Tổng quan nghiên cứu

Sự phát triển nhanh chóng của Internet đã tạo ra nhiều cơ hội và thách thức trong lĩnh vực bảo mật mạng. Theo báo cáo của tổ chức Symantec, trong năm 2016, số lượng các cuộc tấn công vào các thiết bị IoT đã tăng gần gấp đôi, từ 4.6 lần/giờ lên hơn 8.8 lần/giờ, cho thấy mức độ nguy hiểm và tinh vi ngày càng gia tăng của các cuộc tấn công mạng. Các cuộc tấn công chủ yếu tập trung vào ba hướng: lỗ hổng thiết bị và phương tiện truyền thông, phương thức giao dịch và các ứng dụng. Để đối phó, hệ thống phát hiện và phòng chống xâm nhập mạng (IDPS) được phát triển, trong đó hệ thống phát hiện xâm nhập dựa trên dấu hiệu bất thường (Anomaly-based Intrusion Detection System - AIDS) được đánh giá cao về khả năng phát hiện các tấn công mới, chưa có mẫu trong cơ sở dữ liệu.

Mục tiêu nghiên cứu của luận văn là hiện thực một hệ thống phát hiện xâm nhập mạng dựa trên sự bất thường, kết hợp ba nền tảng phần cứng FPGA, CPU và GPU nhằm cải thiện hiệu suất và độ chính xác trong phát hiện tấn công. Nghiên cứu tập trung vào việc xây dựng module rút trích đặc trưng trên FPGA, mô hình mạng nơron nhân tạo (Neural Network) trên GPU và cơ chế giao tiếp giữa các nền tảng qua CPU. Phạm vi nghiên cứu thực hiện tại Trường Đại học Bách Khoa, ĐHQG TP. Hồ Chí Minh trong giai đoạn từ tháng 7/2016 đến tháng 12/2017. Kết quả nghiên cứu có ý nghĩa quan trọng trong việc nâng cao khả năng phát hiện tấn công mạng thời gian thực với tốc độ xử lý lên đến 200 Mbps và độ chính xác trên 80%, góp phần bảo vệ an toàn thông tin cho các tổ chức, doanh nghiệp và quốc gia.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên các lý thuyết và mô hình sau:

  • Hệ thống phát hiện và phòng chống xâm nhập (IDPS): Bao gồm hai thành phần chính là hệ thống phát hiện xâm nhập (IDS) và hệ thống phòng chống xâm nhập (IPS). IDS được chia thành Host-based IDS (HIDS) và Network-based IDS (NIDS). Hai kỹ thuật phát hiện chính trong IDS là dựa trên dấu hiệu đã biết (Signature-based IDS) và dựa trên dấu hiệu bất thường (Anomaly-based IDS).

  • Mạng nơron nhân tạo (Neural Network - NN): Mạng NN gồm nhiều nút (perceptrons) liên kết với nhau, mỗi kết nối có trọng số tương ứng. Mạng sử dụng hàm kích hoạt để phân loại dữ liệu đầu vào thành bình thường hoặc bất thường. Thuật toán lan truyền ngược (Back-Propagation - BP) được áp dụng để huấn luyện mạng.

  • Kỹ thuật xây dựng đặc trưng dữ liệu (Feature Construction): Bao gồm các phương pháp lọc (filter), bao bọc (wrapper), trộn (embedded) và kết hợp (hybrid) nhằm giảm số chiều dữ liệu, loại bỏ đặc trưng không cần thiết, tăng hiệu suất phân lớp.

  • Nền tảng phần cứng: FPGA (Field Programmable Gate Array) với khả năng xử lý dữ liệu tốc độ cao và khả năng tái cấu hình, GPU (Graphics Processing Unit) với khả năng tính toán song song mạnh mẽ, và CPU đóng vai trò điều phối, giao tiếp dữ liệu.

Phương pháp nghiên cứu

  • Nguồn dữ liệu: Sử dụng các tập dữ liệu mạng phổ biến như KDD Cup 99 và ISCX-UNB để huấn luyện và đánh giá hệ thống phát hiện xâm nhập dựa trên dấu hiệu bất thường.

  • Thiết kế hệ thống: Xây dựng hệ thống HA-IDS gồm ba thành phần: hệ thống rút trích đặc trưng trên FPGA (F-FC), module giao tiếp trên CPU và hệ thống phân lớp mạng nơron trên GPU (G-ANN).

  • Phương pháp phân tích: Thực hiện các thí nghiệm đo tốc độ xử lý, độ chính xác phát hiện, so sánh thời gian huấn luyện giữa CPU và GPU. CPU được sử dụng như bộ đệm dữ liệu theo cơ chế FIFO để đảm bảo luồng dữ liệu liên tục giữa FPGA và GPU.

  • Timeline nghiên cứu: Nghiên cứu bắt đầu từ tháng 7/2016, hoàn thành và bảo vệ luận văn vào tháng 12/2017, trong đó các giai đoạn thiết kế, hiện thực và thử nghiệm được triển khai liên tục.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

  1. Hiệu suất rút trích đặc trưng trên FPGA: Hệ thống F-FC trên FPGA Xilinx Virtex-5 XC5VTX240T có khả năng rút trích 10 thông tin header của gói tin với tốc độ đạt ngưỡng 5 (đơn vị đo tương ứng), đảm bảo xử lý dữ liệu mạng tốc độ cao.

  2. Thời gian huấn luyện trên GPU: Việc huấn luyện mô hình mạng nơron trên GPU Gigabyte GeForce GTX 1080 nhanh hơn CPU Intel Core i7-4770 khoảng 12 lần, giúp giảm đáng kể thời gian phản hồi của hệ thống.

  3. Độ chính xác phát hiện: Hệ thống HA-IDS đạt độ chính xác trên 80% khi xử lý luồng dữ liệu với tốc độ bắn gói tin 200 Mbps, đáp ứng yêu cầu thời gian thực trong phát hiện xâm nhập.

  4. Khả năng giao tiếp giữa FPGA, CPU và GPU: CPU đóng vai trò bộ đệm FIFO hiệu quả, đảm bảo luồng dữ liệu liên tục và đồng bộ giữa FPGA và GPU, giảm thiểu độ trễ trong quá trình xử lý.

Thảo luận kết quả

Kết quả thực nghiệm cho thấy sự kết hợp ba nền tảng FPGA, CPU và GPU đã khắc phục được các hạn chế của các công trình trước đây chỉ sử dụng CPU hoặc kết hợp CPU với một trong hai nền tảng FPGA hoặc GPU. FPGA đảm nhiệm tốt việc xử lý dữ liệu tốc độ cao và rút trích đặc trưng, trong khi GPU phát huy ưu thế tính toán song song cho mô hình mạng nơron, giúp tăng tốc độ huấn luyện và phân lớp. CPU với vai trò trung gian giúp đồng bộ dữ liệu, giảm thiểu độ trễ và tăng tính ổn định của hệ thống.

So sánh với các nghiên cứu trước, hệ thống HA-IDS không chỉ cải thiện đáng kể thời gian huấn luyện mà còn duy trì độ chính xác phát hiện cao, phù hợp với yêu cầu xử lý dữ liệu lớn trong môi trường mạng hiện đại. Dữ liệu có thể được trình bày qua biểu đồ so sánh thời gian huấn luyện CPU và GPU, biểu đồ độ chính xác theo tốc độ bắn gói tin, và bảng thống kê tài nguyên sử dụng trên FPGA để minh họa hiệu quả của hệ thống.

Đề xuất và khuyến nghị

  1. Tăng cường tối ưu hóa module rút trích đặc trưng trên FPGA: Nâng cao khả năng xử lý song song và mở rộng số lượng đặc trưng rút trích nhằm cải thiện độ chính xác phát hiện, thực hiện trong vòng 12 tháng, do nhóm phát triển phần cứng đảm nhận.

  2. Phát triển giao thức giao tiếp trực tiếp giữa FPGA và GPU: Giảm thiểu độ trễ và tăng thông lượng dữ liệu bằng cách thiết kế giao thức PCIe tối ưu, dự kiến hoàn thành trong 18 tháng, phối hợp giữa nhóm phần cứng và phần mềm.

  3. Mở rộng mô hình mạng nơron: Áp dụng các kiến trúc mạng sâu (Deep Neural Network) hoặc mạng học tăng cường để nâng cao khả năng phát hiện các tấn công phức tạp, thực hiện trong 24 tháng, do nhóm nghiên cứu AI đảm nhiệm.

  4. Triển khai hệ thống trên môi trường thực tế: Thử nghiệm và đánh giá hệ thống HA-IDS trong các môi trường mạng doanh nghiệp và IoT để kiểm chứng hiệu quả và điều chỉnh phù hợp, tiến hành trong 12 tháng, phối hợp với các tổ chức, doanh nghiệp.

Đối tượng nên tham khảo luận văn

  1. Nhà nghiên cứu và sinh viên ngành Khoa học máy tính, An toàn thông tin: Nắm bắt kiến thức về hệ thống phát hiện xâm nhập dựa trên dấu hiệu bất thường, kỹ thuật kết hợp FPGA và GPU trong xử lý dữ liệu mạng.

  2. Kỹ sư phát triển hệ thống bảo mật mạng: Áp dụng các giải pháp phần cứng và phần mềm tích hợp để xây dựng hệ thống IDS hiệu quả, nâng cao tốc độ xử lý và độ chính xác phát hiện.

  3. Doanh nghiệp và tổ chức quản lý mạng: Hiểu rõ các phương pháp phát hiện tấn công mạng hiện đại, lựa chọn và triển khai hệ thống phù hợp với yêu cầu bảo mật và hiệu suất.

  4. Nhà sản xuất phần cứng và phần mềm: Tham khảo thiết kế hệ thống tích hợp FPGA, GPU và CPU, phát triển các sản phẩm chuyên dụng cho lĩnh vực an ninh mạng.

Câu hỏi thường gặp

  1. Hệ thống HA-IDS có thể phát hiện được những loại tấn công nào?
    Hệ thống tập trung phát hiện các tấn công bất thường mạng như DoS, DDoS, Probe, R2L và U2R dựa trên phân tích đặc trưng gói tin và hành vi luồng dữ liệu, với độ chính xác trên 80%.

  2. Tại sao cần kết hợp FPGA và GPU trong hệ thống phát hiện xâm nhập?
    FPGA xử lý dữ liệu tốc độ cao và rút trích đặc trưng hiệu quả, GPU thực hiện tính toán song song cho mạng nơron nhanh chóng, kết hợp giúp tăng hiệu suất và giảm độ trễ so với chỉ dùng CPU hoặc một nền tảng đơn lẻ.

  3. CPU đóng vai trò gì trong hệ thống HA-IDS?
    CPU làm bộ đệm dữ liệu theo cơ chế FIFO, điều phối luồng dữ liệu giữa FPGA và GPU, đảm bảo đồng bộ và liên tục trong quá trình xử lý, giảm thiểu độ trễ và tăng tính ổn định.

  4. Hệ thống có thể xử lý dữ liệu mạng với tốc độ bao nhiêu?
    Thực nghiệm cho thấy hệ thống đáp ứng tốt với tốc độ bắn gói tin lên đến 200 Mbps, phù hợp với yêu cầu xử lý thời gian thực trong môi trường mạng hiện đại.

  5. Làm thế nào để mở rộng hệ thống cho các môi trường mạng lớn hơn?
    Có thể mở rộng bằng cách tối ưu hóa module rút trích trên FPGA, nâng cấp GPU với kiến trúc mạng sâu hơn, và phát triển giao thức giao tiếp trực tiếp giữa FPGA và GPU để tăng thông lượng và giảm độ trễ.

Kết luận

  • Đề tài đã xây dựng thành công hệ thống phát hiện xâm nhập mạng dựa trên dấu hiệu bất thường kết hợp FPGA, CPU và GPU, nâng cao hiệu suất xử lý và độ chính xác phát hiện.

  • FPGA đảm nhiệm việc rút trích đặc trưng dữ liệu mạng với tốc độ cao, GPU thực hiện huấn luyện và phân lớp mạng nơron nhanh hơn CPU 12 lần.

  • Hệ thống đạt độ chính xác trên 80% khi xử lý luồng dữ liệu tốc độ 200 Mbps, đáp ứng yêu cầu thời gian thực.

  • CPU đóng vai trò bộ đệm dữ liệu hiệu quả, đảm bảo giao tiếp đồng bộ giữa FPGA và GPU.

  • Các bước tiếp theo bao gồm tối ưu hóa module rút trích, phát triển giao thức giao tiếp trực tiếp FPGA-GPU, mở rộng mô hình mạng nơron và triển khai thử nghiệm thực tế nhằm nâng cao hiệu quả và ứng dụng rộng rãi hệ thống.
    Hãy bắt đầu áp dụng các giải pháp này để nâng cao an ninh mạng cho tổ chức của bạn ngay hôm nay!