SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
1
2
Nguyễn Đình Chiểu | [email protected]
Một Số Thuật Toán Phân Lớp Và Ứng
Dụng Phát Hiện Xâm Nhập Trái Phép
1
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
2
2
NỘI DUNG CHÍNH
IDS; Data mining; Ba thuật toán Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
2
1. ĐẶT VẤN ĐỀ
3. MỘT SỐ KỸ THUẬT PHÂN LỚP
4. THỰC NGHIỆM
5. KẾT LUẬN
2. TỔNG QUAN HỆ THỐNG PHÁT HIỆN
XÂM NHẬP TRÁI PHÉP
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
3
2
ĐẶT VẤN ĐỀ
IDS; Data mining; Ba thuật toán Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
3
1. Lý do
3. Đối tượng và phạm vi nghiên cứu
4. Phương pháp nghiên cứu
2. Mục tiêu

-
Network intrusion detection
system.
-
Host-base Intrusion detection
system.
-
Ai sẽ giám sát hệ thống IDS?
-
Ai sẽ điều hành IDS?
-
Xử lý phát hiện như thế nào?

5
IDS; Data mining; Ba thuật toán Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
6
2
PHÂN LOẠI IDS
IDS; Data mining; Ba thuật toán Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
6
ƯU ĐIỂM HẠN CHẾ
NIDS
-
Quản lý được phân đoạn
mạng.
-
Có tính trong suốt, độc

-
Cung cấp các thông tin
về host.
-
Hệ điều hành cùng thoả hiệp.
-
HIDS cần thiết lập trên từng host.
-
Không có khả năng phát hiện,
thăm dò mạng.
-
Cần tài nguyên host để thực
hiện.
-
Tấn công từ chối dịch vụ (Dos).
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
7
2
KIẾN TRÚC CỦA IDS
IDS; Data mining; Ba thuật toán Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
7
Ngăn chặn (Prevention)
Giám sát xâm nhập (IM)
Kiểm tra xâm nhập (IS)
Trả lời (Response)
Mô phỏng
Phân tích
Thông báo
1. Quá trính thực hiện

KIẾN TRÚC CỦA IDS
IDS; Data mining; Ba thuật toán: Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
10
4. Giải pháp Kiến trúc đa tác
nhân:
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
11
2
CÁC KỸ THUẬT PHÁT HIỆN XÂM NHẬP TRÁI PHÉP
IDS; Data mining; Ba thuật toán: Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
11
1) Phát hiện dựa vào dấu hiệu bất thường
2) Phát hiện dựa trên sự bất thường
3) Phát hiện dựa và phân tích trạng thái giao thức.
4) Phát hiện dựa trên mô hình.
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
12
2
KỸ THUẬT DATA MINING TRONG IDS
IDS; Data mining; Ba thuật toán: Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
12
Connection/
session records
Packets/
event
(ASCII)
Raw audit data

IDS; Data mining; Ba thuật toán: Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
15
Khái niệm về phân lớp.
Mục đích của phân lớp.
Các tiêu chí đánh giá thuật toán phân lớp.
Các phương pháp đánh giá độ chính xác của
mô hình phân lớp.
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
16
2
Phân lớp Naïve Bayes
Học theo xác suất:
•
Tính các xác suất rõ ràng cho các giả thuyết.
•
Một trong những hướng thiết thực cho một số vấn
đề thuộc phương pháp học.
Có tăng trưởng:
•
Mỗi mẫu huấn luyện có thể tăng/giảm dần khả
năng đúng của một giả thuyết.
•
Tri thức ưu tiên có thể kết hợp với dữ liệu quan sát.
IDS; Data mining; Ba thuật toán: Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
16
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
17
2

●
Nhánh
●
Lá
●
Lá
●
Lá
IDS; Data mining; Ba thuật toán: Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
18
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
19
2
Phân lớp Cây quyết định
Hai giai đoạn tạo cây quyết định.

Xây dựng cây:

Bắt đầu, lấy tất cả các mẫu huấn luyện đều ở gốc.

Phân chia các mẫu dựa trên các thuộc tính được chọn.

Kiểm tra các thuộc tính được chọn dựa trên một độ đo thông kê hoặc
heuristic.

Thu gọn cây:

Xác định và loại bỏ những nhánh nhiễu hoặc tách khỏi nhóm.


x∀
2
x
∀
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
21
2
Phân lớp SVM
IDS; Data mining; Ba thuật toán: Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
21
Máy vector hỗ trợ là một khái niệm trong thống kê khoa học máy tính
cho một tập hợp các phương pháp học có giám sát liên quan đến nhau để
phân loại và phân tích hồi qui.
SVM tuyến tính:
Là phân lớp nhị phân, phân biệt giữa lớp + và lớp Đây là ý tưởng
phân chia biên rộng.

SVM phi tuyến:
Ánh xạ vector dữ liệu vào không gian chiều cao có số chiều cao hơn
nhiều.
n
ii
P
iii
yRxyxD
1
}}1,1{,|),{(
=
−∈∈=

2
Thực Nghiệm
IDS; Data mining; Ba thuật toán: Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
24
2. Kết quả thực nghiệm.
a. Phân lớp dựa trên cây quyết định:
Kết quả Sử dụng cây quyết định như bộ phân lớp nhị phân
Thời gian học Thời gian kiểm thử Mức độ đúng (%)
Normal 60,08 0.2 99,91
DoS 55,6 0,18 99,6
Probe 69,38 0,15 98,8
U2R 51,2 0.16 72,7
R2L 75,02 0,19 98,3
SECURITY BOOTCAMP 2012 | Make yourself to be an expert!
25
2
Thực Nghiệm
IDS; Data mining; Ba thuật toán: Naïve Bayes, DC, SVM; Nguyễn
Đình Chiểu
25
Lớp Số lượng bảng ghi Tỉ lệ %
Nomal
23872 26,2
DoS
65776 72,2
Probe
1042 1,1
U2R
35 0,03