Luận văn thạc sĩ khoa học máy tính xây dựng cây quyết định trực quan tương tác để phát triển các quy tắc phát hiện tấn công mạng

Luận văn thạc sĩ trình bày phương pháp xây dựng cây quyết định tương tác nhằm phát triển quy tắc phát hiện tấn công mạng hiệu quả.

Chuyên ngành

Khoa học Máy tính

Người đăng

Ẩn danh

Thể loại

Luận văn thạc sĩ

2018

71
3
0

Phí lưu trữ

30 Point

Tóm tắt

I. Xây dựng cây quyết định

Luận văn tập trung vào việc xây dựng cây quyết định như một phương pháp hiệu quả để phát hiện các cuộc tấn công mạng. Cây quyết định được sử dụng để phân loại và dự đoán các hành vi bất thường trong hệ thống mạng. Phương pháp này dựa trên việc phân tích dữ liệu nhật ký từ các nguồn khác nhau, bao gồm hệ thống tường lửa, hệ thống phát hiện xâm nhập (IDS), và hệ thống phòng chống xâm nhập (IPS). Cây quyết định giúp quản trị viên bảo mật hiểu rõ hơn về các mối đe dọa và xây dựng các quy tắc phát hiện tấn công phù hợp.

1.1. Cơ sở lý thuyết

Luận văn đề cập đến các lý thuyết cơ bản về cây quyết định, bao gồm cách thức hoạt động và ứng dụng trong lĩnh vực an ninh mạng. Các thuật toán máy học như ID3, C4.5 được sử dụng để xây dựng cây quyết định. Phương pháp này cho phép phân tích dữ liệu lớn và đưa ra các quyết định dựa trên các thuộc tính của dữ liệu.

1.2. Ứng dụng trong phát hiện tấn công mạng

Cây quyết định được áp dụng để phát hiện các cuộc tấn công mạng bằng cách phân tích các sự kiện bất thường trong hệ thống. Luận văn đề xuất việc sử dụng cây quyết định để tạo ra các quy tắc phát hiện tấn công, giúp giảm thiểu các báo động giả và nâng cao hiệu quả của hệ thống phát hiện xâm nhập.

II. Cây quyết định trực quan tương tác

Luận văn giới thiệu khái niệm cây quyết định trực quan tương tác, một công cụ hỗ trợ quản trị viên bảo mật trong việc phân tích và xây dựng các quy tắc phát hiện tấn công. Công cụ này kết hợp giữa trực quan hóa dữ liệu và tương tác người dùng, cho phép quản trị viên dễ dàng hiểu và điều chỉnh các quy tắc phát hiện tấn công. Cây quyết định trực quan tương tác giúp giảm tải công việc cho quản trị viên và nâng cao hiệu quả của hệ thống phát hiện xâm nhập.

2.1. Trực quan hóa dữ liệu

Luận văn nhấn mạnh tầm quan trọng của trực quan hóa dữ liệu trong việc hiển thị thông tin một cách trực quan và dễ hiểu. Các biểu đồ và đồ thị được sử dụng để hiển thị các nút và nhánh của cây quyết định, giúp quản trị viên dễ dàng phân tích và đưa ra quyết định.

2.2. Tương tác người dùng

Tương tác người dùng là yếu tố quan trọng trong việc xây dựng cây quyết định trực quan. Luận văn đề xuất các phương pháp tương tác như lựa chọn thuộc tính, điều chỉnh ngưỡng và xem xét các kết quả phân tích. Điều này giúp quản trị viên bảo mật có thể tùy chỉnh các quy tắc phát hiện tấn công một cách linh hoạt.

III. Phát hiện tấn công mạng

Luận văn tập trung vào việc phát hiện tấn công mạng thông qua việc sử dụng cây quyết định trực quan tương tác. Phương pháp này giúp phát hiện các cuộc tấn công mạng một cách hiệu quả, đặc biệt là các cuộc tấn công có chủ đích (APT). Phát hiện tấn công mạng dựa trên việc phân tích dữ liệu nhật ký và xây dựng các quy tắc phát hiện tấn công phù hợp với môi trường hoạt động của tổ chức.

3.1. Phân tích dữ liệu nhật ký

Luận văn đề cập đến việc phân tích dữ liệu nhật ký từ các hệ thống bảo mật như tường lửa, IDS và IPS. Dữ liệu nhật ký được sử dụng để xác định các hành vi bất thường và xây dựng các quy tắc phát hiện tấn công.

3.2. Xây dựng quy tắc phát hiện tấn công

Xây dựng quy tắc phát hiện tấn công là một quá trình phức tạp, đòi hỏi sự hiểu biết sâu về hệ thống và các mối đe dọa. Luận văn đề xuất việc sử dụng cây quyết định trực quan tương tác để hỗ trợ quản trị viên bảo mật trong việc xây dựng và điều chỉnh các quy tắc phát hiện tấn công.

IV. Ứng dụng thực tiễn

Luận văn đánh giá hiệu quả của phương pháp xây dựng cây quyết định trực quan tương tác trong việc phát hiện tấn công mạng thông qua các thử nghiệm thực tế. Kết quả cho thấy phương pháp này giúp giảm thiểu các báo động giả và nâng cao hiệu quả của hệ thống phát hiện xâm nhập. Ứng dụng thực tiễn của luận văn có thể được áp dụng trong các tổ chức có quy mô lớn, nơi mà việc quản lý và phân tích dữ liệu nhật ký là một thách thức lớn.

4.1. Thử nghiệm và đánh giá

Luận văn tiến hành các thử nghiệm thực tế để đánh giá hiệu quả của phương pháp xây dựng cây quyết định trực quan tương tác. Các thử nghiệm được thực hiện trên dữ liệu nhật ký từ hệ thống SIEM của một công ty tài chính tại TP. Hồ Chí Minh.

4.2. Kết quả và đóng góp

Kết quả thử nghiệm cho thấy phương pháp này giúp giảm thiểu các báo động giả và nâng cao hiệu quả của hệ thống phát hiện xâm nhập. Đóng góp của luận văn là đề xuất một phương pháp mới trong việc phát hiện tấn công mạng, giúp quản trị viên bảo mật làm việc hiệu quả hơn.

21/02/2025

Trích đoạn nội dung tài liệu

Chương 1: Giới thiệu dé tài, trình bày về nhu cầu, khó khăn và thách thức của việc phát triển các quy tắc phát hiện xâm nhập, mục đích và ý nghĩa của việc nghiên cứu, giới hạn dé tài và cau trúc bài báo cáo. - Chương 2: Cơ sở lý thuyết, trình bay tong quan về hệ thống phát hiện xâm nhập, hệ thống quản lý sự kiện và thông tin bảo mật, bảo mật dựa trên trực quan hóa, học dựa trên cây quyết định. - Chương 3: Các công trình nghiên cứu liên quan, trình bày các công trình nghiên cứu học dựa theo cây quyết định, cây quyết định tương tác, trực quan hóa bảo mật, phát hiện xâm nhập dựa trên trực quan hóa. - Chương 4: Đề xuất thiết kế và hiện thực nguyên mẫu, trình bày đặc ta dữ liệu đầu vào, thành phần hệ thống, thiết kế giao diện trực quan - tương tác.

- Chương 5: Thí nghiệm và kết quả, trình bày về thu thập dữ liệu, thiết lập thực nghiệm, đánh giá kết qua. - Chương 6: Kết luận, trình bày kết quả các đóng góp của dé tai, hạn chế của dé tài, hướng phát triển trong tương lai. CHƯƠNG 2: CƠ SỞ LÝ THUYET 2. Hệ thống phát hiện xâm nhập (IDS) Hệ thông phát hiện xâm nhập là hệ thống phát hiện các dấu hiệu của tan công xâm nhập.

theo dõi các hoạt động dé tìm ra các dẫu hiệu của tan công và cảnh báo cho người quản trị bảo mật. Khác với tường lửa, hệ thông phát hiện xâm nhập không thực hiện các thao tác ngăn chặn truy nhập nhưng có khả năng phát hiện được các cuộc tấn công từ bên trong. Ngoài ra, hệ thống phát hiện xâm nhập còn có khả năng đánh giá các xâm nhập đáng ngờ khi nó đã diễn ra đồng thời phát ra cảnh báo, nó theo dõi được các cuộc tan công có nguôn góc từ bên trong một hệ thống. Chức năng ban dau của hệ thống phát hiện xâm nhập chỉ là phát hiện các dau hiện xâm nhập, do đó hệ thống phát hiện xâm nhập chỉ có thể tạo ra các cảnh báo tấn công khi tấn công đang diễn ra.

Càng vẻ sau, nhiễu kỹ thuật mới được tích hợp vào hệ thông phát hiện xâm nhập, giúp nó có khả năng dự đoán được tan công (prediction) và thậm chí phản ứng chủ động lại các tan công đang diễn ra (active response). Dựa trên phạm vi giám sát, hệ thông phát hiện xâm nhập được chia làm thành 2 loại: - Network-based IDS (NIDS): là hệ thống giám sát trên toàn bộ mạng. Nguồn thông tin chủ yếu của hệ thống là các gói dữ liệu đang lưu thông trên mạng. NIDS thường được lắp đặt tại công vào của mạng, có thể đứng trước hoặc sau tường lửa.

- Host-based IDS (HIDS): là hệ thống giám sát hoạt động của từng máy tính riêng biệt. Do vay, nguồn thông tin chủ yếu của HIDS, ngoài lưu lượng dữ liệu đến và đi từ máy tính còn có dữ liệu nhật ký hệ thống (system log) va dit liệu kiểm toán hệ thông (system audit). Dựa trên kỹ thuật phat hiện. hệ thống phát hiện xâm nhập cũng được chia thành 2 loại: - Signature-based IDS: phát hiện xâm nhập dựa trên dấu hiệu của hành vi xâm nhập, thông qua phân tích lưu lượng mạng va log hệ thong.

Kỹ thuật này đòi hỏi phải duy tri một cơ sở dữ liệu về các dau hiệu xâm nhập (signature database), và cơ sở dữ liệu này phải được cập nhật thường xuyên mỗi khi có một hình thức hoặc kỹ thuật xâm nhập mới. - Anomaly-based IDS: phát hiện xâm nhập bằng cách so sánh (mang tinh thống kê) các hành vi hiện tại với hoạt động bình thường của hệ thống dé phát hiện các bất thường (anomaly) có thé là dau hiệu của xâm nhập. Hai khái niệm chính đối với hệ thống phát hiện xâm nhập là phát hiện hành vi bat thường (anomaly detection) và phát hiện dựa trên dấu hiệu nhận diện (signature detection). Với cách tiếp cận phát hiện hành vi bất thường thì hệ thông không tim 5 kiếm những dấu hiệu xâm nhập đã biết, nhưng dựa trên những luéng dữ liệu bat thường.

Việc xây dựng khả năng phát hiện bất thường dựa trên quan điểm sự hoạt động bình thường của một chủ thé như là hệ thống máy tính, người dùng cu thé nào đó.sau đó quyết định bao nhiêu phan trăm một hoạt động sẽ được gan nhãn là bat thường. Còn với cách tiếp cận phát hiện dựa trên dấu hiệu nhận diện thì hệ thống sẽ đưa ra quyết định dựa vào những kiến thức đã biết về quá trình hay cách thức xâm nhập đối với hệ thống quan sát. Hệ thống thường định nghĩa sẵn các hành vi hợp lệ hay không hợp lệ và so sánh với các hành vi được quan sát. Cách tiếp cận phát hiện bất thường có thể hiện thực băng các hệ thống có khả năng tự học (self-study system) hay được lập trình trước (programmed).

Hệ thống có khả năng tự học lại được chia thành hai loại tùy vào dữ liệu đầu vào. o_ Đối với dữ liệu không theo chuỗi thời gian (non-time series) thì có thé hiện thực bằng hai cách: - _ Mô hình hóa quy tac (rule modelling): hệ thống sẽ tự học luồng dit liệu và thiết lập một số quy tắc về các hoạt động bình thường của hệ thống. Ở giai đoạn phát hiện, hệ thống sẽ kiểm tra các quy tắc và kích hoạt báo động nếu luồng dữ liệu không phù hop với điều kiện của quy tắc, thường là dựa trên trọng số nào đó. - M6 tả thống kê (Decriptive statistics): hệ thống sẽ thu thập các tham số hệ thống nhất định dé tạo ra các hồ sơ, sau đó tao ra một véc to khoảng cách giữa luồng dữ liệu quan sát và hồ sơ, nếu khoảng cách đủ lớn, hệ thống sẽ kích hoạt báo động.

o_ Đối với dữ liệu chuỗi thời gian (time series) thì mô hình sẽ phức tạp hơn, vì sẽ cần thu thập các hành vi theo chuỗi thời gian để xây dựng hệ thống. Các kỹ thuật để hiện thực mô hình này như là mô hình che dẫu Markov (HMM) hay mang nơ-ron nhân tạo (ANN) và các kỹ thuật mô hình don giản hay phức tạp khác. Mạng nơ-ron nhân tạo là một ví dụ của cách tiếp cận mô hình hộp đen (black box). Các luồng dữ liệu bình thường sẽ được đưa vào ANN, với một quá trình học các mẫu dữ liệu bình thường.

Kết quả đầu ra của ANN sẽ được áp dụng cho các luồng dữ liệu mới va được dùng dé ra quyết định cho việc phát hiện xâm nhập. Trong da số các trường hợp thì kết qua dau ra chưa đủ chất lượng để được sử dụng trực tiếp, mà sẽ tiếp tục đưa vào một hệ thống chuyên gia ở mức hai dé đưa ra quyết định cuối cùng. Hệ thống được lập trình sẵn thì cần có người, có thể là người sử dụng hoặc người định nghĩa chức nang, người có thé chạy cho hệ thống hoặc lập trình dé phát hiện ra các sự kiện bất thường cụ thé. Hệ thống nay cũng được chia làm hai loại: 6 o Mô tả thống kê: hệ thống sẽ xây dựng các hồ sơ của các hành vi bình thường đã được thống kê dựa trên các tham số của hệ thống, các hành vi có thể là số lần đăng nhập không thành công, SỐ lượng kết nối mạng, SỐ lượng lệnh có lỗi trả về,.

Trong mô hình này, có thé hiện thực băng những thống kê đơn giản hoặc những quy tắc đơn giản hay mức ngưỡng. o Mặc định ngăn cấm (default deny): ý tưởng của mô hình là dựa trên quan điểm của bảo mật, khi mặc định các hoạt động đều có thé là xâm nhập nên cần phải ngăn cam. Mô hình chuỗi trạng thái (state series modelling) sẽ hiện thực các chính sách trong đó sẽ xác định các trạng thái nào là không có khả năng xâm nhập để cho phép trạng thái đó xảy ra. Việc giám sát các hành vi sẽ dựa vào các trạng thái đã được xây dựng sẵn cũng như các khả năng chuyền trạng thái an toàn, giúp hệ thống xác định hành vi nào sẽ được cho phép.

Cách tiếp cận phát hiện dựa vào các dau hiệu dấu hiệu nhận diện thì được hiện thực dựa trên lập trình với các quy tắc quyết định tường minh, các quy tắc phát hiện đơn giản chỉ là bao gdm các đoạn mã dé kiểm tra các sự kiện của một sự xâm nhập. Đây là mô hình tự nhiên với việc kiểm tra nghiêm ngặt các hành vi hợp lệ hay không hợp lệ ngay cả là đối với các hành vi được cho là bình thường. Có nhiều cách để hiện thực mô hình này: o Mô hình trạng thai (state modelling): sẽ xác định xâm nhập dựa và một trạng thái khác lạ được xem xét trên không gian quan sát. Mô hình này bao gôm hai tập con là tập chuyển trạng thái và cây perti-net.

Trong trường hop nay, cấu trúc cây trạng thái sẽ tong quá hơn cho bất ky trạng thái nào xảy ra trong mô hình. o Hệ chuyên gia (expert system): sử dụng hệ chuyên gia để xác định các trạng thái bảo mật, xây dựng các quy tắc để mô tả hành vi xâm nhập. Thường thì các công cụ sẽ được dùng để hệ thống xác định một sự kiện sẽ được định nghĩa và đưa vào hệ thông. Người dùng sẽ được cung cấp một cơ chế mạnh mẽ dé xây dựng một hệ thống chuyên gia có năng lực và uyén chuyền.

Điều này cũng sẽ tốn nhiều chi phí cho việc tăng tốc độ xây dựng hệ thống so với các phương pháp đơn giản khác. o So trùng chuỗi (string matching): hệ thống rất đơn giản, chỉ là so trung các chuỗi ký tự được truyền nhận giữa các hệ thống. Phương thức này rất đơn giản để hiểu nhưng lại thiếu sự uyễn chuyển. o_ Dựa trên quy tắc đơn giản (simple rule based): hệ thống tương tự như hệ chuyên gia mạnh mẽ ở trên, nhưng không ưu điểm băng.

Nhưng lại có ưu thế về tốc độ thực thi. Ngoài ra còn có một cách tiếp cận khác là xây dựng hệ thống phát hiện phức hop, vừa dựa trên những ưu điểm của hệ thống phát hiện dựa trên dau hiệu nhận diện. 7 nhưng cũng tăng cường thêm khả năng tự hoc dé phát hiện những dau hiệu xâm nhập chưa hay không có định nghĩa các cơ sở dữ liệu các dau hiệu nhận diện. Việc tự học có thể dựa trên khả năng tự động lựa chọn các đặc điểm dé học.

Nói thêm về một số khái niệm khác trong hệ thông phát hiện xâm nhập như việc phân loại các kiểu xâm nhập. Phân loại ở mức tong quan, ta có: o Xâm nhập đã biết rõ (well known instrusions): kiểu xâm nhập là đã biết trước và rất ít các biến thể, được định nghĩa sẵn trong cơ sở dữ liệu phát hiện xâm nhập.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ

Xây Dựng Cây Quyết Định Trực Quan Tương Tác Phát Hiện Tấn Công Mạng - Luận Văn Thạc Sĩ Khoa Học Máy Tính là một nghiên cứu chuyên sâu về việc ứng dụng cây quyết định trực quan trong việc phát hiện và ngăn chặn các cuộc tấn công mạng. Tài liệu này cung cấp một phương pháp tiếp cận tương tác, giúp người dùng dễ dàng hiểu và áp dụng các kỹ thuật học máy vào thực tiễn bảo mật. Các điểm nổi bật bao gồm việc phân tích dữ liệu mạng, xây dựng mô hình dự đoán và tối ưu hóa quy trình phát hiện tấn công. Đây là nguồn tài liệu hữu ích cho các chuyên gia bảo mật và nhà nghiên cứu muốn nâng cao hiệu quả trong lĩnh vực an ninh mạng.

Để mở rộng kiến thức về các thuật toán học máy và ứng dụng trong phân lớp dữ liệu, bạn có thể tham khảo Luận văn thạc sĩ nghiên cứu một số thuật toán học máy để phân lớp dữ liệu và thử nghiệm. Nếu quan tâm đến việc cải tiến các giải thuật trong xử lý dữ liệu, Luận văn thạc sĩ khoa học máy tính cải tiến giải thuật kmeans cho bài toán gom cụm dữ liệu chuỗi thời gian sẽ là tài liệu phù hợp. Ngoài ra, để hiểu sâu hơn về các phương pháp học biểu diễn dữ liệu, bạn có thể khám phá Luận văn thạc sĩ hệ thống thông tin nghiên cứu về các phương pháp học biểu diễn dữ liệu. Mỗi tài liệu này đều mang đến góc nhìn mới và kiến thức chuyên sâu, giúp bạn nâng cao hiểu biết trong lĩnh vực khoa học máy tính và bảo mật.