ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN PHƯƠNG CHÍNH
GIẢI PHÁP PHÁT HIỆN VÀ
NGĂN CHẶN TRUY CẬP TRÁI PHÉP
VÀO MẠNG
LUẬN VĂN THẠC SĨ
Hà Nội 2009
LI CẢM ƠN
Li đầu tiên, tôi xin chân thành cảm ơn PGS. TS Nguyễn Văn Tam, Viện công
nghệ thông tin, người đã gợi ý đề tài và tn tình hướng dn cho tôi hoàn thành luận văn
cao hc này.
Tôi cũng xin gửi li cảm ơn chân thành tới Phòng đào tạo sau đi hc và các thy
giáo trong khoa Công ngh - Trường Đại Hc Công Ngh - Đại Hc Quc Gia
Nội đã ging dy, truyền đạt và tạo điều kin hc tp tt nht cho tôi sut quá trình hc
cao hc cũng như thời gian thc hin luận văn cao học.
Hà Ni, tháng 06 năm 2009
Nguyễn Phương Chính
I
MC LC
LI CẢM ƠN
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU
MỤC LỤC
MỞ ĐẦU.....................................................................................................................1
Đặt vấn đề................................................................................................................1
Nội dung của đề tài ..................................................................................................1
Cấu trúc luận văn .....................................................................................................2
CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG IPS ......................................................3
1.1 Lịch sử ra đời .......................................................................................................3
1.2 Hthống IDS.........................................................................................................4
1.2.1 Một hệ thống IDS bao gồm các thành phần .....................................................4
1.2.2 Phân loại các hệ thống IDS..............................................................................5
1.2.2.1 Network-based Intrusion Detection System (NIDS) ..................................5
1.2.2.2 Host-based Intrusion Detection System (HIDS) ........................................7
1.2.2.3 Hybrid Intrusion Detection System ...........................................................8
1.3 Hthống IPS..........................................................................................................9
1.3.1 Phân loại IPS.................................................................................................10
1.3.2 Các thành phần chính ....................................................................................11
1.3.2.1 Module phân tích gói (packet analyzer)..................................................11
1.3.2.2 Module phát hiện tấn công.....................................................................11
1.3.2.3 Module phản ứng ....................................................................................14
1.3.3 Mô hình hoạt động ........................................................................................15
1.3.4 Đánh giá hệ thống IPS...................................................................................17
1.4. Kết chương .........................................................................................................18
I
CHƯƠNG 2 : TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN
TẤN CÔNG TRONG HỆ THỐNG IPS....................................................................21
2.1 Tổng quan về phương pháp phát hiện bất thường.................................................21
2.1.1 Thế nào là bất thường trong mạng?................................................................21
2.1.2 Các nguồn dữ liệu dùng cho phát hiện bất thường .........................................22
2.1.2.1 Network Probes ......................................................................................23
2.1.2.2 Lọc gói tin cho việc phân tích luồng ( Packet Filtering ) ........................23
2.1.2.3 Dữ liệu từ các giao thức định tuyến.........................................................24
2.1.2.4 Dữ liệu từ các giao thức quản trị mạng....................................................24
2.1.3 Các phương pháp phát hiện bất thường..........................................................25
2.1.3.1 Hệ chuyên gia ( Rule-based ) ..................................................................25
2.1.3.2 Mạng-ron ( Artificial Neural Network)..............................................27
2.1.3.3 Máy trạng thái hữu hạn ..........................................................................31
2.1.3.4 Phân tích thống kê...................................................................................32
2.1.3.5 Mạng Bayes ............................................................................................34
2.2. Kết chương .........................................................................................................35
CHƯƠNG 3: PHƯƠNG PHÁP PHÁT HIỆN BẤT THƯỜNG DỰA TRÊN KHAI
PHÁ DLIỆU..........................................................................................................36
3.1 Khai phá dliệu...................................................................................................36
3.2 Các thuật toán phát hiện bất thường trong khai pháp dữ liệu ...............................39
3.2.1 Đánh giá chung về hệ thống ..........................................................................39
3.2.2 Phần tử dị biệt ...............................................................................................41
3.2.2.1 Phương pháp điểm lân cận gần nhất (NN)...............................................42
3.2.2.2 Phương pháp pháp hiện điểm dị biệt dựa trên khoảng cách Mahalanobis 43
3.2.2.3 Thuật toán LOF.......................................................................................44
3.2.2.4 Thuật toán LSC-Mine .............................................................................48
3.3 Mô hình phát hiện bất thường dựa trên kỹ thuật KPDL.......................................50
I
3.3.1 Module lọc tin ...............................................................................................51
3.3.2 Module trích xuất thông tin ...........................................................................51
3.3.3 Môđun phát hiện phần tử di biệt ....................................................................52
3.3.4 Module phản ứng...........................................................................................55
3.3.5 Module tổng hợp ...........................................................................................55
3.4 Gii thiệu về hệ thống phát hiện xâm nhập MINDS.............................................58
3.4.1 Giới thiệu hệ thống........................................................................................58
3.4.2 So sánh SNORT và MINDS ..........................................................................64
3.4.3.1 Tấn công dựa trên nội dung.....................................................................64
3.4.3.2 Hoạt động scanning................................................................................65
3.4.3.3 Xâm phạm chính sách ............................................................................66
3.5 Kết chương .........................................................................................................66
KẾT LUẬN ...............................................................................................................68
Hướng phát triển của luặn văn:...............................................................................69
TÀI LIỆU THAM KHẢO