Chương 1. TỔNG QUAN ĐỀ TÀI loại và dự đoán chính xác. Do đó có thể áp dụng các mô hình học sâu trong các hệ thống giúp tang khả năng phát hiện tan công APT. Từ những điều trên, chúng tôi nhận thấy việc xây dung mô hình phát hiện tan công APT là một nhu cầu cần thiết.
Vì vậy, chúng tôi muốn xây dựng được một mô hình có thể phát hiện tấn APT hiệu quả, nhằm tiết kiệm thời gian và chỉ phí, đáp ứng được nhu cầu về nguồn nhân lực an toàn thông tin hiện nay.2 Phuong pháp nghiên cứu Trong nghiên cứu này, chúng tôi đã tập trung vào việc tìm hiểu và khai thác khái niệm, cách thức hoạt động của các cuộc tấn công APT (Advanced Persistent Threats), cùng với kiến thức về đồ thị nguồn gốc và cách sử dụng đồ thị nguồn gốc trong việc phát hiện các cuộc tấn công APT. Các cuộc tấn công APT thường rất phức tạp, kéo dài và khó phát hiện, vì vậy việc hiểu rõ bản chất và phương thức tấn công là bước đầu tiên quan trọng để xây dựng một mô hình phát hiện hiệu quả. Chúng tôi đã tiến hành nghiên cứu sâu rộng về đồ thị nguồn gốc, một công cụ mạnh mẽ trong việc biểu diễn mối quan hệ và sự tương tác giữa các thực thể trong mạng. Đồ thị nguồn gốc giúp chúng tôi mô hình hóa các sự kiện, hành vi và luồng đữ liệu trong hệ thống, từ đó nhận diện các mẫu hành vi bất thường có thể là dấu hiệu của các cuộc tân công APT.
Việc sử dụng đồ thị nguồn gốc cho phép chúng tôi tạo ra một bức tranh tổng thể về hoạt động trong hệ thống, giúp phát hiện các hành vi tấn công tinh vi ma các phương pháp truyền thống có thể bỏ qua. Dựa trên hiểu biết này, chúng tôi đã xây dựng một mô hình phát hiện tan công APT dựa trên đồ thị nguồn gốc. Mô hình nay không chỉ tập trung vào việc phát hiện các hành vi bat thường ma còn lập biểu dé tóm tắt các cuộc tan công từ các hang đợi cửa sổ thời gian. Chúng tôi sử dụng phương pháp học sâu GNN (Graph Neural Networks) để khai thác cu trúc và động học của dé thị nguồn gốc.
GNN là một công cụ mạnh mẽ trong việc học các biểu diễn từ đồ thị, cho phép mô hình học được các đặc trưng phức tạp từ dữ liệu. TỔNG QUAN ĐỀ TÀI Trong quá trình phát triển mô hình, chúng tôi đã xem xét và áp dụng một số thuật toán phù hợp để tối ưu hóa hiệu quả phát hiện. Các thuật toán này bao gồm các kỹ thuật chuyển đổi và cập nhật biểu diễn của đỉnh trong dé thị, sử dụng các lớp TransformerConv trong mô hình Graph Attention Embedding (GAE) và các lớp SAGEConv trong mô hình GraphSAGE. Các lớp này giúp mô hình học được các đặc trưng phức tạp từ dir liệu dé thị và cải thiện hiệu quả phát hiện tấn công.
Để đánh giá hiệu năng và độ chính xác của mô hình, chúng tôi đã thực hiện các thử nghiệm khác nhau trên các bộ dữ liệu CADETS và THEIA. Các thử nghiệm này không chỉ giúp chúng tôi đo lường hiệu suất của mô hình mà còn cung cấp những thông tin quan trong để điều chỉnh và cải tiến mô hình. Chúng tôi đã sử dụng các chỉ số như True Positives (TP), True Negatives (TN), False Positives (FP), False Negatives (FN), Precision, Recall, Accuracy và AUC để đánh giá hiệu suất của mô hình. Kết quả thử nghiệm cho thay mô hình GraphSAGE có hiệu suất vượt trội hơn so với mô hình GAE, đặc biệt là trong việc phát hiện các cuộc tan công mà không bỏ sót bat ky trường hợp duong tinh nào.3 Mục tiêu nghiên cứu Trong khóa luận này, chúng tôi tập trung vào hai mục tiêu chính, được xây dựng dựa trên nhu cầu cấp thiết trong việc phát hiện và phòng chống các cuộc tan công APT (Advanced Persistent Threats), cũng như ứng dụng các công nghệ tiên tiến trong lĩnh vực học máy và học sâu.
Cụ thể, các mục tiêu này được chỉ tiết như sau: 1. Nghiên cứu xây dựng mô hình phát hiện tấn công APT dựa trên đồ thị nguồn gốc: Mục tiêu đầu tiên của chúng tôi là nghiên cứu và xây dựng một mô hình phát hiện tan công APT dựa trên đồ thị nguồn gốc. Đồ thị nguồn gốc là một công cụ mạnh mẽ trong việc biểu diễn các mối quan hệ và sự tương tác giữa các thực thể trong mạng. Việc sử dụng đồ thị nguồn gốc cho phép chúng tôi mô hình hóa các sự kiện, hành vi và luồng dit liệu trong hệ thống, từ đó nhận diện các mẫu hành vi bất thường có thể là dấu hiệu của các cuộc tấn công APT.
TỔNG QUAN ĐỀ TÀI 2. Ứng dụng một số mô hình học máy, học sâu nhằm tăng hiệu quả phát hiện: Mục tiêu thứ hai của chúng tôi là ứng dụng các mô hình học máy và học sâu để tăng hiệu quả phát hiện các cuộc tan công APT. Học máy và học sâu là các công nghệ tiên tiến trong lĩnh vực trí tuệ nhân tạo, có khả năng học và nhận diện các mẫu phức tạp từ dữ liệu. Việc ứng dụng các mô hình này giúp chúng tôi cải thiện độ chính xác và hiệu suất của mô hình phát hiện.4 Phạm vi và Đối tượng nghiên cứu Trong khóa luận này, chúng tôi tập trung nghiên cứu và xây dựng mô hình phát hiện xâm nhập dựa trên mô hình Kairos, một mô hình được giới thiệu và phân tích trong bài báo của Cheng et al.
Mô hình Kairos được thiết kế để phát hiện các cuộc tân công APT (Advanced Persistent Threats) thông qua việc sử dụng đồ thị nguồn gốc, giúp mô hình hóa và phân tích các sự kiện và mối quan hệ trong hệ thống.1 Phạm vi nghiên cứu 1. Tìm hiểu mô hình Kairos: ¢ Nghiên cứu chi tiết về cầu trúc, cơ chế hoạt động và cách thức áp dụng của mô hình Kairos. Điều này bao gồm việc tìm hiểu các thành phần chính của mô hình, cách thức nó xử lý dữ liệu nhật ký, và cách nó sử dụng đồ thị nguồn gốc để phát hiện các hoạt động bất thường trong hệ thống. ¢ Phan tích các ưu điểm và hạn chế của mô hình Kairos so với các phương pháp phát hiện xâm nhập truyền thống khác.
Sử dụng đồ thị nguồn gốc từ tệp nhật ky: e Thu thập va tiền xử lý dữ liệu nhật ký từ các bộ dữ liệu công khai. Chúng tôi sẽ sử dụng các bộ dữ liệu đã được công bồ và sẵn có để đảm bảo tính khách quan và khả năng so sánh với các nghiên cứu khác. TỔNG QUAN ĐỀ TÀI e Xây dựng đồ thị nguồn gốc từ các tệp nhật ký này. Đồ thị nguồn gốc sẽ giúp chúng tôi biểu diễn các mối quan hệ giữa các sự kiện và thực thể trong hệ thống, từ đó nhận diện các mẫu hành vi bat thường có thể là dấu hiệu của các cuộc tấn công APT.
Xây dựng và triển khai mô hình phát hiện xâm nhập: © Phát triển mô hình phát hiện xâm nhập dựa trên dé thị nguồn gốc va áp dụng các kỹ thuật học sâu như Graph Neural Networks (GNNs). Chúng tôi sẽ triển khai các mô hình như Graph Attention Embedding (GAE) và GraphSAGE, đã được chứng minh là hiệu qua trong việc xử lý dữ liệu dé thị. s Tích hợp các mô hình này với dữ liệu nhật ký đã được xử lý để xây dựng hệ thống phát hiện xâm nhập hoàn chỉnh. Đánh giá và so sánh mô hình: ¢ Thực hiện các thử nghiệm khác nhau để đánh giá hiệu suất của mô hình phát hiện xâm nhập.
Chúng tôi sẽ sử dụng các chỉ số đánh giá như True Positives (TP), True Negatives (TN), False Positives (FP), False Negatives (FN), Precision, Recall, Accuracy va AUC để đánh giá độ chính xác và hiệu suất của mô hình. ¢ So sánh mô hình phát hiện xâm nhập cua chúng tôi với các mô hình tương tự khác để xác định những cải tiến và tối ưu hóa.2 Đối tượng nghiên cứu 1. Các cuộc tan công APT: s Các phương thức và kỹ thuật được sử dung trong các cuộc tan công APT. Chúng tôi sẽ tập trung vào việc phân tích các mẫu hành vi của các cuộc tấn công này để hiểu rõ hơn về cách thức chúng hoạt động và các dấu hiệu nhận biết.
© Các đặc điểm và hành vi bất thường trong hệ thống mà có thể là dấu hiệu của các cuộc tấn công APT. TỔNG QUAN ĐỀ TÀI 2. Dữ liệu nhật ký và đồ thị nguồn gốc: se Các tệp nhật ký từ các bộ dữ liệu công khai. Chúng tôi sé sử dụng dữ liệu từ các nguồn như CADETS và THEIA, vốn đã được sử dụng rộng rãi trong cộng đồng nghiên cứu an ninh mạng.
© Đồ thị nguồn gốc được xây dựng từ dữ liệu nhật ký này. Đồ thị nguồn gốc sẽ giúp chúng tôi mô hình hóa các mối quan hệ và sự tương tác trong hệ thống, từ đó nhận diện các hành vi bất thường. Mô hình phát hiện xâm nhập: ¢ Các mô hình hoc máy và học sâu được áp dụng trong việc phát hiện xâm nhập, đặc biệt là các mô hình như Graph Attention Embedding (GAE) và GraphSAGE. * Các phương pháp và kỹ thuật để tối ưu hóa và cải thiện hiệu suất của các mô hình này.
Bằng việc tập trung vào các đối tượng và phạm vi nghiên cứu như trên, chúng tôi hy vọng sẽ phát triển được một mô hình phát hiện xâm nhập hiệu quả, có khả năng ứng dụng trong thực tế và góp phan nâng cao kha nang bao mật cho các hệ thống mạng.5 Câu trúc Khóa luận tot nghiệp Nội dung khóa luận được tổ chức theo cầu trúc 5 chương như sau: * Chương|IÌ TONG QUAN ĐỀ TÀI Trình bày khái quát định hướng nghiên cứu, mục tiêu, phạm vi và câu trúc của khóa luận. * Chuong|2] CƠ SỞ LÝ THUYẾT Trình bày các định nghĩa, khái niệm, cơ sở lý thuyết cũng như kiến thức nền tảng để thực hiện khóa luận. Bên cạnh đó, chúng tôi cũng trình bày sơ lược một số công trình liên quan đến đề tài và hướng nghiên cứu. TỔNG QUAN ĐỀ TÀI ¢ Chương|3| PHƯƠNG PHAP THỰC HIỆN Trình bày những nội dung chính về phương pháp thực hiện và mô hình được sử dụng.
« Chương|4| HIỆN THUC, DANH GIA VÀ THẢO LUẬN Đề cập đến quá trình hiện thực hóa phương pháp đề cập ở Chuong {3} Sau đó trình bày phương pháp thực nghiệm, đánh giá kết quả va một số thảo luận. ° Chương] KET LUẬN VA HƯỚNG PHAT TRIỂN Dua ra kết luận về dé tài, dé xuất một số hướng phát triển mở rộng cho các nghiên cứu trong tương lai.