Hệ thống phát hiện truy nhập bất thường
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (886.51 KB, 21 trang )
Học viện công nghệ bưu chính viễn thông
Khoa viễn thông I
C
H
U
Y
Ê
N
Đ
Ề
V
Ô
T
U
Y
Ế
N
1
Đề tài:
Hệ thống phát hiện truy nhập bất thường
Giáo viên hướng dẫn : Bùi Trung Hiếu
Hệ thống phát hiện truy nhập bât thường
•
Chương I : Những giả thiết
•
Chương II : Mô hình mạng và mô hình di chuyển
•
Chương III : Hệ thống phát hiện bất thường dựa vào tính di động
•
Chương IV : Kết luận
Chương I: Những giả thiết
•
Một là : hoạt động của người dùng là có thể quan sát được qua một số cơ chế,qua
một số hệ thống kiểm tra quản lý.
•
Hai là: những hoạt động thông thường hay cố ý phải biểu hiện rõ hành vi khác
biệt.
II. Mô hình mạng và mô hình di chuyển
Mô hình mạng di động tế bào
và mô hình đồ thị
Khu vực định vị trong mạng tế bào
và Graph của nó
Mô hình di chuyển
•
Sử dụng mô hình Markov bậc m, sự di chuyển của người dùng có thể được mô tả bởi chuỗi
thuộc tính C
1
, C
2
,…, C
i
•
Vị trí tương lai của người dùng ở tương lai tương quan với sự di chuyển trong quá khứ.
•
Xác suất người dùng di chuyển đến cell thực tế phụ thuộc vào vị trí hiện tại và danh sách
những cell gần đây nhất đến.
III. Hệ thống phát hiện bất thường dựa vào tính di động
Dựa trên LZ: xây dựng một cây di động từ sự di chuyển trong quá khứ của người dùng để quyết định hành
động là theo thói quen hay không
Dựa theo markov: xác suất cell tiếp theo có thể tính từ m cell trước đó.
1. Phát hiện xâm nhập dựa trên LZ
•.
LZ thuộc về kỹ thuật nén và mã hóa dựa trên từ điển.
•.
LZ8 là được sử dụng phổ biến
•.
LZ8 phân tích chuỗi S thành các chuỗi con phân biệt x
1
, x
2
,…,x
m
với đặc tính sau: với j>1, tồn tại i<j, nó
tạo lên x
j
bằng x
i
kết nối với c, trong đó c là ký tự trong bảng chữ cái
Thuật LZ8
Phát hiện bất thường dựa trên LZ
2. Tính toán xác suất
•
Sử dụng mô hình markov bậc m để mô hình chuỗi, sử dụng m ký tự phía trước liên tiếp để dự đoán
ký tự tiếp theo và tính toán xác suất của nó.
•
ký tự dự đoán từ i ký tự trước, m là bậc markov,
•
xác suất trong mô hình bậc i
•
vecto trọng số hỗn hợp
•
Xác suất hỗn hợp:
α
)(
α
i
P
α
], ,,[
21 m
www
)(*)(
0
αα
i
m
i
i
pwP
∑
=
=
Tích hợp EWMA trong cây di động
•
Mỗi đối tượng có một hồ sơ thói quen, hoạt động gần hiện tại nhất có trọng số lớn nhất.
•
Cây di động được thay đổi khi một cụm từ mới được tạo thành trong suốt quá trình phân tích chuỗi.
Khi một cụm mới được chèn vào, chúng ta nói xảy ra một sự kiện.
•
Việc chèn thêm một cụm từ mới cần thiết để thay đổi tần xuất hiện tại của cây di động.Chúng ta gọi
là sự thay đổi tần xuất EWMA.
•
Tần xuất EWMA đo lường mức độ thường xuyên node tương ứng xuất hiện trong quá khứ.
3. Thuật toán xác định bất thường
•
EWMA được cập nhật như sau
•
Nếu node i là phần tử của sự kiện tương ứng
•
Nếu node i không là phần tử sự kiện tương ứng
•
chuỗi aababccbababbabb được phân tích (a)(ab)(abc)(c)
(b)(aba)(bb)(abb)
3. Thuật toán xác định bất thường
Cây di động và xây dựng một cây di động
)(*)1(1*)( iFiF
λλ
−+=
)(*)1(0*)( iFiF
λλ
−+=
Tích hợp EWMA trong cây di động
Đo lường sự giống nhau
•
Cây di động EWMA duy trì thành phần tĩnh của mỗi hoạt động gần đây nhất của người dùng.
•
Cho S=(X1,…Xn) biểu thị hoạt động quan sát được của người dùng, trong đó Xi biểu thị như một
cell.
•
Mô hình markov bậc o:
•
Ví dụ 5d:
1 1
1
1 1
1
( / , , , )
( )
( / , , , )
( )
n o
o i o i i i o
i
i o
i o i i i o
x o
P P X X X X
F X
P X X X X
F X
−
+ + + −
=
+
+ + + −
+ −
=
=
∑
0.657
0.657
0.51
0.657
0.3
0.51
( ) 1
( / ) 0.7763
( / ) 0.5882
P a
P b a
P c ab
= =
= =
= =
•
Xác suất của chuỗi S:
•
Sự giống nhau (S) =
•
Nếu sự giống nhau(S) thì chuỗi coi là bình thường, nếu không thỏa mãn được coi là bất thường
Đo lường sự giống nhau
0
w *
m
i i
i
P P
=
=
∑
( )
P
dodai S
thr
P≥
Phát hiện bất thường dựa vào markov
•
Chuỗi markov bậc o:
•
Ma trận xác suất chuyển đổi:
Phát hiện bất thường dựa vào markov
•
Danh sách quan sát cell
•
Với xác suất chuyển:
•
Sự giống nhau(S) =
•
Sự giống nhau (S)
), ,,(
21 nqs
XXXS =
1≥o
)1, ,1,|(
11
1
+−=+====
+−+
−
=
+
∑
oiXiXiXjXPP
oiii
on
i
oio
joiiip
on
i
→−++=
∑
−
=
}1, ,1,{
1
)(Sdodai
P
o
markovthr
P
−
≥
5. Phát hiện bất thường thích ứng
Tiếp cận dựa vào phản hồi: dựa vào đầu ra của thuật toán để điều chỉnh ngưỡng phát hiện
Tiếp cận dựa trên entropy:
•
Entropy:
Ý nghĩa: entropy càng nhỏ sự phân bố lớp càng giống nhau, đo lường mức độ thường xuyên của dữ liệu
kiểm tra
•
Entropy có điều kiện:
Ý nghĩa: entropy càng lớn X và Y càng tương quan. Dùng khảo sát những thuộc tính liên tiếp theo thời
gian của dữ liệu kiểm tra
i
m
i
i
PPXH log)(
1
∑
=
−=
ij
m
i
m
j
ij
P
PYXH
1
log)|(
1 1
∑ ∑
= =
=
5. Phát hiện bất thường thích ứng
Cây di động dựa vào EWMA
Thuật toán thích ứng
Chương IV: Kết luận
•
Mặc dù có nhiều giao thức bằng cách đề phòng trong mạng di động tế bào, nhưng
làm thế nào để thiết kế một mạng di động tế bào có tính bảo mật cao vẫn là một
thách thức lớn bởi vì môi trường truyền dẫn là mở trong di động.
•
Hệ thống phát hiện tấn công là không thể thiếu để cung cấp cho khả năng bảo mật
của mạng vô tuyến.
Thanks You!!!
