HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA KỸ THUẬT ĐIỆN TỬ 1

BÁO CÁO BÀI TẬP LỚN BỘ MÔN
MẠNG CẢM BIẾN
ĐỀ TÀI: NGHIÊN CỨU ỨNG DỤNG SVM TRONG HỆ THỐNG
IDS MẠNG CẢM BIẾN

Giảng viên bộ mơn: Trần Thị Thanh Thủy
Nhóm thực hiện: Nhóm 03
Đinh Đức Duy
Nguyễn Xuân Dương
Nguyễn Tuấn Đạt
Tạ Đức Duy
Nguyễn Văn Dưỡng

B20DCDT035
B20DCDT041
B19DCDT052
B20DCDT038
B20DCDT043

HÀ NỘI, 11 / 2023

---⁃⁃⁃⁃‹‹‹﴾֍﴿›››⁃⁃⁃⁃›››⁃⁃⁃⁃---


BẢNG PHÂN CHIA CÔNG VIỆC
Họ và tên

Mã SV

Đinh Đức Duy

B20DCDT035

Tạ Đức Duy

B20DCDT038

Nguyễn Xuân Dương

B20DCDT041

Nguyễn Văn Dưỡng

B20DCDT043

Nguyễn Tuấn Đạt

B19DCDT052

2

Công việc
Chương 1, Word
Chương 3, Code
Chương 2
Chương 3, Powerpoint
Chương 2, Thuyết trình



LỜI CẢM ƠN
Trước tiên, nhóm chúng em xin được chân thành gửi lời cảm ơn đến cô
Trần Thị Thanh Thủy người đã tận tình chỉ dạy cho chúng em những kiến thức
từ tổng quát nhất về ngành Công nghệ Kỹ thuật Điện – Điện tử nói chung đến
chuyên sâu hơn trong mơn học Mạng cảm biến nói riêng. Đồng thời, cô đã trao
cho chúng em những hiểu biết liên quan giúp chúng em có cái nhìn rõ ràng hơn
về mơn học.
Thơng qua bài tập lớn lần này, nhóm chúng em đã tìm tịi, học hỏi và
nâng cao được những kiến thức vơ cùng bổ ích cho bản thân. Khơng những vậy,
kỹ năng làm việc nhóm và giao tiếp, cịn có khả năng đọc hiểu tài liệu nước
ngoài cùng kĩ năng chọn lọc thông tin của chúng em cũng được nâng cao hơn
trước rất nhiều. Nhà trường và cô đã tạo điều kiện cho chúng em được học môn
Mạng cảm biến, một môn học quan trọng và thiết thực đối với sinh viên khoa
Điện tử cũng như là môn học nền tảng để trở thành một Kỹ sư Điện tử sau này.
Mặc dù đã trải qua và giải quyết được phần lớn những khó khăn, nhưng
do kiến thức cịn hạn chế nên trong bài tập lớn này, nhóm em cảm thấy vẫn cịn
nhiều thiếu sót về nội dung và hình thức nếu phải đem ra so sánh với những đề
tài hay dự án mang tính chun nghiệp khác. Vì vậy, chúng em hy vọng cơ có
thể thơng cảm và tận tình đưa ra những nhận xét quý báu để nhóm em có thể
tiếp thu, rút kinh nghiệm và trở nên tiến bộ hơn trong những bài tập tương tự,
hay lớn hơn là những lần nghiên cứu hoặc thiết kế các mô hình về sau sao cho
chúng trở nên tồn diện nhất có thể.
Một lần nữa, nhóm em xin được chân thành kính gửi lời cảm ơn tới cơ và
mong rằng sự nhiệt tình của Cơ trong giảng dạy sẽ tieepsm tục truyền cảm
hứng cho các thế hệ sinh viên tiếp theo ạ!

3



MỤC LỤ
CHƯƠNG I. GIỚI THIỆU...............................................................................................7
1.1

MẠNG CẢM BIẾN TRONG CÁC ỨNG DỤNG THỰC TẾ.............................................7

1.1.1 Giới thiệu về Mạng cảm biến.............................................................................7
1.1.2 Đặc điểm của mạng cảm biến............................................................................8
1.1.3 Cấu trúc của mạng cảm biến..............................................................................8
1.1.4 Ứng dụng của mạng cảm biến.........................................................................11
1.2

TÍNH BẢO MẬT MẠNG CẢM BIẾN VÀ HỆ THỐNG IDS.........................................12

1.2.1 Nguy cơ và thách thức trong mạng cảm biến..................................................12
1.2.2 Các phương thức tấn công trong mạng cảm biến...........................................13
1.2.3 Hệ thống xâm nhập mạng (IDS)......................................................................14
CHƯƠNG II. NGHIÊN CỨU THUẬT TỐN SVM...................................................21
2.1 Thuật tốn SVM (Support Vector Machine)...........................................................21
2.1.1 Khái niệm...........................................................................................................21
2.1.2 Phương thức hoạt động của SVM:...................................................................21
2.1.3 Tiêu chí vẽ và xác định Hyper-plane:...............................................................23
2.2 BIẾN THỂ CỦA SVM................................................................................................27
2.2.1 Biến thể của SVM và cách áp dụng biến thể SVM..........................................27
2.3 ƯU ĐIỂM VÀ NHƯỢC ĐIỂM CỦA SVM....................................................................28
2.3.1 Ưu điểm..............................................................................................................28
2.3.2 Nhược điểm.......................................................................................................29
CHƯƠNG III. IDS SỬ DỤNG THUẬT TOÁN SVM..................................................30
3.1 Giới thiệu về Bộ dữ liệu KDD-99. 3.1.1 Khái niệm...............................................30
3.1.2 Các lớp tấn công KDD-99.................................................................................31

3.2 THỰC NGHIỆM VÀ KẾT QUẢ....................................................................................32
3.2.1 Mơi trường mơ phỏng q trình thực nghiệm.................................................32
4


3.2.2 Hướng dẫn cài đặt Google colab......................................................................35
3.3 XÂY DỰNG VÀ TRIỂN KHAI THUẬT TOÁN SVM TRÊN GOOGLE COLAB...............37
3.3.1 Khai báo thư viện..............................................................................................37
3.3.2 Đọc dữ lệu từ bộ dữ liệu KDD-99.....................................................................38
3.3.3 Tiền xử lý và loại bỏ các giá trị trùng lặp........................................................38
3.3.4 Xây dựng mơ hình SVM và training................................................................38
3.3.5 Đánh giá mơ hình và báo cáo...........................................................................39
3.3.6 Kết quả thực nghiệm.........................................................................................39

5


DANH MỤC HÌNH ẢNH
Hình 1: Tổng quan mạng cảm biến......................................................................................7
Hình 2: Cấu trúc mạng cảm biến.........................................................................................9
Hình 3: Thành phần nút cảm biến........................................................................................9
Hình 4: Các phương thức tấn công mạng..........................................................................13
Hình 5: Định nghĩa IDS.....................................................................................................14
Hình 6:DS mẫu. Thu hẹp bề rộng tương ứng với số lượng...............................................15
Hình 7: Kiến trúc của một hệ thống phát hiện xâm nhập..................................................15
Hình 8: NIDS và HIDS......................................................................................................17
Hình 9: Phương thức hoạt dộng hệ thống IDS...................................................................19
Hình 10: Các điểm gần mặt phân cách nhất của hai classes được khoanh tròn................21
Hình 11: Identify the right hyper-plane (Scenario-1)........................................................23
Hình 12: Identify the right hyper-plane (Scenario-2)........................................................23

Hình 13: Identify the right hyper-plane (Scenario-3)........................................................24
Hình 14: Can we classify two classes (Scenario-4)-1........................................................25
Hình 15: Can we classify two classes (Scenario-4) -2.......................................................25
Hình 16: Find the hyper-plane to segregate to classes (Scenario-5)-1..............................26
Hình 17: Find the hyper-plane to segregate to classes (Scenario-5)-1..............................26
Hình 18: Các phiên bản nghiên cứu lĩnh vực IDS.............................................................30
Hình 19: Google Colab......................................................................................................32
Hình 20: Chức năng của Google Colab.............................................................................33
Hình 21: Cấu hình phần cứng Google colab......................................................................34
Hình 22: Tổng quát của Google Colab..............................................................................35
Hình 23: Tạo folder notebook trên drive...........................................................................36
Hình 24: Tọa một Colab notebook trên drive....................................................................36
Hình 25: Khởi động notebook...........................................................................................37
Hình 26: cài đặt GPU.........................................................................................................37
Hình 27: Kết quả chạy thực nghiệm..................................................................................39
6


CHƯƠNG I. GIỚI THIỆU
1.1 Mạng cảm biến trong các ứng dụng thực tế.
1.1.1 Giới thiệu về Mạng cảm biến.
Mạng cảm biến (Sensor Network) là một hệ thống gồm nhiều thiết bị
cảm biến được phân bố trong một khu vực hoặc môi trường cụ thể để thu thập,
ghi nhận và truyền tải thông tin về môi trường xung quanh. Mạng cảm biến
được thiết kế để tự động thu thập dữ liệu và gửi chúng về một trạm cơ sở hoặc
điểm tập trung để xử lý, phân tích hoặc hiển thị.

Hình 1: Tổng quan mạng cảm biến.

Mạng cảm biến chủ yếu được sử dụng để giám sát và kiểm sốt mơi

trường, và nó có nhiều ứng dụng trong nhiều lĩnh vực, bao gồm công nghiệp, y
tế, môi trường, quản lý tài nguyên, và nhiều ứng dụng khác.
7


1.1.2 Đặc điểm của mạng cảm biến.
 Đa dạng loại cảm biến: Mạng cảm biến có thể sử dụng nhiều loại cảm biến
khác nhau để đo lường các thông tin như nhiệt độ, độ ẩm, áp suất, đoạn đường,
ánh sáng, âm thanh, và nhiều yếu tố khác tùy thuộc vào ứng dụng cụ thể.
 Khả năng phân tán: Các nút cảm biến trong mạng có thể được triển khai tùy
ý trong môi trường, cho phép thu thập thông tin từ nhiều vị trí khác nhau.
 Giao tiếp khơng dây: Các nút cảm biến trong mạng thường sử dụng giao tiếp
không dây, chẳng hạn như Wi-Fi, Bluetooth, Zigbee, LoRa, hoặc các công
nghệ truyền dẫn dữ liệu không dây khác để truyền tải dữ liệu đến trạm cơ sở
hoặc hệ thống quản lý.
 Tiết kiệm năng lượng: Đa số cảm biến được thiết kế để tiết kiệm năng lượng
vì thường cần hoạt động trong thời gian dài hoặc trong các môi trường cung
cấp nguồn năng lượng hạn chế, chẳng hạn như pin hoặc năng lượng mặt trời.
 Bảo mật dữ liệu: Bảo mật dữ liệu trong mạng cảm biến là quan trọng để ngăn
ngừa truy cập trái phép, bảo vệ thông tin và ngăn chặn các cuộc tấn công
mạng.
Mạng cảm biến là một cơng nghệ quan trọng có ứng dụng rộng rãi
trong nhiều lĩnh vực, và những đặc điểm này giúp nó phù hợp cho việc thu thập
thông tin và giám sát môi trường một cách hiệu quả và linh hoạt.

1.1.3 Cấu trúc của mạng cảm biến.
Một mạng cảm biến bao gồm số lượng lớn các nút được triển khai dầy
đặc bên trong hoặc ở rất gần đối tượng cần thăm dò, thu thập thơng tin dữ liệu.
Vị trí các cảm biến khơng cần định trước vì vậy nó cho phép triển khai ngẫu
nhiên trong các vùng không thể tiếp cận hoặc các khu vực nguy hiểm. Khả năng

tự tổ chức mạng và cộng tác làm việc của các cảm biến là những đặc trưng rất
8


cơ bản. Với số lượng lớn các cảm biến được triển khai gần nhau thì truyền
thông đa liên kết được lựa chọn để công suất tiêu thụ là nhỏ nhất và mang lại
hiệu quả truyền tín hiệu tốt hơn so với truyền khoảng cách xa.

Hình 2: Cấu trúc mạng cảm biến.

Các nút cảm biến được triển khai trong một trường cảm biến. Mỗi nút
cảm biến được phát tán trong mạng có khả năng thu thập thơng số liệu, định
tuyến số liệu về bộ thu nhận (Sink) để chuyển tới người dùng và định tuyến các
bản tin mang theo yêu cầu từ nút Sink đến các nút cảm biến. Số liệu được định
tuyến về phía bộ thu nhận (Sink) theo cấu trúc đa liên kết khơng có cơ sở hạ
tầng nền tảng, tức là khơng có các trạm thu phát gốc hay các trung tâm điều
khiển. Bộ thu nhận có thể liên lạc trực tiếp với trạm điều hành của người dùng
hoặc gián tiếp thông qua Internet hay vệ tinh.

9


Hình 3: Thành phần nút cảm biến.

 Bộ cảm biến (Sensing Unit) : Bộ cảm biến là thành phần chính của một nút
cảm biến. Nó bao gồm các cảm biến để thu thập dữ liệu từ môi trường xung
quanh. Các loại cảm biến có thể bao gồm cảm biến nhiệt độ, cảm biến độ
ẩm, cảm biến áp suất, cảm biến ánh sáng, cảm biến âm thanh và các cảm
biến khác tùy thuộc vào ứng dụng cụ thể.
 Bộ xử lý (Processing Unit) : Bộ xử lý là thành phần chịu trách nhiệm xử lý

thơng tin từ các cảm biến. Nó thực hiện việc phân tích dữ liệu, quyết định
các hành động cần thực hiện, và quản lý việc gửi dữ liệu đến trạm cơ sở hoặc
trạm điều khiển. Bộ xử lý có thể kết hợp với bộ nhớ để lưu trữ dữ liệu tạm
thời và chương trình ứng dụng.
 Bộ nhớ/lưu trữ (Memory/Storage) : Bộ nhớ/lưu trữ có thể được sử dụng để
lưu trữ dữ liệu tạm thời hoặc để lưu trữ dữ liệu lâu dài, tùy thuộc vào ứng
dụng. Nó giúp nút cảm biến xử lý dữ liệu và lưu trữ thông tin quan trọng.
 Bộ thu phát (Transceiver Unit) : Bộ thu phát là thành phần quan trọng cho
việc truyền tải dữ liệu giữa các nút cảm biến và trạm cơ sở hoặc trạm điều
khiển. Nó có khả năng gửi và nhận dữ liệu thông qua kết nối không dây,
chẳng hạn như Wi-Fi, Bluetooth, Zigbee, LoRa hoặc các công nghệ truyền
dẫn dữ liệu không dây khác.
10


 Hệ thống định vị địa lý (GPS) : Hệ thống định vị địa lý (GPS) có thể được
sử dụng để xác định vị trí chính xác của các nút cảm biến trong mơi trường.
Điều này hữu ích trong việc thu thập dữ liệu và theo dõi vị trí của các nút
cảm biến.
 Bộ nguồn điện (Power Unit) : Bộ nguồn điện cung cấp năng lượng cho nút
cảm biến để hoạt động. Nguồn năng lượng có thể là pin, ắc quy hoặc nguồn
năng lượng mặt trời, tùy thuộc vào ứng dụng cụ thể và yêu cầu về tuổi thọ
của nút cảm biến. Điều này đảm bảo rằng nút cảm biến có đủ năng lượng để
hoạt động trong thời gian dài.

11


1.1.4 Ứng dụng của mạng cảm biến.
 Ứng dụng trong an ninh và quân sự : Mạng cảm biến được sử dụng trong

các ứng dụng an ninh và quân sự, bao gồm giám sát biên giới, theo dõi hoạt
động kẻ thù, và phát hiện các sự cố an ninh.
 Ứng dụng trong y tế và giám sát sức khỏe : Mạng cảm biến được sử dụng
trong lĩnh vực y tế để theo dõi sức khỏe bệnh nhân, giám sát các biểu đồ sinh
học, và theo dõi thông tin y tế quan trọng.
 Ứng dụng trong môi trường và ngành nông nghiệp : Mạng cảm biến được
sử dụng để giám sát và quản lý môi trường tự nhiên, chẳng hạn như theo dõi
chất lượng khơng khí, nước, và đất, đo lượng mưa, theo dõi thay đổi nhiệt độ
và độ ẩm, và giám sát sự biến đổi của các loài động và thực vật.
 Ứng dụng trong công nghiệp : Mạng cảm biến được sử dụng để giám sát
và bảo trì các thiết bị cơng nghiệp, như máy móc, đường ống và hệ thống
điện. Nó giúp dự đốn sự cố và giảm thiểu thời gian ngừng hoạt động.
 Ứng dụng quản lý giao thơng : Mạng cảm biến có thể được sử dụng để
giám sát và quản lý giao thông đô thị. Nó giúp xác định tình trạng lưu lượng
giao thơng, cảnh báo tắc nghẽn và cung cấp thông tin cho hệ thống dẫn
đường thông minh.
 Ứng dụng giám sát thời tiết : Mạng cảm biến được sử dụng trong dự báo
thời tiết và theo dõi các thay đổi khí hậu. Nó giúp cung cấp dữ liệu quan
trọng cho các cơ quan dự báo thời tiết và cho các ứng dụng thời tiết thông
minh.
 Ứng dụng quản lý năng lượng : Mạng cảm biến được sử dụng để theo dõi
và quản lý sử dụng năng lượng trong các hệ thống công nghiệp, tịa nhà và
các ứng dụng khác. Nó giúp tiết kiệm năng lượng và giảm thải khí nhà kính.
 Quản lý tài nguyên tự nhiên : Mạng cảm biến có thể được sử dụng để quản
lý và bảo vệ tài nguyên tự nhiên, như rừng, động vật hoang dã và đất đai.

12


1.2 Tính bảo mật mạng cảm biến và hệ thống IDS.

1.2.1 Nguy cơ và thách thức trong mạng cảm biến.
Mạng cảm biến đang trở thành một phần quan trọng trong cuộc sống
hàng ngày và các ứng dụng công nghiệp. Tuy nhiên, việc triển khai và quản lý
mạng cảm biến không phải lúc nào cũng dễ dàng. Dưới đây là một số nguy cơ
và thách thức phổ biến mà mạng cảm biến phải đối mặt :
 Bảo mật dữ liệu thông tin : Mạng cảm biến thường thu thập thông tin nhạy
cảm về môi trường hoặc dữ liệu cá nhân. Bảo mật dữ liệu tránh lộ ra ngoài
mạng hoặc bị truy cập trái phép.
 Giới hạn tài nguyên : Các nút cảm biến trong mạng thường có tài nguyên
năng lượng và xử lý hạn chế.
 Quản lý năng lượng : Quản lý năng lượng hiệu quả là một yếu tố quan
trọng trong mạng cảm biến. Tiêu tốn năng lượng không cần thiết có thể
khiến mạng gặp khó khăn hoặc ngừng hoạt động.
 Khả năng chịu tấn công : Dễ dàng trở thành mục tiêu của các tấn công
mạng. Các nguy cơ như tấn công từ chối dịch vụ (DDoS), tấn công xâm
nhập, và tấn cơng giả mạo có thể gây rủi ro lớn cho mạng.
 Điều kiện môi trường : Thường được triển khai trong môi trường khắc
nghiệt như trong rừng, dưới nước, hoặc trong các vùng khó tiếp cận. Điều
này tạo ra thách thức cho việc bảo trì và bảo vệ cảm biến khỏi các yếu tố
môi trường.
 Quản lý khóa và quyền truy cập: Đảm bảo quyền truy cập chính xác cho
các nút cảm biến và ngăn chặn việc truy cập trái phép địi hỏi quản lý khóa
và quyền truy cập chính xác.

13


1.2.2 Các phương thức tấn công trong mạng cảm biến.
Hiện nay, có vơ số các cuộc tấn cơng mạng đa dạng và tiềm ẩn đang tồn
tại trên toàn thế giới. Các kẻ tấn công luôn nỗ lực tìm ra các lỗ hổng và yếu

điểm trong các hệ thống mạng để tiến hành các hành vi độc hại. Dưới đây là
một số ví dụ về các cuộc tấn cơng mạng phổ biến và nguy cơ mà họ đem lại :

Hình 4: Các phương thức tấn công mạng.

 Tấn công giả mạo (Phishing): Tấn công giả mạo xảy ra khi kẻ tấn công giả
mạo thông tin truyền tải từ các cảm biến hoặc các nút trong mạng. Điều này
có thể dẫn đến việc nhận dữ liệu sai lệch hoặc thực hiện các hoạt động xâm
nhập.
 Tấn công trung gian (Man-in the-middle-attack): tân công nghe lén, là
hình thức tin tặc xen vào giữa phiên giao dịch hay giao tiếp giữa 2 đối tượng.
Một khi xâm nhập thành cơng, chúng có thể theo dõi được mọi hành vi của
người dùng, đánh cắp được toàn bộ dữ liệu trong giao dịch đó. Hình thức tấn
cơng này dễ xảy ra khi nạn nhân truy cập vào một mạng wifi khơng an tồn.

14


 Tấn công từ chối dịch vụ (DoS & DDoS): Tấn công DDoS xảy ra khi kẻ
tấn công gửi lưu lượng truy cập lớn đến mạng cảm biến với mục tiêu là làm
cho mạng trở nên quá tải và không thể hoạt động bình thường.
 Tấn công cơ sở dữ liệu (SQL Injection): tấn công mạng bằng cách tin tặc
giả mạo thành một tổ chức hoặc cá nhân uy tín để lấy lòng tin của người
dùng và yêu cầu họ cung cấp thông tin cá nhân cho chúng nhằm đánh cắp
các dữ liệu nhạy cảm như tài khoản ngân hàng, thẻ tín dụng...
Tấn cơng mạng là một loạt các hành vi độc hại hoặc xâm nhập vào mạng
máy tính hoặc hệ thống để gây hại hoặc truy cập thông tin trái phép. Có thể dẫn
đến việc tiết lộ thơng tin nhạy cảm, gây mất tính bảo mật, hoặc gây tình trạng
khẩn cấp trong mạng.
Để bảo vệ mạng khỏi tấn công mạng hệ thống Xâm nhập mạng (IDS)

đóng vai trị quan trọng trong việc bảo vệ mạng cảm biến khỏi tấn công. IDS
theo dõi hoạt động mạng, phát hiện sự bất thường và tấn cơng, và kích hoạt biện
pháp bảo vệ, như thông báo cho quản trị viên hoặc cắt kết nối, để đảm bảo tính
bảo mật và tồn vẹn dữ liệu trong mạng cảm biến. IDS giúp giảm thiểu rủi ro và
bảo vệ mạng cảm biến trong môi trường không an toàn.

1.2.3 Hệ thống xâm nhập mạng (IDS)
a) Tổng quan về IDS.
Hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) là hệ
thống phần cứng hoặc phần mềm có chức năng giám sát lưu thông mạng, tự
động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện
ra các vấn đề liên quan đến an ninh, bảo mật và đưa ra cảnh báo cho nhà quản
trị.

15


Hình 5: Định nghĩa IDS

 Kiến trúc IDS:

Hình 6:IDS mẫu. Thu hẹp bề rộng tương ứng với số lượng.

Cảm biến được tích hợp với thành phần chịu trách nhiệm thu thập dữ liệu
một bộ tạo sự kiện. Cách thức thu thập được xác định bởi chính sách tạo sự kiện
để xác định chế độ lọc thông tin sự kiện. Bộ tạo sự kiện (hệ điều hành, ứng
dụng, mạng) tạo ra một tập hợp các sự kiện nhất quán về chính sách có thể là
một bản ghi các sự kiện hệ thống hoặc các gói mạng. Số chính xác này được
16



thiết lập cùng với thơng tin chính sách có thể được lưu trữ trong hệ thống được
bảo vệ hoặc bên ngồi. Trong một số trường hợp nhất định, ví dụ, khi các luồng
dữ liệu sự kiện được chuyển trực tiếp đến máy phân tích mà khơng có sự lưu dữ
liệu nào được thực hiện. Điều này liên quan đến các gói mạng nói riêng.
 IDS bao gồm các thành phần chính:

Hình 7: Kiến trúc của một hệ thống phát hiện xâm nhập.

 Thành phần thu thập gói tin (Information Collection): Thành phần
này có nhiệm vụ lấy tất cả các gói tin đi đến mạng. Thơng thường, các
gói tin có địa chỉ không phải của một card mạng thì sẽ bị card mạng đó
huỷ bỏ nhưng card mạng của IDS được đặt ở chế độ thu nhận tất cả. Tất
cả các gói tin qua chúng đều được sao chụp, xử lý, phân tích đến từng
trường thơng tin. Bộ phận thu thập gói tin sẽ đọc thơng tin từng trường
trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì... Các
thông tin này được chuyển đến thành phần phát hiện tấn cơng.
 Thành phần phát hiện gói tin (Detection): Ở thành phần này, các bộ
cảm biến đóng vai trị quyết định. Vai trò của bộ cảm biến là dùng để lọc
thông tin và loại bỏ những thông tin dữ liệu khơng tương thích đạt được
từ các sự kiện liên quan tới hệ thống bảo vệ, vì vậy có thể phát hiện được
các hành động nghi ngờ.
 Thành phần phản hồi (Response): Khi có dấu hiệu của sự tấn cơng
hoặc thâm nhập, thành phần phát hiện tấn công sẽ gửi tín hiệu báo hiệu
(alert) có sự tấn cơng hoặc thâm nhập đến thành phần phản ứng. Lúc đó
thành phần phản ứng sẽ kích hoạt tường lửa thực hiện chức năng.
 Cách thức hoạt động của IDS:
17



Sau khi thu thập dữ liệu, IDS sẽ quan sát lưu lượng mạng và kết hợp các
mẫu lưu lượng truy cập đến các cuộc tấn công đã biết. Phương pháp này thường
được gọi là tương quan mẫu. Khi hoạt động đáng ngờ hoặc độc hại được phát
hiện, IDS sẽ gửi tín hiệu đến các kỹ thuật viên hoặc quản trị viên được chỉ định.
Các báo động của IDS cho phép nhanh chóng bắt đầu khắc phục sự cố và xác
định các nguồn gốc gốc hoặc truy vết và ngăn chặn các tác nhân có hại.
Các IDS chủ yếu sử dụng hai phương pháp phát hiện xâm nhập chính:
phát hiện xâm nhập dựa trên signature và phát hiện xâm nhập dựa trên các đặc
điểm bất thường. Phát hiện xâm nhập dựa trên signature được thiết kế để phát
hiện các mối đe dọa có thể xảy ra bằng cách so sánh lưu lượng truy cập mạng và
dữ liệu nhật ký cho các mẫu tấn cơng hiện có. Phát hiện dựa trên signature cho
phép phát hiện chính xác và xác định các cuộc tấn cơng đã biết có thể.
Các IDS dựa trên đặc trưng và điểm bất thường giúp cho hệ thống tăng
phạm vi phòng chống xâm nhập. Điều này thể hiện việc xác định càng nhiều
mối đe dọa sẽ càng làm tăng tính hiệu quả cho phương pháp này. IDS tồn diện
có thể phát hiện ra các kỹ thuật tránh né các mạng loại mạng ẩn, sử dụng để
đánh lừa hệ thống phịng chống xâm nhập vào suy nghĩ khơng có một cuộc tấn
cơng diễn ra. Những kỹ thuật này có thể bao gồm phân mảnh, các cuộc tấn công
băng thông thấp, giả mạo địa chỉ hoặc ủy quyền…
b) Phân loại và chức năng của IDS.
Các IDS được thiết kế để xác định hoạt động đáng ngờ và độc hại thông
qua lưu lượng mạng và IDS cho phép khai thác và kiểm tra xem hệ thống mạng
có đang bị tấn cơng hay khơng. Có hai loại IDS chính:

18


Hình 8: NIDS và HIDS.

 NIDS sử dụng bộ dị và bộ cảm biến được cài đặt trên toàn mạng để theo dõi

mạng nhằm mục đích tìm kiếm những lưu lượng trùng với những mô tả được
định nghĩa hay là những dấu hiệu.
 Ưu điểm của NIDS:
 Quản lý được cả một network segment (gồm nhiều host).
 Cài đặt và bảo trì đơn giản.\
 Tránh DoS ảnh hưởng đến một host nào đó.
 Xác định lỗi ở tầng Network (ở mô hình OSI).
 Độc lập với hệ điều hành.
 Hạn chế của NIDS:
 Báo động giả.
 Khơng thể phân tích các gói tin được mã hóa.
 Địi hỏi việc cập nhật các signature mới nhất để đảm bảo an
tồn.
 Khơng có thơng báo về việc tấn cơng có thành cơng hay
khơng.
 HIDS được sử dụng để phân tích và phát hiện xâm nhập. Đồng thời, hệ
thống báo cáo chính xác các hoạt động mà kẻ tấn công đã thực hiện, bao
gồm các câu lệnh, hoặc các tệp tin đã được mở.
 Ưu điểm của HIDS:
19


 Xác định được người dùng liên quan tới sự kiện.
 Phát hiện các cuộc tấn công diễn ra trên một máy.
 Phân tích được các dữ liệu mã hố.
 Cung cấp thông tin về host khi diễn ra tấn công.
 Hạn chế của HIDS:
 Thông tin không đáng tin cậy.
 Phải được thiết lập trên từng host cần giám sát.
 Khơng có khả năng phát hiện các cuộc dị quét mạng.

 Cần tài nguyên trên host để hoạt động.
 Không hiệu quả khi bị DoS.
Chức năng của IDS:
Hệ thống IDS bao gồm có 4 chức năng chính:
 Thu thập dữ liệu.
 Chọn lọc.
 Đặc trưng.
 Thực thi.

Hình 9: Phương thức hoạt dộng hệ thống IDS

Ở quá trình thu thập dữ liệu, các loại dữ liệu thu thập được ghi nhận lại
thành từng tập tin, sau đó được sử dụng để phân tích. Các đặc trưng cụ thể từ
20