phần mềm phát xâm nhập dựa mẫu dấu hiệu, theo dõi trạng thái lưu lượng việc sử dụng tài nguyên mạng, máy tính, thiết bị kết nối vào máy chủ dịch vụ 3.6 Kết luận chương Trong chương 3, luận văn trình bày nội dung: - Kiến trúc hệ thống giám sát bao gồm máy trinh sát trung tâm giám sát - Kiến trúc tổng thể hệ thống giám sát, thành phần chức máy trinh sát, thành phần chức trung tâm giám sát - Phương pháp PCA phần mềm tiện tích tích hợp vào phần mềm trinh sát PCA thực chức phân tích, phát lưu lượng bất thường qua điểm trinh sát Mặt khác, PCA cài đặt trung tâm giám sát để thực chức phân tích, phát lưu lượng bất thường toàn phân đoạn mạng có kết nối Internet - Vấn đề nhận dạng, phân loại bất thường khả kết hợp IDS phát lưu lượng bất thường dựa mẫu dấu hiệu Phát lưu lượng bất thường giai đoạn tồn q trình chẩn đốn ngun nhân bất thường - Phân tích tập liệu KDD-CUP 99, NSL-KDD 63 KẾT LUẬN Mạng Internet có phát triển vượt bậc năm qua trở thành tảng thiếu lĩnh vực đời sống Tính mở đa dạng hạ tầng dịch vụ/ứng dụng làm cho khả kiểm sốt mạng Internet khó khăn nhiều lần Sự cố hạ tầng mạng, thay đổi môi trường truyền dẫn, thay đổi cấu hình thiết bị, hoạt động truy cập mạng người dùng, số lượng dịch vụ/ứng dụng so đặc tính lưu lượng biến thiên đa dạng khác sử dụng,… kể hành vi rà quét, trinh sát, thám, cơng mạng,… tạo nên biến động bất thường lưu lượng mạng Việc giám sát, phát lưu lượng mạng bất thường cần thiết, có ý nghĩa quan trọng người quản trị mạng, vận hành mạng Phát bất thường giúp cho người quản trị mạng sớm phát nguyên nhân : tắc nghẽn, cố mạng, lỗi luồng tin, thay đổi định tuyến mạng, đột biến lưu lượng người dùng ứng dụng/dịch vụ kể công mạng Trong số phương pháp khảo sát, thống kê có ưu điểm dựa phân bố biết trước dựa hoàn toàn vào thực nghiệm, tham số trạng thái bình thường thu từ liệu thực nghiệm, phát bất thường với độ xác cao thiết lập tham số hợp lý Tuy nhiên khó thiết lập tham số, mức ngưỡng,… Số lượng thuộc tính lưu lượng mạng dẫn đến tốn phân tích đa biến, có tương quan biến cố có độ phức tạp cao số chiều liệu cần xử lý Do vậy, phương pháp phân tích thành phần PCA đề xuất số năm trở lại Phương pháp PCA quan tâm nhiều cộng đồng nghiên cứu Các phương pháp phân tích phát lưu lượng bất thường dựa PCA có mục tiêu giảm bớt số chiều liệu song đảm bảo trì phần lớn đặc tính liệu, qua giúp phân tích, phát bất thường lưu lượng mạng hiệu 64 Mặc dù tỏ hiệu so với nhiều phương pháp khác, song qua khảo sát cơng trình nghiên cứu điển hình dựa PCA, luận văn vấn đề tồn cần tiếp tục nghiên cứu cụ thể là: - Chưa khử ngoại lai xuất liệu đầu vào dẫn đến có sai lệch kết phát - Mức ngưỡng đưa dựa vào thực nghiệm chưa xác, phát sai sót lưu lượng bình thường bất thường - Đặc trưng PCA thành phần Tuy nhiên sử dụng PC nào, số lượng PC để đạt hiệu đồng thời giảm độ phức tạp tính tốn - Các nghiên cứu PCA chủ yếu phân tích giải pháp, chưa khả áp dụng vị trí cụ thể mạng Những đóng góp luận văn: - Nghiên cứu kỹ thuật phân tích lưu lượng dựa thống kê, học máy nhằm phát sớm dấu hiệu công, xâm nhập phần mềm độc hại Sử dụng thuật toán PCA, kết hợp với IDS phát lưu lượng bất thường qua dấu hiệu để loại bỏ công biết - Đề xuất mơ hình phân tích lưu lượng mạng nhằm phát sớm dấu hiệu công, xâm nhập phần mềm độc hại máy chủ thi trắc nghiệm trường Đại học Công nghệ Giao thông vận tải Hướng phát triển luận văn - Thử nghiệm mơ hình phát xâm nhập mạng dựa phân tích lưu lượng bất thường với tập liệu thực phát trực tuyến - Nghiên cứu phương pháp tự động phát công, xâm nhập trái phép - Nghiên cứu xử lý sau phát bất thường, nhận dạng loại công 65 TÀI LIỆU THAM KHẢO TIẾNG VIỆT [1] Nguyễn Hà Dương, Hoàng Đăng Hải (2015), “Phát lưu lượng mạng bất thường sử dụng phương pháp PCA lựa chọn đặc tính liệu”, Tạp chí Khoa học cơng nghệ, Chun san cơng trình nghiên cứu điện tử, viễn thông công nghệ thông tin, Học viện cơng nghệ Bưu viễn thơng, tập 53-số 2C, tr 52-64 [2] Nguyễn Hà Dương (2015), “Một số phương pháp phát bất thường lưu lượng mạng”, Kỷ yếu Hội thảo quốc gia 2015 điện tử, truyền thông công nghệ thông tin (REV-ECIT 2015) tr.92-95 [3] Nguyễn Hà Dương, Hoàng Đăng Hải (2016) “Phát lưu lượng mạng bất thường điều kiện liệu huấn luyện chứa ngoại lai,” Tạp chí Khoa học công nghệ thông tin truyền thông, Học viện công nghệ Bưu viễn thơng, Bộ thơng tin Truyền thơng, tập 1, số 1, tr.3-15 [4] Hồng Đăng Hải, Nguyễn Chung Tiến, Bùi Thanh Phong, Nguyễn Hà Dương, Nguyễn Trường Giang (2010), “Đề xuất giải pháp thiết kế thiết bị sensor cho hệ thống theo dõi an toàn mạng,” Hội nghị ICT.Rda’10 TIẾNG ANH [5] P Aggarwal S K Sharma (2015), “Analysis of KDD Dataset Attributes – Class wise for Intrusion Detection,” in Proc Of 3rd International Conference on Recent Trends in Computing 2015 (ICRTC-2015), Procedia Computer Science, vol 57, pp 842-851 [6] S A1-Haj Baddar, A Merlo, M Migliardi (2014), “Anomaly detection in computer network: Astate-of-the art review,” Jounrnal of Wireless Mobile Networks, Ubiquitous Computing and Dependable Applications, Vol.5, No.4, pp.29-64 [7] V Barnett, T Lewis (1994), “Outlier in Statistic Data,” John Wiley, 3rd ed 66 [8] M Bhuyan, D Bhattacharyya, J Kalita (2014), “Network anomaly detection: Methods, system and tools” IEEE Comunications Survays Tutorials, Vol.16, No.1, pp.303-336 [9] D Brauckhoff (2010), Network Traffic Anomally Detection and Evaluation, Doctoral disertation, ETH ZURICH, ETH No 18835 [10] D Brauckhoff, K Salamatian, M May (2009), “Applying PCA for traffic anomaly detection: Problems and solutions,” in Proc of IEEE Conference on Computer Communications (INFOCOM2009) [11] C Callegari, L Gazzarrini, S Giodano, M Pagano, and T Pepe “A Novel PCA – Based Network Anomally Detection,” in IEEE Conference on Communications (ICC), pp – June 2011 [12] V Chandola, A Banerje, V Kummar, (2009) “Anomaly Detection: A Survey”, ACM Computing Surveys, Vol 41, Issue 3, Article No 15 [13] D David (2011), “A performance analysis of Snort and Suricata Network Intrusion Detection and Prevention Engines,” In Proc of The Fiffth International Conference on Digital Society (ICDS 2011), pp 187-192 [14] J J Davis, A J Clark (2011), “Data preprocessing for anomaly based network intrusion detection: A review,” Computer & Security, Vol 30, No.6-7, pp.353-375 [15] A Delimargas, E Skevakis, H Halabian, H I Lambadaris (2015), “IPCA for network traffic anomally detection,” IEEE MILCOM2015, pp 617-622 [16] Nguyen Ha Duong, Hoang Dang Hai (2015), “A semi-supervised model for network traffic anomaly detection,” in Proc of 17th IEEE International Conference on Advanced Communication Technology (ICACT), Korea, pp.70-75 [17] Nguyen Ha Duong, Hoang Dang Hai (2015), “A model for network traffic anomaly detection,” Transactions on Advanced Communications Technolpgy (TACT) Vol 4, Issue 4, pp 644-650 [18] D Dunia, Q Qin (1997), “Multimedimensional fault diagnosis using a subspace approach,” in American Control Conference 67 [19] L Ertoz, E Eilertson, A Lazarevic, P Tan, V Kumar, and J Srivastava (2004),” The MINDS – Minnesota Intrustion Detection System,” Next Generation Data Mining, MIT Press [20] P Gogoi, D K Bhattacharyya, B Brah, and J.K Kalita (2011), “A Survey of Outlier Detection Methods in Network Anomally Indentification,” Computer Jounrnal, Vol 54, No 4, pp 570-588 [21] V.J Hodge, J Austin (2004), “A survey of outlier detection methodologies,” Artifical Intelligence Review, Vol.22, Issue, 2, pp.85-126 [22] J E Jackson (1980), “Principal componet and Factor Analysis: Part 1: Principal Components”, Journal of Quality Technology, Vol 12, pp 201-213 [23] I T Jolliffe (2002), “Principal component Analysis”, Springer Verlag, New York, 3rd ed [24] A Lakhina, M Crowella C Diot (2004), “Diagnosing network-wide traffic anomalies”, in Proc of ACM SIGCOMM ’04, pp.219-230 [25] A Lakhina (2007), “Network Wide Traffic Analysis: Methods and Applications” dissertation for the degree of Doctor of Philosophy, Boston University, UMI No 3232904 [26] G Munz (2010), “Traffic Anomally Detection and Cause Identification Using Flow-Level Measurements”, phD thesis, Technische Universität München [27] Principal Component Analysis, https://onlinecourses.science.psu.edu/stat505/node/49 [28] Principal Component Analysis, http://www.sciencedirect.com/science/article/pii/0169743987800849 [29] I Paredes-Oliva (2013), Addressing Practical Challenges for Anomaly Detection in Blackbone Networks” Phd Dissertation in Computer Science, Universitat Polit` ecnica de Catalyna BarcelonaTech [30] M Tavallee, E Bagheri, W Lu, A A Ghorbani (2009), “A Detailed Analysis of the KDD CUP 99 Data Set”, in Proc Of IEEE Symposium on Computational Intelligence for Security and Defence Applications (CISDA2009), pp 1-6 68 [31] Rafeeq Ur Rehman: Intruction Detection Systems with Snort, 2003 [32] H Teng, K Chen, S Lu (1990), “Adaptive real-time anomaly detection using inductively generated sequential pattens”, in Proc of IEEE Computer Society Symposium on Reseach in Security and Privacy, pp.278-284 [33] The NSL-KDD Dataset (2009) – http://www.unb.ca/research/iscx/dataset/iscxNSL-KDD-dataset.html [34] The KDD Archive, 76 cup dataset (1999), http://kdd.ics.uci.edu/databases/kddcup99/kddcup99.html [35] C Thomas, V Sharma, N Balakrishnan (2008), “Usefuness of DARPA dataset for intrusion detection system evaluation”, in Proc of The International Sciety for Optical Engineering [36] W Wang, S Gombault (2007), “Detecting masquerades with principal component analysis based on cross frequency weights”, in Proc of 14th Anniversary HP-SUA Workshop, Munich, Gemany, pp 227-232 [37] W Wang, X Zhang, S Gombault, S J Knapskog (2009), “Atribute Normalization in Network Intrustion Detection”, in 10th International Symposium on Pervasive Systems, Algorithms and Networks (I-SPAN 2009), IEEE Press, pp 448-453 ... báo cho hệ thống, người quản trị Từ lý trên, học viên lựa chọn đề tài ? ?Nghiên cứu hệ thống phát xâm nhập IDS cho máy chủ dịch vụ ” cho luận văn Thạc sĩ 2 ▪ Mục đích nghiên cứu - Nghiên cứu hệ thống. .. hệ thống phát xâm nhập trái phép IDS cho máy chủ dịch vụ Xây dựng hệ thống IDS cho thiết bị mạng, thiết lập hệ thống thu thập thông tin cho vùng lưu lượng mạng, kết hợp với hệ thống IDS cho máy. .. thống phát xâm nhập IDS cho máy chủ dịch vụ - Nghiên cứu kỹ thuật phân tích lưu lượng dựa thống kê, học máy nhằm phát sớm dấu hiệu công phần mềm độc hại - Nghiên cứu hệ thống phát xâm nhập trái