Thạc Sĩ Phát hiện xâm nhập dựa trên thuật toán K-Means

Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

i

MỤC LỤC
MỞ ĐẦU . 4
Chương 1: KHÁI QUÁT BÀI TOÁN PHÁT HIỆN XÂM NHẬP . 4
1.1. Định nghĩa về phát hiện xâm nhập . 4
1.1.1. Định nghĩa. 4
1.1.2. Sự khác nhau giữa IDS/IPS. 4
1.2. Các thành phần và chức năng của hệ thống phát hiện thâm nhập. . 5
1.2.1. Thành phần thu thập gói tin . 6
1.2.2. Thành phần phát hiện gói tin . 6
1.2.3. Thành phần phản hồi . 6
1.3. Phân loại phát hiện xâm nhập 7
1.3.1. Network based IDS – NIDS . 7
1.3.2. Host based IDS – HIDS . 9
. 11
1.4.1. Mô hình phát hiện sự lạm dụng . 11
1.4.2. Mô hình phát hiện sự bất thường . 12
1.4.3. So sánh giữa hai mô hình 15
Chương 2: PHÁT HIỆN XÂM NHẬP DỰA TRÊN THUẬT TOÁN K-MEANS . 17
2.1 Thuật toán K-means 17
2.1.1 Các khái niệm . 17
2.1.2 Thuật toán. 20
2.1.3 Nhược điểm của K-Means và cách khắc phục . 35
2.2. Thuật toán K-means với phát hiện xâm nhập. 35
2.2.1 Phân tích tập dữ liệu kiểm thử. . 35
2.2.2 Mô hình phát hiện bất thường dựa trên thuât toán K-means. 39
Chương 3: XÂY DỰNG CHƯƠNG TRÌNH PHÁT HIỆN XÂM NHẬP DỰA
TRÊN THUẬT TOÁN K-MEANS . 47
3.1 Mô tả bài toán . 47
3.2 Mô tả dữ liệu đầu vào 47
3.2.1 Mô tả các thuộc tính trong file dữ liệu đầu vào . 48
3.2.2 Giảm số lượng bản ghi trong dữ liệu đầu vào: 50
3.3 Cài đặt thuật toán K-Means và thử nghiệm trong phân cụm phần tử dị biệt . 53
3.3.1 Giới thiệu về môi trường cài đặt 53
3.3.2 Các chức năng của chương trình . 53
3.4. Nhận xét, đánh giá chương trình thử nghiệm . 59
KẾT LUẬN VÀ HƯỚNG NGHIÊN CỨU 60
TÀI LIỆU THAM KHẢO 61
PHẦN PHỤ LỤC . 62





Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

ii

DANH MỤC HÌNH ẢNH
Hình 1.1: Các vị trí đặt IDS trong mạng. . 4
Hình 1.2: Mô hình kiến trúc hệ thống phát hiện xâm nhập (IDS). . 5
Hình 1.3: Mô hình NIDS 7
Hình 2.1 Ví dụ về phân nhóm đối tượng 17
Hình 2.2: Các thiết lập để xác định ranh giới các cụm ban đầu . 18
Hình 2.3: Mô tả độ đo khoảng cách giữa các đối tượng. 19
Hình 2.4: Sơ đồ thuật toán phân nhóm K-Means 21
Hình 2.5: Mô tả trực quan quá trình phân cụm dữ liệu. 22
Hình 2.6: Biểu diễn các đối tượng trên mặt phẳng toạ độ x, y . 25
Hình 2.7: Biểu diễn các đối tượng, phần tử trung tâm trên mặt phẳng toạ độ x, y 26
Hình 2.8: Biểu diễn các đối tượng, phần tử trung tâm trên mặt phẳng toạ độ x, y
(Vòng lặp 1) . 29
Hình 2.9: Biểu diễn các đối tượng, phần tử trung tâm trên mặt phẳng toạ độ x, y 31
(Vòng lặp 2) 31
Hình 2.10: Biểu diễn các đối tượng, phần tử trung tâm trên mặt phẳng toạ độ x, y
(Vòng lặp 3) 33
Hình 2.11: Mô hình hệ thống phát hiện bất thường sử dụng thuật toán K-means 40
Hình 2.12: Bốn quan hệ của một cuộc tấn công 42
Hình 2.13: Mô tả hoạt động của môđun tổng hợp . 44
Hình 3.1: Giảm số bản ghi cho file đầu vào của chương trình 51
Hình 3.2: Xem và chỉnh sửa cho file đầu vào của chương trình nếu cần. . 52
Hình 3.3: Dữ liệu của chương trình mở bằng Notepad. 52
Hình 3.5: Giao diện chọn bộ dữ liệu 54
Hình 3.6: Hiển thị chi tiết dữ liệu đầu vào. 55
Hình 3.7: Form thực hiện thuật toán K-Means. . 56
Hình 3.8: Kết quả thực hiện thuật toán K-Means. 57
Hình 3.9: Số bản ghi kết nối thuộc về mỗi cụm. . 58
Hình 3.10: Kết quả thực hiện thuật toán K-Means với bộ dữ liệu có 494020 bản ghi
kết nối. . 58


Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

iii

DANH MỤC BẢNG
Bảng 2.1: Danh mục các đối tượng . 24
Bảng 2.2: Bảng biểu diễn các thuộc tính trên mặt phẳng x,y . 24
Bảng 2.3: Khởi tạo các phần tử trọng tâm 25
Bảng 2.4: Bảng khoảng cách Euclidean (vòng lặp 1) 28
Bảng 2.5: Tìm khoảng cách min giữa các khoảng cách (Vòng lặp 1) 28
Bảng 2.6: Kết quả phân nhóm các đối tượng (vòng lặp 1) . 28
Bảng 2.7: Phần tử trọng tâm (vòng lặp 1) 29
Bảng 2.8: Bảng khoảng cách Euclidean (Vòng lặp 2) 30
Bảng 2.9: Tìm khoảng cách min giữa các khoảng cách (Vòng lặp 2) 30
Bảng 2.10: Kết quả phân nhóm các đối tượng (vòng lặp 2) . 31
Bảng 2.11: Phần tử trọng tâm (vòng lặp 2) . 31
Bảng 2.12: Bảng khoảng cách Euclidean (vòng lặp 3) 32
Bảng 2.13: Tìm khoảng cách min giữa các khoảng cách (vòng lặp 3) 32
Bảng 2.14: Kết quả phân nhóm các đối tượng (vòng lặp 3) 33
Bảng 2.15: Phần tử trọng tâm (vòng lặp 3) . 33
Bảng 2.16: Kết quả phân nhóm các đối tượng (vòng lặp 4) . 34
Bảng 2.17: Bảng kết quả phân nhóm thuốc . 34
Bảng 2.18: danh sách các cảnh báo chưa rút gọn . 45
Bảng 2.19: Danh sách các cảnh báo sau khi đã rút gọn 46
Bảng 3.1: Các thuộc tính cơ bản (nhóm này chứa tất cả các thuộc tính có được từ
một kết nối TCP / IP) 48
Bảng 3.2: Các thuộc tính lưu thong (nhóm này bao gồm các thuộc tính mà nó được
tính toán với khoảng thời gian một cửa sổ) 49
Bảng 3.2: Các thuộc tính nội dung . 49








Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

iv

BẢNG TỪ VIẾT TẮT


IDS
Intrusion Detection System
IPS Intrusion Prevention Systems
HIDS Host-based IDS
NIDS Network-based IDS



Số hóa bởi Trung tâm Học liệu - ĐHTN http://www.lrc-tnu.edu.vn/

3
MỞ ĐẦU

Ngày nay, hệ thống mạng máy tính đã trở nên rất phổ biến và được ứng dụng
trong hầu hết các hoạt động kinh tế-xã hội của nước ta. Tuy nhiên, mạng máy tính
cũng phải đương đầu với nhiều thách thức, đặc biệt là vấn đề an toàn và bảo mật dữ
liệu trên mạng. Trong các mối đe dọa đối với an ninh mạng thì việc xâm nhập mạng
để thay đổi thông tin, lấy cắp dữ liệu và phá hoại hạ tầng mạng là nghiêm trọng
nhất. Chính vì vậy, việc phát hiện và ngăn chặn xâm nhập mạng máy tính là chủ đề
đang được quan tâm nghiên cứu và phát triển ứng dụng mạnh mẽ hiện nay. Phát
hiện và ngăn chặn được hiểu là xác định xâm nhập và ngăn chặn một cách nhanh
nhất khi nó xảy ra. Hiện nay không có phương pháp phát hiện truy nhập trái phép
nào là hoàn hảo bởi các kĩ thuật xâm nhập ngày càng tinh vi và luôn luôn được đổi
mới. Khi phương pháp phát hiện xâm nhập được biết đến thì những kẻ xâm nhập sẽ
sửa những chiến lược và thử một kiểu xâm nhập mới.

. Chính vì thế tôi đã lựa chọn chủ
đề “ -means.” là đề tài nghiên cứu cho
luận văn của mình.
* Cấu trúc của luận văn bao gồm 3 chương như sau:
Chương 1: Chương này trình bày nhưng kiến thức cơ bản về phát hiện xâm
nhập như: định nghĩa, các thành phần và chức năng của hệ thống, phân loại, và các
phương pháp phát hiện xâm nhập.
Chương 2: Chương này trình bày về việc phát hiện xâm nhập dựa trên thuật
toán K-means. Nội dung của thuật toán, ví dụ minh họa thuật toán, tập dữ liệu kiểm
thử và mô hình phát hiện xâm nhập dựa trên thuật toán K-means.
Chương 3: Chương này là kết quả cài đặt bài toán phát hiện xâm nhập dựa
trên thuật toán k-means.