Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (471.26 KB, 14 trang )
Công nghệ thông tin
CẢNH BÁO AN NINH THÔNG MINH
ỨNG DỤNG HỆ MIỄN DỊCH NHÂN TẠO
Vũ Văn Cảnh*, Hoàng Tuấn Hảo
Tóm tắt: Trong lĩnh vực bảo mật máy tính, cảnh báo an ninh, phát hiện xâm
nhập (ID) là một cơ chế tìm ra truy cập bất thường vào hệ thống mạng, máy tính
bằng cách phân tích các tương tác khác nhau. Các kỹ thuật ID hiện nay có tỷ lệ
phát hiện, cảnh báo an ninh nhầm khá lớn, do đó, cần có những giải pháp nhằm
giảm tỷ lệ cảnh báo nhầm. Các kỹ thuật tính toán thông minh đang được nghiên cứu
nhằm nâng cao tỷ lệ phát hiện và đưa ra cảnh báo chính xác. Đã có một số công
trình nghiên cứu về hệ thống miễn dịch nhân tạo (AIS), tuy nhiên, các nghiên cứu
này cơ bản thiên về khảo sát phương pháp tiếp cận dựa trên AIS. Ứng dụng AIS
trong ID hiện đang là hướng mới cho kỹ thuật phát hiện xâm nhập, cảnh báo an
ninh. Trong bài báo này, nhóm tác giả trình bày một số nội dung cơ bản của hệ
miễn dịch nhân tạo, các kết quả nghiên cứu ứng dụng hệ miễn dịch nhân tạo trong
việc phát hiện xâm nhập mạng được thực hiện tại Phòng thí nghiệm An ninh mạng Học viện Kỹ thuật quân sự.
Từ khóa: Học máy, Xâm nhập mạng, Phát hiện xâm nhập, Cảnh báo an ninh, Hệ miễn dịch nhân tạo.
1. GIỚI THIỆU
Cùng với sự phát triển của mạng máy tính, vấn đề an ninh mạng cũng đang đối
mặt với những thách thức lớn, ngày càng có nhiều hành vi xâm nhập trái phép vào
hệ thống mạng nhằm phá hoại, ăn cắp thông tin với nhiều hình thức khác nhau,
tinh vi hơn. Để giải quyết vấn đề này, nhiều kỹ thuật phát hiện xâm nhập mạng,
cảnh báo an ninh đã được nghiên cứu và ứng dụng, tuy nhiên, các kỹ thuật này
chưa có hiệu quả cao đối với các hình thức tấn công xâm nhập mới, ngày càng tinh
vi với nhiều biến thể khác nhau.
Làm thế nào để chúng ta có thể phát hiện xâm nhập, đưa ra cảnh báo an ninh có
hiệu quả với tất cả các hành vi tấn công, xâm nhập trái phép vào hệ thống máy
tính? Nhiều công trình nghiên cứu đã được thực hiện, Anderson J.P [1] đưa ra quan
điểm phát hiện xâm nhập vào hệ thống máy tính, đến năm 1980 Anderson đã đưa
ra khái niệm về hệ thống phát hiện xâm nhập (IDS) mạng máy tính. Năm 1987,
Denning D.E đưa ra mô hình hệ thống chuyên gia phát hiện xâm nhập (IDES) [5].
Năm 1990 đã tạo ra bước ngoặt trong lịch sử phát hiện xâm nhập, Heberlein L.T
phát triển mô hình giám sát an ninh mạng [10]. Sau đó, ID chính thức được phân
chia thành 2 dạng: Hệ thống phát hiện xâm nhập dựa trên mạng (Network Intrusion
42
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.”
Nghiên cứu khoa học công nghệ
Detection System - NIDS) và hệ thống phát hiện xâm nhập dựa trên máy trạm
(Host-based Intrusion Detection System). Hiện nay, ID đang là một chủ đề nghiên
cứu được rất nhiều nhà nghiên cứu về bảo mật, an ninh mạng máy tính quan tâm,
phát triển.
Những năm gần đây, một số nghiên cứu đã áp dụng lý thuyết miễn dịch học cho
hệ thống phát hiện xâm nhập, các nghiên cứu này được gọi là hệ miễn dịch nhân
tạo (Artificial Immune System - AIS) [8]. Các nghiên cứu đã đóng góp đáng kể
vào sự phát triển của AIS, nhiều công trình liên quan đã được ứng dụng như phát
hiện gian lận [14], tối ưu hóa [9], học máy [3], robotics [13] và bảo mật máy tính
[12]. Hầu hết các nghiên cứu về IDS dựa trên AIS cơ bản chỉ dừng lại ở mức độ
đưa ra quan điểm sử dụng thuật toán và phát triển hệ thống. Trong nghiên cứu,
chúng tôi nghiên cứu một số khía cạnh của AIS ứng dụng trong phát hiện xâm
nhập mạng.
Phần còn lại của bài báo, chúng tôi giới thiệu nền tảng AIS và mô hình thiết kế
cho AIS. Hệ phát hiện xâm nhập được trình bày chi tiết trong phần 2. Phần 3 trình
bày về mô hình AIS trong cảnh báo an ninh, thực nghiệm và kết quả sẽ được trình
bày trong phần 4. Một số nhận xét, kết luận và định hướng nghiên cứu tiếp theo
được trình bày trong phần 5.
2. KIẾN THỨC NỀN TẢNG
2.1. Hệ miễn dịch sinh học
Hệ miễn dịch là hệ thống sinh học bảo vệ cơ thể chống lại những tấn công liên
tục từ các sinh vật, tác động bên ngoài. Đây là mạng lưới vô cùng phức tạp của các
tế bào, mô và các bộ phận giúp bảo vệ cơ thể khỏi các tác nhân xâm nhập như vi
khuẩn, virus, ký sinh trùng, cũng như các rối loạn của tế bào. Hệ miễn dịch tạo ra
các kháng thể và các tế bào đặc biệt để tấn công các sinh vật lạ thâm nhập cơ thể
sống. Một trong những hệ miễn dịch được truyền từ đời này sang đời kia theo di
truyền được gọi là hệ miễn dịch bẩm sinh, cơ thể ngay từ khi ra đời đã luôn ở trạng
thái sẵn sàng nhận diện, loại bỏ và tiêu diệt các vi sinh vật lạ. Bên cạnh đó, cùng
với sự phát triển của cơ thể sẽ tạo ra các hệ miễn dịch tham gia vào việc bảo vệ cơ
thể, được gọi là hệ miễn dịch thích nghi, có hiệu quả hơn trong việc bảo vệ cơ thể
chống lại các vi sinh vật mới.
Hệ miễn dịch thực hiện nhận diện, ngăn chặn và loại bỏ những vi sinh vật xâm
nhập vào cơ thể; chúng nhận dạng tế bào và phân chia thành hai nhóm khác nhau:
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017
43
Công nghệ thông tin
self (những tế bào của cơ thể tạo ra) và nonself (những tế bào lạ), đồng thời loại bỏ
các tế bào thuộc loại nonself.
Hệ miễn dịch thực hiện cơ chế miễn dịch thông qua 3 lớp được mô tả trong hình 1.
Hình 1. Các lớp của hệ miễn dịch sinh học.
Khi các chất lạ xâm nhập vào cơ thể, các tế bào thực bào và kháng thể sẽ tiến
hành ngăn chặn (lớp vật lý), trường hợp các chất lạ là các vi sinh vật bình thường
sẽ bị ngăn chặn và giết chết. Trường hợp các vi sinh vật vượt qua lớp vật lý nó sẽ
bị ngăn chặn và đào thải ra khỏi cơ thể bởi lớp sinh hóa, trong lớp này chứa các
enzym có thể loại bỏ các kháng nguyên bởi các axit và nhiệt độ cơ thể. Một số sinh
vật có cấu trúc mạnh mẽ hơn, vượt qua 2 lớp bảo vệ trên sẽ đi sâu vào cơ thể, khi
này hệ thống miễn dịch bẩm sinh và miễn dịch thích nghi sẽ kích hoạt các cơ chết
bảo vệ để giết chết vi sinh vật xâm nhập.
2.2. Hệ miễn dịch nhân tạo
Hệ miễn dịch nhân tạo (AIS) lấy ý tưởng của hệ miễn dịch học thích nghi và
những chức năng, nguyên tắc, mô hình miễn dịch quan sát được, áp dụng để giải
các bài toán thực tế [4]. AIS có phạm vi ứng dụng rất rộng rãi như nhận dạng mẫu,
an ninh máy tính, lập lịch, tìm kiếm tối ưu và điều khiển tự động.
Trong các thuật toán mô phỏng tiến hoá sinh học, đối tượng tiến hóa là tập các
nhiễm sắc thể nhân tạo (quần thể), quần thể này trải qua quá trình chọn lọc, sinh
sản và đột biến gien. Quá trình này lặp lại nhiều lần, sau mỗi lần thực hiện sẽ nhận
được quần thể mới tiến hóa (tốt) hơn. Để xây dựng được cấu trúc cơ bản của mô
hình này người ta phải biểu diễn được gien các cá thể trong quần thể, cùng với các
thủ tục lựa chọn, sản sinh và đột biến gien. Cấu trúc cơ bản của hệ thống phỏng
sinh học cần có 03 yếu tố cơ bản đó là biểu diễn các thành phần hệ thống, cơ chế
44
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.”
Nghiên cứu khoa học công nghệ
đánh giá tương tác các cá thể với môi trường và các cá thể với nhau và các thủ tục
thích nghi điều khiển tính động của hệ thống, tức là làm cho hoạt động của hệ
thống thay đổi theo thời gian.
Hình 2. Cấu trúc phân lớp của AIS.
Hệ miễn dịch nhân tạo có thể được xây dựng theo cấu trúc phân lớp gồm 03 lớp
biểu diễn như hình 2.
Các lĩnh vực ứng dụng là cơ sở để xây dựng AIS, đối với mỗi lĩnh vực ứng
dụng sẽ quyết định các thành phần và cách thức biểu diễn, các thao tác khác nhau
trên AIS. Lời giải bài toán sẽ được cập nhật lại sau khi một quần thể mới được tạo
ra và đưa ra kết quả khi đạt được điều kiện kết thúc nào đó [15].
Lớp biểu diễn trong AIS bao gồm 2 thành phần quan trọng là kháng thể và
kháng nguyên. Trong lớp các phương pháp đánh giá độ thích nghi có thể sử dụng
nhiều phương pháp khác nhau như khoảng cách Hamming, Euclid và Mahattan.
Trong lớp các thuật toán miễn dịch có thể sử dụng các thuật toán như chọn lọc tích
cực, chọn lọc tiêu cực, chọn lọc vô tính... để điều chỉnh tính động của AIS [15].
Khả năng phân biệt giữa mình (Self) và không phải mình (NonSelf) là một chức
năng quan trọng nhất trong hệ thống miễn dịch, trong đó, kháng thể và kháng
nguyên kết hợp với nhau như một sự phù hợp, và có thể mô tả như khối lồi và lõm
trên bề mặt 2 phần tử (hình 3). Do vậy, để mô tả hình dạng tổng quát của kháng thể
và kháng nguyên cũng như thể hiện sự kết hợp giữa chúng, ta có thể biểu diễn
kháng thể và kháng nguyên là một tập các khối lồi, lõm với 3 tham số chiều cao,
chiều rộng và chiều dài. Tổng quát hơn ta có thể biểu diễn kháng thể và kháng
nguyên như một tập L tham số.
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017
45
Công nghệ thông tin
Hình 3. Kháng thể (Antibody) nhận diện kháng nguyên (Antigen) dựa vào phần bù.
Mỗi kháng thể và kháng nguyên có thể coi như một chuỗi thuộc tính
trong không gian S với L chiều. Mỗi phần tử chính là một điểm
trong không gian S. Không mất tính tổng quát ta có thể giả sử kháng thể và kháng
nguyên có cùng độ dài là L. Tổng quát một kháng thể được biểu diễn bởi vector
và một kháng nguyên được biểu diễn bởi vector
; để xác định tương tác của các kháng thể với nhau và kháng
thể với kháng nguyên có thể dùng công thức tính khoảng cách để đo độ thích hợp
của 2 phần tử.
Việc đánh giá tương tác giữa các phần tử dựa vào việc tính toán khoảng cách
không gian Euclid
và Mahattan
để
đánh giá độ thích hợp giữa các thành phần của AIS trong không gian thực. Trong
không gian Hamming, các kháng nguyên và kháng thể được biểu diễn đưới dạng
dãy các ký hiệu trên tập hữu hạn k mẫu tự và việc đánh giá độ thích hợp giữa hai
chuỗi thuộc tính có độ dài L trong không gian Hamming, như sau:
(1)
Việc tính toán khoảng cách ở trên không chỉ dùng để biểu diễn tương tác giữa
các kháng thể với kháng nguyên, mà còn có thể dùng để biểu diễn sự tương tác của
kháng thể với kháng nguyên và được sử dụng để xác định tương tác giữa các phần
tử trong AIS. Bên cạnh đó trong các bài toán thường quy định một ngưỡng để
xác định sự tương tác giữa các phần tử. Dựa vào ngưỡng này mà ta có thể xác định
được 2 phần tử có thể tương tác với nhau hay nhận diện được nhau.
2.3. Hệ miễn dịch ứng dụng trong an ninh máy tính
Trong lĩnh vực an ninh máy tính, mục tiêu quan trọng là làm sao phát hiện và
ngăn chặn các truy cập bất hợp pháp và các mã độc. Các nguyên tắc phát hiện và
loại bỏ vi sinh vật lây nhiễm trên hệ miễn dịch sinh học được áp dụng cho thiết kế
hệ thống an ninh máy tính. Cách tiếp cận tự nhiên này cho phép xây dựng các hệ
thống phát hiện và phòng chống xâm nhập thông minh có khả năng tự động phát
46
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.”
Nghiên cứu khoa học công nghệ
hiện, cảnh báo sớm các truy cập bất hợp pháp, đây là hướng nghiên cứu có nhiều
triển vọng trong tương lai [16].
Bảng 1. Minh họa ánh xạ giữa các thành phần trong hệ miễn dịch sinh học với
kiến trúc môi trường mạng máy tính.
Hệ miễn dịch sinh học
Môi trường mạng
Tế bào
Tiến trình hoạt động trong một máy tính
Cơ quan đa bào
Máy tính chạy đa tiến trình
Số lượng cơ quan
Các máy tính trong mạng
Da và hệ miễn dịch bẩm sinh
Mật khẩu, quyền truy cập file, truy cập nhóm
người dùng,…
Hệ miễn dịch thích nghi
Một tiến trình có khả năng kiểm soạt các tiến
trình khác để phát hiện bất thường
Đáp ứng tự miễn dịch
Cảnh báo
Self
Hành vi bình thường
Nonself
Hành vi bất thường
Trong hệ thống an ninh máy tính, xem xét sự thay đổi bất thường của dữ liệu
trong máy tính nhằm xác định máy tính có bị xâm nhập trái phép hay không để đưa
ra các cảnh báo. Thông thường, những sự thay đổi này là hành vi hay kết quả của
các cuộc tấn công vào hệ thống máy tính, thường tấn công từ môi trường mạng.
Bảng 2. Minh họa ánh xạ giữa các thành phần của hệ miễn dịch sinh học với quản
lý, điều hành trên máy tính.
Hệ miễn dịch
Môi trường máy tính
Tế bào
File dữ liệu
Cơ quan
Tập hợp các file của chương trình
Da và hệ miễn dịch bẩm sinh
Mật khẩu, quyền truy cập file, truy cập nhóm
người dùng,…
Hệ miễn dịch thích nghi
Hệ miễn dịch nhân tạo (có khả năng kiểm soát và
phát hiện, cảnh báo những thay đổi của dữ liệu)
Đáp ứng tự miễn dịch
Cảnh báo
Self
Hành vi bình thường
Non-Self
Hành vi bất thường
Kết hợp với việc phân tích log, người quản trị có thể biết được nguồn gốc, mục
tiêu xâm nhập trái phép, để có phương pháp ngăn chặn kịp thời.
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017
47
Công nghệ thông tin
3. MÔ HÌNH HỆ MIỄN DỊCH NHÂN TẠO TRONG
CẢNH BÁO AN NINH THÔNG MINH
3.1. Mô hình AIS trong cảnh báo an ninh thông minh
Trên cơ sở lý thuyết về hệ miễn dịch sinh học, hệ miễn dịch nhân tạo và các vấn
đề an ninh mạng, mô hình AIS được xây dựng với mục đích phát hiện thay đổi bất
thường của dữ liệu (hình 3). Người quản trị hệ thống dựa vào các cảnh báo về sự
thay đổi dữ liệu cùng với các phương thức khác như phân tích log... để đưa ra kết
luận chính xác về sự thay đổi của dữ liệu, dựa vào kết quả phân tích mà người
quản trị có thể ngăn chặn ngay những hành vi bất hợp pháp.
Hình 4. Mô hình thiết kế hệ miễn dịch nhân tạo.
Với mô hình này, lĩnh vực ứng dụng nhằm mục đích theo dõi, phát hiện sự thay
đổi dữ liệu, làm cơ sở để người dùng kiểm tra phát hiện xâm nhập trái phép trước
khi có các rủi do lớn hơn có thể xảy ra, thông báo tới hệ thống an ninh mạng để
theo dõi và hoàn thiện giải pháp bảo vệ hệ thống. Các thành phần AIS được mô tả
trong bảng 3. Phương pháp đánh giá độ thích hợp theo quy tắc khớp R-Chunk
(mục 3.3). Thuật toán miễn dịch theo thuật toán chọn lọc tiêu cực để phân biệt selfnonself (mục 3.2). Lời giải của mô hình là kết quả phát hiện dữ liệu có sự thay đổi
hay không và gửi các thông điệp cảnh báo khi phát hiện sự bất thường của dữ liệu.
Bảng 3. Mô tả ánh xạ thành phần hệ miễn dịch sinh học và AIS.
Hệ miễn dịch sinh học
Hệ miễn dịch nhân tạo
Kháng thể
Bộ dò của chương trình
Kháng nguyên
Chuỗi bít rút ra từ file cần kiểm tra
Cơ quan thụ cảm
Luật so khớp (R-chunk)
Quá trình chọn lọc âm tính
Thuật toán chọn lọc âm tính
48
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.”
Nghiên cứu khoa học công nghệ
Trong các thành phần trong AIS, khái niệm Self là một tập S bao gồm các xâu
(các tập tin) cần được bảo vệ, NonSelf là tập các xâu
không thuộc tập
S mà bộ dò có thể so khớp được. Tập dò là các sâu có thể được so khớp với
NonSelf nhằm mục đích xác định các xâu lạ trong S.
3.2. Thuật toán chọn lọc tiêu cực
Thuật toán chọn lọc tiêu cực được sử dụng để phát hiện sự thay đổi bất thường
của dữ liệu và đưa ra các cảnh báo xâm nhập, cảnh báo an ninh mạng. Nhằm phân
biệt Self – NonSelf (SNS) [6], hệ miễn dịch nhân tạo dựa trên nguyên tắc hoạt động
của hệ miễn dịch sinh học, để tiến hành nhận dạng các dữ liệu cần bảo vệ, từ đó
phân tích tìm ra sự thay đổi bất thường của dữ liệu và đưa ra những cảnh báo kịp
thời cho người sử dụng. Trên cơ sở thuật toán chọn lọc tiêu cực (NSA), dựa trên
một tập bộ dò, thuật toán cho phép tìm kiếm những thay đổi bất thường của dữ liệu
(các file dữ liệu) trong máy tính khi dữ liệu nằm trong tầm bảo vệ của chương
trình. Về bản chất, đây là một phương pháp chứng thực các file trên hệ thống máy
tính, kiểm tra sự thay đổi của các file [6]. Thuật toán được chia thành 2 giai đoạn,
giai đoạn sinh ra tập bộ dò và giai đoạn kiểm tra.
3.2.1. Giai đoạn sinh tập bộ dò
Mỗi bộ dò là một chuỗi mà nó không khớp được với bất cứ chuỗi dữ liệu nào
được bảo vệ, tập dữ liệu bộ dò được sinh ra theo các bước như sau:
Bước 1: Sinh ra các chuỗi tế bào có độ dài ℓ từ các file cần bảo vệ trong máy tính.
Bước 2: Sinh ngẫu nhiên một chuỗi
Bước 3: Tiến hành so khớp
có độ dài ℓ.
với tất cả các chuỗi tế bào của tập bộ dò, nếu
khớp được với bất kì chuỗi tế bào nào thì quay lại bước 2, nếu không chuyển sang
bước 4.
Bước 4: Nạp chuỗi
vào tập bộ dò, nếu tập bộ dò đã đủ số lượng phần tử
thì kết thúc, nếu không quay lại bước 2.
3.2.2. Giai đoạn theo dõi dữ liệu
Giai đoạn này thực hiện so khớp dữ liệu với tập bộ dò được tạo ra ở giai đoạn
trước nhằm bảo vệ dữ liệu, nếu bất kì chuỗi dữ liệu được bảo vệ nào khớp với bộ
dò thì một thay đổi được xác nhận [2].
Ví dụ, chuỗi tế bào S dài 32 bit: 10100010010100000100101011010101. Để
sinh ra tập bộ dò, đầu tiên tách chuỗi tế bào thành những phần có độ dài bằng nhau
(giả sử trong trường hợp này tách 8 chuỗi con):
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017
49
Công nghệ thông tin
1
010
0
010
0
101
0
000
0
100
1
010
1
101
0
101
Sau đó tiến hành sinh ngẫu nhiên các chuỗi R0 có độ dài 4 và tiến hành so khớp
với các chuỗi con của chuỗi tế bào S, giả sử sinh các chuỗi 0111, 1000, 0101,
1010. Kết quả bộ dò R gồm 2 chuỗi 0111 và 1000; Các chuỗi 0101 và 1010 bị loại
vì nó khớp với một chuỗi con của S. Sau khi tập bộ dò được sinh ra thì các chuỗi tế
bào sẽ được theo dõi bằng cách so khớp chúng với các chuỗi trong tập bộ dò R. Ví
dụ, trong chuỗi tế bào S ở trên chúng ta thay chuỗi con 0101 thành 0111, như vậy,
trong quá trình so khớp với tập bộ dò sẽ phát hiện ra 1 chuỗi con so khớp được, khi
đó sẽ phát ra cảnh báo chuỗi tế bào đã bị thay đổi.
3.3. Quy tắc so khớp
Như đã đề cập, quy tắc so khớp Hamming dựa trên khoảng cách giữa hai
chuỗi, nếu hai chuỗi có cùng giá trị tại rvị trí thì được gọi là giống nhau. Một quy
tắc so khớp hoàn chỉnh giữa hai chuỗi có độ dài bằng nhau sao cho mỗi vị trí
tương ứng giữa hai chuỗi hoàn toàn giống nhau được gọi là quy tắc so khớp RChunk và R-Contiguous. Để đơn giản, ta so khớp tại r vị trí liên tiếp giữa 2
chuỗi, nếu 2 chuỗi khớp với nhau tại ít nhất r vị trí liên tiếp thì hai chuỗi được
gọi là so khớp với nhau. Ví dụ, so khớp hai chuỗi x:BBAABCDAB,
y:AABABCDBA; Chuỗi x và y gồm 4 ký tự, khi đó, nếu việc so khớp có r ≤ 3 thì
2 chuỗi được gọi là khớp với nhau.
Bộ dò r-chunk là một bộ (d,i) gồm một xâu
và một số nguyên
khớp được với xâu
nếu
là
tập các xâu nhị phân có chiều dài r. Bộ dò r-chunk được đề xuất bởi T.Stibor [11]
có ưu điểm làm giảm tỷ lệ phát hiện sai.
Bộ dò r-contiguous là một xâu
với mọi
mà
khớp được với một xâu khác
.
nếu
Ví dụ chuỗi tế bào:
(2)
khi đó, với r=3 ta có các bộ dò:
gồm 09 bộ:
D1 000,1 , 110,1 , 111,1 D2 011, 2 , 100, 2 , 111, 2
;
;
(3)
D3 001, 3 , 110, 3 , 111, 3
ContD S , 3 11001;11110;11111
50
.
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.”
Nghiên cứu khoa học công nghệ
Các quy tắc Humming, R-Chunk và R-Contiguous đều có thể sử dụng điều
chỉnh một biến ngưỡng r để xác thực việc so khớp chuỗi, nếu r càng lớn thì việc
so khớp càng nghiêm ngặt.
3.4. Xác xuất phát hiện thay đổi
Xác suất phát hiện sự thay đổi của tế bào khi được so khớp với r vị trí liên tiếp
(r láng giềng) được xác định bởi
, với là m số
lượng ký tự khác nhau trong 2 chuỗi cần so khớp, l là độ dài của chuỗi so khớp và
r là số vị trí liên tiếp cần so khớp.
Bên cạnh đó cũng cần phải xác định số lượng chuỗi ngẫu nhiên cần sinh ra cần
thiết cho tập bộ dò để khi so khớp với các tế bào thì độ chính xác của việc so khớp
và thời gian so khớp có thể chấp nhận được. Ta có xác suất một chuỗi ngẫu nhiên
trong
không khớp được với tất cả các chuỗi tế bào là
với
là
số lượng chuỗi tế bào và xác suất mà bộ dò không phát hiện được sự thay đổi
với
là số lượng cuỗi của tập bộ dò. Khi đó, số lượng chuỗi
ngẫu nhiên cần tạo ra cho tập bộ dò là:
.
4. THỰC NGHIỆM VÀ KẾT QUẢ
Một số công trình nghiên cứu hướng về tìm điểm chung nhất đó là xây dựng tập
bộ dò cho toàn bộ thư mục (ổ đĩa), tuy nhiên, tổng dữ liệu tại các thư mục/ổ đĩa là
rất lớn nên việc kiểm soát và cài đặt một tập bộ dò cho toàn bộ thư mục/ổ đĩa
không khả thi. Trong nghiên cứu này, chúng tôi đưa ra giải pháp là chia nhỏ dữ
liệu đầu vào của bộ dò bằng cách sinh ra chuỗi tế bào S từ một tập tin máy tính hay
nói cách khác mỗi tập tin trên máy tính sẽ tạo ra một chuỗi tế bào riêng. Điều này
làm cho AIS có thể kiểm soát được toàn bộ dữ liệu của hệ thống. Việc tạo ra tập bộ
dò ở đây theo hướng “tìm điểm chung nhất của một tập tin” hay nói cách khác mỗi
tập bộ dò có đặc điểm của từng tập tin tương ứng và các tập bộ dò này được lưu
vào cơ sở dữ liệu. Việc so khớp sẽ được tiến hành trên dữ liệu của tập tin và tập bộ
dò của riêng nó, tập bộ dò mang các đặc điểm nhận dạng của tập tin để phân biệt
self-nonself.
Bên cạnh đó, nghiên cứu còn kết hợp với giải pháp so sánh dung lượng của tập
tin để tìm tham số l phù hợp. Giả sử ta có 5 bít, như vậy, tổ hợp của 5 bít này có
thể tạo ra 25 trường hợp kết hợp, hay nói một cách khác có thể tạo ra một tế bào có
chiều dài 5*2+5+ bít. Tổng quát hơn, nếu một có dung lượng N, như vậy, tham số l
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017
51
Công nghệ thông tin
l
tối ưu cho bộ dò có thể được xác định bởi l *2 N . Khi đã biết được tham số l
với mỗi giá trị r ta có thể xây dựng được tập dò khác nhau. Theo phân tích trong
phần 3.2, ta có thể thay đổi lần lượt giá trị r để có thể tìm thấy một phương án phù
hợp với bài toán theo một xác suất nào đó.
Trong giai đoạn tạo tập bộ dò, thuật toán sẽ tiền hành tìm kiếm các tập tin trong
thư mục/ổ đĩa, với mỗi tập tin tìm được hệ thống sẽ tiền hành tạo bộ dò (chuỗi tế
bào) cho tập tin và lưu vào tập tin dữ liệu của tập bộ dò. Lưu đồ thuật toán được
biểu diễn trong hình 5.
Hình 5. Lưu đồ thuật toán AIS tạo tập bộ dò.
Trong thử nghiệm, chúng tôi đã tiến hành trên vùng dữ liệu gồm 1000 tập tin
được chia thành 20 thư mục khác nhau, dữ liệu của tập bộ dò được tạo ra sẽ được
lưu trong một tập tin văn bản.
Hình 6. Lưu đồ thuật toán AIS kiểm tra sự thay đổi của các tập tin.
52
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.”
Nghiên cứu khoa học công nghệ
Để kiểm tra sự thay đổi của tập tin hay các tập tin có bị nhiễm mã độc/virus hay
không thuật toán tiến hành tìm kiếm các tập tin trong vùng dữ liệu và truy vấn các
thông tin bộ dò của tập tin tìm được, tiến hành kiểm tra sự thay đổi của tập tin. Lưu
đồ thuật toán được biểu diễn như trong hình 6.
Quá trình thử nghiệm được tiến hành tại phòng thí nghiệm An ninh mạng – Học
viện Kỹ thuật quân sự với vùng dữ liệu gồm 1000 tập tin, mỗi tập tin có dung
lượng xấp xỉ 1MB, tiến hành thay đổi dữ liệu trong 748 tập tin và kiểm tra hiệu
quả của kỹ thuật cho thấy hệ thống đã cảnh báo sự thay đổi của 739 tập tin, trong
đó có 9 tập tin cảnh báo sai.
Từ kết quả trên cho thấy hệ thống AIS kiểm soát sự thay đổi của dữ liệu trong
vùng dữ liệu được kiểm soát đạt độ chính xác 98.80% với sai số 1.22%.
Cùng với các cảnh báo về sự thay đổi dữ liệu trong các tập tin mà AIS đưa ra,
kết hợp với phân tích logfile mà người quản trị có thể phán đoán chính xác sự thay
đổi này do người dùng gây ra (hợp pháp), hay sự thay đổi do virus, mã độc (bất
hợp pháp) mà có thể đưa ra các biện pháp xử lý thích đáng.
5. KẾT LUẬN
Hệ miễn dịch nhân tạo đang là hướng nghiên cứu được quan tâm trong phát
triển hệ thống phát hiện xâm nhập, cảnh báo an ninh. Dựa trên hệ miễn dịch nhân
tạo có thể tạo ra các tế bào (mã) có khả năng đối kháng (nhận diện) được các mã
độc hay các tấn công mới lạ, tinh vi hiện nay. Việc xác định phương án phù hợp
nhất hay tìm tham số r tối ưu tốn nhiều thời gian do phải xét tất cả các trường hợp,
trong thời gian tới nhóm tiếp tục nghiên cứu theo hướng tự động thay đổi tối ưu
tham số đầu vào l và r nhằm tăng tốc độ xử lý trong hệ thống.
TÀI LIỆU THAM KHẢO
[1]. J. P. Anderson, “Computer security threat monitoring and surveillance,”
Tech. Rep., James P. Anderson Company, Fort Washington, Pa, USA, 1980.
[2]. I. Antoniou, S. Gutnikov, V. Ivanov, Yu. Melnikov and A. Tarakanov (2002),
Immunocomputing: a survey, Solvay Preprint 01-02, Brussels, BELGIUM.
[3]. L. N. de Castro and F. J. von Zuben, “Learning and optimization using the
clonal selection principle”, IEEE Transactions on Evolutionary Computation,
vol. 6, no. 3, pp. 239–251, 2002.
[4]. L. N de Castro and J. Timmis, “Artificial Immune Systems: A New
Computational Intlligence Approach”, Springer-Verlag, 2002
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017
53
Công nghệ thông tin
[5]. D. E. Denning, “An intrusion-detection model,” IEEE Transactions on
Software Engineering, vol. 13, no. 2, pp. 222–232, 1987.
[6]. Forrest et al, “Self-Nonself Discrimination in a Computer”, in Proceedings of
1994 IEEE Symposium on Research in Security and Privacy, Oakland, CA,
202-212
[7]. S. Forrest, S. A. Hofmeyr, and A. Somayaji, “Computer Immunology”
Communications of the ACM, vol. 40, no. 10, pp. 88–96, 1997.
[8]. C. A. Janeway, P. Travers, M. Walport, and M. Shlomchik, “Immunobiology:
The Immune System in Health and Disease”, Garland Science, New York,
NY, USA, 2005.
[9]. M. F. A. Gadi, X. Wang, and A. P. do Lago, “Credit card fraud detection with
artificial immune system,” in Artificial Immune Systems, vol. 5132 of Lecture
Notes in Computer Science, pp. 119–131, Springer, Berlin, Germany, 2008.
[10]. L. T. Heberlein, G. V. Dias, K. N. Levitt, B. Mukherjee, J. Wood, and D. D.
Wolber, “A network security monitor,” in Proceedings of the IEEE Computer
Society Symposium on Research in Security and Privacy, pp. 296–304,
Oakland, Calif, USA, May 1990.
[11]. T. Stibor et al, “An investigation of r-chunk detector generation on higher
alphabets”, GECCO 2004, LNCS 3102, 299-30.
[12]. J. Timmis, A. Tyrrell, M. Mokhtar, A. Ismail, N. Owens, and R. Bi, “An
artificial immune system for robot organisms,” in Symbiotic Multi-Robot
Organisms: Reliability, Adaptability, Evolution, pp. 268–288, Springer,
Berlin, Germany, 2010.
[13]. A. Watkins, J. Timmis, and L. Boggess, “Artificial immune recognition
system (AIRS): an immune-inspired supervised learning algorithm,” Genetic
Programming and Evolvable Machines, vol. 5, no. 3, pp. 291–317, 2004.
[14]. S. X. Wu and W. Banzhaf, “The use of computational intelligence in intrusion
detection systems: a review,” Applied Soft Computing Journal, vol. 10, no. 1, pp.
1–35, 2010.
[15]. Phạm Văn Việt, “Nghiên cứu, phát triển và ứng dụng hệ miễn dịch nhân tạo
trong việc giải các bài toán tối ưu”, Luận văn Thạc sĩ, HV Kỹ thuật Quân
sự (2006).
[16]. Nguyễn Xuân Hoài, Nguyễn Văn Trường, Vũ Mạnh Xuân, “Hệ miễn dịch
nhân tạo và ứng dụng”, Tạp chí Khoa học và Công nghệ ĐH Thái Nguyên
(2007), pp. 13-18.
54
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.”
Nghiên cứu khoa học công nghệ
ABSTRACT
ARTIFICIAL IMMUNE SYSTEM ON INTELLIGENT NETWORK
INTRUSION DETECTION SYSTEM
In the field of cyber security, intrusion detection is a mechanism for
detecting abnormal access to networks and computers by analyzing the
various interactions. The current Intrusion detection (ID) methods normally
has false positive rates and negative rate unexpectively. Thus, there should
be measures to reduce the rate of false alarms. Computational intelligence
techniques are being studied in order to improve detection rates and provide
more accurate warnings. There have been some studies on Artificial Immune
System (AIS), however, those examined the basic implementations of the
approach based on AIS. Applying AIS on intrusion detection system is one of
the attractive approaches recently. In this paper, we discover some basic
concepts of artificial immune system, then apply artificial immune system to
network intrusion detection. Some experimental results was conducted in
Laboratory of Network Security – Le Quy Don Technical University which
outperformed to other previous techniques.
Keywords: Machine learning, Intrusion, Intrusion detection, Security alarms, Artifical Immune System.
Nhận bài ngày 17 tháng 01 năm 2017
Hoàn thiện ngày 20 tháng 02 năm 2017
Chấp nhận đăng ngày 01 tháng 5 năm 2017
Địa chỉ: Học viện Kỹ thuật quân sự.
*
Email:
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017
55
