Đồ án: Tấn công đầu độc hệ thống IDS học cộng tác bằng mạng sinh đối kháng GAN

Đồ án môi trường nghiên cứu chuyên ngành đầu độc hệ thống phát hiện xâm nhập bằng mô hình mạng sinh đối kháng trong môi trường, thiết kế chi tiết, tính toán kỹ thuật theo tiêu

Chuyên ngành

An Toàn Thông Tin

Người đăng

Ẩn danh

Thể loại

Đồ án chuyên ngành

2022

45
1
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CẢM ƠN

MỤC LỤC

LỜI CẢM ƠN

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

DANH MỤC CÁC HÌNH VẼ

DANH MỤC CÁC BẢNG BIỂU

1. GIỚI THIỆU TỔNG QUAN

1.2. Các công trình nghiên cứu liên quan

1.2.1. Những mối đe dọa đối với mô hình học cộng tác

1.2.2. Tấn công nhiễm độc trong ngữ cảnh học cộng tác

1.3. Tính mới và sáng tạo

1.4. Cấu trúc đồ án chuyên ngành

2. KIẾN THỨC NỀN TẢNG

2.1. Hệ thống phát hiện xâm nhập

2.2. Mô hình học máy

2.3. Mô hình học cộng tác

2.4. Mô hình mạng sinh đối kháng (GAN)

2.4.2. Cấu trúc mạng GAN

3. PHƯƠNG PHÁP LUẬN VÀ THIẾT KẾ HỆ THỐNG

3.1. Phát sinh dữ liệu đối kháng bằng mô hình IDSGAN

3.2. Quy trình huấn luyện mô hình IDS theo cơ chế cộng tác (IDS-FL)

3.3. Tổng quan mô hình đề xuất

4. KẾT QUẢ THỰC NGHIỆM, PHÂN TÍCH – ĐÁNH GIÁ

4.1. Môi trường thực nghiệm

4.2. Tập dữ liệu

4.3. Tiền xử lý dữ liệu

4.4. Mô hình IDSGAN

4.5. Mô hình Federated Learning

4.6. Bộ công cụ ART

4.7. Cơ chế phòng thủ LOF

4.8. Kết quả thí nghiệm

4.8.1. Khả năng vượt mặt IDS của các mẫu đối kháng sinh ra bởi IDSGAN

4.8.2. Khả năng huấn luyện phân tán của FL

4.8.3. Khả năng tấn công đầu độc mô hình FL của IDSGAN

4.8.4. Khả năng vượt mặt mô hình IDS cộng tác có trang bị cơ chế phòng thủ LOF của IDSGAN

4.8.5. Tấn công chuyển giao bằng IDSGAN đối với mô hình IDS cộng tác đã được huấn luyện

5. KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN

5.2. Hướng phát triển

TÀI LIỆU THAM KHẢO

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

DANH MỤC CÁC HÌNH VẼ

DANH MỤC CÁC BẢNG BIỂU

1. TÓM TẮT ĐỀ TÀI

1. GIỚI THIỆU TỔNG QUAN

1.1. Đặt vấn đề

1.2. Các công trình nghiên cứu liên quan

1.2.1. Những mối đe dọa đối với mô hình học cộng tác

1.2.2. Tấn công nhiễm độc trong ngữ cảnh học cộng tác

1.3. Tính mới và sáng tạo

1.4. Cấu trúc đồ án chuyên ngành

2. KIẾN THỨC NỀN TẢNG

2.1. Hệ thống phát hiện xâm nhập

2.2. Mô hình học máy

2.3. Mô hình học cộng tác

2.4. Mô hình mạng sinh đối kháng

Tóm tắt

I. Tổng Quan Về Đầu Độc IDS Bằng Tấn Công Học Cộng Tác

Ngày nay, với sự phát triển của đô thị thông minh, việc số hóa thông tin trở nên vô cùng quan trọng. An toàn và bảo mật thông tin là yếu tố then chốt trong quá trình chuyển đổi số, đặc biệt khi dữ liệu ngày càng nhạy cảm. Các hệ thống trí tuệ nhân tạo (AI) được ứng dụng rộng rãi để nâng cao hiệu quả giải quyết vấn đề. Hệ thống phát hiện xâm nhập (IDS) là một trong những hệ thống quan trọng cần ứng dụng AI để bảo vệ an toàn thông tin. Tuy nhiên, IDS học máy cần được huấn luyện với lượng dữ liệu lớn, nhưng việc chia sẻ dữ liệu gặp hạn chế do lo ngại về quyền riêng tư. Học cộng tác (Federated Learning - FL) ra đời như một giải pháp, cho phép huấn luyện mô hình IDS mà vẫn đảm bảo quyền riêng tư dữ liệu. FL huấn luyện mô hình trực tiếp trên máy chứa dữ liệu, chỉ chia sẻ mô hình đã huấn luyện, không chia sẻ dữ liệu. Tuy nhiên, FL vẫn tồn tại lỗ hổng. Mô hình FL có thể bị tấn công nhiễm độc (poisoning attack) bởi chính các cá nhân tham gia huấn luyện. Do đó, nghiên cứu này trình bày kỹ thuật ứng dụng mạng sinh đối kháng (Generative Adversarial Network - GAN) để tấn công đầu độc IDS trong môi trường cộng tác. Kẻ tấn công giả danh người tham gia, cập nhật các mô hình IDS cục bộ độc hại được huấn luyện bằng dữ liệu đối kháng. Kết quả cho thấy mô hình IDS trong FL có thể bị đánh bại bởi kỹ thuật GAN. Mục tiêu là chỉ ra điểm yếu của FL và nghiên cứu cơ chế phòng thủ. GAN được Ian Goodfellow giới thiệu năm 2014. GAN là mô hình sinh dữ liệu, tạo ra dữ liệu mới giống thật từ phân phối xác suất của dữ liệu có sẵn. Nguyên lý hoạt động của GAN như một trò chơi đối kháng giữa hai mạng nơron: bộ sinh Generator (G) và bộ phân biệt Discriminator (D). D phân biệt mẫu đối kháng từ G và dữ liệu ban đầu, G tạo ra mẫu đối kháng dựa vào dữ liệu đầu vào. Trò chơi diễn ra liên tục đến khi D không còn khả năng phân biệt mẫu gốc và mẫu được tạo ra, tức là mẫu đối kháng tối ưu. GAN có thể đi sâu vào chi tiết dữ liệu và tạo ra vô số phiên bản dữ liệu mới, cung cấp nguồn dữ liệu phong phú cho mô hình FL.

1.1. Ưu điểm và hạn chế của Học Cộng Tác Federated Learning

Federated Learning (FL) mang lại nhiều ưu điểm vượt trội so với các phương pháp học máy truyền thống, đặc biệt là khả năng bảo vệ quyền riêng tư của dữ liệu. FL cho phép huấn luyện mô hình trên các thiết bị cục bộ, nơi dữ liệu được lưu trữ, thay vì tập trung dữ liệu về một máy chủ trung tâm. Điều này giúp giảm thiểu rủi ro rò rỉ thông tin nhạy cảm và tuân thủ các quy định về bảo vệ dữ liệu cá nhân. Bên cạnh đó, FL còn giúp giảm chi phí và thời gian truyền tải dữ liệu, đồng thời tận dụng được nguồn tài nguyên tính toán phân tán trên các thiết bị cục bộ. Mặc dù vậy, FL cũng tồn tại một số hạn chế đáng kể. Một trong số đó là khả năng bị tấn công nhiễm độc (poisoning attack), khi các thực thể độc hại tham gia vào quá trình huấn luyện có thể cố tình cập nhật các tham số sai lệch hoặc dữ liệu đối kháng để làm suy yếu hiệu suất của mô hình toàn cục. Ngoài ra, FL cũng đối mặt với thách thức về sự không đồng đều của dữ liệu giữa các thiết bị cục bộ, có thể dẫn đến sự thiên vị trong quá trình huấn luyện và làm giảm tính chính xác của mô hình.

1.2. Mối đe dọa từ Tấn Công Đầu Độc Poisoning Attack đối với IDS

Tấn công đầu độc (poisoning attack) là một trong những mối đe dọa nghiêm trọng nhất đối với hệ thống phát hiện xâm nhập (IDS) dựa trên học máy trong môi trường học cộng tác (Federated Learning). Trong kiểu tấn công này, kẻ tấn công cố tình đưa vào dữ liệu huấn luyện các mẫu độc hại hoặc thay đổi các tham số học để làm sai lệch quá trình huấn luyện và làm giảm hiệu suất của mô hình IDS. Mục tiêu của tấn công đầu độc có thể là làm cho IDS bỏ qua các cuộc tấn công thực sự, hoặc thậm chí nhận diện sai các hoạt động bình thường là tấn công, gây ra các cảnh báo giả. Mức độ nguy hiểm của tấn công đầu độc càng tăng cao trong môi trường học cộng tác, khi có nhiều thực thể tham gia vào quá trình huấn luyện và kẻ tấn công có thể lợi dụng sự phân tán của dữ liệu để che giấu các hành vi độc hại. Việc phát hiện và phòng chống tấn công đầu độc đòi hỏi các biện pháp bảo mật phức tạp và khả năng giám sát liên tục các hoạt động huấn luyện.

II. Phân Tích Chi Tiết Tấn Công Đầu Độc IDS bằng Mạng GAN

Tấn công đầu độc IDS sử dụng GAN trong môi trường FL bao gồm các bước sau. Đầu tiên, kẻ tấn công tải xuống mô hình IDS toàn cục từ máy chủ trung tâm. Sau đó, kẻ tấn công huấn luyện bộ sinh Generator (G) dựa trên mô hình WGAN để sinh ra dữ liệu đối kháng. G nhận dữ liệu độc hại kèm nhiễu làm đầu vào và tạo ra dữ liệu đối kháng có khả năng vượt qua mô hình IDS. Tiếp theo, dữ liệu từ output của G được trộn với dữ liệu bình thường và gửi đến IDS để phân biệt và gán nhãn. Dữ liệu đối kháng được gán nhãn sai (benign). Sau đó, bộ phân biệt D được huấn luyện để bắt chước cách IDS phân biệt dữ liệu. D nhận bộ traffic có nhãn từ IDS và đánh giá các mẫu dữ liệu. D so sánh kết quả phân loại của mình với nhãn dán từ IDS và tự học bằng cách thay đổi các tham số huấn luyện để có kết quả khớp với nhãn dán của IDS. D phản hồi kết quả cho G để G có thể cập nhật tham số huấn luyện. Cuối cùng, các mô hình ML-IDS được sử dụng để đánh giá chất lượng của các lưu lượng tấn công đối kháng. Bộ sinh G sẽ được sử dụng để tạo ra dữ liệu đối kháng từ các dữ liệu tấn công. Các ML-IDS có khả năng phát hiện tốt ở tập dữ liệu ban đầu, nhưng hiệu suất giảm đi khi đánh giá trên tập dữ liệu đối kháng. Quy trình huấn luyện mô hình IDS theo cơ chế cộng tác (IDS-FL) bao gồm: khởi tạo mô hình IDS toàn cục học cộng tác FL, huấn luyện mô hình IDS cục bộ, huấn luyện mô hình IDS toàn cục ở máy chủ trung tâm sử dụng thuật toán Federated Averaging (FedAvg), cập nhật mô hình IDS toàn cục ở các máy cục bộ. Mô hình tấn công được đề xuất là kết hợp hai mô hình IDSGAN và IDS-FL.

2.1. Cơ chế hoạt động của Generative Adversarial Networks GANs trong tấn công

Trong ngữ cảnh tấn công đầu độc hệ thống phát hiện xâm nhập (IDS), Generative Adversarial Networks (GANs) đóng vai trò quan trọng trong việc tạo ra các mẫu dữ liệu đối kháng (adversarial examples) có khả năng đánh lừa mô hình IDS. GANs bao gồm hai thành phần chính: Generator (G) và Discriminator (D). Generator (G) có nhiệm vụ tạo ra các mẫu dữ liệu giả, cố gắng làm cho chúng trông giống với dữ liệu thực tế, trong khi Discriminator (D) có nhiệm vụ phân biệt giữa dữ liệu thực và dữ liệu do Generator tạo ra. Trong quá trình huấn luyện, Generator và Discriminator cạnh tranh với nhau: Generator cố gắng tạo ra các mẫu dữ liệu ngày càng giống thật để đánh lừa Discriminator, trong khi Discriminator cố gắng phân biệt dữ liệu thực và dữ liệu giả một cách chính xác nhất. Quá trình này lặp đi lặp lại cho đến khi Generator có thể tạo ra các mẫu dữ liệu đủ tốt để đánh lừa Discriminator. Trong tấn công đầu độc IDS, Generator được huấn luyện để tạo ra các mẫu dữ liệu đối kháng, là các biến thể nhỏ của dữ liệu tấn công thực tế, nhưng được thiết kế để vượt qua các bộ lọc và quy tắc của IDS. Các mẫu dữ liệu đối kháng này sau đó được sử dụng để tiêm nhiễm vào dữ liệu huấn luyện của IDS, làm sai lệch quá trình huấn luyện và làm giảm hiệu suất của mô hình IDS.

2.2. Chi tiết các bước tấn công đầu độc bằng IDSGAN trong môi trường FL

Quy trình tấn công đầu độc hệ thống phát hiện xâm nhập (IDS) bằng mô hình IDSGAN (IDS Generative Adversarial Network) trong môi trường học cộng tác (Federated Learning) bao gồm các bước sau: 1. Khởi tạo và phân phối mô hình IDS: Máy chủ trung tâm khởi tạo mô hình IDS toàn cục và phân phối nó đến các client tham gia vào quá trình học cộng tác. 2. Tấn công cục bộ: Kẻ tấn công, đóng vai trò là một client độc hại, sử dụng mô hình IDS cục bộ của mình để huấn luyện mô hình GAN (IDSGAN). IDSGAN bao gồm hai thành phần: Generator (G) và Discriminator (D). Generator tạo ra các mẫu dữ liệu đối kháng bằng cách biến đổi các mẫu dữ liệu tấn công thực tế sao cho chúng có thể đánh lừa mô hình IDS. Discriminator đánh giá chất lượng của các mẫu dữ liệu đối kháng do Generator tạo ra. 3. Tiêm nhiễm dữ liệu đối kháng: Kẻ tấn công tiêm nhiễm các mẫu dữ liệu đối kháng vào dữ liệu huấn luyện cục bộ của mình. Các mẫu dữ liệu đối kháng này được gán nhãn sai (ví dụ: gán nhãn là dữ liệu bình thường thay vì dữ liệu tấn công) để làm sai lệch quá trình huấn luyện của mô hình IDS. 4. Cập nhật mô hình: Kẻ tấn công gửi mô hình IDS cục bộ đã bị nhiễm độc của mình lên máy chủ trung tâm. 5. Tổng hợp mô hình: Máy chủ trung tâm tổng hợp các mô hình IDS cục bộ từ tất cả các client (bao gồm cả client độc hại) để tạo ra mô hình IDS toàn cục mới. Do mô hình IDS cục bộ của kẻ tấn công đã bị nhiễm độc, mô hình IDS toàn cục mới cũng sẽ bị ảnh hưởng, làm giảm khả năng phát hiện tấn công của IDS.

III. Thực Nghiệm Đánh Giá Hiệu Quả Tấn Công Đầu Độc IDS GAN

Môi trường thực nghiệm sử dụng máy ảo InSecLab Virtual Lab với CPU Intel Xeon E5-2660 v4, RAM 64GB, hệ điều hành Ubuntu 18.04, ổ cứng HDD 100GB. Môi trường phát triển sử dụng Visual Studio Code, ngôn ngữ lập trình Python3, nền tảng Federated Learning Keras Tensorflow, nền tảng IDSGAN Pytorch, các thư viện numpy, pandas, mathplotlib, sklearn. Tập dữ liệu sử dụng là CIC-ToN-IoT, bộ dữ liệu mới nhất dùng để huấn luyện các mô hình IDS học máy, chứa 85 thuộc tính với tổng cộng hơn 5.3 triệu bản ghi. Số bản ghi chứa lưu lượng mạng tấn công chiếm gần 53% và 47% còn lại là các mẫu lành tính. Các mẫu lưu lượng mạng độc hại trên được thu thập dựa trên 9 loại tấn công khác nhau. Quá trình tiền xử lý dữ liệu loại bỏ cột Attack, giữ lại cột Label chứa nhãn 0 (Benign) và nhãn 1 (Attack). Các thuộc tính chỉ chứa 1 giá trị duy nhất, các missing values, infinite values cũng bị loại bỏ. Chuẩn hóa các giá trị về khoảng [0,1] qua hàm Min-Max-Scaler. IDSGAN sử dụng biến thể WGAN. Các thuật toán ML/DL như: Decision Tree (DT), Random Forest (RF), Multi-layer Perceptron (MLP), Convolutional Neural Network (CNN), Long Short Term Memory (LSTM) được sử dụng. Federated Learning được khởi tạo với số client K và tiến hành học cộng tác trong số round R. Trong mỗi round, mô hình được huấn luyện cục bộ với batch_size = 1024, trong vòng 5 chu kì. Thuật toán optimizer được sử dụng là Adam với learningrate = 0,0001. Adversarial Robustness Toolbox (ART) được sử dụng để tạo ra những mẫu đối kháng mới, nhằm mục đích so sánh hiệu năng tấn công mô hình học cộng tác so với phương pháp sử dụng IDSGAN. Local Outlier Factor (LOF) là cơ chế xác thực mô hình cục bộ khi đã được cập nhật lên máy chủ nhằm bảo vệ trước các cuộc tấn công đầu độc.

3.1. Kết quả đánh giá khả năng vượt mặt IDS của dữ liệu đối kháng

Kết quả thực nghiệm cho thấy dữ liệu đối kháng sinh ra từ IDSGAN gần như đánh lừa hoàn toàn các mô hình IDS. Tỉ lệ nhận diện lưu lượng bất thường trên tập dữ liệu ban đầu đều trên 96%, nhưng đối với tập dữ liệu đối kháng, các chỉ số Precision, Recall, F1-Score của hầu hết các thuật toán đều xấp xỉ 0, Accuracy dao động từ 47% đến 49%. Kết quả này chứng minh hiệu quả của IDSGAN trong việc tạo ra dữ liệu đối kháng để đánh lừa các mô hình phát hiện xâm nhập học máy.

3.2. Ảnh hưởng của tấn công đầu độc IDSGAN đến hiệu suất FL và so sánh với ART

Kết quả thực nghiệm cho thấy hiệu suất của mô hình IDS cộng tác bị ảnh hưởng nghiêm trọng sau khi bị tấn công poisoning bởi IDSGAN. Các chỉ số Accuracy, Precision, F1-Score giảm mạnh xuống còn 60% và 70%. Mặc dù có sự hồi phục ở một số round sau, nhưng mô hình tiếp tục giảm hiệu suất. So sánh với phương pháp tấn công sử dụng công cụ ART, IDSGAN cho thấy hiệu quả tấn công ổn định và kéo dài hơn.

3.3. Đánh giá khả năng vượt qua cơ chế phòng thủ LOF

Thực nghiệm cho thấy việc sử dụng cơ chế phòng thủ LOF không hỗ trợ nhiều trong việc phòng thủ trước tấn công đầu độc bằng IDSGAN. Sau khi bị tấn công, mô hình cho ra các kết quả biến động bất thường. IDSGAN có thể vượt qua mô hình IDS cộng tác đã trang bị cơ chế phòng thủ LOF.

IV. Ứng Dụng Tấn Công Chuyển Giao Bằng IDSGAN Thực Tế

Trong tấn công chuyển giao, kẻ tấn công xây dựng mô hình IDSGAN để sinh ra các mẫu lưu lượng mạng đối kháng nhằm đánh lừa trình IDS trong hệ thống mục tiêu. Cuộc tấn công diễn ra dưới hình thức hộp đen (black-box). Attacker xây dựng black-box IDS sao cho gần giống với mô hình IDS mục tiêu cần tấn công nhất. Các mẫu đối kháng sinh ra từ IDSGAN có thể sử dụng để vượt mặt trình IDS mục tiêu. Kết quả cho thấy attacker có thể đánh bại mô hình IDS cộng tác mặc dù không có đủ thông tin về mô hình mục tiêu. Hiệu suất của IDS cộng tác giảm xuống chỉ còn xấp xỉ 30% ở tiêu chí Accuracy và 46% ở F1-Score. Các kẻ tấn công hoàn toàn có thể vượt mặt các trình IDS học công tác nếu như họ xây dựng được mô hình IDSGAN với black-box IDS có kiến trúc gần giống với mô hình IDS mục tiêu nhất.

4.1. Kịch bản tấn công hộp đen Black box attack và kết quả

Trong kịch bản tấn công hộp đen, kẻ tấn công không có thông tin chi tiết về kiến trúc, tham số hoặc dữ liệu huấn luyện của mô hình IDS mục tiêu. Thay vào đó, kẻ tấn công chỉ có thể quan sát đầu vào và đầu ra của mô hình IDS để thu thập thông tin và xây dựng một mô hình IDSGAN (IDS Generative Adversarial Network) xấp xỉ. Kết quả thực nghiệm cho thấy, ngay cả trong kịch bản tấn công hộp đen, kẻ tấn công vẫn có thể đánh bại mô hình IDS cộng tác bằng cách sử dụng các mẫu dữ liệu đối kháng được tạo ra bởi IDSGAN. Điều này chứng tỏ tính hiệu quả và khả năng chuyển giao của các tấn công dựa trên GAN đối với hệ thống IDS.

4.2. So sánh hiệu quả tấn công khi biết và không biết kiến trúc IDS mục tiêu

Khi kẻ tấn công có thông tin về kiến trúc của IDS mục tiêu, ví dụ như số lượng lớp, loại lớp và các tham số khác, kẻ tấn công có thể xây dựng một IDSGAN chính xác hơn để tạo ra các mẫu dữ liệu đối kháng có khả năng đánh lừa IDS mục tiêu cao hơn. Ngược lại, khi kẻ tấn công không có thông tin về kiến trúc IDS mục tiêu (tấn công hộp đen), kẻ tấn công phải dựa vào việc thử nghiệm và quan sát để xây dựng một IDSGAN xấp xỉ. Mặc dù hiệu quả tấn công trong kịch bản hộp đen có thể thấp hơn so với kịch bản biết kiến trúc, kết quả thực nghiệm cho thấy tấn công hộp đen vẫn có thể gây ra những thiệt hại đáng kể cho hệ thống IDS.

V. Kết Luận Hướng Phát Triển Nghiên Cứu Tấn Công Đầu Độc IDS

Nghiên cứu đã đề xuất và đánh giá bộ giải pháp đầu độc hệ thống phát hiện xâm nhập mạng bằng mô hình mạng sinh đối kháng trong môi trường Federated Learning. IDSGAN có khả năng phát sinh dữ liệu để tấn công qua mặt các trình phát hiện tấn công dựa trên học máy đã xây dựng. Mô hình IDS-FL bị đầu độc, làm giảm khả năng phát hiện tấn công. Các mẫu đối kháng do IDSGAN sinh ra có tỉ lệ vượt mặt các trình IDS cộng tác cao hơn và ổn định hơn ART. Cơ chế phòng thủ bằng LOF bị đánh bại. Kiến trúc đề xuất phù hợp với nhiều ngữ cảnh khác nhau, có thể áp dụng để tìm ra điểm yếu cũng như giải pháp phòng thủ cho các dự án huấn luyện mô hình trí tuệ nhân tạo trong tương lai. Các hướng phát triển bao gồm: ứng dụng IDSGAN để sinh ra các mẫu tấn công đối kháng nhằm tái huấn luyện các trình IDS, nâng cấp ngữ cảnh của nghiên cứu, phát triển kiến trúc trong nhiều ngữ cảnh khác nhau.

5.1. Tóm tắt các kết quả chính và đóng góp của nghiên cứu

Nghiên cứu đã thành công trong việc chứng minh tính khả thi và hiệu quả của tấn công đầu độc hệ thống phát hiện xâm nhập (IDS) bằng cách sử dụng mô hình Generative Adversarial Network (GAN) trong môi trường Federated Learning. Các kết quả chính bao gồm: (1) Xây dựng và đánh giá mô hình IDSGAN có khả năng tạo ra các mẫu dữ liệu đối kháng (adversarial examples) có thể vượt qua các hệ thống IDS dựa trên học máy. (2) Chứng minh rằng các mẫu dữ liệu đối kháng được tạo ra bởi IDSGAN có thể được sử dụng để đầu độc mô hình IDS trong môi trường Federated Learning, làm giảm khả năng phát hiện tấn công của IDS. (3) So sánh hiệu quả tấn công của IDSGAN với các phương pháp tấn công khác (ví dụ: sử dụng ART) và chứng minh rằng IDSGAN có hiệu quả hơn trong việc tạo ra các mẫu dữ liệu đối kháng có khả năng đánh lừa IDS. Đóng góp của nghiên cứu là cung cấp một cái nhìn sâu sắc hơn về các mối đe dọa tiềm ẩn đối với hệ thống IDS trong môi trường Federated Learning và đề xuất một phương pháp tấn công mới có thể được sử dụng để đánh giá và cải thiện tính bảo mật của các hệ thống này.

5.2. Các hướng nghiên cứu tiềm năng để cải thiện bảo mật IDS trong FL

Để cải thiện bảo mật hệ thống phát hiện xâm nhập (IDS) trong môi trường Federated Learning (FL), có thể xem xét các hướng nghiên cứu sau: (1) Phát triển các cơ chế phòng thủ chống lại tấn công đầu độc, ví dụ như các phương pháp phát hiện và loại bỏ các mẫu dữ liệu đối kháng hoặc các client độc hại. (2) Nghiên cứu các phương pháp huấn luyện mô hình IDS mạnh mẽ hơn, có khả năng chống chịu tốt hơn trước các tấn công đầu độc. (3) Khám phá các phương pháp sử dụng thông tin bổ sung (ví dụ: thông tin về cấu trúc mạng, lưu lượng mạng lịch sử) để cải thiện khả năng phát hiện tấn công của IDS. (4) Nghiên cứu các phương pháp tích hợp các kỹ thuật bảo mật khác (ví dụ: mã hóa, xác thực) vào hệ thống FL để bảo vệ dữ liệu và mô hình IDS khỏi các cuộc tấn công. (5) Xây dựng các công cụ và phương pháp đánh giá tính bảo mật của hệ thống IDS trong môi trường FL để xác định các điểm yếu và cải thiện khả năng phòng thủ.

11/09/2025

Trích đoạn nội dung tài liệu

Chương 1: Giới thiệu tổng quan về đề tài và những công trình nghiên cứu liên quan. • Chương 2: Sơ lược kiến thức nền tảng liên quan đến đề tài. • Chương 3: Trình bày phương pháp luận và thiết kế hệ thống cho các phương pháp sinh dữ liệu, tấn công hệ thống cộng tác. • Chương 4: Hiện thực phương pháp đề xuất và đánh giá kết quả • Chương 5: Kết luận và hướng phát triển của đề tài.

KIẾN THỨC NỀN TẢNG Chương này trình bày sơ lược cơ sở lý thuyết của nghiên cứu bao gồm: Hệ thống phát hiện xâm nhập, mô hình học cộng tác, mô hình mạng sinh đối kháng. Hệ thống phát hiện xâm nhập Hệ thống phát hiện xâm nhập - IDS (Intrusion Detection Systems) là phần mềm hoặc công cụ giúp bảo mật hệ thống và cảnh báo lỗi khi có các hành vi đáng ngờ xâm nhập vào hệ thống. Mục đích chính của IDS là ngăn ngừa và phát hiện những hành động phá hoại tính bảo mật của hệ thống hoặc những hành vi như dò tìm, quét các cổng. Có nhiều loại IDS khác nhau, mỗi loại có một chức năng và nhiệm vụ riêng chúng bao gồm: • NIDS (Network Intrusion Detection Systems): thường được bố trí tại những điểm dễ bị tấn công trong hệ thống mạng.

NIDS được sử dụng để giám sát lưu lượng mạng đến (inbound) và đi (outbound) từ tất cả các thiết bị trên mạng. Điểm cộng lớn nhất của NIDS là có thể quét tất cả traffic inbound và outbound, nhưng việc này có thể làm giảm tốc độ chung của mạng. • HIDS (Host Intrusion Detection Systems): hệ thống phát hiện xâm nhập này hoạt động trên tất cả các thiết bị trong hệ thống có thể kết nối Internet. HIDS chỉ giám sát các gói dữ liệu inbound và outbound từ thiết bị hoặc những hành động đáng ngờ tại cấp truy cập nội bộ.

• Signature-Based IDS: Đây là các IDS hoạt động dựa trên dấu hiệu đã học được, giám sát các gói tin trên mạng tương tự như cách phần mềm diệt virus hoạt động. Tuy nhiên Signature-Based có thể không phát hiện được 10 những mối đe dọa mới, khi dấu hiệu để nhận biết nó chưa được IDS cập nhật. • Anomaly-Based IDS: IDS này được sử dụng để phát hiện mối đe dọa dựa trên sự bất thường. Anomaly-Based sẽ giám sát traffic mạng và so sánh với đường cơ sở (baseline) đã được thiết lập từ trước.

Baseline sẽ xác định đâu là mức bình thường của mạng và cảnh báo cho quản trị viên mạng hoặc người dùng khi phát hiện traffic truy cập bất thường hoặc khác biệt so với baseline. Mô hình học máy Học máy hay máy học (Machine Learning) là một loại trí tuệ nhân tạo (AI) cho phép các ứng dụng phần mềm trở nên chính xác hơn trong việc dự đoán kết quả mà không cần được lập trình rõ ràng để làm như vậy. Các thuật toán học máy sử dụng dữ liệu lịch sử làm đầu vào để dự đoán các giá trị đầu ra mới. Một số ứng dụng phổ biến của học máy bao gồm hệ thống đề xuất (recommend system), hệ thống phát hiện bất thường (anomaly detection), phát hiện xâm nhập (ids), phần mềm độc hại (malwares), lọc thư rác (spam email).

Học máy cổ điển thường được phân loại theo cách một thuật toán học để trở nên chính xác hơn trong các dự đoán của nó. Có bốn cách tiếp cận cơ bản: học có giám sát, học không giám sát, học bán giám sát và học tăng cường. Loại thuật toán mà các nhà khoa học sử dụng tùy thuộc vào loại dữ liệu họ muốn dự đoán. • Học có giám sát (Supervised Machine Learning): Trong loại học máy này, các nhà nghiên cứu cung cấp các thuật toán với dữ liệu huấn luyện được gắn nhãn và xác định các biến mà họ muốn thuật toán đánh giá để tìm mối tương quan.

Cả đầu vào và đầu ra của thuật toán đều được chỉ định. • Học không giám sát (Unsupervised Machine Learning): Loại học máy này 11 liên quan đến các thuật toán đào tạo trên dữ liệu không được gắn nhãn. Thuật toán quét qua các tập dữ liệu để tìm kiếm bất kỳ kết nối có ý nghĩa nào. Dữ liệu mà các thuật toán đào tạo cũng như các dự đoán hoặc khuyến nghị mà chúng xuất ra được xác định trước.

• Học bán giám sát (Semi-Supervised Learning): Cách tiếp cận này đối với học máy liên quan đến sự kết hợp của hai loại trước đó. Các nhà khoa học dữ liệu có thể cung cấp một thuật toán chủ yếu là dữ liệu đào tạo được gắn nhãn, nhưng mô hình có thể tự do khám phá dữ liệu và phát triển sự hiểu biết của riêng mình về tập dữ liệu. • Học tăng cường (Reinforcement Learning): những người nghiên cứu thường sử dụng học tăng cường để dạy máy hoàn thành một quy trình gồm nhiều bước trong đó có các quy tắc được xác định rõ ràng. Các nhà khoa học lập trình một thuật toán để hoàn thành một nhiệm vụ và cung cấp cho nó những dấu hiệu tích cực hoặc tiêu cực khi nó tìm ra cách hoàn thành một nhiệm vụ.

Nhưng phần lớn, thuật toán tự quyết định những bước cần thực hiện trong quá trình thực hiện. Mô hình học cộng tác Đối với các phương pháp máy học truyền thống, người ta sẽ tập trung toàn bộ dữ liệu để thực hiện các thao tác huấn luyện. Việc làm này vừa tốn thời gian thu thập, truyền tải dữ liệu từ nhiều nguồn khác nhau, đồng thời vừa đòi hỏi máy chủ huấn luyện phải đảm bảo khả năng xử lí cao. Vì vậy một phương pháp học mới được ra đời được gọi là Federated Learning (FL) hay còn biết đến là phương pháp học cộng tác.

Federated Learning (FL) là phương pháp học mà không cần phải tập trung dữ liệu tại một máy chủ trung tâm mà có thể huấn luyện phân tán tại các thiết bị chứa dữ liệu. Các thiết bị sau khi huấn luyện mô hình cục bộ có nhiệm vụ gửi các trọng số đã huấn luyện lên một máy chủ trung tâm để thực hiện việc tổng 12 hợp trọng số. Ngay sau đó, mô hình mới với trọng số sau khi được tổng hợp sẽ tiếp tục được phân phối xuống các thiết bị để tiếp tục quá trình huấn luyện cho đến khi đạt được hiệu năng mong muốn. Bằng nguyên lí hoạt động như vậy, FL giúp giảm thời gian và công sức để thu thập dữ liệu tập trung, đồng thời tiết kiệm chi phí huấn luyện mô hình cho máy chủ trung tâm.

Bên cạnh đó, phương pháp này còn giúp chúng ta có thể bảo vệ tính riêng tư dữ liệu của các cá nhân, tổ chức khi tham gia huấn luyện các mô hình học máy. Cụ thể, máy chủ và các tổ chức tham gia huấn luyện chỉ tương tác với nhau qua các trọng số mô hình chứ không phải là dữ liệu như phương pháp truyền thống. Vì vậy, các cá nhân, tố chức có thể sẵn sàng cộng tác với nhau để xây dựng một mô hình máy học đủ tốt có thể hoạt động hiệu quả mà không phải lo lắng về vấn đề lộ dữ liệu nhạy cảm. FL được chia làm hai loại chính: • Vertical federated learning: là phương pháp học mà các máy sẽ chia sẻ thông tin của cùng một đối tượng nhưng khác các đặc trưng.

Ví dụ: thông tin của người dùng ở ngân hàng và bệnh viện trong một khu vực nào đó. Ở ngân hàng sẽ có những đặc trưng khác với bệnh viện khi có cùng một khách hàng vì vậy ngân hàng và bệnh viện có thể chia sẽ với nhau và bổ sung cho nhau ở khía cạnh các đặc trưng. • Horizontal federated learning: là phương pháp học mà các máy sẽ chia sẻ vể lượng thông tin cho nhau. Ví dụ: thông tin của người dùng ở hai ngân hàng trong các vùng khác nhau.

Họ sẽ chia sẻ thông tin khách hàng với nhau. Mô hình mạng sinh đối kháng (GAN) 2. GAN là gì? Mô hình mạng sinh đối kháng (Generative Adversarial Networks - GAN) là một mô hình sinh mẫu trong học máy, được quan tâm rất nhiều trong xu hướng 13 áp dụng trí tuệ nhân tạo vào giải quyết các vấn đề trong đời sống hiện nay, từ nhận diện xử lý ảnh, tới các vấn đề bảo mật, an toàn thông tin cho các hệ thống. GAN thuộc nhóm generative model, trong đó generative là tính từ nghĩa là khả năng sinh ra, model nghĩa là mô hình.

Vậy hiểu đơn giản generative model nghĩa là mô hình có khả năng sinh ra dữ liệu. Hay nói cách khác, GAN là mô hình có khả năng sinh ra dữ liệu mới. Ví dụ như những ảnh mặt người ở Hình 2.1 chúng ta thấy là do GAN sinh ra, không phải mặt người thật. Dữ liệu sinh ra nhìn như thật nhưng không phải thật.1: Ảnh mặt người sinh bởi GAN 2.

Cấu trúc mạng GAN Mô hình mạng GAN được cấu tạo bởi 2 mạng nơ-ron luôn hoạt động đối nghịch nhau: bộ sinh (Generator) và bộ phân biệt (Discriminator). • Generator: Học cách sinh ra dữ liệu giả để lừa mô hình Discriminator. Để có thể đánh lừa được Discriminator thì đòi hỏi mô hình sinh ra output phải thực sự tốt. Do đó chất lượng dữ liệu phải càng như thật càng tốt.

• Discriminator: Học cách phân biệt giữa dữ liệu giả được sinh từ mô hình 14 Generator với dữ liệu thật. Discriminator như một giáo viên chấm điểm cho Generator biết cách nó sinh dữ liệu đã đủ tinh xảo để qua mặt được Discriminator chưa và nếu chưa thì Generator cần tiếp tục phải học để tạo ra dữ liệu thật hơn. Đồng thời Discriminator cũng phải cải thiện khả năng phân biệt của mình vì chất lượng dữ liệu được tạo ra từ Generator càng ngày càng giống thật hơn. Thông qua quá trình huấn luyện thì cả Generator và Discriminator cùng cải thiện được khả năng của mình.

Ý tưởng của GAN bắt nguồn từ zero-sum non-cooperative game, hiểu đơn giản như trò chơi đối kháng 2 người (cờ vua, cờ tướng), nếu một người thắng thì người còn lại sẽ thua. Ở mỗi lượt thì cả 2 đều muốn maximize cơ hội thắng của mình và minimize cơ hội thắng của đối phương. Discriminator và Generator trong mạng GAN giống như 2 đối thủ trong trò chơi, theo đó, mô hình GAN hội tụ khi cả Generator và Discriminator đạt tới trạng thái Nash equilibrium, tức là 2 người chơi đạt trạng thái cân bằng và đi tiếp các bước không làm tăng cơ hội thắng. PHƯƠNG PHÁP LUẬN VÀ THIẾT KẾ HỆ THỐNG 3.

Phát sinh dữ liệu đối kháng bằng mô hình IDSGAN Mô hình IDSGAN dưới đây thừa hưởng từ công trình [6], được hình thành dựa trên 5 bước cơ bản nhằm tạo ra một công cụ sinh dữ liệu đối kháng một cách tự động với khả năng trốn tránh được trình nhận diện bất thường của mô hình IDS toàn cục. Biến thể WGAN được sử dụng trong mô hình IDSGAN này.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ