Tóm tắt Luận án tiến sĩ Kỹ thuật: Nghiên cứu đề xuất phương pháp phân tích và phát hiện lưu lượng bất thường trên mạng internet

Nội dung chính của đề tài được trình bày như sau: Cơ sở lý thuyết và các nghiên cứu liên quan; Phương pháp phân tích và phát hiện lưu lượng bất thường dPCA; Phương pháp khử ngoại lai trong tập dữ liệu mẫu; Hệ thống giám sát với phương pháp phát hiện lưu lượng bất thường.
Nội dung trích xuất từ tài liệu:
Tóm tắt Luận án tiến sĩ Kỹ thuật: Nghiên cứu đề xuất phương pháp phân tích và phát hiện lưu lượng bất thường trên mạng internet BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG NGUYỄN HÀ DƢƠNGNGHIÊN CỨU ĐỀ XUẤT PHƢƠNG PHÁP PHÂN TÍCH VÀ PHÁT HIỆN LƢU LƢỢNG BẤT THƢỜNG TRÊN MẠNG INTERNET Chuyên ngành: Kỹ thuật viễn thông Mã số: 62.52.02.08 TÓM TẮT LUẬN ÁN TIẾN SĨ KỸ THUẬT Hà Nội - 2017 Công trình được hoàn thành tại: Học viện Công nghệ Bưu chính Viễn thôngNgười hướng dẫn khoa học: PGS. TSKH. Hoàng Đăng Hải Phản biện 1:…………………………………………… ……………………………………………. Phản biện 2:…………………………………………… ……………………………………………. Phản biện 3…………………………………………… …………………………………………….Luận án sẽ được bảo vệ trước Hội đồng chấm luận án cấp Học viện tại:………………………………………………………………..……………………………………………………………………… Vào hồi giờ ngày tháng nămCó thể tìm hiểu luận án tại thư viện:……………………………….. Thư viện Quốc gia Việt Nam Thư viện Học viện Công nghệ Bưu chính Viễn thông 1 MỞ ĐẦU Phát hiện lưu lượng mạng bất thường đã là một chủ đề nghiên cứuđược quan tâm nhiều trong những năm qua. Bất thường có thể donhiều nguyên nhân như: hỏng hóc thiết bị mạng, lỗi đường truyền,lỗi cấu hình, tăng đột ngột số lượng truy nhập của khách hàng, cáchoạt động tấn công của tin tặc, phát tán thư rác, sâu máy tính v.v.. Để xác định nguyên nhân và xử lý, việc đầu tiên cần thực hiện làthu thập dữ liệu về lưu lượng mạng, tiến hành phân tích và phát hiệndấu hiệu bất thường. Sau đó cần phân loại nguồn gốc, xác địnhnguyên nhân và xử lý các bất thường căn cứ theo nguyên nhân. Phântích và phát hiện bất thường là giai đoạn quan trọng trong toàn bộquá trình và là phạm vi nghiên cứu của luận án. Cụ thể, trọng tâmcủa luận án là trên cơ sở lưu lượng mạng thu thập được cần cóphương pháp xác định xem lưu lượng đó có phải là bất thường haykhông để đưa ra cảnh báo. Đối tượng nghiên cứu của luận án là nghiên cứu các phươngpháp phân tích và phát hiện lưu lượng bất thường dựa trên phân tíchthành phần chính (PCA), đề xuất một số đóng góp mới, cụ thể gồm:- Đề xuất một công thức mới cho tính khoảng cách dựa trên côngthức Minkowski có bổ sung thêm trọng số.- Đề xuất một phương pháp mới có tên là dPCA sử dụng công thứctính khoảng cách nêu trên. dPCA hoạt động phân cấp dùng 1 mứcngưỡng và 2 mức ngưỡng.- Đề xuất hai phương pháp phát hiện và khử ngoại lai trong tập dữliệu mẫu là: phương pháp udPCA và phương pháp K-means trongkết hợp với phương pháp dPCA.- Đề xuất một mô hình kết hợp giữa phát hiện xâm nhập dựa trêndấu hiệu và phát hiện bất thường theo phương pháp dPCA được tíchhợp vào một hệ thống giám sát cho phân tích và phát hiện lưu lượng 2bất thường, phát hiện tấn công mạng trên phân đoạn mạng có kết nốiInternet. Phương pháp nghiên cứu được sử dụng trong luận án là nghiêncứu mô hình toán học kết hợp với mô phỏng, thử nghiệm. Cấu trúc của luận án gồm phần mở đầu, 4 chương nội dung, phầnkết luận. Nội dung chính của các chương như sau:- Chương 1: Cơ sở lý thuyết và các nghiên cứu liên quan.- Chương 2: Phương pháp phân tích và phát hiện lưu lượng bấtthường dPCA.- Chương 3: Phương pháp khử ngoại lai trong tập dữ liệu mẫu- Chương 4: Hệ thống giám sát với phương pháp phát hiện lưulượng bất thường. CHƢƠNG 1: CƠ SỞ LÝ THUYẾT VÀ CÁC NGHIÊN CỨU LIÊN QUAN1.1. Thu thập lưu lượng mạng Internet Hiện nay, phương pháp cơ bản để thu thập lưu lượng là theo góitin hoặc luồng tin. Để phát hiện bất thường, các nghiên cứu cho thấyrằng cần tách lưu lượng thu được thành dữ liệu thuộc tính. Các thuộctính gồm số byte, số gói tin, địa chỉ IP, cổng nguồn/ đích v.v… Việclựa chọn thuộc tính dữ liệu rất quan trọng vì ảnh hưởng trực tiếp đếnhiệu suất c ng như độ chính xác phát hiện.1.2. Tổng quan về các phương pháp, mô hình phân tích và phát hiện lưu lượng bất thường Trong một số năm qua, nhiều giải pháp đã được đưa ra để phântích và phát hiện lưu lượng bất thường. Mặc dù các giải pháp hết sứcđa dạng, song chúng thường được phân loại theo ba nhóm chính là:1) nhóm dựa vào thống kê, 2) nhóm dựa vào khai phá dữ liệu và họcmáy, 3) nhóm dựa vào tri thức. Việc phân loại mang tính chất tươngđối vì thực tế một phương pháp có thể đồng thời thuộc các nhóm 3khác nhau. Phương pháp thống kê dựa trên giả định mô hình tuântheo một phân bố thống kê biết trước hoặc dựa trên dữ liệu thựcnghiệm trong điều kiện bình thường từ đó so sánh với độ lệch hoặckhoảng cách với điều kiện bình thường để phát hiện ra bất thường.1.3. Phương pháp phân tích và phát hiện lưu lượng bất thường dựa trên PCA (gọi tắt là phương p ...