Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo - Vũ Văn Cảnh

Công nghệ thông tin V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 42 CẢNH BÁO AN NINH THÔNG MINH ỨNG DỤNG HỆ MIỄN DỊCH NHÂN TẠO Vũ Văn Cảnh*, Hoàng Tuấn Hảo Tóm tắt: Trong lĩnh vực bảo mật máy tính, cảnh báo an ninh, phát hiện xâm nhập (ID) là một cơ chế tìm ra truy cập bất thường vào hệ thống mạng, máy tính bằng cách phân tích các tương tác khác nhau. Các kỹ thuật ID hiện nay có tỷ lệ phát hiện, cảnh báo an ninh nhầm khá lớn, do đó, cần có những giải pháp nhằm giảm tỷ lệ cảnh báo nhầm. Các kỹ thuật tính toán thông minh đang được nghiên cứu nhằm nâng cao tỷ lệ phát hiện và đưa ra cảnh báo chính xác. Đã có một số công trình nghiên cứu về hệ thống miễn dịch nhân tạo (AIS), tuy nhiên, các nghiên cứu này cơ bản thiên về khảo sát phương pháp tiếp cận dựa trên AIS. Ứng dụng AIS trong ID hiện đang là hướng mới cho kỹ thuật phát hiện xâm nhập, cảnh báo an ninh. Trong bài báo này, nhóm tác giả trình bày một số nội dung cơ bản của hệ miễn dịch nhân tạo, các kết quả nghiên cứu ứng dụng hệ miễn dịch nhân tạo trong việc phát hiện xâm nhập mạng được thực hiện tại Phòng thí nghiệm An ninh mạng - Học viện Kỹ thuật quân sự. Từ khóa: Học máy, Xâm nhập mạng, Phát hiện xâm nhập, Cảnh báo an ninh, Hệ miễn dịch nhân tạo. 1. GIỚI THIỆU Cùng với sự phát triển của mạng máy tính, vấn đề an ninh mạng cũng đang đối mặt với những thách thức lớn, ngày càng có nhiều hành vi xâm nhập trái phép vào hệ thống mạng nhằm phá hoại, ăn cắp thông tin với nhiều hình thức khác nhau, tinh vi hơn. Để giải quyết vấn đề này, nhiều kỹ thuật phát hiện xâm nhập mạng, cảnh báo an ninh đã được nghiên cứu và ứng dụng, tuy nhiên, các kỹ thuật này chưa có hiệu quả cao đối với các hình thức tấn công xâm nhập mới, ngày càng tinh vi với nhiều biến thể khác nhau. Làm thế nào để chúng ta có thể phát hiện xâm nhập, đưa ra cảnh báo an ninh có hiệu quả với tất cả các hành vi tấn công, xâm nhập trái phép vào hệ thống máy tính? Nhiều công trình nghiên cứu đã được thực hiện, Anderson J.P [1] đưa ra quan điểm phát hiện xâm nhập vào hệ thống máy tính, đến năm 1980 Anderson đã đưa ra khái niệm về hệ thống phát hiện xâm nhập (IDS) mạng máy tính. Năm 1987, Denning D.E đưa ra mô hình hệ thống chuyên gia phát hiện xâm nhập (IDES) [5]. Năm 1990 đã tạo ra bước ngoặt trong lịch sử phát hiện xâm nhập, Heberlein L.T phát triển mô hình giám sát an ninh mạng [10]. Sau đó, ID chính thức được phân chia thành 2 dạng: Hệ thống phát hiện xâm nhập dựa trên mạng (Network Intrusion Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 43 Detection System - NIDS) và hệ thống phát hiện xâm nhập dựa trên máy trạm (Host-based Intrusion Detection System). Hiện nay, ID đang là một chủ đề nghiên cứu được rất nhiều nhà nghiên cứu về bảo mật, an ninh mạng máy tính quan tâm, phát triển. Những năm gần đây, một số nghiên cứu đã áp dụng lý thuyết miễn dịch học cho hệ thống phát hiện xâm nhập, các nghiên cứu này được gọi là hệ miễn dịch nhân tạo (Artificial Immune System - AIS) [8]. Các nghiên cứu đã đóng góp đáng kể vào sự phát triển của AIS, nhiều công trình liên quan đã được ứng dụng như phát hiện gian lận [14], tối ưu hóa [9], học máy [3], robotics [13] và bảo mật máy tính [12]. Hầu hết các nghiên cứu về IDS dựa trên AIS cơ bản chỉ dừng lại ở mức độ đưa ra quan điểm sử dụng thuật toán và phát triển hệ thống. Trong nghiên cứu, chúng tôi nghiên cứu một số khía cạnh của AIS ứng dụng trong phát hiện xâm nhập mạng. Phần còn lại của bài báo, chúng tôi giới thiệu nền tảng AIS và mô hình thiết kế cho AIS. Hệ phát hiện xâm nhập được trình bày chi tiết trong phần 2. Phần 3 trình bày về mô hình AIS trong cảnh báo an ninh, thực nghiệm và kết quả sẽ được trình bày trong phần 4. Một số nhận xét, kết luận và định hướng nghiên cứu tiếp theo được trình bày trong phần 5. 2. KIẾN THỨC NỀN TẢNG 2.1. Hệ miễn dịch sinh học Hệ miễn dịch là hệ thống sinh học bảo vệ cơ thể chống lại những tấn công liên tục từ các sinh vật, tác động bên ngoài. Đây là mạng lưới vô cùng phức tạp của các tế bào, mô và các bộ phận giúp bảo vệ cơ thể khỏi các tác nhân xâm nhập như vi khuẩn, virus, ký sinh trùng, cũng như các rối loạn của tế bào. Hệ miễn dịch tạo ra các kháng thể và các tế bào đặc biệt để tấn công các sinh vật lạ thâm nhập cơ thể sống. Một trong những hệ miễn dịch được truyền từ đời này sang đời kia theo di truyền được gọi là hệ miễn dịch bẩm sinh, cơ thể ngay từ khi ra đời đã luôn ở trạng thái sẵn sàng nhận diện, loại bỏ và tiêu diệt các vi sinh vật lạ. Bên cạnh đó, cùng với sự phát triển của cơ thể sẽ tạo ra các hệ miễn dịch tham gia vào việc bảo vệ cơ thể, được gọi là hệ miễn dịch thích nghi, có hiệu quả hơn trong việc bảo vệ cơ thể chống lại các vi sinh vật mới. Hệ miễn dịch thực hiện nhận diện, ngăn chặn và loại bỏ những vi sinh vật xâm nhập vào cơ thể; chúng nhận dạng tế bào và phân chia thành hai nhóm khác nhau: Công nghệ thông tin V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 44 self (những tế bào của cơ thể tạo ra) và nonself (những tế bào lạ), đồng thời loại bỏ các tế bào thuộc loại nonself. Hệ miễn dịch thực hiện cơ chế miễn dịch thông qua 3 lớp được mô tả trong hình 1. Hình 1. Các lớp của hệ miễn dịch sinh học. Khi các chất lạ xâm nhập vào cơ thể, các tế bào thực bào và kháng thể sẽ tiến hành ngăn chặn (lớp vật lý), trường hợp các chất lạ là các vi sinh vật bình thường sẽ bị ngăn chặn và giết chết. Trường hợp các vi sinh vật vượt qua lớp vật lý nó sẽ bị ngăn chặn và đào thải ra khỏi cơ thể bởi lớp sinh hóa, trong lớp này chứa các enzym có thể loại bỏ các kháng nguyên bởi các axit và nhiệt độ cơ thể. Một số sinh vật có cấu trúc mạnh mẽ hơn, vượt qua 2 lớp bảo vệ trên sẽ đi sâu vào cơ thể, khi này hệ thống miễn dịch bẩm sinh và miễn dịch thích nghi sẽ kích hoạt các cơ chết bảo vệ để giết chết vi sinh vật xâm nhập. 2.2. Hệ miễn dịch nhân tạo Hệ miễn dịch nhân tạo (AIS) lấy ý tưởng của hệ miễn dịch học thích nghi và những chức năng, nguyên tắc, mô hình miễn dịch quan sát được, áp dụng để giải các bài toán thực tế [4]. AIS có phạm vi ứng dụng rất rộng rãi như nhận dạng mẫu, an ninh máy tính, lập lịch, tìm kiếm tối ưu và điều khiển tự động. Trong các thuật toán mô phỏng tiến hoá sinh học, đối tượng tiến hóa là tập các nhiễm sắc thể nhân tạo (quần thể), quần thể này trải qua quá trình chọn lọc, sinh sản và đột biến gien. Quá trình này lặp lại nhiều lần, sau mỗi lần thực hiện sẽ nhận được quần thể mới tiến hóa (tốt) hơn. Để xây dựng được cấu trúc cơ bản của mô hình này người ta phải biểu diễn được gien các cá thể trong quần thể, cùng với các thủ tục lựa chọn, sản sinh và đột biến gien. Cấu trúc cơ bản của hệ thống phỏng sinh học cần có 03 yếu tố cơ bản đó là biểu diễn các thành phần hệ thống, cơ chế Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 45 đánh giá tương tác các cá thể với môi trường và các cá thể với nhau và các thủ tục thích nghi điều khiển tính động của hệ thống, tức là làm cho hoạt động của hệ thống thay đổi theo thời gian. Hình 2. Cấu trúc phân lớp của AIS. Hệ miễn dịch nhân tạo có thể được xây dựng theo cấu trúc phân lớp gồm 03 lớp biểu diễn như hình 2. Các lĩnh vực ứng dụng là cơ sở để xây dựng AIS, đối với mỗi lĩnh vực ứng dụng sẽ quyết định các thành phần và cách thức biểu diễn, các thao tác khác nhau trên AIS. Lời giải bài toán sẽ được cập nhật lại sau khi một quần thể mới được tạo ra và đưa ra kết quả khi đạt được điều kiện kết thúc nào đó [15]. Lớp biểu diễn trong AIS bao gồm 2 thành phần quan trọng là kháng thể và kháng nguyên. Trong lớp các phương pháp đánh giá độ thích nghi có thể sử dụng nhiều phương pháp khác nhau như khoảng cách Hamming, Euclid và Mahattan. Trong lớp các thuật toán miễn dịch có thể sử dụng các thuật toán như chọn lọc tích cực, chọn lọc tiêu cực, chọn lọc vô tính... để điều chỉnh tính động của AIS [15]. Khả năng phân biệt giữa mình (Self) và không phải mình (NonSelf) là một chức năng quan trọng nhất trong hệ thống miễn dịch, trong đó, kháng thể và kháng nguyên kết hợp với nhau như một sự phù hợp, và có thể mô tả như khối lồi và lõm trên bề mặt 2 phần tử (hình 3). Do vậy, để mô tả hình dạng tổng quát của kháng thể và kháng nguyên cũng như thể hiện sự kết hợp giữa chúng, ta có thể biểu diễn kháng thể và kháng nguyên là một tập các khối lồi, lõm với 3 tham số chiều cao, chiều rộng và chiều dài. Tổng quát hơn ta có thể biểu diễn kháng thể và kháng nguyên như một tập L tham số. Công nghệ thông tin V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 46 Hình 3. Kháng thể (Antibody) nhận diện kháng nguyên (Antigen) dựa vào phần bù. Mỗi kháng thể và kháng nguyên có thể coi như một chuỗi thuộc tính trong không gian S với L chiều. Mỗi phần tử chính là một điểm trong không gian S. Không mất tính tổng quát ta có thể giả sử kháng thể và kháng nguyên có cùng độ dài là L. Tổng quát một kháng thể được biểu diễn bởi vector và một kháng nguyên được biểu diễn bởi vector ; để xác định tương tác của các kháng thể với nhau và kháng thể với kháng nguyên có thể dùng công thức tính khoảng cách để đo độ thích hợp của 2 phần tử. Việc đánh giá tương tác giữa các phần tử dựa vào việc tính toán khoảng cách không gian Euclid và Mahattan để đánh giá độ thích hợp giữa các thành phần của AIS trong không gian thực. Trong không gian Hamming, các kháng nguyên và kháng thể được biểu diễn đưới dạng dãy các ký hiệu trên tập hữu hạn k mẫu tự và việc đánh giá độ thích hợp giữa hai chuỗi thuộc tính có độ dài L trong không gian Hamming, như sau: (1) Việc tính toán khoảng cách ở trên không chỉ dùng để biểu diễn tương tác giữa các kháng thể với kháng nguyên, mà còn có thể dùng để biểu diễn sự tương tác của kháng thể với kháng nguyên và được sử dụng để xác định tương tác giữa các phần tử trong AIS. Bên cạnh đó trong các bài toán thường quy định một ngưỡng  để xác định sự tương tác giữa các phần tử. Dựa vào ngưỡng này mà ta có thể xác định được 2 phần tử có thể tương tác với nhau hay nhận diện được nhau. 2.3. Hệ miễn dịch ứng dụng trong an ninh máy tính Trong lĩnh vực an ninh máy tính, mục tiêu quan trọng là làm sao phát hiện và ngăn chặn các truy cập bất hợp pháp và các mã độc. Các nguyên tắc phát hiện và loại bỏ vi sinh vật lây nhiễm trên hệ miễn dịch sinh học được áp dụng cho thiết kế hệ thống an ninh máy tính. Cách tiếp cận tự nhiên này cho phép xây dựng các hệ thống phát hiện và phòng chống xâm nhập thông minh có khả năng tự động phát Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 47 hiện, cảnh báo sớm các truy cập bất hợp pháp, đây là hướng nghiên cứu có nhiều triển vọng trong tương lai [16]. Bảng 1. Minh họa ánh xạ giữa các thành phần trong hệ miễn dịch sinh học với kiến trúc môi trường mạng máy tính. Hệ miễn dịch sinh học Môi trường mạng Tế bào Tiến trình hoạt động trong một máy tính Cơ quan đa bào Máy tính chạy đa tiến trình Số lượng cơ quan Các máy tính trong mạng Da và hệ miễn dịch bẩm sinh Mật khẩu, quyền truy cập file, truy cập nhóm người dùng, Hệ miễn dịch thích nghi Một tiến trình có khả năng kiểm soạt các tiến trình khác để phát hiện bất thường Đáp ứng tự miễn dịch Cảnh báo Self Hành vi bình thường Nonself Hành vi bất thường Trong hệ thống an ninh máy tính, xem xét sự thay đổi bất thường của dữ liệu trong máy tính nhằm xác định máy tính có bị xâm nhập trái phép hay không để đưa ra các cảnh báo. Thông thường, những sự thay đổi này là hành vi hay kết quả của các cuộc tấn công vào hệ thống máy tính, thường tấn công từ môi trường mạng. Bảng 2. Minh họa ánh xạ giữa các thành phần của hệ miễn dịch sinh học với quản lý, điều hành trên máy tính. Hệ miễn dịch Môi trường máy tính Tế bào File dữ liệu Cơ quan Tập hợp các file của chương trình Da và hệ miễn dịch bẩm sinh Mật khẩu, quyền truy cập file, truy cập nhóm người dùng, Hệ miễn dịch thích nghi Hệ miễn dịch nhân tạo (có khả năng kiểm soát và phát hiện, cảnh báo những thay đổi của dữ liệu) Đáp ứng tự miễn dịch Cảnh báo Self Hành vi bình thường Non-Self Hành vi bất thường Kết hợp với việc phân tích log, người quản trị có thể biết được nguồn gốc, mục tiêu xâm nhập trái phép, để có phương pháp ngăn chặn kịp thời. Công nghệ thông tin V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 48 3. MÔ HÌNH HỆ MIỄN DỊCH NHÂN TẠO TRONG CẢNH BÁO AN NINH THÔNG MINH 3.1. Mô hình AIS trong cảnh báo an ninh thông minh Trên cơ sở lý thuyết về hệ miễn dịch sinh học, hệ miễn dịch nhân tạo và các vấn đề an ninh mạng, mô hình AIS được xây dựng với mục đích phát hiện thay đổi bất thường của dữ liệu (hình 3). Người quản trị hệ thống dựa vào các cảnh báo về sự thay đổi dữ liệu cùng với các phương thức khác như phân tích log... để đưa ra kết luận chính xác về sự thay đổi của dữ liệu, dựa vào kết quả phân tích mà người quản trị có thể ngăn chặn ngay những hành vi bất hợp pháp. Hình 4. Mô hình thiết kế hệ miễn dịch nhân tạo. Với mô hình này, lĩnh vực ứng dụng nhằm mục đích theo dõi, phát hiện sự thay đổi dữ liệu, làm cơ sở để người dùng kiểm tra phát hiện xâm nhập trái phép trước khi có các rủi do lớn hơn có thể xảy ra, thông báo tới hệ thống an ninh mạng để theo dõi và hoàn thiện giải pháp bảo vệ hệ thống. Các thành phần AIS được mô tả trong bảng 3. Phương pháp đánh giá độ thích hợp theo quy tắc khớp R-Chunk (mục 3.3). Thuật toán miễn dịch theo thuật toán chọn lọc tiêu cực để phân biệt self- nonself (mục 3.2). Lời giải của mô hình là kết quả phát hiện dữ liệu có sự thay đổi hay không và gửi các thông điệp cảnh báo khi phát hiện sự bất thường của dữ liệu. Bảng 3. Mô tả ánh xạ thành phần hệ miễn dịch sinh học và AIS. Hệ miễn dịch sinh học Hệ miễn dịch nhân tạo Kháng thể Bộ dò của chương trình Kháng nguyên Chuỗi bít rút ra từ file cần kiểm tra Cơ quan thụ cảm Luật so khớp (R-chunk) Quá trình chọn lọc âm tính Thuật toán chọn lọc âm tính Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 49 Trong các thành phần trong AIS, khái niệm Self là một tập S bao gồm các xâu (các tập tin) cần được bảo vệ, NonSelf là tập các xâu không thuộc tập S mà bộ dò có thể so khớp được. Tập dò là các sâu có thể được so khớp với NonSelf nhằm mục đích xác định các xâu lạ trong S. 3.2. Thuật toán chọn lọc tiêu cực Thuật toán chọn lọc tiêu cực được sử dụng để phát hiện sự thay đổi bất thường của dữ liệu và đưa ra các cảnh báo xâm nhập, cảnh báo an ninh mạng. Nhằm phân biệt Self – NonSelf (SNS) [6], hệ miễn dịch nhân tạo dựa trên nguyên tắc hoạt động của hệ miễn dịch sinh học, để tiến hành nhận dạng các dữ liệu cần bảo vệ, từ đó phân tích tìm ra sự thay đổi bất thường của dữ liệu và đưa ra những cảnh báo kịp thời cho người sử dụng. Trên cơ sở thuật toán chọn lọc tiêu cực (NSA), dựa trên một tập bộ dò, thuật toán cho phép tìm kiếm những thay đổi bất thường của dữ liệu (các file dữ liệu) trong máy tính khi dữ liệu nằm trong tầm bảo vệ của chương trình. Về bản chất, đây là một phương pháp chứng thực các file trên hệ thống máy tính, kiểm tra sự thay đổi của các file [6]. Thuật toán được chia thành 2 giai đoạn, giai đoạn sinh ra tập bộ dò và giai đoạn kiểm tra. 3.2.1. Giai đoạn sinh tập bộ dò Mỗi bộ dò là một chuỗi mà nó không khớp được với bất cứ chuỗi dữ liệu nào được bảo vệ, tập dữ liệu bộ dò được sinh ra theo các bước như sau: Bước 1: Sinh ra các chuỗi tế bào có độ dài ℓ từ các file cần bảo vệ trong máy tính. Bước 2: Sinh ngẫu nhiên một chuỗi có độ dài ℓ. Bước 3: Tiến hành so khớp với tất cả các chuỗi tế bào của tập bộ dò, nếu khớp được với bất kì chuỗi tế bào nào thì quay lại bước 2, nếu không chuyển sang bước 4. Bước 4: Nạp chuỗi vào tập bộ dò, nếu tập bộ dò đã đủ số lượng phần tử thì kết thúc, nếu không quay lại bước 2. 3.2.2. Giai đoạn theo dõi dữ liệu Giai đoạn này thực hiện so khớp dữ liệu với tập bộ dò được tạo ra ở giai đoạn trước nhằm bảo vệ dữ liệu, nếu bất kì chuỗi dữ liệu được bảo vệ nào khớp với bộ dò thì một thay đổi được xác nhận [2]. Ví dụ, chuỗi tế bào S dài 32 bit: 10100010010100000100101011010101. Để sinh ra tập bộ dò, đầu tiên tách chuỗi tế bào thành những phần có độ dài bằng nhau (giả sử trong trường hợp này tách 8 chuỗi con): Công nghệ thông tin V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 50 1 010 0 010 0 101 0 000 0 100 1 010 1 101 0 101 Sau đó tiến hành sinh ngẫu nhiên các chuỗi R0 có độ dài 4 và tiến hành so khớp với các chuỗi con của chuỗi tế bào S, giả sử sinh các chuỗi 0111, 1000, 0101, 1010. Kết quả bộ dò R gồm 2 chuỗi 0111 và 1000; Các chuỗi 0101 và 1010 bị loại vì nó khớp với một chuỗi con của S. Sau khi tập bộ dò được sinh ra thì các chuỗi tế bào sẽ được theo dõi bằng cách so khớp chúng với các chuỗi trong tập bộ dò R. Ví dụ, trong chuỗi tế bào S ở trên chúng ta thay chuỗi con 0101 thành 0111, như vậy, trong quá trình so khớp với tập bộ dò sẽ phát hiện ra 1 chuỗi con so khớp được, khi đó sẽ phát ra cảnh báo chuỗi tế bào đã bị thay đổi. 3.3. Quy tắc so khớp Như đã đề cập, quy tắc so khớp Hamming dựa trên khoảng cách giữa hai chuỗi, nếu hai chuỗi có cùng giá trị tại rvị trí thì được gọi là giống nhau. Một quy tắc so khớp hoàn chỉnh giữa hai chuỗi có độ dài bằng nhau sao cho mỗi vị trí tương ứng giữa hai chuỗi hoàn toàn giống nhau được gọi là quy tắc so khớp R- Chunk và R-Contiguous. Để đơn giản, ta so khớp tại r vị trí liên tiếp giữa 2 chuỗi, nếu 2 chuỗi khớp với nhau tại ít nhất r vị trí liên tiếp thì hai chuỗi được gọi là so khớp với nhau. Ví dụ, so khớp hai chuỗi x:BBAABCDAB, y:AABABCDBA; Chuỗi x và y gồm 4 ký tự, khi đó, nếu việc so khớp có r ≤ 3 thì 2 chuỗi được gọi là khớp với nhau. Bộ dò r-chunk là một bộ (d,i) gồm một xâu và một số nguyên khớp được với xâu nếu là tập các xâu nhị phân có chiều dài r. Bộ dò r-chunk được đề xuất bởi T.Stibor [11] có ưu điểm làm giảm tỷ lệ phát hiện sai. Bộ dò r-contiguous là một xâu khớp được với một xâu khác nếu với mọi mà . Ví dụ chuỗi tế bào: (2) khi đó, với r=3 ta có các bộ dò: gồm 09 bộ:       1 000,1 , 110,1 , 111,1D  ;       2 011, 2 , 100, 2 , 111, 2D  ; (3)       3 001,3 , 110,3 , 111,3D     ,3 11001;11110;11111ContD S  . Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 51 Các quy tắc Humming, R-Chunk và R-Contiguous đều có thể sử dụng điều chỉnh một biến ngưỡng r để xác thực việc so khớp chuỗi, nếu r càng lớn thì việc so khớp càng nghiêm ngặt. 3.4. Xác xuất phát hiện thay đổi Xác suất phát hiện sự thay đổi của tế bào khi được so khớp với r vị trí liên tiếp (r láng giềng) được xác định bởi , với là m số lượng ký tự khác nhau trong 2 chuỗi cần so khớp, l là độ dài của chuỗi so khớp và r là số vị trí liên tiếp cần so khớp. Bên cạnh đó cũng cần phải xác định số lượng chuỗi ngẫu nhiên cần sinh ra cần thiết cho tập bộ dò để khi so khớp với các tế bào thì độ chính xác của việc so khớp và thời gian so khớp có thể chấp nhận được. Ta có xác suất một chuỗi ngẫu nhiên trong không khớp được với tất cả các chuỗi tế bào là với là số lượng chuỗi tế bào và xác suất mà bộ dò không phát hiện được sự thay đổi với là số lượng cuỗi của tập bộ dò. Khi đó, số lượng chuỗi ngẫu nhiên cần tạo ra cho tập bộ dò là: . 4. THỰC NGHIỆM VÀ KẾT QUẢ Một số công trình nghiên cứu hướng về tìm điểm chung nhất đó là xây dựng tập bộ dò cho toàn bộ thư mục (ổ đĩa), tuy nhiên, tổng dữ liệu tại các thư mục/ổ đĩa là rất lớn nên việc kiểm soát và cài đặt một tập bộ dò cho toàn bộ thư mục/ổ đĩa không khả thi. Trong nghiên cứu này, chúng tôi đưa ra giải pháp là chia nhỏ dữ liệu đầu vào của bộ dò bằng cách sinh ra chuỗi tế bào S từ một tập tin máy tính hay nói cách khác mỗi tập tin trên máy tính sẽ tạo ra một chuỗi tế bào riêng. Điều này làm cho AIS có thể kiểm soát được toàn bộ dữ liệu của hệ thống. Việc tạo ra tập bộ dò ở đây theo hướng “tìm điểm chung nhất của một tập tin” hay nói cách khác mỗi tập bộ dò có đặc điểm của từng tập tin tương ứng và các tập bộ dò này được lưu vào cơ sở dữ liệu. Việc so khớp sẽ được tiến hành trên dữ liệu của tập tin và tập bộ dò của riêng nó, tập bộ dò mang các đặc điểm nhận dạng của tập tin để phân biệt self-nonself. Bên cạnh đó, nghiên cứu còn kết hợp với giải pháp so sánh dung lượng của tập tin để tìm tham số l phù hợp. Giả sử ta có 5 bít, như vậy, tổ hợp của 5 bít này có thể tạo ra 25 trường hợp kết hợp, hay nói một cách khác có thể tạo ra một tế bào có chiều dài 5*2+5+ bít. Tổng quát hơn, nếu một có dung lượng N, như vậy, tham số l Công nghệ thông tin V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 52 tối ưu cho bộ dò có thể được xác định bởi *2 ll N . Khi đã biết được tham số l với mỗi giá trị r ta có thể xây dựng được tập dò khác nhau. Theo phân tích trong phần 3.2, ta có thể thay đổi lần lượt giá trị r để có thể tìm thấy một phương án phù hợp với bài toán theo một xác suất nào đó. Trong giai đoạn tạo tập bộ dò, thuật toán sẽ tiền hành tìm kiếm các tập tin trong thư mục/ổ đĩa, với mỗi tập tin tìm được hệ thống sẽ tiền hành tạo bộ dò (chuỗi tế bào) cho tập tin và lưu vào tập tin dữ liệu của tập bộ dò. Lưu đồ thuật toán được biểu diễn trong hình 5. Hình 5. Lưu đồ thuật toán AIS tạo tập bộ dò. Trong thử nghiệm, chúng tôi đã tiến hành trên vùng dữ liệu gồm 1000 tập tin được chia thành 20 thư mục khác nhau, dữ liệu của tập bộ dò được tạo ra sẽ được lưu trong một tập tin văn bản. Hình 6. Lưu đồ thuật toán AIS kiểm tra sự thay đổi của các tập tin. Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 53 Để kiểm tra sự thay đổi của tập tin hay các tập tin có bị nhiễm mã độc/virus hay không thuật toán tiến hành tìm kiếm các tập tin trong vùng dữ liệu và truy vấn các thông tin bộ dò của tập tin tìm được, tiến hành kiểm tra sự thay đổi của tập tin. Lưu đồ thuật toán được biểu diễn như trong hình 6. Quá trình thử nghiệm được tiến hành tại phòng thí nghiệm An ninh mạng – Học viện Kỹ thuật quân sự với vùng dữ liệu gồm 1000 tập tin, mỗi tập tin có dung lượng xấp xỉ 1MB, tiến hành thay đổi dữ liệu trong 748 tập tin và kiểm tra hiệu quả của kỹ thuật cho thấy hệ thống đã cảnh báo sự thay đổi của 739 tập tin, trong đó có 9 tập tin cảnh báo sai. Từ kết quả trên cho thấy hệ thống AIS kiểm soát sự thay đổi của dữ liệu trong vùng dữ liệu được kiểm soát đạt độ chính xác 98.80% với sai số 1.22%. Cùng với các cảnh báo về sự thay đổi dữ liệu trong các tập tin mà AIS đưa ra, kết hợp với phân tích logfile mà người quản trị có thể phán đoán chính xác sự thay đổi này do người dùng gây ra (hợp pháp), hay sự thay đổi do virus, mã độc (bất hợp pháp) mà có thể đưa ra các biện pháp xử lý thích đáng. 5. KẾT LUẬN Hệ miễn dịch nhân tạo đang là hướng nghiên cứu được quan tâm trong phát triển hệ thống phát hiện xâm nhập, cảnh báo an ninh. Dựa trên hệ miễn dịch nhân tạo có thể tạo ra các tế bào (mã) có khả năng đối kháng (nhận diện) được các mã độc hay các tấn công mới lạ, tinh vi hiện nay. Việc xác định phương án phù hợp nhất hay tìm tham số r tối ưu tốn nhiều thời gian do phải xét tất cả các trường hợp, trong thời gian tới nhóm tiếp tục nghiên cứu theo hướng tự động thay đổi tối ưu tham số đầu vào l và r nhằm tăng tốc độ xử lý trong hệ thống. TÀI LIỆU THAM KHẢO [1]. J. P. Anderson, “Computer security threat monitoring and surveillance,” Tech. Rep., James P. Anderson Company, Fort Washington, Pa, USA, 1980. [2]. I. Antoniou, S. Gutnikov, V. Ivanov, Yu. Melnikov and A. Tarakanov (2002), Immunocomputing: a survey, Solvay Preprint 01-02, Brussels, BELGIUM. [3]. L. N. de Castro and F. J. von Zuben, “Learning and optimization using the clonal selection principle”, IEEE Transactions on Evolutionary Computation, vol. 6, no. 3, pp. 239–251, 2002. [4]. L. N de Castro and J. Timmis, “Artificial Immune Systems: A New Computational Intlligence Approach”, Springer-Verlag, 2002 Công nghệ thông tin V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 54 [5]. D. E. Denning, “An intrusion-detection model,” IEEE Transactions on Software Engineering, vol. 13, no. 2, pp. 222–232, 1987. [6]. Forrest et al, “Self-Nonself Discrimination in a Computer”, in Proceedings of 1994 IEEE Symposium on Research in Security and Privacy, Oakland, CA, 202-212 [7]. S. Forrest, S. A. Hofmeyr, and A. Somayaji, “Computer Immunology” Communications of the ACM, vol. 40, no. 10, pp. 88–96, 1997. [8]. C. A. Janeway, P. Travers, M. Walport, and M. Shlomchik, “Immunobiology: The Immune System in Health and Disease”, Garland Science, New York, NY, USA, 2005. [9]. M. F. A. Gadi, X. Wang, and A. P. do Lago, “Credit card fraud detection with artificial immune system,” in Artificial Immune Systems, vol. 5132 of Lecture Notes in Computer Science, pp. 119–131, Springer, Berlin, Germany, 2008. [10]. L. T. Heberlein, G. V. Dias, K. N. Levitt, B. Mukherjee, J. Wood, and D. D. Wolber, “A network security monitor,” in Proceedings of the IEEE Computer Society Symposium on Research in Security and Privacy, pp. 296–304, Oakland, Calif, USA, May 1990. [11]. T. Stibor et al, “An investigation of r-chunk detector generation on higher alphabets”, GECCO 2004, LNCS 3102, 299-30. [12]. J. Timmis, A. Tyrrell, M. Mokhtar, A. Ismail, N. Owens, and R. Bi, “An artificial immune system for robot organisms,” in Symbiotic Multi-Robot Organisms: Reliability, Adaptability, Evolution, pp. 268–288, Springer, Berlin, Germany, 2010. [13]. A. Watkins, J. Timmis, and L. Boggess, “Artificial immune recognition system (AIRS): an immune-inspired supervised learning algorithm,” Genetic Programming and Evolvable Machines, vol. 5, no. 3, pp. 291–317, 2004. [14]. S. X. Wu and W. Banzhaf, “The use of computational intelligence in intrusion detection systems: a review,” Applied Soft Computing Journal, vol. 10, no. 1, pp. 1–35, 2010. [15]. Phạm Văn Việt, “Nghiên cứu, phát triển và ứng dụng hệ miễn dịch nhân tạo trong việc giải các bài toán tối ưu”, Luận văn Thạc sĩ, HV Kỹ thuật Quân sự (2006). [16]. Nguyễn Xuân Hoài, Nguyễn Văn Trường, Vũ Mạnh Xuân, “Hệ miễn dịch nhân tạo và ứng dụng”, Tạp chí Khoa học và Công nghệ ĐH Thái Nguyên (2007), pp. 13-18. Nghiên cứu khoa học công nghệ Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 55 ABSTRACT ARTIFICIAL IMMUNE SYSTEM ON INTELLIGENT NETWORK INTRUSION DETECTION SYSTEM In the field of cyber security, intrusion detection is a mechanism for detecting abnormal access to networks and computers by analyzing the various interactions. The current Intrusion detection (ID) methods normally has false positive rates and negative rate unexpectively. Thus, there should be measures to reduce the rate of false alarms. Computational intelligence techniques are being studied in order to improve detection rates and provide more accurate warnings. There have been some studies on Artificial Immune System (AIS), however, those examined the basic implementations of the approach based on AIS. Applying AIS on intrusion detection system is one of the attractive approaches recently. In this paper, we discover some basic concepts of artificial immune system, then apply artificial immune system to network intrusion detection. Some experimental results was conducted in Laboratory of Network Security – Le Quy Don Technical University which outperformed to other previous techniques. Keywords: Machine learning, Intrusion, Intrusion detection, Security alarms, Artifical Immune System. Nhận bài ngày 17 tháng 01 năm 2017 Hoàn thiện ngày 20 tháng 02 năm 2017 Chấp nhận đăng ngày 01 tháng 5 năm 2017 Địa chỉ: Học viện Kỹ thuật quân sự. * Email: canhvuvan@yahoo.com