SỬ DỤNG CÔNG CỤ KHAI PHÁ DỮ LIỆU ĐỂ CẢNH BÁO NGUY CƠ MẤT AN NINH TRÊN MẠNG

dữ liệu theo một số phương pháp nào đó giúp người sở hữu dữ liệu có thể hiểu được và sử dụng hữu ích.- Theo Wegman[7], khai phá dữ liệu chính là sử dụng các kỹ thuật tính toán để phân tí

MỤC LỤC

DANH MỤC CÁC BẢNG 2

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ 3

MỞ ĐẦU 4

Chương 1: TỔNG QUAN VỀ KHAI PHÁ DỮ LIỆU 8

1.1.Khai phá dữ liệu và quá trình phát triển tri thức 8

1.2 Khai phá dữ liệu là gì? 10

1.2.1 Khái niệm 10

1.2.2 Cáùc bước của quá trình khai phá dữ liệu 11

1.2.3 Các thành phần của giải thuật khai phá dữ liệu 13

1.3 Các phương pháp khai phá dữ liệu 14

1.3.1 Phương pháp quy nạp (Induction) 14

1.3.2 cây quyết định (Decision Trees) 15

1.3.3 Mạng nơron ( Neural networks) 16

1.4 Những thách thức trong khai phá dữ liệu 21

1.5 Ứng dụng của khai phá dữ liệu 23

Chương 2: ỨNG DỤNG KHAI PHÁ DỮ LIỆU TRONG VIỆC CẢNH BÁO NGUY CƠ MẤT AN NINH TRÊN MẠNG 24

2.1 Phát triển và bảo mật mạng cục bộ hiện nay 24

2.3 Xây dựng đề tài 26

2.3.1 Mục đích xây dựng đề tài 26

2.3.2 Yêu cầu 27

Chương 3: M T S GIAO THỨC TRUYỀN TIN TRÊN M NG Ộ Ố Ạ 28

3.1 Cơ chế truyền tin và kỹ thuật truyền gói tin trên mạng 28

3.1.1 Gói tin dạng Datagram 29

3.1.2 Các giao thức (Protocols), cổng (Ports) và Sockets 30

3.2 Các giao thức truyền tin và cấu trúc một số gói tin trên mạng 36

3.2.1 Giao thức Internet (Internet Protocol - IP) 36

3.2.2 Giao thức điều khiển truyền tin (Transmission Control Protocol - TCP) .40

3.2.3 Giao thức không kết nối (User Datagram Protocol - UDP) 45

3.2.4 Giao thức điều khiển thông điệp (Internet Control Message Protocol - ICMP) 49

3.2.5 Giao thức chuyển địa chỉ ARP (Address Resolution Protocol) và giao thức chuyển ngược địa chỉ RARP (Reverse Address Resolution Protocol) 52

DANH MỤC CÁC BẢNG

Bảng 5.1: Bảng dữ liệu lưu trữ các thông tin phần header của gói tin………64Bảng 5.2: Một số lớp chính của Project Sniffer………67Bảng 5.3: Một số lớp chính của Project Sniffer UI………68

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ

Hình 1.1 Quá trình phát hiện tri thức từ Cơ sở dữ liệu………9

Hình 1.2 Quá trình khai phá dữ liệu………11

Hình1.3 Minh hoạ cây quyết định………16

Hình 1.4 : Sơ đồ quá trình khai phá dữ liệu bằng mạng nơron………17

Hình 3.1 Khuôn dạng của IP Datagram………29

Hình 3.2 Quá trình xử lý truyền dữ liệu.………34

Hình 3.3 Gói thông tin IP trong một frame Ethernet………37

Hình 3.4 Qúa trình truyền thông tin giữa các mạng khác nhau………39

Hình 3.5 Quá trình truyền nhận thông tin trên mạng………42

Hình 3.6 Gói tin TCP chứa trong một Ethernet frame………43

Hình 3.7 Cấu trúc gói tin UDP………46

Hình 3.8 Phân kênh và hợp kênh………47

Hình 3.9 Định dạng của thông báo ICMP………49

Hình 3.10 Mô tả việc định hướng lại gói tin trên mạng X.25………51

Hình 3.11 Mô tả cơ chế chuyển giao địa chỉ động………53

Hình 3.12 Mô tả gói thông tin ARP………54

Hình 4.1 Cấu trúc chung của gói tin………57

Hình 4.2 Các trường trong Type of service………58

Hình 5.1 Sơ đồ chức năng của hệ thống ………63

Hình 5.2 Thể hiện chức năng phân tích của chương trình ………69

Hình 5.3 Thể hiện chức năng cảnh báo của chương trình………70

Hình 5.4 Giao diện chính của chương trình………70

Hình 5.5 Giao diện hiển thị danh sách gói tin………71

Hình 5.6 Giao diện hiển thị gói tin ICMP………71

Hình 5.7 Giao diện hiển thị các cảnh báo mà chương trình đưa ra………72

MỞ ĐẦU

Trong thời đại hội nhập kinh tế toàn cầu hiện nay, vấn đề trao đổi thông tin ngày càng trở nên quan trọng và cấp thiết Việc có được thông tin chính xác kịp thời là hết sức quan trọng đối với mọi cá nhân cũng như các tổ chức và doanh nghiệp Mạng máy tính đóng vai trò rất quan trọng, nó giúp cho mọi người tiếp cận, trao đổi những thông tin mới nhất một cách nhanh chóng và thuận tiện

Tuy nhiên, để đảm bảo an toàn của các thông tin trên mạng là một công việc rất phức tạp Thông tin trên các mạng máy tính có thể gặp rất nhiều hiểm hoạ từ cacù hiểm hoạ ngẫu nhiên cho đến những hiểm hoạ cố ý Tất cả những

hiểm hoạ đều dẫn đến mất mát thông tin hay làm sai lệch thông tin dưới nhiều góc độ khác nhau Vì vậy việc bảo vệ thông tin trên các mạng máy tính là một công việc hết sức cần thiết Công nghệ thông tin càng đi sâu vào cuộc sống thì vấn đề an toàn thông tin càng phải được quan tâm.

Vấn đề an ninh, an toàn thông tin trên mạng là cái cần được giải quyết đầu tiên khi thiết kế, xây dựng để đưa một dịch vụ mạng hay một mạng vào hoạt động Đặc biệt khi mà hàng ngày có thể liệt kê ra nhiều vụ thử tấn công, hay tấn công của tin tặc vào một mạng mới cài đặt, hay một trang web mới đưa ra… Tin tặc luôn luôn tìm và dùng nhiều loại tấn công khác nhau, bằng các phương thức khác nhau để tấn công truy cập vào các máy trên mạng

Hiện nay có rất nhiều công nghệ và giải pháp an ninh trên mạng Nhưng vấn đề đặt ra cho người thiết kế và quản trị mạng là phải chọn ra được những giải pháp phù hợp với yêu cầu về kinh tế kỹ thuật Người quản trị mạng đóng vai trò hết sức quan trọng, họ phải quản lý được các thông tin dữ liệu truyền đi trên mạng, phân tích được các thông tin, thông báo để đưa ra các quyết định kịp thời chính xác, đảm bảo hệ thống mạng luôn hoạt động tốt Vì vậy, việc áp dụng các phương pháp khai phá dữ liệu để phân tích dữ liệu và đưa ra các luật để cảnh báo về việc mất an ninh trên mạng là rất cần thiết

Luận văn với đề tài “Sử dụng công cụ khai phá dữ liệu để cảnh báo nguy cơ mất an ninh trên mạng” nhằm nghiên cứu, khai thác dữ liệu thu được

từ các công cụ chặn bắt gói tin, tìm hiểu cơ chế hoạt động của các gói tin trên mạng, để từ đó đưa ra các cảnh báo về khả năng, nguy cơ mất an ninh trên mạng

Luận văn được chia thành 5 chương với những nội dung sau:

- Chương 1: Tổng quan về khai phá dữ liệu Gồm một số khái niệm,

phân tích kỹ thuật khai phá dữ liệu, những thách thức đối với công việc khai phá dữ liệu

- Chương 2: Ứng dụng của khai phá dữ liệu trong việc cảnh báo nguy

cơ mất an ninh trên mạng Tìm hiểu về sự phát triển và bảo mật

trong mạng cục bộ cùng với vấn đề an toàn-an ninh của việc trao đổi thông tin trên mạng để từ đó tiến tới xây dựng chương trình giám sát các hoạt động truy cập, đưa ra các cảnh báo và ngăn chặn truy cập trái phép trong mạng

- Chương 3: Một số giao thức truyền tin trên mạng Trình bày về cơ

chế truyền tin, các giao thức truyền tin và cấu trúc một số gói tin trên mạng

- Chương 4: Công cụ chặn bắt gói tin và các luật giám sát truy cập dịch vụ mạng Giơi thiệu về công cụ chặn bắt gói tin trên manïg, cấu

trúc chung của gói tin và các tiêu chí, các luật để giám sát, kiểm soát truy cập vào các dịch vụ mạng

- Chương 5: Xây dựng chương trình cảnh báo nguy cơ mất an ninh trên mạng LAN Phân tích thiết kế hệ thống của chương trình và xây

dựng chương trình chặn bắt các gói tin, đưa ra các cảnh báo về nguy cơ mất an ninh trên mạng

Do kiến thức còn nhiều hạn chế nên trong luận văn không tránh khỏi những sai sót, em rất mong nhận được sự chỉ bảo, góp ý của các Thầy cô giáo và

những người quan tâm Em xin chân thành cảm ơn thầy giáo PGS.TS Nguyễn Thiện Luận đã tận tình giúp đỡ, hướng dẫn em hoàn thành luận văn này.

Xin chân thành cảm ơn quý Thầy, cô đã nhiệt tình giảng dạy, trang bị cho

em những kiến thức quý báu trong suốt thời gian học tập tại trường

Xin chân thành cảm ơn các bạn cùng lớp, các bạn đồng nghiệp và trường Đại học công nghiệp Hà Nội đã tạo điều kiện tốt cho tôi hoàn thành luận văn này

Phạm Văn Hiệp

Chương 1: TỔNG QUAN VỀ KHAI PHÁ DỮ LIỆU

1.1.Khai phá dữ liệu và quá trình phát triển tri thức

Một trong những yếu tố dẫn đến thành công trong mọi hoạt động kinh doanh đó là việc biết sử dụng thông tin một cách có hiệu quả nhất Điều đó có nghĩa là từ các dữ liệu có sẵn, phải tìm ra thong tin tiềm ẩn có giá trị mà trược đó chưa được phát hiện, tìm ra những xu hướng phát triển và những yếu tố tác động lên chúng Đó chính là thực hiện quá trình phát hiện tri thức trong cơ sở dữ liệu (Knowledge Discovery in Databases - KDD) mà trong đó kỹ thuật cho phép

ta lấy được các tri thức chính là kỹ thuật khai phá dữ liệu (Data mining) KDD là một quá trình gồm nhiều bước, trong khi đó khai phá dữ liệu chỉ là một trong những bước đó

Dữ liệu thường được cho bởi các giá trị mô tả các sự kiện, hiện tượng cụ thể Khó có thể định nghĩa rõ rang về tri thức, nhưng có thể hiểu tri thức là một biểu thức trong một ngôn ngữ nào đó diễn tả một hay nhiều mối quan hệ giữa các thuộc tính trong các dữ liệu đó Tri thức thường được biểu diễn bởi các khung, các cây, đồ thị, các luật , các công thức trong ngôn ngữ logic mệnh đề, các hệ phương trình …

Phát hiện tri thức từ cơ sở dữ liệu (CSDL) là một quá trình mà trong đó con người là trung tâm Quá trình phát hiện tri thức là một quá trình hoạt động tương tác thường xuyên giữa con người (người sử dụng hoặc chuyên gia phân

tích) và CSDL Quá trình này bao gồm 5 bước như hình dưới đây:

Hình 1.1 Quá trình phát hiện tri thức từ Cơ sở dữ liệu

Đầu vào của quá trình này là dữ liệu và đầu ra là những thông tin hữu ích mong muốn của người dung Tuy nhiên những thông tin này có thể không rõ ràng hoặc không chính xác Để đảm bảo kết quả của quá trình là chính xác và có ích thì cần có cả chuyên gia về chuyên môn và chuyên gia kỹ thuật

Lựa chọn dữ liệu: Dữ liệu cần thiết cho quá trình khai phá dữ liệu có thể chứa trong nhiều nguồn khác nhau, thậm chí các nguồn dữ liệu không đồng nhất (dữ liệu chứa trong các CSDL khác nhau, các file…)

Tiền xử lý dữ liệu: Tiền xử lý dữ liệu là một trong những bước đóng vai trò hết sức quan trọng trong quá trình phát triển tri thức, bởi vì dữ liệu được sử dụng trong quá trình khai phá dữ liệu có liệu có thể bị lỗi hoặc bị thiếu Đối với dữ liệu lỗi ta có thể sửa hoặc loại bỏ còn, với những dữ liệu thiếu ta buộc phải dự đoán và cung cấp một giá trị dữ liệu nào đó Công cụ phổ biến dùng để xử lý giá trị thiếu đó là mạng nơron và kết hợp mạng nơron với thuật giải di truyền

Chuyển đổi dữ liệu: Dữ liệu từ nhiều nguồn khác nhau phải được biến đổi thành một khuôn dạng chung dễ sử dụng hơn rồi mới xử lý Các kỹ thuật chuyển đổi dữ liệu làm cho dữ liệu dễ khai phá hơn, hiệu quả hơn

Diễn dịch dữ liệu

Tiền xử lý dữ liệu

Dữ liệu

ban đầu Dữ liệu mẫu

Chuyển đổi dữ liệu

Dữ liệu sau tiền xử lý

Khai phá dữ liệu

Dữ liệu sau chuyển đổi

Lựa chọn

dữ liệu

Mô phỏng Tri thức

Khai phá dữ liệu: dựa vào từng công việc khai phá cụ thể, lựa chọn các thuật toán để khái quát những kết quả mong muốn.

Diễn dịch: Làm thế nào để người sử dụng hiểu được kết quả của quá trình khai phá dữ liệu là cực kỳ quan trọng Vì dữ liệu có ích hay không lại phụ thuộc vào điều đó Sử dụng các kỹ thuật mô phỏng và giao diện với người sử dụng cho phép người sử dụng có thể thu được những kết quả phức tạp hơn so với việc mô tả kết quả bằng toán học hay bằng văn bản Một số kỹ thuật mô phỏng như: đồ thị, mô hình phân cấp…

1.2 Khai phá dữ liệu là gì?

1.2.1 Khái niệm

Khai phá dữ liệu là một khái niệm ra đời vào những năm cuối của thập kỷ

80 Nó bao hàm một loạt các kỹ thuật nhằm phát hiện ra các thông tin có giá trị tiềm ẩn trong các tập dữ liệu lớn Về bản chất thì khai phá dữ liệu liên quan đến việc phân tích các dữ liệu và sử dụng các kỹ thuật để tìm ra các mẫu trong tập dữ liệu

Vậy khai phá dữ liệu là gì? Có rất nhiều cách phát biểu khác nhau về khai phá dữ liệu, dưới đây là một số khái niệm:

- Theo Groth [11] thì khai phá dữ liệu là một quá trình xác định các mẫu ẩn, xu thế và mối quan hệ dữ liệu

- Theo Berry và Linoff [10], khai phá dữ liệu là quá trình khám phá và phân tích tự động hoặc bán tự động một lượng lớn dữ liệu để khám phá ra các mẫu và các luật

- Theo Hand, Manila va Smyth [9] thì khai phá dữ liệu là phân tích tập dữ liệu quan sát được (thường lớn) để tìm ra mối quan hệ và tổng hợp

dữ liệu theo một số phương pháp nào đó giúp người sở hữu dữ liệu có thể hiểu được và sử dụng hữu ích.

- Theo Wegman[7], khai phá dữ liệu chính là sử dụng các kỹ thuật tính toán để phân tích dữ liệu với sự tác động rất ít của con người

- Fayyad, Piatestsky-Shapiro và Smyth [8] đã dùng khái niệm phát hiện tri thức trong cơ sở dữ liệu để chỉ toàn bộ quá trình phát hiện các tri thức có ích từ các tập dữ liệu lớn Trong đó, khai phá dữ liệu là một bước đặc biệt trong toàn bộ quá trình, sử dụng các giải thuật đặc biệt để trích rút ra các mẫu từ dữ liệu

1.2.2 Cáùc bước của quá trình khai phá dữ liệu

Các giải thuật khai phá dữ liệu thường được miêu tả như những chương trình hoạt động trực tiếp trên tệp dữ liệu Với các phương pháp học máy và thống kê trước đây thường thì bước đầu tiên là các giải thuật nạp toàn bộ tệp dữ liệu vào trong bộ nhớ Khi chuyển sang các ứng dụng công nghiệp liên quan đến khai phá các kho dữ liệu lớn thì mô hình này không thể áp dụng được vì nó không thể nạp hết dữ liệu vào trong bộ nhớ và khó có thể chiết xuất dữ liệu ra các tệp đơn giản để phân tích có thể hình dung quá trình khai phá dữ liệu gồm những bước sau :

Hình 1.2:Quá trình khai phá dữ liệu

DL trực tiếp

Thu thập và tiền xử lý dữ liệu

Giải thuật khai phá dữ liệu

Xác định dữ liệu liên quan

Xác định

nhiệm vụ

Thống kê tóm tắt

Mẫu

Quá trình khai phá dữ liệu bắt đầu bằng cách xác định chính xác các vấn đề cần giải quyết Sau đó xác định các dữ liệu liên quan dùng đẻ xây dựng giải pháp Bước tiếp theo là thu thập các dữ liệu có liên quan và tiền xử lý để cho các giải thuật khai phá dữ liệu có thể thực hiện được Về lý thuyết thì bước này có vẻ đơn giản nhưng khi thực hiện thì đây thực sự là một vấn đề rất khó khăn

do gặp phải nhiều vấn đề vướng mắc như : các dữ liệu phải được sao nhiều bản, quản lý tập các tệp dữ liệu, phải lặp đi lặp lại toàn bộ quá trình nhiều lần …

Bước tiếp theo là chọn giải thuật khai phá dữ liệu thích hợp và thực hiện việc khai phá dữ liệu để tìm được các mẫu ( pattern) Đặc điểm của mẫu là phải mới , ít nhất đối vơí hệ thống đó Độ mới có thể được đo tương ứng bằng độ thay đổi trong dữ liệu ( bằng cách so sánh các giá trị hiện tại với các giá trị trước đó hoặc các giá trị mong muốn ), hoặc bằng các tri thức ( mối liên hệ giữa các phương pháp tìm mới và phương pháp cũ như thế nào ) Độ mới của mẫu thường được đánh giá bằng một hàm logic hoặc hàm đo độ mới, độ không mong đợi của mẫu Ngoài ra mẫu phải có khả năng ứng dụng Mẫu khai thác đựoc phải có giá trị đối với dữ liệu mới với độ chính xác nào đó

Kỹ thuật khai phá dữ liệu thực chất không có gì mới Nó là sự kế thừa, kết hợp và mở rộng của các kỹ thuật cơ bản đã đựơc nghiên cứu từ trước như học máy, nhận dạng, thống kê ( hồi quy, phân lớp, phân chùm …), các mô hình đồ thị, mạng Bayes, trí tuệ nhân tạo, thu thập tri thức từ hệ chuyên gia … Tuy nhiên với sự kết hợp khéo léo trong khai phá dữ liệu, kỹ thuật này có ưu thế hơn hẳn các phương pháp trước đó, đem lại khả năng ứng dụng, phát triển nghiên cứu khoa học vào thực tiễn

1.2.3 Các thành phần của giải thuật khai phá dữ liệu

Giải thuật khai phá dữ liệu gồm 3 thành phần chính như sau: biểu diễn mô hình, đánh giá mô hình và phương pháp tìm kiếm mô hình

- Biểu diễn mô hình: Mô hình được biểu diễn bằng một ngôn ngữ L để miêu tả các mẫu có thể khai thác được Nếu ngôn ngữ mô tả quá bị hạn chế thì sẽ không thể học được và sẽ không thể có các mẫu biểu diễn một mô hình chính xác cho dữ liệu Vì thế việc quan trọng là người phân tích dữ liệu cần phải hiểu đầy đủ các giả thiết miêu tả Người thiết kế giải thuật cần phải diễn tả được các giả thiết miêu tả nào được tạo ra bởi giải thuật nào Nếu mô hình có độ phức tạp càng lớn thì sẽ làm tăng mức độ nguy hiểm do bị học quá và làm giảm đi khả năng dự đoán các dữ liệu chưa biết đồng thời việc tìm kiếm càng trở nên phức tạp và việc giả thích cũng khó khăn hơn

Mô hình ban đầu được xác định bằng cách kết hợp biến đầu ra với các biến đầu vào mà biến đầu ra phụ thuộc Sau đó tìm ra những tham số mà bài toán cần tập trung giải quyết Việc tìm kiếm mô hình sẽ đưa ra đựoc một mô hình phù hợp với Các tham số được xác định dựa trên tập dữ liệu Trong đa phần các trường hợp, tập dữ liệu được chia thành hai tập: tập dữ liệu học ( training data) và tập dữ liệu thử (testing data) Tập dữ liệu học thường được chọn với tỷ lệ 2/3 và được sử dụng cho quá trình học các tham số của mô hình Dữ liệu thử chiếm tỷ lệ 1/3 được dùng để đánh giá mô hình học được và điều chỉnh lại các con số cho phù hợp nếu cần Mô hình lựa chọn có thể là mô hình thống kê, một số giải thuật học máy, mạng nơron…

- Đánh giá mô hình: Đánh giá xem một mẫu có đáp ứng đủ tiêu chuẩn của quá trình phát hiện tri thức hay không Việc đánh giá độ chính xác dự đoán dựa trên đánh giá chéo (cross validation) Đánh giá chất lượng mô hình liên quan đến độ chính xác dự đoán, độ mới, khả năng sử dụng, khả năng hiểu được của mô hình

Việc đánh giá mô hình được được thực hiện qua kiểm tra dữ liệu Ví dụ như đối với mạng nơron việc đánh giá mô hình được thực hiện dựa trên việc kiểm tra dữ liệu học và dữ liệu thử.

- Phương pháp tìm kiếm: Phương pháp tìm kiếm gồm hai loại là tìm kiếm tham số và tìm kiếm mô hình Trong tìm kiếm tham số, giải thuật cần tìm kiếm các tham số để tối ưu theo một tiêu chuẩn đánh giá mô hình nào đó dựa trên các dữ liệu quan sát được và mô hình đã được mô tả Ví dụ như phương pháp giảm Gradient trong giải thuật lan truyền ngược trong mạng nơron Phương pháp tìm kiếm tham số được áp dụng để đánh giá chất lượng của mô hình Các phương pháp tìm kiếm mô hình thường được sử dụng các kỹ thuật tìm kiếm heuristic

1.3 Các phương pháp khai phá dữ liệu

1.3.1 Phương pháp quy nạp (Induction)

Một cơ sở dữ liêu là một kho thông tin và các thông tin quan trọng hơn cũng có thể được suy diễn từ kho thông tin đó Hai kỹ thuật chính để thực hiện việc này là suy diễn và quy nạp

- Phương pháp suy diễn nhằm rút ra thông tin từ kết quả logic của các thông tin trong cơ sở dữ liệu Phương pháp này dựa trên các sự kiện chính xác để suy

ra các tri thức mới từ các thông tin cũ Mẫu chiết xuất được thường là các luật suy diễn

- Phương pháp quy nạp nhằm suy ra các thông tin được sinh ra từ cơ sở dữ liệu Nó tự tìm kiếm, tạo mẫu và sinh ra tri thức chứ không phải bắt đầu với các tri thức đã biết Các thông tin mà phương pháp này mang lại các thông tin hay các tri thức ở mức độ trừu tượng cao diễn tả về các đối tượng trong cơ sở dữ liệu Trong khai phá dữ liệu, quy nạp được sử dụng trong cây quyết định và tạo luật

1.3.2 cây quyết định (Decision Trees)

Cây quyết định là một kĩ thuật mô phỏng dự đoán được sử dụng trong phân lớp, phân trùm và hồi quy Các cây quyết định sử dụng kĩ thuật để trị để chia không gian tìm kiếm của vấn đề thành các tập con

Định nghĩa cây quyết định như sau [4]:

Cây quyết định là một mô tả tri thức dạng đơn giản nhằm phân các đối tượng dữ liệu thành một số lớp nhất định Các nút bên trong cây đưựơc gắn nhãn là tên các thuộc tính, các cung được gán các giá trị có thể của các thuộc tính và các nút lá miêu tả các lớp khác nhau.

Ví dụ về cây quyết định [4]: Giả sử căn cứ vào chiều cao của sinh viên, chúng ta cần phân loại sinh viên trong một trường Đại học ra thành 3 loại: thấp trung bình và cao Giả thiết trong cơ sở giữ liệu có các thông tin: tên, địa chỉ, giới tính, chiều cao, tuổi, năm, chuyên ngành…Để xây dựng cây quyết định, chúng ta phải xác định xem những thuộc tính nào là quan trọng đối với bài toán phân lớp Trong số các thuộc tính trên ta chọn 3 thuộc tiính là chiều cao, tuổi và giới tính Tại sao lại chọn 3 thuộc tính trên:

- Giới tính: một người phụ nữ nếu cao 1,8 thì được xem là cao trong khi một người đàn ông có chiều cao bằng như vậy thì chưa chắc đã được xem là cao

- Tuổi: Một đứa trẻ 10 tuổi có thể xếp vào loại cao dù nó chỉ cao 1,5m

Do bài toán phân loại ở đây áp vào đối tượng sinh viên trường Đại học nên chúng ta sẽ lọc ra những sinh viên từ 17 tuổi trở lên để phân lớp Vì thế việc phân lớp chỉ còn 2 thuộc tính là chiều cao và giới tính Sử dụng thuật toán xây dựng cây quyết định ta được cây sau:

Hình1.3 : Minh hoạ cây quyết định

1.3.3 Mạng nơron ( Neural networks)

Mạng nơron là một tiếp cận tính toán mới liên quan đến việc phát triển các cấu trúc toán học với khả năng học Mạng nơron xuất hiện từ năm 1943 nhưng cho đến những năm 1980 lĩnh vực này mới thực sự bắt đầu Mạng nơron còn gọi là mạng nơron nhân tạo để phân biệt với mạng nơron sinh học Mạng nơron có thể xử lý dữ liệu phức tạp hoặc không chính xác và có thể được sử dụng đế chiết xuất các mẫu và phát hiện ra các xu hướng phức tạp mà con người cũng như các kỹ thuật máy tính khác không thể phát hiện được Trong lĩnh vực khai phá dữ liệu mạng nơron được dùng khá phổ biến Tuy có một số nhược điểm nhưng một trong những ưu điểm phải kể đến của mạng nơron đó là: khả năng tạo ra các mô hình dự đoán có độ chính xác cao, có thể áp dụng được cho rất nhiều loại bài toán khác nhau và đáp ứng được các nhiệm vụ đặt ra của khai phá dữ liệu như phân lớp, phân nhóm, mô hình hoá, dự báo các sự kiện phụ thuộc vào thời gian …

Quá trình khai phá dữ liệu bằng mạng nơron có thể hình dung như sau :

Hình 1.4 : Sơ đồ quá trình khai phá dữ liệu bằng mạng nơron

Mẫu chiết xuất bằng mạng nơron được thể hiện ở các nút đầu ra của mạng Mạng nơron sử dụng các hàm số để tính mức tích cực của các nút đầu ra và cập nhật trọng số Đặc điểm của mạng nơron là không cần tiền xử lý dữ liệu ( “ làm sạch “ dữ liệu ) nhiều trước khi bắt đầu quá trình học như một số phương pháp khác Tuy nhiên, để có thể sử dụng mạng nơron có hiện quả cần phải xác định các yếu tố khi thiết kế mạng như :

- Mô hình mạng là gì ? ( mạng truyền thẳng đơn lớp hay mạng MLP )

- Cấu trúc mạng như thế nào ? ( bao nhiêu lớp , số nơron mỗi lớp …)

- Khi nào thì dừng việc học đế tránh bị “ tràn “ ( overfitting )

- V…v…

1.3.4 Giải thuật di truyền (Genetic algorithms)

Giải thuật di truyền [4] được phát triển dựa trên các quá trình quan sát được trong tiến hoá tự nhiên Nguyên lý cơ bản của giải thuật được Holland công bố lần đầu tiên vào năm 1962 nhưng nền tảng toán học của nó ra đời chậm hơn khoảng 10 năm (1975) Giải thật di truyền mô phỏng lại hệ thống tién hoá trong tự nhiên Các giải thuật di truyền tiến hoá tập cá thể đánh giá và biến đổi chúng

Ví dụ xác định xem làm thế nào để lựa chọn các cá thể tạo giống và những cá thể nào sẽ bị loại bỏ giải thuật cũng mô phỏng lại yếu tố gen trong nhiễm sacé thể sinh học trên máy tính để có thể giải quyết nhiều bài toán thực tế khác nhau Giải thuật di truyền là một giải thuật tối ưu và nó được sử dụng rộng rãi trong việc tối ưu hoá các kỹ thuật khai phá dữ liệu Việc sử dụng các giải thuật di Dữ liệu Mô hình mạng nơron Mẫu chiết xuất đđược

truyền trong khai phá dữ liệu có rất nhiều dạng nhưng nói chung nó được sử dụng trên nền của các kỹ thuật khai phá dữ liệu khác, ví dụ như mạng nơron hay kỹ thuật phân lớp láng giềng gần nhất Sở dĩ giải thuật này cần thiết trong khai phá dữ liệu vì hầu hết các kỹ thuật khai phá dữ liệu đều có thể quy về bài toán tối ưu Ví dụ khi dùng giải thuật di truyền với mạng nơron, giải thuật di truyền có thểû dùng để tìm kiếm các trọng số cho một cấu trúc mạng tối ưu Đối với thuật toán láng giềng gần nhất, giải thuật di truyền có thể hỗ trợ tìm các trọng số quan trọng số quan trọng tối ưu để áp dụng cho mỗi yếu tố dự đoán.

Giải thuật di truyền đã được dùng để phân lớp, phân chùm, dự đoán thậm chí cả luật kết hợp Ngoài ra các giải thuật di truyền còn được ứng dụng để lập lịch, robot, kinh tế, sinh học và nhận dạng mẫu

Giải thuật di truyền được sử dụng để tìm ra mô hình biểu diễn dữ liệu phù hợp nhất Mô hình ban đầu được lựa chọn bất kỳ và sau nhiều vòng lặp, các mô hình được kết hợp với nhau để tạo ra các mô hình mới Khi sử dụng giải thuật di truyền để giải quyết một vấn đề, công việc đầu tiên có lẽ là khó nhất đó là làm thế nào để mô phỏng bài toán như một tập thế các cá thể Mỗi cá thể được biểu diễn như xâu ký tự của một bảng chữ cái nào đó và được dịnh nghĩa như sau [4]:

Cho bảng chữ cái A, một cá thể (individual or choromosome) hay còn gọi là một xâu l =l1,l2, l n trong đó l j∈A Mỗi ký tự được gọi là một gene Giá trị của mỗi ký tự được gọi là alleles Một quần thể (population) P là một tập các cá thể

Một trong những thành phần quan trọng nhất của một giải thuật di truyền đó là phải lựa chon ra các cá thể Việc lựa chọn những cá thể tốt nhất thường sử dụng hàm

Đo độ thành công hay thất bại hay còn được gọi là hàm thích nghi ( fitness function) ƒ [4] Hàm ƒ được định nghĩa như sau :

Cho một quần thể P , một hàm thích nghi f là một ánh xạ : ƒ: P R

Quá trình lựa chọn các cá thể đơn giản nhất là dựa trên độ thích nghi của chúng :

)

(

Trong đó pli là xác xuất để lựa chọn cá thể li

Ta có thể định nghĩa giải thuật di truyền như sau [4] :

Giải thuật di truyền là một mô hình tính toán gồm 5 thành phần sau :

1 Tập các cá thể ban đầu ( quần thể ) P

2 Toán tử lai ( crossover)

3 Toán tử đột biến ( mutation )

4 Hàm thích nghi ƒ

5 Thuật toán lặp quá trình áp dụng toán tử lai và toán tử đột biến vào quần thể P , sử dụng hàm thích nghi để quyết định xem giữ lại những cá thể tốt nhất trong quần thể P Tại mỗi vòng lặp, thuật toán sẽ thay thế một lượng cá thể trong quần thể P ( số lượng này thường được đặt trước ) và thuật toán kết thúc khi đạt đến một ngường nào đó

Thuật toán sau đây sẽ mô tả các bước thực hiện của một giải thuật di truyền:

o 1 =mutate(o 1 );o 2 =mutate(o 2 );

P’=P’v{o 1 ,o 2 } Until /P’/= N ; P=P’

Until thoả mãn điều kiện dừng

Ưu điểm chính khi sử dụng giải thuật di truyền đó là dễ song song hoá Tuy nhiên, giải thuật di truyền cũng có một số điểm yếu sau:

- Giải thuật di truyền khó hiểu và khó giải thích cho người sử dụng

- Việc hình dung bài toán và tìm phương pháp biểu diễn duới dạng các cá thể không phải lúc nào cũng dễ dàng

- Việc lựa chọn hàm f nào cho phù hợp cũng không phải là vấn đề đơn giản

1.3.5 Luật kết hợp (Association Rules)

Trong thực tế những chuyên gia về kinh doanh và tiếp thị rất thích các luật đại thể như: “ 90% phụ nữ có xe máy máu đỏ và đeo đồng hồ Thuỵ Sỹ thì dùng nước hoa hiệu Chanel” Những thông tin như vậy rất hữu ích cho việc định hướng các hoạt động tiếp thị và kinh doanh Vấn đề đặt ra là liệu có thể tìm ra những luật như vậy bằng các công cụ khai thác dữ liệu hay không? Câu trả lời là có, đó chính là nhiệm vụ khai thác luật kết hợp

Việc phát triển một thuật toán phải phát hiện luật này trong một cơ sở dữ liệu lớn là không khó Tuy nhiên, vấn đề là ở chỗ có thể có rất nhiều luật kiểu này hoặc là ta chỉ biết một tập nhỏ dữ liệu trong cơ sở dữ liệu lớn thoả mãn tiền đề của luật Chẳng hạn, chỉ có một không nhiều phụ nữ có xe máy đỏ và đeo đồng hồ Thụy Sỹ Số lượng các luật kết hợp trong một số cơ sở dữ liệu lớn gần như vô hạn Do vậy thuật toán sẽ không thể phát hiện hết các luật và không phân biệt đựơc luật nào là thông tin thực sự có giá trị và thú vị

Vậy luật kết hợp nào là thực sự có giá trị và thú vị? Chẳng hạn ta có luật: âm nhạc, thể thao => thiếu nhi, nghĩa là những người mua sách âm nhạc và thể thao thì cũng mua sách thiếu nhi Lúc đó ta quan tâm đến số lượng trường hợp khách hàng thoả mãn luật này trong cơ sở dữ liệu hay độ hỗ trợ (Support) cho

luật này Độ hỗ trợ cho luật chính là phần trăm số bản ghi có cả sách âm nhạc thể thao và thiếu nhi hay tất cả những người thích cả ba loại sách trên.

Tuy nhiên, giá trị độ hỗ trợ là không đủ Có thể có trường hợp ta có một nhóm tương đối những người đọc cả ba loại trên nhưng lại có một nhóm với lực lượng lớn hơn những người thích sách thể thao, âm nhạc mà không thích sách thiếu nhi Trong trường hợp này tính kết hợp rất yếu mặc dù độ hỗ trợ tương đối cao Như vậy, chúng ta cần thêm một độ đo thứ hai đó là độ tin cậy confidence) Trong trường hợp này độ tin cậy chính là phần trăm các bản ghi có sách thiếu nhi trong số các bản ghi có sách âm nhạc và thể thao

Thực tế luật kết hợp hữu ích trong khai thác dữ liệu nếu chúng ta đã có một ý tưởng ban đầu về cái chúng ta muốn biết Điều này chứng tỏ một vấn đề là không có thuật toán tìm ra nhiều luật có thể cũng tìm ra rất nhiều các luật không có giá trị trong khi khác chỉ tìm ra một số lượng hạn chế các luật kết hợp cũng có thể để mất các thông tin quý giá

1.4 Những thách thức trong khai phá dữ liệu

Đầu vào chủ yếu của một hệ thống khai thác tri thức là các dữ liệu thô trong cơ sở dữ liệu trong thực tế các dữ liệu thường động, không đầy đủ, lớn và

bị nhiễu Trong một số trường hợp khác người ta có thể không biết trong cơ sở dữ liệu có chứa các thông tin cần thiết cho việc khai thác hay không và làm thế nào để giải quyết với sự dư thừa thông tin

Kích thước dữ liệu lớn: Cho đến nay các cơ sở dữ liệu với hàng trăm trường, bảng, hàng triệu bảng ghi với kích thước đến gigabyte là chuyện rất bình thường Hiện nay các cơ sở dữ liệu có kích thước lớn tới Tetrabyte Các phương pháp giải quyết hiện nay là đưa ra một ngưỡng cho cơ sở dữ liệu, lấy mẫu, các phương pháp xấp xỉ, xử lý song song…

Không chỉ có số lượng bản ghi lớn mà số các trường trong cơ sở dữ liệu cũng nhiều.

Vì vậy mà kích thước bài toán trở nên lớn hơn, không gian tìm kiếm mô hình suy diễn tăng lên rất nhiều Biện pháp khắc phục là làm giảm kích thước của bài toán và sử dụng các tri thức biết trước để xác định và loại bỏ các biến không phù hợp

Dữ liệu động: Đặc điểm cơ bản của hầu hết các cơ sở dữ liệu là nội dung của chúng liên tục thay đổi Dữ liệu có thể thay đổi theo thời gian và việc khai phá dữ liệu bị ảnh hưởng bởi thời điểm quan sát dữ liệu Ví dụ trong cơ sở dữ liệu về tình trạng bệnh nhân, một số giá trị dữ liệu là hằng số, một số khác lại thay đổi liên tục theo thời gian (ví dụ như cân nặng , chiều cao), một số khác lại thay đổi tuỳ thuộc vào tình huống và chỉ có các giá trị quan sát mới nhất là đúng(ví dụ nhịp đập của mạch) Việc thay đổi dữ liệu nhanh chóng có thể làm cho các mẫu khác khai thác được trước đó mất giá trị Hơn nữa các biến trong cơ sở dữ liệu của ứng dụng đã cho cũng có thể bị thay đổi, xoá bỏ hoặc tăng lên theo thời gian Vấn đè này có thể được giải quyết bằng các giải pháp học tăng cường

• Các trường không phù hợp :Một đặc điểm quan trọng khác là tính không thích hợp của dữ liệu ,nghĩa là các mục dữ liệu trở thành không thích hợp với mục đích hiện tại của việc khai thác

• Các giá trị bị thiếu (missing value): giá trị của các thuộc tính dữ liệu có thể ảnh hưởng đến kết quả khai thác dữ liệu Dữ liệu thì phải xử lý bằng cách gắn cho một giá trị hoặc kiểm tra để xác định giá trị của nó

• “Tràn”: Khi một giải thuật tìm kiếm các tham số tốt nhất cho mô hình biểu diễn tập dữ liệu hữu hạn thì có thể bị hiện tượng “tràn ”dữ liệu, nghĩa là mô hình đó chỉ phù hợp với tập dữ liệu dùng để xây dựng mô

hình mà không có khả năng dự đoán cho các dự đoán cho các dự liệu mới Điều đó có nghĩa là mô hình học thì tốt nhưng khái quát lại rất kém

1.5 Ứng dụng của khai phá dữ liệu

Khai phá dữ liệu đã được ứng dụng rất thành công trên nhiều cơ sở dữ liệu thực tế ví dụ như phân tích cơ sở dữ liệu khách hàng, tìm kiếm các mẫu trong số các khách hàng và sử dụng các mẫu này để lựa chọn các khách hàng trong tương lai Phân tích các mẫu dữ liệu của các gói tin gửi đi trên mạng để từ đó đưa ra chế độ cảnh báo về khả năng, nguy cơ mất an ninh trên mạng…

Các ứng dụng khác của khai phá dữ liệu trong kinh doanh như: Phân tích chứng khoán và các văn kiện tài chính, phân tích và báo cáo những thay đổi trong dữ liệu, phát hiện và phòng chống gian lận

Ngoài ra khai phá dữ liệu cũng có những ứng dụng trong một số ngành khoa học như: thiên văn học, sinh học (tìm kiếm các mẫu trong cấu trúc phân tử), lập mô hình dự đoán thay đổi thời tiết

Chương 2: ỨNG DỤNG KHAI PHÁ DỮ LIỆU

TRONG VIỆC CẢNH BÁO NGUY CƠ MẤT AN

NINH TRÊN MẠNG

2.1 Phát triển và bảo mật mạng cục bộ hiện nay

2.1.1 Thực trạng việc phát triển mạng máy tính

Vào những năm gần đây khi Việt Nam chính thức kết nối vào mạng Internet, nhà nước cũng có sự quan tâm và đầu tư xây dựng cơ sở hạ tầng và thúc đẩy ứng dụng công nghệ thông tin vào các lĩnh vực của đời sống kinh tế xã hội Chính vì vậy phạm vi ứng dụng của máy tính ngày càng rộng, nhu cầu trao đổi thông tin giữa các máy tính với nhau trở nên cấp thiết hơn Nhiều cơ quan hành chính sự nghiệp, các doanh nghiệp, các đơn vị trong và ngoài nước đã trang bị cho mình máy tính và hầu hết họ cũng đã xây dựng được mạng cục bộ để trao đổi thông tin, khai thác những phần mềm ứng dụng trên mạng phục cho các mục đích quản lý, kinh doanh, điều hành… của đơn vị mình

Việc ứng dụng mạng máy tính vào nhiệm vụ của các tổ chức, đơn vị trên đã đem lại một hiểu quả rõ rệt, chính vì vậy mà số lượng các dịch vụ mạng trong mạng ngày càng tăng, các ứng dụng được xây dựng ngày càng nhiều về số lượng, phạm vi ứng dụng sâu và rộng hơn vào công việc của họ Do vậy có nhiều nơi công nghệ thông tin đã dần thay thế rất nhiều nhân lực, những công việc trước đây phải làm thủ công trên giấy tờ phức tạp bây giờ đã được quản lý một cách khoa học trên các phần mền máy tính và thực sự nó đã làm thay đổi cả cách hoạt động, quản lý và điều hành ở những nơi này

2.1.2 Thực trạng việc bảo mật cho mạng cục bộ hiện nay

Bên cạnh những lợi ích to lớn mà mạng và các dịch vụ, phần mềm trên mạng đem lại thì có một vấn đề hết sức quan trọng mang tính thời sự đặt ra cho các đơn vị này là việc quản lý, điều hành và bảo mật cho các dịch vụ, các ứng dụng, các thông tin được trao đổi trên đường truyền mà họ đang khai thác như thế nào cho chặt chẽ và an toàn Sự mất an toàn này có thể xuất phát từ nhiều nguyên nhân như: Do sự phá hoại của Virus máy tính, thông tin bị đánh cắp do các phần mềm gián điệp nhưng vấn đề muốn bàn tới ở đây là vấn đề an ninh, an toàn thông tin cho các trao đổi, truy cập, khai thác thông tin trong mạng LAN, giúp người quản trị mạng quản lý tốt tài nguyên của mình Các thông tin là những thông tin về quản lí, điều hành, kinh doanh, giao dịch nằm trong các dịch vụ nó quyết định đến sự sống còn của các tổ chức, doanh nghiệp

2.2 Vấn đề an ninh, an toàn của việc trao đổi thông tin trên mạng

Như vậy vấn đề mà luận văn muốn đề cập tới ở đây là vấn đề an ninh và

an toàn cho việc trao đổi, truy cập tài nguyên trên mạng và hiện tại việc bảo mật cho các cơ sở dữ liệu này cũng mới từ hai hướng chính đó là:

 Từ máy chủ: Quản trị mạng sẽ dùng các chương trình bảo vệ Firewall, chương trình lọc và thiết lập các chế độ hạn chế truy cập, khai thác dưa trên một số tiêu chí nhất định

 Cơ sở dữ liệu: Thiết đặt các chế độ bảo vệ cho việc truy cập vào các dịch vụ để khai thác cơ sở dữ liệu, các biện pháp như sao lưu, khôi phục

Với 2 cách này thì khi các ứng dụng truy cập vào các dịch vụ khai thác thông tin, trao đổi thông tin với dịch vụ vẫn tồn tại một số hạn chế như sau:

 Người quản trị mạng vẫn chưa kiểm soát được hết lưu lượng, thời gian, các kiểu dịch vụ mà các máy trong mạng sử dụng khai thác

 Chưa đánh giá được các hoạt động của các máy trọng mạng để đề ra các giải pháp bảo vệ và kịp thời đưa ra các các biện pháp xử lý, can thiệp khi có dấu hiệu mất an toàn thông tin hay truy cập bất thường xảy ra

Xuất phát từ những thực tế đặt ra như trên mục tiêu của luận văn tiến hành nghiên cứu chỉ ra :

 Các khe hở bảo mật đối với các dịch vụ mà máy chủ cung cấp

 Đề xuất các giải pháp an toàn cho thông tin trên đường truyền

 Xây dựng ứng dụng giám sát các hoạt động truy cập khai thác các dịch vụ, cảnh báo truy xuất trái phép, phối hợp công cụ khác chống hoạt động truy cập trái phép vào các dịch vụ

2.3 Xây dựng đề tài

Từ tính cấp thiết của thực tế đặt ra, đề tài đi vào nghiên cứu, khai thác dữ liệu thu được từ các công cụ chặn bắt gói tin để kiểm soát các thông tin trao đổi và đề xuất phương án bảo mật tốt nhất cho các dịch vụ, làm cơ sở để xây dựng ứng dụng giám sát các hoạt động truy cập, cảnh báo, ngăn chặn truy xuất trái phép Chính vì vậy mà em chọn đề tài:

“Sử dụng công cụ khai phá dữ liệu để cảnh báo nguy cơ mất an ninh trên

mạng”

2.3.1 Mục đích xây dựng đề tài

Trên cơ sở nghiên cứu kỹ thuật chặn bắt các gói tin trên mạng LAN, phân tích, khai thác dữ liệu thu được từ các công cụ chăn bắt gói tin trên mạng tìm ra các đặc điểm, các quy luật chung Trên cơ sở đó xây dựng ứng dụng cho phép

giám sát các hoạt động truy cập, cảnh báo truy xuất trái phép vào các dịch vụ trong mạng

2.3.2 Yêu cầu

- Tìm hiểu một số giao thức truyền tin trên mạng

- Tìm hiểu các kỹ thuật và công cụ chặn bắt gói tin trên mạng LAN

- Nghiên cứu cấu trúc gói tin chung của các dịch vụ và đưa ra các quy luật chung, các tiêu chí để giám sát, kiểm soát truy cập vào các dịch vụ

- Xây dựng chương trình cho phép giám sát, phân tích, các truy cập trong mạng LAN và cảnh báo mỗi khi có truy cập bất thường xảy ra

Chương 3: MỘT SỐ GIAO THỨC TRUYỀN TIN TRÊN MẠNG

Mục đích trong chương này của luận văn sẽ giới thiệu chung về một số giao thức truyền tin, cơ chế truyền tin và cấu trúc một số gói tin trên mạng Như vậy nhiệm vụ chính ở đây là phải chỉ ra được cách thức mà các gói tin trên mạng được truyền đi diễn ra như thế nào và các giao thức mà các dịch vụ sử dụng cũng như cấu trúc một số gói tin của các giao thức

3.1 Cơ chế truyền tin và kỹ thuật truyền gói tin trên mạng

Như chúng ta đã biết trong mạng ARPANET, như mạng chuyển gói tin

(packet swiching network) Thông tin truyền được cắt ra thành các gói có độ dài

quy định Ví dụ Erthenet IEEE 802.3 chia message thành các gói 1500 bytes Việc chia nhỏ gói tin truyền này có một lợi điểm là nếu một đường đi bị bận hoặc bị đứt, thì các gói có thể được truyền theo một đường khác Các gói của các message khác nhau có thể truyền xen kẽ trên đường truyền do đó thời gian chờ đợi chung của hệ thống giảm Một gói tin là một block của dữ liệu mang thông tin cần thiết để truyền tới địa chỉ đích Cách truyền này giống như cách truyền thư ở bưu điện, các thông tin địa chỉ trong phần header giống địa chỉ ghi trên phong bì Mạng chuyển gói sử dụng thông tin địa chỉ trong các gói tin để chuyển các gói tin từ một mạng vật lý sang các mạng khác, chuyển chúng tới địa chỉ đích Mỗi gói tin đi trong mạng độc lập với các gói tin khác

3.1.1 Gói tin dạng Datagram

Datagram là định dạng gói tin được định nghĩa bởi giao thức Internet Hình dưới mô tả một IP datagram Năm hoặc sáu Words (32 bit) đầu của datagram là

các thông tin điều khiển gọi là header Mặc định phần header dài 5 Word, Word

thứ sáu là tùy chọn Bởi vì độ dài của phần header là biến, nó có thể thêm một

trường gọi là internet header length (IHL) cho biết độ dài phần header của gói

tin Phần header chứa tất cả các thông tin cần thiết để chuyển gói tin Định dạng

IP datagram như sau:

Hình 3.1 Khuôn dạng của IP Datagram

Giao thức Internet chuyển datagram bằng việc kiểm tra địa chỉ đích trong Word thứ năm của phần header Địa chỉ đích là 32 bit địa chỉ IP chuẩn để nhận

ra mạng đích và địa chỉ host cụ thể trong mạng Nếu địa chỉ đích là địa chỉ của host trong mạng nội bộ thì gói tin được chuyển trực tiếp đến đích Nếu địa chỉ đích không phải là mạng nội bộ thì gói tin được truyền tới cổng (gateway) để

chuyển đi Gateways là thiết bị chuyển các gói tin giữa các mạng vật lý khác nhau Thiết bị quyết định dùng cổng nào gọi là thiết bị định tuyến (routing) Nhờ

nó IP định tuyến cho mỗi gói tin

Identification

Source Address

Destination Address

Option Data begin here

Time to Live

Version IHL Type of Service Total Length

Header Checksum Protocol

Fl ags Fragmentation Offset

3.1.2 Các giao thức (Protocols), cổng (Ports) và Sockets

Một dữ liệu được định tuyến trong mạng và được chuyển đến một địa chỉ nhất định, nó phải được chuyển đến người sử dụng chính xác hay xử lý Giống như dữ liệu được chuyển lên hoặc xuống giữa các lớp của TCP/IP, một kỹ thuật được cần đến để chuyển dữ liệu đến giao thức chính xác trong mỗi lớp Hệ thống phải phối hợp dữ liệu từ nhiều ứng dụng trong một số giao thức lớp truyền và từ giao thức truyền tới giao thức Internet Phối hợp nhiều nguồn dữ liệu trong một chuỗi dữ liệu đơn được gọi là chia phiên (multiplexing) Dữ liệu chuyển tới từ mạng phải được chia phiên (be demultiplexed) tách ra để chuyển tới nhiều xử lý Để hoàn thành điều này IP sử dụng chỉ số giao thức để nhận ra giao thức truyền, và giao thức truyền sử dụng chỉ số cổng để nhận ra ứng dụng

Một vài giao thức và chỉ số cổng được sử dụng để nhận ra well-known service Well-known services là giao thức mạng chuẩn, giống như FTP va

TELNET nó được sử dụng phổ biến trong các mạng Chỉ số cổng và chỉ số giao

thức xác định rõ tới well-known service là văn bản trong Asigned Numbers RFC

Hệ thống UNIX định nghĩa giao thức và cổng trong một số tệp đơn

3.1.2.1 Chỉ số giao thức (Protocol number)

Chỉ số giao thức là một byte đơn trong Word thứ ba của datagram header Giá trị này để nhận biết giao thức lớp trên của IP, nơi mà dữ liệu được truyền đi

Trong hệ thống UNIX, chỉ số giao thức được định nghĩa trong tệp /etc/protocols Tệp này là một bảng chứa tên giao thức và chỉ số giao thức kết hợp với tên Định dạng của bảng: mỗi dòng vào đơn bao gồm tên giao thức ngăn cách bởi dấu cách từ chỉ số giao thức Chỉ số giao thức được ngăn cách bởi dấu cách từ bí danh (cho tên gọi) của giao thức Chú thích của bảng bắt đầu với #

Tệp /etc/protocols định dạng như sau:

# Internet (IP) protocols #

ip 0 IP # Internet protocol, pseudo protocol numbericmp 1 ICMP # internet control message protocol

igmp 2 IGMP # internet group multicast protocolggp 3 GGP # gateway-gateway protocoltcp 6 TCP # transmission control protocolpup 12 PUP # PARC universal packet protocoludp 17 UDP # user datagram prptocol

idp 22 IDP # xns idpipv6 41 IPV6 # IPv6

nd 77 ND # UNOFFICIAL net disk protoiclfxbm 78 ICLFXBM

eigrp 88 EIGRP# EIGRPraw 255 RAW # raw IP packetmax 256 MAX

Đây là nội dung của tệp /etc/protocols tại một workstation hiện thời Các chỉ số này không phải là là toàn bộ Nếu ta đề cập tới chỉ số giao thức đoạn của

Assgned Numbers RFC ta sẽ thấy nhiều hơn các chỉ số giao thức Tuy nhiên một

hệ thống chỉ cần dùng các chỉ số giao thức thực tế mà nó sử dụng Thậm chí bảng trên là nhiều hơn một workstation cụ thể cần, nhưng thêm nó vào cũng không thiệt hại gì cả

Chính xác là bảng trên có ý nghĩa gì? Khi một datagram được chuyển đến và địa chỉ đích của nó khớp với địa chỉ IP Lớp IP hiểu rằng datagram đã được chuyển đến lớp giao thức truyền phía trên nó Để quyết định xem giao thức nào phải nhận datagram, IP sẽ tìm chỉ số giao thức của datagram Sử dụng bảng trên có thể thấy rằng, nếu chỉ số giao thức của datagram là 6, IP sẽ chuyển datagram

cho TCP Nếu chỉ số giao thức là 17, IP sẽ chuyển datagram cho UDP TCP và UDP là hai dịch vụ lớp truyền mà ta quan tâm, nhưng tất cả danh sách giao thức trong bảng sử dụng IPdatagram chuyển dịch vụ trực tiếp IGMP là một mở rộng

IP cho kỹ thuật multicasting và PUP là giao thức gói tin giống với UDP

3.1.2.2 Port Numbers

Sau khi IP truyền dữ liệu tới giao thức truyền, giao thức truyền sẽ gửi dữ liệu tới địa chỉ máy đích chính xác (cũng gọi là máy chủ) Máy này nhận dạng bằng các chỉ số cổng (chỉ số cổng này có giá trị là 16 bit) “Source port number” của giao thức ứng dụng đã truyền dữ liệu và “destination port number” của giao thức ứng dụng mà ở đó nhận dữ liệu đều được chứa trong Word đầu tiên phần

header của mỗi đoạn TCP và gói tin UDP

Trong hệ thống UNIX, chỉ số cổng được định nghĩa trong tệp /etc/services

Chỉ số cổng nhỏ hơn 256 dành riêng cho “Well-know service” (giống như FTP và TELNET) và được định nghĩa trong Assigned Number RFC Chỉ số cổng từ 256

->1024 được sử dụng cho các dịch vụ của UNIX, là các dịch vụ giống như rlogin, nó đã bắt đầu được phát triển cho hệ thống UNIX

Chỉ số cổng là duy nhất giữa các giao thức lớp truyền, chỉ số đó chỉ duy nhất trong một giao thức truyền cụ thể Trường hợp khác TCP và UDP có thể gán chỉ số cổng giống nhau Đó là sự phối hợp của giao thức và chỉ số cổng để nhận dạng duy nhất khi xử lý dữ liệu cụ thể phải chuyển tới

Một phần của tệp /etc/services được trình bày bên dưới Địng dạng của tệp này rất giống với tệp /etc/protocols Mỗi dòng bắt đầu vào với tên của dịch vụ, tách ra bởi dấu cách từ chỉ số cổng/giao thức cặp đôi kết hợp với dịch vụ Chỉ số cổng được cặp đôi với tên giao thức truyền, bởi vì các giao thức truyền khác

nhau có thể sử dụng chỉ số cổng giống nhau Sự kết hợp, ghép đôi giữa chỉ số cổng/giao thức cung cấp cho ta một danh sách tên dịch vụ cụ thể.

Một số cổng dịch vụ:

#Dịch vụ mạng kiểu Internet

time 37/udp :timeserver

pop-2 109/tcp :post office

Hình 3.2 Quá trình xử lý truyền dữ liệu.

TELNET

TCP

Internet Protocol

128.66.12.2 6

23

Address 128.66.12.2

Protocol 6 Port 23

Word 5

Protocol

number

segment header word 1

3.1.2.3 Sockets

Well - known ports là chỉ số cổng tiêu chuẩn mà các máy từ xa có thể biết

cổng nào kết nối tới dịch vụ mạng Việc đơn giản này là xử lý kết nối bởi vì cả người gửi và người nhận đều biết rằng dữ liệu sẽ đi tới một xử lý đặc biệt và sử dụng một cổng đặc biệt Ví dụ như tất cả các hệ thống TELNET được cung cấp cổng 23

Có một kiểu thứ hai của chỉ số cổng gọi là dynamically allocated port Giống như tên của nó dynamically allocated ports không được gán chỉ số trước

Chúng sẽ được gán chỉ số cổng để xử lý khi cần Hệ thống bảo đảm rằng nó không gán chỉ số cổng giống nhau cho hai xử lý, và các chỉ số được gán ở trên là

chỉ số cổng chuẩn Dynamically assigned ports cung cấp mềm dẻo cần thiết để

hỗ trợ cho nhiều người sử dụng Nếu một TELNET người dùng được gán cổng là

23 cho cả hai cổng nguồn và cổng đích, thì chỉ số cổng nào được gán cho TELNET người dùng thứ hai? Để nhận ra duy nhất các kết nối cổng nguồn được

gán một chỉ số cổng phân phối động và chỉ số cổng chuẩn well- known port number được gán cho cổng đích.

Trong ví dụ về TELNET, người sử dụng đầu tiên được cung cấp một chỉ số cổng nguồn ngẫu nhiên và một chỉ số cổng đích là 23(TELNET) Người sử dụng thứ hai được cung cấp một chỉ số cổng nguồn ngẫu nhiên khác và chỉ số cổng đích giống thế Đó là một cặp chỉ số cổng, nguồn và đích, nó là duy nhất để nhận ra mỗi kết nối mạng Destination host nhận biết được cổng nguồn, bởi vì nó được cung cấp cả hai đoạn header TCP và header UDP Cả hai hosts biết

cổng đích bởi vì nó là well- known port.

Sự phối hợp của một địa chỉ IP và một chỉ số cổng được gọi là một socket.

3.2 Các giao thức truyền tin và cấu trúc một số gói tin trên mạng

Để các máy tính trên mạng có thể trao đổi thông tin với nhau, chúng cần có một bộ những phần mềm cùng làm việc theo một chuẩn nào đó Giao thức truyền thông (protocol) là tập quy tắc quy định phương thức truyền nhận thông tin giữa các máy tính trên mạng

Các mạng máy tính hiện đại được thiết kế bằng cách phân chia cấu trúc ở mức độ cao nhằm làm giảm sự phức tạp khi thiết kế Các giao thức mạng thường được chia làm các tầng (layer), mỗi tầng được xây để dựng dựa trên dịch vụ của tầng dưới nó và cung cấp dịch vụ cho tầng cao hơn

3.2.1 Giao thức Internet (Internet Protocol - IP)

IP là giao thức của lớp mạng đây là giao thức phổ biến và rất quan trọng , chức năng chính của giao thức này là :

• Định nghĩa phương thức, đánh địa chỉ logic (địa chỉ IP) cho mạng

• Định nghĩa cấu trúc các gói dữ liệu là đơn vị cơ sở cho việc truyền dữ liệu trên mạng

• Truyền dữ liệu giữa tầng vận chuyển và tầng mạng

• Định tuyến để chuyển các gói dữ liệu giữa các mạng

• Phân mảnh và hợp nhất các gói dữ liệu và nhúng tách chúng trong các gói dữ liệu ở tầng liên kết Gói tin IP

Tầng Internet cung cấp một hệ thống chuyển giao không kết nối và đôi khi người ta còn gọi là không tin cậy Không kết nối bởi mỗi gói tin được truyền đi trên mạng một cách độc lập, sự kết hợp dữ liệu của các gói tin được cung cấp bởi các dịch vụ lớp trên Mỗi gói tin IP chứa địa chỉ nơi gửi và địa chỉ nơi nhận và dựa vào đó nó có thể được truyền trên mạng tới đích Nhưng chính việc dữ liệu có thể đi tới đích trên nhiều đường khác nhau tạo nên sự mềm dẻo cho

Internet khi một đường bị đứt hay một nút nào đó bị quá tải, các gói tin có thể được truyền đi theo những con đường khác, nếu một gói tin nào có lỗi thì chỉ phải truyền lại gói tin đó thay vào việc phải truyền lại toàn bộ thông báo Không tin cậy bởi vì IP không có cơ chế kiểm tra tính đúng đắn của dữ liệu được truyền nhận, dịch vụ tin phải được cung cấp bởi các giao thức lớp trên Gói tin IP có cấu trúc như sau:

Vers IHL Type of Service Total length

Identification Flag Fragment offset Time to live Protocol Header cheksum

Source IP address Destination IP address

Type field

Hình 3.3 Gói thông tin IP trong một frame Ethernet

• Vers :Dài 4 bits, mô tả chính xác version của IP

• IHL :Dài 4 bits, mô tả độ dài của IP header (tính bằng từ 32

bit )

• Type of Service :dài 8 bits mô tả thứ tự ưu tiên của data.

• Total length :Dài 16 bits (2 bytes), đây là độ dài của datagram (độ

dài vùng data của IP datagram có thể lên tới 65535 bytes)

• Identification, flags, fragment offset: Không phải bất kỳ kích

thước nào của datagram cũng được truyền trên mạng (ví dụ Ethernet LAN chỉ hỗ trợ cho size lớn nhất của datagram là 1518 bytes) Do vậy khi kích thước của datagram vượt quá kích thước cho phép, nó sẽ bị chia nhỏ ra và các trường này sẽ đảm bảo rằng các datagram đã bị phân chia này là từ một datagram ban đầu

• Time to live: Dùng để xác định xem datagram này có bị truyền lặp

lại hay không (thông thường nó được gán là 1, nếu bị lặp lại nó sẽ

bị gán là 0)

• Protocol: Trường này cho biết lớp giao thức cao hơn nào sẽ được

sử dụng (UDP hay là TCP)

• CRC: Trường này được dùng để kiểm tra sự toàn vẹn của header.

• IP option: Chứa các thông tin như: "dò" đường, bảo mật, xác nhận

thời gian

• Padding: Trường điền thêm các số 0 để đảm bảo header kết thúc

tại một địa chỉ bội của 32

• Source IP address, destination IP address: chứa địa chỉ của

station gửi và địa chỉ của station đích

Gói tin IP chứa một trường checksum để kiểm tra tính toàn vẹn của IP header, nếu IP header lỗi, gói tin IP bị loại bỏ và giao thức lớp trên sẽ truyền một gói tin khác

Tầng IP làm công việc dẫn đường các gói tin qua mạng Internet từ máy tính này tới máy tính khác, qua các mạng khác nhau cho tới khi nó đến được trạm đích hoặc bị lỗi Việc truyền gói tin qua các mạng được thực hiện thông qua một thiết bị kết nối giữa hai mạng gọi là gateway Khi một thông tin truyền

qua các mạng khác nhau, nó có thể bị chia ra thành nhiều gói nhỏ hơn Thông tin truyền có thể quá lớn để có thể truyền trên một gói tin trên một mạng khác Vấn đề này chỉ gặp phải khi gateway được nối giữa các mạng vật lý khác nhau Mỗi kiểu mạng có một độ dài tối đa gói tin có thể truyền (Maximum Transmission Unit-MTU) nếu thông tin nhận được từ mạng này dài hơn MTU của mạng kia, nó cần phải được chia nhỏ ra thành nhiều mảnh để truyền.

Hình 3.4 Qúa trình truyền thông tin giữa các mạng khác nhau

Việc xử lý như vậy được gọi là sự phân mảnh Để trực quan, ta so sánh với việc chuyên chở hàng bằng tàu hoả, mỗi toa tàu có thể chở nhiều hàng hơn một chiếc xe tải sẽ trở hàng trên đường, hàng hoá sẽ được chia vào nhiều xe tải

Ta có thể so sánh việc đường ray khác về vật lý với đường ôtô, Ethernet khác X.25 về vật lý, IP phải cắt gói tin Ethernet thành những gói thông tin nhỏ hơn để

Identical Datagram

Identical Frame

Identical Packet

Identical Message

Physical Net

ApplicationTransportInternet

Physical Net

Identical Datagram

Identical Frame

Gateway G

truyền qua mạng X.25 Định dạng của mỗi gói tin chia cắt giống như với từng bản tin Word thứ hai của header chứa thông tin sử dụng cho quá trình tập hợp lại bản tin bao gồm: gói tin thuộc bản tin nào, vị trí của nó trong toàn bộ dòng dữ liệu truyền, gói tin đã được kết nối chưa.

Khi những gói tin truyền đến một gateway quá nhanh, chúng có thể bị loại bỏ và IP trả lại một thông báo lỗi (ICMP)

3.2.2 Giao thức điều khiển truyền tin (Transmission Control Protocol - TCP)

Một số ứng dụng đòi hỏi giao thức giao vận cung cấp dịch vụ chuyển giao thông tin tin cậy sử dụng TCP bởi nó cung cấp dịch vụ kiểm tra đúng đắn và dữ liệu được truyền với một sự phối hợp thích hợp Một số đặc điểm của dịch vụ tin cậy mà TCP cung cấp là:

 Hướng dòng (Stream Orientation): TCP coi dữ liệu nó gửi đi là một dòng byte không phải là gói tin Do đó, TCP đảm bảo số thứ tự của các byte gửi

nhận Trường Sequence number và Acknowledgment number trong header

của TCP giữ dấu của các byte trong toàn bộ dòng dữ liệu truyền TCP chuẩn không bắt hệ thống phải sử dụng một số đặc biệt nào để đánh số dòng byte, mỗi hệ thống tự chọn một số mà nó sẽ dùng làm điểm bắt đầu Mỗi trạm cuối phải biết số thứ tự mà trạm kia dùng Chúng phải trao đổi một segment để đồng bộ hệ thống số sẽ được sử dụng (Synchronize sequenence number - SYN) trong quá trình bắt tay Trường Sequent number trong SYN segment chứa số bắt đầu (ISN) của dòng số đánh thứ tự, số này được chọn ngẫu nhiên Mỗi byte trong dữ liệu được giữ dấu bởi số ISN do đó byte đầu tiên của dữ liệu mang số ISN+1 Sequent number chứa vị trí của dòng byte trong gói tin nếu ISN=0 và 4000 byte đã được chuyển giao thì con số tiếp theo sẽ là 4001