<span class='text_page_counter'>(1)</span><div class='page_container' data-page=1>

<b>CẢNH BÁO AN NINH THÔNG MINH </b>
<b>ỨNG DỤNG HỆ MIỄN DỊCH NHÂN TẠO </b>

Vũ Văn Cảnh*, Hồng Tuấn Hảo

<i><b>Tóm tắt: Trong lĩnh vực bảo mật máy tính, cảnh báo an ninh, phát hiện xâm </b></i>

<i>nhập (ID) là một cơ chế tìm ra truy cập bất thường vào hệ thống mạng, máy tính </i>
<i>bằng cách phân tích các tương tác khác nhau. Các kỹ thuật ID hiện nay có tỷ lệ </i>
<i>phát hiện, cảnh báo an ninh nhầm khá lớn, do đó, cần có những giải pháp nhằm </i>
<i>giảm tỷ lệ cảnh báo nhầm. Các kỹ thuật tính tốn thơng minh đang được nghiên cứu </i>
<i>nhằm nâng cao tỷ lệ phát hiện và đưa ra cảnh báo chính xác. Đã có một số cơng </i>
<i>trình nghiên cứu về hệ thống miễn dịch nhân tạo (AIS), tuy nhiên, các nghiên cứu </i>
<i>này cơ bản thiên về khảo sát phương pháp tiếp cận dựa trên AIS. Ứng dụng AIS </i>
<i>trong ID hiện đang là hướng mới cho kỹ thuật phát hiện xâm nhập, cảnh báo an </i>
<i>ninh. Trong bài báo này, nhóm tác giả trình bày một số nội dung cơ bản của hệ </i>
<i>miễn dịch nhân tạo, các kết quả nghiên cứu ứng dụng hệ miễn dịch nhân tạo trong </i>
<i>việc phát hiện xâm nhập mạng được thực hiện tại Phịng thí nghiệm An ninh mạng - </i>
<i>Học viện Kỹ thuật quân sự. </i>

<b>Từ khóa: Học máy, Xâm nhập mạng, Phát hiện xâm nhập, Cảnh báo an ninh, Hệ miễn dịch nhân tạo. </b>

<b>1. GIỚI THIỆU </b>

Cùng với sự phát triển của mạng máy tính, vấn đề an ninh mạng cũng đang đối
mặt với những thách thức lớn, ngày càng có nhiều hành vi xâm nhập trái phép vào
hệ thống mạng nhằm phá hoại, ăn cắp thơng tin với nhiều hình thức khác nhau,
tinh vi hơn. Để giải quyết vấn đề này, nhiều kỹ thuật phát hiện xâm nhập mạng,
cảnh báo an ninh đã được nghiên cứu và ứng dụng, tuy nhiên, các kỹ thuật này
chưa có hiệu quả cao đối với các hình thức tấn công xâm nhập mới, ngày càng tinh
vi với nhiều biến thể khác nhau.

</div>
<span class='text_page_counter'>(2)</span><div class='page_container' data-page=2>

Detection System - NIDS) và hệ thống phát hiện xâm nhập dựa trên máy trạm
(Host-based Intrusion Detection System). Hiện nay, ID đang là một chủ đề nghiên
cứu được rất nhiều nhà nghiên cứu về bảo mật, an ninh mạng máy tính quan tâm,
phát triển.

Những năm gần đây, một số nghiên cứu đã áp dụng lý thuyết miễn dịch học cho
hệ thống phát hiện xâm nhập, các nghiên cứu này được gọi là hệ miễn dịch nhân
tạo (Artificial Immune System - AIS) [8]. Các nghiên cứu đã đóng góp đáng kể
vào sự phát triển của AIS, nhiều cơng trình liên quan đã được ứng dụng như phát
hiện gian lận [14], tối ưu hóa [9], học máy [3], robotics [13] và bảo mật máy tính
[12]. Hầu hết các nghiên cứu về IDS dựa trên AIS cơ bản chỉ dừng lại ở mức độ
đưa ra quan điểm sử dụng thuật toán và phát triển hệ thống. Trong nghiên cứu,
chúng tôi nghiên cứu một số khía cạnh của AIS ứng dụng trong phát hiện xâm
nhập mạng.

Phần cịn lại của bài báo, chúng tơi giới thiệu nền tảng AIS và mơ hình thiết kế
cho AIS. Hệ phát hiện xâm nhập được trình bày chi tiết trong phần 2. Phần 3 trình
bày về mơ hình AIS trong cảnh báo an ninh, thực nghiệm và kết quả sẽ được trình
bày trong phần 4. Một số nhận xét, kết luận và định hướng nghiên cứu tiếp theo
được trình bày trong phần 5.

<b>2. KIẾN THỨC NỀN TẢNG </b>
<b>2.1. Hệ miễn dịch sinh học </b>

Hệ miễn dịch là hệ thống sinh học bảo vệ cơ thể chống lại những tấn công liên
tục từ các sinh vật, tác động bên ngồi. Đây là mạng lưới vơ cùng phức tạp của các
tế bào, mô và các bộ phận giúp bảo vệ cơ thể khỏi các tác nhân xâm nhập như vi
khuẩn, virus, ký sinh trùng, cũng như các rối loạn của tế bào. Hệ miễn dịch tạo ra
các kháng thể và các tế bào đặc biệt để tấn công các sinh vật lạ thâm nhập cơ thể

sống. Một trong những hệ miễn dịch được truyền từ đời này sang đời kia theo di
truyền được gọi là hệ miễn dịch bẩm sinh, cơ thể ngay từ khi ra đời đã luôn ở trạng
thái sẵn sàng nhận diện, loại bỏ và tiêu diệt các vi sinh vật lạ. Bên cạnh đó, cùng
với sự phát triển của cơ thể sẽ tạo ra các hệ miễn dịch tham gia vào việc bảo vệ cơ
thể, được gọi là hệ miễn dịch thích nghi, có hiệu quả hơn trong việc bảo vệ cơ thể
chống lại các vi sinh vật mới.

</div>
<span class='text_page_counter'>(3)</span><div class='page_container' data-page=3>

<i>self (những tế bào của cơ thể tạo ra) và nonself (những tế bào lạ), đồng thời loại bỏ </i>

<i>các tế bào thuộc loại nonself. </i>

Hệ miễn dịch thực hiện cơ chế miễn dịch thơng qua 3 lớp được mơ tả trong hình 1.

<i><b>Hình 1. Các lớp của hệ miễn dịch sinh học. </b></i>

Khi các chất lạ xâm nhập vào cơ thể, các tế bào thực bào và kháng thể sẽ tiến
hành ngăn chặn (lớp vật lý), trường hợp các chất lạ là các vi sinh vật bình thường
sẽ bị ngăn chặn và giết chết. Trường hợp các vi sinh vật vượt qua lớp vật lý nó sẽ
bị ngăn chặn và đào thải ra khỏi cơ thể bởi lớp sinh hóa, trong lớp này chứa các
enzym có thể loại bỏ các kháng nguyên bởi các axit và nhiệt độ cơ thể. Một số sinh
vật có cấu trúc mạnh mẽ hơn, vượt qua 2 lớp bảo vệ trên sẽ đi sâu vào cơ thể, khi
này hệ thống miễn dịch bẩm sinh và miễn dịch thích nghi sẽ kích hoạt các cơ chết
bảo vệ để giết chết vi sinh vật xâm nhập.

<b>2.2. Hệ miễn dịch nhân tạo </b>

Hệ miễn dịch nhân tạo (AIS) lấy ý tưởng của hệ miễn dịch học thích nghi và
những chức năng, nguyên tắc, mô hình miễn dịch quan sát được, áp dụng để giải
các bài tốn thực tế [4]. AIS có phạm vi ứng dụng rất rộng rãi như nhận dạng mẫu,
an ninh máy tính, lập lịch, tìm kiếm tối ưu và điều khiển tự động.

</div>
<span class='text_page_counter'>(4)</span><div class='page_container' data-page=4>

đánh giá tương tác các cá thể với môi trường và các cá thể với nhau và các thủ tục
thích nghi điều khiển tính động của hệ thống, tức là làm cho hoạt động của hệ
thống thay đổi theo thời gian.

<i><b>Hình 2. Cấu trúc phân lớp của AIS. </b></i>

Hệ miễn dịch nhân tạo có thể được xây dựng theo cấu trúc phân lớp gồm 03 lớp
biểu diễn như hình 2.

Các lĩnh vực ứng dụng là cơ sở để xây dựng AIS, đối với mỗi lĩnh vực ứng
dụng sẽ quyết định các thành phần và cách thức biểu diễn, các thao tác khác nhau
trên AIS. Lời giải bài toán sẽ được cập nhật lại sau khi một quần thể mới được tạo
ra và đưa ra kết quả khi đạt được điều kiện kết thúc nào đó [15].

Lớp biểu diễn trong AIS bao gồm 2 thành phần quan trọng là kháng thể và
kháng nguyên. Trong lớp các phương pháp đánh giá độ thích nghi có thể sử dụng
nhiều phương pháp khác nhau như khoảng cách Hamming, Euclid và Mahattan.
Trong lớp các thuật toán miễn dịch có thể sử dụng các thuật tốn như chọn lọc tích
cực, chọn lọc tiêu cực, chọn lọc vơ tính... để điều chỉnh tính động của AIS [15].

</div>
<span class='text_page_counter'>(5)</span><div class='page_container' data-page=5>

<i><b>Hình 3. Kháng thể (Antibody) nhận diện kháng nguyên (Antigen) dựa vào phần bù. </b></i>

Mỗi kháng thể và kháng nguyên có thể coi như một chuỗi thuộc tính
trong khơng gian S với L chiều. Mỗi phần tử chính là một điểm
trong khơng gian S. Khơng mất tính tổng qt ta có thể giả sử kháng thể và kháng
nguyên có cùng độ dài là L. Tổng quát một kháng thể được biểu diễn bởi vector
và một kháng nguyên được biểu diễn bởi vector
; để xác định tương tác của các kháng thể với nhau và kháng
thể với kháng ngun có thể dùng cơng thức tính khoảng cách để đo độ thích hợp

của 2 phần tử.

Việc đánh giá tương tác giữa các phần tử dựa vào việc tính tốn khoảng cách

không gian Euclid và Mahattan để

đánh giá độ thích hợp giữa các thành phần của AIS trong không gian thực. Trong
không gian Hamming, các kháng nguyên và kháng thể được biểu diễn đưới dạng
dãy các ký hiệu trên tập hữu hạn k mẫu tự và việc đánh giá độ thích hợp giữa hai
chuỗi thuộc tính có độ dài L trong khơng gian Hamming, như sau:

<i>(1) </i>

Việc tính tốn khoảng cách ở trên khơng chỉ dùng để biểu diễn tương tác giữa
các kháng thể với kháng nguyên, mà cịn có thể dùng để biểu diễn sự tương tác của
kháng thể với kháng nguyên và được sử dụng để xác định tương tác giữa các phần
tử trong AIS. Bên cạnh đó trong các bài toán thường quy định một ngưỡng  để
xác định sự tương tác giữa các phần tử. Dựa vào ngưỡng này mà ta có thể xác định
được 2 phần tử có thể tương tác với nhau hay nhận diện được nhau.

<b>2.3. Hệ miễn dịch ứng dụng trong an ninh máy tính </b>

</div>
<span class='text_page_counter'>(6)</span><div class='page_container' data-page=6>

hiện, cảnh báo sớm các truy cập bất hợp pháp, đây là hướng nghiên cứu có nhiều
triển vọng trong tương lai [16].

<i><b>Bảng 1. Minh họa ánh xạ giữa các thành phần trong hệ miễn dịch sinh học với </b></i>
<i>kiến trúc mơi trường mạng máy tính. </i>

<b>Hệ miễn dịch sinh học </b> <b>Môi trường mạng </b>

Tế bào Tiến trình hoạt động trong một máy tính
Cơ quan đa bào Máy tính chạy đa tiến trình
Số lượng cơ quan Các máy tính trong mạng

Da và hệ miễn dịch bẩm sinh Mật khẩu, quyền truy cập file, truy cập nhóm
người dùng,…

Hệ miễn dịch thích nghi Một tiến trình có khả năng kiểm soạt các tiến
trình khác để phát hiện bất thường

Đáp ứng tự miễn dịch Cảnh báo

Self Hành vi bình thường

Nonself Hành vi bất thường

Trong hệ thống an ninh máy tính, xem xét sự thay đổi bất thường của dữ liệu
trong máy tính nhằm xác định máy tính có bị xâm nhập trái phép hay không để đưa
ra các cảnh báo. Thông thường, những sự thay đổi này là hành vi hay kết quả của
các cuộc tấn công vào hệ thống máy tính, thường tấn cơng từ mơi trường mạng.

<i><b>Bảng 2. Minh họa ánh xạ giữa các thành phần của hệ miễn dịch sinh học với quản </b></i>
<i>lý, điều hành trên máy tính. </i>

<b>Hệ miễn dịch </b> <b>Mơi trường máy tính </b>

Tế bào File dữ liệu

Cơ quan Tập hợp các file của chương trình

Da và hệ miễn dịch bẩm sinh Mật khẩu, quyền truy cập file, truy cập nhóm
người dùng,…

Hệ miễn dịch thích nghi Hệ miễn dịch nhân tạo (có khả năng kiểm soát và
phát hiện, cảnh báo những thay đổi của dữ liệu)

Đáp ứng tự miễn dịch Cảnh báo

Self Hành vi bình thường

Non-Self Hành vi bất thường

</div>
<span class='text_page_counter'>(7)</span><div class='page_container' data-page=7>

<b>3. MƠ HÌNH HỆ MIỄN DỊCH NHÂN TẠO TRONG </b>
<b>CẢNH BÁO AN NINH THƠNG MINH </b>

<b>3.1. Mơ hình AIS trong cảnh báo an ninh thông minh </b>

Trên cơ sở lý thuyết về hệ miễn dịch sinh học, hệ miễn dịch nhân tạo và các vấn
đề an ninh mạng, mơ hình AIS được xây dựng với mục đích phát hiện thay đổi bất
thường của dữ liệu (hình 3). Người quản trị hệ thống dựa vào các cảnh báo về sự
thay đổi dữ liệu cùng với các phương thức khác như phân tích log... để đưa ra kết
luận chính xác về sự thay đổi của dữ liệu, dựa vào kết quả phân tích mà người
quản trị có thể ngăn chặn ngay những hành vi bất hợp pháp.

<i><b>Hình 4. Mơ hình thiết kế hệ miễn dịch nhân tạo. </b></i>

Với mơ hình này, lĩnh vực ứng dụng nhằm mục đích theo dõi, phát hiện sự thay
đổi dữ liệu, làm cơ sở để người dùng kiểm tra phát hiện xâm nhập trái phép trước
khi có các rủi do lớn hơn có thể xảy ra, thông báo tới hệ thống an ninh mạng để
theo dõi và hoàn thiện giải pháp bảo vệ hệ thống. Các thành phần AIS được mô tả

trong bảng 3. Phương pháp đánh giá độ thích hợp theo quy tắc khớp R-Chunk
<i>(mục 3.3). Thuật toán miễn dịch theo thuật toán chọn lọc tiêu cực để phân biệt </i>

<i>self-nonself (mục 3.2). Lời giải của mơ hình là kết quả phát hiện dữ liệu có sự thay đổi </i>

hay khơng và gửi các thông điệp cảnh báo khi phát hiện sự bất thường của dữ liệu.

<i><b>Bảng 3. Mô tả ánh xạ thành phần hệ miễn dịch sinh học và AIS. </b></i>

<b>Hệ miễn dịch sinh học </b> <b>Hệ miễn dịch nhân tạo </b>

Kháng thể Bộ dị của chương trình

Kháng ngun Chuỗi bít rút ra từ file cần kiểm tra
Cơ quan thụ cảm Luật so khớp (R-chunk)

</div>

<!--links-->