LINK TẢI LUẬN VĂN MIỄN PHÍ CHO AE KET-NOI
Danh mục các hình
TT
1 17 2 19
Hình 1.2 Sơ ồ vị trí IDS trong mạng
3
4
5 6
20
21 22
Hình 1.1. Một số chiến lược ATTT
Hình ảnh
Trang
Hình 1.3. Các NIDS ược bố trí ể giám sát phát hiện xâm nhập tại
cổng vào mạng và cho từng phân oạn mạng
Hình 1.4 Sử dụng kết hợp NIDS và HIDS ể giám sát lưu lượng mạng
và các host
Hình 1.5 Giám sát phát hiện xâm nhập dựa trên chữ ký
Hình 1.6. Giá trị entropy của IP nguồn của các gói tin từ lưu lượng hợp
22
pháp (phần giá trị cao, ều) và entropy của IP nguồn của các gói tin từ
lưu lượng tấn công DDoS (phần giá trị thấp)
Hình 2.1 Sơ ồ cấu trúc mạng Autoencoder
Hình 2.2 Thành phần của Hyperparameter
Hình 2.3 So sánh mô hình phân bố giữa các cấu trúc sử dụng số tầng ẩn
khác nhau
Hình 2.4 Đồ thị hàm một biến
Hình 2.5 Sơ ồ biểu diễn khả năng hội tụ của learning rate khác nhau
Hình 2.6 Biểu ồ ường cong ROC ở những ngưỡng phân loại khác nhau.
Hình 2.7 AUC (Area under the ROC Curve).
Hình 2.8. Các dự oán ược xếp hạng theo thứ tự tăng dần iểm hồi
quy logistic
Hình 2.9 Sơ ồ mạng Undercomplete Autoencoder
Hình 2.10 Sơ ồ cấu trúc mạng Regularized Autoencoder có số nút
tầng ẩn lớn hơn ầu vào
Hình 2.11 Sơ ồ cấu trúc mạng Stacked Autoencoder
Hình 2.12 Sơ ồ cấu trúc mạng Denoise Autoencoder
Hình 2.13 Đồ thị hàm Sigmoid
Hình 2.14 Sơ ồ cấu trúc mạng Stacked Denoise Autoencoder
Hình 2.15 Mô hình phát hiện tấn công xâm nhập
Hình 2.16 Mô hình phát hiện tấn công sau khi ã hoàn thành giai oạn
huấn luyện
Hình 2.17 Tổng thể mô hình ứng dụng SAE và SDAE vào phát hiện
xâm nhập mạng
Hình 3.5 Biểu ồ so sánh AUC giữa sử dụng SAE và không sử dụng
SAE ối với dữ liệu Phishing Data Website
7 26 8 28
9
10 30
11
12
13 33
14
15 35
29
31 33
16
33
36
17 36 18 38 19 39
20
21 41
22 23 24
40 43 44 54
6
TT
25 55 26 55
27 56 28 56 29 57 30 57 31 58 32 58 33 59 34 59 35 60 36 60 37 61
Hình ảnh
Trang
Hình 3.6 Biểu ồ so sánh AUC giữa sử dụng SDAE và không sử dụng
SDAE ối với bộ dữ liệu Phishing Data Website
Hình 3.7 Biểu ồ AUC khi huấn luyện SAE sử dụng thuật toán NB ối
với bộ dữ liệu Phishing Data Website
Hình 3.8 Biểu ồ AUC khi huấn luyện SAE sử dụng thuật toán KN ối
với bộ dữ liệu Phishing Data Website
Hình 3.9 Biểu ồ AUC khi huấn luyện SAE sử dụng thuật toán RF ối
với bộ dữ liệu Phishing Data Website
Hình 3.10 Biểu ồ AUC khi huấn luyện SAE sử dụng thuật toán SVM
ối với bộ dữ liệu Phishing Data Website
Hình 3.11 Biểu ồ AUC khi huấn luyện SAE sử dụng thuật toán DT
ối với bộ dữ liệu Phishing Data Website
Hình 3.12 Biểu ồ AUC khi huấn luyện SDAE sử dụng thuật toán NB
ối với bộ dữ liệu Phishing Data Website
Hình 3.13 Biểu ồ AUC khi huấn luyện SDAE sử dụng thuật toán RF
ối với bộ dữ liệu Phishing Data Website
Hình 3.14 Biểu ồ AUC khi huấn luyện SDAE sử dụng thuật toán VM
ối với bộ dữ liệu Phishing Data Website
Hình 3.15 Biểu ồ AUC khi huấn luyện SDAE sử dụng thuật toán DT
ối với bộ dữ liệu Phishing Data Website
Hình 3.16 Biểu ồ AUC khi huấn luyện SDAE sử dụng thuật toán KN
ối với bộ dữ liệu Phishing Data Website
Hình 3.17 Biểu ồ loss function khi huấn luyện SAE ối với bộ dữ liệu
Phishing Website Data
Hình 3.18 Biểu ồ loss function khi huấn luyện SDAE ối với bộ dữ
liệu Phishing Website Data
Hình 3.20 Biểu ồ so sánh AUC giữa sử dụng SAE và không sử dụng
SAE ối với bộ dữ liệu NSL-KDD
Hình 3.21 Biểu ồ so sánh AUC giữa sử dụng SDAE và không sử dụng
SDAE ối với bô dữ liệu NSL-KDD
Hình 3.22 Biểu ồ loss function khi huấn luyện SAE ối với bộ dữ liệu
NSL-KDD
Hình 3.23 Biểu ồ loss function khi huấn luyện SDAE ối với bộ dữ liệu
NSL-KDD
38 39 40 41
62 62 63 63
7
MỤC LỤC
LỜI CAM ĐOAN ........................................................................................................ 1
LỜI CẢM ƠN.............................................................................................................. 2 Danh mục các ký hiệu, các chữ viết tắt ..................................................................... 3 Danh mục các bảng ..................................................................................................... 4 PHẦN MỞ ĐẦU.......................................................................................................... 9
1. Tính cấp thiết của ề tài .................................................................................. 9
2. Tổng quan vấn ề nghiên cứu ....................................................................... 10
3. Mục tiêu nghiên cứu của ề tài ..................................................................... 12
4. Đối tượng và phạm vi nghiên cứu của ề tài ............................................... 12
5. Phương pháp nghiên cứu của ề tài ............................................................. 13
CHƯƠNG 1 TỔNG QUAN VỀ PHÁT HIỆN XÂM NHẬP MẠNG................... 14
1.1 Khái quát về tấn công xâm nhập mạng ................................................... 14
1.2 Một số dạng tấn công xâm nhập iển hình vào hệ thống CNTT .......... 14
1.2.1 Asymmetric Routing ................................................................................... 15
1.2.2 Buffer Overflow Attacks (Tấn công tràn bộ ệm)..................................... 15
1.2.3 Common Gateway Interface Scripts .......................................................... 15
1.2.4 Protocol-Specific Attacks (Tấn công theo giao thức mạng) ..................... 15
1.2.5 Traffic Flooding (Tấn công tràn lưu lượng mạng) .................................. 15
1.2.6 Trojans ........................................................................................................ 16
1.2.7 Worms (Sâu máy tính)................................................................................ 16
1.3 Các biện pháp phòng chống tấn công, xâm nhập mạng ........................... 16
1.3.1. Chiến lược an toàn hệ thống .................................................................... 16
1.3.2 Tính logic, khoa học, an toàn ở mức cao .................................................. 16
1.3.3 Quyền tối thiểu (Least Privilege) ............................................................... 17
1.3.4 Phòng thủ theo chiều sâu (Defense in Depth) .......................................... 17
1.3.5 Điểm thắt (Choke Point)............................................................................. 17
1.3.6 Liên kết yếu nhất (Weakest Link) .............................................................. 17
1.3.7 Lập trường thất bại an toàn (Fail-Safe Stance)........................................ 18
1.3.8 Phòng thủ a dạng (Diversity of Defense) ................................................ 18
1.3.9 Đơn giản hóa (Simplicity) ......................................................................... 18
1.4 Khái quát về phát hiện xâm nhập mạng ................................................. 18
1.4.1 Giới thiệu..................................................................................................... 18
1.4.2 Phân loại..................................................................................................... 19
1.5 Kết luận chương ........................................................................................... 23
CHƯƠNG 2 PHÁT HIỆN XÂM NHẬP DỰA TRÊN HỌC SÂU ....................... 24
2.1. Khái quát về học máy và học sâu............................................................... 24
2.1.1 Khái quát về học máy ................................................................................. 24
2.1.2 Khái quát về học sâu................................................................................... 24
8
2.2 Học sâu sử dụng Autoencoder và ứng dụng trong tiền xử lý dữ liệu ...... 25
2.2.1 Học sâu sử dụng Autoencoder .................................................................. 25
2.2.2 Phân loại Autoencoder ............................................................................... 35
2.2.3 Ứng dụng Autoencoder trong tiền xử lý dữ liệu ....................................... 41
2.3. Xây dựng mô hình phát hiện xâm nhập dựa trên học sâu ...................... 42
2.3.1 Giai oạn huấn luyện................................................................................. 42
2.3.2 Giai oạn phát hiện .................................................................................... 43
2.4 Kếtluậnchương..........................................................................................45
CHƯƠNG 3 CÀI ĐẶT VÀ THỬ NGHIỆM .......................................................... 46
3.1. Phương pháp cài ặt thử nghiệm ............................................................. 46
3.2. Giới thiệu tập dữ liệu................................................................................. 46
3.2.1 Phishing Website Data ............................................................................... 47
3.2.2 NSL-KDD ................................................................................................... 47
3.3. Trích chọn ặc trưng sử dụng AE ........................................................... 49
3.3.1 Phương pháp xây dựng mạng Nơron SAE ............................................... 49
3.3.2 Phương pháp xây dựng mạng Nơron SDAE ............................................ 50
3.4. Huấn luyện và phát hiện ........................................................................... 50
3.4.1 Phương pháp sử dụng mạng Nơron SAE ................................................. 51
3.4.2 Phương pháp sử dụng mạng Nơron SDAE .............................................. 52
3.5. Kết quả và nhận xét .................................................................................... 53
3.5.1 Kết quả của bộ dữ liệu Phishing Website Data ........................................ 53
3.5.2 Kết quả của bộ dữ liệu NSL-KDD ............................................................. 61
3.6 Kết luận chương ........................................................................................... 64
KẾT LUẬN................................................................................................................ 65 DANH MỤC CÁC TÀI LIỆU THAM KHẢO ....................................................... 66
PHẦN MỞ ĐẦU 1. Tính cấp thiết của ề tài
9
Hiện nay, với sự phát triển nhanh chóng của CNTT cũng như tự ộng hóa, thế
giới bước vào kỷ nguyên 4.0, nhiều ngành nghề, lĩnh vực trong xã hội áp dụng, triển
khai các ứng dụng CNTT ể tăng năng suất lao ộng cũng như chất lượng sản phẩm.
Các hệ thống CNTT có kết nối Internet ngày càng ược mở rộng, nhiều chức năng,
ược sử dụng rất rộng rãi và có óng góp rất quan trọng vào phát triển kinh tế. Tuy
vậy, khi các hệ thống CNTT có kết nối Internet ược ứng ngày càng rộng rãi, nguy cơ
mất ATTT cũng ngày càng lớn xuất phát từ các truy cập, xâm nhập bất hợp pháp ể
ánh cắp thông tin nhạy cảm, hay phá hoại hệ thống. Thời gian gần ây, các vụ xâm
nhập vào các hệ thống CNTT trên toàn cầu diễn ra với tần suất ngày càng nhiều và
mức ộ phá hoại ngày càng nghiêm trọng.
Tháng 4 năm 2015, văn phòng quản lý nhân sự của Mỹ phát hiện ra rằng hệ
thống mạng của họ bị hacker xâm nhập hệ thống lấy i thông tin có giá trị của ít nhất
25,1 triệu người bao gồm Số an sinh xã hội (SSN), 5,6 triệu dấu vân tay. Vụ việc ã
ược các quan chức liên bang Mỹ mô tả là một trong những vi phạm dữ liệu chính
phủ nghiêm trọng nhất trong lịch sử Hoa Kỳ. Vụ tấn công này ược đánh giá là thực hiện
bởi các hacker tới từ Trung Quốc. Tuy nhiên Chính phủ Trung Quốc phủ nhận mọi
liên quan ến vụ tấn công mạng này.
Trong năm 2017, Equifax là một trong ba tổ chức báo cáo tín dụng tiêu dùng
lớn nhất, cùng với Experian và TransUnion ã bị hacker xâm nhập vào hệ thống máy
chủ và lấy i khoảng 209,000 thông tin thẻ tín dụng và số an sinh xã hội. Nguyên
nhân của vụ việc là Equifax ã không thực hiện cập nhật các bản vá lỗ hổng bảo mật
của nền tảng Apache Struts sử dụng trong hệ thống máy chủ của họ.
Xâm nhập trái phép có thể ược thực hiện trong một thời gian dài trước khi
chúng bị phát hiện và ó là những gì ã xảy ra trong trường hợp của Marriott Hotels
khi cơ sở dữ liệu Starwood của hãng bị xâm nhập. Hacker ã xâm nhập vào cơ sở dữ
liệu và ánh cắp dữ liệu của khoảng 500 triệu khách hàng của Marriott. Sự cố ược
đánh giá là bắt ầu từ năm 2014. Chính phủ Mỹ cho rằng vụ việc do các hacker liên quan
ến chính phủ của Trung Quốc, tuy nhiên phía Trung Quốc phủ nhận cáo buộc này.
Marriott phải ối mặt với khoản tiền phạt 123 triệu USD do không thể bảo vệ dữ liệu
khách hàng.
Trong tháng 11/2019, một sự cố nghiêm trọng trong lĩnh vực tài chính - ngân
hàng ã xảy ra gây hoang mang dư luận, ó là sự cố lộ 02 triệu mục dữ liệu của một
ngân hàng lớn tại Việt Nam. Theo ó, trên diễn àn của giới hacker Raidforums, nơi
10
chuyên ăng và rao bán những cơ sở dữ liệu bị hack ã tải lên một tập tin dữ liệu
ược đánh giá là có chứa thông tin người dùng của một ngân hàng tại Việt Nam bao gồm
mã khách hàng, họ tên, ngày tháng năm sinh, số iện thoại, email, ịa chỉ nhà riêng và
nơi công tác của khoảng 02 triệu người Việt Nam.
Trong một cuộctấn công thư iện tử doanh nghiệp (Business email
compromise – BEC) năm 2020, tin tặc ã sử dụng một số kỹ thuật tấn công, lừa ảo
hết sự tinh vi, phức tạp và ược tổ chức tốt ể chiếm quyền iều khiển một số tài
khoản thư iện tử cao cấp của ba công ty tài chính có trụ sở ở Anh và Israel. Sau ó
tin tặc lừa ba công ty này chuyển khoản tổng cộng 1,3 triệu ô la cho các tài khoản
ngân hàng của chúng – trong khi các nạn nhân nghĩ rằng họ ã chuyển tiền theo hợp
ồng ầu tư với một số công ty khởi nghiệp.
Như vậy, ảnh hưởng từ những nguy cơ mất ATTT nói chung từ những hành vi
xâm nhập trái phép nói riêng ngày càng lớn và phức tạp. Việc nghiên cứu các công
nghệ, giải pháp ể xây dựng các hệ thống phát hiện xâm nhập (Intrustion Detection
System - IDS) hoạt ộng hiệu quả, chính xác là rất cấp thiết ể có thể ối phó với các
hành vi xâm nhập mạng trái phép ngày càng phức tạp, tinh vi hiện nay.
Trong thời gian gần ây, học máy (Machine Learing) ược áp dụng, ầu tư
phát triển và ã giải quyết ược nhiều vấn ề khó khăn, phức tạp trong nhiều lĩnh vực
của xã hội. Do ó, tui ã quyết ịnh chọn ề tài “Phát hiện xâm nhập mạng sử dụng
học máy” ể có cơ sở nghiên cứu xây dựng, triển khai hệ thống phát hiện xâm nhập
mạng hiệu quả, chính xác trong mạng CNTT tại cơ quan tui ang làm việc.
2. Tổng quan vấn ề nghiên cứu
Học máy (machine learning) là một lĩnh vực của trí tuệ nhân tạo liên quan ến
việc nghiên cứu và xây dựng các kĩ thuật cho phép các hệ thống “học” tự ộng từ dữ
liệu ể giải quyết những vấn ề cụ thể. Ví dụ như các máy có thể “học” cách phân loại
thư iện tử xem có phải thư rác (spam) hay không và tự ộng xếp thư vào thư mục
tương ứng. Trong học máy, có nhiều thuật toán ược áp dụng cho việc “học” của hệ
thống như: Linear Regression (Hồi quy tuyến tính), Logistic Regression (Hồi quy
logistic), Linear Discriminant Analysis (Phân tích phân loại tuyến tính), DT (Decision
Tree- Cây quyết ịnh), NB (Naive Bayes), KNN (K-Nearest Neighbors), Học Vector
Quantization, SVM (Support Vector Machine), RF (Random Forest) và mạng nơ ron
nhân tạo. Mỗi thuật toán có một vài iểm mạnh, iểm yếu riêng và phù hợp với một
số lớp bài toán.
Mạng nơ ron nhân tạo (Artificial Neural Network – ANN) là mô hình xử lý
thông tin ược mô phỏng dựa trên hoạt ộng của hệ thần kinh, bao gồm số lượng lớn
các neural ược gắn kết ể xử lý thông tin. ANN giống như bộ não con người, ược
11
học bởi kinh nghiệm (thông qua huấn luyện), có khả năng lưu trữ những kinh nghiệm
hiểu biết (tri thức) và sử dụng những tri thức ó trong việc dự oán các dữ liệu chưa
biết (unseen data).
Deep Learning là một nhánh của lĩnh vực Machine Learning dựa trên một tập
hợp các thuật toán ể cố gắng mô hình hóa dữ liệu trừu tượng hóa ở mức cao bằng
cách xử lý với cấu trúc phức tạp, hay bằng cách khác nhau bao gồm nhiều biến ổi
phi tuyến. Một quan sát (như hình ảnh) có thể ược biểu diễn bằng nhiều cách như
một vector của các giá trị cường ộ cho mỗi iểm ảnh hay trừu tượng hơn như là tập
hợp các cạnh, các khu vực hình dạng cụ thể,... Một vài ại diện khiến cho việc học
các nhiệm vụ dễ dàng hơn. Phương pháp này ã cải thiện áng kể công nghệ tiên tiến
trong nhận dạng giọng nói, nhận dạng ối tượng trực quan, phát hiện ối tượng và
nhiều lĩnh vực khác như khám phá thuốc và bộ gen. Deep learning phát hiện ra cấu
trúc phức tạp trong các tập dữ liệu lớn bằng cách sử dụng thuật toán backpropagation
(lan truyền ngược) ể chỉ ra cách một máy nên thay ổi cấc tham số bên trong ược sử
dụng ể tính toán biểu diễn trong mỗi lớp từ biểu diễn trong lớp trước. Deep Learning
ã mang lại những ột phá trong việc xử lý hình ảnh, video, nhận dạng giọng nói và
âm thanh. Cốt lõi của Deep Learning bao gồm mô hình mạng neural nhiều lớp và quá
trình huấn luyện mạng ể xác ịnh tham số cho mô hình.
Trong Deep Learning, có 03 dạng học chính là học có giám sát, học nửa giám
sát và học không giám sát.
Deep Learning có rất nhiều thuật toán như Convolutional Neural Network
(CNN), Deep Belief Network (DBN), Deep Neural Netwwork (DNN), Recurrent
Neural Network (RNN), Boltzman Machine (BM) và Autoencoder (AE).
Autoencoder là một loại ANN dùng ể học không có giám sát thông qua các
mã code với ý tưởng là nếu một mô hình mạng neural có số nút mã trung gian (hidden
layer) nhỏ hơn số nút ầu vào thì mô hình ó sẽ học ược các ặc tính ẩn (features)
của dữ liệu. Chính vì vậy mà Autoencoder học ược cách biểu diễn cho một tập dữ
liệu giúp dự oán ầu ra từ một ầu vào ban ầu. Trong thực tế Autoencoder ã ược
ứng dụng thành công ể giảm chiều dữ liệu, tất nhiên không làm mất i các ặc tính
quan trọng của dữ liệu.
Denoise Autoencoder (DAE) ược phát triển từ Autoencoder nhưng mạnh mẽ
hơn. Đầu vào của DAE là dữ liệu bị làm nhiễu và chúng ta sẽ học các ặc trưng của
dữ liệu từ dữ liệu nhiễu. Nhưng sau quá trình giải mã ầu ra sẽ là dữ liệu ban ầu
trước khi bị làm nhiễu. Từ ó, ta có thể thấy khả năng khái quát hóa cả DAE tốt hơn
so với Autoencoder. Hơn nữa, DAE có thể xếp chồng lên nhau ể có ược feature tốt
hơn vì vậy ta có cấu trúc Stacked Denoise Autoencoder (SDAE). Việc ào tạo mạng
SDAE theo layer-wise vì mỗi DAE với một hidden layer ược ào tạo ộc lập. Sau
12
khi ào tạo mạng SDAE, các lớp giải mã ược loại bỏ và các lớp mã hóa tạo ra các
ặc trưng ược dữ lại. Vì có khả năng phục hồi dữ liệu trước khi bị làm nhiễu nên
DAE thường ược dùng ể khôi phục ảnh và các dữ liệu bị hỏng.
Mục ích của quá trình huấn luyện mạng AE và DAE là ể tìm ược weight (trọng
số) úng, các thuật toán cần tìm weight ể tạo ầu ra giống với ầu vào nhất có thể.
Phát hiện xâm nhập là quá trình theo dõi các sự kiện xảy ra trong một hệ thống
máy tính hay mạng máy tính và phân tích chúng ể tìm ra các dấu hiệu sự cố có thể
xảy ra, ó là các hành vi hay các mối e dọa sắp xảy ra, vi phạm các chính sách bảo
mật, các chính sách sử dụng ược chấp nhận hay dựa trên tiêu chuẩn bảo mật.
Hệ thống IDS là một hệ thống (có thể là thiết bị phần cứng hay phần mềm) nhằm
giám sát lưu lượng mạng theo dõi, thu thập thông tin ể phát hiện xâm nhập mạng và ưa
ra cảnh báo.
Hiện nay, nhiều nghiên cứu ã áp dụng thành công các thuật toán học máy ể hệ
thống IDS có khả năng tự học và cập nhật các cuộc tấn công mới. Nhưng ể hạn chế báo
ộng nhầm và tăng khả năng dự oán các cuộc tấn công thì ngoài khả năng tự quyết ịnh,
IDS cần có tư duy phân tích. Vì vậy ta cần ứng dụng học máy vào IDS. Trong ề
tài này tui sẽ sử dụng mạng học sâu là Autoencoder (AE) và một số thuật toán học máy ể
xác ịnh tấn công xâm nhập mạng.
Có hai giai oạn trong quá trình phát hiện xâm nhập là: Learning Feature và
Classifier. Trong giai oạn Learning Feature, các dữ liệu của mạng sẽ ược ưa vào
các mạng AE và DAE ta sẽ ược mã chứa các ặc trưng ại diện nhất của dữ liệu. Các
ặc trưng này có thể mô tả ược dữ liệu ầu vào. Quá trình này giúp cho việc phân
loại nhanh hơn và chính xác hơn nhờ vào khả năng học của AE và DAE. Ngoài ra, ta
cũng có thể sử dụng mạng SDAE (Stacked Denoise Autoencoder) ể khôi phục ược
các dữ liệu bị hỏng. Trong giai oạn Classifier, ta sẽ lấy các dữ liệu ã ược trích xuất
từ giai oạn Learning Feature và sử dụng các thuật toán phân loại như SVM, RF, DT,
KNN, NB ể xác ịnh dữ liệu ầu vào là bình thường hay bất thường.
3. Mục tiêu nghiên cứu của ề tài
Nghiên cứu về mạng học sâu AE (Autoencoder) và áp dụng vào khâu tiền xử lý
dữ liệu trong Hệ thống phát hiện xâm nhập mạng (IDS) ể xác ịnh tấn công xâm
nhập, góp phần tăng mức ộ hiệu quả, chính xác trong hoạt ộng của hệ thống IDS.
4. Đối tượng và phạm vi nghiên cứu của ề tài
Phạm vi nghiên cứu của luận văn là áp dụng AE ể xác ịnh một dữ liệu ầu
Đối tượng nghiên cứu của luận văn là mạng học sâu AE (Autoencoder) và Hệ
thống IDS.
vào có phải là tấn công xâm nhập hay không. 5. Phương pháp nghiên cứu của ề tài - Về mặt lý thuyết:
13
+ Thu thập, khảo sát, phân tích, nghiên cứu các tài liệu và thông tin có liên
quan ến một số hình thức tấn công xâm nhập mạng và một số phương pháp phát hiện
xâm nhập mạng.
+ Tìm hiểu về mạng học sâu AE (Autoencoder) và áp dụng AE vào vào khâu
tiền xử lý dữ liệu trong hệ thống phát hiện xâm nhập mạng. Sau khâu tiền xử lý dựa
trên AE, sử dụng một số thuật toán SVM, RF, KNN, NB, DT ể xác ịnh một số hành
vi là tấn công xâm nhập mạng hay không.
- Về mặt thực nghiệm:
+ Sử dụng các thuật toán SVM, RF, KNN, NB, DT trong mạng học sâu AE
(Autoencoder) trên bộ dữ liệu NSL-KDD ể xác ịnh xâm nhập mạng.
+ Đánh giá, so sánh mức ộ hiệu quả khi ứng dụng AE vào hệ thống phát hiện
xâm nhập mạng.
14
CHƯƠNG 1
TỔNG QUAN VỀ PHÁT HIỆN XÂM NHẬP MẠNG
1.1 Khái quát về tấn công xâm nhập mạng
Tấn công, xâm nhập là một, hay một chuỗi các hành ộng vi phạm các chính sách an ninh, an toàn của tổ chức, cơ quan, gây tổn hại ến các thuộc tính bí mật, toàn vẹn và sẵn sàng của thông tin, hệ thống và mạng [1]. Một cuộc tấn công vào hệ thống máy tính hay các tài nguyên mạng thường ược thực hiện bằng cách khai thác các lỗ
hổng bảo mật tồn tại trong hệ thống. Trong thế giới kết nối mạng sâu và rộng hiện nay, hầu hết các dạng tấn công, xâm nhập ều ược thực hiện thông qua hệ thống mạng, nhất là mạng Internet, nên có thể xem tấn công, xâm nhập mạng ồng nhất với
tấn công, xâm nhập nói chung.
Có thể chia các dạng tấn công, xâm nhập theo mục ích thực hiện thành 4 loại chính như sau [1]:
- Giả mạo (Fabrication) là dạng tấn công thực hiện việc giả mạo thông tin (email, ịa chỉ IP...) và thường ược sử dụng ể ánh lừa người dùng thông thường;
- Chặn bắt (Interception) là dạng tấn công thường liên quan ến việc nghe lén thông tin trên ường truyền và chuyển hướng thông tin ể sử dụng trái phép;
- Gây ngắt quãng (Interruption) dạng tấn công làm ngắt, hay chậm kênh truyền thông, hay làm quá tải hệ thống, ngăn cản việc truy cập dịch vụ của người dùng hợp pháp;
- Sửa ổi (Modification) dạng tấn công thực hiện việc sửa ổi thông tin trên ường truyền hay sửa ổi dữ liệu file.
Theo hình thức thực hiện, có thể chia các dạng tấn công, xâm nhập thành 2 kiểu chính như sau:
- Tấn công chủ ộng (Active attack) là một ột nhập, xâm nhập về mặt vật lý vào hệ thống, hay mạng. Các tấn công chủ ộng thực hiện sửa ổi dữ liệu trên ường truyền, sửa ổi dữ liệu trong file, hay giành quyền truy cập trái phép vào hệ thống máy tính hay hệ thống mạng.
- Tấn công thụ ộng (Passive attack) là kiểu tấn công thường không gây ra thay ổi trên hệ thống. Các tấn công thụ ộng iển hình là nghe lén và giám sát lưu lượng trên ường truyền.
1.2 Một số dạng tấn công xâm nhập iển hình vào hệ thống CNTT
15
1.2.1 Asymmetric Routing
1.2.2 Buffer Overflow Attacks (Tấn công tràn bộ ệm)
1.2.3 Common Gateway Interface Scripts
1.2.4 Protocol-Specific Attacks (Tấn công theo giao thức mạng)
Trong phương pháp này, kẻ tấn công cố gắng sử dụng nhiều hơn một ường dẫn (route) ến thiết bị mạng ược nhắm mục tiêu. Ý tưởng là ể cuộc tấn công tổng thể tránh bị phát hiện bằng cách ể một phần áng kể các gói tin vi phạm bỏ qua một số phân oạn mạng nhất ịnh và các cảm biến xâm nhập mạng của chúng. Các mạng không ược thiết lập ể ịnh tuyến không ối xứng sẽ không bị ảnh hưởng bởi
phương pháp tấn công này.
Cách tiếp cận này cố gắng ghi è các phần cụ thể của bộ nhớ máy tính kết nối
mạng, thay thế dữ liệu bình thường trong các vị trí bộ nhớ ó bằng một bộ lệnh mà
sau này sẽ ược thực thi như một phần của cuộc tấn công. Trong hầu hết các trường
hợp, mục ích là bắt ầu tình huống từ chối dịch vụ (DoS) hay thiết lập một kênh mà
qua ó kẻ tấn công có thể truy cập từ xa vào mạng. Việc thực hiện các cuộc tấn công
như vậy khó hơn khi các nhà thiết kế mạng giữ kích thước bộ ệm tương ối nhỏ và /
hay cài ặt logic kiểm tra ranh giới xác ịnh mã thực thi hay ộ dài chuỗi URL
trước khi cho phép ghi dữ liệu vào bộ ệm.
Giao diện cổng chung (CGI) thường ược sử dụng trong mạng ể hỗ trợ tương
tác giữa máy chủ và máy khách trên Web. Nhưng nó cũng cung cấp các lỗ hổng dễ
dàng - chẳng hạn như "backtracking" - thông qua ó những kẻ tấn công có thể truy
cập các tệp hệ thống mạng ược đánh giá là an toàn. Khi hệ thống không xác minh ầu vào
hay kiểm tra các ký tự, tập lệnh CGI bí mật có thể dễ dàn
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download.
Password giải nén nếu cần: ket-noi.com | Bấm vào Link, đợi vài giây sau đó bấm Get Website để tải:
Danh mục các hình
TT
1 17 2 19
Hình 1.2 Sơ ồ vị trí IDS trong mạng
3
4
5 6
20
21 22
Hình 1.1. Một số chiến lược ATTT
Hình ảnh
Trang
Hình 1.3. Các NIDS ược bố trí ể giám sát phát hiện xâm nhập tại
cổng vào mạng và cho từng phân oạn mạng
Hình 1.4 Sử dụng kết hợp NIDS và HIDS ể giám sát lưu lượng mạng
và các host
Hình 1.5 Giám sát phát hiện xâm nhập dựa trên chữ ký
Hình 1.6. Giá trị entropy của IP nguồn của các gói tin từ lưu lượng hợp
22
pháp (phần giá trị cao, ều) và entropy của IP nguồn của các gói tin từ
lưu lượng tấn công DDoS (phần giá trị thấp)
Hình 2.1 Sơ ồ cấu trúc mạng Autoencoder
Hình 2.2 Thành phần của Hyperparameter
Hình 2.3 So sánh mô hình phân bố giữa các cấu trúc sử dụng số tầng ẩn
khác nhau
Hình 2.4 Đồ thị hàm một biến
Hình 2.5 Sơ ồ biểu diễn khả năng hội tụ của learning rate khác nhau
Hình 2.6 Biểu ồ ường cong ROC ở những ngưỡng phân loại khác nhau.
Hình 2.7 AUC (Area under the ROC Curve).
Hình 2.8. Các dự oán ược xếp hạng theo thứ tự tăng dần iểm hồi
quy logistic
Hình 2.9 Sơ ồ mạng Undercomplete Autoencoder
Hình 2.10 Sơ ồ cấu trúc mạng Regularized Autoencoder có số nút
tầng ẩn lớn hơn ầu vào
Hình 2.11 Sơ ồ cấu trúc mạng Stacked Autoencoder
Hình 2.12 Sơ ồ cấu trúc mạng Denoise Autoencoder
Hình 2.13 Đồ thị hàm Sigmoid
Hình 2.14 Sơ ồ cấu trúc mạng Stacked Denoise Autoencoder
Hình 2.15 Mô hình phát hiện tấn công xâm nhập
Hình 2.16 Mô hình phát hiện tấn công sau khi ã hoàn thành giai oạn
huấn luyện
Hình 2.17 Tổng thể mô hình ứng dụng SAE và SDAE vào phát hiện
xâm nhập mạng
Hình 3.5 Biểu ồ so sánh AUC giữa sử dụng SAE và không sử dụng
SAE ối với dữ liệu Phishing Data Website
7 26 8 28
9
10 30
11
12
13 33
14
15 35
29
31 33
16
33
36
17 36 18 38 19 39
20
21 41
22 23 24
40 43 44 54
6
TT
25 55 26 55
27 56 28 56 29 57 30 57 31 58 32 58 33 59 34 59 35 60 36 60 37 61
Hình ảnh
Trang
Hình 3.6 Biểu ồ so sánh AUC giữa sử dụng SDAE và không sử dụng
SDAE ối với bộ dữ liệu Phishing Data Website
Hình 3.7 Biểu ồ AUC khi huấn luyện SAE sử dụng thuật toán NB ối
với bộ dữ liệu Phishing Data Website
Hình 3.8 Biểu ồ AUC khi huấn luyện SAE sử dụng thuật toán KN ối
với bộ dữ liệu Phishing Data Website
Hình 3.9 Biểu ồ AUC khi huấn luyện SAE sử dụng thuật toán RF ối
với bộ dữ liệu Phishing Data Website
Hình 3.10 Biểu ồ AUC khi huấn luyện SAE sử dụng thuật toán SVM
ối với bộ dữ liệu Phishing Data Website
Hình 3.11 Biểu ồ AUC khi huấn luyện SAE sử dụng thuật toán DT
ối với bộ dữ liệu Phishing Data Website
Hình 3.12 Biểu ồ AUC khi huấn luyện SDAE sử dụng thuật toán NB
ối với bộ dữ liệu Phishing Data Website
Hình 3.13 Biểu ồ AUC khi huấn luyện SDAE sử dụng thuật toán RF
ối với bộ dữ liệu Phishing Data Website
Hình 3.14 Biểu ồ AUC khi huấn luyện SDAE sử dụng thuật toán VM
ối với bộ dữ liệu Phishing Data Website
Hình 3.15 Biểu ồ AUC khi huấn luyện SDAE sử dụng thuật toán DT
ối với bộ dữ liệu Phishing Data Website
Hình 3.16 Biểu ồ AUC khi huấn luyện SDAE sử dụng thuật toán KN
ối với bộ dữ liệu Phishing Data Website
Hình 3.17 Biểu ồ loss function khi huấn luyện SAE ối với bộ dữ liệu
Phishing Website Data
Hình 3.18 Biểu ồ loss function khi huấn luyện SDAE ối với bộ dữ
liệu Phishing Website Data
Hình 3.20 Biểu ồ so sánh AUC giữa sử dụng SAE và không sử dụng
SAE ối với bộ dữ liệu NSL-KDD
Hình 3.21 Biểu ồ so sánh AUC giữa sử dụng SDAE và không sử dụng
SDAE ối với bô dữ liệu NSL-KDD
Hình 3.22 Biểu ồ loss function khi huấn luyện SAE ối với bộ dữ liệu
NSL-KDD
Hình 3.23 Biểu ồ loss function khi huấn luyện SDAE ối với bộ dữ liệu
NSL-KDD
38 39 40 41
62 62 63 63
7
MỤC LỤC
LỜI CAM ĐOAN ........................................................................................................ 1
LỜI CẢM ƠN.............................................................................................................. 2 Danh mục các ký hiệu, các chữ viết tắt ..................................................................... 3 Danh mục các bảng ..................................................................................................... 4 PHẦN MỞ ĐẦU.......................................................................................................... 9
1. Tính cấp thiết của ề tài .................................................................................. 9
2. Tổng quan vấn ề nghiên cứu ....................................................................... 10
3. Mục tiêu nghiên cứu của ề tài ..................................................................... 12
4. Đối tượng và phạm vi nghiên cứu của ề tài ............................................... 12
5. Phương pháp nghiên cứu của ề tài ............................................................. 13
CHƯƠNG 1 TỔNG QUAN VỀ PHÁT HIỆN XÂM NHẬP MẠNG................... 14
1.1 Khái quát về tấn công xâm nhập mạng ................................................... 14
1.2 Một số dạng tấn công xâm nhập iển hình vào hệ thống CNTT .......... 14
1.2.1 Asymmetric Routing ................................................................................... 15
1.2.2 Buffer Overflow Attacks (Tấn công tràn bộ ệm)..................................... 15
1.2.3 Common Gateway Interface Scripts .......................................................... 15
1.2.4 Protocol-Specific Attacks (Tấn công theo giao thức mạng) ..................... 15
1.2.5 Traffic Flooding (Tấn công tràn lưu lượng mạng) .................................. 15
1.2.6 Trojans ........................................................................................................ 16
1.2.7 Worms (Sâu máy tính)................................................................................ 16
1.3 Các biện pháp phòng chống tấn công, xâm nhập mạng ........................... 16
1.3.1. Chiến lược an toàn hệ thống .................................................................... 16
1.3.2 Tính logic, khoa học, an toàn ở mức cao .................................................. 16
1.3.3 Quyền tối thiểu (Least Privilege) ............................................................... 17
1.3.4 Phòng thủ theo chiều sâu (Defense in Depth) .......................................... 17
1.3.5 Điểm thắt (Choke Point)............................................................................. 17
1.3.6 Liên kết yếu nhất (Weakest Link) .............................................................. 17
1.3.7 Lập trường thất bại an toàn (Fail-Safe Stance)........................................ 18
1.3.8 Phòng thủ a dạng (Diversity of Defense) ................................................ 18
1.3.9 Đơn giản hóa (Simplicity) ......................................................................... 18
1.4 Khái quát về phát hiện xâm nhập mạng ................................................. 18
1.4.1 Giới thiệu..................................................................................................... 18
1.4.2 Phân loại..................................................................................................... 19
1.5 Kết luận chương ........................................................................................... 23
CHƯƠNG 2 PHÁT HIỆN XÂM NHẬP DỰA TRÊN HỌC SÂU ....................... 24
2.1. Khái quát về học máy và học sâu............................................................... 24
2.1.1 Khái quát về học máy ................................................................................. 24
2.1.2 Khái quát về học sâu................................................................................... 24
8
2.2 Học sâu sử dụng Autoencoder và ứng dụng trong tiền xử lý dữ liệu ...... 25
2.2.1 Học sâu sử dụng Autoencoder .................................................................. 25
2.2.2 Phân loại Autoencoder ............................................................................... 35
2.2.3 Ứng dụng Autoencoder trong tiền xử lý dữ liệu ....................................... 41
2.3. Xây dựng mô hình phát hiện xâm nhập dựa trên học sâu ...................... 42
2.3.1 Giai oạn huấn luyện................................................................................. 42
2.3.2 Giai oạn phát hiện .................................................................................... 43
2.4 Kếtluậnchương..........................................................................................45
CHƯƠNG 3 CÀI ĐẶT VÀ THỬ NGHIỆM .......................................................... 46
3.1. Phương pháp cài ặt thử nghiệm ............................................................. 46
3.2. Giới thiệu tập dữ liệu................................................................................. 46
3.2.1 Phishing Website Data ............................................................................... 47
3.2.2 NSL-KDD ................................................................................................... 47
3.3. Trích chọn ặc trưng sử dụng AE ........................................................... 49
3.3.1 Phương pháp xây dựng mạng Nơron SAE ............................................... 49
3.3.2 Phương pháp xây dựng mạng Nơron SDAE ............................................ 50
3.4. Huấn luyện và phát hiện ........................................................................... 50
3.4.1 Phương pháp sử dụng mạng Nơron SAE ................................................. 51
3.4.2 Phương pháp sử dụng mạng Nơron SDAE .............................................. 52
3.5. Kết quả và nhận xét .................................................................................... 53
3.5.1 Kết quả của bộ dữ liệu Phishing Website Data ........................................ 53
3.5.2 Kết quả của bộ dữ liệu NSL-KDD ............................................................. 61
3.6 Kết luận chương ........................................................................................... 64
KẾT LUẬN................................................................................................................ 65 DANH MỤC CÁC TÀI LIỆU THAM KHẢO ....................................................... 66
PHẦN MỞ ĐẦU 1. Tính cấp thiết của ề tài
9
Hiện nay, với sự phát triển nhanh chóng của CNTT cũng như tự ộng hóa, thế
giới bước vào kỷ nguyên 4.0, nhiều ngành nghề, lĩnh vực trong xã hội áp dụng, triển
khai các ứng dụng CNTT ể tăng năng suất lao ộng cũng như chất lượng sản phẩm.
Các hệ thống CNTT có kết nối Internet ngày càng ược mở rộng, nhiều chức năng,
ược sử dụng rất rộng rãi và có óng góp rất quan trọng vào phát triển kinh tế. Tuy
vậy, khi các hệ thống CNTT có kết nối Internet ược ứng ngày càng rộng rãi, nguy cơ
mất ATTT cũng ngày càng lớn xuất phát từ các truy cập, xâm nhập bất hợp pháp ể
ánh cắp thông tin nhạy cảm, hay phá hoại hệ thống. Thời gian gần ây, các vụ xâm
nhập vào các hệ thống CNTT trên toàn cầu diễn ra với tần suất ngày càng nhiều và
mức ộ phá hoại ngày càng nghiêm trọng.
Tháng 4 năm 2015, văn phòng quản lý nhân sự của Mỹ phát hiện ra rằng hệ
thống mạng của họ bị hacker xâm nhập hệ thống lấy i thông tin có giá trị của ít nhất
25,1 triệu người bao gồm Số an sinh xã hội (SSN), 5,6 triệu dấu vân tay. Vụ việc ã
ược các quan chức liên bang Mỹ mô tả là một trong những vi phạm dữ liệu chính
phủ nghiêm trọng nhất trong lịch sử Hoa Kỳ. Vụ tấn công này ược đánh giá là thực hiện
bởi các hacker tới từ Trung Quốc. Tuy nhiên Chính phủ Trung Quốc phủ nhận mọi
liên quan ến vụ tấn công mạng này.
Trong năm 2017, Equifax là một trong ba tổ chức báo cáo tín dụng tiêu dùng
lớn nhất, cùng với Experian và TransUnion ã bị hacker xâm nhập vào hệ thống máy
chủ và lấy i khoảng 209,000 thông tin thẻ tín dụng và số an sinh xã hội. Nguyên
nhân của vụ việc là Equifax ã không thực hiện cập nhật các bản vá lỗ hổng bảo mật
của nền tảng Apache Struts sử dụng trong hệ thống máy chủ của họ.
Xâm nhập trái phép có thể ược thực hiện trong một thời gian dài trước khi
chúng bị phát hiện và ó là những gì ã xảy ra trong trường hợp của Marriott Hotels
khi cơ sở dữ liệu Starwood của hãng bị xâm nhập. Hacker ã xâm nhập vào cơ sở dữ
liệu và ánh cắp dữ liệu của khoảng 500 triệu khách hàng của Marriott. Sự cố ược
đánh giá là bắt ầu từ năm 2014. Chính phủ Mỹ cho rằng vụ việc do các hacker liên quan
ến chính phủ của Trung Quốc, tuy nhiên phía Trung Quốc phủ nhận cáo buộc này.
Marriott phải ối mặt với khoản tiền phạt 123 triệu USD do không thể bảo vệ dữ liệu
khách hàng.
Trong tháng 11/2019, một sự cố nghiêm trọng trong lĩnh vực tài chính - ngân
hàng ã xảy ra gây hoang mang dư luận, ó là sự cố lộ 02 triệu mục dữ liệu của một
ngân hàng lớn tại Việt Nam. Theo ó, trên diễn àn của giới hacker Raidforums, nơi
10
chuyên ăng và rao bán những cơ sở dữ liệu bị hack ã tải lên một tập tin dữ liệu
ược đánh giá là có chứa thông tin người dùng của một ngân hàng tại Việt Nam bao gồm
mã khách hàng, họ tên, ngày tháng năm sinh, số iện thoại, email, ịa chỉ nhà riêng và
nơi công tác của khoảng 02 triệu người Việt Nam.
Trong một cuộctấn công thư iện tử doanh nghiệp (Business email
compromise – BEC) năm 2020, tin tặc ã sử dụng một số kỹ thuật tấn công, lừa ảo
hết sự tinh vi, phức tạp và ược tổ chức tốt ể chiếm quyền iều khiển một số tài
khoản thư iện tử cao cấp của ba công ty tài chính có trụ sở ở Anh và Israel. Sau ó
tin tặc lừa ba công ty này chuyển khoản tổng cộng 1,3 triệu ô la cho các tài khoản
ngân hàng của chúng – trong khi các nạn nhân nghĩ rằng họ ã chuyển tiền theo hợp
ồng ầu tư với một số công ty khởi nghiệp.
Như vậy, ảnh hưởng từ những nguy cơ mất ATTT nói chung từ những hành vi
xâm nhập trái phép nói riêng ngày càng lớn và phức tạp. Việc nghiên cứu các công
nghệ, giải pháp ể xây dựng các hệ thống phát hiện xâm nhập (Intrustion Detection
System - IDS) hoạt ộng hiệu quả, chính xác là rất cấp thiết ể có thể ối phó với các
hành vi xâm nhập mạng trái phép ngày càng phức tạp, tinh vi hiện nay.
Trong thời gian gần ây, học máy (Machine Learing) ược áp dụng, ầu tư
phát triển và ã giải quyết ược nhiều vấn ề khó khăn, phức tạp trong nhiều lĩnh vực
của xã hội. Do ó, tui ã quyết ịnh chọn ề tài “Phát hiện xâm nhập mạng sử dụng
học máy” ể có cơ sở nghiên cứu xây dựng, triển khai hệ thống phát hiện xâm nhập
mạng hiệu quả, chính xác trong mạng CNTT tại cơ quan tui ang làm việc.
2. Tổng quan vấn ề nghiên cứu
Học máy (machine learning) là một lĩnh vực của trí tuệ nhân tạo liên quan ến
việc nghiên cứu và xây dựng các kĩ thuật cho phép các hệ thống “học” tự ộng từ dữ
liệu ể giải quyết những vấn ề cụ thể. Ví dụ như các máy có thể “học” cách phân loại
thư iện tử xem có phải thư rác (spam) hay không và tự ộng xếp thư vào thư mục
tương ứng. Trong học máy, có nhiều thuật toán ược áp dụng cho việc “học” của hệ
thống như: Linear Regression (Hồi quy tuyến tính), Logistic Regression (Hồi quy
logistic), Linear Discriminant Analysis (Phân tích phân loại tuyến tính), DT (Decision
Tree- Cây quyết ịnh), NB (Naive Bayes), KNN (K-Nearest Neighbors), Học Vector
Quantization, SVM (Support Vector Machine), RF (Random Forest) và mạng nơ ron
nhân tạo. Mỗi thuật toán có một vài iểm mạnh, iểm yếu riêng và phù hợp với một
số lớp bài toán.
Mạng nơ ron nhân tạo (Artificial Neural Network – ANN) là mô hình xử lý
thông tin ược mô phỏng dựa trên hoạt ộng của hệ thần kinh, bao gồm số lượng lớn
các neural ược gắn kết ể xử lý thông tin. ANN giống như bộ não con người, ược
11
học bởi kinh nghiệm (thông qua huấn luyện), có khả năng lưu trữ những kinh nghiệm
hiểu biết (tri thức) và sử dụng những tri thức ó trong việc dự oán các dữ liệu chưa
biết (unseen data).
Deep Learning là một nhánh của lĩnh vực Machine Learning dựa trên một tập
hợp các thuật toán ể cố gắng mô hình hóa dữ liệu trừu tượng hóa ở mức cao bằng
cách xử lý với cấu trúc phức tạp, hay bằng cách khác nhau bao gồm nhiều biến ổi
phi tuyến. Một quan sát (như hình ảnh) có thể ược biểu diễn bằng nhiều cách như
một vector của các giá trị cường ộ cho mỗi iểm ảnh hay trừu tượng hơn như là tập
hợp các cạnh, các khu vực hình dạng cụ thể,... Một vài ại diện khiến cho việc học
các nhiệm vụ dễ dàng hơn. Phương pháp này ã cải thiện áng kể công nghệ tiên tiến
trong nhận dạng giọng nói, nhận dạng ối tượng trực quan, phát hiện ối tượng và
nhiều lĩnh vực khác như khám phá thuốc và bộ gen. Deep learning phát hiện ra cấu
trúc phức tạp trong các tập dữ liệu lớn bằng cách sử dụng thuật toán backpropagation
(lan truyền ngược) ể chỉ ra cách một máy nên thay ổi cấc tham số bên trong ược sử
dụng ể tính toán biểu diễn trong mỗi lớp từ biểu diễn trong lớp trước. Deep Learning
ã mang lại những ột phá trong việc xử lý hình ảnh, video, nhận dạng giọng nói và
âm thanh. Cốt lõi của Deep Learning bao gồm mô hình mạng neural nhiều lớp và quá
trình huấn luyện mạng ể xác ịnh tham số cho mô hình.
Trong Deep Learning, có 03 dạng học chính là học có giám sát, học nửa giám
sát và học không giám sát.
Deep Learning có rất nhiều thuật toán như Convolutional Neural Network
(CNN), Deep Belief Network (DBN), Deep Neural Netwwork (DNN), Recurrent
Neural Network (RNN), Boltzman Machine (BM) và Autoencoder (AE).
Autoencoder là một loại ANN dùng ể học không có giám sát thông qua các
mã code với ý tưởng là nếu một mô hình mạng neural có số nút mã trung gian (hidden
layer) nhỏ hơn số nút ầu vào thì mô hình ó sẽ học ược các ặc tính ẩn (features)
của dữ liệu. Chính vì vậy mà Autoencoder học ược cách biểu diễn cho một tập dữ
liệu giúp dự oán ầu ra từ một ầu vào ban ầu. Trong thực tế Autoencoder ã ược
ứng dụng thành công ể giảm chiều dữ liệu, tất nhiên không làm mất i các ặc tính
quan trọng của dữ liệu.
Denoise Autoencoder (DAE) ược phát triển từ Autoencoder nhưng mạnh mẽ
hơn. Đầu vào của DAE là dữ liệu bị làm nhiễu và chúng ta sẽ học các ặc trưng của
dữ liệu từ dữ liệu nhiễu. Nhưng sau quá trình giải mã ầu ra sẽ là dữ liệu ban ầu
trước khi bị làm nhiễu. Từ ó, ta có thể thấy khả năng khái quát hóa cả DAE tốt hơn
so với Autoencoder. Hơn nữa, DAE có thể xếp chồng lên nhau ể có ược feature tốt
hơn vì vậy ta có cấu trúc Stacked Denoise Autoencoder (SDAE). Việc ào tạo mạng
SDAE theo layer-wise vì mỗi DAE với một hidden layer ược ào tạo ộc lập. Sau
12
khi ào tạo mạng SDAE, các lớp giải mã ược loại bỏ và các lớp mã hóa tạo ra các
ặc trưng ược dữ lại. Vì có khả năng phục hồi dữ liệu trước khi bị làm nhiễu nên
DAE thường ược dùng ể khôi phục ảnh và các dữ liệu bị hỏng.
Mục ích của quá trình huấn luyện mạng AE và DAE là ể tìm ược weight (trọng
số) úng, các thuật toán cần tìm weight ể tạo ầu ra giống với ầu vào nhất có thể.
Phát hiện xâm nhập là quá trình theo dõi các sự kiện xảy ra trong một hệ thống
máy tính hay mạng máy tính và phân tích chúng ể tìm ra các dấu hiệu sự cố có thể
xảy ra, ó là các hành vi hay các mối e dọa sắp xảy ra, vi phạm các chính sách bảo
mật, các chính sách sử dụng ược chấp nhận hay dựa trên tiêu chuẩn bảo mật.
Hệ thống IDS là một hệ thống (có thể là thiết bị phần cứng hay phần mềm) nhằm
giám sát lưu lượng mạng theo dõi, thu thập thông tin ể phát hiện xâm nhập mạng và ưa
ra cảnh báo.
Hiện nay, nhiều nghiên cứu ã áp dụng thành công các thuật toán học máy ể hệ
thống IDS có khả năng tự học và cập nhật các cuộc tấn công mới. Nhưng ể hạn chế báo
ộng nhầm và tăng khả năng dự oán các cuộc tấn công thì ngoài khả năng tự quyết ịnh,
IDS cần có tư duy phân tích. Vì vậy ta cần ứng dụng học máy vào IDS. Trong ề
tài này tui sẽ sử dụng mạng học sâu là Autoencoder (AE) và một số thuật toán học máy ể
xác ịnh tấn công xâm nhập mạng.
Có hai giai oạn trong quá trình phát hiện xâm nhập là: Learning Feature và
Classifier. Trong giai oạn Learning Feature, các dữ liệu của mạng sẽ ược ưa vào
các mạng AE và DAE ta sẽ ược mã chứa các ặc trưng ại diện nhất của dữ liệu. Các
ặc trưng này có thể mô tả ược dữ liệu ầu vào. Quá trình này giúp cho việc phân
loại nhanh hơn và chính xác hơn nhờ vào khả năng học của AE và DAE. Ngoài ra, ta
cũng có thể sử dụng mạng SDAE (Stacked Denoise Autoencoder) ể khôi phục ược
các dữ liệu bị hỏng. Trong giai oạn Classifier, ta sẽ lấy các dữ liệu ã ược trích xuất
từ giai oạn Learning Feature và sử dụng các thuật toán phân loại như SVM, RF, DT,
KNN, NB ể xác ịnh dữ liệu ầu vào là bình thường hay bất thường.
3. Mục tiêu nghiên cứu của ề tài
Nghiên cứu về mạng học sâu AE (Autoencoder) và áp dụng vào khâu tiền xử lý
dữ liệu trong Hệ thống phát hiện xâm nhập mạng (IDS) ể xác ịnh tấn công xâm
nhập, góp phần tăng mức ộ hiệu quả, chính xác trong hoạt ộng của hệ thống IDS.
4. Đối tượng và phạm vi nghiên cứu của ề tài
Phạm vi nghiên cứu của luận văn là áp dụng AE ể xác ịnh một dữ liệu ầu
Đối tượng nghiên cứu của luận văn là mạng học sâu AE (Autoencoder) và Hệ
thống IDS.
vào có phải là tấn công xâm nhập hay không. 5. Phương pháp nghiên cứu của ề tài - Về mặt lý thuyết:
13
+ Thu thập, khảo sát, phân tích, nghiên cứu các tài liệu và thông tin có liên
quan ến một số hình thức tấn công xâm nhập mạng và một số phương pháp phát hiện
xâm nhập mạng.
+ Tìm hiểu về mạng học sâu AE (Autoencoder) và áp dụng AE vào vào khâu
tiền xử lý dữ liệu trong hệ thống phát hiện xâm nhập mạng. Sau khâu tiền xử lý dựa
trên AE, sử dụng một số thuật toán SVM, RF, KNN, NB, DT ể xác ịnh một số hành
vi là tấn công xâm nhập mạng hay không.
- Về mặt thực nghiệm:
+ Sử dụng các thuật toán SVM, RF, KNN, NB, DT trong mạng học sâu AE
(Autoencoder) trên bộ dữ liệu NSL-KDD ể xác ịnh xâm nhập mạng.
+ Đánh giá, so sánh mức ộ hiệu quả khi ứng dụng AE vào hệ thống phát hiện
xâm nhập mạng.
14
CHƯƠNG 1
TỔNG QUAN VỀ PHÁT HIỆN XÂM NHẬP MẠNG
1.1 Khái quát về tấn công xâm nhập mạng
Tấn công, xâm nhập là một, hay một chuỗi các hành ộng vi phạm các chính sách an ninh, an toàn của tổ chức, cơ quan, gây tổn hại ến các thuộc tính bí mật, toàn vẹn và sẵn sàng của thông tin, hệ thống và mạng [1]. Một cuộc tấn công vào hệ thống máy tính hay các tài nguyên mạng thường ược thực hiện bằng cách khai thác các lỗ
hổng bảo mật tồn tại trong hệ thống. Trong thế giới kết nối mạng sâu và rộng hiện nay, hầu hết các dạng tấn công, xâm nhập ều ược thực hiện thông qua hệ thống mạng, nhất là mạng Internet, nên có thể xem tấn công, xâm nhập mạng ồng nhất với
tấn công, xâm nhập nói chung.
Có thể chia các dạng tấn công, xâm nhập theo mục ích thực hiện thành 4 loại chính như sau [1]:
- Giả mạo (Fabrication) là dạng tấn công thực hiện việc giả mạo thông tin (email, ịa chỉ IP...) và thường ược sử dụng ể ánh lừa người dùng thông thường;
- Chặn bắt (Interception) là dạng tấn công thường liên quan ến việc nghe lén thông tin trên ường truyền và chuyển hướng thông tin ể sử dụng trái phép;
- Gây ngắt quãng (Interruption) dạng tấn công làm ngắt, hay chậm kênh truyền thông, hay làm quá tải hệ thống, ngăn cản việc truy cập dịch vụ của người dùng hợp pháp;
- Sửa ổi (Modification) dạng tấn công thực hiện việc sửa ổi thông tin trên ường truyền hay sửa ổi dữ liệu file.
Theo hình thức thực hiện, có thể chia các dạng tấn công, xâm nhập thành 2 kiểu chính như sau:
- Tấn công chủ ộng (Active attack) là một ột nhập, xâm nhập về mặt vật lý vào hệ thống, hay mạng. Các tấn công chủ ộng thực hiện sửa ổi dữ liệu trên ường truyền, sửa ổi dữ liệu trong file, hay giành quyền truy cập trái phép vào hệ thống máy tính hay hệ thống mạng.
- Tấn công thụ ộng (Passive attack) là kiểu tấn công thường không gây ra thay ổi trên hệ thống. Các tấn công thụ ộng iển hình là nghe lén và giám sát lưu lượng trên ường truyền.
1.2 Một số dạng tấn công xâm nhập iển hình vào hệ thống CNTT
15
1.2.1 Asymmetric Routing
1.2.2 Buffer Overflow Attacks (Tấn công tràn bộ ệm)
1.2.3 Common Gateway Interface Scripts
1.2.4 Protocol-Specific Attacks (Tấn công theo giao thức mạng)
Trong phương pháp này, kẻ tấn công cố gắng sử dụng nhiều hơn một ường dẫn (route) ến thiết bị mạng ược nhắm mục tiêu. Ý tưởng là ể cuộc tấn công tổng thể tránh bị phát hiện bằng cách ể một phần áng kể các gói tin vi phạm bỏ qua một số phân oạn mạng nhất ịnh và các cảm biến xâm nhập mạng của chúng. Các mạng không ược thiết lập ể ịnh tuyến không ối xứng sẽ không bị ảnh hưởng bởi
phương pháp tấn công này.
Cách tiếp cận này cố gắng ghi è các phần cụ thể của bộ nhớ máy tính kết nối
mạng, thay thế dữ liệu bình thường trong các vị trí bộ nhớ ó bằng một bộ lệnh mà
sau này sẽ ược thực thi như một phần của cuộc tấn công. Trong hầu hết các trường
hợp, mục ích là bắt ầu tình huống từ chối dịch vụ (DoS) hay thiết lập một kênh mà
qua ó kẻ tấn công có thể truy cập từ xa vào mạng. Việc thực hiện các cuộc tấn công
như vậy khó hơn khi các nhà thiết kế mạng giữ kích thước bộ ệm tương ối nhỏ và /
hay cài ặt logic kiểm tra ranh giới xác ịnh mã thực thi hay ộ dài chuỗi URL
trước khi cho phép ghi dữ liệu vào bộ ệm.
Giao diện cổng chung (CGI) thường ược sử dụng trong mạng ể hỗ trợ tương
tác giữa máy chủ và máy khách trên Web. Nhưng nó cũng cung cấp các lỗ hổng dễ
dàng - chẳng hạn như "backtracking" - thông qua ó những kẻ tấn công có thể truy
cập các tệp hệ thống mạng ược đánh giá là an toàn. Khi hệ thống không xác minh ầu vào
hay kiểm tra các ký tự, tập lệnh CGI bí mật có thể dễ dàn
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download.
Password giải nén nếu cần: ket-noi.com | Bấm vào Link, đợi vài giây sau đó bấm Get Website để tải:
You must be registered for see links