LỜI MỞ ĐẦU Thế kỷ XXI, chứng kiến sự phát triển nhanh chóng của Internet và những ảnh hƣởng sâu rộng tới mọi lĩnh vực đời sống của con ngƣời. Song song với những lợi ích mà mạng máy tính đem lại thì nó cũng trở thành mục tiêu lợi dụng của những kẻ tấn công, xâm nhập trái phép nhằm thực hiện những mƣu đồ xấu, đe dọa tới tính an toàn về bảo mật thông tin của các tổ chức hay những ngƣời dùng kết nối mạng. Mặc dù, mỗi hệ thống máy tính đều có những cơ chế tự bảo vệ riêng nhƣng có thể chƣa đủ để phát hiện hay ngăn chặn những cuộc tấn công ngày một tinh vi hơn. Vấn đề đặt ra là làm sao xây dựng đƣợc một hệ thống có thể phát hiện sớm và có hiệu quả các cuộc tấn công hay xâm nhập trái phép từ đó đƣa ra những cảnh báo và biện pháp xử lý kịp thời.
Một số các hệ thống phát hiện xâm nhập mạng truyền thống đƣợc áp dụng khá phổ biến và rộng rãi trên thế giới nhƣ hệ thống phát hiện xâm nhập dựa trên tập luật, phân tích thống kê,…Các hệ thống trên đã phát hiện tốt những cuộc tấn công đã biết với tỷ lệ cảnh báo sai thấp. Tuy nhiên, chúng tại tỏ ra kém hiệu quả đối với những cuộc tấn công mới, đồng thời phải luôn cập nhật luật mới. Một vài nghiên cứu gần đây [1][5] đƣa ra một hƣớng tiếp cận mới dựa vào học máy cho bài toán phát hiện xâm nhập mạng. Từ những nghiên cứu và thực nghiệm trên những bộ dữ liệu chuẩn, các tác giả chỉ ra rằng các thuật toán dựa vào học máy có khả năng học và tiếp thu những tri thức mới từ những tri thức đã biết từ đó giúp phân loại những mẫu đã đƣợc học, dự đoán tốt những mẫu mới (các kiểu tấn công mới).
Điều này hứa hẹn sẽ đem lại một cách tiếp cận hiệu quả cho bài toán phát hiện xâm nhập.Vì vậy, luận văn sẽ tập trung đi theo hƣớng tiếp cận này và lựa chọn ba thuật toán điển hình đang nhận đƣợc sự quan tâm nghiên cứu gần đây là hồi quy logistic, máy véc-tơ hỗ trợ, mạng nơ-ron nhân tạo. Đồng thời tiến hành xây dựng các hệ thống phát hiện xâm nhập dựa vào các thuật toán học máy từ đó phân tích và đánh giá hiệu quả của từng thuật toán trong việc phát hiện xâm nhập. 1 TIEU LUAN MOI download : skknchat@gmail.com Luận văn “Đánh giá hiệu quả một số thuật toán trong phát hiện xâm nhập mạng” đƣợc chia làm ba chƣơng với nội dung nhƣ sau: Chƣơng 1: Tổng quan: Hệ thống hóa các vấn đề liên quan tới phát hiện xâm nhập mạng và hệ thống phát hiện xâm nhập mạng. Ngoài ra, chƣơng một cũng trình bày một số cách tiếp cận chính để giải quyết vấn đề phát hiện xâm nhập mạng.
Chƣơng 2: Phát hiện xâm nhập mạng dựa vào học máy: Trình bày một số thuật toán học máy có giám sát điển hình nhƣ hồi quy logistic, máy véc-tơ hỗ trợ, mạng nơ-ron nhân tạo cho bài toán phát hiện xâm nhập, cũng nhƣ việc áp dụng các thuật toán giải quyết bài toán này. Bên cạnh đó, trong chƣơng này cũng trình bày vấn đề rút gọn các đặc trƣng sử dụng độ đo information gain để giảm thiểu chi phí tính toán và thời gian phát hiện. Chƣơng 3: Đánh giá hiệu quả của một số thuật toán trong việc phát hiện xâm nhập mạng: Tiến hành thực nghiệm các thuật toán học máy đã nêu trong chƣơng hai trên nhiều bộ dữ liệu chuẩn (KDD CUP 99), từ đó có những đánh giá, nhận xét và so sánh về tỷ lệ phát hiện xâm nhập cùng thời gian phát hiện của mỗi mô hình. 2 TIEU LUAN MOI download : skknchat@gmail.com Chƣơng 1: Tổng quan về phát hiện xâm nhập mạng 1.
Giới thiệu Trong những năm gần đây, sự phát triển nhƣ vũ bão của mạng Internet đem lại những lợi ích không nhỏ cho con ngƣời bao gồm cả đời sống, công nghệ, kinh tế, xã hội,. Bên cạnh đó thì Interner cũng trở thành môi trƣờng lý tƣởng cho những kẻ xấu lợi dụng để thực hiện hành vi xâm nhập trái phép, tấn công vào những hệ thống máy tính của các cá nhân hay tổ chức gây ra những thiệt hại nghiêm trọng. Vì vậy, vấn đề an ninh và bảo mật ngày càng đƣợc quan tâm. Khi triển khai một hệ thống thông tin thì cũng đồng nghĩa với việc xây dựng cơ chế bảo vệ chặt chẽ, an toàn cho hệ thống thông tin của doanh nghiệp, tổ chức là góp phần quan trọng vào việc duy trì tính bền vững của hệ thống.
Để làm đƣợc điều đó, thì tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những phƣơng thức tấn công vào hệ thống mạng. Một bức tƣờng lửa không thể đủ mạnh để có thể chống đỡ mọi ý đồ xâm nhập vào hệ thống. Vì vậy, ngoài việc am hiểu sâu sắc các vấn đề bảo mật của những ngƣời quản trị an ninh mạng thì cũng rất cần những hệ thống, hay công cụ có thể trợ giúp đặc lực cho việc đảm bảo an toàn của các hệ thống. Nhiệm vụ bảo mật thông tin và bảo vệ môi trƣờng mạng vì vậy mà rất nặng nề và khó đoán định trƣớc.
Nhƣng tựu chung lại, các nhiệm vụ trên gồm bốn hƣớng chính là: bảo đảm an toàn cho phía máy chủ, bảo đảm an toàn cho phía khách, bảo mật thông tin trên đƣờng truyền và phát hiện xâm nhập mạng. Trong đó, phát hiện xâm nhập mạng (intrusion detection) hiện đang là một trong những vấn đề đƣợc quan tâm hàng đầu hiện nay bởi sự gia tăng nhanh chóng của các cuộc xâm nhập trái phép. Những kẻ xâm nhập ngày càng nguy hiểm, tinh vi và phức tạp hơn. Vì thế, trong nghiên cứu này, luận văn tập trung vào việc nghiên cứu bài toán phát hiện xâm nhập mạng, xây dựng và đánh giá các mô hình phát hiện xâm nhập mạng.
3 TIEU LUAN MOI download : skknchat@gmail. Khái niệm Hiện nay vẫn chƣa có định nghĩa chính xác về thuật ngữ xâm nhập. Mỗi chuyên gia trong lĩnh vực an toàn thông tin luận giải thuật ngữ này theo ý hiểu của mình. Tuy nhiên, định nghĩa của Kendall năm 1999 đƣợc biết đến rộng rãi nhất.
Tác giả đã đƣa ra khái niệm về xâm nhập nhƣ sau: “Tấn công hay còn gọi là xâm nhập mạng là những hoạt động có chủ đích, lợi dụng các tổn thương của hệ thống thông tin nhằm phá vỡ tính sẵn sàng, tính toàn vẹn và tính bảo mật của hệ thống” [8]. Một số kiểu xâm nhập phổ biến Có rất nhiều kiểu xâm nhập mạng khác nhau và thƣờng đƣợc phân thành các loại chính: tấn công từ chối dịch vụ, kiểu thăm dò, tấn công chiếm quyền “root”, tấn công điều khiển từ xa. Phần dƣới đây sẽ trình bày chi tiết về các kiểu tấn công này. a) Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ (Denial of Service) hay viết tắt DoS là kiểu tấn công làm cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ, làm gián đoạn hoạt động của hệ thống hoặc hệ thống phải ngƣng hoạt động [8].
Tùy theo phƣơng thức thực hiện mà nó đƣợc biết dƣới nhiều tên gọi khác nhau. Bắt đầu là lợi dụng sự yếu kém của giao thức TCP để thực hiện tấn công từ chối dịch vụ DoS. Ngoài ra còn có kiểu tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) và mới nhất là tấn công từ chối dịch vụ theo phƣơng pháp phản xạ DRDoS (Distributed Reflection of Service). Tấn công từ chối dịch vụ cổ điển DoS sử dụng các hình thức: bom thƣ, đăng nhập liên tiếp, làm ngập SYN, tấn công Smurf, trong đó thủ phạm sinh ra nhiều giao 4 TIEU LUAN MOI download : skknchat@gmail.com tiếp ICMP tới địa chỉ Broadcast của các mạng với địa chỉ nguồn là mục tiêu cần tấn công, tấn công “gây lụt” UDP… Tấn công dịch vụ phân tán DDoS xuất hiện vào năm 1999, so với tấn công DoS cổ điển, sức mạnh của DDoS cao hơn gấp nhiều lần.
Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông gây nghẽn mạch hệ thống dẫn đến hệ thống ngƣng hoạt động. Để thực hiện thì kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính/mạng máy tính trung gian, từ nhiều nơi để đồng loạt gửi ào ạt các gói tin với số lƣợng rất lớn nhằm chiếm dụng tài nguyên và làm nghẽn đƣờng truyền của một mục tiêu xác định nào đó. b) Tấn công thăm dò Đối với kiểu tấn công thăm dò (Probe), tin tặc quét mạng hoặc máy tính để tìm ra điểm yếu dễ tấn công mà thông qua đó tin tặc có thể thu thập thông tin trái phép về tài nguyên, các lỗ hổng hoặc dịch vụ của hệ thống. Các kiểu tấn công thăm dò nhƣ: Sniffing, Ping Sweep, Ports Scanning,… [8] Ví dụ: Sniffer là một hình thức nghe lén trên hệ thống mạng dựa trên những đặc điểm của cơ chế TCP/IP.
Sniffer ban đầu là một kỹ thuật bảo mật, đƣợc phát triển nhằm giúp các nhà quản trị mạng khai thác mạng hiệu quả hơn và có thể kiểm tra các dữ liệu ra vào mạng cũng nhƣ các dữ liệu trong mạng. Sau này, kẻ tấn công dùng phƣơng pháp này để lấy cắp mật khẩu hay các thông tin nhạy cảm khác. Biến thể của sniffer là các chƣơng trình nghe lén bất hợp pháp nhƣ: công cụ nghe lén yahoo, ăn cắp mật khẩu của thƣ điện tử,… c) Tấn công chiếm quyền root Kiểu tấn công chiếm quyền root (User to Root) viết tắt là U2R, tin tặc với quyền của một ngƣời dùng bình thƣờng cố gắng để đạt đƣợc quyền truy nhập cao nhất (đặc quyền của ngƣời quản trị) vào hệ thống một cách bất hợp pháp [8]. Cách thức phổ biến của kiểu tấn công này là gây tràn bộ đệm.
5 TIEU LUAN MOI download : skknchat@gmail.com Kiểu tấn công này ít gặp hơn so với hai kiểu tấn công DoS và probe. Tuy nhiên, đây cũng là loại tấn công rất nguy hiểm do kẻ tấn công chiếm đƣợc quyền cao nhất và chúng có thể kiểm soát toàn bộ hệ thống. d) Tấn công điều khiển từ xa Đây là kiểu tấn công điều khiển từ một máy tính từ xa có tên tiếng anh là “remote to local” hay R2L. Ban đầu, kẻ tấn công không có tài khoản trong hệ thống nhƣng chúng lại cố gắng gửi các gói tin đến một máy tính trong một hệ thống thông qua mạng.
Sau đó, chúng khai thác các lỗ hổng bảo mật để truy cập trái phép nhƣng với tƣ cách của một ngƣời dùng cục bộ [8]. Cách tấn công phổ biến của loại này là đoán mật khẩu thông qua phƣơng pháp từ điển brute-force, FTP Write,.