Đề tài: Xây dựng hệ thống phát hiện xâm nhập. Sử dụng thuật toán SOM

1. BÁO CÁO LUẬN VĂN TỐT NGHIỆP
XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP
HỘI ĐỒNG: MẠNG & HỆ THỐNG
GVHD: TS. NGUYỄN ĐỨC THÁI
GVPB: THS. NGUYỄN CAO ĐẠT
SVTH: HỒ HOÀNG KHA
1

2. NỘI DUNG BÁO CÁO
TỔNG QUAN VỀ IDS1
BẢN ĐỒ TỰ TỔ CHỨC SOM2
PHÂN TÍCH VÀ THIẾT KẾ3
HIỆN THỰC, DEMO, KẾT QUẢ4
2

3. IDS là từ viết tắt của Intrusion Dectection System
Hệ thống có nhiệm vụ theo dõi, phát hiện và có thể
ngăn cản sự xâm nhập, cũng như các hành vi khai thác
trái phép tài nguyên của hệ thống được bảo vệ mà có
thể dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn
vẹn và tính sẵn sàng của hệ thống
TỒNG QUAN VỀ IDS
3

4. 4

5. Phát hiện sự lạm dụng
5

6. Phát hiện sự bất thường
6

7. Chọn lựa hệ thống IDS
7
HIDS NIDS

8. TOP 5 công cụ IDS
8
Top 5 network security tools IDS: http://sectools.org
OSSEC
HIDSSguil OSSIM
Honeyd
SNORT

9. Hệ thống IDS như thế nào?
9
SignaturesAbnormal
Phân tích log mạnh mẽ
Tính toàn vẹn hệ thống
Giám sát registry
Phát hiện rootkit
Cảnh báo bằng email, phone
Phản hồi động
Module

10. Hệ thống IDS như thế nào?
10
Abnormal
K-nearest neighborNeural Networks
Support Vector MachinesCluster analysis
SOM

11. Kết luận
12

12. Self Organizing Map (SOM) [4][8] là một mạng Neuron
nhân tạo (Artificial Neural Networks – ANN), được huấn
luyện và sử dụng kỹ thuật học không giám sát để biểu diễn
dữ liệu với số chiều thấp hơn nhiều so với dữ đầu vào nhiều
chiều. Mục đích của SOM là phân cụm và trực quan hóa dữ
liệu.
Mô hình đầu tiên được mô tả bởi giáo sư người Phần Lan
Teuvo Kohonen vào đầu những năm 80, thường được gọi là
bản đồ Kohonen hay mạng Kohonen.
Self Organizing Map
13

13. Cấu trúc mạng SOM
14

14. Cấu trúc mạng SOM
15

15. Bước 1: Khởi tạo trọng số
Bước 2: Huấn luyện
Bước 3: Tìm neuron chiến thắng
Bước 4: Tính bán kính lân cận
Bước 5: Cập nhật trọng số các neuron lân cận
Bước 6: Lặp lại bước 2 cho đến khi hoàn thành
Thuật toán SOM
16

16. Khởi tạo một cách ngẫu nhiên (Random Initialization)
Sử dụng mẫu khởi tạo (Initial Samples)
Khởi tạo trọng sốBước 1
17

17. Huấn luyệnBước 2
18
0.3 0.2 0.1 …
0.1 0.5 0.4 …
0.05 0.25 0.16 ….
… … … …
0.02 0.07 0.48 …

18. 19
D1
D2
D3
D4
….
….
Dn
Min(D)
d(p,q) = 𝑖=1
𝑚
(𝑝𝑖 − 𝑞𝑖)2

19. Bán kính lân cậnBước 3
20
𝝈 𝒕 = 𝝈0 exp(−
𝒕
𝝀
)
với t=1,2,3…,n.
t: là bước lặp hiện tại.
𝜎(t): bán kính lận cận tại thời
điểm t.
𝜎0: bán kính lân cận tại thời
điểm t0

20. 𝒎𝒊 𝒕 + 𝟏 = 𝒎𝒊 𝒕 + 𝒉 𝒄 𝒙 ,𝒊(𝒕)[𝒙 𝒕 − 𝒎𝒊 𝒕 ]
Trong đó:
t là lần lặp thứ t
𝑚𝑖 𝑡 là giá trị trọng số của nút lân cận tại thời điểm t
𝑚𝑖 𝑡 + 1 là giá trị trọng số mới được cập nhật
𝑐 𝑥 Là hàm lân cận
𝑖(𝑡) Là hàm tốc độ học
Cập nhật trọng sốBước 4
21

21. Kết quả sau khi cập nhật trọng số
22

22. Quá trình lặp lạiBước 5
23

23. Kết quả thuật toán
24

24. Sai số lượng tử (Quantization Error).
eq=
1
𝑛 𝑖=1
𝑛
||xi – mc ||
Trong đó:
xi: Vector dữ liệu huấn luyện
mc: Vector trọng số BMU
Bản đồ có sai số lượng tử nhỏ nhất sẽ được chọn
Chất lượng bản đồ SOM
25

25. Tổng số neuron của mạng SOM
Phương thức khởi tạo
Chọn lựa hàm lân cận, hàm tốc độc học
Bán kính SOM
Số lần huấn luyện
Chất lượng dữ liệu huấn luyện
26
Yếu tố ảnh hưởng đến chất lượng
bản đồ SOM

26. Áp dụng SOM vào IDS
27
Bình thường
Bất thường
1
2
3
TCP
Flooding
NEW
UDP
Flooding

27. Chọn ngưỡng phù hợp
28

28. Phân tích và thiết kế
Phân tích1
Thiết kế2
31

29. Mô hình IDS cho Web Server
32

30. Thu thập dữ liệu.
33
Thu thập dữ liệu

31. Tham số đặc trưng
34
STT Thông số
1 MemFree
2 Buffers
3 Cached
4 HighFree
5 LowFree
6 PageTables
7 Committeds_AS
STT Thông số
8 Processes
9 Procs_running
10 Procs_blocked
11 CPU Load 5 min
12 CPU Load 10 min
13 CPU Load 15 min
14 ICMP
STT Thông số
15 UDP
16 TCP
17 SOCKETS
18 Byte Received
19 Byte Sended

32. Xử lí dữ liệu
35

33. Xây dựng Vector dữ liệu
19 Số thông số đặc trưng
0.9 0.75 0.6 0.15 … 0.25
0.4 0.3 0.15 0.20 … 0.54
0.85 0.12 0.21 0.11 … 0.75
… … … … … …
0.15 0.76 0.81 1.0 … 0.95
X1 X2 X3 X4 … X19
36

34. Huấn luyện SOM
37

35. Dò tìm tấn công
38

36. Hiểu rõ hơn về hệ thống phát hiện xâm nhập
Hiểu hơn về kiến trúc của web server, có thể triển khai cấu hình web server,
mysql server…
Xây dựng được hệ thống IDS cho máy chủ và tích hợp vào OSSEC HIDS
Xây dựng được tập cơ sở dữ liệu và hệ thống cảnh báo cho IDS
Kiến thức bảo mật như OSSEC HIDS, mod_security….
Lập trình c, python…
KẾT QUẢ ĐẠT ĐƯỢC
39

37. Thực hiện gán nhãn cho dữ liệu, đưa ra được dạng tấn công nào
Đưa ra các thông số đặc trưng chính xác nhất, xây dựng thêm tập dữ liệu
Kết hợp cả việc học giám sát và không giám sát vào giải thuật SOM
Xây dựng hệ thống trực quan SOM rõ ràng
Tối ưu hóa các đoạn code lập trình, chạy tốt hơn, nhanh hơn và ổn định hơn
Xây dựng các kịch bản tự động, kết hợp tường lửa giải quyết vấn đề khi hệ
thống xảy ra bất thường
KẾT QUẢ ĐẠT ĐƯỢC
40

38. Hiện thực và demo
41

39. 42
TRÂN TRỌNG CÁM ƠN THẦY CÔ

40. [1] Girish Kumar Jha, Artificial Neural Networks, India Agricultural Research Institute,
2012.
[2] Tom M. Mitchell, Machine Learning, McGraw-Hill Science, March 1997.
[3] Kohonen, Self-Organizing Maps, Springer Series in Information Sciences, 1997.
[4] Stefanovic, Influence of Learning Rates and Neighboring Functions on Self Organizing
Map, 2011.
[5] Koua, E.L, Using self-oranizing maps for information visualization and knowledge
discovery in complex geospatial datasets, ITC, August 2003.
[6] Pavel Stefanovic, Visual analysis of self-organizing map, Institude of Mathematics and
Informatics, 7 December 2011.
[7] Mr. Patole – Mr. Pachghare – Dr. Kulkarni, Self Organizing Maps to Build Intrusion
Detection System, International Journal of Computer Application, 2010.
Tài liệu tham khảo
43