MỞ ĐẦU 1. Lý do chọn đề tài: Kể từ khi mạng Internet ra đời đến nay, thế giới đã chứng kiến sự thay đổi vô cùng to lớn và kì diệu về nhiều mặt của đời sống con ngƣời. Nền kinh tế thế giới và đời sống xã hội đã có nhiều sự biến đổi và ngày càng phụ thuộc vào công nghệ thông tin nói chung cũng nhƣ công nghệ Internet nói riêng. Điều đó cũng dẫn đến một mặt trái, đó là càng ngày càng nhiều các thông tin quan trọng của các cơ quan, tổ chức hay cá nhân lƣu trữ trên các mạng máy tính, mà đa số các mạng máy tính này lại không đảm bảo độ an toàn, bảo mật thông tin tuyệt đối.
Đi cùng với sự phát triển đó là những nguy cơ tấn công và xâm nhập mạng không ngừng gia tăng. Các đối tƣợng tấn công và hình thức tấn công mạng ngày một đa dạng, tinh vi và phức tạp hơn. Vấn đề bảo mật, an toàn cho các hệ thống thông tin nói chung và hệ thống mạng nói riêng là một vấn đề cấp bách và rất đáng đƣợc quan tâm. Bởi vậy, để bảo vệ các hệ thống thông tin ngƣời ta sử dụng nhiều các giải pháp kỹ thuật khác nhau nhƣ hệ thống tƣờng lửa, mã hoá, mạng riêng ảo (VPN), phòng chống virus…Trong đó phát hiện xâm nhập trái phép (IDS) là một trong những công nghệ quan trọng nhất nhằm giúp các tổ chức phát hiện và ngăn chặn kịp thời các tấn công trong thời gian thực, cũng nhƣ dự đoán đƣợc các nguy cơ tấn công trong tƣơng lai [3], [5].
Chính vì vậy, nghiên cứu về hệ thống IDS sẽ giúp chúng ta nâng cao khả năng xây dựng hệ thống phòng thủ cho việc giám sát an ninh mạng. Hai phƣơng pháp cơ bản để phát hiện xâm nhập trái phép là dựa trên tập luật và dựa trên các dấu hiệu bất thƣờng [1], [2], [6], [7]. Phƣơng pháp dựa trên tập luật có thể phát hiện các tấn công dựa trên một cơ sở dữ liệu các dấu hiệu đã đƣợc định nghĩa trƣớc. Phƣơng pháp này thƣờng có độ chính xác cao cũng nhƣ ít đƣa ra các cảnh báo nhầm.
Tuy nhiên, vấn đề của phƣơng pháp này là không thể phát hiện đƣợc các tấn công mới chƣa đƣợc định nghĩa hoặc cập nhật trong cơ sở dữ liệu. Phƣơng pháp dựa trên các dấu hiệu bất thƣờng có thể giúp xác định các tấn công mới nhƣng thƣờng cho độ chính xác thấp hơn so với phƣơng pháp dựa trên tập luật. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.com 2 Hiện nay, Khai phá dữ liệu đã có nhiều bƣớc phát triển vƣợt bậc và có nhiều ứng dụng kỹ thuật bằng các thuật toán khác nhau trong thực tế. Khai phá dữ liệu là một phƣơng pháp tiếp cận mới trong việc phát hiện xâm nhập.
Xây dựng mô hình hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu là một hƣớng phát triển mới và hiệu quả trong xây dựng hệ thống IDS. Xuất phát từ những yêu cầu và lý do trên, em lựa chọn đề tài luận văn là: "Tìm hiểu, nghiên cứu hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu". Luận văn nghiên cứu khai phá dữ liệu và nghiên cứu ứng dụng mô hình hệ thống phát hiện xâm nhập trái phép dựa trên khai phá dữ liệu; Từ đó đánh giá hiệu năng của hệ thống phát hiện xâm nhập đối với các thuật toán phân lớp khác nhau trong thực tế. Mục tiêu nghiên cứu: - Nghiên cứu tổng quan về hệ thống phát hiện xâm nhập.
- Nghiên cứu một số thuật toán khai phá dữ liệu. - Ứng dụng một số thuật toán khai phá dữ liệu trong phát hiện xâm nhập, so sánh sự hiệu quả của các thuật toán. - Đánh giá hiệu năng cho mô hình đó bằng các thuật toán phân lớp khác nhau nhƣ: Naïve Bayes, Decision Tree. Đối tƣợng và phạm vi nghiên cứu: - Nghiên cứu mô hình hệ thống IDS hiện nay và đánh giá ƣu, nhƣợc điểm của IDS.
- Nghiên cứu các bài toán, kỹ thuật khai phá dữ liệu. - Ứng dụng của khai phá dữ liệu trong hệ thống phát hiện xâm nhập. - Một số thuật toán phân lớp dữ liệu. - Đánh giá hiệu năng các kỹ thuật phân lớp cho hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu.
Ý nghĩa thực tiễn của luận văn: - Nghiên cứu ứng dụng mô hình hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu giải quyết các vấn đề tồn tại của hệ thống IDS hiện nay. - Đánh giá hiệu quả phân lớp cho mô hình. Đồng thời đề xuất lựa chọn các kỹ thuật phân lớp phù hợp với từng loại tấn công cụ thể cho hệ thống phát hiện xâm nhập dựa trên khai phá dữ liệu đã đề xuất. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.
Phƣơng pháp nghiên cứu: Việc giám sát các hành động trên mạng có thể thu thập và phân tích để phát hiện ra các tấn công mạng. Các hành động này có thể tìm thấy trong các tệp log của ứng dụng nhƣ tạo, xóa file, truy cập vào tệp có mật khẩu, gọi các lệnh của hệ thống. Việc phân tích phát hiện các tấn công dựa trên tập dữ liệu về các hành động này có thể thực hiện thông qua các thuật toán phân lớp dữ liệu, để phân lớp thành các lớp tấn công đã biết trƣớc hoặc lớp truy cập bình thƣờng. Nghiên cứu các tài liệu liên quan trong lĩnh vực khai phá dữ liệu và phát hiện xâm nhập.
Tìm hiểu, nghiên cứu các kỹ thuật phát hiện xâm nhập dựa trên phƣơng pháp thống kê và khai phá dữ liệu. Trên cơ sở nghiên cứu và phân tích tập dữ liệu DARPA [15]. Phân tích bằng lý thuyết và thực nghiệm để xác định các thuộc tính quan trọng của tập dữ liệu có ảnh hƣởng đến một hành động tấn công cụ thể, từ đó trích rút và chuyển đổi thành định dạng phù hợp cho các thuật toán học phân lớp. Nghiên cứu xây dựng các thực nghiệm sử dụng phần mềm Weka [14], đánh giá hiệu quả của các thuật toán học phân lớp trên tập dữ liệu DARPA.
Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.com 4 CHƢƠNG I: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN XÂM NHẬP Hệ thống phát hiện xâm nhập trái phép ra đời cách đây khoảng hơn 30 năm và nó đã trở nên rất có ích cho việc bảo vệ các hệ thống mạng máy tính, bằng cách đƣa ra các cảnh báo khi có dấu hiệu tấn công vào hệ thống, từ đó cho phép ngƣời quản trị có thể xử lý kịp thời nhằm hạn chế các rủi ro do các tấn công gây ra. Chƣơng này sẽ trình bày tổng quan về IDS hiện nay, để làm cơ sở cho nghiên cứu tiếp theo trong luận văn.1 Khái niệm về hệ thống phát hiện xâm nhập. Hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS) cung cấp thêm cho việc bảo vệ an toàn thông tin mạng một mức độ cao hơn. Nó đƣợc đánh giá về giá trị không giống nhƣ firewall và VPN là ngăn ngừa các cuộc tấn công mà IDS cung cấp sự bảo vệ bằng cách trang bị cho bạn thông tin về cuộc tấn công.
Bởi vậy, một IDS có thể thoả mãn nhu cầu về an toàn hệ thống của bạn bằng cách cảnh báo cho bạn về khả năng các cuộc tấn công (và thỉnh thoảng thì ngoài những thông báo chính xác thì chúng cũng đƣa ra một số cảnh báo chƣa đúng). Nhìn chung, IDS không tự động cấm các cuộc tấn công hoặc là ngăn chặn những ngƣời khai thác một cách thành công, tuy nhiên, một sự phát triển mới nhất của IDS đó là hệ thống ngăn chặn xâm nhập (the intrusion prevention systems) đã có để thực hiện nhiều vai trò hơn và có thể ngăn chặn các cuộc tấn công khi nó xảy ra. Hệ thống phát hiện xâm nhập (IDS) là hệ thống phần cứng, phần mềm hoặc kết hợp cả hai đƣợc sử dụng để phát hiện các hành động truy nhập trái phép, có chức năng giám sát lƣu thông mạng, tự động theo dõi các sự kiện xảy ra trên hệ thống máy tính, phân tích để phát hiện ra các vấn đề liên quan đến an ninh, bảo mật và đƣa ra cảnh báo cho nhà quản trị. Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.1- IDS-giải pháp bảo mật bổ sung cho Firewall Hệ thống phát hiện xâm nhập thƣờng thực hiện việc giám sát, theo dõi và thu thập thông tin từ nhiều nguồn khác nhau.
Sau đó sẽ phân tích, đánh giá nhằm phát hiện việc xâm nhập đã đƣợc thực hiện, đang xuất hiện hoặc khả năng đối phó với những xâm nhập khi đã bị xâm nhập trong các mạng và các hệ thống thông tin. Đồng thời tìm ra dấu hiệu của sự xâm nhập hay tấn công hệ thống và thông báo đến ngƣời quản trị hệ thống. IDS đƣợc coi là công cụ bảo mật vô cùng quan trọng, nó đƣợc lựa chọn là giải pháp bảo mật đƣợc bổ sung cho Firewall. Một IDS có khả năng phát hiện ra các đoạn mã độc hại hoạt động trong hệ thống mạng, có khả năng vƣợt qua đƣợc Firewall.
Nó có thể kết hợp với Firewall hoặc một số công cụ khác để đƣa ra cách đối phó với những đoạn mã độc đó.2 Chức năng và vai trò của hệ thống phát hiện xâm nhập.1 Chức năng nhiệm vụ của IDS Hệ thống phát hiện xâm nhập cho phép các tổ chức bảo vệ hệ thống của họ khỏi những đe dọa với việc gia tăng kết nối mạng và sự tin cậy của hệ thống thông tin. Những đe dọa đối với an ninh mạng ngày càng trở nên cấp thiết đã đặt ra câu hỏi cho các nhà an ninh mạng chuyên nghiệp có nên sử dụng hệ thống phát hiện xâm nhập trừ khi những đặc tính của hệ thống phát hiện xâm nhập là hữu ích cho họ, bổ sung những điểm yếu của hệ thống khác… Số hóa bởi Trung tâm Học liệu – ĐHTN http://www.vn download by : skknchat@gmail.com 6 Ngày nay, IDS đã trở nên rất có ích và hiệu quả trong việc phòng chống và giảm thiểu các nguy cơ tấn công, bảo vệ an toàn cho các hệ thống thông tin. Hệ thống phát hiện xâm nhập trái phép IDS có các chức năng quan trọng nhất là: Giám sát – Cảnh báo – Bảo vệ. + Giám sát: Lƣu lƣợng mạng và các hoạt động khả nghi.
+ Cảnh báo: Báo cáo về tình trạng mạng cho hệ thống và nhà quản trị. + Bảo vệ: Dùng những thiết lập mặc định và sự cấu hình từ nhà quản trị mà có những hành động thiết thực chống lại kẻ xâm nhập và phá hoại bảo vệ sự toàn vẹn các hệ thống và các file dữ liệu quan trọng.