1. BÁO CÁO LUẬN VĂN TỐT NGHIỆP
XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHẬP
HỘI ĐỒNG: MẠNG & HỆ THỐNG
GVHD: TS. NGUYỄN ĐỨC THÁI
GVPB: THS. NGUYỄN CAO ĐẠT
SVTH: HỒ HOÀNG KHA
1
2. NỘI DUNG BÁO CÁO
TỔNG QUAN VỀ IDS1
BẢN ĐỒ TỰ TỔ CHỨC SOM2
PHÂN TÍCH VÀ THIẾT KẾ3
HIỆN THỰC, DEMO, KẾT QUẢ4
2
3. IDS là từ viết tắt của Intrusion Dectection System
Hệ thống có nhiệm vụ theo dõi, phát hiện và có thể
ngăn cản sự xâm nhập, cũng như các hành vi khai thác
trái phép tài nguyên của hệ thống được bảo vệ mà có
thể dẫn đến việc làm tổn hại đến tính bảo mật, tính toàn
vẹn và tính sẵn sàng của hệ thống
TỒNG QUAN VỀ IDS
3
8. TOP 5 công cụ IDS
8
Top 5 network security tools IDS: http://sectools.org
OSSEC
HIDSSguil OSSIM
Honeyd
SNORT
9. Hệ thống IDS như thế nào?
9
SignaturesAbnormal
Phân tích log mạnh mẽ
Tính toàn vẹn hệ thống
Giám sát registry
Phát hiện rootkit
Cảnh báo bằng email, phone
Phản hồi động
Module
10. Hệ thống IDS như thế nào?
10
Abnormal
K-nearest neighborNeural Networks
Support Vector MachinesCluster analysis
SOM
12. Self Organizing Map (SOM) [4][8] là một mạng Neuron
nhân tạo (Artificial Neural Networks – ANN), được huấn
luyện và sử dụng kỹ thuật học không giám sát để biểu diễn
dữ liệu với số chiều thấp hơn nhiều so với dữ đầu vào nhiều
chiều. Mục đích của SOM là phân cụm và trực quan hóa dữ
liệu.
Mô hình đầu tiên được mô tả bởi giáo sư người Phần Lan
Teuvo Kohonen vào đầu những năm 80, thường được gọi là
bản đồ Kohonen hay mạng Kohonen.
Self Organizing Map
13
15. Bước 1: Khởi tạo trọng số
Bước 2: Huấn luyện
Bước 3: Tìm neuron chiến thắng
Bước 4: Tính bán kính lân cận
Bước 5: Cập nhật trọng số các neuron lân cận
Bước 6: Lặp lại bước 2 cho đến khi hoàn thành
Thuật toán SOM
16
16. Khởi tạo một cách ngẫu nhiên (Random Initialization)
Sử dụng mẫu khởi tạo (Initial Samples)
Khởi tạo trọng sốBước 1
17
19. Bán kính lân cậnBước 3
20
𝝈 𝒕 = 𝝈0 exp(−
𝒕
𝝀
)
với t=1,2,3…,n.
t: là bước lặp hiện tại.
𝜎(t): bán kính lận cận tại thời
điểm t.
𝜎0: bán kính lân cận tại thời
điểm t0
20. 𝒎𝒊 𝒕 + 𝟏 = 𝒎𝒊 𝒕 + 𝒉 𝒄 𝒙 ,𝒊(𝒕)[𝒙 𝒕 − 𝒎𝒊 𝒕 ]
Trong đó:
t là lần lặp thứ t
𝑚𝑖 𝑡 là giá trị trọng số của nút lân cận tại thời điểm t
𝑚𝑖 𝑡 + 1 là giá trị trọng số mới được cập nhật
𝑐 𝑥 Là hàm lân cận
𝑖(𝑡) Là hàm tốc độ học
Cập nhật trọng sốBước 4
21
24. Sai số lượng tử (Quantization Error).
eq=
1
𝑛 𝑖=1
𝑛
||xi – mc ||
Trong đó:
xi: Vector dữ liệu huấn luyện
mc: Vector trọng số BMU
Bản đồ có sai số lượng tử nhỏ nhất sẽ được chọn
Chất lượng bản đồ SOM
25
25. Tổng số neuron của mạng SOM
Phương thức khởi tạo
Chọn lựa hàm lân cận, hàm tốc độc học
Bán kính SOM
Số lần huấn luyện
Chất lượng dữ liệu huấn luyện
26
Yếu tố ảnh hưởng đến chất lượng
bản đồ SOM
26. Áp dụng SOM vào IDS
27
Bình thường
Bất thường
1
2
3
TCP
Flooding
NEW
UDP
Flooding
31. Tham số đặc trưng
34
STT Thông số
1 MemFree
2 Buffers
3 Cached
4 HighFree
5 LowFree
6 PageTables
7 Committeds_AS
STT Thông số
8 Processes
9 Procs_running
10 Procs_blocked
11 CPU Load 5 min
12 CPU Load 10 min
13 CPU Load 15 min
14 ICMP
STT Thông số
15 UDP
16 TCP
17 SOCKETS
18 Byte Received
19 Byte Sended
36. Hiểu rõ hơn về hệ thống phát hiện xâm nhập
Hiểu hơn về kiến trúc của web server, có thể triển khai cấu hình web server,
mysql server…
Xây dựng được hệ thống IDS cho máy chủ và tích hợp vào OSSEC HIDS
Xây dựng được tập cơ sở dữ liệu và hệ thống cảnh báo cho IDS
Kiến thức bảo mật như OSSEC HIDS, mod_security….
Lập trình c, python…
KẾT QUẢ ĐẠT ĐƯỢC
39
37. Thực hiện gán nhãn cho dữ liệu, đưa ra được dạng tấn công nào
Đưa ra các thông số đặc trưng chính xác nhất, xây dựng thêm tập dữ liệu
Kết hợp cả việc học giám sát và không giám sát vào giải thuật SOM
Xây dựng hệ thống trực quan SOM rõ ràng
Tối ưu hóa các đoạn code lập trình, chạy tốt hơn, nhanh hơn và ổn định hơn
Xây dựng các kịch bản tự động, kết hợp tường lửa giải quyết vấn đề khi hệ
thống xảy ra bất thường
KẾT QUẢ ĐẠT ĐƯỢC
40
40. [1] Girish Kumar Jha, Artificial Neural Networks, India Agricultural Research Institute,
2012.
[2] Tom M. Mitchell, Machine Learning, McGraw-Hill Science, March 1997.
[3] Kohonen, Self-Organizing Maps, Springer Series in Information Sciences, 1997.
[4] Stefanovic, Influence of Learning Rates and Neighboring Functions on Self Organizing
Map, 2011.
[5] Koua, E.L, Using self-oranizing maps for information visualization and knowledge
discovery in complex geospatial datasets, ITC, August 2003.
[6] Pavel Stefanovic, Visual analysis of self-organizing map, Institude of Mathematics and
Informatics, 7 December 2011.
[7] Mr. Patole – Mr. Pachghare – Dr. Kulkarni, Self Organizing Maps to Build Intrusion
Detection System, International Journal of Computer Application, 2010.
Tài liệu tham khảo
43