1. Trang Chủ
  2. An ninh - Bảo mật
  3. Bộ dữ liệu dạng Netflow dùng trong phát hiện xâm nhập trái phép và ứng dụng

Bộ dữ liệu dạng Netflow dùng trong phát hiện xâm nhập trái phép và ứng dụng

Mục tiêu của bài viết này trình bày một phương thức xây dựng bộ dữ liệu dạng Netflow từ nguồn dữ liệu DARPA; và ứng dụng bộ dữ liệu này trong phát hiện xâm nhập trái phép bằng phương pháp học máy. Nguyễn Hoàng Giang, Trần Quang Anh BỘ DỮ LIỆU DẠNG NETFLOW DÙNG TRONG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP VÀ ỨNG DỤNG Nguyễn Hoàng Giang*, Trần Quang Anh+ *Cục Công nghệ thông tin & Thống kê Hải quan + Học Viện Công Nghệ Bưu Chính Viễn Thông Tóm tắt: Các bộ dữ liệu mẫu về xâm nhập trái làm dừng hệ thống cung

Thể loại Tài liệu miễn phí An ninh - Bảo mật

Số trang 12

Ngày tạo 9/16/2019 10:39:12 AM +00:00

Loại tệp PDF

Kích thước 1.65 M

Tên tệp

Tải Bộ dữ liệu dạng Netflow dùng trong phát hiện xâm n... (.pdf)

Xem mẫu

  1. Nguyễn Hoàng Giang, Trần Quang Anh BỘ DỮ LIỆU DẠNG NETFLOW DÙNG TRONG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP VÀ ỨNG DỤNG Nguyễn Hoàng Giang*, Trần Quang Anh+ *Cục Công nghệ thông tin & Thống kê Hải quan + Học Viện Công Nghệ Bưu Chính Viễn Thông Tóm tắt: Các bộ dữ liệu mẫu về xâm nhập trái làm dừng hệ thống cung cấp dịch vụ của tổ chức. phép trong mạng máy tính hiện đã và đang được Để phát hiện và ngăn chặn các cuộc tấn công này, ứng dụng rất rộng rãi trong việc nghiên cứu phát có rất nhiều các giải pháp phần cứng cũng như hiện xâm nhập mạng trái phép. Trên thế giới đã có phần mềm ra đời. Các giải pháp đó có thể là IDS nhiều bộ dữ liệu khác nhau, mỗi bộ dữ liệu có ưu, (Intrusion Detection Systems), IPS (Intrusion nhược điểm khác nhau. Bộ dữ liệu dạng Netflow Prevention Systems), IDP (Intrusion Detection có nhiều ưu điểm trong việc phát hiện xâm nhập Prevention Systems), Firewall, hoặc hệ thống trái phép, đặc biệt trong mạng có lưu lượng dữ giám sát. Để nghiên cứu, cho ra đời các giải pháp, liệu lớn. Hiện tại, bộ dữ liệu của DARPA vẫn công nghệ về IDS, IPS, IDP... rất cần thiết phải có đang được các nhà khoa học sử dụng trong nghiên các bộ dữ liệu mẫu về xâm nhập trái phép để thực cứu phát hiện xâm nhập trái phép, tuy nhiên bộ hiện việc huấn luyện và kiểm thử. dữ liệu DARPA không ở dạng Netflow. Mục tiêu của bài báo này trình bày một phương thức xây Netflow là một giao thức do hãng Cisco phát triển dựng bộ dữ liệu dạng Netflow từ nguồn dữ liệu vào những năm 1996, được phát triển thành một DARPA; và ứng dụng bộ dữ liệu này trong phát công nghệ giám sát lưu lượng mạng. hiện xâm nhập trái phép bằng phương pháp học Hiện nay, Netflow đã được xây dựng thành tiêu máy. Bộ dữ liệu này có thể được sử dụng rộng rãi chuẩn và sử dụng hầu hết trong các thiết bị mạng trong nghiên cứu phát hiện xâm nhập trái phép Router của Cisco, Juniper, Extreme, Habour... dựa trên Netflow. Netflow đã được phát triển qua nhiều phiên bản: Từ khóa: Bộ dữ liệu (dataset), Naïve Bayes, version 1 đến version 10; trong đó thông dụng Netflow, phát hiện xâm nhập trái phép (IDS). 1 nhất hiện nay là version 5, version 7 và version 9. Netflow cho phép thực hiện giám sát, phân tích, tính toán lưu lượng gói. Một trong các ưu điểm I. GIỚI THIỆU của Netflow so với các giao thức khác là nó cho Ngày nay, mạng máy tính thường xuyên là các phép định danh và phân loại những loại tấn công mục tiêu tấn công của tin tặc nhằm mục đích ăn như DoS, DDoS, Worm... theo thời gian thực dựa cắp dữ liệu bí mật quan trọng của tổ chức hoặc vào những sự hành vi thay đổi bất thường trong Tác giả liên hệ: Nguyễn Hoàng Giang, mạng, đặc biệt trong mạng có lưu lượng lớn. Do email: giangnh@customs.gov.vn. vậy, việc xây dựng một bộ dữ liệu Dataset dạng Đến tòa soạn: 28/3/2016, chỉnh sửa: 08/5/2016, chấp Netflow là cần thiết để có thể tận dụng được hết nhận đăng: 30/5/2016. các ưu điểm của giao thức này. Số 1 năm 2016 Tạp chí KHOA HỌC CÔNG NGHỆ 17 THÔNG TIN VÀ TRUYỀN THÔNG
  2. BỘ DỮ LIỆU DẠNG NETFLOW DÙNG TRONG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP VÀ ỨNG DỤNG Bảng I. Tổng hợp tập dữ liệu các bộ dữ liệu này tồn tại ở trong các nghiên cứu về IDS dựa trên thống kê dạng Tcpdump, không phải ở dạng Netflow nên không ứng Năm Định dạng Tập dữ liệu Phương pháp thực Tác giả công bố dữ liệu sử dụng hiện dụng được trong nghiên cứu Eskin 2000 Packet-based DARPA99 Probability Model về IDS trên Netflow. Các bộ dữ liệu ở dạng Netflow rất ít, Manikopoulos and Statistical model with Papavassilou 2002 Packet-based Real-life neural network nếu có thì hoặc không đầy đủ (như bộ UT) hoặc chưa hoàn Mahoney and Chan 2003 Packet-based DARPA99 LERAD algorithm chỉnh (như bộ dữ liệu được Chan et al 2003 Packet-based DARPA99 Learning rules công bố [8], chỉ xây dựng Payload-based bộ dữ liệu Netflow cho một Wang and Stolfo 2004 Packet-based DARPA99 algorithm loại tấn công). Theo tổng hợp Gaussian mixture [11], các công trình nghiên Song et al 2007 Packet-based KDDCUP99 model cứu về IDS sử dụng phương Chhabra et al 2008 Packet-based Real-time FDR method pháp học máy (học máy dựa Packet-based trên thống kê và học máy dựa Lu and Ghorbani 2009 DARPA99 Wavelet analysis & Flow-based trên phân loại được trình bày Wattenberg et al 2011 Packet-based Real-time GLRT model trong Bảng I và II) hiện nay phần lớn đều sử dụng định Yu 2012 Packet-based Real-time Adaptive CUSUM dạng dữ liệu là Packet-based. Bảng II. Tổng hợp tập dữ liệu trong các nghiên cứu về IDS dựa trên phân loại Điều này có nghĩa là hiện nay chưa có, hoặc có rất ít các bộ Tác giả Năm Định dạng Tập dữ liệu Phương pháp dữ liệu định dạng Netflow công bố dữ liệu sử dụng thực hiện được công bố để phục vụ mục Tong et al 2005 Packet- DARPA99, TCPSTAT KPCC model đích nghiên cứu về IDS. based Gaddam et al 2007 Packet- NAD, DED, MSD K-means + ID3 Trên cơ sở những phân tích, based lập luận trên, nhóm tác giả Packet- Khan et al 2007 based DARPA98 DGSOT + SVM đã xác định mục tiêu của bài Packet- báo này là thực hiện xây dựng Das et al 2008 KDDCUP99 APD algorithm based một bộ dữ liệu dạng Netflow Lu and Tong 2009 Packet- DARPA99 CUSUM – EM hoàn chỉnh trên cơ sở bộ dữ based liệu DARPA nổi tiếng và ứng Quadeer et al 2010 Packet- Real-time Traffic statistics dụng trong phát hiện xâm based nhập trái phép. Wagner et al 2011 Flow-based Flow Traces Kernel OCSVM Phần còn lại của bài báo Muda et al 2011 Other KDDCUP99 KMNB algorithm được chia thành các mục sau: Kang et al 2012 Packet- DARPA98 Differentiated SVĐ Mục II giới thiệu các bộ dữ based liệu hiện có đã được công bố rộng rãi; Mục III trình bày Để xây dựng được một bộ dữ liệu phục vụ cho nghiên cứu đòi hỏi phải về phương pháp và quá trình thực hiện rất nghiêm túc và tốn thời gian. Đó là phải thiết lập được xây dựng bộ dữ liệu; Mục IV môi trường mạng, cài đặt phần mềm, có hiểu biết và biết sử dụng thực hiện mô tả về các bộ dữ các công cụ để thực hiện tấn công thực tế, bắt giữ và đánh nhãn gói liệu đã xây dựng được; Mục tin trên mạng để hình thành bộ dữ liệu. Trên thế giới hiện nay tồn tại V trình bày về ứng dụng của một số bộ dữ liệu nổi tiếng như DARPA, KDD-99, ISCX... Tuy vậy, bộ dữ liệu trong phương pháp Tạp chí KHOA HỌC CÔNG NGHỆ 18 THÔNG TIN VÀ TRUYỀN THÔNG Số 1 năm 2016
  3. Nguyễn Hoàng Giang, Trần Quang Anh học máy để phát hiện xâm nhập trái phép đối với Bảng III. Các nhóm xâm nhập trái phép trong dữ liệu DARPA một loại xâm nhập; cuối cùng là phần kết luận và Nhóm Tên loại tấn công hướng nghiên cứu trong tương lai. R2L Dictionary, Ftpwrite, Guest, Httptunnel, Imap, Named, ncftp, netbus, netcat, Phf, ppmacro, Sendmail, II. CÁC BỘ DỮ LIỆU DÙNG TRONG PHÁT sshtrojan, Xlock, Xsnoop HIỆN XÂM NHẬP TRÁI PHÉP U2R anypw, casesen, Eject, Ffbconfig, Fdformat, Loadmodule, ntfsdos, Perl, Ps, sechole, Xterm, yaga A. Dữ liệu DARPA DoS Apache2, arppoison, Back, Crashiis, dosnuke, Land, Mailbomb, SYN Flood (Neptune), Ping of Death (POD), Bộ dữ liệu DARPA hình thành do Cục dự án Process table, selfping, Smurf, sshprocesstable, Syslogd, nghiên cứu cao cấp Bộ quốc phòng Mỹ (Defense tcpreset, Teardrop, UDPstorm Advanced Research Project Agency) tài trợ đề tài Probe insidesniffer, Ipsweep, ls_domain, Mscan, NTinfoscan, xây dựng cơ sở dữ liệu mẫ xâm nhập trái phép tại Nmap, queso, resetscan, Saint, Satan Phòng thí nghiệm Lincoln, Đại học MIT [1]. Để xây dựng tập dữ liệu này, các nhà khoa học đã lấy Nhược điểm lớn nhất của bộ dữ liệu DARPA là dữ liệu của một mạng quân sự Mỹ khi hoạt động được thu thập và lưu giữ ở dạng Tcpdump, có bình thường làm dữ liệu bình thường; sau đó đưa kích thước lớn. thêm các dữ liệu xâm nhập trái phép vào trong tập dữ liệu đó. Cách làm trên cho phép biết được B. Dữ liệu KDD-99 chắc chắn đâu là dữ liệu bình thường, đâu là dữ Như đã đề cập ở Mục II.A, dữ liệu DARPA do lưu liệu xâm nhập trái phép. ở dạng Tcpdump. Nên để có thể sử dụng để đánh giá các phương pháp, thuật toán, dữ liệu này cần Mỗi dữ liệu của DARPA bao gồm dữ liệu mạng thông qua một quá trình xử lý ban đầu, bao gồm: và dữ liệu máy chủ tương ứng. Dữ liệu mạng Định nghĩa các sự kiện, lựa chọn đặc trưng của các được thu thập và lưu trữ ở dạng Tcpdump. Dữ sự kiện, sau đó trích rút đặc trưng và lưu các dự liệu máy chủ được lưu giữ ở dạng BSM (Basic kiện dưới dạng các vector. Như vậy, các phương Security Module). Tập dữ liệu bao gồm dữ liệu pháp xử lý ban đầu khác nhau có thể cho các định thu thập trong vòng 5 tuần. Đi kèm với dữ liệu là nghĩa khác nhau về sự kiện hay các đặc trưng tài liệu mô tả dữ liệu khá chi tiết, bao gồm loại khác nhau, từ đó dẫn đến khó khăn trong việc so xâm nhập, thời gian bắt đầu, thời gian kết kết, địa sánh, phân tích các thuật toán xâm nhập trái phép. chỉ máy tấn công, địa chỉ máy bị tấn công đối với Vì thế, với sự tài trợ của DARPA, hội nghị về mỗi sự kiện xâm nhập trái phép. Toàn bộ dữ liệu khai pháp dữ liệu và phát triển tri thức năm 1999 có kích thước khoảng 10Gb, trong đó gồm 54 loại (Knowledge Discovery and Data Mining 1999 – xâm nhập được phân làm 4 nhóm: R2L (Remote viết tắt là KDD -99) đã thực hiện quá trình xử lý to Local – là nhóm các xâm nhập cho phép kẻ tấn ban đầu đối với tập dữ liệu của Darpa và cho ra công từ xa lấy được quyền của người dung máy tập dữ liệu KDD-99 [2]. Dữ liệu KDD-99 đã định chủ), U2R (User to Root – là nhóm các xâm nhập nghĩa sự kiện dựa trên nền tảng của kết nối TCP/ cho phép người dùng bình thường trên máy chủ IP: Mỗi sự kiện bao gồm các hoạt động mạng sinh có thể đoạt quyền quản trị root), DoS (Denial of ra khi một máy chủ kết nối với một máy chủ khác, và các hoạt động bên trong máy chủ bị kết nối đó Service – là nhóm tấn công từ chối dịch vụ, phá trong thời gian kết nối. hoạt tính sẵn sàng của hệ thống), Probe (là nhóm tấn công do thám, ảnh hưởng đến tính bảo mật Tập dữ liệu KDD-99 được phân thành hai tập của hệ thống, đồng thời cung cấp các thông tin dữ liệu: Tập dữ liệu huấn luyện và tập dữ liệu cần thiết để tiến hành các bước tấn công tiếp theo. thử nghiệm. các nhóm dữ liệu trong tập dữ liệu Các hình thức xâm nhập trái phép được thể hiện KDD-99 giống như trong bảng I, ngoài ra còn trong bảng sau: thêm nhóm dữ liệu NORMAL là các dữ liệu Số 1 năm 2016 Tạp chí KHOA HỌC CÔNG NGHỆ 19 THÔNG TIN VÀ TRUYỀN THÔNG
  4. BỘ DỮ LIỆU DẠNG NETFLOW DÙNG TRONG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP VÀ ỨNG DỤNG bình thường. Phân bố dữ liệu theo trong khoảng thời gian 2 giây; Phần thứ tư (từ đặc trưng 32 đến nhóm trong tập dữ liệu KDD-99 41) là các đặc trưng về lưu lượng trong khoảng thời gian 256 được trình bày trong bảng sau. giây. Bảng IV. Phân bố dữ liệu theo nhóm trong tập huấn luyện C. Dữ liệu ISCX Phần trăm Information Security Centre of Excellence (ISCX) là một trung Nhóm Số lượng )%( tâm nghiên cứu về an toàn thông tin của trường đại học New R2L 1.126 0.023 Brunswick (UNB) – Canada. Xuất phát từ yêu cầu nghiên cứu U2R 52 0.001 hệ thống IDS đòi hỏi phải có một bộ Dataset chính xác, đầy đủ, DoS 3.883.370 79.278 ISCX đã xây dựng một mô hình mạng, mô phỏng các cuộc tấn Probe 4.102 0.839 công trong mạng dựa trên các giao thức HTTP, SMTP, SSH, NORMAL 972.781 19.859 IMAP, POP3 và FTP. Những luồng dữ liệu thông thường và bất thường được bắt giữ và được đánh dấu. Bộ dữ liệu này Bảng V. Phân bố dữ liệu theo nhóm đã được giới thiệu bởi Ali Shiravi, Hadi Shiravi, Mahbod trong tập thử nghiệm Tavallaee, Ali A. Ghorbani tại bài báo “Toward developing a systematic approach to generate benchmark datasets for Phần trăm intrusion detection, Computers & Security, Volume 31, Issue Nhóm Số lượng )%( 3, May 2012, Pages 357 -374, ISSN 0167-4048, 10.1016/j. R2L 14.745 4.738 cose.2011.12.012.(http://www.sciencedirect.com/science/ U2R 246 0.079 article/pii/S0167404811001672). DoS 231.455 74.374 Probe 14.166 1.339 Bộ dữ liệu UNB ISCX 2012 IDS [9] bao gồm dữ liệu thu thập NORMAL 60.593 19.47 trong vòng 7 ngày, gồm cả dữ liệu thông thường và bất thường, cụ thể: Theo các bảng nêu trên, chúng ta Bảng VI. Bộ dữ liệu ISCX để ý thấy số lượng cũng như tỷ lệ % của nhóm xâm nhập DoS và Kích thước dữ Thứ Ngày Mô tả liệu (GB) Probe rất lớn. Điều này không có 6 11/6/2010 Dữ liệu thông thường 16.1 nghĩa là các nhóm DoS và Probe 7 12/6/2010 Dữ liệu thông thường 4.22 xảy ra nhiều mà là do KDD- Infiltrating the network from inside và 99 định nghĩa sự kiện dựa trên Chủ nhật 13/6/2010 dữ liệu thông thường 3.95 kết nối TCP/IP. Thông thường HTTP Denial of Service và dữ liệu mối đợt tấn công DoS và Probe 2 14/6/2010 thông thường 6.85 thường sinh ra rất nhiều kết nối, Distributed Denial of Service using an 3 15/6/2010 23.4 vì vậy trong tập dữ liệu KDD-99 IRC Botnet mỗi kết nối TCP/IP được xem như 4 16/6/2010 Dữ liệu thông thường 17.6 một sự kiện. 5 17/6/2010 Brute Force SSH và dữ liệu thông 12.3 thường Mỗi dữ liệu trong KDD-99 được trích rút thành 41 đặc trưng, gồm Bộ dữ liệu ISCX cũng ở dạng Tcpdump. 4 phần: Phần thứ nhất (từ đặc trưng 1 đến 9) là các đặc trưng cơ D. Dữ liệu UT bản của kết nối TCP/IP; Phần thứ Tập dữ liệu UT là tập do nhóm nghiên cứu tại đại học Twente hai (từ đặc trưng 10 đến 22) là các của Hà Lan xây dựng theo dạng Netflow [3]. Tập dữ liệu này đặc trưng của máy chủ bị kết nối; được xây dựng bằng phương pháp thu thập dữ liệu xâm nhập Phần thứ ba (từ đặc trưng 23 đến trái phép thực tế trên nguyên lý Honeypot. Nhóm nghiên cứu đã 31) là các đặc trưng về lưu lượng xây dựng một Honeypot – một mạng máy tính không có người Tạp chí KHOA HỌC CÔNG NGHỆ 20 THÔNG TIN VÀ TRUYỀN THÔNG Số 1 năm 2016
  5. Nguyễn Hoàng Giang, Trần Quang Anh sử dụng; như vậy nếu có lưu lượng mạng phát Dữ liệu này được truyền đến Module Netflow sinh thì đó chính là lưu lượng xâm nhập. exporter. Module Netflow exporter thực hiện đọc dữ liệu Tcpdump, sau đó trích rút ra các flow, tạo ra Đây là dữ liệu theo dạng Netflow, tuy nhiên khi các gói tin theo chuẩn Netflow (v5, v7, v9) và gửi so sánh với tập dữ liệu của DARPA và KDD-99, đến Module Netflow collector. Module Netflow dữ liệu UT có một số vấn đề: collector thu thập các gói tin Netflow và lưu dữ - Trong tập dữ liệu UT không có dữ liệu bình liệu Netflow này vào bộ nhớ (ổ cứng). Module thường; Netflow reader sẽ đọc các dữ liệu Netflow từ bộ nhớ và hiển thị theo yêu cầu của người dùng. Sau - Các dữ liệu xâm nhập trái phép được xây dựng tự động bởi Honeypot (trong khi các dữ đó, nhóm tác giả sẽ căn cứ vào tài liệu mô tả các liệu DARPA và KDD-99 được xây dựng bởi cuộc tấn công trái phép của DARPA để tiến hành các chuyên gia về an ninh mạng); đánh nhãn bằng tay các flow xâm nhập trái phép và các flow bình thường. Sau quá trình này, chúng - Các dữ liệu xâm nhập trái phép chỉ có một ta đã thu thập được bộ dữ liệu dạng Netflow đầy loại duy nhất là dữ liệu bất thường. đủ từ bộ dữ liệu DARPA. III. XÂY DỰNG BỘ DỮ LIỆU DẠNG NETFLOW B. Quá trình thực hiện DÙNG TRONG IDS Dữ liệu đầu vào của hệ thống chuyển đổi chính là A. Phương pháp xây dựng các file dữ liệu Tcpdump (inside.Tcpdump) trong tập dữ liệu DARPA. Dữ liệu Tcpdump này được Nhóm tác giả đã thực hiện chuyển đổi dữ liệu thu thập bằng cách bắt các gói tin trong mạng DARPA thành dữ liệu dạng Netflow theo sơ đồ nội bộ (mạng mô phỏng xâm nhập trái phép như Hình 1. DARPA). Về lý thuyết, nó bao gồm toàn bộ lưu Tcpdump lượng mạng đến và đi từ tất cả máy chủ bên trong files DARPA IDS Data (xxx.inside.tcpdump) mạng. Tuy nhiên, do có sự cố trong quá trình thực hiện nên không có dữ liệu Tcpdump của ngày Thứ 3 (Tuesday) của Tuần 4. Netflow Softflowd- exporter 0.9.9 software Netflow Flowd-0.9.1 Collector software Netflow Flowd-0.9.1 reader software Hình 2. Sơ đồ mạng mô phỏng xâm nhập trái phép DARPA (Phần inside là phần phía tay phải, dải mạng 172.16.0.0) [1] Flow Manually labelling (Thủ công) Module Netflow exporter được xây dựng dựa trên phần mềm nguồn mở Softflowd phiên bản 0.9.9 Hình 1. Sơ đồ chuyển đổi từ dữ liệu Tcpdump sang Netflow [4]. Sau khi cài đặt và chạy, Softflowd đọc file dữ liệu ở dạng Tcpdump, sau đó sinh ra các gói tin Dữ liệu đầu vào của bộ chuyển đổi này là dữ liệu Netflow theo version thiết lập. Ở đây, chúng tôi ở định dạng Tcpdump (bộ dữ liệu của DARPA). sử dụng phiên bản version 9, đây là phiên bản mới Số 1 năm 2016 Tạp chí KHOA HỌC CÔNG NGHỆ 21 THÔNG TIN VÀ TRUYỀN THÔNG
  6. BỘ DỮ LIỆU DẠNG NETFLOW DÙNG TRONG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP VÀ ỨNG DỤNG nhất hiện nay mà Cisco công bố. Khi chạy phần của các máy chủ victim bị tấn công, nên trong dữ mềm softflowd, nảy sinh một vấn đề đó chính là liệu inside.Tcpdump thu thập được chứa đựng tất thời gian bắt đầu và thời gian kết thúc của flow cả các luồng dữ liệu đến, đi các máy chủ victim. thu thập được lại chính là thời gian tham chiếu Để thuận tiện cho việc thao tác đối với dữ liệu tới thời gian hiện tại của máy chủ cài đặt phần của từng máy chủ victim, cũng như thuận tiện mềm softflowd, chứ không phải thời điểm năm cho việc đánh nhãn sau này, chúng tôi thực hiện 1999 khi dữ liệu Tcpdump được thu thập. Điều chỉnh sửa đoạn mã cấu hình trong file cấu hình này dẫn đến sai số về timestamp khi thu thập các file Netflow, mà vấn đề thời gian là vấn đề rất của phần mềm Flowd để thực hiện thu thập dữ quan trọng đối với phương pháp chuyển đổi này, liệu Netflow cho từng máy chủ victim. Kết quả, vì từ nhãn thời gian mới có thể đánh nhãn thủ chúng tôi đã thu thập được 4 bộ dữ liệu Netflow công các xâm nhập trái phép đã được công bố cho 4 máy chủ victim là pascal (172.16.112.50), bởi DARPA. Để giải quyết vấn đề này, chúng tôi zeno (172.16.113.50), marx (172.16.114.50) và đã phải tham chiếu lại thời gian thực hiện của hume (172.16.112.100). DARPA, thiết lập giờ của máy chủ về thời điểm Bước cuối cùng, chúng tôi đã thực hiện đánh dấu năm 1999 gần thời điểm DARPA thực hiện thu bằng phương pháp thủ công các flow xâm nhập thập dữ liệu. Tuy vậy, vẫn còn sai số trong thu trái phép dựa theo tài liệu công bố, mô tả của thập thời gian bắt đầu, thời gian kết thúc. Việc DARPA. Quá trình đánh dấu thực hiện dựa trên này lại phải thực hiện hiệu chỉnh bằng tay, với độ thời gian bắt đầu, thời gian kết thúc, địa chỉ IP chính xác đến từng giây. nguồn, địa chỉ IP đích, cổng dịch vụ đích. Việc Module Netflow collector được xây dựng dựa đánh dấu cho các luồng dữ liệu khá dễ dàng bằng trên phần mềm mã nguồn mở Flowd phiên bản việc sử dụng tài liệu mô tả của DARPA kết hợp 0.9.1 [4]. Module này thu thập các flow và lưu trữ các công cụ lọc (filter) theo từng thuộc tính (địa trong bộ nhớ (ổ cứng) để sử dụng cho các bước chỉ IP đích, cổng dịch vụ đích); hơn nữa các flow tiếp theo. dữ liệu thuộc mỗi loại tấn công thường liên tục và có dấu hiệu tương đối giống nhau. Chính vì vậy, Module Netflow reader là một cấu phần nằm việc đánh dấu cho các luồng dữ liệu rất nhanh và trong bộ phần mềm mã nguồn mở Flowd. Module có độ chính xác cao. Chỉ có một số rất ít trường này có nhiệm vụ đọc dữ liệu mà Module Flowd hợp do nhiều lý do khách quan (sai lệch thời gian đã thu thập và lưu trữ trong bộ nhớ. Nó thực hiện milisecond trong quá trình chuyển đổi) và chủ đọc các trường trong Netflow. Mặc dù Netflow quan (do ghi nhận chưa chính xác trong tài liệu có rất nhiều trường, tuy nhiên, chúng ta quan tâm mô tả của DARPA), chúng tôi nhận thấy có một tới một số trường quan trọng, được sử dụng trong số chỗ không thống nhất về thời gian nhãn tấn phát hiện xâm nhập trái phép. Bao gồm: công. Lưu ý: một cuộc tấn công có thể bao gồm nhiều flow, nhưng mỗi flow chỉ thuộc về một - Source IP, source port; cuộc tấn công nhất định. Đó chính là cơ sở để có - Destination IP, destination port; thể đánh dấu các flow là xâm nhập trái phép hay - Protocol, flag; bình thường. - Packets; Octets; C. Kết quả chuyển đổi và so sánh với tập dữ liệu gốc - Flow-start, flow-finish. Bảng sau sẽ thực hiện so sánh một số thông số Vì bộ sniffer thu thập dữ liệu DARPA đặt trong giữa bộ dữ liệu gốc dạng Tcpdump và bộ dữ liệu cùng dải mạng có nhiệm vụ thu thập thông tin chuyển đổi Netflow: Tạp chí KHOA HỌC CÔNG NGHỆ 22 THÔNG TIN VÀ TRUYỀN THÔNG Số 1 năm 2016
  7. Nguyễn Hoàng Giang, Trần Quang Anh Bảng VI. Bảng so sánh thông số của 02 bộ dữ liệu A. Bộ dữ liệu cho máy chủ pascal Bảng VII. Các thông số cơ bản )Kích thước file (byte Số lượng của bộ dữ liệu Netflow máy chủ Pascal Số lượng Packets Tuần Flow trong trong Mô tả Giá trị Tcpdump Netflow Netflow Tcpdump Kích thức dữ liệu DARPA ở dạng Xấp xỉ Tcpdump 10Gb Week1 1.929.080.092 160.344.163 7.810.861 342.837 Số lượng flow đến máy chủ Pascal 170.153 Week2 1.613.234.838 193.322.991 7.199.540 394.623 Số lượng flow tấn công vào máy chủ 29.416 Pascal Week3 2.215.279.595 165.561.281 8.912.974 316.613 Số lượng flow bình thường vào máy chủ 140.737 Week4 1.571.862.354 134.873.898 7.655.034 310.053 Pascal Số lượng flow kết nối vào cổng dịch vụ Week5 3.413.554.375 299.771.599 14.299.343 511.289 649 ftp của máy chủ Pascal Tổng Số lượng flow tấn công vào cổng dịch 10.743.011.254 953.873.932 45.877.752 1.875.415 70 cộng vụ ftp của máy chủ Pascal Từ bảng so sánh một số thông số của hai bộ dữ liệu Số lượng flow kết nối bình thường vào 579 cổng dịch vụ ftp của máy chủ Pascal (Tcpdump và Netflow), chúng ta có thể nhận thấy: Số lượng flow kết nối vào cổng dịch vụ - Kích thước bộ dữ liệu Netflow giảm đi rất nhiều lần so 22 của máy chủ Pascal 763 với kích thước bộ dữ liệu Tcpdump (khoảng 1/10 lần); Số lượng flow tấn công vào cổng dịch 239 - Số lượng dữ liệu cần xử lý của bộ dữ liệu Netflow cũng vụ 22 của máy chủ Pascal giảm hơn rất nhiều lần so với bộ dữ liệu Tcpdump, Số lượng flow kết nối bình thường vào 3.176 cụ thể chỉ khoảng 1.875.415 flows so với 45.877.752 cổng dịch vụ 22 của máy chủ Pascal packets (tức là giảm còn khoảng 1/20 lần); Số lượng flow kết nối vào cổng dịch vụ 3.246 23 của máy chủ Pascal - Số lượng các trường dữ liệu trong một flow cũng ít hơn nhiều so với các trường dữ liệu trong một packet. Số lượng flow tấn công vào cổng dịch 70 vụ 23 của máy chủ Pascal Do đó, việc thao tác, xử lý dữ liệu trên bộ dữ liệu Netflow Số lượng flow kết nối bình thường vào này bằng phương pháp học máy sẽ dễ dàng, nhanh chóng cổng dịch vụ 23 của máy chủ Pascal 3.176 hơn nhiều so với trên bộ dữ liệu Tcpdump. Chính vì thế, Số lượng flow kết nối vào cổng dịch vụ dữ liệu Netflow sẽ phù hợp hơn trong các mạng máy tính 25 của máy chủ Pascal 3.145 có lưu lượng lớn, đòi hỏi thời gian xử lý nhanh. Số lượng flow tấn công vào cổng dịch 1.176 vụ 25 của máy chủ Pascal IV. MÔ TẢ CÁC TẬP DỮ LIỆU NETFLOW DARPA Số lượng flow kết nối bình thường vào 1.969 cổng dịch vụ 25 của máy chủ Pascal Như đã đề cập ở Mục III.B, chúng tôi đã thu thập và phân tách được 4 bộ dữ liệu Netflow tương ứng với 4 máy chủ Số lượng flow kết nối vào cổng dịch vụ 130.787 victim. Trong phạm vi bài báo này, chúng tôi trình bày khác của máy chủ Pascal thông số cơ bản của từng bộ dữ liệu Netflow của các máy Số lượng flow tấn công vào cổng dịch 2.065 chủ Pascal (172.16.112.50), zeno (172.16.113.50), marx vụ khác của máy chủ Pascal (172.16.114.50) và hume (172.16.112.100), được trình Số lượng flow kết nối bình thường vào 128.722 bày chi tiết như sau: cổng dịch vụ khác của máy chủ Pascal Số 1 năm 2016 Tạp chí KHOA HỌC CÔNG NGHỆ 23 THÔNG TIN VÀ TRUYỀN THÔNG
  8. BỘ DỮ LIỆU DẠNG NETFLOW DÙNG TRONG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP VÀ ỨNG DỤNG Bảng VIII. Số lượng tấn công từ từng máy chủ Mô tả Giá trị Số lượng flow tấn công vào cổng dịch vụ 22 của Máy chủ Số lượng tấn công 56 máy chủ Marx Số lượng flow kết nối bình thường vào cổng dịch 206.47.98.151 501 227 vụ 22 của máy chủ Marx Số lượng flow kết nối vào cổng dịch vụ 23 của 10.20.30.40 20.480 1.626 máy chủ Marx Số lượng flow tấn công vào cổng dịch vụ 23 của Mạng [209.X.Y.Z] 5.108 65 máy chủ Marx Số lượng flow kết nối bình thường vào cổng dịch Mạng [172.16.X.Y] 539 1.561 vụ 23 của máy chủ Marx Số lượng flow kết nối vào cổng dịch vụ 25 của Khác 2.788 1.889 máy chủ Marx Số lượng flow tấn công vào cổng dịch vụ 25 của Bảng IX. Số lượng tấn công theo các cổng đích 561 máy chủ Marx Số lượng flow kết nối bình thường vào cổng dịch Cổng Số lượng tấn công 1.328 vụ 25 của máy chủ Marx Số lượng flow kết nối vào cổng dịch vụ 80 của 0 1.997 32.379 máy chủ Marx 25 1.176 Số lượng flow tấn công vào cổng dịch vụ 80 của 2.030 máy chủ Marx 22 524 Số lượng flow kết nối bình thường vào cổng dịch 30.349 vụ 80 của máy chủ Marx 23 70 Số lượng flow kết nối vào cổng dịch vụ khác của 146.715 20 36 máy chủ Marx Số lượng flow tấn công vào cổng dịch vụ khác của 86.814 21 34 máy chủ Marx Số lượng flow kết nối bình thường vào cổng dịch 80 28 59.901 vụ khác của máy chủ Marx 53 24 Bảng XI. Số lượng tấn công từ từng máy chủ 110 21 Máy chủ Số lượng tấn công Các cổng khác 25.506 10.20.30.40 40.960 B. Bộ dữ liệu cho máy chủ Marx Mạng [172.16.X.Y] 12.238 Bảng X. Các thông số cơ bản Khác 36.633 của bộ dữ liệu Netflow máy chủ Marx Mô tả Giá trị Bảng XII. Số lượng tấn công theo các cổng đích Xấp xỉ Cổng Số lượng tấn công Kích thức dữ liệu DARPA ở dạng Tcpdump 10Gb 0 433 Số lượng flow đến máy chủ Marx 184.050 25 561 Số lượng flow tấn công vào máy chủ Marx 89.830 22 56 Số lượng flow bình thường vào máy chủ Marx 94.220 23 65 Số lượng flow kết nối vào cổng dịch vụ ftp của 561 20 59 máy chủ Marx Số lượng flow tấn công vào cổng dịch vụ ftp của 21 58 117 máy chủ Marx 80 2.030 Số lượng flow kết nối bình thường vào cổng dịch 53 61 444 vụ ftp của máy chủ Marx 110 55 Số lượng flow kết nối vào cổng dịch vụ 22 của 283 Các cổng khác 86.452 máy chủ Marx Tạp chí KHOA HỌC CÔNG NGHỆ 24 THÔNG TIN VÀ TRUYỀN THÔNG Số 1 năm 2016
  9. Nguyễn Hoàng Giang, Trần Quang Anh C. Bộ dữ liệu cho máy chủ Zeno Cổng Số lượng tấn công Bảng XIII. Các thông số cơ bản 22 1 của bộ dữ liệu Netflow máy chủ Zeno 23 1 Mô tả Giá trị 20 1 21 477 Xấp xỉ Kích thức dữ liệu DARPA ở dạng Tcpdump 80 6 10Gb Các cổng khác 76 Số lượng flow đến máy chủ Zeno 37.923 Số lượng flow tấn công vào máy chủ Zeno 1.019 E. Bộ dữ liệu cho máy chủ Hume Số lượng flow bình thường vào máy chủ Zeno 36.904 Bảng XVI. Các thông số cơ bản Số lượng flow kết nối vào cổng dịch vụ ftp của máy của bộ dữ liệu Netflow máy chủ Hume 1.061 chủ Zeno Mô tả Giá trị Số lượng flow tấn công vào cổng dịch vụ ftp của 478 Kích thức dữ liệu DARPA ở dạng Tcpdump Xấp xỉ máy chủ Zeno 10Gb Số lượng flow kết nối bình thường vào cổng dịch 583 Số lượng flow đến máy chủ Hume 294.286 vụ ftp của máy chủ Zeno Số lượng flow tấn công vào máy chủ Hume 393 Số lượng flow kết nối vào cổng dịch vụ 23 của máy 1.463 chủ Zeno Số lượng flow bình thường vào máy chủ Hume 293.893 Số lượng flow tấn công vào cổng dịch vụ 23 của Số lượng flow kết nối vào cổng dịch vụ ftp của 13.326 13 máy chủ Hume máy chủ Zeno Số lượng flow kết nối bình thường vào cổng dịch Số lượng flow tấn công vào cổng dịch vụ ftp của 25 1.450 máy chủ Hume vụ 23 của máy chủ Zeno Số lượng flow kết nối bình thường vào cổng dịch 13.301 Số lượng flow kết nối vào cổng dịch vụ 25 của máy 2.208 vụ ftp của máy chủ Hume chủ Zeno Số lượng flow kết nối vào cổng dịch vụ 23 của 399 Số lượng flow tấn công vào cổng dịch vụ 25 của máy chủ Hume 496 máy chủ Zeno Số lượng flow tấn công vào cổng dịch vụ 23 của 31 Số lượng flow kết nối bình thường vào cổng dịch máy chủ Hume 1.712 vụ 25 của máy chủ Zeno Số lượng flow kết nối bình thường vào cổng dịch 368 Số lượng flow kết nối vào cổng dịch vụ khác của vụ 23 của máy chủ Hume 31.191 máy chủ Zeno Số lượng flow kết nối vào cổng dịch vụ 25 của 17.935 Số lượng flow tấn công vào cổng dịch vụ khác của máy chủ Hume 104 máy chủ Zeno Số lượng flow tấn công vào cổng dịch vụ 25 của 10 Số lượng flow kết nối bình thường vào cổng dịch máy chủ Hume 31.087 vụ khác của máy chủ Zeno Số lượng flow kết nối bình thường vào cổng dịch 17.925 vụ 25 của máy chủ Hume Bảng XIV. Số lượng tấn công từ từng máy chủ Số lượng flow kết nối vào cổng dịch vụ 80 của 21.664 máy chủ Hume Máy chủ Số lượng tấn công Số lượng flow tấn công vào cổng dịch vụ 80 của 58 11.21.31.41 400 máy chủ Hume Mạng [172.16.X.Y] 6 Số lượng flow kết nối bình thường vào cổng dịch 21.606 Khác 613 vụ 80 của máy chủ Hume Số lượng flow kết nối vào cổng dịch vụ khác của 240.962 Bảng XV. Số lượng tấn công theo các cổng đích máy chủ Hume Cổng Số lượng tấn công Số lượng flow tấn công vào cổng dịch vụ khác 269 của máy chủ Hume 0 3 Số lượng flow kết nối bình thường vào cổng dịch 240.693 25 496 vụ khác của máy chủ Hume Số 1 năm 2016 Tạp chí KHOA HỌC CÔNG NGHỆ 25 THÔNG TIN VÀ TRUYỀN THÔNG
  10. BỘ DỮ LIỆU DẠNG NETFLOW DÙNG TRONG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP VÀ ỨNG DỤNG Bảng XVII. Số lượng tấn công từ từng máy chủ B. Lựa chọn thuật toán học máy Máy chủ Số lượng tấn công Các tiêu chí được sử dụng để đánh giá hiệu năng của hệ thống phát hiện xâm nhập trái phép [6]: Mạng [1.12.120.X] 48 - Confusion Matrix: Mạng [172.16.X.Y] 15 Bảng XX. Confusion Matrix Khác 330 Predicted Class Bảng XVIII. Số lượng tấn công theo các cổng đích Yes No Cổng Số lượng tấn công 0 253 25 10 Yes TP FN Actual Class 22 1 23 31 No FP TN 20 16 21 9 80 58 - True Positives (TP): Số lượng các bất thường Các cổng khác 15 được phân loại đúng là bất thường; - True Negatives (TN): Số lượng các bình V. ỨNG DỤNG BỘ DỮ LIỆU NETFLOW thường được phân loại đúng là bình thường; TRONG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP - False Positives (FP): Số lượng các bình A. Trích chọn đặc trưng thường được phân loại sai là bất thường; - False Negatives (FN): Số lượng các bất Như đã đề cập ở trên, bộ dữ liệu Netflow gồm thường được phân loại sai thành bình thường. rất nhiều trường dữ teliệu khác nhau. Tuy nhiên, để ứng dụng trong phát hiện xâm nhập trái phép, - True Positive Rate (TPR): chúng tôi lựa chọn sử dụng các đặt trưng như sau: TP TPR Recall = = )1( Bảng XIX. Các đặc trưng lựa chọn TP + FN trong phát hiện xâm nhập trái phép - False Positive Rate (FPR): Tên của Mô tả đặc trưng FP FP = )2( Protocol )Giao thức (TCP hoặc UDP FP + TN Packets Số lượng gói tin (packet) trong một flow - Precision (P): là thước đo một hệ thống có khả Octets Số lượng bytes trong một flow năng phát hiện bình thường hay bất thường Số dạng hexa biểu thị cờ của flow, được gán Flags nhãn để xác định flow nào là bình thường, TP flow nào là bất thường P= )3( TP + FP Các đặc trưng được trích chọn nêu trên đều - Accuracy (A): Độ chính xác ở dạng số (numeric) nên rất thuận lợi cho việc TP + TN thử nghiệm phát hiện xâm nhập trái phép bằng A= )4( phương pháp học máy, mô phỏng trên phần mềm TP + FN + FP + TN Weka [5]. Chúng tôi sử dụng các thuật toán học máy SVM Tạp chí KHOA HỌC CÔNG NGHỆ 26 THÔNG TIN VÀ TRUYỀN THÔNG Số 1 năm 2016
  11. Nguyễn Hoàng Giang, Trần Quang Anh (Support Vector Machines) và Naive Bayes để 25) là cổng dịch vụ bị tấn công nhiều nhất. Do đó, thực hiện thử nghiệm phân loại và phát hiện xâm chúng tôi đã lựa chọn bộ dữ liệu Netflow của máy nhập trái phép; đồng thời đánh giá hiệu năng chủ Pascal, với dịch vụ mail để kiểm thử. của từng thuật toán học máy. Phần mềm được sử Bảng XXI. Đặc trưng dữ liệu thử nghiệm dụng để thực hiện các thuật toán học máy là phần mềm Weka. Thuộc Giá trị tính Trong thuật toán học máy SVM, việc sử dụng các Proto )TCP( 6 kiểu hàm nhân (kernel function) khác nhau có thể 1b; 1b:::mailbomb; 2.0; 2:::portsweep; cho kết quả đánh giá hiệu năng khác nhau. Có 4 Flags 1:::portsweep; 2:::neptune; 16.0; 1b:::ps; kiểu hàm nhân trong SVM: 6:::queso; 12:::queso; 7:::queso; c6:::queso; 1.0; 8.0; 1b:::ffbconfig; 6.0; 17.0; 13.0 - Hàm nhân tuyến tính (Linear kernel) có dạng: Octets 89369 – 46 K linear ( x1 , x2 ) = x x2 + c T )5( Packets 70 – 1 1 - Hàm nhân đa thức (Polynomial kernel) có dạng: Trước khi thực hiện thử nghiệm, dữ liệu trải qua giai đoạn chuẩn hóa sử dụng kỹ thuật Discretize K poly ( x= , ) ( )6( của Weka nhằm tăng tính chính xác cho kết T 1 x2 ax x 1 2 + c ) d quả thử nghiệm. Kết quả kiểm thử đối với từng - Hàm nhân RBF (RBF kernel) có dạng: thuật toán đối với khả năng phát hiện tấn công 2 mailbomb như sau: γ x −x K RBF ( x1 , x2 ) = e 1 2 )7( Bảng XXII. Kết quả thử nghiệm với các thuật toán - Hàm nhân đường xích-ma (sigmoid kernel) SVM SVM SVM SVM Naive có dạng: Bayes linear( polynomial( RBF( sigmoid( )kernel )kernel )kernel )kernel K sigmo = id ( x1 , x2 ) tanh(ax1T x2 + c) )8( TP 0.994 0.994 0.994 0.994 0.994 C. Dữ liệu huấn luyện và kiểm thử FP 0.001 0.001 0.004 0.001 0.001 P 0.990 0.990 0.988 0.990 0.990 Để tính toán hiệu năng tổng thể của các thuật toán học máy, chúng tôi sử dụng phương pháp Recall 0.994 0.994 0.994 0.994 0.994 đánh giá 10-fold cross-validation của Weka. Với phương pháp này, bộ dữ liệu Dataset sẽ được chia một cách ngẫu nhiên thành 10 tập con. Với bộ 10 VI. KẾT LUẬN tập con, 1 tập con sẽ được sử dụng cho mục đích Trong phạm vi của bài báo này, chúng tôi đã trình kiểm thử, 9 tập con khác được sử dụng cho mục bày mục tiêu và ý nghĩa của việc phải xây dựng đích dữ liệu huấn luyện. Phương pháp 10-fold bộ dữ liệu dạng Netflow cho bộ dữ liệu xâm nhập cross-validation của Weka sẽ thực hiện lặp đi lặp trái phép DARPA. Bằng các công cụ mã nguồn lại 10 lần với tập dữ liệu, mỗi lần với một tập con mở, kết hợp với tài liệu mô tả về nhãn tấn công làm tập kiểm thử. Kết quả của 10 lần thực hiện sẽ của DARPA và cách thức đánh nhãn thủ công, được tính giá trị trung bình để xác định hiệu năng chúng tôi đã xây dựng thành công 4 bộ dữ liệu tổng thể của từng thuật toán học máy. Netflow tương ứng với các máy chủ Victim. Trong 4 bộ dữ liệu Netflow của 4 máy chủ victim, Chúng tôi cũng đã sử dụng công cụ WEKA, với chúng tôi thấy rằng máy chủ Pascal là máy chủ các thuật toán học máy SVM và Naive Bayes đi được thử nghiệm tấn công nhiều nhất. Đối với kèm để thực hiện thử nghiệm phát hiện xâm nhập máy chủ Pascal, dịch vụ mail (cổng dịch vụ đích trái phép trên bộ dữ liệu Netflow đã xây dựng. Số 1 năm 2016 Tạp chí KHOA HỌC CÔNG NGHỆ 27 THÔNG TIN VÀ TRUYỀN THÔNG
  12. BỘ DỮ LIỆU DẠNG NETFLOW DÙNG TRONG PHÁT HIỆN XÂM NHẬP TRÁI PHÉP VÀ ỨNG DỤNG DARPA và ISCX đã thực hiện xây dựng các bộ [10]. Ali Shiravi, Hadi Shiravi, Mahbod dữ liệu Tcpdump rất công phu và đồ sộ. Nội dung Tavallaee, Ali A. Ghorbani, “Toward bài báo mới thực hiện xây dựng hoàn chỉnh bộ dữ developing a systematic approach to liệu Netflow từ bộ dữ liệu DARPA inside. Trong generate benchmark Datasets for intrusion tương lai, chúng tôi sẽ tiếp tục hoàn thiện trọn detection,” Computers & Security, vol. 31, vẹn bộ dữ liệu DARPA và ISCX để phục vụ cho no. 3, pp. 357-374, May 2012 việc nghiên cứu, thử nghiệm. [11]. Monowar H. Bhuyan, D. K. Bhattachryya, J. K. Kalita, “Network Anomaly Detection: TÀI LIỆU THAM KHẢO Methods, Systems and Tools,” IEEE [1]. DARPA Intrusion Detection Data Sets, Communications Surveys & Tutorials, https://www.ll.mit.edu/ideval/data/; vol.16, no. 1, pp. 303-336, 2014 [2]. KDD Cup 1999 Data, http://kdd.ics.uci. NETFLOW DATASET IN INTRUSION edu/databases/kddcup99/kddcup99.html; DETECTION SYSTEM AND [3]. UT Dataset, https://www.ietf.org/ APPLICATIONS proceedings/78/slides/NMRG-2.pdf; Abstract: Instrusion datasets in computer [4]. Softflowd, Flowd software, http://www. networks have been widely applied in the mindrot.org/projects; study of network intrusion detection system. [5]. Weka 3: Data Mining Software in Java, There are many different datasets, each has http://www.cs.waikato.ac.nz/ml/weka/; advantages and disadvantages. Netflow dataset has several advantages in intrusion detection [6]. M. E. Elhamahmy, H. N. Elmahdy, I. A. system, particularly in large traffic data network. Saroit, “A New Approach for Evaluating Currently, DARPA dataset is still used in research Intrusion Detection System” , International to detect intrusions, but the dataset is not in the Journal of Artificial Intelligent Systems and form of Netflow. The objective of this paper is to Machine Learning, vol. 2, no. 11, Nov. 2010. present a method of building a Netflow dataset [7]. A. M. Riad, Ibrahim Elhenawy, Ahmed from the DARPA dataset; and its applications Hassan and Nancy Awadallah, “Visualize in detecting intrusions by machine learning network anomaly detection by using k-means methods. This dataset can be used widely in clustering algorithm”, International Journal research of Netflow-based intrusion detection. of Computer Networks & Communications (IJCNC), vol.5, no. 5, Sep. 2013 Nguyễn Hoàng Giang nhận bằng kỹ sư ngành Công nghệ thông tin chương trình Đào tạo kỹ [8]. Q.A. Tran, F. Jiang, J. Hu, “A real- sư chất lượng cao PFIEV (Việt – Pháp) tại Đại time Netflow-based intrusion detection học Bách Khoa Hà Nội năm 2004. Hiện tại anh đang học thạc sỹ chuyên ngành Hệ thống system with improved BBNN and high- thông tin tại Học viện Công nghệ Bưu chính frequency field programmable gate arrays,” viễn thông. Hướng nghiên cứu hiện tại: phát Proceedings of the 11th IEEE International hiện xâm nhập mạng trái phép; bảo mật mạng. Conference on Trust, Security and Privacy Trần Quang Anh nhận bằng tiến sĩ chuyên in Computing and Communications, 2012, ngành Xử lý tín hiệu và thông tin​ tại Đại học pp. 201-208, Liverpool, UK Thanh Hoa, Trung Quốc năm 2003, hi ện là giảng viên Học viện Công nghệ Bưu chính Viễn [9]. UNB ISCX Intrusion Detection Evaluation thông. Hướng nghiên cứu chính là P hát hiện Dataset, http://www.unb.ca/research/iscx/ xâm nhập trái phép, Lọc thư rác và tin nhắn rác, Máy vectơ hỗ trợ, Giải thuật tiến hóa, Ứng dụng Dataset/iscx-IDS-Dataset.html; FPGA trong an ninh mạng. Tạp chí KHOA HỌC CÔNG NGHỆ 28 THÔNG TIN VÀ TRUYỀN THÔNG Số 1 năm 2016
nguon tai.lieu . vn
Tin học văn phòng Đồ họa - Thiết kế - Flash Quản trị Web Cơ sở dữ liệu Quản trị mạng Kỹ thuật lập trình Hệ điều hành Phần cứng An ninh - Bảo mật Chứng chỉ quốc tế Thủ thuật máy tính Điện - Điện tử Kinh tế học Hoá học Xã hội học Môi trường