báo cáo luận văn tốt nghiệp
TRANSCRIPT
BÁO CÁO LUẬN VĂN TỐT NGHIỆP
XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP
HỘI ĐỒNG: MẠNG & HỆ THỐNG
GVHD: TS . NGUYỄN ĐỨC THÁI
GVPB: THS. NGUYỄN CAO ĐẠT
SVTH: HỒ HOÀNG KHA
1
NỘI DUNG BÁO CÁO
TỔNG QUAN VỀ IDS1
BẢN ĐỒ TỰ TỔ CHỨC SOM2
PHÂN TÍCH VÀ THIẾT KẾ3
HIỆN THỰC, DEMO, KẾT QUẢ4
2
IDS là từ viết tắt của Intrusion Dectection System
Hệ thống có nhiệm vụ theo dõi, phát hiện và có thểngăn cản sự xâm nhập, cũng như các hành vi khai tháctrái phép tài nguyên của hệ thống được bảo vệ mà cóthể dẫn đến việc làm tổn hại đến tính bảo mật, tính toànvẹn và tính sẵn sàng của hệ thống
TỒNG QUAN VỀ IDS
3
4
Phát hiện sự lạm dụng
5
Phát hiện sự bất thường
6
Chọn lựa hệ thống IDS
7
HIDS NIDS
TOP 5 công cụ IDS
8
Top 5 network security tools IDS: http://sectools.org
OSSECHIDSSguil OSSIM
Honeyd
SNORT
Hệ thống IDS như thế nào?
9
SignaturesAbnormal
Phân tích log mạnh mẽTính toàn vẹn hệ thốngGiám sát registryPhát hiện rootkit Cảnh báo bằng email, phonePhản hồi động
Module
Hệ thống IDS như thế nào?
10
Abnormal
K-nearest neighborNeural Networks
Support Vector MachinesCluster analysis
SOM
Kết luận
12
Self Organizing Map (SOM) [4][8] là một mạng Neuronnhân tạo (Artificial Neural Networks – ANN), được huấnluyện và sử dụng kỹ thuật học không giám sát để biểu diễndữ liệu với số chiều thấp hơn nhiều so với dữ đầu vào nhiềuchiều. Mục đích của SOM là phân cụm và trực quan hóa dữliệu.
Mô hình đầu tiên được mô tả bởi giáo sư người Phần LanTeuvo Kohonen vào đầu những năm 80, thường được gọi làbản đồ Kohonen hay mạng Kohonen.
Self Organizing Map
13
Cấu trúc mạng SOM
14
Cấu trúc mạng SOM
15
Bước 1: Khởi tạo trọng số
Bước 2: Huấn luyện
Bước 3: Tìm neuron chiến thắng
Bước 4: Tính bán kính lân cận
Bước 5: Cập nhật trọng số các neuron lân cận
Bước 6: Lặp lại bước 2 cho đến khi hoàn thành
Thuật toán SOM
16
Khởi tạo một cách ngẫu nhiên (Random Initialization)
Sử dụng mẫu khởi tạo (Initial Samples)
Khởi tạo trọng sốBước 1
17
Huấn luyệnBước 2
18
0.3 0.2 0.1 …
0.1 0.5 0.4 …
0.05 0.25 0.16 ….
… … … …
0.02 0.07 0.48 …
19
D1D2D3D4….….Dn
Min(D)
d(p,q) = 𝑖=1𝑚 (𝑝𝑖 − 𝑞𝑖)
2
Bán kính lân cậnBước 3
20
𝝈 𝒕 = 𝝈0 exp(−𝒕
𝝀)
với t=1,2,3…,n.
t: là bước lặp hiện tại.𝜎(t): bán kính lận cận tại thờiđiểm t.𝜎0: bán kính lân cận tại thờiđiểm t0
𝒎𝒊 𝒕 + 𝟏 = 𝒎𝒊 𝒕 + 𝒉𝒄 𝒙 ,𝒊(𝒕)[𝒙 𝒕 − 𝒎𝒊 𝒕 ]
Trong đó:
t là lần lặp thứ t
𝑚𝑖 𝑡 là giá trị trọng số của nút lân cận tại thời điểm t
𝑚𝑖 𝑡 + 1 là giá trị trọng số mới được cập nhật
𝑐 𝑥 Là hàm lân cận
𝑖(𝑡) Là hàm tốc độ học
Cập nhật trọng sốBước 4
21
Kết quả sau khi cập nhật trọng số
22
Quá trình lặp lạiBước 5
23
Kết quả thuật toán
24
Sai số lượng tử (Quantization Error).
eq=1
𝑛 𝑖=1𝑛 ||xi – mc ||
Trong đó:
xi: Vector dữ liệu huấn luyện
mc: Vector trọng số BMU
Bản đồ có sai số lượng tử nhỏ nhất sẽ được chọn
Chất lượng bản đồ SOM
25
Tổng số neuron của mạng SOM
Phương thức khởi tạo
Chọn lựa hàm lân cận, hàm tốc độc học
Bán kính SOM
Số lần huấn luyện
Chất lượng dữ liệu huấn luyện
26
Yếu tố ảnh hưởng đến chất lượngbản đồ SOM
Áp dụng SOM vào IDS
27
Bình thường
Bất thường
1
2
3
TCP Flooding
NEW
UDP Flooding
Chọn ngưỡng phù hợp
28
Phân tích và thiết kế
Phân tích1
Thiết kế2
31
Mô hình IDS cho Web Server
32
Thu thập dữ liệu.
33
Thu thập dữ liệu
Tham số đặc trưng
34
STT Thông số
1 MemFree
2 Buffers
3 Cached
4 HighFree
5 LowFree
6 PageTables
7 Committeds_AS
STT Thông số
8 Processes
9 Procs_running
10 Procs_blocked
11 CPU Load 5 min
12 CPU Load 10 min
13 CPU Load 15 min
14 ICMP
STT Thông số
15 UDP
16 TCP
17 SOCKETS
18 Byte Received
19 Byte Sended
Xử lí dữ liệu
35
Xây dựng Vector dữ liệu
19 Số thông số đặc trưng
0.9 0.75 0.6 0.15 … 0.25
0.4 0.3 0.15 0.20 … 0.54
0.85 0.12 0.21 0.11 … 0.75
… … … … … …
0.15 0.76 0.81 1.0 … 0.95
X1 X2 X3 X4 … X19
36
Huấn luyện SOM
37
Dò tìm tấn công
38
Hiểu rõ hơn về hệ thống phát hiện xâm nhập
Hiểu hơn về kiến trúc của web server, có thể triển khai cấu hình web server, mysql server…
Xây dựng được hệ thống IDS cho máy chủ và tích hợp vào OSSEC HIDS
Xây dựng được tập cơ sở dữ liệu và hệ thống cảnh báo cho IDS
Kiến thức bảo mật như OSSEC HIDS, mod_security….
Lập trình c, python…
KẾT QUẢ ĐẠT ĐƯỢC
39
Thực hiện gán nhãn cho dữ liệu, đưa ra được dạng tấn công nào
Đưa ra các thông số đặc trưng chính xác nhất, xây dựng thêm tập dữ liệu
Kết hợp cả việc học giám sát và không giám sát vào giải thuật SOM
Xây dựng hệ thống trực quan SOM rõ ràng
Tối ưu hóa các đoạn code lập trình, chạy tốt hơn, nhanh hơn và ổn định hơn
Xây dựng các kịch bản tự động, kết hợp tường lửa giải quyết vấn đề khi hệthống xảy ra bất thường
KẾT QUẢ ĐẠT ĐƯỢC
40
Hiện thực và demo
41
42
TRÂN TRỌNG CÁM ƠN THẦY CÔ
[1] Girish Kumar Jha, Artificial Neural Networks, India Agricultural Research Institute, 2012.
[2] Tom M. Mitchell, Machine Learning, McGraw-Hill Science, March 1997.
[3] Kohonen, Self-Organizing Maps, Springer Series in Information Sciences, 1997.
[4] Stefanovic, Influence of Learning Rates and Neighboring Functions on Self Organizing Map, 2011.
[5] Koua, E.L, Using self-oranizing maps for information visualization and knowledge discovery in complex geospatial datasets, ITC, August 2003.
[6] Pavel Stefanovic, Visual analysis of self-organizing map, Institude of Mathematics and Informatics, 7 December 2011.
[7] Mr. Patole – Mr. Pachghare – Dr. Kulkarni, Self Organizing Maps to Build Intrusion Detection System, International Journal of Computer Application, 2010.
Tài liệu tham khảo
43