GVHD : TS. Trịnh Ngọc Minh Học viên : Nguyễn Quốc Doanh 1 19/01/2013 ỨNG DỤNG BẢN ĐỒ TỰ TỔ CHỨC SOM (SELF ORGANIZING MAP) PHÁT HIỆN PHÁT TÁN VIRUS MÁY TÍNH QUA HÀNH VI Giới thiệu đề tài Mục tiêu đề tài Cơ sở lý thuyết Kết quả nghiên cứu Kết luận và hướng phát triển 1  Tiếp cận giải quyết vấn đề mã độc bằng phương pháp máy học và ứng dụng Bản đồ tự tổ chức (SOM), góp phần bảo vệ an toàn dữ liệu cho các hệ thống công nghệ thông tin. 2  Hơn 20 năm qua, bài toán nhận dạng mã độc, phát hiện phát tán virus máy tính vẫn chưa được giải quyết trọn vẹn .  Mã độc (malware) máy tính phát triển qua nhiều thời kỳ với nhiều biến thể, nhiều loại hình quấy rối gây thiệt hại cho hệ thống mạng.  Cảnh báo đến nhà quản trị khi có mã độc tấn công xâm nhập 3  Triển khai hệ thống IDS phát hiện phát tán mã độc chạy trên hệ điều hành Linux  Phát hiện các hành vi tấn công của mã độc Gồm 2 phần chính  Thuật toán Bản đồ tự tổ chức SOM (Self Organizing Map) 4  Xây dựng tham số đặc trưng của hệ thống SOM là một trong những mô hình của mạng nơron, là kỹ thuật trực quan hóa dữ liệu. Mô hình đầu tiên được mô tả bởi giáo sư Teuvo Kohonen và thường được gọi là mạng Kohonen. 1. Khái niệm 5 2. Cấu trúc mạng Kohonen Mạng Kohonen là một lớp mạng truyền thẳng trong đó đầu ra được sắp xếp thường là 2 chiều hoặc 3 chiều Ví dụ: m = 2, lớp Kohonen là một lưới 2 chiều các nơron, 2 chiều có nghĩa là ta có ma trận MxN các nơron V 11 V 12 …V 1n V 21 V 22 …V 2n … V m1 V m2 …V mn Trong đó, mỗi V ij là một véc-tơ có k chiều, tức là V ij = (x 1 , x 2 ,…,x k ) Mỗi nút có một cấu hình mạng cụ thể (tọa độ x, y), nếu dữ liệu huấn luyện chứa véc-tơ x-n chiều (x 1 , x 2 , ,x n ) thì mỗi nút sẽ chứa một véc-tơ trọng số tương ứng m i (t) cũng n chiều (m 1 ,m 2 , m 3 , ,m n ) 6 Các nơron trong lưới có liên kết đến các nơron lân cận bằng một quan hệ láng giềng. 3. 1. Khởi tạo nT n Rxxxx  ], ,,[ 21 Xét một tập dữ liệu là các vectơ trong không gian n chiều: Một nơron thứ i là một vectơ mẫu có kích thước p: pT ipii Rmmm  ], ,[ 1 3. Thuật toán SOM 7 Tính toán khoảng cách giữa x đến tất cả các nơron trong bản đồ, trong đó c là đơn vị có mẫu gần x nhất gọi là BMU được xác định như sau: 3.2 Xác định BMU (Best Matching Unit)   ic mxmx  min 3.3 Cập nhật trọng số và lân cận của BMU )]()()[()()()1( tmtxthttmtm iciii   với t: là thời gian x: véc-tơ đầu vào ngẫu nhiên rút từ tập dữ liệu đầu vào tại thời điểm t α(t): hệ số tỷ lệ học h ci (t): nhân lân cận quanh c tại thời điểm t. 8 4. Quá trình học của thuật toán SOM Bước 8: Gán t=t+1. Nếu t > T hay lỗi lượng tử trung bình < Epsilon thì DỪNG thuật toán. Ngược lại, quay về bước 3. )]()()[()()()1( tmtxthttmtm iciii   9 Bước 1: Khởi tạo bước học đầu tiên t=0 Bước 2: Khởi tạo ngẫu nhiên các nơron. Bước 3: Chọn ngẫu nhiên vectơ x i từ tập dữ liệu đầu vào. Bước 4: Tính khoảng cách từ vectơ x i đến các nơron. Bước 5: Chọn nơron chiến thắng là nơron gần vectơ x i nhất. Bước 6: Cập nhật trọng số của các nơron chiến thắng Bước 7: Hiệu chỉnh trọng số vectơ của nơron chiến thắng và nơron lân cận bằng công thức: [...]... [VMnet1]  2 máy tính trạm sử dụng hệ điều hành Windows XP 2 Các máy kết nối với nhau thành một mạng LAN ảo VMnet Switch Mail server Virtual Machine Virtual Machine 22 III Chương trình thực nghiệm phát hiện xâm nhập mã độc 23 1 Tải tập tin dữ liệu học 24 2 Hiển thị nội dung véc-tơ học 25 3 Khởi tạo bản đồ 26 4 Huấn luyện bản đồ 27 5 Dò tìm xâm nhập bất thường 28 6 Bản đồ phân bố dữ liệu 6.1 Bản đồ phân... hình tổng quát Mạng LAN 192.168.1.0/24 eth1 eth0 192.168.1.10 Mạng Internet 172.16.1.1 IDS Client extanal Hình 5.1 Mô hình tổng quát thực nghiệm phát hiện phát tán mã độc trên máy IDS 21 II Xây dựng môi trường thực nghiệm 1/ Phần mềm tạo máy ảo VMware Workstation 2/ Phần mềm đóng băng ổ cứng Deep Freeze  1 máy IDS sử dụng hệ điều hành Linux CentOS 6.2  1 máy phục vụ Mail server sử dụng hệ điều hành. .. 100% 100% 100% Nhận xét: Hệ thống IDS phát hiện phát tán mã độc tương đối chính xác, tuy nhiên ở lần giám sát 1, 2, và 3 qua thử nghiệm có một số trường hợp hệ thống bị tấn công nhưng không cảnh báo vì lí do các cuộc tấn công chưa đạt đến ngưỡng cảnh báo 32 1 Những đóng góp của đề tài Tiếp cận giải quyết vấn đề bằng phương pháp máy học và ứng dụng Bản đồ tự tổ chức SOM có những đóng góp sau - Xây dựng... hệ thống máy IDS - Tìm hiểu nghiên cứu các mẫu virus, worm lây lan trên hệ thống mạng làm ảnh đến tài nguyên mạng máy tính - Xây dựng Lab và cài đặt ứng dụng Mail server để làm thực nghiệm - Nghiên cứu và cài đặt thuật toán Bản đồ tự tổ chức trên hệ điều hành Linux 33 2 Hạn chế của đề tài Trích chọn đặc trưng trong quá trình tạo tập véc-tơ học gặp nhiều khó khăn vì thiếu mẫu thử 3 Hướng phát triển...5 Chất lượng Bản đồ tự tổ chức - Bản đồ “tốt” là bản đồ có lỗi lượng tử trung bình thấp nhất - Lỗi lượng tử trung bình đo sự khác biệt giữa véc-tơ học và nơron kết quả của quá trình học, được tính theo công thức sau: 1 n eq   xi  mc n i 1 xi : véc-tơ dữ liệu huấn luyện mc : véc-tơ trọng số BMU 10 6... phân bố dữ liệu 6.1 Bản đồ phân bố dữ liệu thứ 1 29 6.2 Bản đồ phân bố dữ liệu thứ 2 30 6.3 Bản đồ phân bố dữ liệu thứ 3 31 7 Tổng hợp kết quả giám sát phát hiện mã độc Qua 15 lần kiểm nghiệm, mỗi lần như thế cho các mã độc khác nhau như Netsky, Saser, Sober, Mydoom …tấn công vào hệ thống và thu được kết quả như sau Số lần giám sát Số mã độc phát tán TN TP FN FP A R P 15 1 15 12 3 0 90% 80% 100% 15 1... chờ đợi cho I/O để hoàn thành 17 2.3 Tài nguyên mạng 18  Đề xuất tham số đặc trưng tài nguyên mạng • SocketTotal: Tổng số lượng socket (socket là một quá trình thông tin mạng thực hiện bằng cách sử dụng giao thức liên mạng trên tầng vận chuyển Ethernet) • ICMP: Số lượng gói tin ICMP gửi tới máy chủ • UDP: Số lượng gói tin UDP gửi tới máy chủ • TCP: Số lượng TCP kết nối tới máy chủ 19 3 Thuật toán xây... hoạt động hiệu quả nhất qua các độ đo - Độ sai khác giới hạn giữa trạng thái của hệ thống hiện tại và trạng thái của hệ thống khi bị mã độc tấn công 11 6 Phương pháp tìm ngưỡng cảnh báo - Để đánh giá hiệu quả của hệ thống phát hiện xâm nhập, chúng ta thường dùng các độ đo như sau: độ chính xác (accuracy), độ đo truy hồi (recall), độ rõ ràng (precision) • • • • TN(True Nagitive): Hệ thống bình thường,... không cảnh báo TP(True Positive): Hệ thống có mã độc tấn công, IDS có cảnh báo FN(Fasle Nagitive): Hệ thống bị tấn công, IDS không cảnh báo FP(False Positive) : Hệ thống bình thường nhưng IDS lại cảnh báo có mã độc 12 1 Nhóm tài nguyên chính của máy IDS • Bộ nhớ máy chủ IDS (Server memory) • Tài nguyên của bộ vi xử lí (Processor Usage) • Tài nguyên mạng (Network Usage) 2 Đề xuất tham số đặc trưng •... sách chứa tham số đặc trưng 3 Khởi tạo một phiên làm việc (session) để truy xuất giá trị của các tham số đặc trưng từ cấu hình cho trước Sau khi nhận giá trị thì chương trình đóng phiên làm việc 4 Các giá trị của danh sách tham số đặc trưng đã được chuẩn hóa trong đoạn[0,1] trước khi đưa vào quá trình giám sát với thuật toán "Bản đồ tự tổ chức" 5 Kết quả trả về của thuật toán xây dựng đặc trưng là một . Minh Học viên : Nguyễn Quốc Doanh 1 19/01/2013 ỨNG DỤNG BẢN ĐỒ TỰ TỔ CHỨC SOM (SELF ORGANIZING MAP) PHÁT HIỆN PHÁT TÁN VIRUS MÁY TÍNH QUA HÀNH VI Giới thiệu đề tài Mục tiêu đề tài Cơ sở. thống IDS phát hiện phát tán mã độc chạy trên hệ điều hành Linux  Phát hiện các hành vi tấn công của mã độc Gồm 2 phần chính  Thuật toán Bản đồ tự tổ chức SOM (Self Organizing Map) 4 . tin. 2  Hơn 20 năm qua, bài toán nhận dạng mã độc, phát hiện phát tán virus máy tính vẫn chưa được giải quyết trọn vẹn .  Mã độc (malware) máy tính phát triển qua nhiều thời kỳ với nhiều