BÁO CÁO
BÀI TẬP LỚN
Học kỳ II, năm học 2021 - 2022
Học phần:
KỸ NĂNG BÁO CÁO

Số phách
(Do hội đồng chấm thi ghi)


(Bìa phụ 2)

BÁO CÁO
BÀI TẬP LỚN
Học kỳ II, năm học 2021 - 2022

Học phần:
KỸ NĂNG BÁO CÁO
Đề tài: Nghiên cứu và ứng dụng các mơ hình AI trong tấn cơng
mạng máy tính
Giảng viên hướng dẫn: Nguyễn Thị Thu Hà
Lớp: KHDL & TTNT K1
Sinh viên thực hiện: Nguyễn Phước,Trần Văn Tuấn Phong
(ký tên và ghi rõ họ tên)
Số phách
(Do hội đồng chấm thi ghi)

Thừa Thiên Huế, tháng…..năm 2022

1

2


DANH SÁCH THÀNH VIÊN
STT
1

HỌ VÀ TÊN
NGUYỄN PHƯỚC

2

TRẦN VĂN TUẤN PHONG

3

LỚP
KHDL & TTNT
K1
KHDL & TTNT
K1

MÃ SINH VIÊN
20e1020010
20e1020020


Mục lục


KHOA KỸ THUẬT VÀ CÔNG NGHỆ.............................................................0
KHOA KỸ THUẬT VÀ CƠNG NGHỆ.............................................................1
DANH SÁCH THÀNH VIÊN..........................................................................3
Danh mục hình ảnh...................................................................................... 5
Danh mục bảng biểu.....................................................................................6
Danh mục từ viết tắt..................................................................................... 7
Mở đầu..................................................................................................... 8
Tính cấp thiết của đề tài..............................................................................8
Tình hình nghiên cứu đề tài.........................................................................8
Mục đích và nhiệm vụ nghiên cứu................................................................. 9
Đối tượng, phạm vi nghiên cứu.....................................................................9

Trình bày các phương pháp nghiên cứu sử dụng...............................................9
CHƯƠNG 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU.........................................10
Nội dung nghiên cứu...................................................................................10
Cơ sở lý luận.......................................................................................... 10
Khái niệm học máy.................................................................................. 10
An Ninh mạng và các điều khoản liên quan....................................................10
Vị trí vai trị vấn đề nghiên cứu...................................................................10
Giới thiệu nội dung nghiên cứu...................................................................11
Ý tưởng nội dung và đề xuất.......................................................................11
1 Hệ thống phát hiện xâm nhập................................................................11
2 Thiết kế và triển khai chức năng của hệ thống phát hiện xâm nhập dựa trên tác nhân

11

3. Phân tích chức năng...........................................................................14

CHƯƠNG 2: THỰC TRẠNG VẤN ĐỀ NGHIÊN CỨU.......................................14
Mô phỏng thực nghiệm.............................................................................14

Phát hiện dựa trên mạng...........................................................................14
Phát hiện dựa trên máy chủ....................................................................... 14

CHƯƠNG 3: GIẢI PHÁP ĐỀ XUẤT.............................................................. 16
Kết luận và kiến nghị................................................................................16

Phụ lục: Đề cương nghiên cứu....................................................................... 17
Tài liệu tham khảo......................................................................................19
KHOA KỸ THUẬT VÀ CÔNG NGHỆ............................................................20

4


STT
1
2

Danh mục hình ảnh
TÊN HÌNH ẢNH
Kiến trúc hệ thống tổng thể
Sơ đồ mối quan hệ giữa các
mơ-đun chính

5

TRANG
12
13



Danh mục bảng biểu
ST TÊN BẢNG SỐ TRANG T
1

Kết quả thử nghiệm sau khi sử dụng mạng nơ-ron 15 chưa được cải tiến
2
3

Kết quả thử nghiệm sau khi sử dụng mạng nơ-ron cải
tiến
Kết quả thử nghiệm khơng có mạng nơ-ron

6

15
15


Danh mục từ viết tắt
STT
1
2
3
4

CHỮ CÁI VIẾT TẮT
ANQG
AI
ML
IDS


5
6
7

CNTT
IOT
CPU

Ý NGHĨA
Anh Ninh Quốc gia
Artificial intelligence – (trí tuệ nhân tạo)
Machine Learning – (Học máy)
Intrusion Detection System – (Hệ thống chống phát
hiện xâm nhập)
Công nghệ thông tin
Internet of Things – ( Vạn vật kết nối )
Central Processing Unit – ( Bộ xử lý trung tâm )

7


Mở đầu
Tính cấp thiết của đề tài

Thế giới bước vào cuộc Cách mạng công nghiệp lần thứ tư với sự phát triển mạnh mẽ của
không gian mạng đã mang lại những lợi ích to lớn trên nhiều lĩnh vực của đời sống xã hội,
làm thay đổi diện mạo mới của nhiều quốc gia, đem lại những thành tựu vượt bậc cho nhân
loại. Tuy nhiên, với tính tồn cầu và khả năng kết nối vơ hạn của khơng gian mạng có thể nói
khơng bị giới hạn bởi khơng gian, thời gian và bản chất xã hội của không gian mạng cũng đặt

ra nhiều thách thức rất lớn đối với an ninh của các quốc gia trên thế giới như: chiến tranh
mạng, chiến tranh thông tin, khủng bố mạng, tội phạm mạng…vấn đề phát triển và làm chủ
không gian mạng đã trở thành một trong những nhiệm vụ cấp bách được nhiều quốc gia đặc
biệt quan tâm. Chính vì vậy, bảo đảm an ninh mạng đang là ưu tiên hàng đầu được thể hiện rõ
trong các quan điểm, chiến lược và hành động cụ thể của các quốc gia, trong đó có Việt Nam.
Phát biểu Tổng thống Mỹ Barack Obama: “Đe dọa về an ninh mạng trở thành một trong các
thách thức về kinh tế và ANQG [1] nguy hiểm nhất đối với nước Mỹ. Internet hiện giờ trở
thành vũ khí hủy diệt hàng loạt”.
Phát biểu Tổng thống Nga Pustin: “Trong điều kiện hiện nay, sức sát thương của các cuộc tấn
công mạng có thể cao hơn bất kỳ loại vũ khí thơng thường nào”.
Có thể thấy khơng gian mạng là một lãnh thổ mới, khơng gian sinh tồn mở rộng có tầm quan
trọng ngang với các lãnh thổ khác trong chiến tranh, như trên đất liền, trên biển, trên không và
trong không gian. Như vậy không gian mạng quốc gia là lãnh thổ đặc biệt của quốc gia, được
xác định bằng phạm vi không gian do Nhà nước quản lý, kiểm sốt bằng hính sách, pháp luật
và năng lực cơng nghệ.
Các cuộc tấn công vào mạng đang trở nên phức tạp và tinh vi hơn mỗi ngày. Ngoài cái gọi là những
kẻ trẻ con theo tập lệnh và những người mới chơi hack, cịn có vơ số những kẻ tấn cơng chuyên
nghiệp đang tìm cách kiếm lợi nhuận nghiêm trọng khi thâm nhập vào các mạng cơng ty. Các chính
phủ thù địch, các tập đồn lớn hoặc mafias đang khơng ngừng tăng cường nguồn lực và kỹ năng của
họ trong lĩnh vực tội phạm mạng để do thám, đánh cắp hoặc gây thiệt hại hiệu quả hơn. Với khả
năng và nguồn lực của tin tặc ngày càng tăng, các phương pháp tiếp cận truyền thống đối với An
ninh mạng dường như bắt đầu đạt đến giới hạn của chúng và người ta nhận thấy sự cần thiết của một
phương pháp tiếp cận thơng minh hơn để phát hiện mối đe dọa.

Tình hình nghiên cứu đề tài

thực tế là các cuộc tấn công mạng đang gia tăng một cách đáng báo động về số lượng và mức
độ phức tạp, một trong những sự thật đáng sợ nhất về An ninh mạng đối với các công ty và tổ
chức là sự thiếu sẵn sàng, chủ yếu là từ góc độ kinh doanh. Vấn đề còn rộng hơn khoảng cách
kỹ thuật. Tầng lớp quản lý thiếu nhận thức và hiểu biết về nhu cầu thực, do đó khơng cung

cấp hỗ trợ cần thiết. Sự thiếu hỗ trợ này khiến nhiều tổ chức sau đó thiếu lực kéo, sự quan tâm
và sẵn sàng cam kết tài trợ và nguồn lực cho An ninh mạng. Điều đặc biệt quan trọng là phải
đề cập đến việc thiếu nhân sự được đào tạo thích hợp để đáp ứng tất cả các nhu cầu ngắn hạn
trong tương lai cho các vị trí An ninh mạng. Nếu xu hướng này tiếp tục, vào năm 2021,
khoảng 3,5 triệu vị trí cần thiết liên quan đến An ninh mạng sẽ không được lấp đầy và tội
phạm mạng có thể gây thiệt hại tổng cộng 3 nghìn tỷ đơ la trên khắp thế giới (Morgan, 2017).
Với tình trạng hiện tại, có thể dễ dàng nhận ra lý do tại sao các chuyên gia An ninh mạng đã

nghiêm túc xem xét Trí tuệ nhân tạo (AI [2]) và cách nó có thể giúp giảm bớt một số vấn đề này. Ví
dụ, Machine Learning (ML[3]), được sử dụng bởi nhiều thuật toán AI[2] mới nhất có thể giúp
ích rất nhiều trong việc phát hiện phần mềm độc hại, ngày càng khó xác định và cơ lập. Với việc
phần mềm độc hại ngày càng có nhiều khả năng thích ứng với các giải pháp bảo mật truyền thống
tuyến tính, ML[3] cung cấp khả năng tìm hiểu không chỉ cách phần mềm độc hại trông giống và hoạt
động mà cịn cả cách nó có thể phát triển. Ngồi ra, hệ thống AI[2] có thể giúp khơng chỉ cung cấp khả
năng phát hiện mà còn thực hiện các hành động chủ động có thể thực hiện các bước để khắc phục các
tình huống nhất định, đồng thời cũng sắp xếp và phân loại các sự

8


kiện và mối đe dọa, cuối cùng giải phóng các kỹ thuật viên khỏi các hoạt động lặp đi lặp lại
(Kh, 2017)

Mục đích và nhiệm vụ nghiên cứu

Trí tuệ nhân tạo (AI [2]) là một trong những công nghệ quan trọng của Cách mạng cơng nghiệp lần thứ
tư (hay cịn gọi là Cơng nghiệp 4.0), có thể được sử dụng để bảo vệ các hệ thống kết nối Internet khỏi
các mối đe dọa mạng, tấn công, phá hoại hoặc truy cập trái phép. Để giải quyết một cách thông minh
các vấn đề an ninh mạng hiện nay, có thể sử dụng các kỹ thuật AI [2] phổ biến liên quan đến học máy
và phương pháp học sâu, khái niệm xử lý ngôn ngữ tự nhiên, biểu diễn và lập luận tri thức, cũng như

khái niệm kiến thức hoặc mơ hình hệ thống chun gia dựa trên quy tắc. Mơ hình thông minh bảo
mật dựa trên các phương pháp AI [2] như vậy có thể làm cho q trình tính tốn an ninh mạng tự động
và thông minh hơn so với các hệ thống bảo mật thông thường. Chúng tôi cũng nêu bật một số hướng
nghiên cứu trong phạm vi nghiên cứu của chúng tơi, có thể giúp các nhà nghiên cứu thực hiện các
nghiên cứu trong tương lai trong khu vực. Nhìn chung, mục tiêu cuối cùng của nghiên cứu này đóng
vai trị là tham khảo và hướng dẫn cho các nhà nghiên cứu an ninh mạng cũng như các chuyên gia
trong ngành trong khu vực, đặc biệt là từ quan điểm máy tính thơng minh hoặc kỹ thuật dựa trên
AI[2].

Hiện tại bài báo này cung cấp giới thiệu về sự cần thiết của sự phát triển của các kỹ thuật An
ninh mạng và cách Trí tuệ nhân tạo (AI [2]) có thể được ứng dụng để giúp giải quyết một số vấn
đề. Nó cũng cung cấp tổng quan cấp cao về một số kỹ thuật An ninh mạng AI [2] hiện đại, để
kết thúc việc phân tích tương lai gần của việc ứng dụng AI [2] vào An ninh mạng.
Giới thiệu các hệ thống phát hiện xâm nhập mạng máy tính và cách phân loại của chúng dựa
trên cơng nghệ trí tuệ nhân tạo, đồng thời chỉ ra những thách thức mà hệ thống phát hiện xâm
nhập (IDS[4]) đang phải đối mặt trong mạng máy tính cảm biến khơng dây. Trên cơ sở này,
một hệ thống phát hiện xâm nhập mạng cảm biến không dây nhiều lớp phân cấp và cơng nghệ
dựa trên cơng nghệ trí tuệ nhân tạo Agent được đề xuất, đồng thời phân tích cấu trúc mạng,
nguyên lý làm việc và hiệu suất của nó.

Đối tượng, phạm vi nghiên cứu

Đối tượng nghiên cứu: nghiên cứu về dữ liệu người dùng cá nhân được sử dụng trên các nền
tảng mạng xã hội
Khách thể nghiên cứu: Nghiên cứu người dùng khi đăng nhập vào các trang mạng xã hội,
nghiên cứu người dùng bị đánh cắp để từ đó khắc phục và phát triển hệ thống hỗ trợ chuyên
gia AI[2]
Phạm vi nghiên cứu: toàn bộ dữ liệu người dùng và các cuộc tấn cơng mạng có từ trước được
sự chấp nhận truy cập dữ liệu từ bên thứ nhất


Trình bày các phương pháp nghiên cứu sử dụng

Phương pháp thu thập thơng tin: Đọc tài liệu, khảo sát, tìm kiếm tài nguyên dữ liệu, tiến hành
cào dữ liệu từ các trang web người dùng, sử dụng cơ sở dữ liệu được sự cho phép của một tổ
chức và công ty mạng xã hội
Phương pháp xử lí thơng tin :Sử dụng phương pháp thống kê mô tả, phân cụm dữ liệu, sử
dụng phương pháp thống kê suy diễn để xử lí thông tin

9


CHƯƠNG 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU

Nội dung nghiên cứu
Cơ sở lý luận

Khái niệm học máy
Máy học (ML[3]) là bộ não của AI[2] — một loại thuật toán cho phép máy tính phân tích
dữ liệu, học hỏi từ những kinh nghiệm trong quá khứ và đưa ra quyết định, tất cả đều
theo cách giống với hành vi của con người.
Các thuật tốn học máy trong an ninh mạng có thể tự động phát hiện và phân tích các
sự cố bảo mật . Một số thậm chí có thể tự động phản ứng với các mối đe dọa. Nhiều
công cụ bảo mật hiện đại, như thông minh về mối đe dọa, đã sử dụng máy học.
Có nhiều thuật tốn học máy, nhưng hầu hết chúng thực hiện một trong các tác vụ sau:
Hồi quy — phát hiện mối tương quan giữa các bộ dữ liệu khác nhau và hiểu chúng liên
quan với nhau như thế nào. Bạn có thể sử dụng hồi quy để dự đoán các lệnh gọi hệ
thống của hệ điều hành, sau đó xác định các điểm bất thường bằng cách so sánh dự
đoán với một lệnh gọi thực tế.
Phân cụm — xác định các điểm tương đồng giữa các tập dữ liệu và nhóm chúng dựa
trên các đặc điểm chung của chúng. Phân cụm hoạt động trực tiếp trên dữ liệu mới mà

không cần xem xét các ví dụ trước đó.
Phân loại — Các thuật tốn phân loại học hỏi từ những quan sát trước đó và cố gắng áp
dụng những gì chúng học được vào dữ liệu mới, chưa nhìn thấy. Phân loại bao gồm
việc lấy hiện vật và phân loại chúng dưới một trong số các nhãn. Ví dụ: phân loại tệp
nhị phân theo các danh mục như phần mềm hợp pháp, phần mềm quảng cáo, phần
mềm tống tiền hoặc phần mềm gián điệp.
An Ninh mạng và các điều khoản liên quan
Bảo mật dữ liệu là tất cả về bảo mật dữ liệu, có thể dành riêng cho dữ liệu, thường là trong
bộ nhớ. Do đó, bảo mật dữ liệu có thể được định nghĩa là việc ngăn chặn việc truy cập, sử
dụng trái phép, làm gián đoạn, sửa đổi hoặc phá hủy dữ liệu trong kho lưu trữ.

Bảo mật thông tin là việc ngăn chặn việc truy cập, sử dụng trái phép, làm gián đoạn,
sửa đổi hoặc phá hủy thông tin. An ninh thơng tin, theo một nghĩa nào đó, có thể được
coi là một kỷ luật cụ thể dưới ô bảo mật khơng gian mạng, đó là thực tiễn rộng hơn để
bảo vệ các tài sản CNTT[5] khỏi các cuộc tấn công hoặc các mối đe dọa.

An ninh mạng thường là hoạt động ngăn chặn và theo dõi truy cập trái phép, sử dụng sai mục
đích, thay đổi hoặc từ chối các dịch vụ có sẵn cho mạng máy tính. Do đó, nó có thể được coi
là một tập hợp con của an ninh mạng, thường bảo vệ dữ liệu truyền qua mạng.

An ninh Internet là một khía cạnh cụ thể của các khái niệm rộng hơn như an ninh mạng
và bảo mật máy tính, tập trung vào các rủi ro và lỗ hổng cụ thể của việc truy cập và sử
dụng internet. Bảo mật IoT [6] là một thuật ngữ có liên quan khác, thường liên quan đến
việc bảo vệ các thiết bị hỗ trợ Internet, tức là các thiết bị Internet of Things (IoT [6]), kết
nối trên mạng không dây
Vị trí vai trị vấn đề nghiên cứu
Cơng nghệ phát hiện xâm nhập là một loại công nghệ bảo mật mạng máy tính mới dựa trên cơng
nghệ trí tuệ nhân tạo chủ động tự bảo vệ mình khỏi các cuộc tấn cơng. Nó thu thập thơng tin như
10



hệ điều hành, ứng dụng và gói mạng để tìm ra các vi phạm chính sách bảo mật hoặc khủng hoảng
trong hệ thống và luồng dữ liệu. Hành vi bảo mật hệ thống. Hệ thống được thiết kế cho mục đích này
được gọi là hệ thống phát hiện xâm nhập (IDS [5]). IDS[5] là một bổ sung rất hữu ích cho tường lửa.
Nó khơng chỉ có thể phát hiện các cuộc tấn cơng từ các mạng bên ngồi trong thời gian thực mà còn
phát hiện các hoạt động trái phép từ bên trong mạng, bù đắp hiệu quả cho việc thiếu tường lửa và
được coi là cách thứ hai sau tường lửa. Cổng an ninh. Một hệ thống phát hiện xâm nhập thành cơng
khơng chỉ có thể giúp người quản trị hệ thống biết được bất kỳ thay đổi nào trong tồn bộ hệ thống
mạng mà cịn hỗ trợ cho việc xây dựng các chiến lược an ninh mạng.

Giới thiệu nội dung nghiên cứu
Hệ thống phát hiện xâm nhập phân tán hiện có thường áp dụng ba mơ hình phân tích sau cho
xâm nhập phân tán: mơ hình phân tích trung tâm, mơ hình phân tích thứ bậc và mơ hình
phân tích cộng tác.
Mơ hình phân tích trung tâm có tải trọng mạng lớn, khả năng mở rộng kém, độ trễ kéo dài và
điểm lỗi duy nhất. Nó chỉ thích hợp cho các mạng quy mô nhỏ . Các vấn đề về tải mạng nặng
và điểm lỗi duy nhất của mơ hình phân cấp phân tích vẫn cịn tồn tại.
Mơ hình phân tích cộng tác đã làm tăng độ phức tạp của một điểm đơn lẻ, khả năng mở rộng
kém, tải trọng truyền mạng nặng, v.v.
Bài báo này sử dụng những ưu điểm của tác nhân di động và áp dụng nó để phát hiện xâm nhập phân
tán, đồng thời đề xuất một hệ thống phát hiện xâm nhập phân tán dựa trên tác nhân di động, cố gắng
giải quyết vấn đề sử dụng băng thông mạng quá mức, hiệu quả phát hiện thấp và tính mạnh mẽ của
các mơ hình phát hiện xâm nhập truyền thống. Các vấn đề như phái yếu

Ý tưởng nội dung và đề xuất
1 Hệ thống phát hiện xâm nhập
1.1 Công nghệ phát hiện xâm nhập
Phát hiện xâm nhập đề cập đến công nghệ phát hiện các hành vi trái phép bên trong hoặc các
hành vi xâm nhập từ bên ngồi và là cơng nghệ phát hiện các hành vi vi phạm chính sách bảo
mật trong mạng máy tính. Hệ thống phát hiện xâm nhập đề cập đến sự kết hợp giữa phần

mềm và phần cứng để phát hiện xâm nhập và là một hệ thống máy tính thực hiện hành vi phát
hiện xâm nhập. Theo nghĩa truyền thống, hệ thống phát hiện xâm nhập là ngưỡng bảo mật thứ
hai sau tường lửa.
1.2 Công nghệ tác nhân di động
Agent là một thực thể phần mềm có trí thơng minh và khả năng thích ứng. Tác nhân tĩnh nằm
ở một vị trí cố định nhất định trong suốt vịng đời của nó, trong khi tác nhân di động là một
thực thể có thể di chuyển từ nút mạng này sang nút mạng khác ở bất kỳ trạng thái nào và duy
trì trạng thái hoạt động ban đầu. Nó có thể hồn thành một số nhiệm vụ thay mặt cho người
dùng . Các tác vụ cụ thể, chẳng hạn như thu thập dữ liệu, lọc thông tin và truy xuất dữ liệu,…
Đồng thời, nó sẽ tự mang kết quả xử lý và trở về thiết bị nguồn. Điều này về cơ bản làm giảm
gánh nặng cho mạng, rút ngắn thời gian chờ của mạng, giảm tắc nghẽn mạng và có các đặc
tính tự chủ, phản ứng, tương tác, liên lạc, linh hoạt và di động. Với những ưu điểm này của
mobile agent, việc xây dựng một mô hình phát hiện xâm nhập phân tán là rất phù hợp.
2 Thiết kế và triển khai chức năng của hệ thống phát hiện xâm nhập dựa trên tác nhân
2.1 Cấu trúc tổng thể
Trong mạng cấu trúc liên kết vật lý của hệ thống, các thành phần như tường lửa, bộ định
tuyến, bộ chuyển mạch, máy chủ và máy chủ, cùng với máy chủ mạng, trung tâm điều khiển
phân vùng, thư viện tác nhân và trung tâm điều khiển tạo thành kiến trúc hệ thống tổng thể
như trong Hình 1.

11


Hình 1. Kiến trúc hệ thống tổng thể

Mơ tả của từng mơ-đun như sau: Để có sự hỗ trợ của trung tâm điều khiển, sử dụng trung tâm
điều khiển máy chủ chuyên nghiệp cao, người quản trị hệ thống có thể sử dụng nó để hồn
thành nhiệm vụ cập nhật của tất cả các bộ quy tắc
Trung tâm điều khiển vùng phụ điều khiển quá trình xử lý máy chủ mạng của một phân đoạn
nhất định của mạng và các mạng con. Nó chịu trách nhiệm về nhiệm vụ. Sau khi nhận được

nhiệm vụ trung tâm điều khiển, nó ra lệnh cho máy chủ dưới quyền thực hiện nhiệm vụ nhận
thông tin báo cáo của máy chủ mạng, và giám sát các bất thường trong thơng tin chẩn đốn.
Trong trường hợp xảy ra, hãy nhập mẫu đặc tính xâm nhập vào cơ sở dữ liệu, sau đó báo cáo
kết quả phân tích cho trung tâm điều khiển
Nó bao gồm hai phần, mơ hình xác định lưu lượng chi bình phương và bộ theo dõi lưu lượng
chi bình phương. Mơ hình xác định luồng chi bình phương sẽ tiếp tục xử lý dữ liệu trong cơ
sở dữ liệu tính năng SIP để thu được dữ liệu được sử dụng cho việc tính tốn giá trị thống kê
chi bình phương. Bộ theo dõi dịng chảy chi bình phương sử dụng những dữ liệu này để tính
tốn thống kê chi bình phương và phán đốn liệu có bất thường xảy ra hay khơng. Dưới đây là
mơ tả chi tiết của q trình này. Phân tích q trình thiết lập phiên SIP cho thấy rằng sự phân
bố số lượng bản tin SIP trong điều kiện bình thường cho thấy sự phân bố ổn định. Các thông
báo này bao gồm INVITE, ACK, 200. Trong bài báo này chỉ ra rằng trong trường hợp tấn
công tràn ngập nguồn đơn SIP, kẻ tấn cơng khơng thể hồn thành quá trình thiết lập phiên,
dẫn đến phân phối bất thường các thơng báo SIP . Do đó, các cuộc tấn cơng tràn ngập có thể
được phát hiện thơng qua các thay đổi trong phân phối bản tin SIP. Chúng tôi sử dụng thống
kê chi-square để đo mức độ giống nhau của phân phối bản tin SIP dựa trên chuỗi cửa sổ thời
gian trượt. Phương pháp tính tốn thống kê chi-bình phương như cơng thức . Trong số đó k
=3, n1 biểu thị tỷ lệ tin nhắn msg1 trong cửa sổ thời gian hiện tại và n!i biểu thị tỷ lệ tin nhắn
trong cửa sổ thời gian trước đó. là ba loại thông báo SIP: INVITE, ACK và 200

12


Máy chủ lưu trữ web là nền tảng tác nhân di động có thể cung cấp mơi trường hoạt động cho
thiết bị di động. Nếu máy chủ lưu trữ ưu tiên tình huống nghi ngờ, nhưng khơng thể tự phán
đốn, thì dữ liệu liên quan sẽ được đưa trở lại trung tâm kiểm sốt quận, sau đó sẽ tiến hành
phân tích và xử lý sâu hơn để phát hiện ra nhiều máy chủ có xâm nhập vào mạng hay khơng. .
Thư viện tác nhân đóng một vai trị quan trọng trong quá trình phát hiện xâm nhập của hệ
thống . Đặc biệt trong hoạt động thực thi, trung tâm điều khiển trực tiếp điều khiển phần quản
lý, nhờ đó cấu hình mới được tạo ra có thể thực hiện cơng việc tương ứng theo nhu cầu thực

tế, và có thể cấu hình lại thực thi ban đầu và xóa những gì khơng cần thiết nữa có thể đạt được
. Hình 2 là một sơ đồ về mối quan hệ giữa các mơ-đun khác nhau.

Hình 2. Sơ đồ mối quan hệ giữa các mơ-đun chính

13


3. Phân tích chức năng
3.1 Detector layer
Lớp này cung cấp nhiều loại trình dị để thu thập dữ liệu thơ từ mạng, máy chủ lưu trữ và các
thiết bị khác.
3.2 Collaborative analyser layer
Lớp này cung cấp một bộ phân tích tương ứng cho mỗi máy dị. Mỗi máy phân tích có thể xác
định sự xâm nhập dựa trên kiến thức về bản thể học và gửi các lệnh phân tích cộng tác đến
các máy phân tích khác khi cần thiết. Mỗi máy dò hợp tác và máy dò tương ứng của nó tạo
thành một tác nhân phát hiện xâm nhập. Ví dụ, một máy phát hiện máy chủ và một máy phân
tích hợp tác máy chủ tạo thành một tác nhân phát hiện xâm nhập máy chủ. Mỗi bộ phân tích
cộng tác có một cơ sở kiến thức bản thể học cục bộ, có thể hồn thành các nhiệm vụ phát hiện
một cách độc lập và cũng có thể hoạt động với các tác nhân phát hiện xâm nhập khác . Tác
nhân phát hiện xâm nhập có thể tự động lưu trữ dữ liệu có liên quan của cơ sở tri thức
ontology phát hiện xâm nhập toàn cầu vào cục bộ theo các đầu dò quản lý khác nhau, tạo
thành cơ sở tri thức ontology cục bộ của riêng nó, giảm nhiều gánh nặng giao tiếp
3.3 Knowledge management
Một mặt, lớp này duy trì cơ sở tri thức ontology và duy trì tính nhất qn của tri thức ontology; mặt
khác, nó báo động khi phát hiện có cuộc tấn cơng và thực hiện các biện pháp ứng phó tương ứng.
Lớp này bao gồm thành phần cập nhật cơ sở tri thức, bảng đen, thành phần kết hợp cảnh báo và bảng
điều khiển cảnh báo. Thành phần cập nhật cơ sở tri thức được sử dụng cho quản trị viên để duy trì và
cập nhật cơ sở tri thức của ontology phát hiện xâm nhập; bảng đen chủ yếu được sử dụng cho sự
cộng tác của nhiều máy dò để lưu trữ từng tác nhân Địa chỉ truy cập, danh sách thông báo cảnh báo

và dữ liệu cần thiết để cộng tác; thành phần hợp nhất báo động chủ yếu kết hợp thông tin cảnh báo;
bảng điều khiển cảnh báo cung cấp giao diện người dùng với quản trị viên mạng và xuất báo động
hoặc gửi email báo động trên màn hình. Tác nhân quản lý tri thức bao gồm thành phần cập nhật cơ
sở tri thức, bảng đen, thành phần kết hợp cảnh báo và bảng điều khiển cảnh báo hoàn thành các chức
năng như chuyển tiếp dữ liệu cộng tác, kết hợp cảnh báo và duy trì cơ sở tri thức bản thể học phát
hiện xâm nhập.

CHƯƠNG 2: THỰC TRẠNG VẤN ĐỀ NGHIÊN CỨU
Mơ phỏng thực nghiệm

MADIDS tương thích với các thuật toán phát hiện truyền thống. Để thực hiện kiểm tra
MADIDS toàn diện và đại diện hơn, các thuật toán phát hiện dựa trên mạng và dựa trên máy
chủ được sử dụng.

Phát hiện dựa trên mạng

Phân tích hướng luồng của gói điều khiển, luồng và nội dung của gói dữ liệu bằng cách kiểm
tra thơng tin gói dữ liệu đi qua máy chủ, cổng vào và mạng chia sẻ. Trong thực nghiệm,
phương pháp thống kê được sử dụng để phát hiện. Phương pháp thống kê dựa trên dữ liệu
thống kê để tạo hồ sơ người dùng. Khi sự khác biệt giữa dữ liệu thống kê mới và hồ sơ tham
chiếu vượt quá một ngưỡng nhất định thì được coi là một sự kiện đáng ngờ đã xảy ra . Loại
thuật tốn này sử dụng mơ hình phát hiện bất thường dựa trên phân tích thống kê và sử dụng
hành vi của nhóm để xây dựng các mẫu hành vi phù hợp với hành vi cá nhân. Những cá nhân
vượt q nhóm được coi là khơng bình thường.

Phát hiện dựa trên máy chủ

Phát hiện dựa trên máy chủ, tức là phát hiện sâu bên trong hệ thống, nhằm thu được dữ liệu chính
xác hơn liên quan đến hành vi xâm nhập, độ chính xác phát hiện cao nhưng sẽ có tác động nhất định
đến hiệu suất của hệ thống. Bởi vì có nhiều thơng số / đối tượng khác nhau có sẵn để thử nghiệm bên

trong máy chủ, nhiều loại thử nghiệm dựa trên máy chủ có thể được thiết kế để
14


đạt được kiểm tra giám sát trạng thái hệ thống trong các thử nghiệm. Phương pháp phát hiện giám
sát trạng thái hệ thống tìm ra các sự kiện xâm nhập bằng cách sử dụng các tài nguyên khác nhau của
hệ thống và phân tích đường cong thay đổi theo thời gian. Nếu trong một khoảng thời gian, tần suất
sử dụng tài nguyên hệ thống rất cao thì được coi là hệ thống đang bị tấn cơng.

Các đối tượng có thể được giám sát bao gồm mức tiêu thụ CPU [7], dung lượng ổ đĩa, số lượng
tệp đang mở, v.v. Kết quả kiểm tra được thể hiện trong Bảng 1, Bảng 2 và Bảng 3.

Bảng 1. Kết quả thử nghiệm sau khi sử dụng mạng nơ-ron chưa được cải tiến

Bảng 2. Kết quả thử nghiệm sau khi sử dụng mạng nơ-ron cải tiến

Bảng 3. Kết quả thử nghiệm khơng có mạng nơ-ron

Qua dữ liệu trong bảng có thể thấy hệ thống có thể phát hiện tất cả các chế độ tấn công khi tải mạng
nhẹ, nhưng khi tải đến mức tải cao hoặc thậm chí 100% thì hệ thống khơng thể phát hiện ra các chế
độ tấn công. Điều này là do khi mạng hoạt động hết cơng suất, các gói dữ liệu do cuộc tấn công tạo
ra quá nhỏ so với lưu lượng mạng nên chúng bị hủy hoàn toàn và hệ thống phát hiện xâm nhập
khơng có thời gian để xử lý các gói dữ liệu này. Lý do tại sao mức tiêu thụ CPU [7] có thể được phát
hiện là vì bản thân việc tiêu thụ CPU[7] khơng liên quan gì đến mạng.

15


CHƯƠNG 3: GIẢI PHÁP ĐỀ XUẤT
Kết luận và kiến nghị

Mức độ mở cao của mạng cảm biến không dây khiến kẻ tấn cơng ln có nguy cơ xâm nhập nhiều
lần. Ngay cả khi công nghệ bảo mật đảm bảo rằng mạng sẽ không bị xâm phạm trong thời gian ngắn,
kẻ tấn cơng vẫn có thể lấy được mạng và sự bảo vệ của nó trong vài lần thử. Nhiều thơng tin khác
nhau của hệ thống, và tự ngụy trang dựa trên những thông tin này và tấn công lại. Nếu sự hiểu biết
của hệ thống phát hiện về cuộc tấn cơng vẫn ở mức hẹp, thì sớm muộn gì mạng cũng sẽ bị xâm
phạm. Do đó, việc cải thiện khả năng nhận dạng và tổng qt hóa các tính năng xâm nhập trong hệ
thống phát hiện là cấp thiết. Điều này đòi hỏi sự ra đời của một hệ thống phát hiện xâm nhập thơng
minh. Để hiện thực hóa trí thông minh, cách trực tiếp và hiệu quả nhất là thêm các phương pháp
được sử dụng để xác định và tổng qt hóa các tính năng xâm nhập, chẳng hạn như mạng nơ-ron,
thuật tốn di truyền, cơng nghệ mờ, ngun lý miễn dịch, v.v., vào chức năng tác nhân phát hiện
xâm nhập. Mơ hình của ứng dụng thơng minh là hệ thống chuyên gia. Đối với các hành vi không thể
được xác định bằng phát hiện đặc điểm chung hoặc phát hiện bất thường như một sự xâm nhập, các
hệ thống chuyên gia thường có thể đưa ra các phán đoán đáng tin cậy dựa trên việc cập nhật và tìm
kiếm cơ sở kiến thức của nó. Do đó, hệ thống phát hiện xâm nhập Tác nhân thông minh hơn nên
được tích hợp vào khái niệm hệ thống chuyên gia,

để nó có chức năng liên tục tự học và tự thích ứng .

16


Mở đầu
Tính cấp thiết của đề tài

Phụ lục: Đề cương nghiên cứu

Các cuộc tấn công vào mạng đang trở nên phức tạp và tinh vi hơn mỗi ngày. Ngoài cái gọi là những
kẻ trẻ con theo tập lệnh và những người mới chơi hack, cịn có vơ số những kẻ tấn cơng chun
nghiệp đang tìm cách kiếm lợi nhuận nghiêm trọng khi thâm nhập vào các mạng công ty. Các chính
phủ thù địch, các tập đồn lớn hoặc mafias đang không ngừng tăng cường nguồn lực và kỹ năng của

họ trong lĩnh vực tội phạm mạng để do thám, đánh cắp hoặc gây thiệt hại hiệu quả hơn. Với khả
năng và nguồn lực của tin tặc ngày càng tăng, các phương pháp tiếp cận truyền thống đối với An
ninh mạng dường như bắt đầu đạt đến giới hạn của chúng và người ta nhận thấy sự cần thiết của một
phương pháp tiếp cận thông minh hơn để phát hiện mối đe dọa.

Tình hình nghiên cứu đề tài

Với tình trạng hiện tại, có thể dễ dàng nhận ra lý do tại sao các chuyên gia An ninh mạng đã nghiêm
túc xem xét Trí tuệ nhân tạo (AI [2]) và cách nó có thể giúp giảm bớt một số vấn đề này. Ví dụ,
Machine Learning (ML[3]), được sử dụng bởi nhiều thuật tốn AI [2] mới nhất có thể giúp ích rất nhiều
trong việc phát hiện phần mềm độc hại, ngày càng khó xác định và cơ lập. Với việc phần mềm độc
hại ngày càng có nhiều khả năng thích ứng với các giải pháp bảo mật truyền thống tuyến tính, ML [3]
cung cấp khả năng tìm hiểu khơng chỉ cách phần mềm độc hại trơng giống và hoạt động mà cịn cả
cách nó có thể phát triển. Ngồi ra, hệ thống AI [2] có thể giúp khơng chỉ cung cấp khả năng phát hiện
mà còn thực hiện các hành động chủ động có thể thực hiện các bước để khắc phục các tình huống
nhất định, đồng thời cũng sắp xếp và phân loại các sự kiện và mối đe dọa, cuối cùng giải phóng các
kỹ thuật viên khỏi các hoạt động lặp đi lặp lại

Đối tượng, phạm vi nghiên cứu
Đối tượng nghiên cứu: nghiên cứu về dữ liệu người dùng cá nhân được sử dụng trên các nền
tảng mạng xã hội
Khách thể nghiên cứu: Nghiên cứu người dùng khi đăng nhập vào các trang mạng xã hội,
nghiên cứu người dùng bị đánh cắp để từ đó khắc phục và phát triển hệ thống hỗ trợ chuyên
gia AI[2]
Phạm vi nghiên cứu: toàn bộ dữ liệu người dùng và các cuộc tấn công mạng có từ trước được
sự chấp nhận truy cập dữ liệu từ bên thứ nhất
Trình bày các phương pháp nghiên cứu sử dụng
Chương 1: Tổng quan vấn đề nghiên cứu
Nội dung nghiên cứu
Đưa ra nội dung nghiên cứu cụ thể

Cơ sở lý luận
Đưa ra cơ sở lý luận, lý do thực hiện đề tài
Khái niệm học máy
Đưa ra những khái niệm cơ bản về đề tài thực hiện làm nền tảng kiến thức cho mục đích
nghiên cứu
An Ninh mạng và các điều khoản liên quan
Đưa ra khái niệm và những điều cần biết về mục đích mình sẽ nghiên cứu
Vị trí vai trị vấn đề nghiên cứu
Giới thiệu nội dung nghiên cứu
Ý tưởng nội dung và đề xuất
1 Hệ thống phát hiện xâm nhập
1.1 Công nghệ phát hiện xâm nhập
1.2 Công nghệ tác nhân di động
2.Thiết kế và triển khai chức năng của hệ thống phát hiện xâm nhập dựa trên tác
nhân
17


3.

2.1 Cấu trúc tổng thể
Phân tích chức năng
3.1 Detector layer
3.2 Collaborative analyser layer
3.3 Knowledge management
Chương 2: Thực trạng vấn đề nghiên cứu

Phát hiện dựa trên mạng
Phát hiện dựa trên máy chủ
Chương 3: Giải pháp đề xuất


18


Tài liệu tham khảo
[Đảm bảo An ninh mạng trong tình hình hiện nay] />[Research on Computer Network Technology System Based on Artificial Intelligence
Technology] />[Running Head: Applications of Artificial Intelligence (AI) to Network Security]
/>
[Peddabachigari, S., Abraham, A., Grosan, C., & Thomas, J. Modeling intrusion detection system
using hybrid intelligent systems. Journal of network and computer applications, 30 (2007) 114-

132.
Mukkamala, S., Sung, A. H., & Abraham, A. Intrusion detection using an ensemble of
intelligent paradigms. Journal of network and computer applications, 28(2) (2005) 167-182.
Elshoush, H. T., & Osman, I. M. Alert correlation in collaborative intelligent intrusion detection
systems—A survey. Applied Soft Computing, 11 (2011) 4349-4365. Shenfield, A., Day, D., &
Ayesh, A. Intelligent intrusion detection systems using artificial neural networks. ICT Express,
4(2) (2018) 95-99. Lin, S. W., Ying, K. C., Lee, C. Y., & Lee, Z. J. An intelligent algorithm with
feature selection and decision rules applied to anomaly intrusion detection. Applied Soft
Computing, 12 (2012) 3285-3290. Saeed, A., Ahmadinia, A., Javed, A., & Larijani, H. Intelligent
intrusion detection in low-power IoTs. ACM Transactions on Internet Technology (TOIT), 16
(2016) 1-25. Depren, O., Topallar, M., Anarim, E., & Ciliz, M. K. An intelligent intrusion
detection system (IDS) for anomaly and misuse detection in computer networks. Expert systems
with Applications, 29 (2005) 713-722.]

19