Nghiên Cứu Mô Hình Phát Hiện Tấn Công APT Dựa Trên Đồ Thị Nguồn Gốc

Khóa luận nghiên cứu mô hình phát hiện tấn công APT dựa trên đồ thị nguồn gốc, góp phần nâng cao an toàn thông tin trong môi trường mạng.

Chuyên ngành

An toàn thông tin

Người đăng

Ẩn danh

Thể loại

khóa luận tốt nghiệp

2024

83
4
0

Phí lưu trữ

30 Point

Mục lục chi tiết

LỜI CẢM ƠN

1. CHƯƠNG 1: TỔNG QUAN ĐỀ TÀI

1.1. Lý do chọn đề tài

1.2. Phương pháp nghiên cứu

1.3. Mục tiêu nghiên cứu

1.4. Phạm vi và Đối tượng nghiên cứu

1.5. Cấu trúc Khóa luận tốt nghiệp

2. CHƯƠNG 2: CƠ SỞ LÝ THUYẾT

2.1. Tấn công APT

2.2. Hệ thống phát hiện xâm nhập

2.3. Đồ thị nguồn gốc

2.4. Mô hình học máy

2.5. Các công trình nghiên cứu liên quan

3. CHƯƠNG 3: PHƯƠNG PHÁP THỰC HIỆN

3.1. Kiến trúc tổng quát

3.2. Chi tiết về GraphSAGE

3.3. Mô hình GRU (Gated Recurrent Unit)

3.4. Quá trình lan truyền thông tin

3.5. Mạng Nơ-ron Quan hệ (Relation Network)

3.6. Multi-Layer Perceptron (MLP)

3.7. Kết hợp Mạng Nơ-ron Quan hệ và MLP

3.8. Quá trình Huấn luyện và Đánh giá

3.9. Phát hiện bất thường

3.10. Điều tra bất thường

4. CHƯƠNG 4: HIỆN THỰC VÀ ĐÁNH GIÁ, THẢO LUẬN

4.1. Các câu hỏi nghiên cứu

4.2. Giả định phạm vi

4.3. Tạo cơ sở dữ liệu

4.4. Xây dựng mô hình

4.5. Xây dựng hàng đợi bất thường

4.6. Điều tra bất thường

4.7. Thiết lập các tham số cho mô hình

4.8. Chia dữ liệu train, test

4.9. Các kịch bản triển khai

4.10. Biểu đồ tái tạo tóm tắt tấn công

4.11. Đánh giá trên bộ dữ liệu CADETS

4.12. So sánh với một số mô hình khác

5. CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN

5.1. Kết luận

5.2. Hướng phát triển

Danh sách hình

Danh sách bảng

Danh mục từ viết tắt

Danh mục từ tạm dịch

Tóm tắt

I. Tổng Quan Về Nghiên Cứu Phát Hiện Tấn Công APT

Nghiên cứu về tấn công APT (Advanced Persistent Threat) đang trở thành một trong những lĩnh vực quan trọng trong an ninh mạng. Tấn công APT thường được thực hiện bởi các nhóm kẻ tấn công có tổ chức, với mục tiêu thu thập thông tin nhạy cảm từ các tổ chức hoặc chính phủ. Việc phát hiện sớm các cuộc tấn công này là rất cần thiết để bảo vệ hệ thống thông tin. Đồ thị nguồn gốc là một công cụ hữu ích trong việc phân tích và phát hiện các hành vi bất thường trong hệ thống.

1.1. Định Nghĩa Tấn Công APT và Tầm Quan Trọng

Tấn công APT được định nghĩa là các cuộc tấn công tinh vi, kéo dài và có mục tiêu cụ thể. Chúng thường sử dụng nhiều phương thức tấn công khác nhau để xâm nhập vào hệ thống. Việc hiểu rõ về tấn công APT giúp các tổ chức có biện pháp phòng ngừa hiệu quả hơn.

1.2. Vai Trò Của Đồ Thị Nguồn Gốc Trong Phát Hiện Tấn Công

Đồ thị nguồn gốc giúp mô hình hóa mối quan hệ giữa các thực thể trong hệ thống. Việc phân tích đồ thị này cho phép phát hiện các hành vi bất thường, từ đó nhận diện các cuộc tấn công APT một cách hiệu quả hơn.

II. Thách Thức Trong Phát Hiện Tấn Công APT

Phát hiện tấn công APT đối mặt với nhiều thách thức lớn. Các kẻ tấn công thường thay đổi phương thức tấn công và lẩn trốn, khiến cho việc phát hiện trở nên khó khăn. Hệ thống phát hiện xâm nhập truyền thống thường không đủ khả năng để phát hiện các cuộc tấn công này. Do đó, cần có những phương pháp mới để nâng cao khả năng phát hiện.

2.1. Khó Khăn Trong Việc Phát Hiện Các Cuộc Tấn Công Mới

Nhiều hệ thống phát hiện xâm nhập dựa vào chữ ký, điều này làm cho chúng dễ dàng bị qua mặt bởi các cuộc tấn công mới. Việc phát hiện các cuộc tấn công APT yêu cầu một cách tiếp cận linh hoạt hơn.

2.2. Tính Kịp Thời Trong Phát Hiện Tấn Công

Khả năng giám sát và phát hiện kịp thời các hành vi bất thường là rất quan trọng. Hệ thống cần phải hoạt động liên tục để đảm bảo không bỏ sót bất kỳ dấu hiệu nào của tấn công.

III. Phương Pháp Phát Hiện Tấn Công APT Dựa Trên Đồ Thị Nguồn Gốc

Một trong những phương pháp hiệu quả để phát hiện tấn công APT là sử dụng đồ thị nguồn gốc. Phương pháp này cho phép phân tích mối quan hệ giữa các thực thể và hành vi trong hệ thống. Việc áp dụng các mô hình học sâu như GNN (Graph Neural Networks) giúp cải thiện độ chính xác trong phát hiện.

3.1. Ứng Dụng Mô Hình Học Sâu Trong Phát Hiện

Mô hình học sâu có khả năng tự học và trích xuất các đặc trưng phức tạp từ dữ liệu. Việc áp dụng GNN giúp mô hình hóa các mối quan hệ phức tạp trong đồ thị nguồn gốc, từ đó nâng cao khả năng phát hiện tấn công.

3.2. Kỹ Thuật Tối Ưu Hóa Mô Hình Phát Hiện

Các kỹ thuật tối ưu hóa như Graph Attention Networks và GraphSAGE được sử dụng để cải thiện hiệu suất của mô hình. Những kỹ thuật này giúp mô hình học được các đặc trưng phức tạp từ dữ liệu đồ thị.

IV. Ứng Dụng Thực Tiễn Của Mô Hình Phát Hiện Tấn Công APT

Mô hình phát hiện tấn công APT dựa trên đồ thị nguồn gốc đã được áp dụng trong nhiều môi trường thực tế. Kết quả cho thấy mô hình này có khả năng phát hiện các cuộc tấn công một cách hiệu quả, giảm thiểu thiệt hại cho hệ thống. Việc đánh giá mô hình trên các bộ dữ liệu thực tế giúp cải thiện độ chính xác và hiệu suất.

4.1. Kết Quả Thử Nghiệm Trên Bộ Dữ Liệu CADETS

Các thử nghiệm trên bộ dữ liệu CADETS cho thấy mô hình phát hiện tấn công APT có hiệu suất vượt trội. Mô hình đã phát hiện được nhiều cuộc tấn công mà các phương pháp truyền thống không thể nhận diện.

4.2. Đánh Giá So Sánh Với Các Mô Hình Khác

Mô hình phát hiện tấn công APT dựa trên đồ thị nguồn gốc đã được so sánh với các mô hình khác. Kết quả cho thấy mô hình này có khả năng phát hiện cao hơn và ít cảnh báo sai hơn.

V. Kết Luận Và Hướng Phát Triển Trong Tương Lai

Nghiên cứu về phát hiện tấn công APT dựa trên đồ thị nguồn gốc đã mở ra nhiều hướng đi mới trong an ninh mạng. Việc áp dụng các công nghệ học sâu giúp nâng cao khả năng phát hiện và giảm thiểu thiệt hại. Trong tương lai, cần tiếp tục nghiên cứu và phát triển các mô hình mới để đối phó với các mối đe dọa ngày càng tinh vi.

5.1. Đề Xuất Hướng Nghiên Cứu Mới

Cần nghiên cứu thêm về các phương pháp phát hiện tấn công APT mới, đặc biệt là trong bối cảnh các cuộc tấn công ngày càng tinh vi. Việc áp dụng trí tuệ nhân tạo và học máy sẽ là một hướng đi tiềm năng.

5.2. Tương Lai Của An Ninh Mạng

An ninh mạng sẽ tiếp tục là một lĩnh vực quan trọng trong thời đại số. Việc phát triển các hệ thống phát hiện tấn công hiệu quả sẽ giúp bảo vệ thông tin và tài sản của tổ chức.

10/07/2025

Trích đoạn nội dung tài liệu

Chương 1. TỔNG QUAN ĐỀ TÀI loại và dự đoán chính xác. Do đó có thể áp dụng các mô hình học sâu trong các hệ thống giúp tang khả năng phát hiện tan công APT. Từ những điều trên, chúng tôi nhận thấy việc xây dung mô hình phát hiện tan công APT là một nhu cầu cần thiết.

Vì vậy, chúng tôi muốn xây dựng được một mô hình có thể phát hiện tấn APT hiệu quả, nhằm tiết kiệm thời gian và chỉ phí, đáp ứng được nhu cầu về nguồn nhân lực an toàn thông tin hiện nay.2 Phuong pháp nghiên cứu Trong nghiên cứu này, chúng tôi đã tập trung vào việc tìm hiểu và khai thác khái niệm, cách thức hoạt động của các cuộc tấn công APT (Advanced Persistent Threats), cùng với kiến thức về đồ thị nguồn gốc và cách sử dụng đồ thị nguồn gốc trong việc phát hiện các cuộc tấn công APT. Các cuộc tấn công APT thường rất phức tạp, kéo dài và khó phát hiện, vì vậy việc hiểu rõ bản chất và phương thức tấn công là bước đầu tiên quan trọng để xây dựng một mô hình phát hiện hiệu quả. Chúng tôi đã tiến hành nghiên cứu sâu rộng về đồ thị nguồn gốc, một công cụ mạnh mẽ trong việc biểu diễn mối quan hệ và sự tương tác giữa các thực thể trong mạng. Đồ thị nguồn gốc giúp chúng tôi mô hình hóa các sự kiện, hành vi và luồng đữ liệu trong hệ thống, từ đó nhận diện các mẫu hành vi bất thường có thể là dấu hiệu của các cuộc tân công APT.

Việc sử dụng đồ thị nguồn gốc cho phép chúng tôi tạo ra một bức tranh tổng thể về hoạt động trong hệ thống, giúp phát hiện các hành vi tấn công tinh vi ma các phương pháp truyền thống có thể bỏ qua. Dựa trên hiểu biết này, chúng tôi đã xây dựng một mô hình phát hiện tan công APT dựa trên đồ thị nguồn gốc. Mô hình nay không chỉ tập trung vào việc phát hiện các hành vi bat thường ma còn lập biểu dé tóm tắt các cuộc tan công từ các hang đợi cửa sổ thời gian. Chúng tôi sử dụng phương pháp học sâu GNN (Graph Neural Networks) để khai thác cu trúc và động học của dé thị nguồn gốc.

GNN là một công cụ mạnh mẽ trong việc học các biểu diễn từ đồ thị, cho phép mô hình học được các đặc trưng phức tạp từ dữ liệu. TỔNG QUAN ĐỀ TÀI Trong quá trình phát triển mô hình, chúng tôi đã xem xét và áp dụng một số thuật toán phù hợp để tối ưu hóa hiệu quả phát hiện. Các thuật toán này bao gồm các kỹ thuật chuyển đổi và cập nhật biểu diễn của đỉnh trong dé thị, sử dụng các lớp TransformerConv trong mô hình Graph Attention Embedding (GAE) và các lớp SAGEConv trong mô hình GraphSAGE. Các lớp này giúp mô hình học được các đặc trưng phức tạp từ dir liệu dé thị và cải thiện hiệu quả phát hiện tấn công.

Để đánh giá hiệu năng và độ chính xác của mô hình, chúng tôi đã thực hiện các thử nghiệm khác nhau trên các bộ dữ liệu CADETS và THEIA. Các thử nghiệm này không chỉ giúp chúng tôi đo lường hiệu suất của mô hình mà còn cung cấp những thông tin quan trong để điều chỉnh và cải tiến mô hình. Chúng tôi đã sử dụng các chỉ số như True Positives (TP), True Negatives (TN), False Positives (FP), False Negatives (FN), Precision, Recall, Accuracy và AUC để đánh giá hiệu suất của mô hình. Kết quả thử nghiệm cho thay mô hình GraphSAGE có hiệu suất vượt trội hơn so với mô hình GAE, đặc biệt là trong việc phát hiện các cuộc tan công mà không bỏ sót bat ky trường hợp duong tinh nào.3 Mục tiêu nghiên cứu Trong khóa luận này, chúng tôi tập trung vào hai mục tiêu chính, được xây dựng dựa trên nhu cầu cấp thiết trong việc phát hiện và phòng chống các cuộc tan công APT (Advanced Persistent Threats), cũng như ứng dụng các công nghệ tiên tiến trong lĩnh vực học máy và học sâu.

Cụ thể, các mục tiêu này được chỉ tiết như sau: 1. Nghiên cứu xây dựng mô hình phát hiện tấn công APT dựa trên đồ thị nguồn gốc: Mục tiêu đầu tiên của chúng tôi là nghiên cứu và xây dựng một mô hình phát hiện tan công APT dựa trên đồ thị nguồn gốc. Đồ thị nguồn gốc là một công cụ mạnh mẽ trong việc biểu diễn các mối quan hệ và sự tương tác giữa các thực thể trong mạng. Việc sử dụng đồ thị nguồn gốc cho phép chúng tôi mô hình hóa các sự kiện, hành vi và luồng dit liệu trong hệ thống, từ đó nhận diện các mẫu hành vi bất thường có thể là dấu hiệu của các cuộc tấn công APT.

TỔNG QUAN ĐỀ TÀI 2. Ứng dụng một số mô hình học máy, học sâu nhằm tăng hiệu quả phát hiện: Mục tiêu thứ hai của chúng tôi là ứng dụng các mô hình học máy và học sâu để tăng hiệu quả phát hiện các cuộc tan công APT. Học máy và học sâu là các công nghệ tiên tiến trong lĩnh vực trí tuệ nhân tạo, có khả năng học và nhận diện các mẫu phức tạp từ dữ liệu. Việc ứng dụng các mô hình này giúp chúng tôi cải thiện độ chính xác và hiệu suất của mô hình phát hiện.4 Phạm vi và Đối tượng nghiên cứu Trong khóa luận này, chúng tôi tập trung nghiên cứu và xây dựng mô hình phát hiện xâm nhập dựa trên mô hình Kairos, một mô hình được giới thiệu và phân tích trong bài báo của Cheng et al.

Mô hình Kairos được thiết kế để phát hiện các cuộc tân công APT (Advanced Persistent Threats) thông qua việc sử dụng đồ thị nguồn gốc, giúp mô hình hóa và phân tích các sự kiện và mối quan hệ trong hệ thống.1 Phạm vi nghiên cứu 1. Tìm hiểu mô hình Kairos: ¢ Nghiên cứu chi tiết về cầu trúc, cơ chế hoạt động và cách thức áp dụng của mô hình Kairos. Điều này bao gồm việc tìm hiểu các thành phần chính của mô hình, cách thức nó xử lý dữ liệu nhật ký, và cách nó sử dụng đồ thị nguồn gốc để phát hiện các hoạt động bất thường trong hệ thống. ¢ Phan tích các ưu điểm và hạn chế của mô hình Kairos so với các phương pháp phát hiện xâm nhập truyền thống khác.

Sử dụng đồ thị nguồn gốc từ tệp nhật ky: e Thu thập va tiền xử lý dữ liệu nhật ký từ các bộ dữ liệu công khai. Chúng tôi sẽ sử dụng các bộ dữ liệu đã được công bồ và sẵn có để đảm bảo tính khách quan và khả năng so sánh với các nghiên cứu khác. TỔNG QUAN ĐỀ TÀI e Xây dựng đồ thị nguồn gốc từ các tệp nhật ký này. Đồ thị nguồn gốc sẽ giúp chúng tôi biểu diễn các mối quan hệ giữa các sự kiện và thực thể trong hệ thống, từ đó nhận diện các mẫu hành vi bat thường có thể là dấu hiệu của các cuộc tấn công APT.

Xây dựng và triển khai mô hình phát hiện xâm nhập: © Phát triển mô hình phát hiện xâm nhập dựa trên dé thị nguồn gốc va áp dụng các kỹ thuật học sâu như Graph Neural Networks (GNNs). Chúng tôi sẽ triển khai các mô hình như Graph Attention Embedding (GAE) và GraphSAGE, đã được chứng minh là hiệu qua trong việc xử lý dữ liệu dé thị. s Tích hợp các mô hình này với dữ liệu nhật ký đã được xử lý để xây dựng hệ thống phát hiện xâm nhập hoàn chỉnh. Đánh giá và so sánh mô hình: ¢ Thực hiện các thử nghiệm khác nhau để đánh giá hiệu suất của mô hình phát hiện xâm nhập.

Chúng tôi sẽ sử dụng các chỉ số đánh giá như True Positives (TP), True Negatives (TN), False Positives (FP), False Negatives (FN), Precision, Recall, Accuracy va AUC để đánh giá độ chính xác và hiệu suất của mô hình. ¢ So sánh mô hình phát hiện xâm nhập cua chúng tôi với các mô hình tương tự khác để xác định những cải tiến và tối ưu hóa.2 Đối tượng nghiên cứu 1. Các cuộc tan công APT: s Các phương thức và kỹ thuật được sử dung trong các cuộc tan công APT. Chúng tôi sẽ tập trung vào việc phân tích các mẫu hành vi của các cuộc tấn công này để hiểu rõ hơn về cách thức chúng hoạt động và các dấu hiệu nhận biết.

© Các đặc điểm và hành vi bất thường trong hệ thống mà có thể là dấu hiệu của các cuộc tấn công APT. TỔNG QUAN ĐỀ TÀI 2. Dữ liệu nhật ký và đồ thị nguồn gốc: se Các tệp nhật ký từ các bộ dữ liệu công khai. Chúng tôi sé sử dụng dữ liệu từ các nguồn như CADETS và THEIA, vốn đã được sử dụng rộng rãi trong cộng đồng nghiên cứu an ninh mạng.

© Đồ thị nguồn gốc được xây dựng từ dữ liệu nhật ký này. Đồ thị nguồn gốc sẽ giúp chúng tôi mô hình hóa các mối quan hệ và sự tương tác trong hệ thống, từ đó nhận diện các hành vi bất thường. Mô hình phát hiện xâm nhập: ¢ Các mô hình hoc máy và học sâu được áp dụng trong việc phát hiện xâm nhập, đặc biệt là các mô hình như Graph Attention Embedding (GAE) và GraphSAGE. * Các phương pháp và kỹ thuật để tối ưu hóa và cải thiện hiệu suất của các mô hình này.

Bằng việc tập trung vào các đối tượng và phạm vi nghiên cứu như trên, chúng tôi hy vọng sẽ phát triển được một mô hình phát hiện xâm nhập hiệu quả, có khả năng ứng dụng trong thực tế và góp phan nâng cao kha nang bao mật cho các hệ thống mạng.5 Câu trúc Khóa luận tot nghiệp Nội dung khóa luận được tổ chức theo cầu trúc 5 chương như sau: * Chương|IÌ TONG QUAN ĐỀ TÀI Trình bày khái quát định hướng nghiên cứu, mục tiêu, phạm vi và câu trúc của khóa luận. * Chuong|2] CƠ SỞ LÝ THUYẾT Trình bày các định nghĩa, khái niệm, cơ sở lý thuyết cũng như kiến thức nền tảng để thực hiện khóa luận. Bên cạnh đó, chúng tôi cũng trình bày sơ lược một số công trình liên quan đến đề tài và hướng nghiên cứu. TỔNG QUAN ĐỀ TÀI ¢ Chương|3| PHƯƠNG PHAP THỰC HIỆN Trình bày những nội dung chính về phương pháp thực hiện và mô hình được sử dụng.

« Chương|4| HIỆN THUC, DANH GIA VÀ THẢO LUẬN Đề cập đến quá trình hiện thực hóa phương pháp đề cập ở Chuong {3} Sau đó trình bày phương pháp thực nghiệm, đánh giá kết quả va một số thảo luận. ° Chương] KET LUẬN VA HƯỚNG PHAT TRIỂN Dua ra kết luận về dé tài, dé xuất một số hướng phát triển mở rộng cho các nghiên cứu trong tương lai.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ

Tài liệu có tiêu đề Nghiên Cứu Phát Hiện Tấn Công APT Dựa Trên Dữ Liệu Nguồn Gốc cung cấp cái nhìn sâu sắc về các phương pháp phát hiện tấn công APT (Advanced Persistent Threat) thông qua việc phân tích dữ liệu nguồn gốc. Nghiên cứu này không chỉ giúp người đọc hiểu rõ hơn về các kỹ thuật tấn công tinh vi mà còn đưa ra các giải pháp hiệu quả để bảo vệ hệ thống thông tin. Một trong những điểm nổi bật của tài liệu là việc nhấn mạnh tầm quan trọng của việc sử dụng dữ liệu nguồn gốc trong việc phát hiện và ngăn chặn các mối đe dọa an ninh mạng.

Để mở rộng kiến thức của bạn về lĩnh vực này, bạn có thể tham khảo tài liệu Khóa luận tốt nghiệp an toàn thông tin mô hình cộng tác phát hiện xâm nhập dựa trên học liên kết bán giám sát và cơ chế tăng cường dữ liệu. Tài liệu này cung cấp thêm thông tin về các mô hình phát hiện xâm nhập và cách thức áp dụng học máy trong việc bảo vệ hệ thống. Mỗi liên kết là một cơ hội để bạn khám phá sâu hơn về các chủ đề liên quan, từ đó nâng cao hiểu biết và khả năng ứng phó với các mối đe dọa an ninh mạng.