I. Tổng Quan Về Phát Hiện Xâm Nhập Mạng Bất Thường
Phát hiện xâm nhập mạng bất thường là một lĩnh vực quan trọng trong an toàn thông tin hiện đại. Luận văn thạc sĩ này tập trung vào việc phát triển các giải pháp phát hiện xâm nhập mạng dựa trên phân tích lưu lượng mạng và machine learning. Mục tiêu chính là xây dựng một hệ thống có khả năng nhận diện các hoạt động bất thường trên mạng máy tính một cách chính xác và hiệu quả. Nghiên cứu được thực hiện tại Trường Đại học Bách Khoa Hà Nội, dưới sự hướng dẫn của PGS. Nguyễn Linh Giang. Công trình này đánh dấu một bước tiến quan trọng trong việc ứng dụng công nghệ trí tuệ nhân tạo để bảo vệ cơ sở hạ tầng mạng khỏi các mối đe dọa an ninh mạng ngày càng phức tạp.
1.1. Khái Niệm Về Xâm Nhập Mạng Bất Thường
Xâm nhập mạng bất thường là các hoạt động trái phép hoặc bất thường trên hệ thống mạng. Các cuộc tấn công này có thể gây ảnh hưởng lớn đến an ninh dữ liệu và hoạt động kinh doanh. Phát hiện sớm các dấu hiệu bất thường giúp giảm thiểu rủi ro và bảo vệ thông tin quan trọng của tổ chức.
1.2. Tầm Quan Trọng Của Nghiên Cứu
Với sự gia tăng của các cuộc tấn công mạng máy tính, việc phát triển các hệ thống phát hiện xâm nhập hiệu quả trở nên cấp bách. Luận văn này cung cấp một giải pháp hỗ trợ các tổ chức bảo vệ hạ tầng mạng của họ bằng công nghệ machine learning tiên tiến.
II. Phương Pháp Học Máy Trong Phát Hiện Xâm Nhập
Luận văn sử dụng các kỹ thuật machine learning tiên tiến để xây dựng mô hình phát hiện xâm nhập. Đặc biệt, mô hình LSTM kết hợp với SVM được đề xuất để phân tích lưu lượng mạng và nhận diện các mô hình hoạt động bất thường. Long Short-Term Memory (LSTM) là một loại mạng neural network hiệu quả trong việc học các mô hình dữ liệu chuỗi thời gian, trong khi Support Vector Machine (SVM) cung cấp khả năng phân loại mạnh mẽ. Sự kết hợp này tạo ra một hệ thống có độ chính xác cao, có thể phát hiện các cuộc tấn công phức tạp mà các phương pháp truyền thống có thể bỏ sót.
2.1. Mô Hình LSTM Long Short Term Memory
LSTM là một kiến trúc mạng neural đặc biệt được thiết kế để xử lý các chuỗi dữ liệu dài. Nó có khả năng ghi nhớ thông tin quan trọng trong thời gian dài, giúp phát hiện các mô hình tấn công có khoảng thời gian dài. LSTM được sử dụng trong luận văn để phân tích lưu lượng mạng theo chiều thời gian.
2.2. Kết Hợp SVM Để Tăng Hiệu Quả
Support Vector Machine (SVM) là thuật toán học máy được sử dụng để phân loại các mẫu dữ liệu. Bằng cách kết hợp SVM với LSTM, mô hình đạt được độ chính xác cao hơn trong việc phát hiện xâm nhập mạng và giảm số lượng cảnh báo sai.
III. Tập Dữ Liệu Kyoto Dataset Và Xử Lý Dữ Liệu
Luận văn sử dụng Kyoto Dataset 2013 và 2015, một tập dữ liệu được công nhân rộng rãi trong lĩnh vực phát hiện xâm nhập. Các tập dữ liệu này chứa thông tin chi tiết về lưu lượng mạng thực tế, bao gồm các gói tin bình thường và các cuộc tấn công. Quá trình xử lý dữ liệu bao gồm nhiều bước quan trọng: trích rút dữ liệu từ các tập tin gốc, phân tích các đặc trưng, chuẩn hóa dữ liệu và chuyển đổi định dạng. Kỹ thuật Standardization được áp dụng để đưa các giá trị về cùng một tỷ lệ, trong khi One-hot Encoding được sử dụng để chuyển đổi các biến phân loại. Quá trình này đảm bảo dữ liệu được chuẩn bị tối ưu cho mô hình machine learning.
3.1. Giới Thiệu Kyoto Dataset
Kyoto Dataset là tập dữ liệu được thu thập từ một mạng đại học thực tế với hơn 1 triệu gói tin. Nó chứa các dòng ghi nhận chi tiết với 24 đặc trưng khác nhau, bao gồm thông tin về địa chỉ IP, cổng kết nối, và các giao thức mạng. Dataset này được chia thành dữ liệu huấn luyện và kiểm thử.
3.2. Các Bước Xử Lý Và Chuẩn Hóa Dữ Liệu
Dữ liệu trải qua các bước chuẩn hóa bao gồm loại bỏ các giá trị null, chuẩn hóa phạm vi giá trị, và mã hóa các biến phân loại. Kỹ thuật Standardization chuyển đổi dữ liệu về phân phối chuẩn, trong khi One-hot Encoding tạo các biến nhị phân từ các biến phân loại.
IV. Kết Quả Thực Nghiệm Và Đánh Giá Mô Hình
Luận văn trình bày các kết quả thực nghiệm chi tiết của mô hình LSTM-SVM trên cả tập Kyoto Dataset 2013 và 2015. Các kết quả được thể hiện thông qua confusion matrix, cho phép đánh giá hiệu suất với các chỉ số như độ chính xác, độ nhạy và độ đặc hiệu. Mô hình cho thấy kết quả ấn tượng với khả năng phát hiện cao các cuộc tấn công. Phân tích kỹ lưỡng các thông số hyper-parameter đã được tối ưu hóa để đạt được hiệu suất tốt nhất. Các biểu đồ và trực quan hóa dữ liệu được tạo bằng TensorBoard giúp dễ dàng theo dõi quá trình huấn luyện và kiểm thử mô hình. Kết quả cho thấy rằng kết hợp LSTM với SVM là một cách tiếp cận hiệu quả cho phát hiện xâm nhập mạng bất thường.
4.1. Các Chỉ Số Đánh Giá Hiệu Suất
Hiệu suất mô hình được đánh giá bằng các chỉ số như Accuracy (độ chính xác), Precision, Recall và F1-Score. Confusion Matrix cung cấp cái nhìn chi tiết về số lượng dự đoán đúng và sai. Các chỉ số này giúp xác định hiệu quả của mô hình trong phát hiện xâm nhập mạng.
4.2. Kết Quả Trên Các Bộ Dữ Liệu Khác Nhau
Mô hình được thử nghiệm trên Kyoto Dataset 2013 và 2015 để đảm bảo tính nhất quán và tin cậy. Kết quả cho thấy hiệu suất ổn định trên cả hai tập dữ liệu, xác nhận hiệu quả của phương pháp đề xuất trong phát hiện xâm nhập mạng trên các dữ liệu mới.