Triên Khai Ứng Dụng Mạng Neural Trong Phát Hiện Xâm Nhập Trái Phép (Luận Văn Thạc Sĩ)
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.17 MB, 67 trang )
1
Viện Công Nghệ Thông Tin Và Truyền Thông
ĐẠI HỌC BÁCH KHOA HÀ NỘI
Luận Văn Thạc Sĩ
TRIÊN KHAI ỨNG DỤNG MẠNG NEURAL
TRONG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP
Nguyen Thanh Long
Ha Noi, 2023
2
MỤC LỤC
LỜI CẢM ƠN ................................................................................................ i
LỜI CAM ĐOAN .......................................................................................... ii
MỤC LỤC .................................................................................................... iii
CÁC KÝ HIỆU, CHỮ VIẾT TẮT ............................................................... vii
DANH MỤC BẢNG BIỂU ........................................................................ viii
DANH MỤC HÌNH VẼ ............................................................................... ix
LỜI MỞ ĐẦU ............................................................................................... 1
CHƯƠNG I: VẤN ĐỀ AN TOÀN MẠNG MÁY TÍNH VÀ HỆ THỐNG
PHÁT HIỆN XÂM NHẬP TRÁI PHÉP ........................................................ 2
1.1. Các nguy cơ gây mất an tồn thơng tin trên mạng máy tính ................. 2
1.1.1. Thực trạng mất an tồn thơng tin tại Việt Nam năm 2017 ............... 2
1.1.2. Các nguy cơ mất an tồn thơng tin .................................................. 3
1.2. Một số tấn cơng lên mạng máy tính ..................................................... 4
1.2.1. Tấn công từ chối dịch vụ................................................................. 4
1.2.2. Tấn công thăm dị ........................................................................... 5
1.2.3. Tấn cơng chiếm quyền root ............................................................. 5
1.2.4. Tấn công điều khiển từ xa ............................................................... 6
1.3. Một số giải pháp tăng cường bảo vệ mạng máy tính ............................ 6
1.4. Giới thiệu hệ thống phát hiện xâm nhập trái phép ................................ 8
1.4.1. Một số khái niệm ............................................................................ 8
1.4.2. Lịch sử phát triển của IDS .............................................................. 8
3
1.4.3. Yêu cầu một hệ thống phát hiện xâm nhập ...................................... 9
1.4.4. Kiến trúc của IDS ......................................................................... 10
1.4.4.1. Thành phần thu thập thông tin .................................................. 11
1.4.4.2. Thành phần phát hiện và phân tích ........................................... 11
1.4.4.3. Thành phần phản hồi ................................................................ 12
1.4.5. Phân loại IDS ................................................................................ 12
1.4.5.1. Hệ thống phát hiện xâm nhập dựa trên Host ............................. 12
1.4.5.2. Hệ thống phát hiện xâm nhập dựa trên mạng ............................ 14
1.4.6. Kỹ thuật phát hiện ......................................................................... 16
1.4.6.1. Phát hiện dựa trên dấu hiệu ...................................................... 16
1.4.6.2. Phát hiện dựa trên sự bất thường .............................................. 16
1.4.7. Chức năng của IDS ....................................................................... 17
1.4.8. Lợi ích của việc sử dụng IDS ........................................................ 18
1.5. Kết luận chương 1 .............................................................................. 19
CHƯƠNG II: TỔNG QUAN VỀ MẠNG NEURAL NHÂN TẠO .............. 20
2.1. Giới thiệu về mạng neural ................................................................. 20
2.1.1. Khái niệm mạng neural sinh học .................................................. 20
2.1.2. Khái niệm mạng neural nhân tạo .................................................. 21
2.1.3. Lịch sử phát triển của mạng neural nhân tạo ................................. 22
2.2. Mơ hình một neural nhân tạo ............................................................. 23
2.2.1. Neural một đầu vào ...................................................................... 23
2.2.2. Neural nhiều đầu vào .................................................................... 25
4
2.2.3. Giới thiệu một số hàm tác động .................................................... 27
2.2.3.1. Hàm tác động hard limit ........................................................... 27
2.2.3.2. Hàm tác động linear ................................................................. 27
2.2.3.3. Hàm tác động log-sigmoid ....................................................... 28
2.3. Kiến trúc của mạng neural .................................................................. 30
2.3.1. Mạng neural một lớp ..................................................................... 30
2.3.2. Mạng neural đa lớp ........................................................................ 31
2.3.3. Mạng truyền thẳng (Feedforward architecture) ............................. 33
2.3.4. Mạng phản hồi (Feedback Architecture): ....................................... 34
2.4. Hoạt động và luật học của mạng neural nhân tạo ................................ 35
2.4.1. Hoạt động của mạng neural nhân tạo ............................................. 35
2.4.2. Luật học của mạng neural .............................................................. 35
2.4.2.1. Học có giám sát ........................................................................ 36
2.4.2.2. Học khơng giám sát .................................................................. 37
2.4.2.3. Học tăng cường ........................................................................ 37
2.5. Mạng Perceptron và giải thuật lan truyền ngược ................................. 37
2.5.1. Mạng Perceptron ........................................................................... 37
2.5.2. Giải thuật lan truyền ngược ........................................................... 39
2.5.2.1. Hàm tổng bình phương sai số ................................................... 40
2.5.2.2. Các bước của giải thuật lan truyền ngược ................................ 41
2.5.3. Các nhân tố của quá trình học lan truyền ngược ........................... 46
2.5.3.1. Khởi tạo các giá trị trọng số ...................................................... 46
5
2.5.3.2. Hệ số học a............................................................................... 46
2.5.3.3. Cấu trúc mạng ......................................................................... 47
2.6. Ứng dụng của mạng neural nhân tạo .................................................. 47
2.7. Kết luận chương II ............................................................................ 48
CHƯƠNG III: ỨNG DỤNG MẠNG NEURAL TRONG PHÁT HIỆN XÂM
NHẬP TRÁI PHÉP ...................................................................................... 49
3.1. Tính ứng dụng của mạng neural trong phát hiện xâm nhập trái phép .. 49
3.1.1. Giới thiệu tập dữ liệu KDD99 ....................................................... 49
3.1.2. Phân tích tập dữ liệu KDD99 ......................................................... 50
3.2. Cài đặt, thực nghiệm chương trình mơ phỏng thể hiện tính ứng dụng
của mạng neural trong phát hiện xâm nhập trái phép ................................ 51
3.2.1. Công cụ mô phỏng ........................................................................ 51
3.2.2. Chương trình mơ phỏng ................................................................. 52
3.3. Kết luận chương III ............................................................................ 57
KẾT LUẬN ................................................................................................. 59
TÀI LIỆU THAM KHẢO ............................................................................ 60
PHỤ LỤC .................................................................................................... 62
1
LỜI MỞ ĐẦU
Với sự phát triển lớn mạnh không ngừng của mạng máy tính kèm theo
nhu cầu trao đổi thơng tin dữ liệu ngày càng lớn và đa dạng. Vấn đề an toàn và
bảo mật cho mạng ngày càng trở nên cấp thiết. Đã có nhiều nghiên cứu nhằm
đưa ra giải pháp bảo đảm an tồn cho mạng máy tính.
Chương 1: Vấn đề an tồn mạng máy tính và hệ thống phát hiện
xâm nhập trái phép.
Chương 2: Tổng quan về mạng neural nhân tạo.
Chương 3: Ứng dụng mạng neural nhân tạo trong việc phát hiện
xâm nhập trái phép.
2
CHƯƠNG I: VẤN ĐỀ AN TỒN MẠNG MÁY TÍNH VÀ HỆ
THỐNG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP
1.1. Các nguy cơ gây mất an tồn thơng tin trên mạng máy tính
1.1.1. Thực trạng mất an tồn thơng tin tại Việt Nam năm 2017
Tại Hội thảo quốc tế Ngày an tồn thơng tin Việt Nam 2017 với chủ đề
“An tồn thơng minh trong thế giới kết nối mới”, VNISA đã công bố nhiều báo
cáo quan trọng liên quan đến thực trạng an tồn thơng tin hiện nay:
- Số vụ tấn cơng, lừa đảo trên Internet ngày càng tăng cao. Chỉ tính riêng
nửa đầu năm, cả nước đã có 6.303 vụ.
- Các doanh nghiệp Việt Nam còn chủ quan trong các vấn đề đảm bảo an
ninh mạng.
60.0
50.0
40.0
30.0
20.0
10.0
0.0
Tất cà nhóm DN Ngân hàng-tài Các doanh nghiệp
(360)
chinh (56)
khác (304)
3
Hình 1.1. Chỉ số an tồn thơng tin của các nhóm doanh nghiệp
- Đại diện VNISA đã cơng bố kết quả khảo sát hiện trạng, đánh giá Chỉ số
an toàn thơng tin năm 2017 đối với nhóm các doanh nghiệp. VNISA đã thực
hiện khảo sát hiện trạng an tồn thơng tin của 360 doanh nghiệp tại 3 vùng trọng
điểm Hà Nội, TPHCM, Đà Nằng, gồm 304 doanh nghiệp vừa và nhỏ và 56
doanh nghiệp hoạt động trong lĩnh vực Ngân hàng - Tài chính. Kết quả khảo sát
cho thấy, chỉ số an tồn thơng tin năm 2017 của các doanh nghiệp là 54.2%, của
các doanh nghiệp hoạt động trong lĩnh vực Ngân hàng - Tài chính là 59.9%, của
các doanh nghiệp khác là 31.1%, tất cả tương đối thấp và đang ở mức trung bình.
- Mặt khác, số vụ lừa đảo trên mạng xã hội Facebook ngày càng diễn biến
khó lường. Trên thế giới, tình hình an tồn thơng tin cũng ở mức hết sức đáng
báo động, tiêu biểu là vụ mã độc WannaCry đã xảy ra trong năm vừa rồi.
1.1.2. Các nguy cơ mất an tồn thơng tin
- Các nguy cơ mất an tồn thơng tin do yếu tố khách quan: Khi có sự cố
về an ninh mạng xảy ra, thiết bị phần cứng của cá nhân hoặc tổ chức có thể bị hư
hỏng, chập chờn, khơng hoạt động bình thường.
- Các nguy cơ gây mất an tồn thơng tin do yếu tố chủ quan:
+ Nguy cơ bị mất, hỏng, sửa đổi thông tin: Một trong những nỗi lo nhất
của doanh nghiệp mỗi khi xảy ra sự cố an tồn thơng tin là bị mất, hỏng, bị thay
đổi nội dung. Nguy hiểm hơn, kẻ tấn cơng có thể đánh cắp toàn bộ dữ liệu rồi ép
nạn nhân trả tiền chuộc.
+ Nguy cơ bị tấn công bởi các phần mềm độc hại: Hacker có thể sử dụng
nhiều kỹ thuật tấn công khác nhau để xâm nhập vào bên trong hệ thống như:
Virus, phần mềm gián điệp...
+ Nguy cơ lộ thông tin trên mạng xã hội: Nạn nhân có thể bị Hacker bắt
chuyển tiền hoặc máy tính của nạn nhân bị lộ dữ liệu, nhiễm mã độc.
+ Nguy cơ mất an tồn thơng tin đối với Website: Một số thiệt hại do mất
4
an tồn thơng tin đối với Website có thể là bị chiếm quyền điều khiển, bị hack
web, website bị treo không truy cập được, bị thay đổi giao diện website, bị chèn
link lạ, bị mất tài liệu.
+ Các nguy cơ gây mất an tồn xuất phát từ chính sách an tồn thơng tin:
Chính sách an tồn thơng tin của một đơn vị, cơ quan được lập ra để đảm bảo an
tồn cho hệ thống, song nó cũng có những điểm yếu, lỗ hổng. Chính sách có thể
xuất hiện điểm yếu sau một quá trình sử dụng hoặc sau một quá trình nâng cấp
hệ thống.
+ Nguy cơ mất an tồn thơng tin xuất phát từ việc cấu hình cho thiết bị
mạng hoặc phần mềm: Nhiều thiết bị mạng được sử dụng theo nhu cầu về hiệu
suất mà không quan tâm đến các vấn đề an ninh hoặc do việc thiết lập an ninh
trên các thiết bị này không được đảm bảo dẫn đến nhiều vấn đề an ninh khác
nhau.
1.2. Một số tấn cơng lên mạng máy tính
1.2.1. Tấn cơng từ chối dịch vụ
Tấn công từ chối dịch vụ (Denial of Service - DOS) là kiểu tấn công làm
cho một hệ thống nào đó bị q tải khơng thể cung cấp dịch vụ, làm gián đoạn
hoạt động của hệ thống hoặc hệ thống phải ngưng hoạt động.
Ngồi ra cịn có kiểu tấn công từ chối dịch vụ phân tán DDoS (Distributed
Denial of Service) và mới nhất là tấn công từ chối dịch vụ theo phương pháp
phản xạ DRDoS (Distributed Reflection of Service).
Tấn công từ chối dịch vụ cổ điển DoS sử dụng các hình thức: đăng nhập
liên tiếp, tấn cơng Smurf, trong đó kẻ tấn cơng sinh ra nhiều giao tiếp ICMP tới
địa chỉ Broadcast của các mạng với địa chỉ nguồn là mục tiêu cần tấn công.
Tấn công dịch vụ phân tán DDoS xuất hiện vào năm 1999, so với tấn công
DoS cổ điển, sức mạnh của DDoS cao hơn gấp nhiều lần. Hầu hết các cuộc tấn
công DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạch hệ thống
5
dẫn đến hệ thống ngưng hoạt động. Để thực hiện thì kẻ tấn cơng tìm cách chiếm
dụng và điều khiển nhiều máy tính/mạng máy tính trung gian, từ nhiều nơi để
đồng loạt gửi ào ạt các gói tin với số lượng rất lớn nhằm chiếm dụng tài nguyên
và làm nghẽn đường truyền của một mục tiêu xác định nào đó.
1.2.2. Tấn cơng thăm dị
Đối với kiểu tấn cơng thăm dị (Probe) này, kẻ tấn cơng qt mạng hoặc
máy tính để tìm ra điểm yếu dễ tấn cơng mà thơng qua đó kẻ tấn cơng có thể khai
thác hệ thống. Điều này có phần giống như theo dõi, giám sát hệ thống. Một cách
phổ biến của loại tấn công này là thực hiện thông qua việc quét các cổng của hệ
thống máy tính. Bằng việc này, kẻ tấn cơng có thể lấy được thông tin về cổng
đang mở, dịch vụ đang chạy, và rất nhiều thông tin chi tiết nhạy cảm khác như
địa chỉ IP, địa chỉ MAC, các luật tường lửa đang sử dụng...
Ví dụ kỹ thuật tấn cơng Portsweep: Là kỹ thuật tấn công giám sát, quét
qua nhiều cổng để xác định các dịch vụ hỗ trợ trên một máy chủ độc lập.
1.2.3. Tấn công chiếm quyền root
Kiểu tấn công chiếm quyền root (User to Root - U2R): Kẻ tấn cơng với
quyền của một người dùng bình thường cố gắng để đạt được quyền truy nhập
cao nhất (đặc quyền của người quản trị) vào hệ thống một cách bất hợp pháp.
Cách thức phổ biến của tấn công này là gây tràn bộ đệm
(Buffer_overflow), tấn công tràn bộ đệm xảy ra tại bất kỳ thời điểm nào có
chương trình ghi lượng thông tin lớn hơn dung lượng của bộ nhớ đệm trong bộ
nhớ. Kẻ tấn cơng có thể ghi đè lên dữ liệu và điều khiển chạy các chương trình
và đánh cắp quyền điều khiển.
Kiểu tấn cơng này ít gặp hơn so với hai kiểu tấn công DoS và probe. Tuy
nhiên, đây cũng là loại tấn công rất nguy hiểm do kẻ tấn công chiếm được quyền
cao nhất và chúng có thể kiểm sốt tồn bộ hệ thống.
6
1.2.4. Tấn công điều khiển từ xa
Đây là kiểu tấn cơng điều khiển từ một máy tính từ xa có tên tiếng anh là
“Remote to local” hay R2L. Ban đầu, kẻ tấn cơng khơng có tài khoản trong hệ
thống nhưng chúng lại cố gắng gửi các gói tin đến một máy tính trong một hệ
thống thơng qua mạng. Sau đó, chúng khai thác các lỗ hổng bảo mật để truy cập
trái phép nhưng với tư cách của một người dùng cục bộ.
Cách tấn công phổ biến của loại này là đốn mật khẩu thơng qua phương
pháp cổ điển brute-force, hoặc sử dụng kỹ thuật tấn công Spy: là kỹ thuật tấn
công sử dụng phần mềm gián điệp, các phần mềm gián điệp thường được kết
hợp với các phần mềm hiển thị quảng cáo (gọi chung là phần mềm quảng cáo)
hoặc các phần mềm theo dõi các thông tin cá nhân nhạy cảm. các phần mềm này
thu thập thông tin người dùng hoặc thay đổi cấu hình máy tính của cá nhân,
doanh nghiệp...
1.3. Một số giải pháp tăng cường bảo vệ mạng máy tính
Với các nguy cơ mất an tồn hiện nay, việc tìm hiểu, nghiên cứu các giải
pháp tăng cường bảo vệ cho mạng máy tính là rất cần thiết. Để bảo vệ cho hệ
thống thông tin, cá nhân, tổ chức nên tuân thủ theo các các giải pháp sau đây:
- Đặt mật khẩu mạnh: Đảm bảo rằng các tài khoản trên mạng xã hội,
website, ứng dụng của bạn cần đặt mật khẩu mạnh. Mật khẩu nên chứa dấu gạch
dưới hoặc @, số, ký tự chữ. Cá nhân, tổ chức nên tránh đặt những mật khẩu dễ
như 123456, 123456789, tên + ngày sinh,.
- Mã hóa dữ liệu: Đối với những thơng tin quan trọng, mật thiết, chúng ta
nên mã hóa trước khi gửi đi. Mục đích của việc mã hóa thơng tin là tránh khỏi sự
nhịm ngó, tấn cơng của Hacker. Mã hóa dữ liệu là phương pháp bảo vệ thông tin
dữ liệu bằng cách chuyển dữ liệu từ dạng thơng thường sang dạng bị mã hóa
khơng thể đọc được, nhưng có thể đưa về dạng ban đầu được nhờ một hình thức
giải mã tương ứng. Tác dụng của nó là ngăn chặn việc nghe trộm và chỉnh sửa
7
dữ liệu trên đường truyền, bên thứ ba có thể lấy được các gói tin đã mã hóa,
nhưng khơng thể đọc được nội dung thơng điệp từ các gói tin này. Ngăn chặn
việc giả mạo thông tin và đảm bảo tính khơng thể chối bỏ của an tồn thơng tin.
Tương ứng với mỗi cách mã hóa là một cách giải mã nhất định.
- Sử dụng tường lửa: Tường lửa có thể là phần mềm hay phần cứng được
thiết kế để ngăn chặn những truy cập trái phép và cho phép các truy cập hợp
pháp được lưu thông dựa trên một tập luật và các tiêu chuẩn khác. Ngoài ra
tường lửa cịn có thể mã hóa, giải mã hay ủy quyền cho các giao dịch giữa các
miền bảo mật khác nhau. Một số loại tường lửa có chức năng chuyên dụng như:
tường lửa lọc gói, cổng ứng dụng, cổng mức mạch.
- Cài đặt phần mềm diệt virus: Cài đặt phần mềm chống virus xâm nhập
cũng là một giải pháp được các chuyên gia khuyến cáo. Lưu ý, người dùng nên
quét virus trước khi tải phần mềm về máy, hoặc quét virus trước khi mở phần
mềm ra. Một số công cụ online giúp kiểm tra mã độc như: BKAV, Kaspersky.
- Sử dụng phần mềm có nguồn gốc rõ ràng: Đảm bảo rằng mọi phần
mềm, ứng dụng trên thiết bị có nguồn gốc rõ ràng sẽ giúp hạn chế nguy cơ làm
mất an tồn thơng tin.
- Kiểm sốt quyền trên thiết bị: Phân chia quyền thật rõ ràng cho các
thành viên trên thiết bị của cá nhân, tổ chức.
- Tắt các kết nối Wifi, Bluetooth khi không sử dụng: Tắt các kết nối Wifi,
bluetooth để tránh nguy cơ bị rò rỉ mật khẩu, tài liệu và thông tin cá nhân.
- Cài đặt các hệ thống phát hiện và ngăn chặn xâm nhập như: IDS,
IPS.
1.4. Giới thiệu hệ thống phát hiện xâm nhập trái phép
1.4.1. Một số khái niệm
Xâm nhập mạng hay còn gọi là tấn cơng mạng là những hoạt động có chủ
đích, lợi dụng các tổn thương của hệ thống thông tin nhằm phá vỡ tính sẵn sàng,
8
tính tồn vẹn và tính bảo mật của hệ thống
Hệ thống phát hiện xâm nhập IDS (Intrusion Detetion System) là một hệ
thống nhằm phát hiện các hành động xâm nhập tấn công vào mạng. IDS phát
hiện dựa trên các quá trình theo dõi các sự kiện xảy ra trong một hệ thống máy
tính hoặc mạng máy tính và phân tích chúng để tìm ra các dấu hiệu sự cố có thể
xảy ra, đó là các vi phạm hoặc các mối đe dọa sắp xảy ra vi phạm các chính sách
bảo mật máy tính, các chính sách sử dụng được chấp nhận hoặc thực hành bảo
mật tiêu chuẩn.
Hệ thống phát hiện xâm nhập là một hệ thống (có thể là thiết bị phần cứng
hay phần mềm) nhằm giám sát lưu lượng mạng theo dõi, thu thập thông tin để
phát hiện xâm nhập mạng và đưa ra cảnh báo.
Phát hiện xâm nhập trái phép là một cơng việc đầy khó khăn do ảnh
hưởng của sự tăng trưởng nhanh chóng các kết nối mạng, mơi trường máy tính
khơng đồng nhất, nhiều giao thức truyền thông và sự phân loại đáng kể của các
ứng dụng thông dụng và độc quyền. Hầu hết các kỹ thuật IDS được xây dựng
dựa trên sự khác biệt về cách thức hoạt động của kẻ xâm nhập so với người dùng
hợp lệ.
Một IDS có nhiệm vụ phân tích các gói tin mà Firewall cho phép đi qua,
tìm kiếm các dấu hiệu đã biết mà không thể kiểm tra hoặc ngăn chặn bởi
Firewall. Sau đó cung cấp thơng tin và đưa ra các cảnh báo cho người sử dụng.
1.4.2. Lịch sử phát triển của IDS
Khái niệm phát hiện xâm nhập xuất hiện qua một bài báo của James
Anderson. Khi đó người ta cần IDS với mục đích là dị tìm và nghiên cứu các
hành vi bất thường và thái độ của người sử dụng trong mạng, phát hiện ra các
việc làm dụng đặc quyền để giám sát tài sản hệ thống mạng. Các nghiên cứu về
hệ thống phát hiện xâm nhập được nghiên cứu chính thức từ năm 1983 đến năm
1988 trước khi được sử dụng tại mạng máy tính của không lực Hoa Kỳ. Cho đến
9
tận năm 1996, các khái niệm IDS vẫn chưa được phổ biến, một số hệ thống IDS
chỉ được xuất hiện trong các phịng thí nghiệm và viện nghiên cứu. Tuy nhiên
trong thời gian này, một số công nghệ IDS bắt đầu phát triển dựa trên sự bùng nổ
của công nghệ thông tin.
Đến năm 1997 IDS mới được biết đến rộng rãi và thực sự đem lại lợi
nhuận với sự đi đầu của cơng ty ISS, một năm sau đó, Cisco nhận ra tầm quan
trọng của IDS và đã mua lại một công ty cung cấp giải pháp IDS tên là Wheel.
Hiện tại, các thống kê cho thấy IDS đang là một trong các công nghệ an
ninh được sử dụng nhiều nhất và vẫn còn phát triển.
1.4.3. Yêu cầu một hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập là những ứng dụng phầm mềm chuyên dụng
hay thiết bị phần cứng để phát hiện xâm nhập vào hệ thống mà nó cần bảo vệ.
IDS được thiết kế khơng phải với mục đích thay thế các phương pháp bảo vệ
truyền thống, mà để hoàn thiện các phương pháp này. Một hệ thống phát hiện
xâm nhập cần phải thỏa mãn những u cầu sau:
- Tính chính xác (Accuracy): IDS khơng được coi những hành động hợp
pháp trong môi trường hệ thống là bất thường hay sai phạm (hành động hợp
pháp bị coi là xâm nhập được gọi là false positive).
-
Hiệu suất (perfomance): Hiệu suất IDS phải đủ để thực hiện phát
hiện xâm nhập thời gian thực (thời gian thực có nghĩa là một sự xâm nhập phải
được phát hiện trước khi xảy ra thiệt hại đáng kể
- Tính trọn vẹn (Completeness): Một IDS không được thất bại trong việc
phát hiện xâm nhập (một sự xâm nhập không bị phát hiện được gọi là false
positive). Phải thừa nhận rằng IDS khá khó khăn để thực hiện yêu cầu
này bởi vì gần như khơng thể có tất cả thơng tin về các cuộc tấn công trong quá
khứ, hiện tại và tương lai.
- Khả năng chịu đựng (Fault tolerance): bản thân IDS phải có khả năng
10
chống lại tấn công.
- Khả năng mở rộng (Scalability): IDS phải có khả năng xử lý trong
trường hợp xấu nhất là khơng bỏ sót thơng tin. Điểm này đặc biệt phù hợp với
các hệ thống mà các sự kiện tương quan từ các nguồn khác nhau với một số
lượng host nhỏ. Với sự phát triển nhanh và mạnh của mạng máy tính, hệ thống
có thể bị q tải bởi sự tăng trưởng của số lượng sự kiện.
1.4.4. Kiến trúc của IDS
IDS bao gồm các thành phần chính như sau:
- Thành phần thu thập thông tin
- Thành phần phát hiện và phân tích
- Thành phần đáp ứng
11
Đáp ứng
Hình 1.2. Kiến trúc của IDS
1.4.4.1. Thành phần thu thập thơng tin
Thành phần này có nhiệm vụ lấy tất cả các gói tin đi đến mạng. Tất cả các
gói tin đều được sao chụp, xử lý, phân tích đến từng trường thơng tin. Bộ phận
thu thập gói tin sẽ đọc thơng tin từng trường trong gói tin, xác định chúng thuộc
kiểu gói tin nào, dịch vụ gì... Các thơng tin này được chuyển đến thành phần phát
hiện tấn công.
1.4.4.2. Thành phần phát hiện và phân tích
Thành phần phát hiện và phân tích là quan trọng nhất và ở thành phần này
bộ cảm biến đóng vai trị quyết định. Bộ cảm biến tích hợp với thành phần là tập
hợp dữ liệu và một bộ tạo sự kiện. Cách sưu tập này được xác định bởi chính
sách tạo sự kiện để định nghĩa chế độ lọc thơng tin sự kiện.
Vai trị của bộ cảm biến là dùng để lọc thông tin và loại bỏ dữ liệu khơng
tương thích đạt được từ các sự kiện liên quan với hệ thống bảo vệ, vì vậy có thể
phát hiện được các hành động nghi ngờ. Bộ phân tích sử dụng cơ sở dữ liệu là
chính sách phát hiện.
1.4.4.3.
Thành phần phản hồi
12
Khi có dấu hiệu của sự tấn cơng hoặc xâm nhập, thành phần phát hiện và
phân tích sẽ gửi tín hiệu báo hiệu có sự tấn cơng hoặc xâm nhập đến thành phần
đáp ứng. Lúc đó thành phần đáp ứng sẽ kích hoạt tường lửa thực hiện chức năng
ngăn chặn cuộc tấn công hay cảnh báo tới người quản trị.
1.4.5. Phân loại IDS
Hệ thống phát hiện xâm nhập được chia thành 2 loại chính:
- Hệ thống phát hiện xâm nhập dựa trên Host (Host Base Intrusion
Detection System - HIDS).
- Hệ thống phát hiện xâm nhập dựa trên mạng (Network Base Intrusion
Detection System - NIDS).
1.4.5.1. Hệ thống phát hiện xâm nhập dựa trên Host
Hệ thống phát hiện xâm nhập dựa trên Host (Host Base Intrusion
Detection System - HIDS) có khả năng giám sát tất cả hành động và trạng thái
của hệ thống máy tính, dựa trên cách cấu hình nó. HIDS thường là một phần
mềm chạy trên các máy tính. Hệ thống này phân tích thơng tin thu được trong
nội bộ hệ thống, vì vậy nó cung cấp một cơ chế phân tích tồn diện các hoạt động
và phát hiện một cách chính xác các thành phần tấn cơng.
HIDS thường xun sử dụng cơ chế kiểm tra và ghi nhật ký của hệ thống
lưu trữ làm nguồn thông tin để phân tích. Nó tìm kiếm hoạt động bất thường
được giới hạn trong máy chủ cục bộ như đăng nhập, truy cập tệp không đúng,
không được chấp thuận đặc quyền hoặc thay đổi về đặc quyền của hệ thống.
Kiến trúc HIDS thường sử dụng các công cụ dựa trên quy tắc để phân tích hoạt
động. Do đó, các lần đăng nhập liên tiếp vào tài khoản gốc có thể được coi là một
cuộc tấn công.
Bên cạnh việc kiểm tra hoạt động các gói tin, HIDS có thể phát hiện
chương trình nào truy cập tài nguyên nào. Tương tự như vậy, một HIDS có
13
thể xem xét trạng thái của một hệ thống, thông tin được lưu trữ của nó, cho dù
trong RAM, trong hệ thống tệp, tệp nhật ký hay ở nơi khác, và kiểm tra xem nội
dung của chúng có bị thay đổi bởi kẻ xâm nhập hay không.
HIDS được thiết kế hoạt động chủ yếu trên hệ điều hành Windows, nhưng
vẫn có một số ít hoạt động trên nền ứng dụng UNIX và các hệ điều hành khác.
Hình ảnh dưới đây minh họa cho việc sử dụng HIDS để bảo vệ máy chủ và máy
trạm:
Web Server
HIDS
HIDS
PC
Hình 1.3. Vị trí của HIDS
- Ưu điểm của HIDS:
+ Cài đặt và cấu hình đơn giản
+ Có thể phân tích dữ liệu đã được mã hóa
+ Hoạt động độc lập trên hệ thống, vì vậy khi bị tấn cơng nó sẽ khơng bị
kẻ tấn cơng vơ hiệu hóa
+ Phát hiện và phản ứng gần thời gian thực
14
- Nhược điểm của HIDS
+ HIDS phải được thiết lập trên từng host cần giám sát
+ HIDS cần tài nguyên trên host để hoạt động
+ HIDS có thể khơng cịn hiệu quả khi bị tấn công Dos
+ Cần mất tương đối nhiều tiền để cài đặt HIDS
1.4.5.2. Hệ thống phát hiện xâm nhập dựa trên mạng
NIDS phát hiện các cuộc tấn cơng bằng cách phân tích lưu lượng mạng
được sử dụng trên một phân đoạn mạng. Việc phân tích nội dung của gói tin có
thể được thực hiện ở các mức độ phức tạp khác nhau, phân tích dữ liệu phức tạp
hơn thường chậm hơn và đòi hỏi nhiều tài nguyên hơn.
NIDS giám sát toàn bộ segment hoặc subnet bằng cách thay đổi chế độ
trên NIC (network interface card). Bình thường một NIC hoạt động ở chế độ
Nonpromisuous nghĩa là NIDS chỉ nhận các gói tin mà có địa chỉ MAC (Media
Access Control) trùng với địa chỉ của nó, các gói tin khác sẽ khơng nhận, hay
khơng xử lý và bị loại bỏ. Để giám sát tất cả các lưu lượng trong mạng con,
NIDS phải chấp nhận tất cả các gói tin và chuyển chúng tới stack để xử lý. Do
vậy hệ thống sẽ phải hoạt động ở chế độ Promisuous.
NIDS thường đặt ở giữa kết nối hệ thống mạng bên trong và bên ngoài để
giám sát toàn bộ lưu lượng vào ra. NIDS có thể là một thiết bị phần cứng riêng
biệt được thiết lập sẵn hay phần mềm cài đặt trên máy tính.
Hệ thống dưới đây sử dụng 3 NIDS. Các NIDS được đặt trên các phân
đoạn mạng và có thể giám sát lưu lượng mạng cho tất cả thiết bị trên phân đoạn
mạng đó.
15
Router
NIDS
NIDS
Firewall
Web Server
Web Server
Mail Server
DNS
NIDS
PC
Hình 1.4. Vị trí của NIDS
- Ưu điểm:
+ Chi phí thấp
+ Nó rất dễ triển khai, cài đặt và bảo trì vì nó khơng ảnh hưởng đến cơ sở
hạ tầng hiện có
+ Trong suốt với người dùng và kẻ tấn công
+ Phát hiện và phản ứng gần thời gian thực
+ Khơng có tác động đến hệ thống hoặc mạng mà nó đang giám sát.
- Nhược điểm:
+ Khơng thể phân tích các lưu lượng đã mã hóa
+ Khơng thể giám sát hay phân tích khi lưu lượng mạng lớn
+ Có thể xảy ra trường hợp báo động giả
+ NIDS địi hỏi phải ln được cập nhật dữ liệu mới nhất để hoạt động
16
thật sự hiệu quả
1.4.6. Kỹ thuật phát hiện
Có 2 phương pháp phát hiện và phòng chống xâm nhập là: Phát hiện dựa
trên dấu hiệu (Signatures based Detection) và phát hiện dựa trên sự bất thường
(Anomaly based Detection).
1.4.6.1. Phát hiện dựa trên dấu hiệu
Phát hiện dựa trên dấu hiệu là cơ chế phát hiện các hành động xâm nhập,
tấn công thông qua các dấu hiệu về các hành động này. Dấu hiệu bao gồm một
nhóm các thơng tin cần thiết để mơ tả kiểu tấn cơng. Thường thì dấu hiệu được
lưu ở dạng cho phép so sánh tực tiếp với thông tin có trong chuỗi sự kiện. Trong
q trình xử lý, sự kiện được so sánh với các mục trong file dấu hiệu, nếu thấy có
sự giống nhau thì nó sẽ đưa ra cảnh báo.
Phát hiện dựa trên dấu hiệu hiện nay rất thơng dụng vì chúng dễ phát
triển, cho phản hồi chính xác về cảnh báo và thường yêu cầu ít tài ngun tính
tốn. Tuy nhiên, chúng có những điểm yếu sau:
- Mô tả về cuộc tấn công thường ở mức độ thấp, khó hiểu.
- Mỗi cuộc tấn cơng hay biến thể của nó đều cần thêm dấu hiệu đưa vào
cơ sở dữ liệu, nên kích cỡ của nó sẽ trở nên rất lớn.
- Dấu hiệu càng cụ thể, thì càng tạo ra ít cảnh báo nhầm, nhưng càng khó
phát hiện ra những biến thể của nó.
1.4.6.2. Phát hiện dựa trên sự bất thường
Phát hiện dựa trên sự bất thường là kỹ thuật dựa trên giả định rằng tất cả
các hoạt động bất thường đều có ý đồ xấu. Vì vậy, trước tiên họ xây dựng một
mơ hình hành động bình thường của hệ thống rồi sau đó mới tìm kiếm các hoạt
động bất thường, tức là các hoạt động khơng phù hợp với mơ hình đã được thiết
lập. Mọi thứ khơng tương ứng với cấu hình hệ thống đều bị coi là xâm nhập.
Lợi thế của hệ thống này là nó có thể phát hiện được những kiểu tấn công
17
chưa biết trước. Tuy nhiên, hệ thống này lại sinh ra nhiều cảnh báo sai do cơ sở
dữ kiệu còn ít, lượng thời gian và tài nguyên cần cho định nghĩa về những hoạt
động bình thường là rất lớn.
1.4.7. Chức năng của IDS
Nhìn chung, IDS khơng tự động ngăn chặn các cuộc tấn công, tuy nhiên,
một sự phát hiện mới nhất của IDS đó là đã có thể thực hiện nhiều vai trị hơn khi
các cuộc tấn cơng xảy ra. Các hệ thống phát hiện xâm nhập giám sát lưu lượng
mạng để phát hiện khi một sự xâm nhập đang được thực hiện bởi các thực thể
trái phép. IDS có các chức năng sau:
- Giám sát hoạt động của các routers, tường lửa, máy chủ quản lý khóa
và các files cần thiết bởi các điều khiển bảo mật khác nhằm giúp người sử dụng
phát hiện, ngăn chặn hoặc khôi phục từ các cuộc tấn công mạng.
- Cung cấp giao diện thân thiện với người dùng.
- Những thông tin từ hệ thống được so sánh với cơ sở dữ liệu phát hiện
xâm nhập mà hệ thống IDS cung cấp.
- Nhận ra và báo cáo khi IDS phát hiện các files dữ liệu đã bị thay đổi.
- Đưa ra một báo động và thông báo rằng an ninh đã bị vi phạm.
- Phân biệt các cuộc tấn công từ trong hoặc từ bên ngồi: Nó có thể phân
biệt được đâu là những truy cập hợp lệ (hoặc không hợp lệ) từ bên trong và đâu
là cuộc tấn cơng từ bên ngồi.
- Ngăn chặn sự gia tăng của tấn công.
- Bổ sung những điểm yếu mà hệ thống chưa làm được.
- Đánh giá chất lượng của việc thiết kế hệ thống.
Tóm tắt chức năng của IDS:
- Chức năng quan trọng nhất: Giám sát - cảnh báo - bảo vệ.
+ Giám sát: Giám sát lưu lượng mạng và các hoạt động khả nghi.
+ Cảnh báo: Báo cáo về tình trạng mạng cho nhà quản trị.
18
+ Bảo vệ: Dùng những thiết lập mặc định và cấu hình từ nhà quản trị để có
những hành động chống lại kẻ xâm nhập và phá hoại.
- Chức năng mở rộng:
+ Phát hiện: Phát hiện những dấu hiệu bất thường dựa trên những gì đã
biết hoặc nhờ vào sự so sánh thông lượng mạng hiện tại với baseline (thông số
đo đạc chuẩn của hệ thống) để tìm ra dấu hiệu khác thường.
+ Phân biệt: Phân biệt được các tấn cơng trong và ngồi mạng.
1.4.8. Lợi ích của việc sử dụng IDS
Hệ thống phát hiện xâm nhập cung cấp cho các đơn vị, tổ chức triển khai
hệ thống IDS một số lợi ích, bắt đầu với khả năng xác định sự cố bảo mật. IDS
có thể được sử dụng để giúp phân tích số lượng và loại tấn cơng và các tổ chức
có thể sử dụng thơng tin này để thay đổi hệ thống bảo mật của họ hoặc thực hiện
các biện pháp kiểm soát hiệu quả hơn. Một hệ thống phát hiện xâm nhập cũng có
thể giúp các cơng ty, doanh nghiệp xác định lỗi hoặc các vấn đề với cấu hình
thiết bị mạng của họ. Cụ thể, IDS đưa ra những lợi ích như sau:
- Bảo vệ tính toàn vẹn của dữ liệu, đảm bảo sự nhất quán của dữ liệu
trong hệ thống. Các biện pháp đưa ra ngăn chặn được thay đổi bất hợp pháp hoặc
phá hoại dữ liệu.
- Bảo vệ tính riêng tư, tức là đảm bảo cho người sử dụng khai thác tài
nguyên của hệ thống theo đúng chức năng, nhiệm vụ đã được phân cấp, ngăn
chặn được sự truy nhập thông tin bất hợp pháp.
- Bảo vệ tính bí mật, giữ cho thơng tin khơng bị lộ ra ngồi.
- Bảo vệ tính khả dụng, tức là hệ thống luôn sẵn sàng thực hiện yêu cầu
truy nhập thông tin của người dùng hợp pháp.
- Cung cấp thông tin về sự truy cập, đưa ra những chính sách đối phó,
khơi phục, sửa chữa...
1.5. Kết luận chương I
19
Đây là chương mở đầu của đồ án nhằm tìm hiểu về vai trị của an ninh
mạng máy tính, những điểm yếu trong bảo mật mạng máy tính, các kỹ thuật tấn
cơng mạng máy tính. Từ đó giới thiệu một số giải pháp tăng cường bảo mật
mạng máy tính, hệ thống phát hiện xâm nhập (IDS). Một hướng tiếp cận khác đã
khắc phục được các hạn chế của IDS và ngày càng thể hiện tính ưu việt là ứng
dụng kỹ thuật học máy (machine learning), với nhiều phương pháp khác nhau.
Vì vậy ở chương II, em sẽ đi tìm hiểu mạng neural nhân tạo, một kỹ thuật học
máy trong các hệ thống phát hiện xâm nhập.
20
CHƯƠNG II: TỔNG QUAN VỀ MẠNG NEURAL NHÂN
TẠO
•
2.1. Giới thiệu về mạng neural
2.1.1. Khái niệm mạng neural sinh học
Bộ não người có mạng lưới gồm khoảng 10 11 tế bào thần kinh (gọi là
neural) liên kết phức tạp với nhau. Mỗi tế bào thần kinh gồm 3 thành phần chính:
Thân tế bào thần kinh (cell body còn gọi là soma), hệ thống các dây thần kinh
tiếp nhận (dendrites) và một sợi trục thần kinh (axon).
Hình 2.1. Mơ hình tế bào thần kinh
Hệ thống dây thần kinh tiếp nhận là một lưới dày đặc các dây thần kinh
dạng cây bao bọc xung quanh thân tế bào, chúng dẫn các tín hiệu đến phần thân
tế bào. Thân tế bào sẽ tổng hợp các tín hiệu đầu vào này, làm thay đổi điện thế
của nó và khi vượt qua một mức ngưỡng thì sẽ cho ra một xung điện trên sợi trục
thần kinh ra (Axon). Các dây thần kinh axon có thể rẽ ra nhiều nhánh để nối đến
