Luận án Nghiên cứu đề xuất phương pháp phân tích và phát hiện lưu lượng bất thường trên mạng internet

Tên luận án:

NGHIÊN CỨU ĐỀ XUẤT PHƯƠNG PHÁP PHÂN TÍCH VÀ PHÁT HIỆN LƯU LƯỢNG BẤT THƯỜNG TRÊN MẠNG INTERNET

Ngành:

Kỹ thuật viễn thông

Tóm tắt nội dung tài liệu:

Luận án "Nghiên cứu đề xuất phương pháp phân tích và phát hiện lưu lượng bất thường trên mạng Internet" của Nguyễn Hà Dương, hoàn thành năm 2017 tại Học viện Công nghệ Bưu chính Viễn thông, chuyên ngành Kỹ thuật viễn thông, tập trung giải quyết vấn đề phát hiện lưu lượng mạng bất thường. Đây là một chủ đề quan trọng do các nguyên nhân đa dạng như hỏng hóc thiết bị mạng, lỗi đường truyền, lỗi cấu hình, tăng đột ngột số lượng truy nhập, các hoạt động tấn công của tin tặc, phát tán thư rác, và sâu máy tính. Trọng tâm nghiên cứu của luận án là phát triển phương pháp xác định lưu lượng bất thường dựa trên dữ liệu thu thập được để đưa ra cảnh báo.

Luận án đã chỉ ra những hạn chế của phương pháp Phân tích Thành phần Chính (PCA) hiện có và đề xuất một số đóng góp mới. Cụ thể, tác giả đề xuất một công thức mới để tính khoảng cách trong miền con PCA, dựa trên công thức Minkowski có bổ sung trọng số, nhằm cải thiện hiệu quả và giảm độ phức tạp tính toán. Trên cơ sở này, phương pháp dPCA (Distance-based anomaly detection method in PCA subspace) được giới thiệu, hoạt động phân cấp với khả năng sử dụng một hoặc hai mức ngưỡng (dPCA1T và dPCA2T). Các thử nghiệm cho thấy dPCA đạt hiệu quả phát hiện tương đương với các phương pháp trước đó nhưng với độ phức tạp tính toán giảm.

Ngoài ra, luận án đề xuất hai phương pháp phát hiện và khử ngoại lai trong tập dữ liệu mẫu: udPCA (Unclean dPCA) và K-means. Kết quả thử nghiệm chứng minh việc khử ngoại lai bằng udPCA và K-means làm tăng đáng kể tỷ lệ phát hiện đúng (TPR) của dPCA, mặc dù có thể làm tăng nhẹ tỷ lệ cảnh báo sai (FPR). Luận án cũng đề xuất kỹ thuật chỉnh mức ngưỡng để khắc phục vấn đề này.

Cuối cùng, luận án trình bày mô hình ứng dụng phương pháp dPCA vào một hệ thống giám sát thực tế cho mạng nội bộ của một tổ chức hoặc doanh nghiệp, kết hợp với phát hiện xâm nhập dựa trên mẫu dấu hiệu (IDS) để phân tích và phát hiện lưu lượng bất thường, cũng như các cuộc tấn công mạng. Kết quả mô phỏng cho thấy khả năng áp dụng dPCA để phát hiện các loại tấn công cụ thể là khả thi trên thực tế.

Mục lục chi tiết:

• CHƯƠNG 1: CƠ SỞ LÝ THUYẾT VÀ CÁC NGHIÊN CỨU LIÊN QUAN
  • 1.1. Thu thập lưu lượng mạng Internet
  • 1.2. Tổng quan về các phương pháp, mô hình phân tích và phát hiện lưu lượng bất thường
  • 1.3. Phương pháp phân tích và phát hiện lưu lượng bất thường dựa trên PCA (gọi tắt là phương pháp PCA)
  • 1.4. Nhận xét, đánh giá
  • 1.5. Kết luận chương 1
• CHƯƠNG 2: PHƯƠNG PHÁP PHÂN TÍCH VÀ PHÁT HIỆN LƯU LƯỢNG BẤT THƯỜNG
  • 2.1. Mở đầu
  • 2.2. Mô hình hệ thống dựa trên phương pháp PCA
  • 2.3. Công thức tính khoảng cách thống kê trong phân tích và phát hiện lưu lượng bất thường.
  • 2.4. Phương pháp dPCA
    • 2.4.1. Lựa chọn các tham số để tính khoảng cách trong dPCA
    • 2.4.2. Sự phân cấp của dPCA
    • 2.4.3. Thiết lập mức ngưỡng
  • 2.5. Mô phỏng, thử nghiệm
  • 2.6. Kết luận chương 2
• CHƯƠNG 3: PHƯƠNG PHÁP KHỬ NGOẠI LAI TRONG TẬP DỮ LIỆU MẪU
  • 3.1. Vấn đề khử ngoại lai trong tập dữ liệu mẫu
  • 3.2. Phương pháp phát hiện và khử ngoại lai bằng udPCA
  • 3.3. Phương pháp phát hiện và khử ngoại lai bằng K-Means
  • 3.4. Thử nghiệm phát hiện và khử ngoại lai
  • 3.5. Kết luận chương 3
• CHƯƠNG 4: HỆ THỐNG GIÁM SÁT VỚI PHƯƠNG PHÁP PHÁT HIỆN LƯU LƯỢNG BẤT THƯỜNG
  • 4.1. Mở đầu
  • 4.2. Kiến trúc hệ thống giám sát
  • 4.3. Nhận dạng, phân loại bất thường và khả năng kết hợp phát hiện lưu lượng bất thường với phát hiện tấn công mạng.
  • 4.4. Mô hình kết hợp phát hiện bất thường với IDS
  • 4.5. Mô phỏng thử nghiệm phát hiện tấn công của dPCA
  • 4.6. Kết luận chương 4
• KẾT LUẬN