Hệ Thống Phát Hiện Xâm Nhập Trong Mạng SDN Sử Dụng Mạng Đối Kháng Sinh

LỜI CAM ĐOAN

LỜI CẢM ƠN

1. CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN

1.1. Đặt vấn đề

1.2. Tình hình nghiên cứu

1.3. Tính khoa học và tính mới của đề tài

1.4. Mục tiêu của đề tài

1.5. Đối tượng nghiên cứu

1.6. Phạm vi nghiên cứu

1.7. Cấu trúc khoá luận

2. CHƯƠNG 2: KIẾN THỨC NỀN TẢNG

2.1. Software-Defined Networking (SDN)

2.2. Tổng quan về SDN

2.3. Kiến trúc của SDN

2.4. Cơ chế hoạt động của SDN

2.5. Giới thiệu về phương pháp học sâu (Deep Learning)

2.5.1. Khái niệm học sâu

2.5.2. Phân loại học sâu

2.5.3. Mạng nơ-ron tích chập CNN (Convolutional Neural Network)

2.5.3.1. Kiến trúc chung của mạng nơ-ron tích chập

2.5.3.2. Mô hình hoạt động của CNN

2.5.4. Giới thiệu các kiến trúc CNN hiện đại

2.5.5. Mạng nơ-ron hồi quy (RNN - Recurrent Neural Network)

2.5.5.1. Giới thiệu về RNN

2.5.5.2. Mô hình hoạt động của RNN

2.5.5.3. Mô hình hoạt động của LSTM (Long short-term memory)

2.6. Generative Adversarial Network (GAN)

2.6.1. Giới thiệu về GAN

2.6.2. Cấu trúc mạng GAN

2.6.3. Mô hình AdvGAN

2.6.4. Giới thiệu về AdvGAN

2.6.5. Nguyên lý hoạt động của AdvGAN

2.6.6. Kỹ thuật học chuyển tiếp (Transfer Learning)

2.6.7. Các phép đo đánh giá mô hình

2.6.8. Hệ thống phát hiện xâm nhập NIDS

3. CHƯƠNG 3: PHƯƠNG PHÁP LUẬN VÀ THIẾT KẾ HỆ THỐNG

3.1. Giới thiệu chung

3.2. Phương pháp phát hiện tấn công

3.2.1. Phương pháp binary classifier

3.2.2. Phương pháp multiclass classifier

3.3. Mô hình phát hiện tấn công

3.3.1. Mô hình phát hiện tấn công sử dụng thuật toán MLP

3.3.2. Mô hình phát hiện tấn công sử dụng thuật toán LSTM

3.3.3. Mô hình phát hiện tấn công sử dụng thuật toán VGG-19

3.4. Mô hình phát sinh tấn công đối kháng

3.4.1. Mô hình phát sinh tấn công đối kháng sử dụng AdvGAN

3.4.2. Mô hình phát sinh tấn công đối kháng sử dụng Conditional GAN

3.5. Phương pháp tái huấn luyện

4. CHƯƠNG 4: KẾT QUẢ THỰC NGHIỆM, PHÂN TÍCH - ĐÁNH GIÁ

4.1. Các tập dữ liệu sử dụng

4.1.1. Tạo tập dữ liệu tấn công InSecLab2021

4.2. Xây dựng mô hình mạng bị tấn công

4.2.1. Triển khai ONOS Controller

4.2.2. Giới thiệu về CICFlowMeter

4.2.3. Tạo các Docker Image

4.2.4. Dựng mô hình với Containernet

4.2.5. Xây dựng mô hình mạng tấn công

4.2.5.1. Cài đặt Docker Swarm và POFfalner

4.2.5.2. Dựng mạng Botnet Mira

4.2.5.3. Thu thập tấn công và gắn nhãn dữ liệu

4.3. Gắn nhãn dữ liệu

4.4. Tiền xử lý dữ liệu

4.4.1. Xử lý dữ liệu đầu vào cho mô hình MLP và LSTM

4.4.2. Xử lý dữ liệu đầu vào cho mô hình VGG-19

4.5. Các tiêu chí đánh giá mô hình

4.6. Môi trường huấn luyện mô hình

4.6.1. Máy tính huấn luyện

4.6.2. Framework sử dụng

4.7. Huấn luyện IDS

4.7.1. Huấn luyện mô hình MLP

4.7.2. Huấn luyện mô hình LSTM

4.7.3. Huấn luyện mô hình VGG-19

4.7.4. Kết quả huấn luyện IDS

4.8. Huấn luyện mô hình GAN

4.8.1. Huấn luyện mô hình AdvGAN

4.8.2. Huấn luyện mô hình Conditional AdvGAN

4.9. Tấn công IDS sử dụng AdvGAN

4.10. Tấn công IDS sử dụng Conditional AdvGAN

4.11. Tái huấn luyện IDS bằng tập dữ liệu đối kháng

4.11.1. Tái huấn luyện IDS sử dụng tập dữ liệu đối kháng AdvGAN

4.11.2. Tái huấn luyện IDS sử dụng tập dữ liệu đối kháng Conditional AdvGAN

4.12. Phân tích - đánh giá

5. CHƯƠNG 5: KẾT LUẬN

5.1. Thuận lợi và khó khăn

5.2. Khó khăn

5.3. Hướng phát triển

TÀI LIỆU THAM KHẢO

PHỤ LỤC

I. Tổng quan về Hệ Thống Phát Hiện Xâm Nhập Trong Mạng SDN

Hệ thống phát hiện xâm nhập (IDS) trong mạng định nghĩa bằng phần mềm (SDN) đang trở thành một chủ đề nóng trong lĩnh vực an ninh mạng. SDN cho phép quản lý mạng một cách linh hoạt và hiệu quả hơn, nhưng cũng đồng nghĩa với việc các mối đe dọa an ninh mạng ngày càng phức tạp hơn. Việc phát hiện và ngăn chặn các cuộc tấn công mạng là một thách thức lớn. Hệ thống IDS sử dụng mạng đối kháng sinh (GAN) có thể cải thiện khả năng phát hiện các hành vi bất thường trong mạng.

1.1. Khái niệm về Hệ Thống Phát Hiện Xâm Nhập

Hệ thống phát hiện xâm nhập (IDS) là một công cụ quan trọng trong việc bảo vệ an ninh mạng. IDS có thể phân loại thành hai loại chính: dựa trên dấu hiệu và dựa trên hành vi bất thường. Mỗi loại có những ưu điểm và nhược điểm riêng, nhưng IDS dựa trên hành vi bất thường đang ngày càng được ưa chuộng nhờ khả năng phát hiện các tấn công mới.

1.2. Tầm quan trọng của Mạng SDN trong An ninh Mạng

Mạng SDN cung cấp khả năng quản lý linh hoạt và hiệu quả cho các hệ thống mạng phức tạp. Tuy nhiên, sự phức tạp này cũng tạo ra nhiều lỗ hổng bảo mật. Việc áp dụng các giải pháp bảo mật như IDS trong môi trường SDN là rất cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công mạng.

II. Vấn đề và Thách thức trong Hệ Thống Phát Hiện Xâm Nhập

Mặc dù hệ thống phát hiện xâm nhập trong mạng SDN có nhiều lợi ích, nhưng vẫn tồn tại nhiều thách thức. Các cuộc tấn công mạng ngày càng tinh vi và khó phát hiện hơn. Hệ thống IDS cần phải được cải tiến liên tục để đối phó với các mối đe dọa mới. Việc thiếu dữ liệu chất lượng để huấn luyện mô hình cũng là một vấn đề lớn.

2.1. Các loại tấn công mạng phổ biến

Các loại tấn công mạng như tấn công từ chối dịch vụ (DDoS), tấn công lừa đảo và tấn công mã độc đang gia tăng. Những tấn công này không chỉ gây thiệt hại về tài chính mà còn ảnh hưởng đến uy tín của tổ chức. Hệ thống IDS cần phải có khả năng phát hiện nhanh chóng và chính xác các loại tấn công này.

2.2. Thiếu hụt dữ liệu huấn luyện cho IDS

Một trong những thách thức lớn nhất đối với hệ thống IDS là việc thiếu hụt dữ liệu huấn luyện chất lượng. Dữ liệu không đủ đa dạng có thể dẫn đến việc mô hình không phát hiện được các tấn công mới. Việc sử dụng mạng đối kháng sinh (GAN) để tạo ra dữ liệu mới có thể là một giải pháp khả thi.

III. Phương pháp Sử dụng Mạng Đối Kháng Sinh trong IDS

Mạng đối kháng sinh (GAN) đã được chứng minh là một công cụ mạnh mẽ trong việc tạo ra dữ liệu huấn luyện cho hệ thống phát hiện xâm nhập. Bằng cách sử dụng GAN, có thể tạo ra các mẫu dữ liệu tấn công đa dạng, giúp cải thiện khả năng phát hiện của IDS. Phương pháp này không chỉ giúp tăng cường độ chính xác mà còn giảm thiểu thời gian và chi phí trong việc thu thập dữ liệu.

3.1. Cấu trúc và Nguyên lý hoạt động của GAN

Mạng đối kháng sinh (GAN) bao gồm hai thành phần chính: mạng sinh và mạng phân biệt. Mạng sinh tạo ra dữ liệu mới, trong khi mạng phân biệt đánh giá tính xác thực của dữ liệu. Quá trình này diễn ra liên tục cho đến khi mạng sinh tạo ra dữ liệu đủ chất lượng để đánh lừa mạng phân biệt.

3.2. Ứng dụng của GAN trong Hệ Thống IDS

Việc áp dụng GAN trong hệ thống IDS cho phép tạo ra các mẫu tấn công giả lập, giúp mô hình học hỏi và cải thiện khả năng phát hiện. Điều này đặc biệt hữu ích trong việc phát hiện các tấn công chưa từng thấy trước đây, từ đó nâng cao khả năng bảo vệ hệ thống mạng.

IV. Kết quả Nghiên cứu và Ứng dụng Thực tiễn

Nghiên cứu đã chỉ ra rằng việc sử dụng mạng đối kháng sinh (GAN) để tạo ra dữ liệu huấn luyện cho hệ thống phát hiện xâm nhập có thể cải thiện đáng kể khả năng phát hiện tấn công. Các thử nghiệm trên tập dữ liệu CSE-CIC-IDS2018 và InSecLab2021 cho thấy mô hình IDS được huấn luyện với dữ liệu sinh ra từ GAN có tỷ lệ phát hiện cao hơn so với mô hình truyền thống.

4.1. Kết quả thực nghiệm với dữ liệu CSE CIC IDS2018

Kết quả thực nghiệm cho thấy mô hình IDS sử dụng dữ liệu sinh ra từ GAN có tỷ lệ phát hiện tấn công cao hơn 15% so với mô hình không sử dụng GAN. Điều này chứng tỏ rằng GAN có thể tạo ra dữ liệu chất lượng cao, giúp cải thiện hiệu suất của IDS.

4.2. Ứng dụng thực tiễn trong các tổ chức

Nhiều tổ chức đã bắt đầu áp dụng phương pháp này để nâng cao khả năng bảo vệ hệ thống mạng của họ. Việc sử dụng GAN không chỉ giúp tiết kiệm thời gian và chi phí mà còn tăng cường khả năng phát hiện các mối đe dọa mới.

V. Kết luận và Hướng phát triển trong Tương lai

Hệ thống phát hiện xâm nhập trong mạng SDN sử dụng mạng đối kháng sinh (GAN) là một giải pháp tiềm năng cho các vấn đề an ninh mạng hiện nay. Nghiên cứu cho thấy rằng việc áp dụng GAN có thể cải thiện đáng kể khả năng phát hiện tấn công. Trong tương lai, cần tiếp tục nghiên cứu và phát triển các phương pháp mới để tối ưu hóa hiệu suất của IDS.

5.1. Tương lai của Hệ Thống IDS

Hệ thống IDS sẽ tiếp tục phát triển và cải tiến để đối phó với các mối đe dọa ngày càng tinh vi. Việc tích hợp các công nghệ mới như AI và machine learning sẽ giúp nâng cao khả năng phát hiện và phản ứng nhanh chóng với các cuộc tấn công.

5.2. Đề xuất nghiên cứu tiếp theo

Cần nghiên cứu thêm về việc tối ưu hóa các mô hình GAN để tạo ra dữ liệu chất lượng cao hơn. Ngoài ra, việc kết hợp GAN với các phương pháp học sâu khác có thể mở ra nhiều cơ hội mới trong việc phát hiện và ngăn chặn các cuộc tấn công mạng.