Bộ dữ liệu dạng Netflow dùng trong phát hiện xâm nhập trái phép và ứng dụng

Mục tiêu của bài viết này trình bày một phương thức xây dựng bộ dữ liệu dạng Netflow từ nguồn dữ liệu DARPA; và ứng dụng bộ dữ liệu này trong phát hiện xâm nhập trái phép bằng phương pháp học máy.
Nội dung trích xuất từ tài liệu:
Bộ dữ liệu dạng Netflow dùng trong phát hiện xâm nhập trái phép và ứng dụng Nguyễn Hoàng Giang, Trần Quang Anh<br /> <br /> <br /> <br /> <br /> BỘ DỮ LIỆU DẠNG NETFLOW<br /> DÙNG TRONG PHÁT HIỆN<br /> XÂM NHẬP TRÁI PHÉP VÀ ỨNG DỤNG<br /> Nguyễn Hoàng Giang*, Trần Quang Anh+<br /> *Cục Công nghệ thông tin & Thống kê Hải quan<br /> +<br /> Học Viện Công Nghệ Bưu Chính Viễn Thông<br /> <br /> <br /> Tóm tắt: Các bộ dữ liệu mẫu về xâm nhập trái làm dừng hệ thống cung cấp dịch vụ của tổ chức.<br /> phép trong mạng máy tính hiện đã và đang được Để phát hiện và ngăn chặn các cuộc tấn công này,<br /> ứng dụng rất rộng rãi trong việc nghiên cứu phát có rất nhiều các giải pháp phần cứng cũng như<br /> hiện xâm nhập mạng trái phép. Trên thế giới đã có phần mềm ra đời. Các giải pháp đó có thể là IDS<br /> nhiều bộ dữ liệu khác nhau, mỗi bộ dữ liệu có ưu, (Intrusion Detection Systems), IPS (Intrusion<br /> nhược điểm khác nhau. Bộ dữ liệu dạng Netflow Prevention Systems), IDP (Intrusion Detection<br /> có nhiều ưu điểm trong việc phát hiện xâm nhập Prevention Systems), Firewall, hoặc hệ thống<br /> trái phép, đặc biệt trong mạng có lưu lượng dữ giám sát. Để nghiên cứu, cho ra đời các giải pháp,<br /> liệu lớn. Hiện tại, bộ dữ liệu của DARPA vẫn công nghệ về IDS, IPS, IDP... rất cần thiết phải có<br /> đang được các nhà khoa học sử dụng trong nghiên các bộ dữ liệu mẫu về xâm nhập trái phép để thực<br /> cứu phát hiện xâm nhập trái phép, tuy nhiên bộ hiện việc huấn luyện và kiểm thử.<br /> dữ liệu DARPA không ở dạng Netflow. Mục tiêu<br /> của bài báo này trình bày một phương thức xây Netflow là một giao thức do hãng Cisco phát triển<br /> dựng bộ dữ liệu dạng Netflow từ nguồn dữ liệu vào những năm 1996, được phát triển thành một<br /> DARPA; và ứng dụng bộ dữ liệu này trong phát công nghệ giám sát lưu lượng mạng.<br /> hiện xâm nhập trái phép bằng phương pháp học<br /> Hiện nay, Netflow đã được xây dựng thành tiêu<br /> máy. Bộ dữ liệu này có thể được sử dụng rộng rãi<br /> chuẩn và sử dụng hầu hết trong các thiết bị mạng<br /> trong nghiên cứu phát hiện xâm nhập trái phép<br /> Router của Cisco, Juniper, Extreme, Habour...<br /> dựa trên Netflow.<br /> Netflow đã được phát triển qua nhiều phiên bản:<br /> Từ khóa: Bộ dữ liệu (dataset), Naïve Bayes, version 1 đến version 10; trong đó thông dụng<br /> Netflow, phát hiện xâm nhập trái phép (IDS). 1 nhất hiện nay là version 5, version 7 và version 9.<br /> Netflow cho phép thực hiện giám sát, phân tích,<br /> tính toán lưu lượng gói. Một trong các ưu điểm<br /> I. GIỚI THIỆU<br /> của Netflow so với các giao thức khác là nó cho<br /> Ngày nay, mạng máy tính thường xuyên là các phép định danh và phân loại những loại tấn công<br /> mục tiêu tấn công của tin tặc nhằm mục đích ăn như DoS, DDoS, Worm... theo thời gian thực dựa<br /> cắp dữ liệu bí mật quan trọng của tổ chức hoặc vào những sự hành vi thay đổi bất thường trong<br /> Tác giả liên hệ: Nguyễn Hoàng Giang, mạng, đặc biệt trong mạng có lưu lượng lớn. Do<br /> email: giangnh@customs.gov.vn. vậy, việc xây dựng một bộ dữ liệu Dataset dạng<br /> Đến tòa soạn: 28/3/2016, chỉnh sửa: 08/5/2016, chấp Netflow là cần thiết để có thể tận dụng được hết<br /> nhận đăng: 30/5/2016. các ưu điểm của giao thức này.<br /> <br /> Số 1 năm 2016<br /> Tạp chí KHOA HỌC CÔNG NGHỆ 17<br /> THÔNG TIN VÀ TRUYỀN THÔNG<br /> BỘ DỮ LIỆU DẠNG NETFLOW DÙNG TRONG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP VÀ ỨNG DỤNG<br /> <br /> Bảng I. Tổng hợp tập dữ liệu các bộ dữ liệu này tồn tại ở<br /> trong các nghiên cứu về IDS dựa trên thống kê dạng Tcpdump, không phải ở<br /> dạng Netflow nên không ứng<br /> Năm Định dạng Tập dữ liệu Phương pháp thực<br /> Tác giả<br /> công bố dữ liệu sử dụng hiện dụng được trong nghiên cứu<br /> Eskin 2000 Packet-based DARPA99 Probability Model<br /> về IDS trên Netflow. Các bộ<br /> dữ liệu ở dạng Netflow rất ít,<br /> Manikopoulos and Statistical model with<br /> Papavassilou<br /> ...