Chương 1. ỨNG DỤNG GIẢI PHÁP PHÂN TÁN ĐỘNG TRONG HỆ THỐNG PHÂN TÍCH MÃ ĐỘC IOT BOTNET. Phát biểu bài toán .1 Phân tích bài toán.2 Khảo sát, đánh giá các giải pháp. Mô hình đề xuất.
Các thành phần trong mô hình. Đặc tả yêu cầu chi tiết. Ứng dụng Kafka và KSQL trong xây dựng giải pháp xử lý phân tán động .1 Khảo sát một số công cụ message broker có sẵn.2 Lựa chọn công cụ Kafka và công cụ KSQL.3 Hoạt động của mô hình. 51 Kết luận chương 2.
THỬ NGHIỆM VÀ ĐÁNH GIÁ. Môi trường thử nghiệm .1 Hệ thống thử nghiệm. Quá trình triển khai giải pháp đề xuất. Kịch bản thử nghiệm và bộ tiêu chí đánh giá .1 Kịch bản thử nghiệm.2 Tiêu chí đánh giá.
Kết quả và đánh giá. 67 Kết luận chương 3. 70 DANH MỤC TÀI LIỆU THAM KHẢO. 75 e v DANH MỤC CÁC KÝ HIỆU, THUẬT NGỮ VIẾT TẮT Thuật ngữ Tiếng Anh Tiếng Việt ACO Ant colony optimization Giải thuật tối ưu hoá đàn kiến AI Artificial intelligence Trí tuệ nhân tạo ASG Adversarial Samples Generator Bộ tạo mẫu đối nghịch C&C Control and Command Máy chủ điều khiển và thực thi mã độc Botnet CPU Central Processing Unit Bộ vi xử lý trung tâm CSS Cascading Style Sheets Ngôn ngữ lập trình CSS DDOS Distributed Denial of service Tấn công từ chối dịch vụ DLL Dynamic Link Library Thư viện liên kết động Windows DNS Domain Name System Hệ thống phân giải tên miền DT Decision tree Cây quyết định ELF Extensible Linking Format Định dạng liên kết thực thi EPRS European Parliamentary Dịch vụ Nghiên cứu Nghị viện Research Service Châu Âu FVE Feature Vectors Extractor Bộ trích xuất véc tơ đặc trưng HTTP Hyper Text Transfer Protocol Giao thức Truyền tải Siêu Văn Bản IBD IoT Botnet Dectector Bộ phát hiện IoT Botnet IoT Internet of Things Internet vạn vật IP Internet Protocol Giao thức Internet IPC Inter Process Communuication Giao tiếp liên tiến trình IPv4 Internet Protocol version 4 Giao thức Internet phiên bản 4 IRC Internet Relay Chat Trò chuyện chuyển tiếp Internet ITU International Liên minh Viễn thông thế giới Telecommunication Union JSON JavaScript Object Notation Định dạng dữ liệu JSON KNN K nearest neighbor Thuật toán K nearest neighbor MD5 Message-Digest algorithm 5 Thuật toán Tiêu hóa-tin nhắn 5 NB Naive Bayes Thuật toán học máy Naïve Bayes PE Portable Executable Định dạng tệp cho tệp thực thi e vi PID Proccess ID Định danh tiến trình PSI Printable Strings Information Thông tin chuỗi QoS Quality of service Chất lượng dịch vụ RAM Random Access Memory Bộ nhớ truy xuất ngẫu nhiên RF Random Forest Thuật toán rừng ngẫu nhiên RFID Radio Frequency Nhận dạng qua tần số vô tuyến) Indentification RL Reinforcement learning Học tăng cường RLA Reinforcement learning Agent Tác từ học tăng cường SCC System Calls Collector Bộ thu thập lệnh gọi hệ thống SCG System call graph Đồ thị lệnh gọi hệ thống SHA-1 Secure Hash Algorithm 1 Thuật toán băm an toàn 1 SSH Secure Socket Shell Giao thức SSH SVM Support vector machine Máy vectơ hỗ trợ TCP Transmission Control Protocol Giao thức điều khiển truyền vận URL Uniform Resource Locator Hệ thống định vị tài nguyên thống nhất API Application Programming Giao diện lập trình ứng dụng Interface SQL Structured Query Language Ngôn ngữ truy vấn mang tính cấu trúc ML Machine learning Học máy GSLB Global server load balancing Cân bằng tải máy chủ toàn cầu e vii DANH MỤC CÁC BẢNG Bảng 1.1 So sánh giữa các phương pháp phân tích mã độc IoT botnet .1 Các yêu cầu bài toán.2 Danh sách các hoạt động chính của hệ thống .3 Kết quả đánh giá mô hình phát hiện và phân tích mã độc.1 Thông tin chi tiết hệ thống thử nghiệm.2 So sánh kết quả giữa áp dụng giải pháp phân tán động (kịch bản 2) và khi không áp dụng giải pháp phân tán động.69 e viii DANH MỤC CÁC HÌNH Hình 1.1: Ứng dụng của IoT trong thực tế .2: Các lớp trong kiến trúc IoT .3: Kiến trúc của hệ thống IoT theo bốn giai đoạn .4: Phân tích các mối đe doạ hàng đầu trong IoT [4] .5: Sơ đồ luồng tấn công của một IoT botnet [11] .6: Các phương pháp phát hiện mã độc IoT botnet.
Mô hình hệ thống phân tích và phát hiện mã độc IoT botnet. Đồ thị các lệnh gọi hệ thống của một tệp tin ELF chứa mã độc. Trích xuất vector đặc trưng của đồ thị lệnh gọi hệ thống .10 Mô hình phân lớp của hệ thống phân tán.11 Hai mô hình cơ bản của IPC .12 Bộ cân bằng tải phần cứng và phần mềm. Bài toán phân tán xử lý tác vụ trong kịch bản một thiết bị IoT Analyzer quá tải.
Máy chủ ảo và bảng thông báo .Mô hình đàn kiến hoạt động. Thuật toán ACO .5 Mô hình đề xuất. Kiến trúc truyền tải thông tin của Apache Kafka.7 Mô hình huấn luyện học máy phân tích và phát hiện mã độc IoT botnet .8 Kafka Topic tại máy chủ trung tâm.9 Các mô đun trong IoT Analyzer .10 Đồ thị lệnh gọi hệ thống của một malware .11 Lưu đồ hoạt động của hệ thống ở trạng thái trong tải .12 Lưu đồ hoạt động của hệ thống khi một node bị quá tải .13 Vùng tải và trạng thái cân bằng tải trên một nút IoT Analyzer .1 Mô hình thử nghiệm .2 Kịch bản 1: Thời gian xử lý trên số lượng các tệp tin đầu vào.3 Kịch bản 1: Thời gian xử lý ứng với kích cỡ của dữ liệu đầu vào.4 Kịch bản 1: Khối lượng xử lý ứng với kích cỡ tệp dữ liệu đầu vào.5 Kịch bản 2: Thời gian xử lý trên số lượng các tệp tin đầu vào.6 Kịch bản 2: Thời gian xử lý ứng với kích cỡ của dữ liệu đầu vào.7 Kịch bản 2: Khối lượng xử lý ứng với kích cỡ tệp dữ liệu đầu vào.8 Kịch bản 3: Thời gian xử lý trên số lượng các tệp tin đầu vào.9 Kịch bản 3: Thời gian xử lý ứng với kích cỡ của dữ liệu đầu vào.10 Kịch bản 3: Khối lượng xử lý ứng với kích cỡ tệp dữ liệu đầu vào.11 So sánh hiệu quả giữa khi áp dụng giải pháp phân tán động (kịch bản 2) và khi không áp dụng giải pháp phân tán động. Lý do chọn đề tài.
Cách mạng công nghiệp 4.0 mang đến rất nhiều những thay đổi nhanh chóng về công nghiệp trên toàn thế giới, đặc biệt là mở ra các công nghệ của tương lai. Một trong số các công nghệ được phát triển rất mạnh trong cách mạng công nghiệp 4.0 là Internet vạn vật (Internet of thing – IoT). Mạng lưới vạn vật kết nối Internet hoặc là mạng lưới thiết bị kết nối Internet viết tắt là IoT là một kịch bản của thế giới, khi mà mỗi đồ vật, con người được cung cấp một định danh của riêng mình, và tất cả có khả năng truyền tải, trao đổi thông tin, dữ liệu qua một mạng duy nhất mà không cần đến sự tương tác trực tiếp giữa người với người, hay người với máy tính. IoT đã phát triển từ sự hội tụ của công nghệ không dây, công nghệ vi cơ điện tử và Internet.
Nói đơn giản là một tập hợp các thiết bị có khả năng kết nối với nhau, với Internet và với thế giới bên ngoài để thực hiện một công việc nào đó. Song song với sự phát triển rất nhanh về mặt công nghệ, các thiết bị IoT cũng có có rất nhiều các nhược điểm cần khắc phục, một trong số các nhược điểm rất lớn của thiết bị IoT là bảo mật. Các thiết bị IoT có đặc điểm là hạn chế về tài nguyên, năng lực xử lý thấp và bộ nhớ nhỏ. Bởi vì thiết bị IoT phải đáp ứng với rất nhiều loại môi trường khác nhau, điều này làm cho thiết bị IoT phải đối mặt với thách thức về phát triển các giải pháp bảo mật.
Sự thiếu hụt các cơ chế và tiêu chuẩn bảo mật dẫn đến rất nhiều lỗ hổng trên thiết bị IoT được khai thác. Khi kẻ tấn công kiểm soát được một số lượng lớn thiết bị IoT sẽ rất nguy hiểm bởi có thể gây ra những cuộc tấn công lớn và cực lớn. Một trong số các kịch bản tấn công phổ biến là kẻ tấn công sẽ sử dụng các thiết bị IoT kiểm soát được trở thành một phần của một IoT botnet. Bằng cách đó, kẻ tấn công có thể tạo ra và mở rộng IoT botnet, sau đó sử dụng trong các cuộc tấn công trên không gian mạng khác nhau.
Các cuộc tấn công của IoT botnet có thể gây ra hậu quả rất nghiêm trọng. Việc đảm bảo an toàn thông tin cho các thiết bị IoT đã và đang là một chủ đề được nghiên cứu rất nhiều trên thế giới. Hệ thống phát hiện và cảnh báo mã độc IoT Botnet đã và đang được phát triển bởi các nhà nghiên cứu cũng như các hãng sản xuất phần mềm/phần cứng trên thế e 2 giới. Ngô Quốc Dũng đã đưa ra một giải pháp hệ thống gồm tiền xử lý, xử lý, phát hiện cảnh báo và ngăn chặn các cuộc tấn công mạng nhằm vào các thiết bi IoT cỡ nhỏ phù hợp với các thiết bị IoT phổ biến tại Việt Nam.
Mô hình của hệ thống được mô tả trong Hình 1. Từ những dữ liệu thu được tại các thiết bị IoT, phân hệ xử lý và phân tích dữ liệu (IoT-Analyzer) tiến hành phân tích và cảnh báo các nguy cơ an ninh mạng trước khi gửi về máy chủ giám sát tập trung. Mỗi điểm phân tích này gồm 2 mô đun chính: + Mô đun tiền xử lý và chuẩn hoá dữ liệu thu thập được từ các thiết bị dưới sự quản lý của từng điểm trong hệ thống; + Mô đun áp dụng mô hình học máy trong việc phân tích và phát hiện các nguy cơ tấn công mạng. Mô hình tổng quan hệ thống tự động phát hiện, cảnh báo và ngăn chặn tấn công mạng nhằm vào các thiết bị IoT cỡ nhỏ sử dụng mạng lưới tác tử thông minh.
Bài toán đặt ra khi triển khai hệ thống là tại một mạng nội bộ, nếu một IoT- Analyzer bị quá tải thì mạng nội bộ nó chịu trách nhiệm sẽ có nguy cơ mất an toàn e 3 bảo mật. Do đó cần có cơ chế xử lý khi một IoT-Analyzer quá tải và đưa ra hướng giải quyết dựa vào các IoT-Analyzer khác không bị quá tải. Bằng hướng nghiên cứu này, học viên đã chọn đề tài “Nghiên cứu xây dựng giải pháp phân tán động trong hệ thống phân tích mã động IoT Botnet dựa trên KAFKA và KSQL” nhằm cải thiện nhược điểm của hệ thống. Tổng quan về đề tài nghiên cứu.
Hiện nay, có rất nhiều các nghiên cứu và khảo sát về hệ thống xử lý phân tán nhằm tang hiệu quả của việc xử lý dữ liệu.