Thạc Sĩ Những giải pháp phát hiện và ngăn chặn truy cập trái phép vào mạng

MỤC LỤC
LỜICẢM ƠN
BẢNG CÁC TỪ VIẾT TẮT, KÝ HIỆU
MỤC LỤC
MỞ ĐẦU . 1
Đặt vấn đề 1
Nội dung của đề tài 1
Cấu trúc luận văn . 2
CHƯƠNG 1. TỔNG QUAN VỀ HỆ THỐNG IPS 3
1.1 Lịch sử ra đời . 3
1.2 Hệ thống IDS . 4
1.2.1 Một hệ thống IDS bao gồm các thành phần . 4
1.2.2 Phân loại các hệ thống IDS 5
1.2.2.1 Network-based Intrusion Detection System (NIDS) 5
1.2.2.2 Host-based Intrusion Detection System (HIDS) 7
1.2.2.3 Hybrid Intrusion Detection System . 8
1.3 Hệ thống IPS 9
1.3.1 Phân loại IPS . 10
1.3.2 Các thành phần chính 11
1.3.2.1 Module phân tích gói (packet analyzer) 11
1.3.2.2 Module phát hiện tấn công . 11
1.3.2.3 Module phản ứng 14
1.3.3 Mô hình hoạt động 15
1.3.4 Đánh giá hệ thống IPS . 17
1.4. Kết chương . 18
CHƯƠNG 2 : TÌM HIỂU VÀ NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN
TẤN CÔNG TRONG HỆ THỐNGIPS 21
2.1 Tổng quan về phương pháp phát hiện bất thường . 21
2.1.1 Thế nào là bất thường trong mạng? 21
2.1.2 Các nguồn dữ liệu dùng cho phát hiện bất thường . 22
2.1.2.1 Network Probes 23
2.1.2.2 Lọc gói tin cho việc phân tích luồng ( Packet Filtering ) 23
2.1.2.3 Dữ liệu từ các giao thức định tuyến . 24
2.1.2.4 Dữ liệu từ các giao thức quản trị mạng 24
2.1.3 Các phương pháp phát hiện bất thường 25
2.1.3.1 Hệ chuyên gia ( Rule-based ) 25
2.1.3.2 Mạng Nơ-ron ( Artificial Neural Network) 27
2.1.3.3 Máy trạng thái hữu hạn 31
2.1.3.4 Phân tích thống kê . 32
2.1.3.5 Mạng Bayes 34
2.2. Kết chương . 35
CHƯƠNG 3: PHƯƠNG PHÁP PHÁT HIỆN BẤT THƯỜNG DỰA TRÊN KHAI
PHÁ DỮ LIỆU 36
3.1 Khai phá dữ liệu . 36
3.2 Các thuật toán phát hiện bất thường trong khai pháp dữ liệu . 39
3.2.1 Đánh giá chung về hệ thống 39
3.2.2 Phần tử dị biệt . 41
3.2.2.1 Phương pháp điểm lân cận gần nhất (NN) . 42
3.2.2.2 Phương pháp pháp hiện điểm dị biệt dựa trên khoảng cách Mahalanobis 43
3.2.2.3 Thuật toán LOF . 44
3.2.2.4 Thuật toán LSC-Mine . 48
3.3 Mô hình phát hiện bất thường dựa trên kỹ thuật KPDL . 50
3.3.1 Module lọc tin . 51
3.3.2 Module trích xuất thông tin . 51
3.3.3 Môđun phát hiện phần tử di biệt 52
3.3.4 Module phản ứng . 55
3.3.5 Module tổng hợp . 55
3.4 Giới thiệu về hệ thống phát hiện xâm nhập MINDS . 58
3.4.1 Giới thiệu hệ thống 58
3.4.2 So sánh SNORT và MINDS 64
3.4.3.1 Tấn công dựa trên nội dung . 64
3.4.3.2 Hoạt động scanning 65
3.4.3.3 Xâm phạm chính sách 66
3.5 Kết chương . 66
KẾT LUẬN . 68
Hướng phát triển của luặn văn: . 69
TÀI LIỆU THAM KHẢO