BÁO CÁO LUẬN VĂN TỐT NGHIỆP

XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP

HỘI ĐỒNG: MẠNG & HỆ THỐNG

GVHD: TS . NGUYỄN ĐỨC THÁI

GVPB: THS. NGUYỄN CAO ĐẠT

SVTH: HỒ HOÀNG KHA

1

NỘI DUNG BÁO CÁO

TỔNG QUAN VỀ IDS1

BẢN ĐỒ TỰ TỔ CHỨC SOM2

PHÂN TÍCH VÀ THIẾT KẾ3

HIỆN THỰC, DEMO, KẾT QUẢ4

2

IDS là từ viết tắt của Intrusion Dectection System

Hệ thống có nhiệm vụ theo dõi, phát hiện và có thểngăn cản sự xâm nhập, cũng như các hành vi khai tháctrái phép tài nguyên của hệ thống được bảo vệ mà cóthể dẫn đến việc làm tổn hại đến tính bảo mật, tính toànvẹn và tính sẵn sàng của hệ thống

TỒNG QUAN VỀ IDS

3

4

Phát hiện sự lạm dụng

5

Phát hiện sự bất thường

6

Chọn lựa hệ thống IDS

7

HIDS NIDS

TOP 5 công cụ IDS

8

Top 5 network security tools IDS: http://sectools.org

OSSECHIDSSguil OSSIM

Honeyd

SNORT

Hệ thống IDS như thế nào?

9

SignaturesAbnormal

Phân tích log mạnh mẽTính toàn vẹn hệ thốngGiám sát registryPhát hiện rootkit Cảnh báo bằng email, phonePhản hồi động

Module

Hệ thống IDS như thế nào?

10

Abnormal

K-nearest neighborNeural Networks

Support Vector MachinesCluster analysis

SOM

Kết luận

12

Self Organizing Map (SOM) [4][8] là một mạng Neuronnhân tạo (Artificial Neural Networks – ANN), được huấnluyện và sử dụng kỹ thuật học không giám sát để biểu diễndữ liệu với số chiều thấp hơn nhiều so với dữ đầu vào nhiềuchiều. Mục đích của SOM là phân cụm và trực quan hóa dữliệu.

Mô hình đầu tiên được mô tả bởi giáo sư người Phần LanTeuvo Kohonen vào đầu những năm 80, thường được gọi làbản đồ Kohonen hay mạng Kohonen.

Self Organizing Map

13

Cấu trúc mạng SOM

14

Cấu trúc mạng SOM

15

Bước 1: Khởi tạo trọng số

Bước 2: Huấn luyện

Bước 3: Tìm neuron chiến thắng

Bước 4: Tính bán kính lân cận

Bước 5: Cập nhật trọng số các neuron lân cận

Bước 6: Lặp lại bước 2 cho đến khi hoàn thành

Thuật toán SOM

16

Khởi tạo một cách ngẫu nhiên (Random Initialization)

Sử dụng mẫu khởi tạo (Initial Samples)

Khởi tạo trọng sốBước 1

17

Huấn luyệnBước 2

18

0.3 0.2 0.1 …

0.1 0.5 0.4 …

0.05 0.25 0.16 ….

… … … …

0.02 0.07 0.48 …

19

D1D2D3D4….….Dn

Min(D)

d(p,q) = 𝑖=1𝑚 (𝑝𝑖 − 𝑞𝑖)

2

Bán kính lân cậnBước 3

20

𝝈 𝒕 = 𝝈0 exp(−𝒕

𝝀)

với t=1,2,3…,n.

t: là bước lặp hiện tại.𝜎(t): bán kính lận cận tại thờiđiểm t.𝜎0: bán kính lân cận tại thờiđiểm t0

𝒎𝒊 𝒕 + 𝟏 = 𝒎𝒊 𝒕 + 𝒉𝒄 𝒙 ,𝒊(𝒕)[𝒙 𝒕 − 𝒎𝒊 𝒕 ]

Trong đó:

t là lần lặp thứ t

𝑚𝑖 𝑡 là giá trị trọng số của nút lân cận tại thời điểm t

𝑚𝑖 𝑡 + 1 là giá trị trọng số mới được cập nhật

𝑐 𝑥 Là hàm lân cận

𝑖(𝑡) Là hàm tốc độ học

Cập nhật trọng sốBước 4

21

Kết quả sau khi cập nhật trọng số

22

Quá trình lặp lạiBước 5

23

Kết quả thuật toán

24

Sai số lượng tử (Quantization Error).

eq=1

𝑛 𝑖=1𝑛 ||xi – mc ||

Trong đó:

xi: Vector dữ liệu huấn luyện

mc: Vector trọng số BMU

Bản đồ có sai số lượng tử nhỏ nhất sẽ được chọn

Chất lượng bản đồ SOM

25

Tổng số neuron của mạng SOM

Phương thức khởi tạo

Chọn lựa hàm lân cận, hàm tốc độc học

Bán kính SOM

Số lần huấn luyện

Chất lượng dữ liệu huấn luyện

26

Yếu tố ảnh hưởng đến chất lượngbản đồ SOM

Áp dụng SOM vào IDS

27

Bình thường

Bất thường

1

2

3

TCP Flooding

NEW

UDP Flooding

Chọn ngưỡng phù hợp

28

Phân tích và thiết kế

Phân tích1

Thiết kế2

31

Mô hình IDS cho Web Server

32

Thu thập dữ liệu.

33

Thu thập dữ liệu

Tham số đặc trưng

34

STT Thông số

1 MemFree

2 Buffers

3 Cached

4 HighFree

5 LowFree

6 PageTables

7 Committeds_AS

STT Thông số

8 Processes

9 Procs_running

10 Procs_blocked

11 CPU Load 5 min

12 CPU Load 10 min

13 CPU Load 15 min

14 ICMP

STT Thông số

15 UDP

16 TCP

17 SOCKETS

18 Byte Received

19 Byte Sended

Xử lí dữ liệu

35

Xây dựng Vector dữ liệu

19 Số thông số đặc trưng

0.9 0.75 0.6 0.15 … 0.25

0.4 0.3 0.15 0.20 … 0.54

0.85 0.12 0.21 0.11 … 0.75

… … … … … …

0.15 0.76 0.81 1.0 … 0.95

X1 X2 X3 X4 … X19

36

Huấn luyện SOM

37

Dò tìm tấn công

38

Hiểu rõ hơn về hệ thống phát hiện xâm nhập

Hiểu hơn về kiến trúc của web server, có thể triển khai cấu hình web server, mysql server…

Xây dựng được hệ thống IDS cho máy chủ và tích hợp vào OSSEC HIDS

Xây dựng được tập cơ sở dữ liệu và hệ thống cảnh báo cho IDS

Kiến thức bảo mật như OSSEC HIDS, mod_security….

Lập trình c, python…

KẾT QUẢ ĐẠT ĐƯỢC

39

Thực hiện gán nhãn cho dữ liệu, đưa ra được dạng tấn công nào

Đưa ra các thông số đặc trưng chính xác nhất, xây dựng thêm tập dữ liệu

Kết hợp cả việc học giám sát và không giám sát vào giải thuật SOM

Xây dựng hệ thống trực quan SOM rõ ràng

Tối ưu hóa các đoạn code lập trình, chạy tốt hơn, nhanh hơn và ổn định hơn

Xây dựng các kịch bản tự động, kết hợp tường lửa giải quyết vấn đề khi hệthống xảy ra bất thường

KẾT QUẢ ĐẠT ĐƯỢC

40

Hiện thực và demo

41

42

TRÂN TRỌNG CÁM ƠN THẦY CÔ

[1] Girish Kumar Jha, Artificial Neural Networks, India Agricultural Research Institute, 2012.

[2] Tom M. Mitchell, Machine Learning, McGraw-Hill Science, March 1997.

[3] Kohonen, Self-Organizing Maps, Springer Series in Information Sciences, 1997.

[4] Stefanovic, Influence of Learning Rates and Neighboring Functions on Self Organizing Map, 2011.

[5] Koua, E.L, Using self-oranizing maps for information visualization and knowledge discovery in complex geospatial datasets, ITC, August 2003.

[6] Pavel Stefanovic, Visual analysis of self-organizing map, Institude of Mathematics and Informatics, 7 December 2011.

[7] Mr. Patole – Mr. Pachghare – Dr. Kulkarni, Self Organizing Maps to Build Intrusion Detection System, International Journal of Computer Application, 2010.

Tài liệu tham khảo

43