Luận án Nghiên cứu đề xuất phương pháp phân tích và phát hiện lưu lượng bất thường trên mạng internet

TRANG THÔNG TIN LUẬN ÁN TIẾN SĨ

Tên đề tài luận án tiến sĩ: Nghiên cứu đề xuất phương pháp phân tích và phát hiện lưu lượng bất thường trên mạng internet

Chuyên ngành: Kỹ thuật viễn thông

Mã số: 62.52.02.08

Họ và tên nghiên cứu sinh: Nguyễn Hà Dương

Người hướng dẫn khoa học: PGS.TSKH. Hoàng Đăng Hải

Cơ sở đào tạo: Học viện Công nghệ Bưu chính Viễn thông

TÓM TẮT

Phân tích và phát hiện lưu lượng mạng bất thường là một trong những chủ đề nghiên cứu nóng trong những năm gần đây. Lưu lượng mạng bất thường là lưu lượng của những luồng tin không tuân theo hành vì thông thường. hỏng hóc thiết bị mạng, lỗi đường truyền, lỗi cấu hình, tăng đột ngột số lượng truy nhập của khách hàng, hoạt động tấn công của tin tặc, phát tán thư rác, sâu máy tính, v.v.. Bất thường trong lưu lượng có thể ảnh hưởng đáng kể đến tỉnh sẵn sàng và hiệu suất của mạng. Phát hiện nhanh lưu lượng bất thường là cần thiết và là một nhu cầu cấp thiết đối với các nhà vận hành và quản trị mạng. Do sự phức tạp của vấn đề, nhu cầu phát hiện nhanh và cảnh bảo các hành vi bất thường, phát hiện lưu lượng mạng bất thường là một vấn đề nghiên cứu thách thức.

Khảo sát về các nghiên cứu điển hình trước đây chỉ ra rằng phân tích thống kê đa biển, cụ thể là các phương pháp dựa trên phân tích các thành phần chính (Principal Component Analysis -PCA) có những ưu điểm nổi bật, đặc biệt là trong việc giảm độ phức tạp tỉnh toán. PCA có thể giúp giảm độ phức tạp trong khi vẫn duy trì hầu hết các đặc tỉnh dữ liệu lưu lượng. Do đó, PCA thích hợp cho phát hiện nhanh và có thể cho kết quả tỷ lệ phát hiện cao nếu thiết lập các tham số hợp lý

Luận án này tập trung vào nghiên cứu các phương pháp phát hiện lưu lượng mạng bất thường dựa trên PCA. Mục tiêu của luận án là từ việc phân tích dữ liệu thu thập được, phát triển các phương pháp để phát hiện nhanh các hành vi bất thường của các luồng lưu lượng mạng, đưa ra cảnh báo cho quản trị mạng. Luận án đã khảo sát các phương pháp điển hình trước đây dựa trên PCA, phân tích và chỉ ra những vấn đề còn tồn tại trong tính toán khoảng cách, lựa chọn các tham số và độ phức tạp tỉnh toán, khử ngoại lai trong tập dữ liệu mẫu. Luận án đã đưa ra một công thức mới cho tỉnh toán khoảng cách, một phương pháp mới để phát hiện bất thường bằng cách sử dụng công thức đã đề xuất với độ phức tạp thấp hơn để phát hiện nhanh và linh hoạt. Ngoài ra, luận án đã đưa ra các phương pháp khử ngoại lai nhằm tăng tỷ lệ phát hiện đúng. Luận án chỉ ra khả năng kết hợp phát hiện dựa trên dầu hiệu và các phương pháp đã đề xuất vào một hệ thống giảm sát mạng. Các thử nghiệm cho thấy tính khả thi của các phương pháp đã đề xuất trong luận án.

ĐÓNG GÓP MỚI CỦA LUẬN ÁN.

1. Một công thức mới để tính toán khoảng cách trong miền con PCA dựa trên công thức Minkowski có bổ sung thêm trọng số. Luận án đã chỉ ra rằng các công thức khoảng cách trong các nghiên cứu liên quan trước đây có thể quy về các trường hợp cụ thể của công thức tổng quát này bằng các tham số xác định.

2. Một phương pháp mới dPCA để phát hiện lưu lượng bất thường sử dụng công thức tỉnh khoảng cách mới được đề xuất. Các tham số để xuất trong công thức có thể cho hiệu quả phát hiện tương đương trong khi có độ phức tạp tỉnh toán thấp hơn so với các phương pháp điển hình trước đó. dPCA hoạt động ở hai cấp, dPCAIT với một mức ngưỡng và dPCA2T với hai mức ngưỡng. Kết quả thứ nghiệm cho thấy có thể giảm độ phức tạp tỉnh toán thành 0 (kn) so với O (kn²) trong các nghiên cứu điển hình trước đó trong khi vẫn duy trì được tỷ lệ phát hiện bất thường đúng và cảnh báo sai chấp nhận được. Thậm chí, dPCA có thể cho kết quả tốt hơn trong một số trường hợp và cho phép linh hoạt trong việc lựa chọn các tham số và chế độ hoạt động.

3. Đề xuất hai phương pháp để phát hiện và khứ ngoại lai trong tập dữ liệu mẫu là udPCA và K-means kết hợp với phương pháp dPCA. Các kết quả thử nghiệm đã cho thấy, việc khử ngoại lai trong tập dữ liệu mẫu làm tăng tỷ lệ phát hiện đúng bất thường của dPCA lên đáng kể.

4. Đề xuất mô hình kết hợp phát hiện dựa trên dấu hiệu và phương pháp phát hiện bất thường dựa trên PCA đã đề xuất trong một hệ thống giảm sát mạng để phân tích và phát hiện lưu lượng bất thường và phát hiện xâm nhập mạng trong các phân đoạn mạng nổi với Internet.

KHẢ NĂNG ỨNG DỤNG THỰC TIỄN, NHỮNG VẤN ĐỀ CÒN BỎ NGÔ CÂN TIẾP TỤC NGHIÊN CỨU

Các kết quả của luận án có thể áp dụng vào các hệ thống phân tích và phát hiện lưu lượng mạng bất thường trong thực tiễn, các hệ thống phát hiện xâm nhập mạng. Một ví dụ điển hình là áp dụng vào hệ thống theo dõi, giám sát mạng và cảnh báo sự cố mạng.

Trong khuôn khổ của bài, luận án mới chỉ tập trung vào vấn đề phân tích và phát hiện lưu lượng mạng bất thường. Bài cũng đã thử nghiệm cho việc ứng dụng phương pháp vào phát hiện một số loại tấn công mạng tiêu biểu. Các vấn đề có thể nghiên cứu thêm gồm: Nhận dạng và xác định nguyên nhân gây ra bất thường, nhận dạng và phát hiện các loại tấn công và đưa ra các biện pháp xử lý, ngăn chặn phù hợp; phát hiện bất thường trong từng lớp ứng dụng cụ thể….