<span class='text_page_counter'>(1)</span><div class='page_container' data-page=1>

ĐẠI HỌC QUỐC GIA HÀ NỘI

<b>TRƢỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN </b>

<b>--- </b>

<b> TRẦN THỊ HƢƠNG</b>

<b>ĐÁNH GIÁ HIỆU QUẢ MỘT SỐ </b>

<b>THUẬT TOÁN TRONG PHÁT HIỆN </b>

<b>XÂM NHẬP MẠNG</b>

LUẬN VĂN THẠC SĨ KHOA HỌC

</div>
<span class='text_page_counter'>(2)</span><div class='page_container' data-page=2>

ĐẠI HỌC QUỐC GIA HÀ NỘI

<b>TRƢỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN </b>

<b>--- </b>

<b> TRẦN THỊ HƢƠNG</b>

<b>ĐÁNH GIÁ HIỆU QUẢ MỘT SỐ </b>

<b>THUẬT TOÁN TRONG PHÁT HIỆN </b>

<b>XÂM NHẬP MẠNG</b>

Chuyên ngành: Cơ sở Toán học cho Tin học

Mã số:

60460110

LUẬN VĂN THẠC SĨ KHOA HỌC

NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS Lê Trọng Vĩnh

</div>
<span class='text_page_counter'>(3)</span><div class='page_container' data-page=3>

i

<b>MỤC LỤC </b>

DANH MỤC HÌNH VẼ ... iii

DANH MỤC BẢNG BIỂU ... iv

DANH MỤC CÁC TỪ VIẾT TẮT ... v

LỜI CẢM ƠN ... vi

LỜI MỞ ĐẦU ... 1

Chƣơng 1: Tổng quan về phát hiện xâm nhập mạng ... 3

1.1. Giới thiệu ... 3

1.2. Xâm nhập ... 4

1.2.1. Khái niệm ... 4

1.2.2. Một số kiểu xâm nhập phổ biến ... 4

1.2.3. Một số giải pháp ngăn chặn xâm nhập truyền thống ... 6

1.3. Hệ thống phát hiện xâm nhập mạng ... 7

1.3.1. Định nghĩa ... 7

1.3.2. Phân loại hệ thống phát hiện xâm nhập mạng ... 8

1.4. Một số cách tiếp cận cho bài toán phát hiện xâm nhập ... 11

1.4.1. Cách tiếp cận dựa vào luật ... 11

1.4.2. Cách tiếp cận dựa vào thống kê ... 12

1.4.3. Cách tiếp cận dựa vào học máy ... 13

1.4.4. Hƣớng tiếp cận của luận văn ... 16

Chƣơng 2: Phát hiện xâm nhập mạng dựa vào học máy ... 17

2.1. Hồi quy logistic ... 18

2.2. Máy véc-tơ hỗ trợ ... 21

2.2.1. SVM tuyến tính ... 22

2.2.2. SVM phi tuyến tính ... 26

2.3. Mạng nơ-ron nhân tạo ... 27

2.3.1. Mơ hình mạng nơ-ron nhân tạo ... 28

2.3.2. Phát hiện xâm nhập dựa vào mạng nơ-ron ... 33

</div>
<span class='text_page_counter'>(4)</span><div class='page_container' data-page=4>

ii

Chƣơng 3: Đánh giá hiệu quả của một số thuật toán học máy ... 41

trong việc phát hiện xâm nhập mạng ... 41

3.1. Bộ dữ liệu KDD CUP 99 ... 41

3.2. Tiền xử lý dữ liệu ... 45

3.2.1. Chuyển các giá trị phi số sang số ... 46

3.2.2. Chuẩn hóa giá trị đầu vào ... 50

3.3. Kết quả thực nghiệm ... 52

KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN ... 58

CÁC CÔNG BỐ LIÊN QUAN ... 60

</div>
<span class='text_page_counter'>(5)</span><div class='page_container' data-page=5>

iii

<b>DANH MỤC HÌNH VẼ </b>

Hình 1.1 Hệ thống phát hiện xâm nhập NIDS ... 9

Hình 1.2 Hệ thống phát hiện xâm nhập HIDS ... 10

Hình 2.1 Quá trình phát hiện xâm nhập dựa vào học máy ... 18

Hình 2.2 Hình dạng hàm sigmoid ... 19

Hình 2.3. Một siêu phẳng phân chia dữ liệu học thành hai lớp ... 22

Hình 2.4. Dữ liệu khơng phân tách tuyến tính ... 25

Hình 2.5. Hàm ánh xạ từ khơng gian hai chiều sang khơng gian ba chiều ... 27

Hình 2.6. Mơ phỏng một perceptron ... 28

Hình 2.7. Mơ phỏng mạng nơ-ron ba lớp ... 30

Hình 2.8. Các bƣớc huấn luyện mạng nơ-ron ... 33

Hình 2.9. Các bƣớc kiểm tra dữ liệu với mơ hình mạng nơ-ron sau khi huấn luyện 34
Hình 2.10. Sơ đồ huấn luyện mạng nơ-ron trong hệ thống phát hiện xâm nhập ... 35

Hình 2.11. Phát hiện gói tin bất thƣờng sử dụng mạng nơ-ron ... 36

</div>
<span class='text_page_counter'>(6)</span><div class='page_container' data-page=6>

iv

<b>DANH MỤC BẢNG BIỂU </b>

Bảng 3.1. Mô tả các đặc trƣng của bộ dữ liệu KDD cup 99 ... 41

Bảng 3.2. Bảng phân bố số lƣợng các kiểu trạng thái kết nối trong ... 45

Bảng 3.3. Bảng chuyển đổi đối với các loại giao thức ... 46

Bảng 3.4. Bảng chuyển đổi các trạng thái cờ kết nối ... 46

Bảng 3.5. Bảng chuyển đổi đối với các loại dịch vụ... 47

Bảng 3.6. Bảng phân bố và chuyển đổi nhãn của các trạng thái mạng ... 48

Bảng 3.7. Các kiểu tấn công mới trong bộ dữ liệu ... 50

Bảng 3.8. Giá trị nhỏ nhất và lớn nhất của các cột trong tập “Whole KDD 99” ... 51

Bảng 3.9. Kết quả chạy chƣơng trình trên các thuật tốn học máy ... 54

</div>
<span class='text_page_counter'>(7)</span><div class='page_container' data-page=7>

v

<b>DANH MỤC CÁC TỪ VIẾT TẮT </b>

<b>Viết tắt </b> <b>Ý nghĩa </b>

IDS Intrusion Detection System

NIDS Network- Based Intrusion Detection System
HIDS Host- Based Intrusion Detection System

LR Logistic Regression

SVM Support Vector Machine

ANN Artificial Neural Network

DOS Denial of Service

R2L Remote to Local

U2R User to root

</div>
<span class='text_page_counter'>(8)</span><div class='page_container' data-page=8>

vi

<b>LỜI CẢM ƠN</b>

Trƣớc tiên, em xin đƣợc gửi lời cảm ơn chân thành nhất của mình tới
PGS.TS <b>Lê Trọng Vĩnh</b>, trƣờng Đại học Khoa học Tự nhiên, Đại học Quốc gia
Hà Nội đã dành nhiều công sức hƣớng dẫn em thực hiện luận văn này cũng nhƣ
trong suốt quá trình học tập và làm việc tại trƣờng.

Em cũng xin chân thành cảm ơn các thầy cô trong Bộ môn Tin học, trƣờng
Đại học Khoa học Tự nhiên, Đại học Quốc gia Hà Nội đã nhiệt tình truyền đạt kiến
thức, kinh nghiệm, phƣơng pháp nghiên cứu và cả sự say mê khoa học tới nhiều lứa
học viên cao học trong đó có em.

Em cũng xin gửi lời cảm ơn sâu sắc tới gia đình, bạn bè, anh chị em những
ngƣời đã ln sát cánh bên em, giúp đỡ quan tâm, động viên trong suốt quá trình
học tập cũng nhƣ trong thời gian thực hiện đề tài này.

Với sự chỉ bảo tận tình của các thầy, các cơ, em đã rất cố gắng để hoàn thành
luận văn này. Tuy nhiên, do em còn nhiều điểm hạn chế nên luận văn cịn tồn tại
nhiều thiếu sót. Em kính mong tiếp tục nhận đƣợc những ý kiến góp ý của các thầy,
các cô cũng nhƣ các bạn học viên để em có thể phát triển đề tài này hơn nữa. Một
lần nữa em xin gửi tới tất cả mọi ngƣời lời cảm ơn chân thành nhất.

</div>
<span class='text_page_counter'>(9)</span><div class='page_container' data-page=9>

1

<b>LỜI MỞ ĐẦU</b>

Thế kỷ XXI, chứng kiến sự phát triển nhanh chóng của Internet và những ảnh
hƣởng sâu rộng tới mọi lĩnh vực đời sống của con ngƣời. Song song với những lợi ích
mà mạng máy tính đem lại thì nó cũng trở thành mục tiêu lợi dụng của những kẻ tấn
công, xâm nhập trái phép nhằm thực hiện những mƣu đồ xấu, đe dọa tới tính an tồn về
bảo mật thông tin của các tổ chức hay những ngƣời dùng kết nối mạng. Mặc dù, mỗi hệ
thống máy tính đều có những cơ chế tự bảo vệ riêng nhƣng có thể chƣa đủ để phát hiện
hay ngăn chặn những cuộc tấn công ngày một tinh vi hơn. Vấn đề đặt ra là làm sao xây
dựng đƣợc một hệ thống có thể phát hiện sớm và có hiệu quả các cuộc tấn cơng hay
xâm nhập trái phép từ đó đƣa ra những cảnh báo và biện pháp xử lý kịp thời. Một số
các hệ thống phát hiện xâm nhập mạng truyền thống đƣợc áp dụng khá phổ biến và
rộng rãi trên thế giới nhƣ hệ thống phát hiện xâm nhập dựa trên tập luật, phân tích
thống kê,…Các hệ thống trên đã phát hiện tốt những cuộc tấn công đã biết với tỷ lệ
cảnh báo sai thấp. Tuy nhiên, chúng tại tỏ ra kém hiệu quả đối với những cuộc tấn công
mới, đồng thời phải luôn cập nhật luật mới.

</div>
<span class='text_page_counter'>(10)</span><div class='page_container' data-page=10>

2

Luận văn “Đánh giá hiệu quả một số thuật toán trong phát hiện xâm nhập
<i><b>mạng” đƣợc chia làm ba chƣơng với nội dung nhƣ sau: </b></i>

<b>Chƣơng 1: Tổng quan: </b>Hệ thống hóa các vấn đề liên quan tới phát hiện xâm
nhập mạng và hệ thống phát hiện xâm nhập mạng. Ngoài ra, chƣơng một cũng trình
bày một số cách tiếp cận chính để giải quyết vấn đề phát hiện xâm nhập mạng.

<b>Chƣơng 2: Phát hiện xâm nhập mạng dựa vào học máy: </b>Trình bày một số
thuật tốn học máy có giám sát điển hình nhƣ hồi quy logistic, máy véc-tơ hỗ trợ, mạng
nơ-ron nhân tạo cho bài toán phát hiện xâm nhập, cũng nhƣ việc áp dụng các thuật toán

giải quyết bài tốn này. Bên cạnh đó, trong chƣơng này cũng trình bày vấn đề rút gọn
các đặc trƣng sử dụng độ đo information gain để giảm thiểu chi phí tính tốn và thời
gian phát hiện.

</div>
<span class='text_page_counter'>(11)</span><div class='page_container' data-page=11>

3

<b>Chƣơng 1: Tổng quan về phát hiện xâm nhập mạng </b>

<b>1.1.</b> <b>Giới thiệu </b>

Trong những năm gần đây, sự phát triển nhƣ vũ bão của mạng Internet đem lại
những lợi ích khơng nhỏ cho con ngƣời bao gồm cả đời sống, công nghệ, kinh tế, xã
hội,... Bên cạnh đó thì Interner cũng trở thành mơi trƣờng lý tƣởng cho những kẻ xấu
lợi dụng để thực hiện hành vi xâm nhập trái phép, tấn công vào những hệ thống máy
tính của các cá nhân hay tổ chức gây ra những thiệt hại nghiêm trọng. Vì vậy, vấn đề
an ninh và bảo mật ngày càng đƣợc quan tâm.

Khi triển khai một hệ thống thông tin thì cũng đồng nghĩa với việc xây dựng cơ
chế bảo vệ chặt chẽ, an tồn cho hệ thống thơng tin của doanh nghiệp, tổ chức là góp
phần quan trọng vào việc duy trì tính bền vững của hệ thống. Để làm đƣợc điều đó, thì
tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để
đối phó với những phƣơng thức tấn công vào hệ thống mạng. Một bức tƣờng lửa khơng
thể đủ mạnh để có thể chống đỡ mọi ý đồ xâm nhập vào hệ thống. Vì vậy, ngồi việc
am hiểu sâu sắc các vấn đề bảo mật của những ngƣời quản trị an ninh mạng thì cũng rất
cần những hệ thống, hay cơng cụ có thể trợ giúp đặc lực cho việc đảm bảo an toàn của
các hệ thống.

</div>
<span class='text_page_counter'>(12)</span><div class='page_container' data-page=12>

4

<b>1.2.</b> <b>Xâm nhập </b>

<b>1.2.1.</b> <b>Khái niệm </b>

Hiện nay vẫn chƣa có định nghĩa chính xác về thuật ngữ xâm nhập. Mỗi chuyên
gia trong lĩnh vực an tồn thơng tin luận giải thuật ngữ này theo ý hiểu của mình. Tuy
nhiên, định nghĩa của Kendall năm 1999 đƣợc biết đến rộng rãi nhất. Tác giả đã đƣa ra
khái niệm về xâm nhập nhƣ sau:

“Tấn cơng hay cịn gọi là xâm nhập mạng là những hoạt động có chủ đích, lợi
<i>dụng các tổn thương của hệ thống thơng tin nhằm phá vỡ tính sẵn sàng, tính tồn vẹn </i>
<i>và tính bảo mật của hệ thống” [8]. </i>

<b>1.2.2.</b> <b>Một số kiểu xâm nhập phổ biến </b>

Có rất nhiều kiểu xâm nhập mạng khác nhau và thƣờng đƣợc phân thành các
loại chính: tấn cơng từ chối dịch vụ, kiểu thăm dị, tấn cơng chiếm quyền “root”, tấn
cơng điều khiển từ xa. Phần dƣới đây sẽ trình bày chi tiết về các kiểu tấn công này.

<i>a) Tấn công từ chối dịch vụ </i>

Tấn công từ chối dịch vụ (Denial of Service) hay viết tắt DoS là kiểu tấn cơng
làm cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, làm gián đoạn hoạt
động của hệ thống hoặc hệ thống phải ngƣng hoạt động [8].

Tùy theo phƣơng thức thực hiện mà nó đƣợc biết dƣới nhiều tên gọi khác nhau.
Bắt đầu là lợi dụng sự yếu kém của giao thức TCP để thực hiện tấn công từ chối dịch
vụ DoS. Ngồi ra cịn có kiểu tấn công từ chối dịch vụ phân tán DDoS (Distributed
<i>Denial of Service) và mới nhất là tấn công từ chối dịch vụ theo phƣơng pháp phản xạ </i>
DRDoS (Distributed Reflection of Service).

</div>
<span class='text_page_counter'>(13)</span><div class='page_container' data-page=13>

5

tiếp ICMP tới địa chỉ Broadcast của các mạng với địa chỉ nguồn là mục tiêu cần tấn
công, tấn công “gây lụt” UDP…

Tấn công dịch vụ phân tán DDoS xuất hiện vào năm 1999, so với tấn công DoS
cổ điển, sức mạnh của DDoS cao hơn gấp nhiều lần. Hầu hết các cuộc tấn công DDoS
nhằm vào việc chiếm dụng băng thông gây nghẽn mạch hệ thống dẫn đến hệ thống
ngƣng hoạt động. Để thực hiện thì kẻ tấn cơng tìm cách chiếm dụng và điều khiển
nhiều máy tính/mạng máy tính trung gian, từ nhiều nơi để đồng loạt gửi ào ạt các gói
tin với số lƣợng rất lớn nhằm chiếm dụng tài nguyên và làm nghẽn đƣờng truyền của
một mục tiêu xác định nào đó.

<i>b) Tấn cơng thăm dị </i>

Đối với kiểu tấn cơng thăm dị (Probe), tin tặc qt mạng hoặc máy tính để tìm
ra điểm yếu dễ tấn cơng mà thơng qua đó tin tặc có thể thu thập thông tin trái phép về
tài nguyên, các lỗ hổng hoặc dịch vụ của hệ thống. Các kiểu tấn công thăm dị nhƣ:
Sniffing, Ping Sweep, Ports Scanning,… [8]

Ví dụ: Sniffer là một hình thức nghe lén trên hệ thống mạng dựa trên những đặc
điểm của cơ chế TCP/IP. Sniffer ban đầu là một kỹ thuật bảo mật, đƣợc phát triển
nhằm giúp các nhà quản trị mạng khai thác mạng hiệu quả hơn và có thể kiểm tra các
dữ liệu ra vào mạng cũng nhƣ các dữ liệu trong mạng. Sau này, kẻ tấn công dùng
phƣơng pháp này để lấy cắp mật khẩu hay các thông tin nhạy cảm khác. Biến thể của
sniffer là các chƣơng trình nghe lén bất hợp pháp nhƣ: công cụ nghe lén yahoo, ăn cắp
mật khẩu của thƣ điện tử,…

<i>c) Tấn công chiếm quyền root </i>

</div>
<span class='text_page_counter'>(14)</span><div class='page_container' data-page=14>

6

Kiểu tấn cơng này ít gặp hơn so với hai kiểu tấn công DoS và probe. Tuy nhiên,
đây cũng là loại tấn công rất nguy hiểm do kẻ tấn công chiếm đƣợc quyền cao nhất và
chúng có thể kiểm sốt tồn bộ hệ thống.

<i>d) Tấn công điều khiển từ xa </i>

Đây là kiểu tấn công điều khiển từ một máy tính từ xa có tên tiếng anh là
“remote to local” hay R2L. Ban đầu, kẻ tấn cơng khơng có tài khoản trong hệ thống
nhƣng chúng lại cố gắng gửi các gói tin đến một máy tính trong một hệ thống thơng
qua mạng. Sau đó, chúng khai thác các lỗ hổng bảo mật để truy cập trái phép nhƣng
với tƣ cách của một ngƣời dùng cục bộ [8]. Cách tấn công phổ biến của loại này là
đốn mật khẩu thơng qua phƣơng pháp từ điển brute-force, FTP Write,...

<b>1.2.3.</b> <b>Một số giải pháp ngăn chặn xâm nhập truyền thống </b>

Một số các biện pháp ngăn chặn xâm nhập đƣợc sử dụng khá phổ biến nhƣ:
tƣờng lửa (firewall), mã hóa, xác thực, quyền truy cập,…

<i>a) Tường lửa </i>

Tƣờng lửa có thể là phần mềm hay phần cứng đƣợc thiết kế để ngăn chặn những
truy cập trái phép và cho phép các truy cập hợp pháp đƣợc lƣu thông dựa trên một tập
luật và các tiêu chuẩn khác. Ngoài ra tƣờng lửa cịn có thể mã hóa, giải mã hay ủy
quyền cho các giao dịch giữa các miền bảo mật khác nhau. Một số loại tƣờng lửa có
chức năng chuyên dụng nhƣ: tƣờng lửa lọc gói, cổng ứng dụng, cổng mức mạch…

Tƣờng lửa có một số điểm yếu nhƣ:

(i) Không chống đƣợc các tấn công từ bên trong mạng. Tƣờng lửa luôn giả sử

rằng kẻ xấu chỉ ở bên ngồi mạng, cịn mọi trạm bên trong mạng là đánh tin cậy.

(ii) Không chống đƣợc sự lây nhiễm và phá hoại của các chƣơng trình virus hay
mã độc.

</div>
<span class='text_page_counter'>(15)</span><div class='page_container' data-page=15>

7

kết nối không qua tƣờng lửa do bản thân các tổ chức tạo nên.
<i>b) Mã hóa dữ liệu </i>

Mã hóa dữ liệu là phƣơng pháp bảo vệ thông tin dữ liệu bằng cách chuyển dữ
liệu từ dạng thông thƣờng sang dạng bị mã hóa khơng thể đọc đƣợc, nhƣng có thể đƣa
về dạng ban đầu đƣợc nhờ một hình thức giải mã tƣơng ứng. Tác dụng của nó là ngăn
chặn việc nghe trộm và chỉnh sửa dữ liệu trên đƣờng truyền, bên thứ ba có thể lấy đƣợc
các gói tin đã mã hóa, nhƣng khơng thể đọc đƣợc nội dung thơng điệp từ các gói tin
này. Ngăn chặn việc giả mạo thông tin và đảm bảo tính khơng thể phủ nhận của an tồn
mạng. Tƣơng ứng với mỗi cách mã hóa là một cách giải mã nhất định, bao gồm thuật
toán và bộ khóa mã là bí mật.

<i>c) Xác thực</i>

Xác thực (authentication) là quá trình xác định xem ngƣời dùng đang truy cập
vào hệ thống có phải là ngƣời dùng hợp lệ hay không.

<i>d) Quyền truy cập</i>

Quyền truy cập là mức bảo vệ trong cùng. Sau khi xác thực thành cơng, ngƣời
dùng có thể truy cập vào hệ thống. Tùy vào từng ngƣời dùng cụ thể mà hệ thống sẽ
phân quyền truy cập, sử dụng hệ thống khác nhau.

<b>1.3.</b> <b>Hệ thống phát hiện xâm nhập mạng </b>

Mặc dù, bản thân mỗi hệ thống máy tính đều có những cơ chế bảo mật riêng
nhằm chống lại và ngăn chặn những xâm nhập trái phép nhƣng những giải pháp bảo
mật nhƣ firewall, mã hóa dữ liệu,…chƣa đủ mạnh để có thể phát hiện, cảnh báo, ngăn
chặn đƣợc những cuộc tấn công mới, ngày càng tinh vi hơn. Vấn đề đặt ra là cần phải
xây dựng một hệ thống giám sát chuyên biệt, có khả năng phát hiện và đƣa ra cảnh báo
sớm về các nguy cơ tấn công. Các hệ thống có nhiệm vụ nhƣ vậy đƣợc gọi là hệ thống
phát hiện xâm nhập.

</div>
<span class='text_page_counter'>(16)</span><div class='page_container' data-page=16>

8

Phát hiện xâm nhập mạng là quá trình theo dõi các sự kiện xảy ra trong một hệ
thống máy tính hoặc mạng máy tính và phân tích chúng để tìm ra các dấu hiệu sự cố có
thể xảy ra, đó là các hành vi hoặc các mối đe dọa sắp xảy ra, vi phạm các chính sách
bảo mật, các chính sách sử dụng đƣợc chấp nhận hoặc dựa trên tiêu chuẩn bảo mật [8].

Hệ thống phát hiện xâm nhập mạng (Intrusion Detetion System) là một hệ thống
(có thể là thiết bị phần cứng hay phần mềm) nhằm giám sát lƣu lƣợng mạng theo dõi,
thu thập thông tinđểphát hiện xâm nhập mạng và đƣa ra cảnh báo.

<b>1.3.2.</b> <b>Phân loại hệ thống phát hiện xâm nhập mạng </b>

Hệ thống IDS có thể đƣợc phân loại dựa trên cách thu thập dữ liệu giám sát
hoặc dựa trên phƣơng pháp phân tích [4].

Theo cách phân loại thứ nhất thì IDS đƣợc chia thành hai dạng hệ thống phát
hiện ở mức mạng NIDS (Network -based IDS) và hệ thống phát hiện xâm nhập ở mức
máy trạm chủ HIDS (Host – based IDS)

 <i>Hệ thống phát hiện xâm nhập ở mức mạng (Network – based IDS) </i>

NIDS là một hệ thống độc lập, xác định các truy cập trái phép bằng cách kiểm
tra các luồng thông tin trên mạng và giám sát nhiều máy trạm. NIDS truy cập vào
luồng thông tin trên mạng bằng cách kết nối vào các Hub, Switch đƣợc cấu hình Port
mirroring hoặc Network tap để bắt các gói tin, phân tích nội dung các gói tin và từ đó
sinh ra các cảnh báo hoặc phát hiện tấn công.

Port mirroring đƣợc sử dụng trong một Switch mạng để gửi một bản sao của tất
cả các gói tin trên mạng khi nó đi qua cổng của Switch tới một thiết bị giám sát mạng
trên cổng khác của Switch đó. Nó thƣờng đƣợc dùng trong các thiết bị mạng cần giám
sát luồng trên mạng, ví dụ nhƣ hệ thống IDS, Port mirroring trên Switch của Cisco
System thƣờng đƣợc gọi là Switched Port Analyzer (SPAN) hoặc 3Com là Roving
Analysis Port (RAP).

</div>
<span class='text_page_counter'>(17)</span><div class='page_container' data-page=17>

9

qua một mạng máy tính. Trong nhiều trƣờng hợp, nó đƣợc xem nhƣ là một thành phần
thứ ba để giám sát luồng dữ liệu trao đổi giữa hai điểm mạng, điểm A và điểm B. Một
network tap có ít nhất ba cổng kết nối, một cổng A, một cổng B, và một cổng giám sát.
Để đặt Network tap giữa điểm A và điểm B, cáp mạng giữa hai điểm A, B đƣợc thay
thế bằng một cặp dây, một dây đấu cổng A và dây kia đấu cổng B. Network tap cho
qua tất cả các dữ liệu giữa A và B vì thế giao tiếp giữa A và B vẫn diễn ra bình thƣờng,
tuy nhiên dữ liệu trao đổi đã bị Network tap sao chép và đƣa vào thiết bị giám sát
thơng qua cổng giám sát.

<b>Hình 1.1 Hệ thống phát hiện xâm nhập NIDS </b>

Tuy nhiên, nhƣợc điểm của hệ thống NIDS là giới hạn băng thơng và có thể xảy
ra hiện tƣợng tắc nghẽn cổ chai khi lƣu lƣợng mạng hoạt động ở mức cao.

 <i>Hệ thống phát hiện xâm nhập ở mức máy trạm chủ (Host – based IDS) </i>

</div>
<span class='text_page_counter'>(18)</span><div class='page_container' data-page=18>

10

<b>Hình 1.2 Hệ thống phát hiện xâm nhập HIDS </b>

Nhƣợc điểm của HIDS là việc thu thập dữ liệu xảy ra trên mỗi trạm máy chủ và
ghi vào log do đó có thể làm giảm hiệu năng mạng.

Theo cách phân loại thứ hai thì IDS đƣợc chia làm hai dạng phát hiện dấu hiệu
dựa vào đặc trƣng (của cuộc xâm nhập) hay dựa vào dấu hiệu (Signature-based IDS)
và dựa vào bất thƣờng (Anomaly-based IDS).

 <i>Hệ thống phát hiện xâm nhập dựa vào đặc trưng (Signature-based IDS) </i>

Hệ thống IDS loại này dựa vào các dấu hiệu của các cuộc xâm nhập. Những dấu
hiệu đó có thể là thơng tin về các kết nối nguy hiểm đã biết trƣớc. Hệ thống sẽ mơ hình
hóa các dấu hiệu của các cuộc xâm nhập đã biết và bằng việc so sánh thơng tin của các
gói tin đến với các dấu hiệu này để phát hiện ra các hoạt động đáng ngờ và đƣa ra cảnh
báo cho hệ thống.

Ƣu điểm của hệ thống này là rất hiệu quả trong việc phát hiện tấn công đã biết
với tỷ lệ cảnh báo sai thấp. Tuy nhiên, nhƣợc điểm chính của hệ thống là chỉ phát hiện
đƣợc những cuộc tấn công đã biết, thƣờng xuyên cập nhật các đặc trƣng (dấu hiệu) về
các cuộc tấn công mới và thời gian phát hiện tăng khi cơ sở dữ liệu lớn.

 <i>Hệ thống phát hiện xâm nhập dựa vào bất thường (Anomaly-based IDS) </i>

</div>
<span class='text_page_counter'>(19)</span><div class='page_container' data-page=19>

11

<i>công khác biệt với dấu hiệu của những trạng thái mạng được coi là bình thường”. Khi </i>
đó, việc phát hiện sẽ diễn đƣợc tiến hành qua hai giai đoạn: giai đoạn huấn luyện (pha
huấn luyện) và gia đoạn phát hiện (pha phát hiện). Tại pha huấn luyện sẽ xây dựng một
hồ sơ về các hoạt động bình thƣờng (thơng số chuẩn). Sau đó tại pha phát hiện sẽ tiến
hành so khớp các quan sát (gói tin) với hồ sơ từ đó xác định dấu hiệu bất thƣờng.

Ƣu điểm của hệ thống này là hiệu quả trong việc phát hiện các mối nguy hiểm
không đƣợc biết trƣớc. Những năm gần đây, hƣớng tiếp cận này đang thu hút rất nhiều
sự quan tâm của các nhà nghiên cứu [5][17]. Do đó, luận văn cũng tập trung vào hƣớng
tiếp cận này.

<b>1.4.</b> <b>Một số cách tiếp cận cho bài toán phát hiện xâm nhập </b>

Trong phần này luận văn sẽ điểm qua một số cách tiếp cận phổ biến cho bài toán
phát hiện xâm nhập mạng nhƣ phát hiện xâm nhập dựa vào luật, dựa vào phân tích
thống kê hay dựa vào các thuật toán học máy.

<b>1.4.1.</b> <b>Cách tiếp cận dựa vào luật </b>

Phát hiện xâm nhập dựa vào luật (rule-based) là một trong những phƣơng pháp
ra đời từ rất sớm có ứng dụng rộng rãi và phổ biến nhất [20]. Đó là một trong những
cách tiếp cận dựa vào dấu hiệu xâm nhập.

Quá trình phát hiện xâm nhập dựa tập luật thƣờng đƣợc thực hiện nhƣ sau:
Bƣớc 1: Hệ thống tiến hành trích chọn những dấu hiệu xâm nhập từ những dấu
hiệu xâm nhập của các cuộc tấn cơng trƣớc đó.

Bƣớc 2: Xây dựng cơ sở dữ liệu các luật về các kiểu xâm nhập đó với định dạng
nhƣ sau:

<i><b>if {condition} then {atc} </b></i>
Trong đó:

</div>
<span class='text_page_counter'>(20)</span><div class='page_container' data-page=20>

12

nhƣ: duration, protocol, source port, destination port, service,...
o <i>atc: kiểu tấn công. </i>

Bƣớc 3: Hệ thống sử dụng các thuật toán so khớp để phát hiện xâm nhập.

<b>Ví dụ: </b>

 Luật quy định các kiểu tấn công dos.

<i>if(duration = “0:0:1” and protocol = “finger” and source_port = 18982 and </i>
<i>destination_port = 79 and source_ip = “9.9.9.9” and destination_ip = </i>
<i>“172.16.112.50” and service =“private”) then (attack name = “dos”). </i>

 Luật quy định các kiểu tấn công probe.

<i>if(duration = “0:0:1” and protocol = “telnet” and source_port = 18982 and </i>
<i>destination_port = 79 and source_ip = “9.9.9.9” and destination_ip = </i>
<i>“172.16.112.50” and service =“fpt”) then (attack name = “probe”). </i>

Ƣu điểm của hệ thống phát hiện dựa vào luật là dễ cài đặt, dễ thêm các luật mới
và đơn giản trong việc sử dụng. Khi hệ thống mạng đứng trƣớc những nguy cơ tấn
công mới, ngƣời quản trị chỉ việc cập nhật thêm các luật chƣa có vào cơ sở dữ liệu.
Phƣơng pháp này có tỉ lệ phát hiện nhầm rất thấp vì nó dùng cách phân tích gói tin và
so sánh với mẫu đã có.

Tuy nhiên, nhƣợc điểm chính của cách tiếp cận này là không phát hiện đƣợc
những mẫu tấn công mới chƣa đƣợc biết trƣớc. Bên cạnh đó, hệ thống phải liên tục cập
nhật các luật về các cuộc tấn công mới. Nếu cơ sở dữ liệu chứa luật lớn thì thời gian
phát hiện cũng tăng theo.

<b>1.4.2.</b> <b>Cách tiếp cận dựa vào thống kê </b>

</div>

<!--links-->