Ids Snort Áp D NG Neural Network

MỤC LỤC
Nội dung ........................................................................................................................................................ 4

1 Giới thiệu.................................................................................................................................................... 5
1.1 Bối cảnh............................................................................................................................................... 5
1.2 Hệ thống phát hiện xâm nhập ............................................................................................................ 5
1.3 Snort .................................................................................................................................................... 6
1.4 Mục tiêu và mục tiêu .......................................................................................................................... 6
1.5 Câu hỏi nghiên cứu ............................................................................................................................. 6
1.6 Cấu trúc dự án..................................................................................................................................... 6
2 Tổng quan tài liệu....................................................................................................................................... 8
2.1 Giới thiệu............................................................................................................................................. 8
2.2 Hệ thống phát hiện xâm nhập hoạt động như thế nào ...................................................................... 8
Hình 1 - Hình tư duy hệ thống phát hiện xâm nhập ............................................................................. 9
Hình 2 - Hệ thống phát hiện xâm nhập thụ động (Shelly và Wolfgang 2009) .................................... 10
2.2.1 Hệ thống phát hiện xâm nhập mạng (NIDS) .............................................................................. 10
2.2.2 Hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) ........................................................... 11
2.2.3 Tóm tắt về NIDS và HIDS ............................................................................................................ 11
2.2.4 Dựa trên thống kê ...................................................................................................................... 12
2.2.5 Dựa trên quy tắc ........................................................................................................................ 12
2.2.6 Học máy ..................................................................................................................................... 13
Hình 3 - Phân loại hệ thống phát hiện xâm nhập (Garcia-Teodoro et al 2008) .................................. 14
2.3 Các vấn đề hiện tại với hệ thống phát hiện xâm nhập...................................................................... 14
2.5 Snort .................................................................................................................................................. 15
2.6 Tối ưu hóa hệ thống phát hiện xâm nhập thông qua Machine Learning ......................................... 16
2.6.1 Học máy ..................................................................................................................................... 16
2.6.2 Mạng nơ-ron .............................................................................................................................. 18
Hình 5 Mạng nơ ron nhân tạo (Sayad 2015) ....................................................................................... 18
2.7 Tóm tắt .............................................................................................................................................. 19
2.8 Vấn đề và Giải pháp .......................................................................................................................... 19
3. Phương pháp luận (Methodology).......................................................................................................... 20
3.1 Bối cảnh............................................................................................................................................. 20
3.2 Tóm tắt phương pháp luận ............................................................................................................... 20
1|Lê Tiến Thành

Hình 6 - Mạng cục bộ .......................................................................................................................... 20
3.3 Thiết lập mạng .................................................................................................................................. 21
3.3.1 Máy Ubuntu cho Snort ............................................................................................................... 21
3.3.2 Kẻ tấn công................................................................................................................................. 21
3.3.3 Nạn nhân .................................................................................................................................... 22
3.3.4 Cấu hình địa chỉ IP ...................................................................................................................... 22
3.3.5 Cài đặt Snort............................................................................................................................... 23
3.4 Kiểm tra ............................................................................................................................................. 24
3.5 Quy tắc .............................................................................................................................................. 24
3.6 Khai thác............................................................................................................................................ 25
3.6.1 MS08-067 ................................................................................................................................... 25
3.6.2 FTP miễn phí............................................................................................................................... 25
3.7 Tóm tắt .............................................................................................................................................. 26
4. Kết quả .................................................................................................................................................... 27
4.1 Bối cảnh............................................................................................................................................. 27
4.2 Kiểm tra ............................................................................................................................................. 27
Hình 7 – Gửi yêu cầu Ping ................................................................................................................... 27
4.3 Khai thác............................................................................................................................................ 28
4.3.1 MS08-067 ................................................................................................................................... 28
Hình 8 - Meterpreter shell trên nạn nhân........................................................................................... 28
Hình 9 - Snort không quét được các cờ tấn công. .............................................................................. 28
Hình 10 - Cảnh báo MS08-067 ............................................................... Error! Bookmark not defined.
4.3.2 FTP miễn phí............................................................................................................................... 29
Hình 11 - Thông báo FTP ..................................................................................................................... 29
4.4 Tóm tắt .............................................................................................................................................. 30
5. Thảo luận................................................................................................................................................. 31
5.1 Giới thiệu........................................................................................................................................... 31
5.2 Thiết lập mạng và snort .................................................................................................................... 31
5.2.1 Thiết lập ..................................................................................................................................... 31
5.2.1.1 Cấu hình IP .................................................................................................................................. 31
5.2.2 Khai thác..................................................................................................................................... 32
5.2.3 Kết luận .......................................................................................................................................... 33
2|Lê Tiến Thành

5.3 Nghiên cứu trước .............................................................................................................................. 33
5.3.1 Machine Learning và mạng nơ-ron ................................................................................................ 34
5.4 Tối ưu hóa ......................................................................................................................................... 35
5.4.1 Lý thuyết tối ưu hóa đề xuất ...................................................................................................... 36
Hình 12 - Mô hình tối ưu hóa .............................................................................................................. 36
Hình 13 - Kịch bản giao thông bình thường ........................................................................................ 37
5.4.2 Đào tạo mạng nơ-ron ................................................................................................................. 38
5.5 Đánh giá ............................................................................................................................................ 38
5.6 Thuộc tính ......................................................................................................................................... 39
5.6.1 Nhà tư tưởng tự tin ................................................................................................................... 39
5.6.2 Người tạo quyết tâm .................................................................................................................. 40
5.6.3 Enquirer đầy tham vọng............................................................................................................. 40
5.6.4 Cộng tác viên linh hoạt............................................................................................................... 40
6. Kết luận ................................................................................................................................................... 42
6.1 Giới thiệu........................................................................................................................................... 42
6.2 Phương pháp luận............................................................................................................................. 42
6.3 Tối ưu hóa ......................................................................................................................................... 42
6.4 Công việc tương lai ........................................................................................................................... 43
Phụ lục – Snort Rules .................................................................................................................................. 45
3|Lê Tiến Thành

Nội dung
Tốc độ phát triển trong lĩnh vực công nghệ có nghĩa là vai trò của nó trong các hoạt động hàng ngày của
các cá nhân cũng như các doanh nghiệp đã thay đổi đáng kể. Những tiến bộ mới trong công nghệ
thường được theo sau bởi các kỹ thuật hack và hack an ninh tiên tiến hơn. Hệ thống phát hiện xâm nhập
đang trở thành một giải pháp bảo mật nổi bật hơn trong cơ sở hạ tầng kinh doanh như là một biện pháp
phòng thủ đối với các mối đe dọa ngày càng phát triển này (Symantec 2013). Hệ thống phát hiện xâm
nhập hoạt động bằng cách tìm kiếm sự bất thường trong lưu lượng truy cập hoặc hành vi mạng để phát
hiện và ngăn chặn vi phạm an ninh xảy ra.
Tuy nhiên, Hệ thống phát hiện xâm nhập được biết đến là không đáng tin cậy trong các phương pháp
phát hiện của họ, do đó, mục đích của dự án này là để giải quyết những vấn đề này thông qua những
tiến bộ đã được thực hiện trong lĩnh vực Neural networks. Chúng tôi đề xuất rằng việc bổ sung Neural
networks vào Hệ thống phát hiện xâm nhập sẽ tối ưu hóa hiệu suất bằng cách giảm số lượng dương tính
giả được phát hiện trong khi tăng số lượng cảnh báo xâm nhập hợp pháp.
Nghiên cứu trước đây đã được thực hiện bởi những người khác đã được xem xét và đánh giá, trước khi
sử dụng nó để giúp định hình phần thực tế của dự án này. Công việc thực tế bao gồm đánh giá Snort, Hệ
thống phát hiện xâm nhập hiện tại được thiết lập trên một mạng độc lập với hai máy khác, một máy tấn
công và một máy nạn nhân khác. Cỗ máy nạn nhân đã phải chịu nhiều cuộc tấn công và phương thức
trốn tránh khác nhau bắt nguồn từ cỗ máy tấn công với hành vi Snort phe được ghi lại.
Kết quả điều tra thực tế cho thấy Snort không cung cấp giải pháp bảo mật toàn diện và vẫn phụ thuộc
nhiều vào đầu vào và giám sát của con người. Dựa trên điều này và phân tích tài liệu, một mô hình tối
ưu hóa đã được đề xuất sử dụng Neural networks để chống lại những nhược điểm được tìm thấy trong
Hệ thống phát hiện xâm nhập hiện tại.
Để kết luận và dựa trên nghiên cứu được thực hiện, khuyến nghị rằng, trọng tâm của nghiên cứu bây giờ
nên tập trung vào việc thiết lập cách thức Neural networks có thể được tích hợp hiệu quả vào Hệ thống
phát hiện xâm nhập. Tất nhiên điều này sẽ dựa vào rất nhiều thử nghiệm thực tế với sự nhấn mạnh vào
việc tối ưu hóa các phương pháp đào tạo được sử dụng.
4|Lê Tiến Thành

1 Giới thiệu
1.1 Bối cảnh
Tốc độ phát triển trong lĩnh vực công nghệ có nghĩa là vai trò của nó trong các hoạt động hàng ngày của
các cá nhân cũng như các doanh nghiệp đã thay đổi đáng kể. Những tiến bộ mới trong công nghệ
thường được theo sau bởi các kỹ thuật hack và hack an ninh tiên tiến hơn. Các doanh nghiệp có nhiều
khả năng là mục tiêu của một cuộc tấn công độc hại hơn các cá nhân do số lượng lớn dữ liệu bí mật và
nhạy cảm mà họ nắm giữ. Mỗi công ty bị tấn công trung bình 16.856 lần mỗi năm (IBM 2014). Điều này
không chỉ ảnh hưởng đến các tập đoàn lớn; 87% doanh nghiệp nhỏ đã trải qua các vi phạm an ninh
trong năm 2012 (Doanh nghiệp nhỏ làm điều đó tốt hơn 2014). Những cuộc tấn công bất chấp ba
nguyên tắc bảo mật trong một tổ chức; Bảo mật, tính toàn vẹn và tính sẵn sàng (Moradpoor 2014).
Để các doanh nghiệp tuân thủ các nguyên tắc bảo mật này, Hệ thống phát hiện xâm nhập đang được cài
đặt thường xuyên hơn như một giải pháp bảo mật nổi bật trong cơ sở hạ tầng kinh doanh (Symantec
2013). Hệ thống phát hiện xâm nhập sẽ tìm kiếm sự bất thường trong lưu lượng hoặc hành vi mạng để
phát hiện và ngăn chặn vi phạm an ninh xảy ra.
Việc bổ sung Hệ thống phát hiện xâm nhập ngoài việc sử dụng các giao thức bảo mật tiêu chuẩn như
tường lửa, chống vi-rút, kiểm soát truy cập và mã hóa tạo ra một mô hình bảo mật chuyên sâu. Tuy
nhiên, Hệ thống phát hiện xâm nhập có nhiều sai sót, một thực tế là chúng có thể bị lẩn tránh nếu cuộc
tấn công được đóng gói chính xác, cũng như tạo ra một lượng lớn cảnh báo dương tính giả (Charlton
2014). Những sai sót này đã thúc đẩy rất nhiều nghiên cứu về các cách thức theo đó Hệ thống phát hiện
xâm nhập có thể được tối ưu hóa, với một lý thuyết là bổ sung Neural networks.
Mạng nơ-ron là một nhánh của Machine Learning, khi được triển khai, cho phép máy tính học theo cách
tương tự như con người (Beale và Jackson 1990). Họ giới thiệu học tập năng động ở bất cứ nơi nào
chúng được triển khai và trước đây đã được đề xuất như một giải pháp để tối ưu hóa công việc của Hệ
thống phát hiện xâm nhập (Bolzoni và Etalle 2006).
Các số liệu thống kê ở trên liên quan đến khối lượng lớn các cuộc tấn công độc hại mà các doanh nghiệp
phải đối mặt cho thấy tầm quan trọng của việc họ tiếp tục đầu tư vào nghiên cứu tập trung vào phát
triển các biện pháp bảo mật mới và được cải thiện. Ý tưởng cơ bản của Hệ thống phát hiện xâm nhập
được James Anderson giới thiệu lần đầu tiên vào năm 1972. Công trình của Anderson đã trình bày chi
tiết về quá trình hiểu các mối đe dọa và phương thức tấn công đầu tiên có thể gây ra mối đe dọa cho
mạng trước khi tìm ra cách thức chúng xuất hiện trong nhật ký kiểm toán ( Ngăm ngăm 2001).
1.2 Hệ thống phát hiện xâm nhập
Hệ thống phát hiện xâm nhập bổ sung độ sâu lớn hơn cho mô hình bảo mật, tuy nhiên, giống như các
quy trình bảo mật khác, chúng có nhiều nhược điểm. Các hệ thống này được biết đến với việc tạo ra một
5|Lê Tiến Thành

lượng lớn cảnh báo không cần thiết cũng như không tạo ra cảnh báo khi cần thiết (Shelly và Wolfgang
2009).
Dự án này sẽ điều tra những lợi ích có thể thu được từ việc thêm Neural networks vào Hệ thống phát
hiện xâm nhập. Yếu tố thực tế của dự án này sẽ bao gồm một cuộc điều tra về Snort, Hệ thống phát hiện
xâm nhập hiện tại để có được sự hiểu biết thực tế về cách thức các hệ thống này hoạt động và nơi Mạng
nơ-ron có thể cải thiện hiệu suất.
1.3 Snort
Snort là một Hệ thống phát hiện xâm nhập mã nguồn mở phổ biến được phát hành lần đầu tiên vào năm
1998 (Snort 2015). Nó sử dụng một cơ sở quy tắc để phát hiện và cảnh báo các cuộc xâm nhập có thể
vào mạng. Phiên bản phát hành mới nhất là 2.9.7.2, tuy nhiên, phiên bản này đã không được phát hành
trong khi dự án đang diễn ra nên phiên bản 2.9.7.0 được sử dụng trong suốt thời gian điều tra này. Snort
đang được đánh giá vì đây là Hệ thống Phát hiện Xâm nhập di sản liên tục được cập nhật và cực kỳ phổ
biến (Snort 2015). Điều này sẽ cung cấp sự hiểu biết toàn diện về những lợi thế và bất lợi tồn tại trong
Hệ thống phát hiện xâm nhập hiện tại.
1.4 Mục tiêu và mục tiêu
Mục đích của cuộc điều tra này là để đánh giá hiệu quả của Hệ thống phát hiện xâm nhập và khám phá
cách hiệu suất của chúng có thể được tối ưu hóa với việc bổ sung Neural networks. Để đạt được mục
tiêu này, hai mục tiêu phải được đáp ứng:
• Đánh giá một Hệ thống phát hiện xâm nhập hiện tại để tiết lộ nơi Neural networks có thể tối ưu hóa
hiệu suất của nó.
• Thiết kế một mô hình tối ưu hóa âm thanh dựa trên nghiên cứu được thực hiện và kết quả từ đánh giá
thực tế.
1.5 Câu hỏi nghiên cứu
Hệ thống phát hiện xâm nhập cố gắng phát hiện và ngăn chặn các cuộc tấn công có thể xảy ra đối với
mạng mà nó đang bảo vệ. Mặc dù, về mặt lý thuyết, các hệ thống này cung cấp một lập trường bảo mật
hiện không được cung cấp bởi bất kỳ giải pháp bảo mật nào khác, chúng được biết đến là không hiệu
quả và không đáng tin cậy. Câu hỏi đang được nghiên cứu trong dự án này là:
Làm thế nào để hệ thống phát hiện xâm nhập có thể được tối ưu hóa để cung cấp một giải pháp bảo
mật hiệu quả và đáng tin cậy thông qua những tiến bộ được thực hiện trong lĩnh vực Neural networks?
1.6 Cấu trúc dự án
Để đáp ứng các mục tiêu và mục tiêu, báo cáo này sẽ được chia thành năm chương. Chương 2 là phần
đánh giá các tài liệu liên quan đến dự án này và các lĩnh vực công nghệ liên quan đến nó, điều này sẽ dẫn
6|Lê Tiến Thành

đến Chương 3 trong đó nêu chi tiết về phương pháp luận của dự án này. Chương 4 sẽ trình bày chi tiết
kết quả điều tra thực tế với Chương 5 là một cuộc thảo luận về các kết quả được tìm thấy và cũng sẽ bao
gồm một mô hình Phát hiện xâm nhập được đề xuất thực hiện Mạng nơ-ron. Cuối cùng, Chương 6 sẽ kết
thúc cuộc điều tra với các tham chiếu đến các lĩnh vực có thể có của công việc trong tương lai và các cải
tiến có thể được thực hiện cho dự án.
7|Lê Tiến Thành

2 Tổng quan tài liệu
2.1 Giới thiệu
Trong chương này, nghiên cứu hiện có được thực hiện bởi những người khác được đánh giá và thảo
luận, trước khi sử dụng kiến thức này để giúp định hình phần thực tế của dự án này. Điều quan trọng là
nhận ra công việc của các học giả trước đây để hiểu nơi họ đã thành công và các vấn đề họ đã xác định.
Đặc biệt quan tâm, là các bài báo được thực hiện liên quan đến các lý thuyết Hệ thống phát hiện xâm
nhập lai khác nhau. Một lượng lớn nghiên cứu đã được thực hiện để kết hợp các phương pháp tiếp cận
máy học khác nhau với các hệ thống phát hiện xâm nhập, bao gồm cả mạng nơ-ron.
Phần 2.2 sẽ mô tả các loại Hệ thống phát hiện xâm nhập khác nhau tồn tại, cũng như các ưu điểm và
nhược điểm riêng của chúng. Phần 2.3 sẽ tiếp tục từ đó bằng cách kiểm tra các vấn đề hiện tại kỹ lưỡng
hơn và việc bổ sung Neural networks có thể mang lại lợi ích gì cho hệ thống.
Các kỹ thuật Evasion được sử dụng để chống lại Hệ thống phát hiện xâm nhập là một nhược điểm
nghiêm trọng liên quan đến các hệ thống này, do đó, các phương pháp trốn tránh phổ biến nhất được
sử dụng bởi tin tặc sẽ được nêu rõ và thảo luận trong phần 2.4. Nó cũng sẽ được thảo luận về cách tối
ưu hóa Hệ thống phát hiện xâm nhập có thể giúp loại bỏ vấn đề trốn tránh.
Mục đích của dự án này dựa trên đánh giá của Snort, một Hệ thống phát hiện xâm nhập nguồn mở hiện
tại, do đó, phần 2.5 tập trung vào hệ thống này. Trong phần 2.6, các công nghệ được sử dụng trong
Machine Learning và Mạng nơ-ron được đánh giá, cũng như, khám phá nơi chúng đã được sử dụng
trước đây trong các nỗ lực tối ưu hóa. Một bản tóm tắt chung sau đó sẽ được đưa ra trong phần 2.7.
2.2 Hệ thống phát hiện xâm nhập hoạt động như thế nào
Có nhiều hệ thống phát hiện xâm nhập hiện đang tồn tại. Chúng được thiết kế để phù hợp với nhu cầu
cá nhân của người dùng, điều này cũng cho phép chúng được tích hợp vào các cơ sở hạ tầng và mạng
khác nhau. Hình 1 cho thấy một bản đồ tư duy mô tả các nhánh khác nhau của Hệ thống phát hiện xâm
nhập được khám phá thêm.
8|Lê Tiến Thành

Hình 1 - Hình tư duy hệ thống phát hiện xâm nhập
Như đã trình bày ở trên, Hệ thống phát hiện xâm nhập có thể được thiết lập để hoạt động theo hai cách
khác nhau; thụ động hoặc phản ứng:
• Hệ thống thụ động
Hệ thống thụ động phát hiện khi vi phạm đã xảy ra, ghi lại tất cả thông tin liên quan đến vi phạm và sau
đó cảnh báo cho nhân viên mạng. Hệ thống này phổ biến để sử dụng trong các mạng trực tiếp vì nó cho
phép nhân viên mạng quyết định cách phản hồi cảnh báo. Tuy nhiên, như Debar, Dacier và Wespi (2000)
đã nêu, điều này có nghĩa là một sự nhấn mạnh to lớn vẫn đang được đặt vào yếu tố con người trong
việc quyết định cách phản ứng với cảnh báo. Tuy nhiên, về mặt lý thuyết, Hệ thống phát hiện xâm nhập
nên tự động hóa quy trình này để giải phóng thời gian của nhân viên mạng.
• Hệ thống phản ứng
Các hệ thống phản ứng phát hiện khi xảy ra vi phạm và phản hồi lại bằng cách bỏ các gói độc hại và đặt
lại kết nối. Một cảnh báo cũng được gửi đến nhân viên mạng nói rằng vi phạm đã xảy ra và cũng là phản
hồi mà hệ thống đã thực hiện. Các hệ thống này được gọi là Hệ thống ngăn chặn xâm nhập (IPS) (Coppin
2004). Đây có vẻ là lựa chọn phù hợp nhất, do đó, Nhóm Hệ thống Qualix đã phát hành Hệ thống Phát
hiện Xâm nhập phản ứng, chủ động ngắt kết nối không mong muốn khỏi Mạng. Tuy nhiên, với các kết
quả dương tính giả vẫn là một vấn đề quan trọng trong Hệ thống phát hiện xâm nhập, sẽ có rủi ro đáng
kể khi cho phép hệ thống hành động mà không cần bất kỳ đầu vào nào của con người (Debar, Dacier và
Wespi 2000).
Hình 2 cho thấy một mạng đơn giản sử dụng Hệ thống phát hiện xâm nhập. Hình mô tả Hệ thống phát
hiện xâm nhập thụ động không phản ứng với bất kỳ cuộc tấn công nào, chỉ thông báo cho nhân viên
mạng rằng hành vi bất thường đã được phát hiện.
9|Lê Tiến Thành

Hình 2 - Hệ thống phát hiện xâm nhập thụ động (Shelly và Wolfgang 2009)
Như thể hiện trong Hình 1 ở trên, có ba loại Hệ thống phát hiện xâm nhập; Hệ thống phát hiện xâm
nhập mạng (NIDS), Hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) và Hybrid (kết hợp giữa NIDS
và HIDS). Khi NIDS được thiết lập, phần cứng nằm giữa tường lửa và bộ định tuyến để giám sát tất cả lưu
lượng truy cập trong và ngoài nước. Bradley (2014) đã thảo luận về những lợi ích của việc sử dụng NIDS,
cũng như HIDS được cài đặt trên các thiết bị chủ. Hệ thống này sẽ có khả năng phát hiện các vi phạm an
ninh bắt nguồn từ bên ngoài với mạng cũng như bên trong.
2.2.1 Hệ thống phát hiện xâm nhập mạng (NIDS)
Các hệ thống dựa trên mạng tồn tại dưới dạng phần cứng và được đặt tại một số điểm nhất định trong
cơ sở hạ tầng để giám sát tất cả lưu lượng truy cập trên mạng. Mặc dù chúng có thể là vô giá trong việc
phát hiện nhiều cuộc xâm nhập mạng, nhưng có những hạn chế chỉ dựa vào NIDS.
Magalhaes (2003) phát hiện ra rằng Hệ thống phát hiện xâm nhập chỉ dựa vào giám sát lưu lượng mạng
như một cách tiếp cận để phát hiện sự xâm nhập có nghĩa là nếu các thiết bị chuyển mạch mạng được
mã hóa thì Hệ thống phát hiện xâm nhập sẽ không thể quyết định liệu lưu lượng có độc hại hay không.
Tuy nhiên, Goh, Zimmerman và Looi (2009) từ chối phát hiện này bằng cách đề xuất một mạng mới
được thiết lập bao gồm NIDS và CIDS (IDS trung tâm). CIDS hoạt động như một máy chủ lưu trữ và nhận
tất cả lưu lượng truy cập mạng được mã hóa, sau đó nó giải mã và phân tích nó để quyết định xem lưu
lượng có độc hại hay không.
Đề xuất này không chống lại vấn đề được xác định bởi Magalhaes, và đã dẫn đến các cuộc tấn công
thành công thấp hơn, tuy nhiên, mô hình là một nguyên mẫu không có bằng chứng điều tra thêm.
10 | L ê T i ế n T h à n h
2.2.2 Hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS)
Các hệ thống dựa trên máy chủ là các chương trình phần mềm có thể được cài đặt trên tất cả hoặc các
máy cụ thể trong một doanh nghiệp. Nó giám sát hoạt động của người dùng và lưu lượng truy cập từ
máy chủ cụ thể đó. Tuy nhiên, khách hàng các máy có số lượng lớn chương trình được cài đặt khiến
HIDS khó theo dõi tất cả. Do đó, phần mềm này đã được chia thành hai loại khác:
• Hệ thống phát hiện xâm nhập cấp hệ điều hành
Các hệ thống này sử dụng Nhật ký kiểm toán để giám sát các hành động như người dùng đăng nhập, sửa
đổi tệp và gọi hệ thống. Nó hoạt động ở mức rất thấp để theo dõi cách hệ điều hành hoạt động (Kruegel,
Valeur và Vigna 2005).
• Hệ thống phát hiện xâm nhập cấp ứng dụng
Hệ thống này sẽ tìm kiếm nhật ký kiểm toán của các ứng dụng được cài đặt trên máy để tìm bất kỳ sự
bất thường nào trong hành vi. Tuy nhiên, do có rất nhiều ứng dụng, hệ thống này đòi hỏi rất nhiều
chương trình cụ thể (Kruegel, Valeur và Vigna 2005).
Tuy nhiên, những vấn đề tương tự vẫn tồn tại đối với NIDS và HIDS về mặt tích cực sai và thiếu cảnh giác
đối với một số cuộc tấn công nhất định (Garcia-Teodoro et al 2008).
2.2.3 Tóm tắt về NIDS và HIDS
Bảng 1 cho thấy những lợi thế và bất lợi tồn tại trong cả NIDS và HIDS khi so sánh. Mỗi công nghệ có
những vấn đề riêng biệt, với một vấn đề chung là cảnh báo dương tính giả mà cả hai đều tạo ra (Rafsanć
2009).
Network-Based (NIDS) Host-Based (HIDS)

Ưu điểm Nhược điểm Ưu điểm Nhược điểm
Tốt trong việc phát hiện
các cuộc tấn công bên Không thể được sử dụng trên Không phụ thuộc vào băng Phạm vi hẹp vì họ chỉ giám
ngoài. các mạng được mã hóa. thông. sát máy chủ.
Phản ứng thời gian thực
để tấn công có thể. Tỷ lệ dương tính giả cao. Không có phần cứng bổ sung. Có thể làm chậm máy chủ.
Kiểm tra toàn bộ gói bao Tốt trong việc phát hiện các Có thể bị quá tải với thông
gồm cả tiêu đề khi nó vào Chức năng tùy thuộc vào băng cuộc tấn công bắt đầu từ bên tin để gây ra từ chối dịch
mạng. thông. trong doanh nghiệp. vụ.
Không bị ngăn cản bởi các
Chi phí thấp để cài đặt. Phần cứng bổ sung cần thiết. công tắc mã hóa. Dương tính giả cao.
Có ba cách khác nhau NIDS hoặc HIDS có thể được lập trình để phát hiện các cuộc tấn công; Dựa trên
thống kê, dựa trên kiến thức hoặc dựa trên máy học.
2.2.4 Dựa trên thống kê
Một hồ sơ được xây dựng, dựa trên hành vi giao thông sử dụng nhiều số liệu khác nhau và được cài đặt
vào Hệ thống phát hiện xâm nhập (Coppin 2004). Khi Hệ thống Phát hiện Xâm nhập đang chạy, nó sẽ tạo
một cấu hình khác theo thời gian, dựa trên lưu lượng truy cập mạng và hành vi mà nó gặp phải hàng
ngày. Hai hồ sơ này được đề cập để so sánh lưu lượng truy cập và quyết định xem nó có bất thường hay
không.
Một lợi thế của hệ thống này, được tìm thấy bởi Garcia-Teodoro et al (2008), là thực tế là nó dựa trên
hành vi và số liệu thống kê chứ không phải chữ ký. Điều này có nghĩa là các cuộc tấn công không ngày có
thể được phát hiện trước khi chúng được công nhận và một chữ ký được phát hành. Tuy nhiên, mặc dù
những gì Garcia-Teodoro et al nói là chính xác, Farshchi (2003) đưa ra quan điểm rằng mặc dù các hệ
thống này có thể phát hiện các cuộc tấn công trong ngày, nhưng chúng cần một lượng thời gian đào tạo
đáng kể để tạo ra tiêu chuẩn phát hiện này.
Farshchi cũng nói rằng, rất khó để phân loại hành vi bình thường trong mạng vì nó liên tục thay đổi tùy
thuộc vào người dùng mạng, phần mềm và nhiệm vụ được thực hiện trong công ty. Ngoài ra, bản chất
của hệ thống có nghĩa là cần có thời gian để tìm hiểu hành vi giao thông bình thường của mạng mà nó
được triển khai. Đây là một nhược điểm không liên quan đến các hệ thống dựa trên quy tắc, chẳng hạn
như Snort, vì các quy tắc được lập trình cứng vào hệ thống có nghĩa là nó đã sẵn sàng để triển khai ngay
trong mạng (Snort 2015).
2.2.5 Dựa trên quy tắc
Các hệ thống dựa trên quy tắc được tạo thành từ ba thành phần:
• Cơ sở dữ liệu về các quy tắc hoặc kiến thức cơ bản
• Cơ sở dữ liệu thực tế
• Thông dịch viên
Cơ sở tri thức chứa một tập hợp các quy tắc đại diện cho kiến thức mà hệ thống sở hữu (Coppin 2004).
Cơ sở dữ liệu về các sự kiện giúp hệ thống rút ra kết luận từ hoạt động xảy ra trong mạng. Trình thông
dịch là một phần của hệ thống sử dụng các quy tắc và cơ sở dữ liệu thực tế để đi đến quyết định hoặc
kết luận. Đây là hệ thống chuyên gia trong cấu trúc (Coppin 2004).
Snort, Hệ thống phát hiện xâm nhập, là một hệ thống dựa trên quy tắc. Các quy tắc được mã hóa cứng
vào hệ thống, vì vậy nếu hành vi xảy ra phá vỡ bất kỳ quy tắc nào, một cảnh báo sẽ được tạo. Các hệ
thống này có thể bắt đầu hoạt động ngay lập tức khi được tạo trực tiếp trong một hệ thống vì chúng có
tất cả thông tin họ cần, do đó, không cần thời gian đào tạo. Tuy nhiên, tương tự như lập luận đã nêu ở
trên, Debar, Dacier và Wespi (2000) nhận thấy rằng các hệ thống dựa trên quy tắc có thể bị tấn công
trong ngày nếu hành vi bất thường xảy ra mà hệ thống không có quy tắc.
Nghiên cứu của Lunt et al (1989) cho rằng việc kết hợp các hệ thống dựa trên thống kê với các hệ thống
dựa trên quy tắc sẽ tạo ra một hệ thống phát hiện xâm nhập hiệu quả và tiên tiến hơn.
2.2.6 Học máy
Bằng cách sử dụng các kỹ thuật Machine Learning khác nhau, được hiển thị trong Hình 3, hệ thống có
thể liên tục cập nhật cách nó phản ứng với các hành vi nhất định theo thời gian. Một số kỹ thuật
Machine Learning có thể được sử dụng cùng nhau để tạo ra một hệ thống kết hợp. Tuy nhiên, Chih-Fong
et al (2009) nêu quan điểm rằng vì có nhiều kỹ thuật khác nhau trong lĩnh vực Machine Learning, điều
này có nghĩa là nghiên cứu phải được thực hiện trong đó các kỹ thuật sẽ chứng minh hiệu quả nhất khi
làm việc cùng nhau.
Hình 3 - Phân loại hệ thống phát hiện xâm nhập (Garcia-Teodoro et al 2008)
Mô hình được đề xuất bởi Garcia-Teodoro et al (2008), như được hiển thị ở trên, không xem xét tùy
chọn kết hợp công nghệ trong hai lĩnh vực để tạo ra một hệ thống lai. Nhiều lý thuyết tối ưu hóa đã
được công bố mâu thuẫn với mô hình này và được thảo luận thêm trong phần 2.6.
2.3 Các vấn đề hiện tại với hệ thống phát hiện xâm nhập
Mặc dù Hệ thống phát hiện xâm nhập đầu tiên được giới thiệu vào năm 1972, nhưng đây vẫn là một lĩnh
vực nghiên cứu rất tích cực với công việc liên tục được thực hiện để thúc đẩy và cải tiến công nghệ. Tuy
nhiên, vẫn còn những vấn đề cơ bản kéo dài suốt 43 năm qua và vẫn chưa được giải quyết. Dương tính
giả, âm tính giả, thời gian đào tạo và các kỹ thuật trốn tránh là bốn vấn đề phổ biến được xác định trong
Hệ thống phát hiện xâm nhập. Mục đích của cuộc điều tra này là để giảm và loại bỏ những vấn đề này
thông qua việc giới thiệu Mạng nơ-ron.
• Dương tính giả
Tỷ lệ dương tính giả là một vấn đề lớn với công nghệ này. Hệ thống phát hiện xâm nhập có thể bắn phá
nhân viên mạng bằng các cảnh báo về các cuộc xâm nhập có thể xảy ra, trên thực tế, là lưu lượng truy
cập mạng tiêu chuẩn. Nếu hệ thống dựa trên quy tắc thì điều chỉnh có thể được thực hiện theo quy tắc
được đặt để giảm số này, tuy nhiên, giải pháp này có nghĩa là bảo trì liên tục cho hệ thống là cần thiết.
Ngoài ra, như được tìm thấy trong nghiên cứu của Bolzoni và Etalle (2006), việc điều chỉnh chỉ có thể
được thực hiện bởi người dùng có kinh nghiệm vì các quy tắc có định dạng cụ thể.
Alshammari et al (2007) đã phát hiện ra rằng việc bổ sung Neural networks và Logic mờ vào Hệ thống
phát hiện xâm nhập đã làm giảm số lượng dương tính giả do hệ thống tạo ra. Tuy nhiên, theo mô hình
được sản xuất bởi Garcia-Teodoro et al (2008), nó sẽ không được phân loại thành một hệ thống kết hợp,
mà thay vào đó là hệ thống dựa trên Machine Learning.
• Âm tính giả
Đây là những cuộc tấn công không được hệ thống phát hiện nhưng đáng ra phải có. Chúng tồn tại vì
nhiều lý do, với lý do chính là đào tạo kém, thiếu dữ liệu trong cơ sở dữ liệu kiến thức hoặc quy tắc,
quản lý hệ thống kém hoặc phương pháp thiết kế kém cho Hệ thống phát hiện xâm nhập (Symantec
2015). Tiêu cực sai rất khó để phân loại hoặc thu thập dữ liệu về, bởi vì không có cách nào để biết một
cuộc tấn công đã diễn ra cho đến khi hậu quả của cuộc tấn công được xác định. Cách duy nhất để tránh
điều này là cập nhật các bộ quy tắc thường xuyên và đảm bảo các quy tắc được viết chính xác.
• Thời gian huấn luyện
Một vấn đề lớn khác với Hệ thống phát hiện xâm nhập là thời gian để đào tạo chúng để triển khai trong
mạng. Các hệ thống phát hiện xâm nhập dựa trên sự bất thường cần được đào tạo để hiểu hành vi
thông thường của mạng, nó sẽ được theo dõi và các hệ thống dựa trên quy tắc hoặc dựa trên chữ ký cần
được lập trình và điều chỉnh phù hợp.
Bộ dữ liệu DARPA KDD 99 vẫn là bộ dữ liệu được sử dụng phổ biến nhất để huấn luyện Hệ thống phát
hiện xâm nhập với các yếu tố Machine Learning, mặc dù nó được phát triển vào năm 1998 (Ray 2013).
Thời gian dành cho Hệ thống phát hiện xâm nhập để tìm hiểu hành vi của mạng mới đối với tập dữ liệu
của nó được gọi là Tốc độ hội tụ. Điều này đã được nghiên cứu bởi Ray (2013), người đã phát hiện ra
rằng Hệ thống phát hiện xâm nhập, với Tỷ lệ hội tụ thấp sẽ được các công ty ưu tiên hơn vì thời gian đào
tạo của họ thấp hơn. Tuy nhiên, như đã đề cập, bộ dữ liệu KDD 99, hiện đã 17 tuổi, về mặt công nghệ,
đã hết hạn và có thể đóng góp vào kết quả kém hiện tại của người dùng Hệ thống phát hiện xâm nhập.
2.5 Snort
Mặc dù Snort là một hệ thống dựa trên quy tắc, tuy nhiên nó không có quy tắc mặc định, tuy nhiên, có
rất nhiều quy tắc có sẵn trực tuyến với tùy chọn thêm quy tắc do người dùng xác định (Snort 2014). Nó
là một ứng dụng luồng đơn có nghĩa là nó không tiêu thụ một tỷ lệ lớn tài nguyên CPU (Bộ xử lý trung
tâm). Tuy nhiên, ứng dụng đã bị chỉ trích vì điều này bởi Day and Burns (2011). Họ đã so sánh Snort với
Suricata, một Hệ thống phát hiện xâm nhập đa luồng mới, dẫn đến Suricata thực hiện Snort, về mặt sản
xuất cảnh báo, với nhược điểm là sử dụng CPU nhiều hơn đáng kể.
Snort được đánh giá trước đây bởi Charlton (2014), người đã thiết lập một mạng từ xa để kiểm tra cơ sở
quy tắc của Snorts, và cũng để phát hiện trốn tránh hệ thống. Kết quả nghiên cứu của Charlton, ủng hộ
những tuyên bố của Burns và Day, vì nghiên cứu của Charlton, cũng cho thấy việc sản xuất cảnh báo của
Snort đã kém.
Thiết lập của dự án này sẽ được định hình bởi thiết lập được sử dụng bởi Charlton và Clark (2014). Clark
thực hiện một dự án tương tự vào Suricata và tìm thấy kết quả tương tự với Charlton,.
2.6 Tối ưu hóa hệ thống phát hiện xâm nhập thông qua Machine Learning
Hình 3 ở trên cho thấy các phân loại khác nhau của các kỹ thuật phát hiện dị thường. Hình phân loại
Expert Systems tách biệt với các hệ thống sử dụng Mạng nơ-ron. Chi nhánh Machine Learning của mô
hình này được đặc biệt quan tâm với Mạng nơ-ron đang được nghiên cứu thêm. Những tiến bộ trong
các lĩnh vực này đã được chứng minh là có kết quả khi áp dụng cho Hệ thống phát hiện xâm nhập dựa
trên nghiên cứu trước đó. Tuy nhiên, dự án này sẽ nhằm mục đích bác bỏ phân loại được đưa ra bởi
Garcia-Teodoro et al (2008) và trình bày và thảo luận về giải pháp lý tưởng từ kết quả của bài viết này
trong Chương 5.
Hiện tại Hệ thống phát hiện xâm nhập phụ thuộc rất nhiều vào sự tương tác của con người để điều tra
các cảnh báo do hệ thống tạo ra có thể tốn thời gian. Để giảm sự phụ thuộc vào bảo trì con người, đã có
nghiên cứu sâu rộng về việc bao gồm các công nghệ Máy học và Neural networks trong Hệ thống phát
hiện xâm nhập như một phương tiện cho phép hệ thống học hỏi và phát triển mà không cần đầu vào của
con người.
Nghiên cứu của Shelly và Wolfgang (2009) đã phát hiện ra rằng chỉ cần thêm một phương pháp Trí thông
minh tính toán vào Hệ thống phát hiện xâm nhập sẽ cải thiện đáng kể hiệu quả của hệ thống. Kết quả
nghiên cứu này được thực hiện bởi Shelly và Wolfgang chứng tỏ có triển vọng đạt được mục tiêu của dự
án này.
2.6.1 Học máy
Học tập của con người là một quá trình tiến bộ và liên tục được xây dựng dựa trên kinh nghiệm, tuy
nhiên, nó là một phương pháp học chậm. Các nhà công nghệ đã bắt chước cách mà bộ não con người
học và áp dụng nó vào máy móc. Điều này được gọi là Học máy (Coppin 2004). Machine Learning sử
dụng các khái niệm liên quan đến học tập của con người để cho phép máy tính sở hữu hệ thống thông
minh.
Machine Learning là một lĩnh vực nghiên cứu cực kỳ tích cực với các nhà công nghệ liên tục cố gắng thu
hẹp khoảng cách giữa trí tuệ con người và trí tuệ nhân tạo. Nghiên cứu này đang chứng minh thành
công khi áp dụng để tối ưu hóa Hệ thống phát hiện xâm nhập. Hiện tại có ba phương pháp mà máy móc
có thể học:
• Học có giám sát
Học tập có giám sát xảy ra khi lập trình viên cung cấp cho máy lựa chọn đầu vào và cũng là đầu ra chính
xác. Điều này cung cấp một nền tảng kiến thức ban đầu, mà máy sẽ có thể rút ra chính xác câu trả lời
dựa trên các đầu vào khi không có đầu ra nào được đưa ra. Đầu ra được so sánh với đầu ra mong muốn
mà lập trình viên mong đợi và nếu câu trả lời sai, lập trình viên sẽ lấy lại kiến thức cơ bản (Coppin 2004).
Đây là một kiểu học phổ biến, tuy nhiên, Zhou (2012) phát hiện ra rằng việc giới thiệu việc học bán giám
sát của Lọ có thể làm tăng hiệu suất của máy và tạo ra kết quả chính xác hơn. Học bán giám sát là một kỹ
thuật dựa trên phương pháp học có giám sát, tuy nhiên, một số dữ liệu trong mẫu chưa được phân loại
cho hệ thống là chính xác hay không. Điều này có nghĩa là máy phải phân biệt câu trả lời đúng là gì. Kể từ
khi tác phẩm của Chu Khai được xuất bản vào năm 2012, khái niệm này đã được tiếp tục bởi
Lansdulrahman (2014) và Ma et al (2014)
• Học tập không giám sát
Trong một mô hình học tập không giám sát, chỉ có đầu vào được cung cấp, sau đó máy phải đi đến kết
luận và đưa ra kết quả. Cách học này đã được điều tra bởi Rivest và Schapire (1990), người đã phát hiện
ra rằng các robot mới không có kiến thức được cài đặt sẵn có nguồn gốc chính xác từ các đầu vào được
cung cấp. Tuy nhiên, mặc dù những kết quả này là tích cực, nghiên cứu này hiện đã 25 tuổi và có rất ít
công bố về phương pháp học tập này kể từ đó.
• Học tăng cường
Điều này được gọi là bản dùng thử và lỗi học tập. Máy học hỏi từ kinh nghiệm và lựa chọn trong quá
khứ. Khi một quyết định của máy là chính xác, tín hiệu giải thưởng được gửi đơn giản chỉ ra quyết định
đó là đúng, sau đó máy sẽ ghi nhớ phần thưởng này để đưa ra đầu ra chính xác trong tương lai (Coppin
2004). Nếu máy đưa ra câu trả lời sai, tín hiệu phản hồi sẽ được gửi cho biết quyết định không chính xác
và thử lại.
Tuy nhiên, Champ Chuẩn (2002) đã phát hiện ra rằng phản hồi liên tục được cung cấp cho hệ thống sử
dụng một lượng lớn bộ nhớ. Liên quan đến dự án này và nghiên cứu được đề cập ở trên bởi Day and
Burns, nếu Học tập tăng cường sẽ được sử dụng để tối ưu hóa một hệ thống như Suricata, với các yêu
cầu sử dụng CPU và bộ nhớ, hệ thống có thể gây ra nhiều trở ngại cho mạng .
Như đã thảo luận ở trên, có những ưu điểm và nhược điểm đối với các phương pháp Machine Learning
khác nhau. Một điểm cần xem xét trong tương lai, là các yêu cầu xử lý và bộ nhớ của Hệ thống phát hiện
xâm nhập được tối ưu hóa. Mặc dù hệ thống có thể cung cấp một giải pháp bảo mật toàn diện hơn, yếu
tố khả năng sử dụng của mạng có thể bị suy giảm nghiêm trọng vì nó.
2.6.2 Mạng nơ-ron
Mạng nơ ron nhân tạo dựa trên khái niệm Neural networks sinh học là mạng phức tạp phức tạp cho
phép con người học hỏi (Beale và Jackson 1990).
Con người có thể học hỏi kinh nghiệm, họ có thể phán đoán một tình huống và dựa trên quyết định của
họ về logic, máy tính chưa thể làm được điều này (Beale và Jackson 1990). Một quyết định được đưa ra
bởi một máy tính, dựa trên các quy tắc được lập trình. Tuy nhiên, những tiến bộ trong Mạng nơ ron
nhân tạo cho phép máy tính học hỏi kinh nghiệm.
Với Mạng nơ-ron nhân tạo được dựa trên Neural networks sinh học, trọng tâm chính của họ là học tập
bằng ví dụ. Việc sử dụng Mạng nơ ron nhân tạo đã được cải thiện rất nhiều nhờ các kỹ thuật mới được
tích hợp vào Machine Learning.
Học máy đã lan rộng đến cuộc sống hàng ngày với các công cụ tìm kiếm, bộ lọc spam và vị trí quảng cáo
đều được tích hợp công nghệ (Sebastos, 2015). Hình 5 cho thấy một mạng nơ ron nhân tạo.
Hình 5 Mạng nơ ron nhân tạo (Sayad 2015)
Dữ liệu được truyền đến các nút đầu vào dưới dạng các giá trị số sau đó được gửi qua mạng. Các nút ẩn
sử dụng đào tạo mà họ đã được cung cấp để đưa ra kết luận về đầu ra chính xác phải là gì. Đầu ra sau đó
được hiển thị theo cách mà con người có thể hiểu được (Sayad 2015).
Việc học trong Mạng nơ-ron xảy ra khi sửa đổi được thực hiện tại điểm nối giữa hai nút. Hiệu quả của sự
tương tác giữa hai nút là những gì cho phép các bộ nhớ được lưu trữ trong não Những nút này được kết
nối với nhau và có các giá trị khác nhau; -1.0 là sự ức chế và +1.0 là sự kích thích.
Chất lượng học tập này được sở hữu bởi Mạng nơ-ron là một lý do tại sao chúng là một chủ đề nghiên
cứu phổ biến liên quan đến tối ưu hóa Hệ thống phát hiện xâm nhập. Tsai et al (2009) tuyên bố rằng việc
bổ sung các công nghệ Machine Learning vào Hệ thống phát hiện xâm nhập hiện tại là rất quan trọng để
Hệ thống phát hiện xâm nhập là một biện pháp bảo mật đáng giá. Gang et al (2010) đã tìm thấy việc bổ
sung Neural networks và Logic mờ vào Hệ thống phát hiện xâm nhập tạo ra kết quả cảnh báo tốt hơn khi
các cuộc tấn công như DoS hoặc User to Root được khởi chạy.
Công việc và kết luận được thảo luận trong dự án này sẽ bổ sung cho công việc được thực hiện bởi Gang
et al và Tsai et al nhưng sẽ tạo ra một mô hình tối ưu hóa mà công việc trong tương lai có thể dựa vào.
2.7 Tóm tắt
Đã có rất nhiều kết luận được rút ra trong các tài liệu nghiên cứu khác nhau được công bố về cách tối ưu
hóa Hệ thống phát hiện xâm nhập. Tuy nhiên, không có lý thuyết đơn lẻ nào dẫn đến việc giải quyết tất
cả các vấn đề ngăn chặn Machine Learning được sử dụng hiệu quả trong Hệ thống Phát hiện Xâm nhập.
Dự án này sẽ nhằm mục đích tạo ra một mô hình kết hợp hiệu quả Cơ sở tri thức và Cơ sở học máy để
tạo ra một hệ thống lai lý thuyết mới, như được mô tả trong Hình 3 (Garcia-Teodoro et al 2008; Sinclair
et al 1999).
2.8 Vấn đề và Giải pháp
Dựa trên nghiên cứu được thảo luận ở trên, rõ ràng vẫn cần một lượng công việc đáng kể để tối ưu hóa
thành công Hệ thống phát hiện xâm nhập. Hệ thống phát hiện xâm nhập được biết đến với việc tạo ra
một khối lượng lớn các kết quả dương tính giả (Bolzoni và Etalle 2006), cũng như thực tế, có nhiều kỹ
thuật trốn tránh khác nhau được sử dụng để vượt qua các hệ thống (Ptacek và Newsham 1998). Những
vấn đề này vẫn nhất quán kể từ khi Hệ thống phát hiện xâm nhập được giới thiệu lần đầu tiên và vẫn
chưa được giải quyết đầy đủ.
Dự án này nhằm mục đích điều tra xem liệu việc bổ sung Mạng nơ-ron, một lĩnh vực được nghiên cứu kỹ
về Machine Learning, có phải là giải pháp cho nhiều vấn đề tồn tại trong Hệ thống phát hiện xâm nhập
hay không. Thực tế Mạng nơ-ron liên tục học hỏi có nghĩa là hệ thống có khả năng trở nên thông minh
hơn và quen với mạng mà nó đang bảo vệ. Ngoài ra, bởi vì hệ thống sẽ không chỉ dựa vào cơ sở dữ liệu
chữ ký hoặc quy tắc để phát hiện xâm nhập, tỷ lệ dương tính giả sẽ giảm.
Phương pháp của cuộc điều tra này nhằm khám phá cách thức mà Hệ thống phát hiện xâm nhập hiện tại
hoạt động, những lợi thế và bất lợi của hệ thống là gì và nơi Mạng nơ-ron có thể được sử dụng để cải
thiện hiệu suất.
3. Phương pháp luận (Methodology)
3.1 Bối cảnh
Để đạt được thành công mục tiêu của cuộc điều tra này, Snort, một Hệ thống Phát hiện Xâm nhập hiện
tại, đã được khám phá thêm. Điều này cho phép hiểu biết đầy đủ về cách thiết lập Hệ thống phát hiện
xâm nhập và cách chúng hoạt động cũng như nơi hệ thống hoạt động tốt và nơi hệ thống có thể được
tối ưu hóa thông qua việc bổ sung Neural networks. Các kỹ thuật được sử dụng trong phần này được
hướng dẫn bởi công việc trước đây của Charlton (2014) và Clark (2014).
3.2 Tóm tắt phương pháp luận
Snort đã được thiết lập trên Mạng cục bộ như được mô tả trong Hình 6. Cấu trúc liên kết mạng này dựa
trên công việc của Clark (2014) vì điều này đảm bảo mạng được khép kín và không xảy ra rò rỉ dữ liệu.
Hình 6 - Mạng cục bộ
Nó bao gồm ba máy:
• Snort - Hệ thống phát hiện xâm nhập Snort được thiết lập trên Ubuntu 14 LTS (Hỗ trợ dài hạn) để giám
sát toàn bộ mạng. Dựa trên công việc trước đây của Charlton (2014) và Burns and Day (2011) Ubuntu là
Hệ điều hành được lựa chọn do thực tế nó được cập nhật thường xuyên và có một cộng đồng mạnh mẽ.
• Kẻ tấn công - Máy này được sử dụng để tấn công nạn nhân. Nó được thiết lập với Kali Linux vì Hệ điều
hành này đi kèm với một loạt các công cụ khai thác (Charlton 2014; Clark 2014).
• Nạn nhân - Máy này đã lưu trữ nhiều ứng dụng dễ bị tấn công khác nhau và đang chạy Windows XP có
nhiều lỗ hổng đã biết (Clark 2014).
Cuộc điều tra thực tế có ba giai đoạn:
1. Thiết lập mạng
• Tải xuống và cài đặt VMWare Workstation 11.
• Tải xuống và cài đặt Kali Linux, Ubuntu 12 và Windows XP.
• Thêm các ứng dụng dễ bị tấn công vào máy nạn nhân.
• Định cấu hình ba máy có địa chỉ IP cục bộ (Giao thức Internet).
• Cài đặt Snort trên máy Ubuntu 14.
2. Kiểm tra
• Đảm bảo các máy ping thành công lẫn nhau.
• Chạy Snort và đảm bảo các quy tắc được cài đặt và hoạt động chính xác.
• Kiểm tra các cuộc tấn công khác nhau và ghi lại cảnh báo được tạo.
3. Trốn tránh
• Sử dụng các kỹ thuật trốn tránh để tấn công nạn nhân mà không cần Snort tạo ra cảnh báo.
3.3 Thiết lập mạng
Trong trường hợp này, ba máy ảo đã được thiết lập trên một máy tính xách tay. Điều này đã được thực
hiện thông qua việc sử dụng VMWare Workstation 11 có sẵn trong trường Đại học. Điều này đã được tải
xuống và cài đặt trên máy tính xách tay chạy Windows 8 (64 bit), sẵn sàng cho các máy ảo được cài đặt.
3.3.1 Máy Ubuntu cho Snort
Tệp Ubuntu 14 LTS .iso đã được tải xuống từ trang web Ubuntu: www.release.ubfox.com/14.04/. Điều
này đã được sử dụng để lưu trữ Snort theo khuyến nghị của nghiên cứu trước đó (Charlton 2014).
3.3.2 Kẻ tấn công
Tệp .iso cho Kali Linux cũng được tải xuống để sử dụng làm máy tấn công vì hệ điều hành này đi kèm với
một loạt các công cụ hack được cài đặt sẵn, bao gồm Metasploit rất cần thiết cho dự án này (Clark
2014).
3.3.3 Nạn nhân
Windows XP SP3 (32 bit) được lấy thông qua Đại học và được cài đặt nhiều ứng dụng dễ bị tấn công khác
nhau để cho phép nhiều tùy chọn tấn công. Những điều đó được bao gồm:
• VUPlayer 2.49, trình phát đa phương tiện dễ bị tấn công tràn bộ đệm.
• EasyFTP
• Máy chủ FTP FreeFloat
Các ứng dụng dễ bị cài đặt không có ý nghĩa đặc biệt, điểm quan tâm chính là khả năng Snort, phát hiện
khi chúng bị khai thác và nếu một cảnh báo được tạo ra.
Tất cả ba máy được tạo trên VMWare Workstation bằng cách sử dụng cài đặt cài đặt mặc định đi kèm
với mỗi Hệ điều hành.
3.3.4 Cấu hình địa chỉ IP
Khi tất cả các máy đã được cài đặt thành công và hoạt động, VMNet (Mạng máy ảo) mới đã được tạo
trong VMWare Workstation thông qua Trình biên tập mạng ảo trong VMNet 3. VMNet cho phép các máy
ảo được kết nối với mạng ảo do người dùng tạo.
VMNet được đặt thành chỉ lưu trữ trên máy chủ lưu trữ với một mạng con IP là 10.0.0.0 và mặt nạ mạng
con là 255.255.0.0. Tất cả ba máy ảo sau đó đã được kết nối với mạng ảo này trước khi địa chỉ IP được
định cấu hình tĩnh trên mỗi máy (Albin và Rowe 2012).
Hai cổng đã được mở trong Snort, một cổng cho lưu lượng truy cập chung và một cổng được thiết lập ở
chế độ lăng nhăng mà Snort sẽ lắng nghe. Các địa chỉ IP được cấu hình thủ công cho các cổng này bằng
lệnh bên dưới:
sudo gedit /etc/network/interfaces
Điều này đã mở tệp Giao diện trong Gedit với đầy đủ các đặc quyền để cho phép chỉnh sửa. Trong tập
tin này, phần sau đây đã được thêm vào:
auto eth0
iface eth0 inet static
address 10.0.0.2
netmask 255.255.0.0
network 10.0.0.0
broadcast 10.0.0.255
gateway 10.0.0.1
auto eth1
iface eth1 inet static
address 10.0.0.3
netmask 255.255.0.0
network 10.0.0.0
broadcast 10.0.0.255
gateway 10.0.0.1
Cấu hình này đã mở các cổng Ethernet 0 và 1 với địa chỉ IP 10.0.0.2 và 10.0.0.3 tương ứng. Tuy nhiên,
cổng Ethernet 1 được đặt ở chế độ lăng nhăng và được sử dụng làm daemon cho Snort. Điều này đã
được thực hiện trên dòng lệnh bằng cách ban hành lệnh: Hồi ifconfig eth1 promisc.
Cổng được thiết lập ở chế độ lăng nhăng như được thiết lập trước đó bởi Charlton (2014) và Albin và
Rowe (2012). Đặt một cổng thành chế độ lăng nhăng đảm bảo tất cả lưu lượng sẽ đi qua cổng này, khiến
nó phù hợp hơn để sử dụng với Hệ thống phát hiện xâm nhập.
Bảng 2 - Bảng địa chỉ IP
Assigned IP Address
Eth0 – 10.0.0.2
Snort Eth1 – 10.0.0.3

Attacker 10.0.0.4
Victim 10.0.0.6
Default Gateway 10.0.0.1
Khi tất cả các địa chỉ IP được định cấu hình, để đảm bảo chúng hoạt động, yêu cầu ping được gửi từ mọi
cổng đến mọi địa chỉ IP được định cấu hình trong mạng.
3.3.5 Cài đặt Snort
Tại thời điểm này, việc triển khai Snort đã có thể diễn ra do mạng mà nó đang giám sát đã được cấu hình
đúng. Cấu hình của Snort ban đầu rất khó khăn, tuy nhiên, tất cả các vấn đề đều được khắc phục dẫn
đến Snort được thiết lập chính xác và giám sát mạng.
Cấu hình IP đã được hoàn thành ở trên phải được đảo ngược để máy Ubuntu có quyền truy cập
Internet. Cần truy cập Internet để tải xuống Snort và tất cả các phụ thuộc của nó từ trang web của Snort.
Khi truy cập internet được định cấu hình, mã nguồn Snort 2.9.7.0 đã được tải xuống dưới dạng tệp
.tar.gz từ trang web Snort vào máy ảo Ubuntu. Phiên bản 2.9.7.0 là phiên bản gần đây nhất tại thời điểm
đó, tuy nhiên, kể từ khi dự án này bắt đầu, phiên bản 2.9.7.2 đã được phát hành (Snort 2015).
Snort và tất cả các phụ thuộc cần thiết đã được cài đặt trên máy Ubuntu như được mô tả trong hướng
dẫn cài đặt có tên là Sn Snort 2.9.7.x trên Ubuntu 12 và 14, có thể tìm thấy tại:
www.snort.org/document (Dietrich 2015). Các bước được tuân thủ kỹ lưỡng để đảm bảo Snort được
thiết lập chính xác trên máy Ubuntu.
3.4 Kiểm tra
Khi Snort được cài đặt, một bài kiểm tra đã được chạy để đảm bảo hệ thống hoạt động chính xác. Tuy
nhiên, điều này đã không thành công do thực tế là nhiều tệp cấu hình cần thiết bị trống sau khi được sao
chép vào vị trí cuối cùng của chúng. Để khắc phục điều này, nội dung của các tệp đã được tìm thấy trên
trang web của Snorts trong Tài liệu và sử dụng Gedit thông qua dòng lệnh, nội dung tệp đã được sao
chép vào các tệp và được lưu.
Vấn đề, tại thời điểm này, vẫn chưa được giải quyết. Tuy nhiên, sau khi khắc phục sự cố nhiều hơn,
người ta thấy rằng tệp cấu hình Snort (snort.conf) chứa thông tin sai lệch liên quan đến một số đường
dẫn tệp cần thiết để biên dịch và chạy. Đường dẫn tệp đã được chỉnh sửa bằng cách sử dụng Gedit để
chỉnh sửa tệp snort.conf, dẫn đến Snort chạy thành công, sử dụng lệnh sau:
“sudo snort -T -c /etc/snort/snort.conf“
Tuy nhiên, sau đó người ta phát hiện ra rằng Snort không có quy tắc nào cả. Hướng dẫn cài đặt đang
được sử dụng đã đưa ra hướng dẫn về cách định dạng quy tắc tùy chỉnh, tuy nhiên, Snort cần một số
lượng lớn quy tắc để theo kịp các mối đe dọa đang phát triển (Dietrich 2015).
3.5 Quy tắc
Có rất nhiều bộ quy tắc khác nhau có sẵn trực tuyến đã được đăng bởi Snort và cộng đồng Snort (Snort,
2015). Để lập trình các quy tắc này thành Snort, các tệp quy tắc cần được thêm vào thư mục quy tắc mà
tệp snort.conf gọi khi chạy. Các tệp quy tắc này sau đó phải được khai báo trong tệp snort.conf như sau:
include $RULE_PATH/app-detect.rules
Toàn bộ phần trong tệp, hiển thị tất cả các bộ quy tắc được sử dụng, được hiển thị trong Phụ lục A. Thử
nghiệm được tiếp tục chạy cho đến khi nó cạnh tranh thành công và tất cả các gỡ lỗi đã được thực hiện
chính xác. Snort sau đó được chạy với tùy chọn hiển thị cho thiết bị đầu cuối bằng lệnh sau:
“sudo /usr/local/bin/snort –A console –q –u snort –g snort –c /etc/snort/snort.conf –i eth1”
Flag -A in ra các cảnh báo cho bảng điều khiển với ý nghĩa của Wapq chạy ở chế độ im lặng. Các phần
mềm và dữ liệu đề cập đến việc người dùng sẽ chạy như thế nào và nhóm nào sẽ chạy, trong trường
hợp này, Snort cho cả hai và các chi tiết về đường dẫn nơi lưu trữ tệp snort.conf, tệp này chứa tất cả
thông tin trong đó Snort cần chạy chính xác (Dietrich 2015) Nhân dịp này, Snort đang được thiết lập để
nghe trên giao diện Ethernet 1, -I, vì điều này đã được thiết lập ở chế độ lăng nhăng (Albin và Rowe
2011).
Để kiểm tra Snort đã có thể gắn cờ hoạt động trên các yêu cầu ping mạng được gửi đến tất cả các máy
được đánh dấu là hành vi ưu tiên thấp.
3.6 Khai thác
Metasploit đã được tải trên máy Kali Linux với mục đích khai thác máy Windows XP và thử nghiệm các
phản ứng phát hiện Snorts (Charlton 2014).
Metasploit được cài đặt sẵn trên Hệ điều hành Kali và có sẵn thông qua menu Kali. Nó phải được chạy
ngoại tuyến trong mạng này do cấu hình được đề cập ở trên nhưng điều này có nghĩa là công cụ này
không thể truy cập vào cơ sở dữ liệu trực tuyến của nó để khai thác, do đó nó chạy chậm hơn vì phải tìm
kiếm các khai thác được cài đặt sẵn.
Khi công cụ đã được tải, quá trình quét nmap của máy nạn nhân được hoàn thành bằng lệnh sau:
“nmap –v –sV 10.0.0.6”
Sau đó, có thể tìm kiếm các khai thác khác nhau bằng cách sử dụng mã CVE (Các lỗ hổng và phơi nhiễm
chung), năm CVE hoặc tên mà Metasploit sẽ hiển thị các kết quả mà nó có sẵn. Các khai thác khác nhau
đã được chạy trên chính Windows XP và sau đó trên các ứng dụng dễ bị tấn công (Mitchell 2014)
3.6.1 MS08-067
Khai thác MS08-067 là một lỗ hổng Windows XP cực kỳ phổ biến, cho phép thực thi mã từ xa thông qua
các gói RPC được tải (Security TechCenter 2015).
Trong Metasploit, lệnh Cấm sử dụng khai thác / windows / ms08-067_api 'tải thư mục chứa khai thác
này. Lệnh; Sau đó, bộ cài đặt RHOST 10.0.0.6 đã được phát hành để máy đích được đặt thành nạn nhân
trong mạng. Khai thác sau đó đã sẵn sàng, vì vậy chạy hoặc khai thác đã được nhập để bắt đầu khai thác.
3.6.2 FTP miễn phí
Các khai thác khác đã được thử trên máy chủ FTP FreeFloat đang chạy trên máy nạn nhân. Chương trình
này dễ bị khai thác tràn bộ đệm mà Metasploit đã khai thác được tải sẵn.
Lệnh sử dụng / khai thác / windows / ftp / ftpfreefloat_wbem đã được ban hành với RHOST vẫn được
đặt thành 10.0.0.6, lợi dụng lỗ hổng tràn bộ đệm trong chương trình.
Khai thác cho VUPlayer 2.49 đã được thử, tuy nhiên, Metasploit chỉ tạo một tệp để tràn bộ đệm trong
chương trình và lưu nó vào máy Kẻ tấn công. Để khai thác thành công, sau đó nó phải được lưu vào các
máy nạn nhân và sau đó do nạn nhân điều hành, không phù hợp với dự án này vì việc khai thác cần phải
từ xa.
3.7 Tóm tắt
Thiết kế của phương pháp này được định hình bởi công trình của các học giả trước đây như Albin và
Rowe (2011), Charlton (2014) và Clark (2014). Nó cho phép hiểu biết đầy đủ về cách Hệ thống phát hiện
xâm nhập hiện tại sẽ được thiết lập trên mạng và mức độ hoạt động của chúng để phát hiện các cuộc
tấn công.
Các kết quả từ chương này được trình bày chi tiết trong Chương 4 và được thảo luận thêm trong
Chương 5. Các kết quả sẽ giúp đưa ra kết luận về tình trạng hiện tại của Hệ thống phát hiện xâm nhập và
đóng góp vào mô hình tối ưu hóa được đề xuất sử dụng Neural networks.
4. Kết quả
4.1 Bối cảnh
cách hiệu suất của chúng có thể được tối ưu hóa thông qua những tiến bộ trong Machine Learning và
Mạng nơ-ron.
Để đánh giá hiệu quả của Hệ thống phát hiện xâm nhập, Snort đã được thiết lập trong một mạng để
giám sát lưu lượng giữa một máy chạy Kali Linux và một máy khác chạy Windows XP SP3. Các thử
nghiệm khác nhau đã được thực hiện để chống lại Snort cũng như các kỹ thuật trốn tránh để hiểu Snort
hoạt động tốt như thế nào.
Kết quả từ các thử nghiệm này được trình bày chi tiết trong chương này với kết quả sẽ được thảo luận
thêm trong Chương 5.
4.2 Kiểm tra
Trong giai đoạn thử nghiệm các yêu cầu ping điều tra đã được gửi trên toàn mạng, để kiểm tra xem hệ
thống có được kết nối đầy đủ hay không, nhưng cũng để khám phá xem Snort có gắn cờ này không. Hình
7 cho thấy đầu ra từ Snort khi các yêu cầu ping được gửi, chúng được phân loại là ưu tiên 3 có nghĩa là
nó là mối đe dọa ưu tiên thấp, nhưng vẫn cần được điều tra thêm. Điều này đã được mong đợi và có
nghĩa là hệ thống đã hoạt động chính xác với các quy tắc cộng đồng đã được cài đặt.
Hình 7 – Gửi yêu cầu Ping
4.3 Khai thác
4.3.1 MS08-067
Sau khi ping tạo ra kết quả thành công, một khai thác từ xa đã được thử. MS08-067 là một lỗ hổng
Windows XP cực kỳ phổ biến, cho phép truy cập root từ xa thông qua yêu cầu RPC được tạo thủ công
(Security TechCenter 2015). Khi cuộc tấn công này lần đầu tiên được phát động, Snort đã không gắn cờ
bất cứ điều gì. Trong khi đó, lớp Meterpreter shell đo được thu được trên PC nạn nhân như trong Hình 8
với đầu ra Snort được hiển thị trong Hình 9.
Hình 8 - Meterpreter shell trên nạn nhân
Hình 9 - Snort không quét được các cờ tấn công.
Cuộc tấn công này đã được thử 15 lần với cùng một kết quả, không có cảnh báo nào được tạo ra bởi
Snort.
Việc khai thác tương tự đã được thực hiện vài ngày sau đó, tuy nhiên, Snort đã phát hiện ra nó và đưa ra
cảnh báo. Snort đã phân loại khai thác là ưu tiên 3, đây là một cảnh báo ưu tiên thấp, mặc dù đã remote
shell đã đạt được trên máy tính nạn nhân.
4.3.1.1 Kỹ thuật trốn tránh
Sử dụng lệnh “show evasion” command trong khi trong một thư mục khai thác trong Metasploit cho
phép các phương thức trốn tránh khác nhau được cấy vào cuộc tấn công (Mitchell, 2014). Đối với khai
thác này, độ trễ 2 giây đã được thêm vào giữa mỗi gói được gửi, đây là một kỹ thuật che giấu, tuy nhiên,
Snort vẫn phát hiện và hiển thị thông báo.
4.3.2 FTP miễn phí
Khai thác FTP FreeFloat tận dụng lỗ hổng tràn bộ đệm trong máy chủ. Khi được chạy trong Metasploit,
nó cho phép bắt đầu phiên Meterpreter đo, tương tự như phiên được hiển thị ở trên trong Hình 8. Tuy
nhiên, Snort luôn tạo ra một cảnh báo mỗi khi khai thác này được chạy.
Hình 11 - Thông báo FTP
Hiển thị màu đỏ trong Hình 11 là cảnh báo cho biết các đặc quyền của quản trị viên đã đạt được và được
phân loại là cảnh báo ưu tiên 1.
4.3.2.1 Kỹ thuật trốn tránh
Kỹ thuật trốn tránh tương tự với lỗ hổng MS08-067 đã được sử dụng cho máy chủ FTP FreeFloat. Một
độ trễ 2 giây được thêm vào trước sau đó 3 giây được thêm vào giữa các gói trong nỗ lực trốn tránh
Snort, tuy nhiên, tất cả các nỗ lực trốn tránh đều được phát hiện.
4.4 Tóm tắt
Chương này trình bày chi tiết các kết quả tìm thấy khi thực hiện một cuộc điều tra thực tế về Snort. Kết
quả của dự án cho thấy Snort đã phát hiện ra các kỹ thuật khai thác và trốn tránh khác nhau, tuy nhiên,
không nhất quán trong việc cảnh báo tất cả các cuộc tấn công. Ngoài ra, khi một cuộc tấn công được
phát hiện, trong trường hợp khai thác MS08-067, chỉ có một cảnh báo ưu tiên 3 được tạo ra. Các kết quả
sẽ được thảo luận kỹ hơn trong Chương 5, cũng như cách Mạng nơ-ron có thể tối ưu hóa các kết quả
được tìm thấy.
5. Thảo luận
5.1 Giới thiệu
cách hiệu suất của chúng có thể được tối ưu hóa bằng cách kết hợp Neural networks. Giả thuyết cho
rằng các vấn đề phải đối mặt với Hệ thống phát hiện xâm nhập hiện có, chẳng hạn như các kỹ thuật trốn
tránh và dương tính giả, có thể được giảm bớt thông qua việc đưa Neural networks vào hệ thống.
Lĩnh vực của Hệ thống phát hiện xâm nhập và tối ưu hóa của chúng hiện đang là một chủ đề nghiên cứu
rất phổ biến do nhu cầu ngày càng tăng đối với Hệ thống phát hiện xâm nhập. Chúng không được sử
dụng phổ biến như tường lửa hoặc chống vi-rút có thể là do các hệ thống này nổi tiếng là không đáng tin
cậy và khó bảo trì. Nhiều Hệ thống Phát hiện Xâm nhập sử dụng cơ sở quy tắc hoặc cơ sở chữ ký để phát
hiện các cuộc tấn công và mặc dù đây là phương pháp bảo mật hiệu quả trong quá khứ, ngày nay
phương pháp này không đủ để ngăn chặn các cuộc tấn công độc hại (Clark 2014). Do đó, dự án này cố
gắng chứng minh rằng việc triển khai Neural networks trong Hệ thống phát hiện xâm nhập có thể cung
cấp giải pháp bảo mật hiệu quả hơn và giúp cải thiện việc sử dụng Hệ thống phát hiện xâm nhập.
Snort được đánh giá thực tế để hiểu hệ thống phát hiện xâm nhập hiện tại hiệu quả và đáng tin cậy như
thế nào. Các kết quả được tìm thấy từ việc điều tra Snort sẽ được thảo luận trong phần 5.2, với các kết
quả từ tổng quan Tài liệu được đánh giá trong phần 5.3. Mục 5.4 sẽ mô tả một lý thuyết tối ưu hóa được
đề xuất dựa trên đánh giá của Snort và các tài liệu trước đó. Các kết luận chung sẽ được rút ra như được
thảo luận trong phần 5.5 với các thuộc tính tốt nghiệp Abertay từ thảo luận trong phần 5.6.
5.2 Thiết lập mạng với snort
Để hiểu cách thức hoạt động của Hệ thống phát hiện xâm nhập, Snort đã được đánh giá vì đây là một
giải pháp bảo mật hiện tại cực kỳ phổ biến (Alsmadi et al 2013). Nó là một công cụ nguồn mở sử dụng cơ
sở dữ liệu quy tắc để quyết định xem lưu lượng mạng là bình thường hay bất thường. Tuy nhiên, nghiên
cứu trước đây cho thấy Snort không đáng tin cậy trong việc phát hiện các cuộc tấn công khác nhau do
thực tế các quy tắc có thể được né bằng các kỹ thuật trốn tránh (Charlton 2014).
5.2.1 Thiết lập
Snort và mạng mà nó đang chạy là cực kỳ khó thiết lập với nhiều vấn đề đang gặp phải trong suốt quá
trình. Các vấn đề nảy sinh với tốc độ phần cứng đang chạy trong máy tính xách tay. Ngoài ra, cấu hình IP
ban đầu tạo ra các sự cố không mong muốn mới, tuy nhiên, những sự cố này được khắc phục và được
thảo luận thêm trong phần 5.2.1.1 và 5.2.1.2.
5.2.1.1 Cấu hình IP
Tuy nhiên, liên quan đến địa chỉ IP, ban đầu, IP mạng con được đặt thành 192.168.1.1, tuy nhiên, vì điều
này được thiết lập trên máy tính xách tay, khi di chuyển giữa các vị trí DHCP (Giao thức cấu hình máy
chủ động) có nghĩa là hệ thống địa chỉ của bộ định tuyến bị xung đột với các máy ảo. Điều này dẫn đến
không có quyền truy cập internet cho máy chủ. Đây là một vấn đề quan trọng và một vấn đề không được
phát hiện ngay lập tức. Sau khi thảo luận vấn đề với các giảng viên và đồng nghiệp, phương pháp được
khuyến nghị là sử dụng phương pháp được mô tả trong Chương 3, mục 3.3.4, với Mạng ảo.
Hệ thống đánh địa chỉ IP thủ công trong máy Ubuntu, chạy Snort, tỏ ra khó sử dụng do thực tế tệp cấu
hình mạng mất một khoảng thời gian đáng kể để cập nhật địa chỉ IP được chỉ định. Để định cấu hình máy
Phát hiện xâm nhập Ubuntu, một cổng Ethernet mới có thể được định cấu hình bằng GUI (Giao diện
người dùng đồ họa), tuy nhiên, rõ ràng điều này không hoạt động mà có vẻ như là một lỗi trong Ubuntu
14, do đó, địa chỉ IP đã được hoàn thành thông qua Tập tin giao diện như được mô tả trong phương
pháp.
5.2.1.2 Phần cứng
Khi tất cả các máy đã được cài đặt, các sự cố không lường trước phát sinh từ cách các máy được thiết
lập trong VMWare Workstation. Một trong những vấn đề chính là hạn chế phần cứng nghiêm trọng khi
cố gắng chạy ba máy ảo cùng một lúc trên một máy tính xách tay. Khả năng RAM (Bộ nhớ truy cập ngẫu
nhiên) vẫn ổn, vấn đề là do hiệu năng tốc độ của ổ cứng. Điều này có nghĩa là khi các lệnh đang được
chạy, có một độ trễ đáng kể cho đến khi chúng được thực thi. Điều này đã được khắc phục bằng cách
điều chỉnh lượng RAM dành riêng cho từng máy, cho phép các máy hoạt động hiệu quả hơn.
5.2.2 Khai thác
5.2.2.1 MS08-067
Như đã nêu trong Chương 4, khai thác MS08-067 cho phép thu được root shell trên máy nạn nhân, và
việc khai thác này đã thành công trong quá trình đánh giá thực tế. Khi khai thác MS08-067 được chạy
trên máy nạn nhân, lớp Meterpreter shell đo được thành công 15 lần trong một phiên khai thác.
Tuy nhiên, khi một phiên khai thác thứ hai được thực hiện vào một ngày riêng biệt, Snort thực tế đã
phát hiện ra cuộc tấn công MS08-067. Nhưng, Snort đã đánh dấu khai thác này là cảnh báo Ưu tiên 3.
Với Meterpreter shell chạy trên máy trong mạng, đây sẽ là cảnh báo Ưu tiên 1. Các ưu tiên được mã
hóa trong các quy tắc nên cảnh báo sai lầm này là do lập trình quy tắc kém. Điều này nhấn mạnh một
cạm bẫy đáng kể tồn tại trong Hệ thống phát hiện xâm nhập hiện tại mà dự án này đang tìm cách giải
quyết.
Hiệu suất Snort sườn không thể đoán trước được trong trường hợp này, khi được áp dụng vào mạng
trực tiếp, có thể cực kỳ bất lợi. Meterpreter session có thể đã được sử dụng để gây ra sự tàn phá trong
mạng và mục đích của Snort là để phát hiện hành vi bất thường.
Như đã đề cập trong phần 3.5, một loạt các quy tắc cộng đồng, tổng cộng 2668, đã được thêm vào
Snort, tuy nhiên, nghiên cứu trước đây đã phát hiện ra rằng bộ quy tắc cộng đồng Snort không hiệu quả
trong việc bảo vệ mạng hiệu quả (Clark 2014). Các quy tắc có thể được tùy chỉnh trong Snort, tuy nhiên,
điều này đòi hỏi rất nhiều bảo trì trên thực tế định dạng quy tắc là rất cụ thể. Các hình thức tấn công có
thể thay đổi đáng kể và do đó, Hệ thống phát hiện xâm nhập cần có khả năng thích ứng với các biến thể
này mà không cần cơ sở quy tắc được cập nhật thủ công. Mặc dù đã có 2668 quy tắc được cài đặt trong
Snort, bộ quy tắc này chỉ là một mẫu của các bộ quy tắc khác nhau tồn tại trực tuyến.
Do những hạn chế về phần cứng được đề cập trong phần 3.3.4, một lý do cho các cảnh báo không thể
đoán trước có thể là do sự chậm trễ trong các máy ảo do phần cứng gây ra. Cuộc tấn công có thể đã
được tiến hành khi cỗ máy chạy Snort gặp sự cố chậm trễ, do đó, các gói tấn công đã bị bỏ lỡ. Khai thác
này có thể tạo ra một tập hợp kết quả khác nhau nếu được thực hiện trong tương lai, với phần cứng
khác nhau.
Các vấn đề được tìm thấy khi thực hiện khai thác này nhắc lại sự cần thiết phải được tối ưu hóa Hệ
thống phát hiện xâm nhập. Các quy tắc và chữ ký mã hóa cứng không cho phép học tập năng động theo
cách mà Mạng nơ-ron sẽ làm.
5.2.2.2 FTP miễn phí
Snort đã phản ứng tốt với cuộc tấn công tràn bộ đệm FTP FreeFloat được phát động chống lại máy nạn
nhân. Ngay cả với các kỹ thuật trốn tránh tại chỗ, Snort vẫn liên tục phát hiện ra cuộc tấn công.
Không thể phủ nhận rằng trong trường hợp này, Snort với tư cách là một Hệ thống phát hiện xâm nhập,
là đáng tin cậy và hiệu quả, tuy nhiên, điều này là theo các quy tắc chính xác được thực hiện trong dịp
này. Với tốc độ mà các cuộc tấn công mới đang được phát hiện, Snort vẫn cần được cập nhật liên tục
liên quan đến bộ quy tắc của nó.
5.2.3 Kết luận
Liên quan đến Snort, cuộc điều tra thực tế đã cho phép đánh giá hiệu quả Hệ thống phát hiện xâm nhập
hiện tại. Tuy nhiên, Snort hoạt động tốt trong điều kiện khai thác tràn bộ đệm FreeFloat FTP, tuy nhiên,
dựa trên kết quả tổng thể trong một loạt các nỗ lực tấn công mà hệ thống không đáng tin cậy và sẽ
không hiệu quả trong môi trường kinh doanh với bộ quy tắc cộng đồng được cài đặt.
Công việc được thực hiện cho thấy kết quả phù hợp với mục tiêu của dự án, làm nổi bật các khu vực,
trong đó, việc bao gồm Neural network có thể mang lại lợi ích cho hoạt động của Hệ thống phát hiện
xâm nhập. Phần tiếp theo, 5.3, sẽ thảo luận và kết luận những phát hiện và ý kiến được tìm thấy trong
nghiên cứu trước đây liên quan đến việc tối ưu hóa Hệ thống phát hiện xâm nhập thông qua việc thực
hiện Mạng nơ-ron.
5.3 Nghiên cứu trước
Một lượng lớn nghiên cứu đã được thực hiện khi bắt đầu cuộc điều tra này để hiểu đầy đủ tình hình
hiện tại trong các lĩnh vực của Hệ thống phát hiện xâm nhập và cả Máy học và Mạng nơ-ron. Điều rất
quan trọng để hiểu những phát hiện của những người khác làm việc, để có một cơ sở lý thuyết vững
chắc để xây dựng một lý thuyết tối ưu hóa mới.
5.3.1 Machine Learning và mạng nơ-ron
Machine Learning như một lĩnh vực có nhiều chi nhánh, một trong số đó là Neural network. Như đã giải
thích trong Chương 2, Mạng nơ ron nhân tạo cho phép học máy năng động, dựa trên cách con người
học.
Như đã đề cập trước đây trong Chương 2, Garcia-Teodoro et al (2008) nói rằng có ba loại Hệ thống phát
hiện xâm nhập khác nhau tồn tại vào thời điểm này, điều này được thể hiện trong Hình 3. Denning
(1986) đề xuất ý tưởng kết hợp một chuyên gia hệ thống với một hệ thống dựa trên sự bất thường và
sau đó thêm Neural network làm vector thứ ba để tạo ra Hệ thống phát hiện xâm nhập lai hiệu quả.
Đề xuất bằng cách từ chối kết hợp các loại Hệ thống phát hiện xâm nhập khác nhau và thêm Neural
network để tạo ra một hệ thống kết hợp chống lại mô hình phân loại do Garcia-Teodoro et al (2008) đưa
ra. Kết quả của dự án này hỗ trợ lý thuyết Denning từ chối rằng các danh mục cần được kết hợp. Để đạt
được hiệu suất cần thiết để bảo đảm một mạng lưới chống lại sự khai thác liên tục, một công cụ có khả
năng học tập năng động cần phải được thêm vào các hệ thống dựa trên quy tắc hoặc chữ ký truyền
thống.
Đã có một loạt các lý thuyết được xuất bản tất cả bằng cách sử dụng một nhánh khác của Machine
Learning để tối ưu hóa công việc của Hệ thống phát hiện xâm nhập. A. Hệ thống phát hiện cũng dẫn đến
tỷ lệ cảnh báo tốt hơn. Logic mờ và thuật toán di truyền đã được Sujitha, Ramani và Parameswari (2012)
nghiên cứu và đã được tìm thấy để tạo ra tỷ lệ cảnh báo chính xác trên 95%. Chỉ từ những nghiên cứu
này, rõ ràng khi các nhánh khác nhau của Machine Learning được tích hợp vào Hệ thống phát hiện xâm
nhập, hệ thống sẽ hoạt động tốt hơn.
Mạng nơ-ron là một nhánh của Machine Learning được dự án này quan tâm. Ưu điểm và nhược điểm
của Mạng nơ-ron đã được công bố và được thảo luận nhiều hơn trong phần 5.3.2.1 và 5.3.2.2.
5.3.2.1 Ưu điểm
Nghiên cứu cho thấy Mạng nơ-ron sẽ bổ sung tuyệt vời cho các Hệ thống phát hiện xâm nhập hiện có khi
chúng có thể thêm một yếu tố học tập năng động vào hệ thống (Dinh 2014). Điều này có nghĩa là không
cần phải cập nhật quy tắc thủ công hoặc chữ ký liên tục, do thành phần máy học sẽ loại bỏ đầu vào của
con người khỏi quy trình này.
Loại bỏ nhu cầu liên tục tương tác của con người với hệ thống có nghĩa là ít có khả năng dữ liệu sẽ được
chèn không chính xác hoặc không được nhập vào tất cả (Dinh 2014).
Việc bổ sung Mạng nơ-ron cũng có nghĩa là các cuộc tấn công trong ngày có thể được phát hiện, do thực
tế là nó dựa trên hành vi bất thường. Họ có thể xác định hành vi bất thường bất kể hệ thống đã thấy sự
bất thường trước đó hay chưa. Hơn nữa, một quy tắc hoặc chữ ký là không cần thiết để hệ thống biết
một cảnh báo phải được tạo ra (Saied, Overill và Radizk, 2014).
Dựa trên kết quả này và kết quả tích cực được thấy từ các bài báo học thuật trước đây về việc sử dụng
Mạng nơ-ron (Gang et al 2010; Moradpoor. 2014; Mukkamala, Guadalupe và Sung. 2002) lưu lượng
được đề xuất như một mô hình Phát hiện xâm nhập được tối ưu hóa, sẽ được thảo luận thêm trong
phần 5.4.
5.3.2.2 Nhược điểm
Mặc dù việc bổ sung Mạng nơ-ron có thể cung cấp một số lợi thế như nền tảng cho việc học động, một
nguồn dữ liệu khác để tham khảo ý kiến và trí thông minh mà cơ sở quy tắc không thể cung cấp, Mạng
nơ-ron cũng tạo ra một số vấn đề. Hệ thống phát hiện xâm nhập lai là một khái niệm đã được nhiều
chuyên gia hàn lâm đề xuất trong nhiều năm qua, Heba et al (2011), Mrutyunjaya, Ajith và Patra (2012)
và Shelly và Wolfgang (2008) chỉ nêu tên một số ít. Tuy nhiên, trong khi các hệ thống lai này đã được
chứng minh là cho kết quả làm việc tốt hơn trong môi trường thử nghiệm, khi được triển khai trong
mạng trực tiếp, chúng được Vesely và Brechlerova (2003) phát hiện là cực kỳ nhạy cảm và tạo ra một
lượng lớn dương tính giả.
Vì Mạng nơ-ron dựa trên việc học sinh học của con người, họ cung cấp một số lợi thế như đã đề cập ở
trên, tuy nhiên, giống như học tập của con người, có rất nhiều thời gian đào tạo cần thiết cho Mạng nơ-
ron. Trước khi Neural network được triển khai trong môi trường sống, nó phải được đào tạo về hành vi
phù hợp với môi trường đó. Điều này sẽ cho phép hệ thống xây dựng đường cơ sở về hành vi bình
thường trông như thế nào, do đó biết khi nào hành vi bất thường xảy ra. Tuy nhiên, trong khi các hệ
thống này đang được đào tạo, chúng không bảo vệ mạng mà chúng đã được đầu tư để bảo vệ (Akram
2006).
Một nhược điểm khác là thực tế rất khó để căn cứ vào hành vi bình thường, đặc biệt là trong một mạng
có lượng người dùng lớn. Lưu lượng truy cập mạng sẽ khác nhau mỗi ngày trong một doanh nghiệp.
Nhân viên có thể nghỉ ốm hoặc nghỉ lễ, họ có thể đăng nhập muộn hoặc về sớm hoặc sử dụng máy vì lý
do cá nhân. Những hành động này có thể được hiểu là hành vi bất thường của mạng và phản ứng không
chính xác (Vesely và Brechlerova 2003).
5.4 Tối ưu hóa
Dựa trên kết quả đánh giá thực tế của Snort và phân tích quan trọng của các nguồn học thuật khác nhau,
rõ ràng Hệ thống phát hiện xâm nhập có nhiều chỗ để cải thiện.
Mặc dù có nhiều nhược điểm khác nhau liên quan đến việc triển khai Mạng nơ-ron, nhưng chúng có thể
được khắc phục bằng nhiều nghiên cứu và phát triển hơn về các lỗ hổng của chúng. Ví dụ, nghiên cứu
nhiều hơn về việc đào tạo hiệu quả Mạng nơ-ron sẽ chứng minh được giá trị khi cân nhắc những lợi thế
và bất lợi của công nghệ.
5.4.1 Lý thuyết tối ưu hóa đề xuất
Lý thuyết được đề xuất để tối ưu hóa Hệ thống phát hiện xâm nhập với Neural network được mô tả
trong Hình 12. Hình hiển thị 2 kịch bản; một có lưu lượng truy cập bình thường vào mạng và một có lưu
lượng truy cập bất thường vào mạng.
Hình 12 - Mô hình tối ưu hóa
Cơ sở Neural network sẽ đóng vai trò là điểm liên lạc đầu tiên cho bất kỳ lưu lượng truy cập nào vào
mạng. Lưu lượng sẽ vào Neural network thông qua các nút đầu vào, được hiển thị trước đó trong
Chương 2, Hình 5. Các nút ẩn, trong Neural network, sẽ phân tích dữ liệu này bằng cách sử dụng đào tạo
ban đầu được cung cấp và sau đó đưa ra quyết định. Tuy nhiên, lý tưởng nhất, một cơ sở quy tắc, tương
tự như Snort, cũng sẽ được triển khai như một nguồn dữ liệu thứ cấp.
Hình 13 hiển thị kịch bản nếu lưu lượng truy cập bình thường vào mạng. Lưu lượng truy cập bình
thường phải được đầu ra tốt bởi Neural network, điều đó có nghĩa là lưu lượng sẽ đi qua mạng mà
không có cảnh báo nào được tạo.
Nếu Neural network xác định chính xác lưu lượng là tốt, tín hiệu phản hồi phần thưởng sẽ được trả về
cho phép học tập liên tục và phát triển từ xa trong Neural network. Tuy nhiên, nếu Neural network
quyết định lưu lượng truy cập bình thường là xấu, lưu lượng sẽ được chuyển tiếp đến cơ sở quy tắc để
có ý kiến thứ hai. Nếu lưu lượng truy cập không phá vỡ bất kỳ quy tắc nào, sẽ không có cảnh báo nào
được tạo ra và phản hồi sẽ được gửi đến Neural network từ cơ sở quy tắc. Điều này có nghĩa là một kiểu
Học tăng cường đang được sử dụng, đã được thảo luận trước đây trong Chương 2, mục 2.6.1, với đầu
vào tối thiểu của con người, giải phóng thời gian của nhân viên mạng.
Hình 13 - Kịch bản giao thông bình thường
Mặt khác, nếu Mạng nơ-ron đánh dấu lưu lượng truy cập bình thường không chính xác là xấu và cơ sở
quy tắc đánh dấu lưu lượng là xấu, thì sẽ có kết quả dương tính giả. Tại thời điểm này, sự can thiệp của
con người sẽ là cần thiết để điều chỉnh lại hệ thống khi cần thiết.
Mặc dù thời gian đào tạo ban đầu luôn luôn cần thiết, Mạng nơ-ron sử dụng các thuật toán phức tạp sẽ
cho phép học tập và cập nhật liên tục được lưu trữ trong cơ sở kiến thức về lưu lượng mạng. Về mặt lý
thuyết, hệ thống này kết hợp các lĩnh vực hiệu quả nhất của các khái niệm Phát hiện xâm nhập khác
nhau, cơ sở quy tắc đưa ra các quy tắc được lập trình cứng, dễ dự đoán và cung cấp cho quản trị viên
toàn quyền kiểm soát cách thức hoạt động của hệ thống. Mạng nơ-ron cung cấp khả năng học tập năng
động và trí thông minh cho một hệ thống, trong mạng ngày nay, rất quan trọng khi cố gắng vượt lên
trước những kẻ tấn công.
Đề xuất là một hệ thống kết hợp kết hợp giữa Cơ sở học máy và Cơ sở tri thức được đề xuất riêng bởi
Garcia-Teodoro et al (2008) và được hiển thị trong Chương 2, sơ đồ 3. Mô hình này hỗ trợ ý tưởng ban
đầu của Denning về việc kết hợp các công nghệ khác nhau để tạo ra Phát hiện xâm nhập lai Hệ thống.
Giải pháp được đề xuất là một hệ thống lý thuyết dựa trên các kết luận rút ra từ đánh giá của Snort và
cũng từ các tài liệu được đánh giá. Do đó, lý thuyết này cần được nghiên cứu thêm với một nguyên mẫu
được thiết kế và thử nghiệm.
Một lĩnh vực có thể chứng minh không thuận lợi trong mô hình này nằm trong kịch bản mà quyết định
Mạng nơ-ron không được chuyển đến cơ sở quy tắc để có ý kiến thứ hai. Nếu Mạng nơ-ron đưa ra quyết
định sai thì có thể xảy ra sai âm hoặc dương sai. Vấn đề này phát sinh do thực tế mô hình đề xuất sử
dụng Neural network làm cơ sở dữ liệu tư vấn chính. Việc hệ thống này được đào tạo hiệu quả là điều
tối quan trọng để đảm bảo hệ thống hoạt động với hiệu suất tối ưu.
5.4.2 Đào tạo mạng nơ-ron
Tuy nhiên, một vấn đề không được giải quyết bởi mô hình này là thời gian đào tạo ban đầu cần thiết cho
Mạng nơ-ron. Như đã đề cập ở trên, việc đào tạo là vô cùng quan trọng, tuy nhiên, một trong những
nhược điểm của Mạng nơ-ron thần kinh là thực tế cần một lượng thời gian đáng kể để đào tạo hệ thống
(Akram 2006).
Ở đây đã thảo luận rằng nên sử dụng kiểu Học tăng cường sau khi Hệ thống phát hiện xâm nhập đã
được triển khai trong mạng. Điều này sẽ cho phép học tập và phản hồi liên tục cho Neural network, đảm
bảo hệ thống không ngừng học hỏi và trở nên thông minh hơn. Tuy nhiên, trước khi Neural network
được triển khai, chương trình đào tạo mở rộng và cần được thiết kế để đảm bảo Neural network có tất
cả các khóa đào tạo cần thiết liên quan đến mạng mà nó được sử dụng để bảo vệ.
Chương 2, mục 2.6.1, là phần thảo luận về các kiểu Machine Learning khác nhau hiện có (Coppin 2004).
Dựa trên vấn đề này và các vấn đề về học tập được tìm thấy bởi các học giả khác, người ta đề xuất rằng
cả phong cách học tập có giám sát và phong cách học tập củng cố được kết hợp để cung cấp một kiểu
học tập lai cho Mạng nơ-ron. Việc học được giám sát nên được hoàn thành trước tiên, với các cuộc tấn
công rõ ràng và phổ biến là đầu vào với kết quả mong muốn cũng là đầu vào để hệ thống biết câu trả lời
đúng là gì. Điều này sẽ cung cấp cho Neural network một nền tảng kiến thức để bắt đầu vì vậy khi Học
tập củng cố được giới thiệu, Mạng nơ-ron có một số kiến thức để đưa ra quyết định. Phản hồi được đưa
ra nếu hệ thống đúng hoặc sai trong giai đoạn Học tăng cường, sẽ cho phép điều chỉnh lại các trọng số
bộ nhớ trong hệ thống, liên tục đóng góp vào trí thông minh của Neural network.
Tối ưu hóa cách thức mà Mạng nơ-ron học là một lĩnh vực nghiên cứu rất tích cực nhưng tách biệt với
tối ưu hóa Hệ thống phát hiện xâm nhập, tuy nhiên, hai lĩnh vực bổ sung cho nhau và có thể chứng minh
một lĩnh vực nghiên cứu trong tương lai cực kỳ đáng giá.
5.5 Đánh giá
Câu hỏi đang được nghiên cứu là; Các hệ thống phát hiện xâm nhập hiện tại có hiệu quả như thế nào và
có thể tối ưu hóa chúng thông qua những tiến bộ trong Machine Learning và Mạng nơ-ron không?
Kết quả điều tra thực tế được hỗ trợ bởi các tuyên bố của Lunt (1993) rằng các hệ thống dựa trên quy
tắc là không đủ để bảo vệ mạng, một số phương pháp Phát hiện xâm nhập cần được kết hợp để bảo vệ
hệ thống hiệu quả. Yêu cầu tương tự được đưa ra bởi Mukkamala, Guadalupe và Sung (2002) liên quan
đến việc sử dụng Mạng nơ-ron thần kinh và Máy vectơ hỗ trợ để tạo ra Hệ thống phát hiện xâm nhập lai
và cả của Abraham et al (2012). Những kết luận tương tự đã được đưa ra bởi các nghiên cứu khác nhau
trong 10 năm qua, đó là, khi được kiểm tra, tỷ lệ phát hiện của Hệ thống phát hiện xâm nhập là tốt hơn
và dương tính giả sẽ thấp hơn khi đưa Neural network vào hệ thống. Như đã thảo luận trong phần 5.4,
một mô hình tối ưu hóa, dựa trên kết quả từ các bài viết này cũng như kết quả từ yếu tố thực tế của dự
án này đã được đề xuất. Tuy nhiên, cần nhiều nghiên cứu hơn để đào tạo Neural network hiệu quả hơn
để nó có hiệu quả khi được triển khai.
Nó đã được tìm thấy rằng Snort như một phát hiện xâm nhập chỉ có hiệu quả như bộ quy tắc mà nó đã
được đưa ra. Kết quả thực tế cho thấy Snort không đáng tin liên quan đến việc phát hiện và sai sót khi
nó đưa ra cảnh báo. Thông qua việc đánh giá Snort và nghiên cứu những tiến bộ đạt được trong lĩnh vực
Machine Learning, một Hệ thống phát hiện xâm nhập hỗn hợp đã được đề xuất, nêu chi tiết cách chúng
nên hoạt động trong mạng và cách đào tạo Neural network.
Kết luận rút ra từ cuộc điều tra này nhắc lại kết luận của Charlton (2014) và Bukac (2010) rằng Snort và
các Hệ thống phát hiện xâm nhập dựa trên quy tắc khác hiện không có các biện pháp phòng thủ cần
thiết để bảo mật mạng hiệu quả. Các hệ thống dựa trên quy tắc đã có từ lâu và trong công nghệ, các
biện pháp bảo mật và các kỹ thuật được sử dụng phải được cập nhật liên tục.
5.6 Thuộc tính
Đây là một dự án đáng kể được thực hiện bởi chính tôi, tác giả, và đây là một phản ánh về cách dự án
này đã đóng góp cho các kỹ năng được xác định bởi các thuộc tính tốt nghiệp Abertay nhiệt 4; Nhà tư
tưởng tự tin, người sáng tạo quyết tâm, người tìm kiếm tham vọng và người cộng tác linh hoạt.
5.6.1 Nhà tư tưởng tự tin
Vì Hệ thống phát hiện xâm nhập là một công nghệ mới đối với tôi, tôi đã phải giải quyết nhiều vấn đề
nảy sinh khi thực hiện Snort và các phụ thuộc liên quan. Tôi đã học được rất nhiều về việc thiết lập Snort
cũng như dòng lệnh Linux và những lệnh tôi cần để có được những gì tôi muốn từ hệ thống.
Tôi đã phải liên tục nghĩ ra những cách mới để giải quyết và giải quyết các vấn đề mà tôi gặp phải với
phần mềm và phần cứng mà tôi phải có sẵn cho tôi. Đặc biệt với các vấn đề về phần cứng, tôi sớm gặp
phải việc cố gắng chạy ba máy ảo trên một máy tính xách tay. Điều này đã được khắc phục bằng cách
điều chỉnh lại dung lượng bộ nhớ và RAM cho mỗi máy ảo.
Tôi đã nghiên cứu liên tục trước và trong luận án này để có được kiến thức nền tảng tôi cần liên quan
đến Hệ thống phát hiện xâm nhập và sau đó để khắc phục các vấn đề tôi gặp phải. Điều này thực sự giúp
ích cho kỹ năng nghiên cứu của tôi và khả năng tìm kiếm các câu trả lời tôi cần bằng Google, Google
Scholar và Summon một cách hiệu quả.
Tôi liên tục phản ánh về việc học của tôi thông qua tạp chí hàng tuần tôi giữ và cũng với Natalie, người
giám sát của tôi, người mà tôi đã gặp rất thường xuyên. Sự phản ánh này cho phép tôi hiểu được giai
đoạn tôi tham gia dự án và những gì tôi vẫn phải làm. Bây giờ dự án đã kết thúc tôi có thể thấy nghiên
cứu đã được tiến hành rộng rãi như thế nào và khối lượng kiến thức tôi có được liên quan đến Hệ thống
phát hiện xâm nhập, máy ảo, phần cứng máy tính xách tay, phần mềm cũng như Machine Learning và
Mạng nơ-ron.
5.6.2 Người tạo quyết tâm
Tôi đã tích cực nghiên cứu lĩnh vực này trong năm thứ 3 Đại học và vào mùa hè trước năm thứ 4 để tôi
có một khối lượng kiến thức tốt trước khi bắt đầu luận án. Tôi đã nói chuyện với các đồng nghiệp tại
Skyscanner, trong khi thực hiện kỳ thực tập mùa hè của mình, để có cái nhìn của họ về Hệ thống phát
hiện xâm nhập và hiểu cách sử dụng máy học ở nơi làm việc. Tôi đã thể hiện sự chủ động bằng cách sử
dụng thực tập này để tận dụng tốt nhất luận án của tôi.
Tôi đã chia luận án của mình thành các phần có thể quản lý được và bắt đầu viết dự án của mình vào
tháng 10 để Bài đánh giá Văn học của tôi được hoàn thành vào tháng 1 năm nay. Tôi liên tục thể hiện
cam kết từ đầu năm thứ 4 với công việc liên tục và các cuộc họp với người giám sát của tôi để đảm bảo
tôi đang tiến triển đúng hướng.
5.6.3 Enquirer đầy tham vọng
Trong suốt quá trình xem xét tài liệu, tôi đã thu thập rất nhiều dữ liệu khác nhau về các lĩnh vực khác
nhau trong dự án của tôi và phải đánh giá, tổng hợp và rút ra kết luận từ các bài viết này. Tạp chí Văn
học là mới đối với tôi và phong cách viết ban đầu rất khó hiểu. Tuy nhiên, sau khi được hướng dẫn cho
người giám sát của tôi, tôi đã hiểu quá trình này hoạt động như thế nào.
Thật khó khăn khi cố gắng hiểu các tệp quy tắc Snorts và tệp cấu hình để hiểu cách thức hoạt động và
cách khắc phục khi nó không hoạt động. Tuy nhiên, sự kiên trì và xin lời khuyên từ các bạn cùng lớp làm
việc trong các dự án tương tự đã giúp tôi cảm thấy thoải mái khi chỉnh sửa các tệp này để Snort hoạt
động theo cách tôi cũng cần.
Tôi thực sự cảm thấy rằng công việc tôi đã thực hiện trong dự án này đã giúp tôi hiểu rõ hơn về các công
nghệ khác nhau. Về mặt mạng và thiết lập máy ảo cũng như cổng và địa chỉ IP là tất cả các lĩnh vực tôi
cảm thấy tôi hiểu rõ hơn kể từ khi làm luận án. Trong năm thứ 4, tôi nghĩ rằng nhiều lĩnh vực của khóa
học cuối cùng đã có ý nghĩa trong sơ đồ lớn của mọi thứ đối với tôi.
5.6.4 Cộng tác viên linh hoạt
Luận án là một dự án phức tạp mà tôi phải tự thực hiện, tuy nhiên, việc cộng tác với người giám sát và
các bạn cùng lớp thực sự giúp tôi hiểu được những vấn đề tôi gặp phải từ đâu và cũng là lý do tại sao tôi
gặp phải những vấn đề này.
Công việc và nghiên cứu tôi thực hiện cho phép tôi giúp các sinh viên khác gặp vấn đề tương tự. Tôi rất
vui khi được giúp đỡ và hỗ trợ những người khác trong luận án của họ vì đây là một dự án khó khăn và
các vấn đề có thể khiến bạn bị mắc kẹt trong nhiều ngày và thực sự khiến bạn trở lại. Các vấn đề tôi gặp
phải đã đưa tôi trở lại dòng thời gian dự án của mình, tuy nhiên, tôi đã có thể khắc phục những vấn đề
này làm tăng sự tự tin của tôi.
6. Kết luận
6.1 Giới thiệu
Kể từ khi Hệ thống phát hiện xâm nhập được giới thiệu vào năm 1972, các nghiên cứu và lý thuyết liên
tục đã được công bố về cách chúng nên được tối ưu hóa. Dự án này nhằm đánh giá hiệu quả của Hệ
thống phát hiện xâm nhập và khám phá cách hiệu suất của chúng có thể được tối ưu hóa thông qua
Mạng thần kinh.
Thông qua nghiên cứu được thực hiện và thực hiện công việc thực tế, mục tiêu đã đạt được là sự hiểu
biết tổng thể về cách thức hoạt động của Hệ thống phát hiện xâm nhập cũng như kiến thức về vấn đề
của họ vẫn nằm ở đâu. Về mặt tối ưu hóa, Mô hình phát hiện xâm nhập được tối ưu hóa đã được đề
xuất trong phần 5.4. Rõ ràng là tối ưu hóa Hệ thống phát hiện xâm nhập là điều cần thiết để sự phát
triển của công nghệ này được tiếp tục và mô hình đề xuất có thể chứa thông tin chính cho nghiên cứu
trong tương lai.
6.2 Phương pháp luận
Để hiểu cách thức hoạt động của Hệ thống phát hiện xâm nhập và các khu vực có thể được tối ưu hóa,
Snort đã được đánh giá. Snort đã được cài đặt, thiết lập các quy tắc cộng đồng và được thử nghiệm
bằng nhiều phương pháp tấn công và trốn tránh khác nhau. Phương pháp này dựa trên các tài liệu được
đánh giá đã cho kết quả toàn diện về hiệu quả của Hệ thống phát hiện xâm nhập hiện tại. Nó đã chứng
minh giả thuyết rằng hệ thống có thể được trốn tránh và công nghệ phát hiện được sử dụng trong Snort
cần được tối ưu hóa.
Nhiều cuộc tấn công và phương pháp trốn tránh sẽ cung cấp kết quả đáng tin cậy hơn cho phần này của
dự án, tuy nhiên, có những vấn đề không lường trước được liên tục với việc thiết lập mạng và Snort.
Nếu có nhiều thời gian hơn để hoàn thành dự án này, một loạt kết quả tốt hơn có thể đã được tạo ra.
Ngoài ra, nếu nghiên cứu này được thực hiện lại, ba máy riêng biệt sẽ được sử dụng thay vì một máy
tính xách tay. Máy tính xách tay vật lộn để chạy mạng hiệu quả có thể làm gián đoạn kết quả.
6.3 Tối ưu hóa
Trong dự án này, người ta cũng thấy rằng Mạng nơ-ron đã được nghiên cứu trong nhiều dự án khác
nhau nhưng dường như chúng khó thực hiện trong một mạng thực do cảnh báo dương tính giả cao.
Nghiên cứu được thực hiện trong dự án này, và cả kết quả từ yếu tố thực tế cho phép một lý tưởng tối
ưu hóa được đề xuất. Mô hình được mô tả trong Chương 5 kết hợp các lĩnh vực tốt nhất của các công
nghệ hiện tại, cũng như các lý thuyết phản hồi và học tập hiệu quả để tạo ra một Hệ thống phát hiện
xâm nhập thích ứng từ xa.
Mô hình Phát hiện xâm nhập được đề xuất cho phép tham chiếu chéo các cảnh báo và cơ sở dữ liệu lớn
về thông tin tấn công. Cơ sở quy tắc hoạt động tốt để phát hiện các mối đe dọa đã biết và cho chống lại
các cuộc tấn công được biết đến. Tuy nhiên, để chống lại các kỹ thuật tấn công và trốn tránh mới, kết
hợp cách tiếp cận hệ thống chuyên gia với các thuật toán Mạng thần kinh sẽ cho phép học tập năng
động và phát triển từ xa trên hệ thống.
Việc triển khai Mạng thần kinh trong Hệ thống phát hiện xâm nhập cần được điều tra thực tế nếu dự án
này được thực hiện thêm. Các tài nguyên không cho phép điều này, tuy nhiên, công việc được thực hiện
trong dự án này có thể chứng minh một cơ sở phù hợp cho công việc trong tương lai.
6.4 Công việc tương lai
Cập nhật công nghệ được sử dụng với Hệ thống phát hiện xâm nhập là một điều cần thiết để theo kịp
các mối đe dọa dai dẳng mà các công ty liên tục bị bắn phá khi kết nối với internet.
Dự án này không có thời gian hoặc tài nguyên cần thiết để triển khai các thuật toán Mạng thần kinh vào
Hệ thống phát hiện xâm nhập hiện có, tuy nhiên, từ mô hình được đề xuất thảo luận trong Chương 5,
điều này có thể được tiếp tục để tạo ra kết quả cơ bản.
Mạng nơ-ron đã được chứng minh là làm giảm đáng kể lượng dương tính giả do Hệ thống phát hiện xâm
nhập tạo ra, tuy nhiên, khi được triển khai vào mạng, chúng được phát hiện là cực kỳ nhạy cảm và quay
trở lại tạo ra một khối lượng lớn cảnh báo dương tính giả. Như đã thảo luận trước đây, đề xuất rằng
công việc trong tương lai tập trung vào việc tối ưu hóa việc đào tạo Mạng lưới thần kinh cũng là chủ đề.
Do thực tế, các hệ thống này đã được chứng minh là tối ưu hóa Hệ thống phát hiện xâm nhập, bước hợp
lý tiếp theo trong lĩnh vực này là tối ưu hóa quy trình đào tạo, theo lý thuyết, sẽ tạo ra kết quả tốt hơn
sau khi triển khai mạng.
Như đã đề cập trong Chương 5, mục 5.4.1.1, khuyến nghị rằng một kiểu học tập lai bao gồm Học tập
được giám sát và Học tập củng cố được tiếp tục nghiên cứu để cải thiện hiệu suất của Mạng lưới thần
kinh. Nghiên cứu đã chứng minh rằng việc kết hợp Mạng thần kinh và Hệ thống phát hiện xâm nhập sẽ
tạo ra một hệ thống bảo mật tốt hơn, giờ đây là trường hợp tối ưu hóa việc đào tạo Mạng thần kinh
cũng phải tuân theo, để đảm bảo thông tin phong phú trước khi được triển khai trong mạng. Mô hình đề
xuất cho phép phản hồi từ xa vì vậy ngay cả khi Mạng thần kinh được triển khai, nó sẽ liên tục học hỏi và
cập nhật kiến thức cơ bản.
Nếu dự án này được thực hiện trong tương lai, thì mạng ảo không được thiết lập trên máy tính xách tay,
trừ khi RAM, ổ cứng và bộ nhớ có dung lượng phù hợp. Tốt hơn là, mỗi nút trong mạng sẽ được thiết lập
trên một máy riêng biệt.
Ngoài ra, nếu có nhiều thời gian và nguồn lực hơn, một đánh giá thực tế về Mạng nơ-ron sẽ được thực
hiện để cho phép kết quả toàn diện hơn để hỗ trợ giai đoạn tối ưu hóa của dự án.
Mô hình tối ưu hóa được đề xuất tích hợp các công nghệ khác nhau để tạo ra Hệ thống phát hiện xâm
nhập lai có khả năng phát hiện một loạt các cuộc tấn công với khả năng tự động học hỏi từ lưu lượng
mạng.
Để kết luận và dựa trên nghiên cứu được thực hiện, khuyến nghị rằng, trọng tâm của nghiên cứu bây giờ
nên tập trung vào việc thiết lập mô hình tối ưu hóa được đề xuất có thể được nghiên cứu thực tế như
thế nào với sự nhấn mạnh vào việc tối ưu hóa các phương pháp đào tạo được sử dụng.
Dự án này đã chỉ ra rằng nếu Hệ thống phát hiện xâm nhập có thể được tối ưu hóa trong môi trường
kinh doanh thông qua việc bổ sung Mạng thần kinh, thì tương lai có vẻ tươi sáng để xây dựng các giải
pháp bảo mật thông minh và hiệu quả hơn.
Phụ lục – Snort Rules
include $RULE_PATH/local.rules
include $RULE_PATH/attack-responses.rules
include $RULE_PATH/backdoor.rules
include $RULE_PATH/bad-traffic.rules
include $RULE_PATH/black_list.rules
include $RULE_PATH/chat.rules
include $RULE_PATH/ddos.rules
include $RULE_PATH/dns.rules
include $RULE_PATH/dos.rules
include $RULE_PATH/experimental.rules
include $RULE_PATH/exploit.rules
include $RULE_PATH/finger.rules
include $RULE_PATH/ftp.rules
include $RULE_PATH/icmp-info.rules
include $RULE_PATH/imap.rules
include $RULE_PATH/info.rules
include $RULE_PATH/misc.rules
include $RULE_PATH/multimedia.rules
include $RULE_PATH/mysql.rules
include $RULE_PATH/netbios.rules
include $RULE_PATH/nntp.rules
include $RULE_PATH/oracle.rules
include $RULE_PATH/other-ids.rules
include $RULE_PATH/p2p.rules
include $RULE_PATH/policy.rules
include $RULE_PATH/pop2.rules
include $RULE_PATH/rpc.rules
include $RULE_PATH/rservices.rules
include $RULE_PATH/scan.rules
include $RULE_PATH/shellcode.rules
include $RULE_PATH/smtp.rules
include $RULE_PATH/snmp.rules
include $RULE_PATH/sql.rules
include $RULE_PATH/tftp.rules
include $RULE_PATH/virus.rules
include $RULE_PATH/web-attacks.rules
include $RULE_PATH/web-cgi.rules
include $RULE_PATH/web-client.rules
include $RULE_PATH/web-coldfusion.rules
include $RULE_PATH/web-frontpage.rules
include $RULE_PATH/web-misc.rules
include $RULE_PATH/web-php.rules
include $RULE_PATH/x11.rules

Ids Snort Áp D NG Neural Network

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ids Snort Áp D NG Neural Network

Uploaded by

Copyright:

Available Formats

MỤC LỤC

Nội dung ........................................................................................................................................................ 4

1|Lê Tiến Thành

2|Lê Tiến Thành

3|Lê Tiến Thành

4|Lê Tiến Thành

1.1 Bối cảnh

1.2 Hệ thống phát hiện xâm nhập

5|Lê Tiến Thành

1.4 Mục tiêu và mục tiêu

1.5 Câu hỏi nghiên cứu

1.6 Cấu trúc dự án

6|Lê Tiến Thành

7|Lê Tiến Thành

2.1 Giới thiệu

8|Lê Tiến Thành

• Hệ thống thụ động

• Hệ thống phản ứng

9|Lê Tiến Thành

2.2.1 Hệ thống phát hiện xâm nhập mạng (NIDS)

• Hệ thống phát hiện xâm nhập cấp hệ điều hành

• Hệ thống phát hiện xâm nhập cấp ứng dụng

2.2.3 Tóm tắt về NIDS và HIDS

Network-Based (NIDS) Host-Based (HIDS)

2.2.5 Dựa trên quy tắc

• Cơ sở dữ liệu về các quy tắc hoặc kiến thức cơ bản

• Thông dịch viên

2.2.6 Học máy

• Dương tính giả

• Thời gian huấn luyện

2.6.1 Học máy

• Học có giám sát

• Học tập không giám sát

• Học tăng cường

Hình 5 Mạng nơ ron nhân tạo (Sayad 2015)

2.7 Tóm tắt

2.8 Vấn đề và Giải pháp

3.1 Bối cảnh

3.2 Tóm tắt phương pháp luận

Hình 6 - Mạng cục bộ

Nó bao gồm ba máy:

Cuộc điều tra thực tế có ba giai đoạn:

• Tải xuống và cài đặt VMWare Workstation 11.

• Tải xuống và cài đặt Kali Linux, Ubuntu 12 và Windows XP.

• Cài đặt Snort trên máy Ubuntu 14.

• Đảm bảo các máy ping thành công lẫn nhau.

3.3 Thiết lập mạng

3.3.1 Máy Ubuntu cho Snort

3.3.2 Kẻ tấn công

• Máy chủ FTP FreeFloat

3.3.4 Cấu hình địa chỉ IP

sudo gedit /etc/network/interfaces

Bảng 2 - Bảng địa chỉ IP

Snort Eth1 – 10.0.0.3

3.3.5 Cài đặt Snort

3.4 Kiểm tra

“sudo snort -T -c /etc/snort/snort.conf“

3.5 Quy tắc

“sudo /usr/local/bin/snort –A console –q –u snort –g snort –c /etc/snort/snort.conf –i eth1”

3.6 Khai thác

“nmap –v –sV 10.0.0.6”

3.6.2 FTP miễn phí

4.1 Bối cảnh