Hệ Thống Phát Hiện Xâm Nhập Hai Tầng Cho Các Mạng Iot Sử Dụng Máy Học

1/ Thông tin bài báo

• Tên bài báo: HỆ THỐNG PHÁT HIỆN XÂM NHẬP HAI TẦNG CHO CÁC MẠNG IOT SỬ DỤNG MÁY HỌC
• Tác giả: Thái Minh Tuấn, Phạm Hoàng Hảo, Trần Thanh Nam
• Số trang: 43-50
• Năm: 2022
• Nơi xuất bản: Tạp chí Khoa học Trường Đại học Cần Thơ
• Từ khoá: An ninh mạng, hệ thống phát hiện xâm nhập, IoT, máy học

2/ Nội dung chính

Bài báo giới thiệu một hệ thống phát hiện xâm nhập hai tầng (two-tier intrusion detection system) được thiết kế đặc biệt cho các mạng Internet of Things (IoT), tận dụng các mô hình máy học. Tầng thứ nhất của hệ thống là một mô hình phân loại nhị phân gọn nhẹ, được triển khai trực tiếp trên gateway của các mạng IoT để phát hiện các hành vi độc hại theo thời gian thực. Tầng thứ hai là một mô hình phân loại đa lớp phức tạp hơn, được đặt trên máy chủ đám mây để phân loại các hành vi độc hại cụ thể và phát hiện các xâm nhập trên nhiều mạng IoT cùng lúc. Hệ thống này được đề xuất nhằm giải quyết các vấn đề an ninh mạng trong môi trường IoT, nơi các thiết bị thường có tài nguyên hạn chế và dễ bị tấn công. Bài báo nhấn mạnh sự cần thiết của việc bảo vệ các thiết bị IoT trước các cuộc tấn công mạng, do sự gia tăng về số lượng và tính đa dạng của chúng, đồng thời các biện pháp bảo mật truyền thống không còn hiệu quả. Nghiên cứu này cho thấy một hướng đi mới trong việc bảo vệ các hệ thống IoT bằng cách kết hợp giữa một giải pháp gọn nhẹ tại chỗ và một giải pháp mạnh mẽ hơn trên đám mây.

Hệ thống phát hiện xâm nhập hai tầng này được xây dựng dựa trên việc sử dụng các kỹ thuật máy học để phân tích dữ liệu mạng và xác định các dấu hiệu của tấn công. Tầng đầu tiên, được triển khai trên các gateway của mạng IoT, sử dụng một mô hình mạng nơ-ron đơn giản để phát hiện các hành vi độc hại một cách nhanh chóng. Mục tiêu chính của tầng này là đưa ra cảnh báo sớm về các mối đe dọa, do đó nó được thiết kế để có hiệu suất cao và yêu cầu tài nguyên thấp. Tầng thứ hai, đặt trên máy chủ đám mây, sử dụng các mô hình máy học phức tạp hơn như cây quyết định, Gaussian Naive Bayes và rừng ngẫu nhiên để phân loại chi tiết các loại tấn công khác nhau. Điều này cho phép hệ thống không chỉ phát hiện mà còn xác định được bản chất của các cuộc tấn công, cung cấp thông tin quan trọng cho việc ứng phó. Việc sử dụng một hệ thống hai tầng như vậy cho phép tận dụng ưu điểm của cả hai phương pháp, vừa đảm bảo khả năng phát hiện nhanh chóng vừa có thể phân tích sâu hơn về các cuộc tấn công.

Kết quả thực nghiệm cho thấy hệ thống đề xuất có khả năng phát hiện các hành vi xâm nhập tốt hơn so với Snort, một hệ thống phát hiện xâm nhập dựa trên chữ ký truyền thống, đặc biệt là trong các trường hợp các tham số tấn công bị điều chỉnh. Điều này chứng tỏ hệ thống máy học có thể hoạt động hiệu quả hơn trong việc nhận biết các hành vi bất thường. Các kết quả cũng cho thấy hệ thống có thể hoạt động mà không gây ảnh hưởng lớn đến trải nghiệm người dùng và không cần các thiết bị phần cứng chuyên dụng. Bài báo cũng chỉ ra các hướng phát triển tiếp theo, bao gồm thu thập thêm dữ liệu để huấn luyện mô hình, xử lý vấn đề mất cân bằng dữ liệu và thử nghiệm trên quy mô lớn hơn với các loại tấn công phức tạp hơn. Những cải tiến này sẽ giúp nâng cao hiệu quả và khả năng ứng dụng của hệ thống trong thực tế, đặc biệt là trong các môi trường IoT ngày càng phức tạp và đa dạng.