Luận văn: Kỹ thuật phân cụm dữ liệu trong phát hiện xâm nhập trái phép

Hệ thống phát hiện xâm nhập trái phép IDS là công cụ giám sát an ninh mạng. IDS phân tích lưu lượng mạng để tìm hành vi đáng ngờ. Hệ thống so sánh dữ liệu mạng với các mẫu tấn công đã biết. IDS chia thành hai loại chính. Loại đầu tiên dựa trên chữ ký signature-based. Loại này so sánh lưu lượng với cơ sở dữ liệu mẫu tấn công. Loại thứ hai dựa trên bất thường anomaly-based. Loại này phát hiện hành vi lệch khỏi trạng thái bình thường. IDS dựa trên bất thường có khả năng phát hiện tấn công mới. Tuy nhiên tỷ lệ báo động giả thường cao hơn. Kỹ thuật phân cụm dữ liệu thường được sử dụng trong IDS dựa trên bất thường. Phương pháp này xây dựng mô hình hành vi bình thường từ dữ liệu mạng. Bất kỳ hoạt động nào không thuộc mô hình đều bị đánh dấu là可疑.

Khai phá dữ liệu Data Mining là quá trình trích xuất tri thức từ dữ liệu lớn. Kỹ thuật này có nhiều ứng dụng trong phát hiện xâm nhập trái phép. Khai phá dữ liệu giúp xử lý khối lượng dữ liệu mạng khổng lồ. Các kỹ thuật chính bao gồm phân cụm phân loại và phát hiện bất thường. Phân cụm nhóm dữ liệu thành các cụm có đặc điểm tương đồng. Phân loại gán nhãn cho dữ liệu dựa trên mẫu đã học. Phát hiện bất thường tìm kiếm điểm dữ liệu khác biệt. Trong IDS khai phá dữ liệu giúp giảm thời gian phân tích. Phương pháp này cải thiện độ chính xác khi phát hiện tấn công. Các thuật toán học máy được áp dụng rộng rãi. Random Forest SVM và mạng nơ-ron là các kỹ thuật phổ biến. Sự kết hợp giữa khai phá dữ liệu và IDS tạo ra hệ thống bảo mật mạnh mẽ.

K-means là thuật toán phân cụm phân hoạch phổ biến nhất. Thuật toán chia dữ liệu thành k cụm. Quá trình lặp lại cho đến khi hội tụ. Bước đầu tiên chọn ngẫu nhiên k tâm cụm. Bước thứ hai gán mỗi điểm dữ liệu vào cụm gần nhất. Bước thứ ba tính lại tâm cụm dựa trên trung bình các điểm trong cụm. Thuật toán có độ phức tạp O(nkt). Trong đó n là số điểm k là số cụm t là số lần lặp. K-means có ưu điểm đơn giản và nhanh. Nhược điểm là phải xác định trước số cụm k. Thuật toán nhạy cảm với giá trị khởi tạo. CLARA cải tiến K-means bằng cách lấy mẫu ngẫu nhiên. CLARANS kết hợp ưu điểm của CLARA và tập lân cận ngẫu nhiên. Các biến thể này giúp cải thiện hiệu suất phân cụm trên dữ liệu lớn.

DBSCAN là thuật toán phân cụm dựa trên mật độ. Thuật toán hoạt động dựa trên hai tham số chính. Tham số đầu tiên là bán kính epsilon. Tham số thứ hai là số điểm tối thiểu MinPts. Điểm nhân core point có ít nhất MinPts điểm trong bán kính epsilon. Điểm biên border point nằm trong lân cận của điểm nhân. Điểm nhiễu noise point không thuộc cụm nào. DBSCAN có nhiều ưu điểm vượt trội. Thuật toán không cần chỉ định số cụm trước. DBSCAN phát hiện được cụm có hình dạng bất kỳ. Thuật toán nhận diện điểm nhiễu hiệu quả. Độ phức tạp khi sử dụng cây R-tree là O(n log n). Tuy nhiên DBSCAN khó xử lý dữ liệu có mật độ không đồng đều. OPTICS là cải tiến của DBSCAN. OPTICS tạo ra thứ tự sắp xếp các điểm theo mật độ. Từ đó xác định cấu trúc cụm ở nhiều mức mật độ khác nhau.

Xây dựng mô hình phân cụm phát hiện xâm nhập gồm nhiều bước. Bước đầu tiên thu thập dữ liệu từ mạng thực tế. Công cụ Snort hoặc Wireshark được sử dụng để bắt gói tin. Dữ liệu được lưu trữ trong cơ sở dữ liệu để xử lý. Bước hai trích xuất đặc trưng từ dữ liệu thô. Đặc trưng liên quan đến kết nối gồm thời lượng số gói tin. Đặc trưng liên quan đến nội dung gồm số byte lỗi đăng nhập. Bước ba chuẩn hóa dữ liệu bằng phương pháp Min-Max hoặc Z-score. Bước bốn áp dụng thuật toán phân cụm phù hợp. K-means sử dụng khi biết số loại tấn công. DBSCAN áp dụng khi dữ liệu có phân bố mật độ không đều. Bước năm đánh giá kết quả bằng các chỉ số. Chỉ số Silhouette và Davies-Bouldin đánh giá chất lượng cụm. Tỷ lệ phát hiện và tỷ lệ báo động giả衡量 hiệu suất hệ thống.

Phân cụm dữ liệu được ứng dụng rộng rãi trong giám sát an ninh mạng. Hệ thống IDS hiện đại tích hợp kỹ thuật phân cụm. Giám sát lưu lượng mạng thời gian thực là ứng dụng chính. Hệ thống phân tích từng kết nối mạng theo thời gian. Lưu lượng bất thường được cảnh báo ngay lập tức. Phát hiện tấn công DDoS là ứng dụng quan trọng. Phân cụm giúp nhận diện mẫu lưu lượng tấn công phân tán. Phát hiện botnet thông qua phân tích hành vi kết nối. Các máy bị nhiễm malware có mẫu kết nối相似. Giám sát hệ thống công nghiệp SCADA sử dụng phân cụm. Phương pháp này phát hiện tấn công vào hệ thống điều khiển. Ứng dụng trong điện toán đám mây giúp bảo vệ hạ tầng ảo. Phân cụm cũng hỗ trợ phân tích pháp y số sau sự cố. Dữ liệu lưu trữ được phân cụm để xác định timeline tấn công. Các tổ chức tài chính sử dụng để phát hiện giao dịch gian lận.

Phương pháp phân cụm trong phát hiện xâm nhập có nhiều ưu điểm. Ưu điểm đầu tiên là không cần dữ liệu gán nhãn. Điều này rất quan trọng vì dữ liệu mạng thường không có nhãn. Ưu điểm thứ hai là phát hiện được tấn công mới. Phương pháp không依赖 mẫu tấn công已知. Ưu điểm thứ ba là khả năng xử lý dữ liệu lớn. Các thuật toán phân cụm có thể mở rộng tốt. Tuy nhiên phương pháp cũng có hạn chế. Hạn chế đầu tiên là khó xác định tham số tối ưu. Giá trị k trong K-means hoặc epsilon trong DBSCAN ảnh hưởng lớn kết quả. Hạn chế thứ hai là độ phức tạp tính toán cao. Dữ liệu mạng có số chiều lớn làm tăng thời gian xử lý. Hạn chế thứ ba là khó đánh giá kết quả phân cụm. Không có ground truth để so sánh chính xác.

Công nghệ phân cụm IDS đang phát triển theo nhiều hướng mới. Hướng thứ nhất là kết hợp với học sâu Deep Learning. Mạng nơ-ron tự trích xuất đặc trưng từ dữ liệu thô. Autoencoder giúp giảm chiều dữ liệu trước khi phân cụm. Hướng thứ hai là phân cụm trên dữ liệu_stream thời gian thực. Thuật toán cần xử lý dữ liệu liên tục không lưu trữ. Hệ thống cảnh báo theo thời gian thực đáp ứng yêu cầu sản xuất. Hướng thứ ba là áp dụng trên mạng IoT và thiết bị边缘. Dữ liệu từ cảm biến và thiết bị thông minh rất đa dạng. Hướng thứ tư là học tăng cường Reinforcement Learning. Hệ thống tự động điều chỉnh tham số phân cụm. Hướng thứ năm là联邦 học Federated Learning. Nhiều tổ chức cùng训练模型 mà không chia sẻ dữ liệu. Các hướng nghiên cứu này hứa hẹn cải thiện hiệu suất phát hiện xâm nhập.