Đặt vấn đề Dữ liệu ngày nay được coi là một tài nguyên quan trọng và có giá tri lớn trong kỷ nguyên số. Sự phát triển vượt bậc và bùng né của việc sử dụng Internet đã đưa chúng ta vào kỷ nguyên Dữ liệu lớn. Theo Internet World Stats [1], vào đầu năm 2021, hơn 65% dân số trên thé giới sử dụng Internet, với tỉ lệ này lên tới 88% ở Châu Âu và 94% ở Bắc Mỹ. Đồng thời, với xu hướng công nghệ phát triển hiện nay như Internet of Things (IoT), Cloud và mạng xã hội đã đóng góp vảo việc tạo ra khối lượng đữ liệu không lồ và làm cho dữ liệu trên mạng trở thành một tài nguyên vô giá.
Dựa theo báo cáo của Statista [2], dự kiến vào năm 2030, số lượng thiết bị IoT kết nối Internet sẽ đạt khoảng 25,4 tỷ thiết bị, gấp ba lần so với năm 2020. Điều này dẫn đến việc tạo ra hàng nghìn exabyte (EB) dữ liệu hàng ngày với tốc độ cao. Tuy nhiên, sự bùng nồ dữ liệu đã đặt ra những thách thức đáng kể trong việc lưu trữ, xử lý và tận dụng thông tin từ các nguồn dữ liệu này. V Jagadish và cộng sự [3] đề cập, dữ liệu lớn bao gồm kích thước lớn, tốc độ cao và đa dạng về loại hình.
Điều này đòi hỏi sự áp dụng của các công nghệ mới như điện toán hiệu suất cao, đám mây, điện toán phân tán đề lưu trữ, xử lý và phân tích dit liệu hiệu quả. Việc tận dụng dit liệu lớn có thé mang lại nhiều lợi ích đáng ké trong các lĩnh vực khác nhau. Công nghệ phân tích dữ liệu tiên tiễn cho phép chúng ta khám phá thông tin hữu ích và xu hướng sự kiện từ dữ liệu đó. Các ngành công nghiệp như ý tế, quân sự, sản xuất và nhiều lĩnh vực khác đã áp dụng phân tích dữ liệu lớn dé cải thiện các quyết định, tối ưu hóa hoạt động và tạo ra giá trỊ sáng tạo.
Tuy nhiên, cùng với những cơ hội, dữ liệu lớn cũng đặt ra những thách thức về an ninh và quản lý. Trong nghiên cứu của M. Rathore và cộng sự [4], nhân mạnh rang với sự gia tăng nhu câu va giá trị của dữ liệu lớn, các cuộc tân công mạng cũng tăng cường với tốc độ tương tự. Với sự phát triển của công nghệ và mang Internet, tan công mang đã tiễn hóa và trở nên tinh vi hơn, khiến cho các tô chức và cá nhân phải đối mặt với những rủi ro bảo mật ngày càng cao.
Các cuộc tấn công truy cập bất hợp pháp vào hệ thống nội bộ băng cách khai thác những lỗ hồng tôn tại trong hệ thống, dẫn đến những hậu quả nghiêm trọng như đánh cắp dữ liệu và phá hủy tài nguyên mạng. Một trong những kỹ thuật tinh vi chính là xâm nhập và sử dụng những máy tính của người dùng bình thường như những tác nhân xâm nhập, kiểm soát trái phép mà người dùng không hề hay biết. Trong số các cuộc tan công mang đáng lo ngại, cuộc tan công DDoS là một trong những hình thức phô biến nhất và nguy hiểm nhất, chiếm đến 53% tổng số cuộc tấn công trong năm 2020 [5]. Báo cáo của NETSCOUT [6] vào năm 2020 đã xác nhận răng các cuộc tan công DDoS đã tăng ở mức 115% so với năm trước đó.
Điều này chứng tỏ sự gia tăng đáng kê về tân công DDoS trên toàn cầu, ước tính đến năm 2023, tong số vụ tan công DDoS sẽ tăng lên 15,4 triệu [7]. Các tổ chức và doanh nghiệp phải đối mặt với áp lực ngày càng tăng từ các cuộc tấn công này, đe dọa hoạt động kinh doanh, tiềm năng gây thiệt hại tài chính và hủy hoại hình ảnh công ty. Các biện pháp và cơ chế bảo mật khác nhau cũng như các hệ thông phát hiện xâm nhập (IDS) đã được đề xuất và được ứng dụng dé phát hiện các cuộc tấn công như vậy. Tuy nhiên trong ngữ cảnh dữ liệu lớn, khối lượng lớn, đa dạng và tốc độ dữ liệu được tạo ra trong hệ thống mạng, cùng với sự ngày càng tỉnh vi của những kẻ tan công khiến cho việc sử dụng các biện pháp truyền thống dé phân tích và phát hiện các cuộc tấn công rất khó khăn.
Do đó, công nghệ dữ liệu lớn được sử dụng trong IDS nhằm tạo ra một quy trình phân tích, xử lý dữ liệu lớn chính xác và hiệu quả hơn. Việc bảo vệ và đảm bảo an ninh cho đữ liệu lớn trở thành một ưu tiên cap bach, đòi hỏi sự phát triển và trién khai các hệ thống phát hiện xâm nhập và biện pháp bảo mật tiên tiến. Hệ thống phát hiện xâm nhập được Denning [8] đề xuất đầu tiên vào năm 1986 có khả năng phát hiện các hoạt động độc hại và hành vi bất thường trong mang, là hệ thống nền tảng cho các hệ thống sau này. Với sự phát triển không ngừng của công nghệ hiện đại như là điện toán dam mây, IoT hay SDN đã làm cho IDS ngày càng trở nên cấp thiết và là một chủ đề quan trọng đối với các nhà nghiên cứu.
IDS giúp giám sát và phát hiện các hành vi bất thường trong mạng cũng như cung cấp những thông tin về cuộc tan công được thực hiện bởi kẻ xâm nhập (như thời gian, phương pháp thực hiện). Phương pháp phát hiện xâm nhập dựa trên chữ ký có khả năng phát hiện sớm và chính xác nhất đối với các cuộc tấn công đã biết. Tuy nhiên các hệ thống phát hiện truyền thống dựa trên phương pháp này đã bị vô hiệu hóa bởi các cuộc tan công chưa biết. Dé khắc phục vấn dé này, các phương pháp phát hiện xâm nhập dựa trên hành vi đã được đề xuất.
Chúng theo dõi và phân tích các hành vi mạng dé xác định các hoạt động bất thường. Tuy nhiên, phương pháp này gặp khó khăn khi đối mặt với các cuộc tắn công mới không tuân theo các hành vi đã biết trước. Hiện nay, nhiều nghiên cứu đã đề xuất sử dụng các thuật toán máy học và học sâu dé cải thiện độ chính xác va giảm tỉ lệ báo động giả [9]. Dù vậy, đối với ngữ cảnh dữ liệu lớn, thời gian huấn luyện và tính toán cũng như phân loại đữ liệu là một trở ngại lớn đối với các thuật toán.
Bằng cách tích hợp công nghệ phân tích dữ liệu lớn với hệ thống phát hiện xâm nhập, các vấn đề về thời gian tính toán, xử lý của thuật toán có thé được giải quyết mà vẫn dam bảo độ chính xác cao. Một xu hướng nghiên cứu mới được tập trung phát triển gần đây là triển khai hệ thống phát hiện xâm nhập với các phương pháp máy học và học sâu dựa trên kiến trúc mạng SDN [10], [11] và [12]. SDN cho phép tách rời lớp điều khiển va lớp chuyền tiếp dữ liệu trong mạng, tạo ra một môi trường linh hoạt và dễ dàng quản lý. Việc triển khai hệ thống IDS trong mạng SDN mang lại nhiều lợi ích, bao gồm khả năng phát hiện và ngăn chặn các cuộc tân công mạng một cách hiệu quả hơn.
Nghiên cứu [11] chỉ ra rằng việc áp dụng hệ thống IDS trong mang SDN đã được nghiên cứu và phát triển rộng rãi trong cộng đồng nghiên cứu. Nghiên cứu này cung cấp một cái nhìn tổng quan về các hệ thông IDS dựa trên SDN và đánh giá các phương pháp và kỹ thuật khác nhau được áp dụng. Theo các nghiên cứu [12], [13] và [14], các nhà nghiên sử dụng các phương pháp học máy và deep learning trong hệ thống IDS trên mạng SDN có thể cải thiện khả năng phát hiện và giảm false positive so với các phương pháp truyền thống. Bên cạnh đó, nghiên cứu [15] cung cấp một phương pháp phát hiện xâm nhập dựa trên machine learning tận dụng các đặc trưng của luồng mạng (flows) dé xay dung hé thống phát hiện các hành vi xâm nhập trong mang SDN.
Đặc biệt, kha năng lập trình của SDN giúp dễ dàng đối phó khi phát hiện ra các các cuộc tan công mạng. Tuy nhiên, nghiên cứu của Shaghaghi và các cộng sự [16] đi sâu vào việc phân tích các khuyết diém của hệ thống IDS dựa trên SDN. Nghiên cứu này nhắn mạnh rằng việc xác định các hành vi bất thường mà không gây ra quá nhiều sai sót (false positive) hoặc bỏ sót (false negative) vẫn là một thách thức lớn trong lĩnh vực này. Các nghiên cứu về phát hiện xâm nhập dựa trên SDN trong bối cảnh dữ liệu lớn van còn hạn chê.
Đề giải quyết các van đề trên, nghiên cứu này đưa ra một giải pháp kết hợp toàn diện để xây dựng một hệ thống phát hiện xâm nhập dựa trên máy học dành cho mạng SDN trong ngữ cảnh dữ liệu lớn theo thời gian thực. Đồng thời, nghiên cứu đề xuất một phương pháp tận dụng thế mạnh của hệ thống SDN đề ứng phó các cuộc tắn công mạng. Bên cạnh đó, nghiên cứu cũng xây dựng một hệ thống giám sát và cảnh báo dé tăng cường khả năng bảo mật của hệ thống. Day là một giải pháp xây dựng một kiến trúc hệ thống toàn diện và chỉ tiết về phát hiện xâm nhập ứng dụng cho mô hình mạng SDN trong ngữ cảnh dữ liệu lớn.
Mục tiêu của đề tài Từ những vấn đề trên, một hệ thống phát hiện xâm nhập thông thường rất khó để xử lý các luồng dit liệu có khối lượng lớn với tốc độ cao. Việc thiết kế một mô hình phát hiện xâm nhập cho kiến trúc mạng SDN là chưa đủ. Do đó, chúng tôi cần xây dựng một mô hình hạ tầng xử lý dữ liệu lớn, tích hợp IDS với nhu cầu giám sát và phát hiện các luồng dữ liệu bất thường trong kiến trúc mạng SDN theo thời gian thực. Với định hướng đó, mô hình hạ tầng xử lý dữ liệu lớn - DisIDS được chúng tôi đê xuât và thiệt kê phải có các ưu điêm sau: e Tính linh hoạt và mở rộng về quy mô - mô hình chúng tôi có khả năng mở rộng trên tất cả các thành phần, doanh nghiệp có thể điều chỉnh quy mô xử lý phù hợp với nhu cầu doanh nghiệp, giúp tiết kiệm được tài nguyên và tiền bạc.
¢ Tối ưu hiệu suất với mô hình phân tán - mô hình chúng tôi có khả năng tích hợp hệ thống phân tán cho phép tăng tốc độ tính toán, xử lý với hiệu suất cao cũng như khả năng mở rộng mà vẫn đảm bảo được độ chính xác. e Thời gian thực và hiệu suất cao - mô hình chúng tôi dam bảo khả năng phát hiện và xử lý bất thường trong doanh nghiệp, đồng thời duy trì hiệu suất cao.