Tài liệu: Ứng dụng representation learning phát hiện tấn công botnet

Tìm hiểu cách áp dụng representation learning để phát hiện và ngăn chặn các cuộc tấn công botnet hiệu quả, bảo vệ hệ thống mạng an toàn hơn.

Chuyên ngành

Hệ Thống Thông Tin

Người đăng

Ẩn danh

Thể loại

Luận Văn Thạc Sỹ Kỹ Thuật

2023

71
1
0

Phí lưu trữ

30 Point

Tóm tắt

I. Giới thiệu về Representation Learning và Botnet

Representation learning là một lĩnh vực quan trọng trong học máy hiện đại, cho phép máy tính tự động trích xuất các đặc trưng hữu ích từ dữ liệu thô. Kỹ thuật này đã được ứng dụng rộng rãi trong phát hiện mối đe dọa an ninh mạng, đặc biệt là trong việc phát hiện tấn công Botnet. Botnet là một mạng lưới các máy tính bị nhiễm độc và bị kiểm soát từ xa, thường được sử dụng để thực hiện các cuộc tấn công DDoS và truyền tải mã độc. Sự kết hợp giữa representation learning và công nghệ deep learning đã tạo ra các phương pháp mạnh mẽ để phát hiện các hoạt động bất thường trên mạng. Luận văn thạc sĩ của Kiều Công Minh từ Học viện Công nghệ Bưu chính Viễn thông đã chứng minh hiệu quả của phương pháp này trong việc phát hiện tấn công Botnet một cách chính xác và hiệu quả.

1.1. Khái niệm Representation Learning

Representation learning là quá trình biến đổi dữ liệu thô thành các biểu diễn có ý nghĩa, giúp thuật toán học máy hoạt động tốt hơn. Thay vì dùng tay để thiết kế đặc trưng, mạng nơ-ron sâu tự động học các vector đặc trưng tối ưu từ dữ liệu. Kỹ thuật này cho phép máy tính hiểu được mối quan hệ phức tạp giữa các yếu tố trong dữ liệu, từ đó cải thiện độ chính xác của phân loạinhận dạng mối đe dọa an ninh mạng.

1.2. Mô hình và Cấu trúc Botnet

Botnet hoạt động theo hai mô hình chính: mô hình client-servermô hình peer-to-peer. Trong mô hình client-server, các máy bị nhiễm (bot) kết nối tới máy chủ điều khiển trung tâm (C&C). Mô hình peer-to-peer phân tán hơn, các bot tương tác với nhau mà không cần máy chủ trung tâm. Vòng đời của Botnet bao gồm các giai đoạn: lây nhiễm, cài đặt, quản lý tập trung, thực thi lệnh tấn công, và che giấu hoạt động.

II. Ứng dụng Deep Learning trong Phát hiện Botnet

Deep learning đã cách mạng hóa cách tiếp cận phát hiện tấn công Botnet bằng cách sử dụng mạng nơ-ron sâu để phân tích dữ liệu lưu lượng mạng. Phương pháp truyền thống dựa trên luật cố định thường bỏ sót các cuộc tấn công mới. CNN (Convolutional Neural Network) và các kiến trúc như ResNet có khả năng trích xuất các mẫu phức tạp từ dữ liệu mạng, giúp xác định các hành vi bất thường với độ chính xác cao. Bằng cách chuyển đổi luồng mạng thành hình ảnh, các mô hình deep learning có thể nhận dạn các đặc trưng tiềm ẩn không thể phát hiện bằng phương pháp thủ công, cải thiện đáng kể hiệu suất phát hiện mối đe dọa.

2.1. Kiến trúc CNN và ResNet 18

ResNet-18 là một kiến trúc mạng nơ-ron tích chập được sử dụng rộng rãi trong phân loại hình ảnhphát hiện bất thường. Kiến trúc này có 18 lớp với kết nối tắt (skip connections) giúp khắc phục vấn đề gradient biến mất trong mạng nơ-ron sâu. ResNet-18 cho phép trích xuất vector đặc trưng hiệu quả từ các hình ảnh biểu diễn dữ liệu luồng mạng, cung cấp nền tảng mạnh mẽ cho phân loại Normal, Botnet và C&C.

2.2. Hàm Mất Mát và Huấn Luyện Mô hình

Quá trình huấn luyện mô hình sử dụng hàm mất mát để đo độ sai lệch giữa dự đoán và giá trị thực tế. Trong phát hiện Botnet, độ biến thiên của hàm mất mát được giám sát qua các epoch để đảm bảo mô hình hội tụ đúng cách. Các kích thước hình ảnh khác nhau như 192x192, 200x200, 224x224 ảnh hưởng đến hiệu suất huấn luyệnđộ chính xác dự đoán của mô hình.

III. Bộ Dữ liệu CTU 13 và Xử lý Dữ liệu

Bộ dữ liệu CTU-13 là một tập dữ liệu mạng công khai chứa các kịch bản tấn công Botnet thực tế, được sử dụng rộng rãi trong nghiên cứu phát hiện mối đe dọa an ninh mạng. Bộ dữ liệu này bao gồm lưu lượng mạng từ các máy chủ C&Cmáy bị nhiễm, với các nhãn phân loại như Normal, Botnet, và C&C. Quá trình xử lý dữ liệu bao gồm chuyển đổi từ định dạng NetFlow sang CSV, mã hóa dữ liệu, cân bằng dữ liệu để tránh sai lệch nhãn, và chuyển đổi thành hình ảnh để phù hợp với mô hình CNN. Các bước này đảm bảo chất lượng dữ liệu cao và cải thiện khả năng học của mô hình deep learning.

3.1. Đặc Điểm và Phân Phối Dữ liệu

CTU-13 chứa 13 kịch bản Botnet khác nhau, mỗi kịch bản được ghi nhận bằng một bản chụp. Phân phối nhãn dữ liệu thường không cân bằng, với số lượng mẫu Normal nhiều hơn đáng kể so với Botnet và C&C. Cân bằng dữ liệu là bước thiết yếu để tránh sai lệch mô hình và đảm bảo rằng các lớp thiểu số được học tập hiệu quả, cải thiện khả năng phát hiện tấn công Botnet.

3.2. Chuyển Đổi Dữ liệu sang Hình Ảnh

Để sử dụng mô hình CNN, dữ liệu luồng mạng được mã hóachuyển đổi thành hình ảnh. Mỗi mẫu NetFlow được biểu diễn dưới dạng pixel trong hình ảnh, cho phép mạng nơ-ron tích chập áp dụng các bộ lọc nhân tố để trích xuất đặc trưng không gian. Quá trình này chuẩn hóa dữ liệu và tạo đầu vào chuẩn hóa cho mô hình learning.

IV. Kết Quả Thực Nghiệm và Đánh Giá Hiệu Suất

Kết quả thực nghiệm của luận văn cho thấy phương pháp representation learning đạt độ chính xác cao trong phát hiện tấn công Botnet. Các độ đo đánh giá như Precision, Recall, F1-score được sử dụng để so sánh hiệu suất của mô hình với các kích thước hình ảnh khác nhau. Kích thước hình ảnh 224x224 cho kết quả tốt nhất, cung cấp cân bằng tối ưu giữa khả năng trích xuất đặc trưngchi phí tính toán. Độ biến thiên của hàm mất mát cho thấy mô hình hội tụ ổn định, chứng minh rằng representation learning là phương pháp hiệu quả cho bài toán phát hiện mối đe dọa an ninh mạng. So sánh với các phương pháp truyền thống cho thấy deep learning vượt trội hơn đáng kể.

4.1. Độ Đo Đánh Giá và So Sánh

Precision, Recall, F1-score là các chỉ số quan trọng để đánh giá hiệu suất mô hình phát hiện Botnet. Precision đo tỷ lệ dự đoán đúng, Recall đo khả năng phát hiện toàn bộ các cuộc tấn công, trong khi F1-scoretrung bình hài hòa của hai chỉ số trên. So sánh kích thước hình ảnh 192x192, 200x200, 224x224 cho thấy sự tương quan trực tiếp giữa độ phân giải dữ liệuhiệu suất phát hiện.

4.2. Ứng Dụng Thực Tiễn và Khả Năng Mở Rộng

Phương pháp representation learning đã chứng minh khả năng ứng dụng thực tiễn trong phát hiện tấn công Botnet theo thời gian thực. Mô hình deep learning có thể được triển khai trên các hệ thống IDS để giám sát lưu lượng mạng liên tục. Khả năng mở rộng của phương pháp này cho phép huấn luyện lại mô hình với dữ liệu mới, giữ cho hệ thống phát hiện mối đe dọa luôn cập nhật với các kiểu tấn công mới.

18/12/2025

Trích đoạn nội dung tài liệu

MỞ ĐẦU 1. Lý do chọn đề tài Trong cuộc sống hiện đại ngày nay, với việc mạng Internet ngày càng phát triển không ngừng, công nghệ thông tin được ứng dụng vào mọi mặt của đời sống, kinh tế, chính trị, xã hội đã giúp cho cá nhân, tô chức, doanh nghiệp và các cơ quan hành chính nhà nước trên thế giới nói chung và Việt Nam nói riêng dễ dàng trao đổi thông tin và thực hiện các giao dịch được thuận lợi nhanh chóng. Tuy nhiên, song song với quá trình phát triển đó là kèm theo những mối đe dọa về tấn công mạng cũng xuất hiện ngày cảng nhiêu, trong số đó là mối đe dọa về Botnet. Khai thác, phát tán mã độc, phát tán thư rác số lượng lớn, tấn công từ chối dịch vụ DDoS và đặc biệt là tấn công APT là những hành vi nguy hiểm thường thấy của Botet, nó đã gây ra những thiệt hại không nhỏ về hệ thống mạng và sự mất mát dữ liệu của người dung, dẫn đến thiệt hại về kinh tế, xã hội của các cá nhân, tô chức, doanh nghiệp và cơ quan hành chính nhà nước.

Việc phát hiện và ngăn chặn Botnet là một nhiệm vụ khó khăn, dẫn đến các nạn nhân của Botnet không ngừng gia tăng và với số lượng ngày càng lớn. Thông qua việc nghiên cứu các phương pháp kỹ thuật về phát hiện và xử lý Botnet, các tô chức chuyên gia an ninh mạng đã tìm thấy và ngăn chặn nhiều đợt tân công mạng Botret trên Internet. Tuy nhiên, qua thời gian Botnet liên tục thay đổi, các nhà khai thác Bot ngày càng trở nên rất tính vi và các biện pháp chống tấn công Botnet nội bộ thường tốn nhiều thời gian và không đạt hiệu quả cao. Vì vậy việc nghiên cứu các phương pháp phát hiện và xử lý Botnet mới luôn là một lĩnh vực nghiên cứu cấp thiết và ý nghĩa.

Với sự phát triển mạnh mẽ của trí tuệ nhân tạo trong những năm gan day, dac biệt là các kỹ thuật máy học, đã mở ra như một giải pháp rất có tiềm năng cho việc ứng dụng phát hiện các tấn công mạng Botnet với độ chính xác và đạt hiệu quả cao hơn các phương pháp trước đây. Trong đó mô hình dựa vào phương pháp representatin learning có thể phát huy nhiều ưu điểm cho bài toán này. Từ những lý do trên luận văn này xin chọn đề tài nghiên cứu như sau: “Ứng dụng phương pháp representation learning phat hién tan cong botnet” 2. Tong quan vé van đề nghiên cứu Botnet [3] thuật ngữ đầy đủ là “Bots network” dùng để chỉ một mạng lưới các máy tính bị chí phối bởi ai đó và bị điều khiển bởi một con máy tính khác từ xa.

Botnet là một phần mềm độc hại, đa phần các máy tính đều bị nhiễm bởi một Bot nào đó mà chúng ta không thể nào phát hiện được. Các máy tính đang bị nhiễm Botnet nôm na đều gọi là các “Zombie”. Máy tính bị nhiễm sẽ bị chỉ phối bởi một Botmaster ở trên và điều khiển mọi hoạt động của máy tính đang dính mã độc làm cản trở hoạt động, gián đoạn gây mắt nhiều thời gian, giảm năng suất công việc của người dùng. Cách chúng ta trở thành nạn nhân của nó giống như việc bị lây nhiễm malware, và cách thức chiếm và sử dụng dữ liệu đánh cắp cũng chỉ với mục đích riêng của hacker.

Botnet là từ chỉ một tập hợp các robot phần mềm hoặc các con bot hoạt động một cách tự chủ. Từ này còn được dùng để chỉ một mạng các máy tính sử dụng phần mềm tính toán phân tán. Tuy từ "botnet" có thể dùng đề chỉ một nhóm bot bắt kỳ, chăng hạn IRC bot, từ này thường được dùng đề chỉ một tập hợp các máy tính đã bị tấn công và thỏa hiệp và đang chạy các chương trình độc hại, thường là sâu máy tính, troJan horse hay các cửa hậu, dưới cùng một hạ tầng cơ sở lệnh và điều khiển. Một chương trình chi huy botnet (botnet's originator hay bot herder) có thể điều khiển cả nhóm bot từ xa, thường là qua một phương tiện chắng hạn như IRC, và thường là nhăm các mục đích bất chính.

Mỗi con bot thường chạy ấn và tuân theo chuân RFC 1459 (IRC). Thông thường, kẻ tạo botnet trước đó đã thỏa hiệp một loạt hệ thống bằng nhiều công cụ đa dạng (tràn bộ nhớ đệm. Các bot mới hơn có thê tự động quét môi trường của chúng và tự lan truyền bản thân bằng cách sử dụng các lỗ hồng an ninh và mật khẩu yếu. Nếu một con Bot có thê quét và tự lan truyền qua càng nhiều lỗ hông an ninh, thi nó càng trở nên giá tri đối với một cộng đồng diéu khién botnet.

Các botnet đã trở nên một phần quan trọng của Internet, tuy chúng ngày càng ân kĩ. Do đa số các mạng IRC truyền thống thực hiện các biện pháp cắm truy nhập đối với các botnet đã từng ngụ tại đó, những người điều khiển botnet phải tự tìm các server cho mình. Một botnet thường bao gồm nhiều kết nối, chăng hạn quay số, ADSL và cáp, và nhiều loại mạng máy tính, chăng hạn mạng giáo dục, công ty, chính phủ và thậm chí quân sự. Đôi khi, một người điều khiển giấu một cải đặt IRC server trên một site công ty hoặc giáo dục, nơi các đường kết nối tốc độ cao có thể hỗ trợ một số lớn các bot khác.

Chỉ đến gần đây, phương pháp sử dụng bot dé chỉ huy các bot khác mới phát triển mạnh, do đa số hacker không chuyên (script kiddie) không đủ kiến thức đề sử dụng phương pháp này. Botnet [4] có thê bị trục xuất hoặc ngừng xâm nhập vào máy tính bằng cách sử dụng chương trình chống phần mềm độc hại, có thể phát hiện việc lây nhiễm trên ô cứng hoặc lưu lượng mạng và xử lý chúng ngay lập tức. Mặt khác, cách tiếp cận hiệu quả nhất sẽ là tìm hiểu để nhận thức được toàn diện về cách chéng lai botnet. C6 rat nhiều biện pháp và cách thức ngăn chặn và phát hiện BotNet, tuy nhiên tất cả đều phải thông qua quan sát, giám sát của máy tính và hệ thông mạng.

Ở cấp độ mạng, phát hiện BotNet không hề đơn giản, và phức tạp hơn khi các máy trong mạng cho phép các bots này như một ứng dụng chính thống. Chính vì thế việc phát hiện thông qua các công cụ thông thường phố biến chưa thật sự hiệu quả. Việc nghiên cứu ứng dụng các phương pháp máy học dựa trên bộ dữ liệu mạng để phát hiện ra các tấn công là rất cần thiết và hiệu quả. Đã có rất nhiều nghiên cứu áp dụng học máy vào phát hiện tấn công, đặc biệt là các kỹ thuật học sâu.

Trong bài báo [5] các tác giả đã đưa ra mô hình phát hiện các loại DGA botnet và FF botnet dựa trên phân loại các tên miền độc hại sử dung boi botnet va các tên miền bình thường sử dụng một số kỹ thuật học máy có giám sát thông dụng. Trong đó có 2 giai đoạn: (1) giai đoạn huấn luyện và (2) là giai đoạn phát hiện. Ở giai đoạn huấn luyện, tác giả đã sử dụng các thuật toán của học máy trên các tập huấn luyện để đưa ra đánh giá hiệu quả của việc phân loại tên miền bình thường và tên miền độc hại sử dụng bởi botnet. Qua giai đoạn thực hiện để phát hiện botnet, kết quả cho thấy thuật toán học máy Rừng ngẫu nhiên cho tỉ lệ thành công cao nhất so với các thuật toan con lai.

Trong bài báo [6] các tác giả đã đề xuất bô sung 4 đặc trung: (1) tén mién dang băm, (2) giá trị dự kiến cho mỗi tên miền, (3) số lượng từ có nghĩa trong mỗi tên miền, (4) độ dài tên miền. Trong đó, đặc trưng tên miền dạng băm giúp phân biệt nhóm tên miền DGA sử dung gia tri bam, hoặc ký tự thập luc phân; đặc trưng g14 tri dự kiến cho mỗi tên miễn giúp tăng khả năng phân biệt dựa trên thống kê; số lượng từ có nghĩa trong mỗi tên miễn lành tính thường cao hơn so với tên miền DGA; và độ dài tên miền nhỏ hơn 5 thường là tên miền lành tính. Cả 4 đặc trưng trên đều góp phần làm tăng khả năng phát hiện các botnet dựa trên tên miễn đạt kết qua khá cao. Tuy nhiên, nó cũng có nhược điểm là làm tăng thời gian huấn luyện và phát hiện do tăng kích thước véctơ biểu diễn tên miền dù theo khảo sát của tác giả là không lớn.

Trong bài báo [7] các tác giả Hoàng Xuân Dậu, Nguyễn Trọng Hưng, Ninh Thị Thu Trang đã nghiên cứu phân tích ảnh hưởng các yếu tố hiệu quả từ phương pháp phát hiện DGA botnet dựa trên học máy sử dụng dữ liệu truy van DNS. Cac tac giả đã đưa ra xem xét, phân tích các yêu tô bao gồm: (1) vấn đề sử dụng hoặc loại bỏ vấn đề sử dụng hoặc loại bỏ phần tên miền cấp cao nhất và (2) ảnh hưởng của các nhóm đặc trưng huấn luyện. Kết quả nghiên cứu cho thấy phần tên miền cấp cao nhất giúp tăng đáng kế hiệu quả phát hiện tấn công Botnet. Thông qua các đặc tính lưu lượng mạng botnet C&C với lưu lạng mạng hợp lệ.

Giải pháp của tác giả đạt hiệu quả có độ chính xác khá cao. Qua bài báo, ta có thê tham khảo giải pháp cho hướng nghiên cứu của đề tài. Trong bài báo [9] các tác giả đã có những cái nhìn tổng quan và phân tích về học biểu diễn (RL) gồm những ưu điểm, nhược điểm và các phương pháp kỹ thuật của học biểu diễn, cũng như những hướng cần cải thiện về phương pháp học biểu diễn trong thời gian tới. Các nghiên cứu [10], [11] giúp ta có cái nhìn tông quan và có thê hiểu hơn về học biểu diễn, ứng dụng của máy học trong việc phát hiện ra các xâm nhập tấn công BotNet, và hiệu quả cao của phương pháp này.

Từ những tài liệu này, cho thấy tiềm năng của các ứng dụng nảy. Trong thập kỷ qua, những nỗ lực khoa học đáng kể đã được đầu tư vào việc phát triển các phương pháp có thê cung cấp khả năng phát hiện botnet hiệu quả và hiệu quả. Kết quả là, một loạt các phương pháp phát hiện dựa trên các nguyên tắc kỹ thuật đa dạng vả nhắm mục tiêu các khía cạnh khác nhau của các hiện tượng botnet đã được xác định. Vì botnet dựa vào Internet dé giao tiếp với kẻ tân công cũng như đề thực hiện các chiến dịch tấn công khác nhau, nên phân tích lưu lượng mạng là một trong những phương tiện chính để xác định sự tồn tại của chúng.

Nội dung được bảo vệ bản quyền — Tải xuống đầy đủ