Tải bản đầy đủ (.pdf) (24 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Nghiên cứu giải pháp phát hiện xâm nhập trái phép trên điện toán đám mây (tt)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (988.81 KB, 24 trang )

1

LỜI NĨI ĐẦU
Điện tốn đám mây đang được coi là một trong những xu hướng chủ đạo
đối với ngành công nghệ thơng tin tồn cầu. Các hoạt động liên quan đến điện
toán đám mây đang diễn ra trong nhiều cơ quan chính phủ, tổ chức doanh
nghiệp trên thế giới. Tại nhiều nước, mơ hình máy chủ ảo đã thực sự được quan
tâm và ứng dụng hiệu quả.
Ngày nay cùng với sự phát triển mạnh mẽ của công nghệ thông tin, mạng
Internet ngày càng có tốc độ nhanh hơn, cùng với đó là các dịch vụ trên mạng
Internet ngày càng nở rộ, các công nghệ mới cũng được nghiên cứu và triển
khai rất nhanh trong đó phải kể đến cơng nghệ “Điện tốn đám mây”.
Cùng với sự phát triển của cơng nghệ thông tin, tội phạm công nghệ cao
ngày càng diễn biến hết sức phức tạp, chúng ăn cắp các thông tin quan trọng
làm ảnh hưởng rất lớn đến các doanh nghiệp cũng như các cá nhân. Vấn đề an
ninh bảo mật thơng tin nói chung và trong Điện tốn đám mây nói riêng, cần
được các nhà cung cấp các dịch vụ cũng như người sử dụng quan tâm thích
đáng. Với lý do trên học viên quan tâm và lựa chọn đề tài “ Nghiên cứu giải
pháp phát hiện xâm nhập trái phép trên điện toán đám mây” làm luận văn tốt
nghiệp.
Tổng quan về vấn đề nghiên cứu
Theo nghiên cứu thống kê gần đây của hãng Gartner [15] đưa ra trong
2/2016, doanh thu trên tồn thế giới từ điện tốn đám mây năm 2015 là 58.6 tỷ
USD, dự báo đạt 148 tỷ USD vào 2016. Nghiên cứu gần đây của IDC 4 chỉ rõ
doanh thu trên toàn thế giới từ điện tốn đám mây cơng cộng (public cloud)
năm 2015 là 72,9 tỷ USD, tốc độ tăng trưởng hàng năm là 27,6%. Tốc độ tăng
trưởng này gấp hơn bốn lần so với tốc độ tăng trưởng dự báo cho toàn thị
trường CNTT trên thế giới nói chung (6,7%). Cũng theo IDC, điện tốn đám
mây ln nằm trong tốp 10 các cơng nghệ đình đám nhất trong các năm từ 2009
đến nay trong lĩnh vực công nghệ thông tin.
Hiện nay một số vấn đề lo ngại trong cơng nghệ điện tốn đám mây là an


tồn thơng tin và nó nằm trong chính ngun lý tổ chức dữ liệu của cơng nghệ
điện tốn đám mây[4]. Trong mơ hình tính tốn thơng thường (khơng sử dụng
“đám mây”), người dùng tự lựa chọn và cấu hình các ứng dụng, tự giải quyết
các vấn đề phát sinh, trong đó có vấn đề tổ chức bảo vệ và sao lưu dữ liệu. Cịn
trong điện tốn đám mây, các việc trên đây đều được ủy thác cho nhà cung cấp


2

dịch vụ và thật khó mà nắm bắt được họ thực hiện các việc đó như thế nào. Vấn
đề an ninh trên mơi trường điện tốn đám mây khi mà khách hàng phải hồn
tồn trơng cậy vào nhà cung cấp dịch vụ [5]. Cụ thể một số yếu tố cần quan tâm
như:
- Tính riêng tư: Các thơng tin về người dùng và dữ liệu được chứa trên
đám mây không chắc chắn được đảm bảo tính riêng tư và các thơng tin đó cũng
có thể bị sử dụng vì một mục đích khác.
- Tính sẵn sàng: Các trung tâm điện tốn đám mây hay hạ tầng mạng có
thể gặp sự cố, khiến cho dịch vụ đám mây bị “treo” bất ngờ, nên người dùng
không thể truy cập các dịch vụ và dữ liệu của mình trong những khoảng thời
gian nào đó.
- Khả năng mất dữ liệu: Một vài dịch vụ lưu trữ dữ liệu trực tuyến trên
đám mây bất ngờ ngừng hoạt động hoặc không tiếp tục cung cấp dịch vụ, thậm
chí một vài trường hợp, vì một lý do nào đó, dữ liệu người dùng bị mất và
khơng thể phục hồi được.
- Khả năng bảo mật: Vấn đề tập trung dữ liệu trên các “đám mây” là cách
thức hiệu quả để tăng cường bảo mật, nhưng mặt khác cũng chính là mối lo của
người sử dụng dịch vụ điện toán đám mây, bởi lẽ một khi các đám mây bị tấn
cơng hoặc đột nhập, tồn bộ dữ liệu sẽ bị chiếm dụng.
Với tính cấp thiết và nhiệm vụ để xây dựng một giải pháp an ninh trong
thông tin cho mô hình điện tốn đám mây, ta cần có những giải pháp hữu hiệu

được đưa ra để phát hiện và ngăn chặn sự xâm nhập mạng trái phép, đảm bảo
an toàn thơng tin, nâng cao hiệu quả hoạt động an tồn cho hệ thống khi sử
dụng trên mơi trường điện tốn đám mây.
Mục đích nghiên cứu
- Hiểu được các kỹ thuật xâm nhập bất hợp pháp và Hacker thường sử
dụng để tấn công mạng hiện nay.
- Môi trường công nghệ điện toán đám mây.
- Ứng dụng một số giải thuật trong phát hiện xâm nhập mạng.
- Xây dựng một số tiêu chí lựa chọn cho giải pháp phát hiện xâm
nhập mạng.
- Xây dựng và triển khai hệ thống IDS – Snort trong phát hiện xâm nhập
mạng trái phép trên điện toán đám mây.


3

Đối tƣợng và phạm vi nghiên cứu
Đối tượng nghiên cứu:
- Nghiên cứu bảo mật trên điện toán đám mây.
- Nghiên cứu và ứng dụng một số giải thuật học trong phát hiện xâm nhập
mạng.
- Triển khai mã nguồn mở Snort trên mơi trường điện tốn đám mây để
phát hiện và ngăn chặn trái phép xâm nhập mạng.
Phạm vi nghiên cứu:
- Các phương thức tấn công mạng.
- IDS/IPS phát hiện và ngăn chặn xâm nhập mạng trái phép.
- Một số giải thuật học trong phát hiện xâm nhập mạng.
- Triển khai mơi trường điện tốnđám mây thật bằng mã nguồn mở
Openstack.
- Mã nguồn mở Snort trong phát hiện xâm nhập mạng.

Phƣơng pháp nghiên cứu
Phương pháp lý thuyết:
- Nghiên cứu tìm hiểu các thông tin về bảo mật, các nguy cơ đe dọa về
bảo mật trên nền điện toán đám mây.
- Tài liệu về các phương thức xâm nhập hệ thống – biện pháp phát hiện
và ngăn ngừa.
- Nghiên cứu tài liệu các giải thuật học dùng trong phương pháp phát hiện
xâm nhập mạng.
- Thu thập tài liệu liên quan đến các vấn đề về đề tài.
Phương pháp thực nghiệm:
- Phân tích và ứng dụng các giải thuật học trong phát hiện xâm nhập mạng
trái phép.
- Xây dựng và lựa chọn phương pháp phát hiện xâm nhập mạng.
Xây dựng và thiết lập sử dụng IDS-Snort chạy Demo dị tìm phát hiện và ngăn
chặn máy tính xâm nhập trái phép.
Từ mục tiêu nghiên cứu đặt ra, ngoài phần mở đầu, kết luận và danh mục tài
liệu tham khảo, nội dung của luận văn được trình bày trong ba chương với các
nội dung sau:


4

Chƣơng 1: An tồn thơng tin trong điện tốn đám mây
Nội dung của chương 1 này, luận văn tập trung trình bày tổng quan về
điện tốn đám mây và nêu một số giải pháp trên điện toán đám mây.
Chƣơng 2: Hệ thống phát hiện xâm nhập trái phép trên điện toán đám mây
Nội dung của chương 2 này, luận văn tập trung phân tích hệ thống phát
hiện xâm nhập IDS, các kiểu tấn công mạng phổ biến và các kỹ thuật, giải thuật
phát hiện cũng như một số giải pháp phịng chống xâm nhập trái phép trên điện
tốn đám mây.

Chƣơng 3: Đề xuất giải pháp phát hiện và phòng chống xâm nhập trên
điện toán đám mây
Nội dung của chương 3 này, luận văn mơ tả bài tốn phát hiện xâm nhập,
trên cơ sở đó tập trung nghiên cứu nêu ra giả pháp và chọn thuật toán trong
chương 2 để xây dựng ứng dụng và kết hợp kịch bản mã nguồn snort để thực
nghiệm phát hiện xâm nhập mạng trên điện toán đám mây.


5

CHƢƠNG 1: AN TỒN THƠNG TIN TRONG ĐIỆN TỐN ĐÁM MÂY
Nội dung của chương 1, luận văn tập trung đi vào giới thiệu tổng quan về
điện toán đám mây như: các khái niệm, kiến trúc và các thành phần cũng như
dịch vụ của điện toán đám mây. Trên cơ sở đó, cũng nêu những ưu nhược điểm
và phân tích những nguy cơ rủi ro an tồn thơng tin trong điện toán đám mây.
1.1 Một số khái niệm về điện toán đám mây
Theo Viện quốc gia về Tiêu chuẩn và Công nghệ Mỹ (NIST - National
Institute of Standards and Technology): “Điện tốn đám mây là một mơ hình
cho phép ở một vị trí thuận tiện, khách hàng có thể truy cập mạng theo yêu cầu
và được chia sẻ tài nguyên máy tính (mạng, máy chủ, lưu trữ, ứng dụng và dịch
vụ) được nhanh chóng từ nhà cung cấp và cung cấp sự quản lý tối thiểu hoặc
tương tác được ở mức dịch vụ. Mơ hình điện tốn đám mây này bao gồm 5 đặc
điểm, 3 mơ hình dịch vụ, và 4 mơ hình triển khai.”.
Điện tốn đám mây đơi khi cịn được coi là thế hệ Internet mới. Theo từ
điển mở Wikipedia[16] định nghĩa: “Điện toán đám mây là việc sử dụng các tài
nguyên máy tính (phần cứng và phần mềm) có sẵn từ xa và truy cập được qua
mạng (thường là Internet)”.

Hình 1.1: Mơ hình minh họa điện tốn đám mây theo Wikipedia [16]
Theo tổ chức Xã hội máy tính IEEE: "Điện tốn đám mây là hình mẫu

trong đó thơng tin được lưu trữ thường trực tại các máy chủ trên Internet và chỉ
được được lưu trữ tạm thời ở các máy khách, bao gồm máy tính cá nhân, trung
tâm giải trí, máy tính trong doanh nghiệp, các phương tiện máy tính cầm
tay,...". Điện tốn đám mây là khái niệm tổng thể bao gồm cả các khái niệm
như phần mềm dịch vụ, Web 2.0 và các vấn đề khác xuất hiện gần đây, các xu
hướng công nghệ nổi bật, trong đó đề tài chủ yếu của nó là vấn đề dựa vào
Internet để đáp ứng những nhu cầu điện toán của người dùng. Ví dụ, dịch
vụ Google AppEngine cung cấp những ứng dụng kinh doanh trực tuyến thông


6

thường, có thể truy nhập từ một trình duyệt web, còn các phần mềm và dữ
liệu đều được lưu trữ trên các máy chủ.
1.2 Kiến trúc của điện toán đám mây
Đối với mạng Internet như hiện nay thì các tổ chức đã được lập ra để
quản lí và cùng thống nhất với nhau về các giao thức, các mơ hình. Các thiết bị
hoạt động trong Internet được thiết kế sao cho phù hợp với mơ hình điện tốn
đám mây. Trong điện tốn đám mây cũng hình thành nên mơ hình cho chính nó
(hình 1.2). Kiến trúc điện tốn đám mây được phân chia thành các phân tầng
theo hình vẽ sau đây[13]:

Hình 1.2. Kiến trúc của điện tốn đám mây [1]
1.3 Thành phần của điện toán đám mây
Về cơ bản, “điện toán đám mây” được chia ra thành 5 lớp riêng biệt, có
tác động qua lại l n nhau:
L p khách hàng C ient : ớp Client của điện toán đám mây bao gồm
phần cứng và phần mềm, để dựa vào đó, khách hàng có thể truy cập và sử dụng
các ứng dụng/dịch vụ được cung cấp từ điện toán đám mây. Ch ng hạn máy
tính và đường dây kết nối Internet (thiết bị phần cứng) và các trình duyệt web

(phần mềm) .


7

L p ứng dụng pp ication : ớp ứng dụng của điện toán đám mây làm
nhiệm vụ phân phối phần mềm như một dịch vụ thông qua Internet, người dùng
không cần phải cài đặt và chạy các ứng dụng đó trên máy tính của mình, các
ứng dụng dễ dàng được chỉnh sữa và người dùng dễ dàng nhận được sự h trợ.
L p nền tảng P atform : Cung cấp nền tảng cho điện toán và các giải
pháp của dịch vụ, chi phối đến cấu trúc hạ tầng của “đám mây” và là điểm tựa
cho lớp ứng dụng, cho phép các ứng dụng hoạt động trên nền tảng đó. Nó giảm
nh sự tốn kém khi triển khai các ứng dụng khi người dùng không phải trang bị
cơ sở hạ tầng (phần cứng và phần mềm) của riêng mình.
L p cơ s hạ tầng Infrastructure : Cung cấp hạ tầng máy tính, tiêu
biểu là mơi trường nền ảo hóa. Thay vì khách hàng phải b tiền ra mua các
server, phần mềm, trung tâm dữ liệu hoặc thiết bị kết nối giờ đây, họ v n có
thể có đầy đủ tài nguyên để sử dụng mà chi phí được giảm thiểu, hoặc thậm chí
là miễn phí. Đây là một bước tiến hóa của mơ hình máy chủ ảo (Virtual Private
Server).
L p máy chủ erver : ao gồm các sản phẩm phần cứng và phần mềm
máy tính, được thiết kế và xây dựng đặc biệt để cung cấp các dịch vụ của đám
mây. Các server phải được xây dựng và có cấu hình đủ mạnh để đáp ứng nhu
cầu sử dụng của số lượng động đảo các người dùng và các nhu cầu ngày càng
cao của người dùng.
1.4 Mơ hình dịch vụ của điện toán đám mây
Điện toán đám mây cung cấp 3 mơ hình dịch vụ cơ bản[1],[3]: dịch vụ hạ
tầng (IaaS), dịch vụ nền tảng (PaaS) và dịch vụ phần mềm (SaaS), với một số
đặc trưng chính: thuê bao theo yêu cầu, nhiều thuê bao, dùng bao nhiêu trả bấy
nhiêu. Về mặt kỹ thuật, đám mây là một tập hợp tài ngun tính tốn rộng lớn

và cung cấp 3 dịch vụ nói trên sau:

Hình 1.4: Mơ hình dịch vụ điện tốn đám mây [1]


8

1.5 Các mơ hình triển khai trên điện tốn đám mây
Trong mơ hình triển khai điện tốn đám mây, bao gồm 04 mơ
hình[1],[3],[4]: mơ hình đám mây riêng, mơ hình đám mây cơng cộng, mơ hình
đám mây cộng đồng, mơ hình đám mây lai. Hình sau tổng hợp các mơ hình
trên:

Hình 1.5 : Mơ hình triển khai dịch vụ điện toán đám mây [1],[2]
1.6. Những ƣu điểm của điện toán đám mây
Giảm chi phí: Dịch vụ điện tốn đám mây thường được chi trả tùy theo
mức sử dụng, vì vậy doanh nghiệp hồn tồn khơng cần chi phí đầu tư tài sản
cố định ban đầu. Và bởi vì điện tốn đám mây được triển khai nhanh hơn,
doanh nghiệp sẽ có chi phí đầu tư ban đầu thấp và chi phí vận hành có thể đự
đốn trước.
Dễ sử dụng, tiện ợi: Khi tổ chức sử dụng điện toán đám mây, mọi nhân
viên sẽ được tiếp cận với các thông tin họ cần để phục vụ cho công việc của họ.
Độ tin cậy cao: Không chỉ dành cho người dùng phổ thông, điện tốn
đám mây cịn phù hợp với các u cầu cao và liên tục của các công ty kinh
doanh và các nghiên cứu khoa học.
Tăng tính inh hoạt: Một doanh nghiệp cần nhiều băng thông hơn thông
thường nên dịch vụ dựa trên nền tảng điện tốn đám mây có thể đáp ứng yêu
cầu đó ngay lập tức nhờ dung lượng lớn của dịch vụ máy chủ từ xa. Thực tế,
tính linh hoạt là yếu tố mang tính quyết định.
Tận dụng tối đa tài nguyên: Tài nguyên sử dụng của điện tốn đám mây

ln được quản lý và thống kê trên từng khách hàng và ứng dụng, theo từng
ngày, từng tuần, từng tháng. Điều này đảm bảo cho việc định lượng giá cả của
m i dịch vụ do điện toán đám mây cung cấp để người dùng có thể lựa chọn phù
hợp.


9

1.7. Thách thức của điện toán đám mây
Thách thức lớn của điện toán mây là vấn đề bảo mật. Điện toán mây được
cấu thành từ nhiều thành phần khác nhau. Từ máy chủ, lưu trữ, mạng được ảo
hóa, tiếp theo là các thành phần quản lý Cloud Management. Thành phần này sẽ
quản lý tất cả các tài nguyên được ảo hóa và tạo ra các máy chủ ảo với hệ điều
hành, ứng dụng để cung cấp cho khách hàng. Như vậy, điện tốn mây là một
mơ hình lego với rất nhiều miếng ghép công nghệ tạo thành. M i một miếng
ghép lại tồn tại trong nó những vấn đề bảo mật và vơ hình chung, điện tốn mây
khi giải bài toán bảo mật tất yếu phải giải quyết các vấn đề của những miếng
ghép trên.
1.8. Một số vấn đề an ninh bảo mật trong điện toán đám mây
An ninh bảo mật điện tốn đám mây (đơi khi được gọi đơn giản là "đám
mây bảo mật") là một lĩnh vực mới trong sự phát triển của bảo mật máy tính, an
ninh mạng, và rộng rãi hơn an ninh thơng tin. Nó dùng để chỉ một tập hợp rộng
rãi các chính sách, cơng nghệ, và kiểm sốt triển khai để bảo vệ dữ liệu, ứng
dụng, và cơ sở hạ tầng liên quan đến điện tốn đám mây.
Có một số vấn đề an ninh bảo mật liên quan đến điện toán đám mây,
nhưng tập trung vào hai loại chính:
-Các vấn đề an ninh bảo mật mà các nhà cung cấp dịch vụ điện toán đám
mây phải đối mặt (tổ chức cung cấp phần mềm, nền tảng, hoặc cơ sở hạ tầng
như một dịch vụ thơng qua mơ hình điện tốn đám mây).
-Các vấn đề an ninh bảo mật mà khách hàng sử dụng dịch vụ điện toán

đám mây.
Trong hầu hết trường hợp, các nhà cung cấp phải đảm bảo rằng cơ sở hạ
tầng của họ là an toàn và rằng các dữ liệu khách hàng của họ và các ứng dụng
được bảo vệ.
1.9. Nhận xét và đánh giá chƣơng 1
Nội dung trong chương 1 này, tác giả tập trung khái quát lại lý thuyết về
điện toán đám mây, cấu trúc chung về điện tốn đám mây, các thành phần và
cũng như các mơ hình, các dịch vụ của điện tốn đám mây, đánh giá những ưu
điểm, nhược điểm của điện toán đám mây và từ đó tìm hiểu những ứng dụng
của điện tốn đám mây. Trên cơ sở đó nêu ra những vấn đề an ninh bảo mật
trong điện toán đám mây hiện nay.


10

CHƢƠNG 2: HỆ THỐNG PHÁT HIỆN XÂM NHẬP TRÊN ĐIỆN TOÁN
ĐÁM MÂY
Nội dung của chương 2 này, luận văn tập trung phân tích hệ thống phát
hiện xâm nhập IDS/IPS, các kiểu tấn công mạng phổ biến và các kỹ thuật, giải
thuật phát hiện cũng như một số giải pháp phòng chống xâm nhập trái phép
trên điện toán đám mây.
2.1 Tổng quan về ID /IP
2.1.1. IDS
a. Khái niệm về IDS
IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) [3] là hệ
thống phần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu lượng
mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, hoặc nhà quản trị. IDS
cũng có thể phân biệt giữa những tấn cơng vào hệ thống từ bên trong (từ những
người dùng nội bộ) hay tấn cơng từ bên ngồi (từ các hacker). IDS phát hiện
dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần

mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus), hay
dựa trên so sánh lưu lượng mạng hiện tại với baseline (thông số đo đạc chuẩn
của hệ thống) để tìm ra các dấu hiệu bất thường.
b.Chức năng của IDS
- Chức năng quan trọng nhất à: Giám sát – Cảnh báo – ảo vệ:
• Giám sát: thực hiện giám sát lưu lượng mạng và các hoạt động khả nghi.
• Cảnh báo: báo cáo về tình trạng mạng cho hệ thống và nhà quản trị.
• Bảo vệ: sử dụng những thiết lập mặc định và cấu hình từ nhà quản trị
để có những hành động tương ứng phù hợp chống lại kẻ xâm nhập và
phá hoại.
c. Kiến trúc chung của hệ thống IDS
Kiến trúc chung của hệ thống IDS được mơ tả theo hình 2.2 dưới đây:
Thơngtin
sựkiện

Chínhsách
thu thập
thơngtin

Thiết ập
sựkiện

Hệthống
phântích

Hệthống
thơngtin

Thuthậpthơngtin


Hệthốngđáp
trả

Chínhsách
pháthiện

Phảnứng

Hình 2.2 Kiến trúc chung của ID [9]

Chínhsách
phảnứng


11

Trong đó:
 Thành phần thu thập gói tin (Information collection)
Thành phần thu nhập gói tin nhận các gói tin từ nhiều kiểu giao diện như
Ethernet, Slip và tiền xử lý gói tin thành dạng mà thiết bị phân tích có thể sử
dụng được.
 Thành phần phân tích gói tin (Detection)
Thành phần phân tích gói tin là thành phần thực hiện tìm kiếm, đối sánh
các dấu hiệu, chữ ký đột nhập, hoặc hồ sơ các hành vi bình thường trên các gói
cần kiểm tra.
Đối với mơ hình phát hiện đột nhập dựa trên dấu hiệu: so sánh hành vi
hiện tại thu được với tập CSD các dấu hiệu, nếu có sự trùng hợp thì chứng t
hành vi hiện tại là một vụ đột nhập.
 Thành phần phản hồi (Response)
Phụ thuộc vào kết quả của thành phần phân tích gói tin, gói tin được

chuyển đi nếu không phát hiện dấu hiệu đột nhập hoặc bất thường. Ngược lại,
nếu phát hiện dấu hiệu đột nhập hoặc bất thường, gói tin có thể bị chặn lại,
đồng thời một cảnh báo cho người quản trị được tạo ra.
d.Phân loại IDS
Cách thông thường nhất để phân loại IDS là dựa vào đặc điểm của nguồn dữ
liệu thu thập được. Trong trường hợp này, các hệ thống IDS được chia thành
các loại sau:
Host-Based IDS (HIDS): Sử dụng dữ liệu giám sát từ một máy đơn để phát
hiện xâm nhập.
Network-based IDS (NIDS): Sử dụng dữ liệu giám sát trên toàn bộ lưu
lượng mạng, hoặc phân đoạn mạng để phát hiện xâm nhập.
2.1.2. IPS
a. Khái niệm IPS
Hệ thống IPS (Intrusion Prevention System) là một kỹ thuật an ninh mới,
kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập
IDS, có khả năng phát hiện sự xâm nhập, các cuộc tấn công và tự động ngăn
chặn các cuộc tấn cơng đó.
IPS khơng đơn giản chỉ dị các cuộc tấn cơng, chúng có khả năng ngăn
chặn các cuộc hoặc cản trở các cuộc tấn cơng đó. Chúng cho phép tổ chức ưu


12

tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập. Phần lớn hệ thống IPS
được đặt ở vành đai mạng, dủ khả năng bảo vệ tất cả các thiết bị trong mạng.
b. Chức năng của IPS
Chức năng IPS mơ tả như là kiểm tra gói tin, phân tích có trạng thái, ráp
lại các đoạn, ráp lại các TCP-segment, kiểm tra gói tin sâu, xác nhận tính hợp lệ
giao thức và thích ứng chữ ký. Các giải pháp IPS là nhằm mục đích bảo vệ tài
nguyên, dữ liệu và mạng. Chúng sẽ làm giảm bớt những mối đe doạ tấn cơng

bằng việc loại b những lưu lượng mạng có hại hay có ác ý trong khi v n cho
phép các hoạt động hợp pháp tiếp tục. Mục đích ở đây là một hệ thống hồn hảo
và khơng có những báo động giả nào làm giảm năng suất người dùng cuối và
khơng có những từ chối sai nào tạo ra rủi ro quá mức bên trong môi trường.
c. Kiến trúc chung của các hệ thống IPS
Một hệ thống IPS được xem là thành công nếu chúng hội tụ được các yếu
tố: thực hiện nhanh, chính xác, đưa ra các thơng báo hợp lý, phân tích được
tồn bộ thơng lượng, cảm biến tối đa, ngǎn chặn thành cơng và chính sách quản
lý mềm dẻo. Hệ thống IPS gồm 3 modul chính: modul phân tích luồng dữ liệu,
modul phát hiện tấn cơng, modul phản ứng.
d.Phân loại hệ thống IPS
Có hai kiểu kiến trúc IPS chính là IPS ngồi luồng và IPS trong luồng.
- IPS ngoài luồng(Promiscuous Mode IPS)
- IPS trong luồng (In-line IPS)
2.2. Cách phát hiện các kiểu tấn công thông dụng của ID hiện nay
2.2.1. Tấn công từ chối dịch vụ (Denial of Service attack)
Kiểu tấn công từ chối dịch vụ DoS có mục đích chung là đóng băng hay
chặn đứng tài nguyên của hệ thống đích. Cuối cùng, mục tiêu trở nên không thể
tiếp cận và không thể trả lời.
2.2.2. Quét và thăm dò (Scanning và Probe)
ộ quét và thăm dị tự động tìm kiếm hệ thống trên mạng để xác định
điểm yếu. Tuy các công cụ này được thiết kế cho mục đích phân tích để phịng
ngừa, nhưng chúng có thể được sử dụng để gây hại cho hệ thống. Các cơng cụ
qt và thăm dị bao gồm SATAN, ISS Internet Scanner, NETA CyberCop,
Asmodeus, và AXENT NetRecon.


13

2.2.3. Tấn cơng vào mật mã (Password attack)

Có 3 phương thức tiếp cận đối với kiểu tấn công Passwork attack. Kiểu
dễ nhận thấy nhất là lấy trộm mật mã, mang lại quyền hành và tính linh động
cao nhất cho kẻ tấn cơng có thể truy nhập tới mọi thơng tin tại mọi thành phần
trong mạng. Đốn hay bẻ khóa mật mã là phương thức tiếp cận được gọi là
brute force bằng cách thử nhiều mật mã để mong tìm được mật mã đúng.
2.2.4. Chiếm đặc quyền (Privilege-grabbing )
Dưới đây là một số kỹ thuật thường dùng cho việc chiếm đặc quyền:
- Đốn hay bẻ khóa của root hay administrator.
- Gây tràn bộ đệm.
- Khai thác registry trên windows.
- Truy nhập và khai thác console đặc quyền.
- Thăm dò file, scrip hay các l i của hệ điều hành và ứng dụng.
2.2.5. Cài đặt mã nguy hiểm (Hostile code insertion)
Một số loại tấn cơng có thể cài đặt mã nguy hiểm vào hệ thống. Mã này
có thể lấy trộm dữ liệu, gây từ chối dịch vụ, xóa file, hay tạo backdoor cho lần
truy nhập trái phép tiếp theo.
2.2.6. Hành động phá hoại trên máy móc (Cyber vandalism)
Cyber Vandalism bao gồm: thay đổi trang web, applet, xóa file, phá block
khởi động và chương trình hệ điều hành, format ổ đĩa.
2.2.7. Ăn trộm dữ liệu quan trọng (Proprietary data theft)
Mặc dù hơn 80% các cuộc tấn công liên quan đến thông tin quan trọng
đều xảy ra ngay trong tổ chức đó, số các cuộc tấn cơng từ bên ngồi đã liên tục
tăng trong một vài năm qua. Ngồi việc tăng cường chính sách bảo mật trong
hệ thống, các tổ chức cần phải xác định rằng việc tăng các liên kết cũng làm
tăng sự nguy hiểm với các dữ liệu quan trọng như việc sao chép dữ liệu, nghe
trộm việc truyền nhằm lấy dữ liệu quan trọng.
2.2.8. Gian lận, lãng phí và lạm dụng (Fraud, waste, abuse)
Gian lận, lãng phí và lạm dụng tài nguyên máy tính và vấn đề liên quan
đến kinh tế trong thời kỳ hiện nay. Gian lận liên quan đến việc chuyển tiền bất
hợp pháp, trộm số credit card, can thiệp vào tài khoản nhà băng, và thao túng

chương trình kiểm tra viết (check writing). ãng phí và lạm dụng xảy ra khi tài
nguyên được sử dụng (tình cờ hay chủ đích) cho các cơng việc đi ngược lại với
mục đích của tổ chức.


14

2.2.9. Can thiệp vào biên bản (Audit trail tampering)
Trong hầu hết các thông tin tạo nên từ các hành động của người dùng được
ghi trong các audit trail riêng của hệ thống của đơn vị. Can thiệp vào biên bản
là cách được ưa thích để loại b hay che dấu vết. Có thể liệt kê một số các
phương thức hacker thường dùng để tấn công vào audit trail và che dấu vết:
- Audit Deletion: xóa biên bản, khi đã vào được hệ thống.
- Deactivation: ngừng tiến trình ghi sự kiện lên audit trail.
- Modification: sửa sự kiện mà nó ghi nhận được trước khi thoát kh i hệ
thống.
- Flooding: tạo ra các sự kiện làm nhiễu để ngụy trang cho dấu vết tấn
công.
2.2.10. Tấn công hạ tầng bảo mật (Security infrastructure attack)
Có nhiều loại tấn cơng can thiệp vào việc điều khiển cơ bản của cơ sở hạ
tầng bảo mật, như tạo tường lửa trái phép, chỉnh sửa tài khoản của người dùng
hay router, hay thay đổi quyền của file.
2.3.Các kỹ thuật phát hiện đột nhập mạng trên điện toán đám mây
2.3.1. Các kỹ thuật dựa trên phương pháp phát hiện sự lạm dụng
Phương pháp phát hiện dựa trên sự lạm dụng có bốn kỹ thuật thường
được sử dụng, bao gồm: Kỹ thuật đối sánh m u, kỹ thuật dựa trên tập luật, kỹ
thuật dựa trên trạng thái, và kỹ thuật dựa trên khai phá dữ liệu.

Hình 2.7. Mơ hình phát hiện dựa trên sự ạm dụng [7]
2.3.2. Các kỹ thuật dựa trên phương pháp phát hiện sự bất thường

Phương pháp phát hiện dựa trên sự bất thường được chia thành các kỹ
thuật chính như sau: kỹ thuật mơ hình thống kê mở rộng, kỹ thuật dựa trên mơ
hình luật, kỹ thuật dựa trên mơ hình sinh học và kỹ thuật dựa trên mơ hình học.
2.3.3. Kỹ thuật phát hiện dựa trên đặc trưng
Phương pháp phát hiện dựa trên đặc trưng tập trung vào xây dựng các
hành vi đặc trưng dựa trên các quy tắc quyền tối thiểu. Một trình tự thực hiện


15

thực hiện của đối tượng vi phạm các đặc trưng của một chương trình sẽ được
coi như một cuộc tấn cơng. Về mặt lý thuyết, cách tiếp cận này có thể phát hiện
các cuộc tấn cơng vơ hình. Tuy nhiên, xác định các hành vi của một số lượng
các chương trình chạy trong mơi trường hệ điều hành thực là một nhiệm vụ rất
khó khăn.
2.3.4. Kỹ thuật phát hiện lai
Thay vì kết hợp kỹ thuật phát hiện dựa trên dấu hiệu và kỹ thuật phát hiện
dựa trên sự bất thường, một số hệ thống lai khác kết hợp nhiều hệ thống phát
hiện bất thường theo một số tiêu chí phát hiện cụ thể. Mục tiêu chính của một
hệ thống lai như vậy là để giảm số lượng các cảnh báo sai được tạo ra bởi các
phương pháp phát hiện bất thường hiện nay và đồng thời giữ tỷ lệ phát hiện
đúng ở mức chấp nhận được. 2.4. Một số giải thuật học dùng trong phân oại
phát hiện xâm nhập mạng
2.4.1. Giải thuật C4.5
Giải thuật C4.5 là sự kế thừa của của thuật toán học máy bằng cây quyết
định dựa trên nền tảng là kết quả nghiên cứu của HUNT và các cộng sự của ông
trong nửa cuối thập kỷ 50 và nửa đầu những năm 60 (Hunt 1962).
Kh ng định này sẽ được chứng minh qua kết quả thực nghiệm trên mơ
hình phân lớp C4.5:
Có thể thấy ứng dụng của giải thuật C4.5 trong phát hiện xâm nhập mạng

được chia thành ba giai đoạn:
Giai đoạn 1: Xây dựng cây quyết định
Cây giải thuật C4.5 tạo ra một cây quyết định từ dữ liệu huấn luyện nhất định.
Input: m u đào tạo thiết T, các bộ sưu tập các thuộc tính ứng cử viên và
danh sách các thuộc tính.
Output: Một cây quyết định. Tạo một gốc nút N;
Giai đoạn 2: Giải nén quy tắc phân loại đối với cây quyết định, m i nhánh đại
diện cho một thành phần kiểm tra, và m i nút lá đại diện phân phối danh mục,
chủng loại. Chúng ta chỉ cần làm theo mọi đường đi từ nút gốc đến nút lá, sự
kết hợp của m i thuộc tính có giá trị cấu thành tiền đề của quy tắc, và các nút lá
tạo thành những hệ quả của quy tắc. Vì vậy, cây quyết định có thể dễ dàng được
chuyển đổi thành quy tắc IF-THEN.
Giai đoạn 3: Xác định hành vi của mạng đối với hành vi mạng mới, xác
định xem nó xen hoặc khơng theo quy tắc phân loại.


16

2.4.2. Giải thuật Naive Bayes (NB)
Giải thuật ayes cho phép tính xác suất xảy ra của một sự kiện ng u
nhiên A khi biết sự kiện liên quan đã xảy ra. Xác suất này được ký hiệu là
P(A| ), và đọc là "xác suất của A nếu có ". Đại lượng này được gọi xác suất
có điều kiện hay xác suất hậu nghiệm vì nó được rút ra từ giá trị được cho của
hoặc phụ thuộc vào giá trị đó.
2.4.3. Giải thuật Support Vector Machine
Giải thuật Support Vector Machine (SVM) sử dụng thuật toán học nhằm
xây dựng một siêu ph ng làm cực tiểu hoá độ phân lớp sai của một đối tượng
dữ liệu mới. Độ phân lớp sai của một siêu ph ng được đặc trưng bởi khoảng
cách bé nhất tới siêu ph ng đấy. SVM có khả năng rất lớn cho các ứng dụng
được thành công trong bài toán phân lớp văn bản. Như đã biết, phân lớp văn

bản là một cách tiếp cận mới để tạo ra tập phân lớp văn bản từ các m u cho
trước. Cách tiếp cận này phối hợp với sự thực thi ở mức độ cao và hiệu suất
cùng với những am hiểu về mặt lý thuyết, tính chất thơ ngày càng được hồn
thiện. Thơng thường, hiệu quả ở mức độ cao khơng có các thành phần suy
nghiệm. Phương pháp SVM có khả năng tính tốn sẵn sàng và phân lớp, nó trở
thành lý thuyết học mà có thể chỉ d n những ứng dụng thực tế trên toàn cầu.
2.4.4. Giải thuật Random Forest
Giải thuật Random Forest (rừng ng u nhiên) là phương phân lớp thuộc
tính được phát triển bởi eo reiman tại đại học California, erkeley. Về bản
chất RF sử dụng kỹ thuật có tên gọi là bagging. Kỹ thuật này cho phép lựa chọn
một nhóm nh các thuộc tính tại m i nút của cây phân lớp để phân chia thành
các mức tiếp theo. Do đó, RF có khả năng phân chia khơng gian tìm kiếm rất
lớn thành các khơng gian tìm kiếm nh hơn, nhờ thế thuật tốn có thể thực hiện
việc phân loại một cách nhanh chóng và dễ dàng.
2.5. Tổng kết chƣơng 2
Trong chương 2 này, luận văn đã đi phân tích chi tiết, cụ thể các kỹ thuật
phát hiện xâm nhập trên điện toán đám mây như: kỹ thuật phát hiện dựa vào
dấu hiệu bất thường, kỹ thuật phát hiện dựa trên đặc trưng, kỹ thuật dựa trên
phương pháp phát hiện phát hiện sự lạm dụng. Từ đó tác giả đề xuất và phân
tích một số giải thuật học dùng trong phát hiện xâm nhập mạng và làm cơ sở
xây dựng ứng dụng chọn ra phương pháp hoặc thuật toán cho chương 3.


17

CHƢƠNG 3:ĐỀ XUẤT GIẢI PHÁP PHÁT HIỆN VÀ PHÕNG CHỐNG
XÂM NHẬP TRÊN ĐIỆN TOÁN ĐÁM MÂY
Nội dung của chương 3 này, luận văn đưa ra một số yêu cầu bài tốn
phát hiện xâm nhập, trên cơ sở đó tập trung nghiên cứu nêu ra giải pháp và xây
dựng kịch bản thực nghiệm ứng dụng và với mã nguồn snort để thực nghiệm

phát hiện xâm nhập mạng trên điện toán đám mây.
3.1.Các yêu cầu của hệ thống phát hiện xâm nhập mạng trên điện toán
đám mây
Phát hiện được các cuộc tấn cơng mạng một cách chính xác. Một hệ
thống phát hiện xâm nhập mạng có độ chính xác cao sẽ bảo vệ tốt hơn an toàn
cho hệ thống đồng thời giảm được những bất lợi do việc báo động sai của hệ
thống phát hiện xâm nhập gây ra. Ngồi ra cịn phát hiện sớm các cuộc tấn công
mạng bất hợp pháp hoặc có khả năng ngăn chặn các địa chỉ IP hoặc các
website, cũng như các cuộc tấn công mạng từ bên ngoài và h trợ tốt cho người
quản trị trong vấn đề cảnh báo các nguy cơ và rủi ro từ mạng.
- Thu thập dữ liệu trên mạng.
- Tiền xử lý dữ liệu.
- Giải nén dữ liệu.
- Chọn lựa thuộc tính.
- Xây dựng bộ phân lớp.
3.2. Đề xuất một số mã nguồn m trong triển khai và phát hiện xâm nhập
mạng trái phép trên điện tốn đám mây
Hiện nay có rất nhiều mã nguồn mở để có thể triển khai điện toán đám
mây, trong luận văn này tác giả chọn mã nguồn mở Openstack làm triển khai
điện toán đám mây và mã nguồn mở Snort dùng để thực nghiệm trên mơi
trường điện tốn đám mây:
3.2.1. Mã nguồn mở Openstack
a. Giới thiệu Openstack
OpenStack là một dự án nguồn mở cộng đồng cho việc phát triển ĐTĐM
phù hợp với các nhà cung cấp (Cloud Providers) cũng như người dùng (Cloud
Customers) được phát triển bởi Rackspace Hosting và Nasa. OpenStack bao
gồm 3 dự án chính:


18


+ OpenStack Compute (để triển khai việc quản lý và chỉ định tài nguyên
cho các instances ảo).
+ OpenStack Object Storage (thực thi việc lưu trữ, backup).
+ OpenStack Image Service (đảm nhận việc phát hiện, đăng ký, truyền tải
dịch vụ cho các images disk ảo).
b. Kiến trúc của Openstack
Kiến trúc của nguồn mở Openstack bao gồm các thành phần
chính :Dashboard; Nova; Glance; Swift; Neutron; Cinder; Heat; Ceilometer;
Keystone
c. Cài đặt môi trường điện toán đám mây với mã nguồn mở Openstack
Để triển khai được mã nguồn mở Openstack, ta phải tiến hành cài đặt và
cấu hình được trên 3 máy server như: Controller; Compute và lock1 theo mơ
hình sau :
Internet

Controller

Compute1

Block1

Management Network

Hình 3.11: Mơ hình cài đặt và triển khai hệ thống
3.2.2. Mã nguồn mở Snort
a.Giới thiệu về Snort
Snort là một hệ thống phát hiện và phòng chống xâm nhập [9, 13] và là
mã nguồn mở được đóng gói thành nhiều sản phẩm phù hợp cho từng doanh
nghiệp được phát triển do công ty Sourcefire điều hành bởi Martin Roesch.

Snort hiện nay đang là công nghệ IDS/IPS được triển khai rộng rãi trên toàn thế
giới.


19

Snort là một ứng dụng bảo mật hiện đại với ba chức năng chính: nó có thể
phục vụ như là một bộ phận lắng nghe gói tin, lưu lại thơng tin gói tin hay là
một hệ thống phát hiện xâm nhập mạng (NIDS). Ngồi ra cịn có rất nhiều
chương trình add-on cho Snort để có thể quản lý các file log, các tập luật và
cảnh báo cho quản trị viên khi phát hiện sự xâm nhập hệ thống. Tuy không phải
là phần lõi của Snort nhưng những thành phần này cung cấp rất nhiều tính năng
phong phú để có một hệ thống phát hiện và phòng chống xâm nhập tốt.
b.Kiến trúc và cơ chế hoạt động của Snort
Snort bao gồm nhiều thành phần, với m i phần có một chức năng riêng.
Các phần chính đó là:
- Module giải mã gói tin (Packet Decoder).
- Module tiền xử lý (Preprocessors).
- Module phát hiện (Detection Engine).
- Module log và cảnh báo (Logging and Alerting System).
- Module kết xuất thông tin (Output Module).
c.Thành phần và chức năng của Snort
 Module giải mã gói tin (Packet Decoder).
 Module tiền xử lý (Preprocessors).
 Module phát hiện (Detection Engine).
 Module log và cảnh báo (Logging and Alerting System).
 Module kết xuất thông tin (Output module).
3.3Xây dựng giải pháp ngăn chặn và phòng chống xâm nhập trái phép trên
điện tốn đám mây
3.3.1. Mơ hình triển khai

Trong mơ hình này nếu hacker tấn cơng từ bên ngồi vào thì trước tiên
chúng phải đi qua Firewall và hệ thống phân tích các gói tin IDS. Vấn đề quan
trọng hơn, nguy hiểm hơn chính là những kẻ tấn cơng từ bên trong. Với hệ
thống này chúng ta tiến hành tấn công giả lập từ bên ngoài vào hệ thống
Firewall và IDS, kết quả thu được ta sẽ lần lượt được trình bày bên dưới.


20

Hình 3.20. Mơ hình tổng quan
Xây dựng 2 hệ thống mạng để kết nối với nhau thông qua một Router là
mạng nội bộ và mạng ngoài:
- Đối với mạng nội bộ (internal) hay còn gọi là Private cloud: xây dựng
dải mạng: 192.168.10.0/24; trong dải mạng này, tác giả tạo ra 01 máy
chủ với hệ điều hành Cirros và 01 hệ điều Ubuntu kết hợp với một số
máy PC1, PC2. Mục đích để kiểm chứng và kết nối liên thơng trong
mạng nội bộ với nhau.
- Đối với mạng ngoài (external) hay còn gọi là Public cloud: xây dựng dải
mạng: 192.168.164.0/24 dùng để kết nối từ mạng trong ra ngoài mạng
internet.
Sau khi thiết lập xong hệ thống mạng, ta có thể xem hình trong giao diện
web trong Dashboad theo sơ đồ Hình 3.4 sau:


21

Hình 3.21: Mơ hình triển khai hệ thống
3.3.2.Kịch bản phát hiện xâm nhập mạng trái phép trên môi trường điện tốn
đám mây
 Kịch bản 1: Phát hiện có kẻ tấn công đang quét mạng (scan port) hoặc đang

ping đến máy chủ.
Để triển khai hệ thống phát hiện xâm nhập mạng trái phép, trên hệ thống
mạng nội bộ, ta cài đặt một hệ điều hành Ubuntu với mã nguồn mở Snort, sau
đó dùng địa chỉ IP của máy ngồi để ping vào hệ thống mạng với địa chỉ IP:
192.168.164.202.
- Bƣ c 1: Trên máy tấn công Hacker và thực hiện scan port hoặc ping đến
máy cần tấn công bằngđịa chỉ IP: 192.168.164.202.
- Bƣ c 2: Cấu hình luật và bộ tiền xử lý dữ liệu Procensors trong snort
Xây dựng luật trên Snort để phát hiện xâm nhập mạng
sudo nano /etc/snort/rules/local.rules
alert icmp any any -> $HOME_NET any (msg:"Tan cong kieu ICMP";
sid:10000001; rev:001;)
Sau đó chạy luật để phát hiện:
sudo snort -A console -q -i eth0 -u snort -g snort -c /etc/snort/snort.conf
Kết quả giao diện Snort phát hiện xâm nhập trái phép mạng bị tấn công:


22

Hình 3.23: Giao diện hệ thống phát hiện xâm nhập mạng trái phép
 Kịch bản 2: Phát hiện có kẻ tấn công bằng Remote Desktop
- Bƣ c 1: Trên máy tấn cơng Hacker, chạy Remote Desktop Connection

Hình 3.24: Giao diện Remote Desktop tấn cơng
- Bƣ c 2: Cấu hình luật và bộ tiền xử lý dữ liệu Procensors trong snort
- Bƣ c 3: Khởi động snort ở chế độ ase để kiểm tra hệ thống phát hiện
xâm nhập


23


Hình 3.25: Hệ thống snort phát hiện tấn cơng Remote Desktop
3.3.3.Đánh giá chung kết quả sau khi thửnghiệm
Thông qua mã nguồn mở Snort và giao diện của Snort là ase, ta có thể
ghi lại các trạng thái của những địa chỉ IP tấn công đến máy chủ như: địa chỉ
của kẻ tấn công, thời gian thực hiện, phương thức thực hiện, tổng số địa chỉ
máy tấn công hoặc tổng số địa chỉ của máy bị tấn công.
Qua hai phương pháp mơ ph ng trên, ta có thể nhận thấy ở phương pháp
thực nghiệm 1 khi có kẻ tấn cơng bằng cách Ping hoặc dùng nhiều địa chỉ IP
tấn công đến, thì trạng thái của Snort phát hiện được và ghi nhận ở kiểu tấn
cơng ICMP, cịn ở phương pháp thực nghiệm 2 khi kẻ tấn công dùng cách điều
khiển từ xa hoặc có thể truy cập web thì trạng thái của Snort phát hiện và ghi
nhận được ở kiểu tấn công TCP.
3.4. Tổng kết chƣơng 3
Nội dung của chương 3, tác giả tập trung đi vào xây dựng ứng dụng lý
thuyết của những chương trước, như đi triển khai môi trường điện toán đám
mây bằng mã nguồn mở Snort, xây dựng mơ hình thực nghiệm với mã nguồn
mở Snort để làm thực nghiệm chính cho luận văn, thơng qua đó có thể chứng
minh được hệ thống phát hiện và ngăn chặn xâm nhập mạng trên mơi trường
điện tốn đám và cơ sở cho người quản trị sớm đưa ra những giải pháp an tồn
khi sử dụng mơi trường điện tốn đám mây.


24

KẾT LUẬN
Việc nghiên cứu và đưa ra giải pháp phát hiện xâm nhập trái phép trên
điện toán đám mây, đề tài tập trung tìm hiểu chun sâu về cơng nghệ điện tốn
đám mây như: kiến trúc, mơ hình triển khai và mơ hình dịch vụ của điện tốn
đám mây, những ưu nhược điểm của nó. Kết quả của luận văn đã thực hiện

được các nội dung sau:
- Nghiên cứu tổng quan về điện toán đám mây
- Nghiên cứu về kiến trúc hệ thống và các kỹ thuật phát hiện xâm nhập
mạng trên mơi trường điện tốn đám mây
- Nghiên cứu một số giải thuật học trong phát hiện xâm nhập mạng như:
giải thuật học C4.5, giải thuật Naïve ayes, giải thuật Support Vector
Machine và giải thuật Random Forest.
- Triển khai mơi trường điện tốn đám mây thật với mã nguồn mở
Openstack
- Xây dựng mơ hình mơi trường mạng trên điện tốn đám mây.
- Thử nghiệm thành cơng hệ thống phát hiện xâm nhập mạng bằng mã
nguồn mở Snort.
Trên cơ sở đó đi nghiên cứu các phương pháp xâm nhập mạng trái phép
trên điện tốn đám mây và tìm hiểu một số giải pháp áp dụng chống xâm nhập,
cũng như nghiên cứu một số giải thuật học được áp dụng trong phát hiện xâm
nhập mạng, từ đó xây dựng một số lựa chọn hay giải pháp phát hiện xâm nhập
mạng cho luận văn và cuối cùng ứng dụng giải thuật học Support Vector
Machine (SVM) với mã nguồn mở Snort để kiểm nghiệm cũng như đưa ra giải
pháp cho hệ thống để đảm bảo an tồn thơng tin cho mơi trường điện tốn đám
mây.
Trong tƣơng ai, uận văn có thể đƣợc phát triển theo các hƣ ng sau:
- Triển khai cụ thể các phương pháp phát hiện xâm nhập mạng bằng các giải
thuật học đã được phân tích trong chương 2.
- Đi sâu nghiên cứu phương pháp phát hiện đột nhập lai có khả năng kết hợp
nhiều nguồn dữ liệu và các kỹ thuật phát hiện.



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×