Nghiên cứu so sánh thuật toán cây quyết định trong phát hiện tấn công mạng từ dữ liệu KDD99 và UNSW-NB15

Tổng quan nghiên cứu

Trong bối cảnh cuộc cách mạng công nghiệp 4.0 và sự phát triển mạnh mẽ của Internet vạn vật (IoT), số lượng thiết bị kết nối mạng toàn cầu dự kiến đạt khoảng 28,5 tỷ vào năm 2022, trong đó hơn một nửa là thiết bị IoT. Lưu lượng mạng toàn cầu cũng tăng lên đến 396 exabyte mỗi tháng, gấp ba lần so với năm 2017. Sự gia tăng này kéo theo nguy cơ tấn công mạng ngày càng nghiêm trọng, đặc biệt là các cuộc tấn công nhằm vào các thiết bị mạng nhỏ và vừa, vốn thường thiếu các biện pháp bảo mật hiệu quả. Tại Việt Nam, chỉ trong 6 tháng đầu năm 2018 đã ghi nhận hơn 4.500 cuộc tấn công mạng vào các cơ quan chính phủ và doanh nghiệp, với các vụ việc nghiêm trọng như lộ lọt dữ liệu của 5,4 triệu người dùng Thế giới di động và tấn công làm tê liệt hệ thống của VietNam Airlines.

Trước thực trạng đó, luận văn tập trung nghiên cứu, so sánh hiệu quả của một số thuật toán cây quyết định trong phát hiện các cuộc tấn công mạng dựa trên hai bộ dữ liệu tiêu chuẩn là KDD99 và UNSW-NB15. Mục tiêu cụ thể là xây dựng hệ thống phát hiện xâm nhập (IDS) sử dụng thuật toán học máy, nhằm phân tích lưu lượng mạng để nhận diện hành vi tấn công. Phạm vi nghiên cứu tập trung vào các thiết bị vừa và nhỏ, với dữ liệu thu thập trong khoảng thời gian cập nhật mới nhất của hai bộ dữ liệu trên. Nghiên cứu có ý nghĩa quan trọng trong việc nâng cao độ chính xác và tính linh hoạt của hệ thống phát hiện tấn công mạng, góp phần bảo vệ an toàn thông tin trong môi trường mạng ngày càng phức tạp.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên nền tảng lý thuyết của trí tuệ nhân tạo (AI) và học máy (Machine Learning), trong đó tập trung vào nhóm thuật toán cây quyết định (Decision Tree). AI được hiểu là khả năng máy tính mô phỏng các hành vi thông minh của con người như suy nghĩ, học hỏi và thích nghi. Học máy là nhánh của AI cho phép máy tính tự học từ dữ liệu mà không cần lập trình luật cứng nhắc.

Các thuật toán cây quyết định được sử dụng gồm ID3, C4.5, CART và Random Forest. ID3 sử dụng tiêu chí information gain để chọn thuộc tính phân chia, C4.5 cải tiến bằng gain ratio và kỹ thuật cắt tỉa (pruning) nhằm tránh hiện tượng overfitting, CART dùng chỉ số Gini để đánh giá độ thuần khiết của dữ liệu, còn Random Forest là mô hình ensemble tạo ra nhiều cây quyết định ngẫu nhiên và kết hợp kết quả để tăng độ chính xác và giảm overfitting.

Ba khái niệm chính được áp dụng là entropy (đo độ hỗn loạn thông tin), information gain (lượng thông tin thu được khi phân chia dữ liệu) và Gini index (độ thuần khiết của tập dữ liệu). Ngoài ra, mô hình IDS được xây dựng dựa trên phân tích lưu lượng mạng, nhằm phát hiện các hành vi bất thường dựa trên dữ liệu huấn luyện và kiểm thử từ hai bộ dữ liệu KDD99 và UNSW-NB15.

Phương pháp nghiên cứu

Luận văn kết hợp phương pháp nghiên cứu tài liệu và thực nghiệm khoa học. Nguồn dữ liệu chính gồm bộ dữ liệu KDD99 với gần 5 triệu bản ghi và 41 thuộc tính, cùng bộ dữ liệu UNSW-NB15 với 175.000 bản ghi huấn luyện và 82.000 bản ghi kiểm thử, mỗi bản ghi có 42 thuộc tính. Dữ liệu được chuẩn hóa để đảm bảo các thuộc tính có phạm vi giá trị tương đương, giúp thuật toán học máy hoạt động hiệu quả.

Phương pháp phân tích sử dụng Python 3 với các thư viện scikit-learn, numpy, pandas và matplotlib. Cỡ mẫu được chia theo tỷ lệ 7:3 cho tập huấn luyện và kiểm thử. Các thuật toán cây quyết định được huấn luyện trên dữ liệu đã chuẩn hóa, áp dụng kỹ thuật cross-validation và điều chỉnh siêu tham số (hyperparameter tuning) để tối ưu hiệu suất. Kết quả được đánh giá qua các tiêu chí như độ chính xác, độ nhạy, độ đặc hiệu và đường cong ROC.

Timeline nghiên cứu bao gồm giai đoạn thu thập và xử lý dữ liệu, xây dựng mô hình, huấn luyện và kiểm thử, cuối cùng là phân tích kết quả và đề xuất giải pháp.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

1. Hiệu quả phát hiện tấn công của thuật toán Random Forest vượt trội: Trên bộ dữ liệu UNSW-NB15, thuật toán Random Forest đạt độ chính xác khoảng 95%, cao hơn 7-10% so với các thuật toán cây quyết định đơn lẻ như ID3, C4.5 và CART. Đường cong ROC của Random Forest cũng cho thấy AUC đạt trên 0.9, thể hiện khả năng phân biệt tốt giữa lưu lượng bình thường và tấn công.

2. Khả năng xử lý dữ liệu phức tạp của C4.5 và CART: C4.5 và CART cho kết quả ổn định với độ chính xác lần lượt khoảng 88% và 85% trên bộ dữ liệu KDD99, thể hiện ưu điểm trong việc xử lý dữ liệu có nhiều thuộc tính và nhiễu. Kỹ thuật cắt tỉa giúp giảm hiện tượng overfitting, nâng cao tính tổng quát của mô hình.

3. Ảnh hưởng của chuẩn hóa dữ liệu và tuning siêu tham số: Việc chuẩn hóa dữ liệu và điều chỉnh tham số như độ sâu cây, số lượng cây trong Random Forest giúp cải thiện hiệu suất mô hình từ 5-8% so với mô hình không tối ưu. Cross-validation 10 lần được áp dụng để đảm bảo tính ổn định của kết quả.

4. Khả năng phát hiện các loại tấn công khác nhau: Thuật toán Random Forest có tỷ lệ phát hiện tấn công DoS và Probe trên 90%, trong khi các thuật toán khác có tỷ lệ thấp hơn khoảng 10-15%. Tuy nhiên, phát hiện các tấn công R2L và U2R vẫn còn hạn chế do đặc điểm phức tạp và ít dữ liệu huấn luyện.

Thảo luận kết quả

Nguyên nhân chính dẫn đến hiệu quả cao của Random Forest là do mô hình ensemble kết hợp nhiều cây quyết định ngẫu nhiên, giúp giảm thiểu hiện tượng overfitting và tăng khả năng khái quát hóa. So với các nghiên cứu trước đây, kết quả này phù hợp với xu hướng ứng dụng mô hình ensemble trong phát hiện xâm nhập mạng.

C4.5 và CART thể hiện ưu điểm trong việc xử lý dữ liệu có nhiều thuộc tính rời rạc và liên tục, nhờ vào các tiêu chí chọn thuộc tính và kỹ thuật cắt tỉa. Tuy nhiên, các mô hình này dễ bị ảnh hưởng bởi dữ liệu nhiễu và có độ chính xác thấp hơn so với Random Forest.

Việc chuẩn hóa dữ liệu và tuning siêu tham số là bước quan trọng để đảm bảo mô hình học máy hoạt động hiệu quả, nhất là khi dữ liệu có phạm vi giá trị khác nhau và phân bố không đồng đều. Kết quả có thể được trình bày qua biểu đồ đường ROC, ma trận nhầm lẫn (confusion matrix) và biểu đồ so sánh độ chính xác giữa các thuật toán.

Những hạn chế còn tồn tại như khả năng phát hiện các tấn công phức tạp R2L, U2R chưa cao, cho thấy cần nghiên cứu thêm các thuật toán học sâu hoặc kết hợp nhiều phương pháp để nâng cao hiệu quả.

Đề xuất và khuyến nghị

1. Triển khai mô hình Random Forest trong hệ thống IDS thực tế: Tập trung phát triển và tích hợp thuật toán Random Forest vào hệ thống phát hiện xâm nhập mạng nhằm nâng cao tỷ lệ phát hiện tấn công, đặc biệt trong các môi trường có lưu lượng mạng lớn. Thời gian thực hiện dự kiến 6-12 tháng, do các đơn vị an ninh mạng và doanh nghiệp công nghệ thông tin đảm nhiệm.

2. Tối ưu hóa dữ liệu đầu vào và quy trình chuẩn hóa: Đề xuất xây dựng quy trình chuẩn hóa dữ liệu tự động, đảm bảo dữ liệu đầu vào cho mô hình luôn đồng nhất và phù hợp, giúp tăng độ chính xác và giảm sai số. Thời gian triển khai 3-6 tháng, do các nhóm phát triển phần mềm và chuyên gia dữ liệu thực hiện.

3. Phát triển mô hình kết hợp đa thuật toán: Nghiên cứu và áp dụng các mô hình kết hợp giữa cây quyết định và các thuật toán học sâu (Deep Learning) để cải thiện khả năng phát hiện các tấn công phức tạp như R2L và U2R. Thời gian nghiên cứu 12-18 tháng, do các viện nghiên cứu và trường đại học chuyên ngành an toàn thông tin đảm nhận.

4. Đào tạo và nâng cao năng lực nhân lực an ninh mạng: Tổ chức các khóa đào tạo chuyên sâu về học máy và phân tích dữ liệu mạng cho cán bộ an ninh mạng, giúp họ hiểu và vận hành hiệu quả các hệ thống IDS hiện đại. Thời gian thực hiện liên tục, do các trung tâm đào tạo và tổ chức chuyên môn phối hợp thực hiện.

Đối tượng nên tham khảo luận văn

1. Chuyên gia và kỹ sư an toàn thông tin: Luận văn cung cấp kiến thức chuyên sâu về ứng dụng thuật toán học máy trong phát hiện tấn công mạng, giúp họ nâng cao hiệu quả công tác giám sát và phòng chống xâm nhập.

2. Nhà nghiên cứu và sinh viên ngành khoa học máy tính, an ninh mạng: Tài liệu chi tiết về các thuật toán cây quyết định và quy trình xây dựng mô hình học máy, phù hợp làm tài liệu tham khảo và cơ sở cho các nghiên cứu tiếp theo.

3. Doanh nghiệp công nghệ và nhà phát triển phần mềm bảo mật: Cung cấp giải pháp kỹ thuật và đánh giá hiệu quả các thuật toán phát hiện tấn công, hỗ trợ phát triển sản phẩm IDS và các hệ thống bảo mật mạng.

4. Cơ quan quản lý và hoạch định chính sách an ninh mạng: Giúp hiểu rõ xu hướng công nghệ và các phương pháp phát hiện tấn công hiện đại, từ đó xây dựng các chính sách và quy định phù hợp nhằm nâng cao an toàn mạng quốc gia.

Câu hỏi thường gặp

1. Tại sao chọn thuật toán cây quyết định trong phát hiện tấn công mạng?
   Thuật toán cây quyết định dễ hiểu, có khả năng xử lý dữ liệu nhiễu tốt và cho kết quả nhanh. Chúng phù hợp với dữ liệu có nhãn và có thể trực quan hóa quy tắc phân loại, giúp người quản trị dễ dàng theo dõi và điều chỉnh.

2. Bộ dữ liệu KDD99 và UNSW-NB15 có điểm gì khác biệt?
   KDD99 là bộ dữ liệu cũ với gần 5 triệu bản ghi và 41 thuộc tính, tập trung vào các loại tấn công truyền thống. UNSW-NB15 là bộ dữ liệu mới hơn, có 49 thuộc tính và phản ánh lưu lượng mạng hiện đại, bao gồm nhiều loại tấn công phức tạp hơn.

3. Làm thế nào để tránh hiện tượng overfitting trong mô hình cây quyết định?
   Sử dụng kỹ thuật cắt tỉa (pruning) để loại bỏ các nhánh không cần thiết, đồng thời áp dụng cross-validation và điều chỉnh siêu tham số giúp mô hình tổng quát hơn và tránh học quá khớp với dữ liệu huấn luyện.

4. Mô hình Random Forest hoạt động như thế nào?
   Random Forest tạo ra nhiều cây quyết định trên các tập con dữ liệu và thuộc tính khác nhau, sau đó kết hợp kết quả bằng cách bỏ phiếu đa số. Phương pháp này giúp giảm sai số và tăng độ chính xác so với cây quyết định đơn lẻ.

5. Có thể áp dụng kết quả nghiên cứu này vào hệ thống IDS thực tế không?
   Có, mô hình được xây dựng và đánh giá trên các bộ dữ liệu thực tế, có thể tích hợp vào hệ thống IDS để phát hiện các cuộc tấn công mạng với độ chính xác cao, đặc biệt phù hợp cho các thiết bị vừa và nhỏ.

Kết luận

• Nghiên cứu đã xây dựng và so sánh hiệu quả của các thuật toán cây quyết định trong phát hiện tấn công mạng trên bộ dữ liệu KDD99 và UNSW-NB15.
• Thuật toán Random Forest cho kết quả tốt nhất với độ chính xác trên 95% và khả năng phát hiện đa dạng các loại tấn công.
• Việc chuẩn hóa dữ liệu và tuning siêu tham số đóng vai trò quan trọng trong nâng cao hiệu suất mô hình.
• Các thuật toán cây quyết định đơn lẻ như ID3, C4.5 và CART vẫn có ưu điểm về tính đơn giản và khả năng xử lý dữ liệu phức tạp.
• Đề xuất tiếp tục nghiên cứu mô hình kết hợp đa thuật toán và đào tạo nhân lực để ứng dụng hiệu quả trong thực tế.

Hành động tiếp theo: Triển khai thử nghiệm mô hình Random Forest trong môi trường thực tế, đồng thời mở rộng nghiên cứu kết hợp các thuật toán học sâu để nâng cao khả năng phát hiện tấn công phức tạp. Các tổ chức và cá nhân quan tâm nên tiếp cận và áp dụng kết quả nghiên cứu nhằm tăng cường an ninh mạng.