Xây Dựng Framework Phát Hiện và Phân Loại Bất Thường Mạng Bằng Kỹ Thuật Học Máy và Phần Cứng Khả Cấu Hình

Tổng quan nghiên cứu

Theo báo cáo của tổ chức Statista năm 2022, có khoảng 5 tỷ người dùng Internet, chiếm 63,29% dân số toàn cầu. Sự phát triển nhanh chóng của mạng máy tính và các thiết bị IoT đã mở rộng quy mô và tính phức tạp của môi trường mạng, đồng thời làm gia tăng các nguy cơ về an ninh mạng. Các cuộc tấn công mạng như Denial of Service (DoS) đã ảnh hưởng đến tài nguyên số của hơn 72 quốc gia trong quý 1 năm 2021, gây thiệt hại nghiêm trọng về tài chính và dữ liệu cá nhân. Trong bối cảnh đó, hệ thống phát hiện xâm nhập mạng dựa trên dấu hiệu bất thường (Anomaly-based Network Intrusion Detection System - ANIDS) trở thành giải pháp thiết yếu nhằm nhận diện và phản hồi kịp thời các hành vi xâm nhập.

Mục tiêu nghiên cứu của luận văn là xây dựng một framework phát hiện và phân loại bất thường mạng dựa trên các kỹ thuật học máy và phần cứng khả cấu hình (FPGA), nhằm nâng cao hiệu suất xử lý và độ chính xác của hệ thống ANIDS. Nghiên cứu tập trung vào việc áp dụng mô hình mạng tự mã hoá (Autoencoder) cho phát hiện bất thường và mạng nơ-ron nhân tạo (Artificial Neural Network) cho phân loại, triển khai trên nền tảng NetFPGA-SUME. Phạm vi nghiên cứu bao gồm phân tích và thử nghiệm trên các tập dữ liệu phổ biến như NSL-KDD, UNSW-NB15 và CIC-IDS2017, với thời gian thực hiện từ tháng 2 đến tháng 6 năm 2022 tại Trường Đại học Bách Khoa, Đại học Quốc gia TP. HCM.

Ý nghĩa của nghiên cứu thể hiện qua việc cải thiện khả năng phát hiện xâm nhập mạng với độ chính xác đạt trên 87%, đồng thời tăng tốc độ xử lý dữ liệu lên đến 31 Gbps, giúp giảm thiểu rủi ro an ninh mạng và chi phí vận hành hệ thống. Kết quả này góp phần thúc đẩy ứng dụng học máy trên phần cứng khả cấu hình trong lĩnh vực an ninh mạng, đáp ứng yêu cầu ngày càng cao về tốc độ và hiệu quả xử lý trong môi trường mạng hiện đại.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên hai lý thuyết chính: mô hình TCP/IP và kỹ thuật học máy/học sâu trong phát hiện xâm nhập mạng. Mô hình TCP/IP cung cấp kiến trúc mạng chuẩn, gồm các tầng ứng dụng, vận chuyển, mạng, liên kết và vật lý, là nền tảng cho việc truyền tải và quản lý dữ liệu mạng. Các tầng này cũng là mục tiêu tiềm năng của các cuộc tấn công mạng, do đó việc bảo mật toàn diện trên từng tầng là cần thiết.

Về kỹ thuật học máy, nghiên cứu sử dụng mạng tự mã hoá (Autoencoder) để phát hiện bất thường dựa trên khả năng học biểu diễn dữ liệu bình thường và phát hiện các điểm dị thường khi tái tạo dữ liệu. Mạng nơ-ron nhân tạo (Artificial Neural Network) được áp dụng cho nhiệm vụ phân loại các loại tấn công mạng dựa trên đặc trưng trích xuất từ dữ liệu. Các khái niệm chính bao gồm:

• Anomaly Detection Autoencoder (ADA): mô hình phát hiện bất thường dựa trên mạng tự mã hoá.
• Artificial Neural Classification (ANC): mô hình phân loại sử dụng mạng nơ-ron nhân tạo.
• Phần cứng khả cấu hình (FPGA): thiết bị cho phép tái cấu hình để tăng tốc xử lý thuật toán học máy.
• Tập dữ liệu mạng NSL-KDD, UNSW-NB15, CIC-IDS2017: các bộ dữ liệu chuẩn dùng để huấn luyện và đánh giá hệ thống ANIDS.

Phương pháp nghiên cứu

Nguồn dữ liệu chính gồm ba tập dữ liệu mạng phổ biến: NSL-KDD (khoảng 125.973 mẫu), UNSW-NB15 (khoảng 175.341 mẫu), và CIC-IDS2017 (khoảng 2.830.743 mẫu). Các tập dữ liệu này chứa các mẫu dữ liệu mạng bình thường và bất thường với nhiều loại tấn công khác nhau, được sử dụng để huấn luyện và kiểm thử mô hình.

Phương pháp phân tích bao gồm xây dựng và huấn luyện mô hình ADA cho phát hiện bất thường trên tập NSL-KDD, và mô hình ANC cho phân loại trên tập UNSW-NB15 và CIC-IDS2017. Các mô hình được triển khai trên phần cứng khả cấu hình NetFPGA-SUME nhằm tăng tốc độ xử lý. Cỡ mẫu huấn luyện và kiểm thử được lựa chọn dựa trên phân phối dữ liệu trong từng tập, đảm bảo tính đại diện và độ tin cậy.

Timeline nghiên cứu kéo dài từ tháng 2 đến tháng 6 năm 2022, bao gồm các bước: khảo sát tài liệu và dữ liệu, thiết kế mô hình học máy, triển khai trên phần cứng NetFPGA, thực nghiệm và đánh giá kết quả. Phương pháp đánh giá dựa trên các tiêu chí: độ chính xác (accuracy), tỷ lệ âm tính giả (False Negative Rate - FNR), tốc độ xử lý (Gbps), và tài nguyên phần cứng sử dụng (LUT, FF).

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

1. Hiệu quả phát hiện bất thường của mô hình ADA trên tập NSL-KDD: Mô hình đạt độ chính xác 90,87% với tỷ lệ FNR là 7%, cho thấy khả năng nhận diện hành vi bất thường mạng hiệu quả. So sánh với các thuật toán truyền thống, ADA cải thiện độ chính xác trung bình khoảng 5-8%.

2. Khả năng phân loại của mô hình ANC trên tập UNSW-NB15 và CIC-IDS2017: Độ chính xác đạt 87,22% với tỷ lệ FNR chỉ 3%, thể hiện khả năng phân biệt chính xác các loại tấn công mạng khác nhau. Kết quả này vượt trội so với một số nghiên cứu trước đây trên cùng tập dữ liệu, tăng khoảng 4-6% về độ chính xác.

3. Hiệu suất xử lý trên phần cứng NetFPGA-SUME: Mô hình ADA đạt tốc độ truyền tải dữ liệu 28,7 Gbps và khả năng xử lý 18,7 Gops (tỷ lệ phép tính trên giây), trong khi ANC đạt 31 Gbps và 9,1 Gops. Tài nguyên phần cứng sử dụng lần lượt là 21% LUT và 15,1% FF, cho thấy khả năng tích hợp hiệu quả trên nền tảng FPGA.

4. So sánh hiệu quả năng lượng và tốc độ với GPU: FPGA NetFPGA-SUME thể hiện hiệu suất xử lý vượt trội so với GPU NVIDIA Titan X Pascal, với tốc độ tăng từ 2,1 đến 3,5 lần và hiệu quả năng lượng cao hơn từ 2,3 đến 4,3 lần, phù hợp cho các ứng dụng yêu cầu xử lý thời gian thực và tiết kiệm năng lượng.

Thảo luận kết quả

Nguyên nhân chính của hiệu quả cao đến từ việc kết hợp mô hình học máy tiên tiến với phần cứng khả cấu hình, tận dụng ưu điểm của FPGA trong việc xử lý song song và tối ưu hóa tài nguyên. Việc sử dụng mạng tự mã hoá giúp phát hiện các mẫu bất thường mới mà các phương pháp dựa trên mẫu cũ không thể nhận diện, giảm thiểu tỷ lệ âm tính giả.

So với các nghiên cứu trước đây, việc triển khai trực tiếp trên NetFPGA-SUME không chỉ nâng cao tốc độ xử lý mà còn giảm thiểu tiêu thụ năng lượng, điều mà GPU khó có thể cạnh tranh. Kết quả này có ý nghĩa quan trọng trong việc phát triển các hệ thống ANIDS có khả năng ứng dụng thực tế trong môi trường mạng lớn và phức tạp.

Dữ liệu có thể được trình bày qua biểu đồ so sánh độ chính xác và FNR giữa các mô hình, cũng như bảng thống kê tài nguyên phần cứng và tốc độ xử lý, giúp minh họa rõ ràng hiệu quả của giải pháp đề xuất.

Đề xuất và khuyến nghị

1. Triển khai rộng rãi hệ thống ANIDS trên nền tảng FPGA: Khuyến nghị các tổ chức và doanh nghiệp áp dụng framework phát hiện và phân loại bất thường mạng trên phần cứng khả cấu hình để nâng cao hiệu quả bảo mật, với mục tiêu giảm tỷ lệ xâm nhập thành công xuống dưới 5% trong vòng 12 tháng.

2. Tối ưu hóa mô hình học máy cho từng môi trường mạng cụ thể: Đề xuất nghiên cứu thêm để điều chỉnh tham số mô hình ADA và ANC phù hợp với đặc điểm lưu lượng mạng tại từng địa phương hoặc tổ chức, nhằm tăng độ chính xác lên trên 92% trong 6 tháng tiếp theo.

3. Phát triển hệ thống cảnh báo sớm và phản hồi tự động: Xây dựng module cảnh báo và phản ứng nhanh dựa trên kết quả phát hiện bất thường, giúp giảm thời gian phản hồi sự cố xuống dưới 1 phút, do các đội ngũ an ninh mạng thực hiện trong vòng 9 tháng.

4. Đào tạo và nâng cao năng lực nhân sự an ninh mạng: Tổ chức các khóa đào tạo chuyên sâu về kỹ thuật học máy và FPGA cho cán bộ kỹ thuật, nhằm đảm bảo vận hành và bảo trì hệ thống hiệu quả, với kế hoạch thực hiện trong 1 năm.

Đối tượng nên tham khảo luận văn

1. Chuyên gia và nhà nghiên cứu an ninh mạng: Luận văn cung cấp kiến thức sâu về ứng dụng học máy và phần cứng khả cấu hình trong phát hiện xâm nhập, hỗ trợ phát triển các giải pháp bảo mật tiên tiến.

2. Kỹ sư phát triển hệ thống mạng và bảo mật: Tham khảo để áp dụng framework ANIDS trên nền tảng FPGA, giúp tăng tốc xử lý và cải thiện độ chính xác trong môi trường mạng doanh nghiệp.

3. Sinh viên và học viên cao học ngành Khoa học Máy tính, An toàn Thông tin: Tài liệu tham khảo quý giá về lý thuyết, phương pháp và thực nghiệm trong lĩnh vực phát hiện bất thường mạng sử dụng kỹ thuật học máy.

4. Doanh nghiệp và tổ chức quản lý hạ tầng mạng: Hướng dẫn triển khai hệ thống phát hiện xâm nhập hiệu quả, giảm thiểu rủi ro an ninh và tổn thất tài chính do các cuộc tấn công mạng.

Câu hỏi thường gặp

1. Tại sao sử dụng FPGA thay vì GPU cho hệ thống phát hiện xâm nhập?
   FPGA cung cấp khả năng xử lý song song cao, tiêu thụ năng lượng thấp hơn và có thể tùy chỉnh phần cứng cho các thuật toán học máy, giúp tăng tốc độ xử lý và hiệu quả năng lượng so với GPU, đặc biệt trong các ứng dụng thời gian thực.

2. Mô hình Autoencoder hoạt động như thế nào trong phát hiện bất thường mạng?
   Autoencoder học cách tái tạo dữ liệu bình thường, khi gặp dữ liệu bất thường, sai số tái tạo sẽ lớn hơn, từ đó phát hiện các hành vi xâm nhập mới mà không cần mẫu tấn công trước đó.

3. Các tập dữ liệu NSL-KDD, UNSW-NB15 và CIC-IDS2017 có điểm gì đặc biệt?
   Đây là các bộ dữ liệu chuẩn, đa dạng về loại tấn công và lưu lượng mạng, được sử dụng rộng rãi để huấn luyện và đánh giá các hệ thống phát hiện xâm nhập, giúp đảm bảo tính khách quan và khả năng so sánh kết quả.

4. Khả năng mở rộng của framework này như thế nào?
   Framework được thiết kế trên phần cứng khả cấu hình có thể tái cấu hình để tích hợp thêm các mô hình học máy mới hoặc mở rộng quy mô xử lý, phù hợp với các môi trường mạng có lưu lượng lớn và đa dạng.

5. Làm thế nào để đảm bảo độ chính xác và giảm tỷ lệ âm tính giả?
   Bằng cách kết hợp mô hình mạng tự mã hoá và mạng nơ-ron nhân tạo, cùng với việc huấn luyện trên các tập dữ liệu đa dạng và tối ưu tham số, hệ thống đạt được độ chính xác cao và giảm thiểu tỷ lệ bỏ sót các cuộc tấn công.

Kết luận

• Đã xây dựng thành công framework phát hiện và phân loại bất thường mạng dựa trên kỹ thuật học máy và phần cứng khả cấu hình NetFPGA-SUME.
• Mô hình ADA đạt độ chính xác 90,87% trên tập NSL-KDD với FNR 7%, mô hình ANC đạt 87,22% trên UNSW-NB15 và CIC-IDS2017 với FNR 3%.
• Tốc độ xử lý dữ liệu đạt tới 31 Gbps, hiệu suất tính toán lên đến 18,7 Gops, sử dụng tài nguyên phần cứng hiệu quả.
• Giải pháp góp phần nâng cao khả năng phát hiện xâm nhập mạng trong môi trường thực tế, đồng thời tiết kiệm năng lượng và chi phí vận hành.
• Đề xuất tiếp tục mở rộng nghiên cứu, tối ưu mô hình và phát triển hệ thống cảnh báo tự động trong các giai đoạn tiếp theo.

Hành động tiếp theo là triển khai thử nghiệm thực tế tại các tổ chức mạng lớn và phát triển các module tích hợp để hoàn thiện hệ thống ANIDS toàn diện, góp phần bảo vệ an ninh mạng quốc gia và doanh nghiệp.