Giải pháp tích hợp mô hình phát hiện tấn công Dos dựa trên học máy vào hệ thống ZABBIX

15:00 | 01/03/2022 | GP ATM

Bản thân hệ thống Zabbix đã có cơ chế phát hiện bất thường và đưa ra cảnh báo cho người dùng. Zabbix có thế mạnh trong việc thu thập dữ liệu, tuy nhiên, phân loại các sự cố hay các cuộc tấn công vào hệ thống thì chỉ dựa vào một số tập luật có sẵn trong Zabbix để đưa ra cảnh báo là không đủ. Xu hướng hiện nay là kết hợp hệ thống thu thập thông tin vào trong học máy, học sâu để đưa ra kết quả phát hiện tấn công hiệu quả.

GIỚI THIỆU

Những năm gần đây, trong bài toán phân lớp học máy được sử dụng rộng rãi. Ưu điểm của các mô hình học máy là sử dụng các thuật toán để có thể giúp máy tính toán từ đó đưa ra kết quả. Mặc dù tốc độ xử lý của máy tính ngày càng cao nhưng một số mô hình học máy cũ không còn thích hợp để xử lý các bài toán có dữ liệu lớn và phức tạp ngày nay như mô hình DT, Random Forest, SVM,... Do đó, những năm gần đây đã nổi lên một số mô hình, điển hình là các mô hình học sâu như DNN, CNN, LSTM,...

Tất cả các mô hình học máy và học sâu đều cần có dữ liệu đầu vào tốt gọi là các đặc trưng đầu vào. Nếu các đặc trưng được đưa vào tốt thì quá trình phát hiện và phân lớp theo mô hình sẽ đạt kết quả cao. Một trong các mô hình học sâu là CNN, cho phép huấn luyện tốt với các đặc trưng thô do bản thân bên trong mô hình CNN sử dụng các lớp tích chập chính là các lớp giúp cho tinh chỉnh các đặc trưng đầu vào. Vì vậy sử dụng CNN nói riêng và các mô hình học sâu nói chung cho kết quả phân lớp chính xác cao hơn các mô hình học máy bình thường.

Mô hình CNN ban đầu được đề xuất cho bài toán phân lớp ảnh. Do dung lượng ảnh đầu vào ngày càng nặng (gồm nhiều pixel ảnh HD, Full HD, 4K, 8K,…), nên việc trích chọn các đặc trưng tốt trong ảnh một cách thủ công là rất khó khăn. Như đã nói, bản thân CNN đã có các lớp tích chập giúp cho việc chắt lọc thông tin từ các đặc trưng thô ban đầu nên mô hình CNN rất hiệu quả với các bài toán có dữ liệu đầu vào lớn (Big Data). Hiện nay, ngoài phân lớp ảnh thì mô hình CNN đã được sử dụng rộng rãi trong các bài toán phân lớp khác như chữ viết, âm thanh, mã độc, gợi ý mua hàng, tấn công DoS,...

Trong những năm gần đây, các nghiên cứu áp dụng học máy, học sâu trong an toàn thông tin ngày càng được nhiều nhóm quan tâm. Điển hình như các nghiên cứu về phát hiện các cuộc tấn công mạng, đặc biệt là cuộc tấn công vào các hệ thống IoT như phát hiện dấu hiệu bất thường, phát hiện tấn công Botnet, phát hiện phần mềm độc hại [3], phát hiện xâm nhập. Phân lớp và phát hiện mã độc trên di động [5] và PC [6].

Việc thu thập dữ liệu đầu vào rất quan trọng, đặc biệt là trong việc theo dõi các thông tin trên Internet. Trên Internet có rất nhiều thông tin yêu cầu tới server, cụm server vì vậy rất khó để phân định được yêu cầu với những tham số nào là an toàn. Do đó, ý tưởng được đưa ra là ta sẽ thu thập tất cả các dữ liệu thu được (có thể xử lý trước hoặc không), sau đó đưa vào mô hình học máy học sâu để phân loại các cuộc tấn công.

Một số hệ thống thu thập dữ liệu hiệu quả như: Solarwinds Network, PRTG Network, Dynatrace, Pandora FMS, ConnectWise, Nagios XI, WhatsUp Gold, Zenoss core, Zabbix,... Trong nội dung nghiên cứu này, nhóm tác giả sử dụng hệ thống Zabbix để thu thập dữ liệu và đưa ra cảnh báo. Các phần tiếp theo nhóm tác giả sẽ trình bày cụ thể về giải pháp cũng như việc đưa ra cách thức tích hợp mô hình CNN vào hệ thống Zabbix.

GIẢI PHÁP ĐỀ XUẤT

Mô hình hệ thống phát hiện tấn công mạng dựa trên học máy/học sâu

Hiện nay, các kỹ thuật tấn công mạng ngày càng đa dạng. Các phương pháp phát hiện tấn công mạng trước đây đã cho thấy không còn phù hợp và hiệu quả. Ví dụ như: Phát hiện dựa vào mẫu, dựa vào dấu hiệu, dựa trên bất thường,… Để cải thiện độ chính xác của hệ thống tấn công mạng, nhóm tác giả đề xuất một phương pháp phát hiện tấn công dựa trên học máy/học sâu với mô hình tổng thể được thể hiện trên Hình 1.

Giải pháp tích hợp mô hình phát hiện tấn công Dos dựa trên học máy vào hệ thống ZABBIX

Hình 1. Mô hình tổng thể phát hiện tấn công DoS dựa trên học máy/học sâu

Phương pháp phát hiện tấn công DoS sử dụng mô hình học máy/học sâu bao gồm hai giai đoạn:

Giai đoạn 1: Huấn luyện mô hình cho việc học và phân loại đặc trưng. Việc huấn luyện mô hình học các đặc trưng được thực hiện bằng phương pháp có giám sát hoặc không giám sát. Mô hình học các đặc trưng được huấn luyện phù hợp có thể được áp dụng trực tiếp để tìm hiểu đặc trưng của dữ liệu mới. Xử lý trước dữ liệu trong giai đoạn này mục đích để chuẩn hóa dữ liệu đầu vào, cũng như kiểu dữ liệu chuyển đổi.

Giai đoạn 2: Phát hiện các tấn công DoS. Đầu tiên xử lý trước dữ liệu đầu vào, và sau đó mô hình học các đặc tính được huấn luyện trong giai đoạn đầu tiên được sử dụng để tìm hiểu các đặc trưng của dữ liệu. Cuối cùng, các đặc trưng này được nhập vào trình phân loại để phân loại phương pháp tấn DoS theo các nhãn cho trước.

Quá trình huấn luyện sử dụng mô hình học máy/học sâu:

Thứ nhất, mạng lưới huấn luyện bằng phương pháp huấn luyện không giám sát/có giám sát.

Thứ hai, sắp xếp các lớp đã được khởi tạo để tạo thành một mạng lưới nhiều lớp. Cuối cùng, tinh chỉnh mạng lưới được huấn luyện này để có được mô hình học đặc trưng tốt nhất.

Mô hình phát hiện tấn công dựa trên học sâu dùng CNN

CNN là các phương pháp học sâu có giám sát mạnh mẽ với hiệu suất cạnh tranh cao. Với CNN, khả năng mở rộng của mạng được tăng lên và độ phức tạp về thời gian huấn luyện của chúng được cải thiện so với mô hình ANN truyền thống. CNN có ứng dụng tiềm năng trong bảo mật IoT, phát hiện tấn công mạng,... vì có thể tự động học các đặc trưng từ dữ liệu bảo mật thô.

Phát hiện tấn công dựa trên mô hình mạng CNN được thể hiện như Hình 2. Trong Hình 2 cho ta cái nhìn tổng quan về kiến trúc CNN và quá trình huấn luyện trong mô hình CNN.

Hình 2. Tổng quan về kiến trúc CNN

TÍCH HỢP MÔ HÌNH VÀO ZABBIX

Các thành phần của Zabbix

Hệ thống Zabbix gồm các thành phần cơ bản sau (Hình 3):

Zabbix server: Đây là thành phần trung tâm của phần mềm Zabbix. Server có thể kiểm tra các dịch vụ mạng từ xa (web server và mail server). Agent sẽ báo cáo toàn bộ thông tin và số lượng thống kê cho server. Server sẽ lưu trữ tất cả cấu hình và dữ liệu thống kê.

Zabbix proxy: Proxy là phần tuỳ chọn của Zabbix. Proxy sẽ thu nhận dữ liệu, lưu trong bộ nhớ đệm và được chuyển đến Zabbix server. Zabbix Proxy là một giải pháp lý tưởng cho một giám sát tập trung của địa điểm từ xa, chi nhánh, mạng lưới không có các quản trị viên địa phương. Zabbix proxy cũng có thể được sử dụng để phân phối tải của một đơn Zabbix Server.

Hình 3. Tổng quan mô hình giám sát Zabbix

Zabbix agent: Để giám chủ động giám sát các thiết bị cục bộ và các ứng dụng (ổ cứng, bộ nhớ, bộ xử lý số liệu thống kê,…) trên hệ thống mạng, các hệ thống phải chạy Zabbix Agent. Agent sẽ thu thập thông tin hoạt động từ hệ thống mà nó đang chạy và báo cáo dữ liệu này đến Zabbix server để xử lý tiếp. Trong trường hợp lỗi (ổ cứng đầy hoặc dịch vụ của một quá trình chết), các Zabbix server báo cho quản trị viên sự cố này.

Web interface: Để dễ dàng truy cập dữ liệu theo dõi và sau đó cấu hình Zabbix từ bất cứ giao diện web cung cấp. Giao diện là một phần của Zabbix server và thường chạy trên các máy vật lý giống như đang chạy một trong các Zabbix server.
Cơ chế hoạt động và tính năng của Zabbix:

Zabbix giám sát các thiết bị qua Zabbix agent hoặc qua các giao thức SNMP,... Cơ chế hoạt động của Zabbix được mô tả như trong Hình 4.

Các Agent (thiết bị mạng hay server được cài đặt SNMP hay Zabbix agent) sẽ gửi các event liên quan tới thiết bị mạng, máy chủ Zabbix server. Zabbix server làm nhiệm vụ phân tích số liệu thu thập được và dựa vào các trigger do người quản trị hệ thống thiết lập mà quyết định đưa ra các cảnh báo theo mức độ khác nhau (Critical, warning, information,...). Có thể sử dụng nhiều hình thức cảnh báo khác nhau như gửi SMS, email,...

Cách thức hoạt động của Zabbix rất linh hoạt, hệ thống có thể được cấu hình để theo dõi, giám sát thiết bị mạng, máy chủ theo cách ta muốn. Nó cũng có một cơ chế để tự động phản ứng với các vấn đề và là một hệ thống cảnh báo mạnh. Các tính năng này đều được dựa trên một hệ thống định nghĩa các đối tượng rõ ràng.

Phương pháp phát hiện bất thường hiện tại trong Zabbix

Hiện tại, Zabbix sử dụng các module và các luật sẵn có trong hệ thống để phát hiện bất thường. Bản thân Zabbix được phát triển theo các module, việc kiểm soát hệ thống theo module được biểu diễn như Hình 4.

Hình 4. Thiết kế dạng mô-đun trong Zabbix

Trong đó, để có thể phát hiện tấn công, Zabbix sử dụng Module Metric Collection để thu thập số liệu từ bất kỳ thiết bị, hệ thống, ứng dụng với các phương pháp thu thu thập số liệu gồm Multi-platform Zabbix agent, SNMP và IPMI agent, giám sát dịch vụ người dùng và cho phép tuỳ chỉnh, tính toán và tổng hợp, giám sát website của người dùng cuối.

Module Problem Detection dùng để phát hiện trạng thái sự cố trong luồng chỉ số đầu vào tự động và Module Notification and Remediaiton để thông báo cho người dùng chịu trách nhiệm về các sự kiện đã xảy ra bằng nhiều kênh và tuỳ chọn khác nhau.

Như vậy, bản thân hệ thống Zabbix đã có cơ chế phát hiện bất thường và đưa ra cảnh báo cho người dùng. Tuy nhiên, Zabbix chỉ mạnh trong vấn đề thu thập dữ liệu còn phân loại các sự cố hay các cuộc tấn công vào hệ thống thì chỉ dựa vào một số tập luật có sẵn trong Zabbix để đưa ra cảnh báo là không đủ. Xu hướng hiện nay là kết hợp hệ thống thu thập thông tin vào trong học máy, học sâu để đưa ra kết quả phát hiện tấn công hiệu quả.

Tích hợp môi hình phát hiện tấn công dựa trên học sâu (CNN) vào Zabbix

Mô hình CNN trong bài toán phát hiện tấn công DoS ứng dụng vào Zabbix với mô hình tổng thể như Hình 5:

Trong đó, các bước thực hiện được thể hiện như sau:

(1) Trích xuất đặc trưng: Từ tập dữ liệu của Zabbix system log thực hiện trích xuất, chọn lọc đặc trưng để thu được bộ dữ liệu với tập đặc trưng gốc.

(2) Phát triển tập đặc trưng: Có thể kết hợp các đặc trưng; suy diễn đặc trưng mới để thu được tập đặc trưng cải tiến nhằm nâng cao hiệu quả cho bài toán phát hiện tấn công.

(3) Lựa chọn, cải tiến cấu trúc mô hình CNN nhằm nâng cao hiệu quả trong bài toán phát hiện tấn công DoS.

(4) Sử dụng bộ tham số (weight set) thu được sau pha huấn luyện để thực hiện phân loại tấn công DoS cho từng mẫu dữ liệu thu thập được từ system log.

Hình 5. Mô hình tổng thể sử dụng CNN cho Zabbix

KẾT LUẬN

Bài báo trình bày giải pháp và ý tưởng xây dựng mô hình mạng nơ-ron sâu với CNN để tự động tìm hiểu các đặc tính của dữ liệu trước khi phát hiện tấn công. Các đặc trưng được học từ mạng lưới này có thể làm tăng khả năng phân biệt các loại tấn công DoS khác nhau. Mô hình mạng nơ-ron thực chất là học không giám sát, học cách biểu diễn cho một tập các dữ liệu thông thường với mục đích giảm chiều dữ liệu, giúp dự đoán đầu ra từ một đầu vào ban đầu, với lớp ẩn học số node nhỏ hơn node đầu vào.

Bằng cách xây dựng mạng nơ-ron “sâu” với lớp đầu vào, lớp đầu ra và lớp tích chập, các đặc trưng của dữ liệu gốc được trích xuất tự động từ lớp dưới lên đến lớp trên cùng. Sau đó, các thuộc tính này được sử dụng như là đầu vào của bất kỳ thuật toán phát hiện tấn công nào hiện tại.

TÀI LIỆU THAM KHẢO

1. DDoS Attack on Dyn (2016).

2. Morteza Safaei Pour and et al, Data-driven Curation, Learning and Analysis for Inferring Evolving IoT Botnets in the Wild, Conference Paper, August 2019.

3. L.Đ. Thuan, P.V. Huong, L.T.H. Van, HQ. Cuong, H.V. Hiep, N.K. Khanh, Android Malware Detection Based on Deep Learning Using Convolutional Neural Network, tạp chí nghiên cứu khoa học và công nghệ quân sự, 8/2019, ISSN 1859 – 1043.

4. Pham Van Huong, Le Duc Thuan, Le Thi Hong Van, Dang Viet Hung, Intrusion Detection in IoT Systems Based on Deep Learning Using Convolutional Neural Network, 6th NAFOSTED Conference on Information and Computer Science (NICS), 12/2019.

5. D. Alazab and et al, Imcfn: Image–based malware classification using fine–tuned convolutional neural network architecture. Computer Networks 171 (2020).

6. Shiva Darshan and et al, Windows malware detector using convolutional neural network based on visualization images. IEEE in Computing 9(2), 1057–1069 (2021).

ThS. Lê Đức Thuận, ThS. Võ Văn Hoàng, Nguyễn Xuân Hưởng

‹ › ×

Tin liên quan

Xây dựng cơ chế tự phòng chống tấn công DoS trong mạng Openflow/SDN

09:00 | 06/03/2015

Mạng định nghĩa bằng phần mềm (SDN) cùng giao thức Openflow đang trở thành xu thế công nghệ của tương lai, với nhiều tính năng ưu việt về khả năng quản lý, tính linh hoạt và hiệu năng cao, chi phí thấp. Tuy nhiên, vấn đề đảm bảo an toàn thông tin cho hệ thống mạng này vẫn là một thách thức không nhỏ khi triển khai thực tế. Bài viết giới thiệu giải pháp xây dựng cơ chế tự phòng chống tấn công từ chối dịch vụ trong mạng Openflow/SDN như một phương án khả thi trong quá trình triển khai vận hành hệ thống.

Xây dựng hệ thống phát hiện xâm nhập bất thường dựa trên lưu lượng mạng ứng dụng công nghệ học máy

14:00 | 11/09/2024

Ngày nay, các cuộc tấn công mạng ngày càng trở nên phức tạp và tinh vi hơn, các giải pháp bảo đảm an toàn thông tin, an ninh mạng truyền thống đòi hỏi duy trì một lượng lớn dữ liệu về các dấu hiệu xâm nhập, các quy tắc và phải cập nhật thường xuyên khi có bất kỳ hình thức hoặc kỹ thuật tấn công mới nào xuất hiện. Tính tự động hóa trong việc này vẫn còn nhiều hạn chế. Trong bài báo này, nhóm tác giả sẽ trình bày một giải pháp sử dụng ưu điểm vượt trội của công nghệ học máy để dự đoán các truy cập bất thường cụ thể là các cuộc tấn công Dos/DDos, PortScan, Web Attack, Brute Force… từ đó đưa ra các cảnh báo kịp thời và chính xác.

Giao thức trao đổi khóa và khả năng chống tấn công DoS

15:34 | 05/04/2010

Giao thức trao đổi khóa xác thực kèm xác nhận khóa (AKAKC – Authenticated Key Agreement with Key Confirmation) có khả năng chống lại tấn công từ chối dịch vụ (DoS) đã được đề cập trong một số tài liệu [3]. Bài viết này phân tích và làm sáng tỏ một số tính chất của giao thức AKAKC như chống tấn công DoS, xác thực khóa hai chiều, xác nhận khóa hai chiều và tính an toàn đầy đủ hai phía (PFS).

Tin cùng chuyên mục

Cách phát hiện và ngăn chặn các chương trình Keylogger

14:00 | 11/09/2024

Keylogger là phần cứng hoặc phần mềm có khả năng theo dõi tất cả các hoạt động thao tác nhập bàn phím, trong đó có các thông tin nhạy cảm như tên người dùng, mật khẩu thẻ tín dụng, thẻ ngân hàng, tài khoản mạng xã hội hay các thông tin cá nhân khác. Keylogger thậm chí có thể ghi lại các hành động gõ phím từ bàn phím ảo, bao gồm các phím số và ký tự đặc biệt. Bài báo sẽ hướng dẫn độc giả cách thức phát hiện và một số biện pháp kiểm tra, ngăn chặn các chương trình Keylogger nhằm bảo vệ máy tính trước mối đe dọa nguy hiểm này.

Phương pháp dự đoán và chủ động trong bảo mật trí tuệ nhân tạo

08:00 | 15/03/2024

Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.

Học sâu và ứng dụng phương pháp học sâu có đảm bảo tính riêng tư?

17:00 | 18/12/2023

Ngày nay, Trí tuệ nhân tạo (AI) hiện diện trong mọi lĩnh vực của đời sống con người, từ kinh tế, giáo dục, y khoa cho đến những công việc nhà, giải trí hay thậm chí là trong quân sự. Học máy là một ứng dụng của trí tuệ nhân tạo cung cấp cho các hệ thống khả năng tự động học hỏi và cải thiện từ kinh nghiệm mà không cần lập trình rõ ràng. Học máy tập trung vào việc phát triển các chương trình máy tính có thể truy cập dữ liệu và sử dụng nó để tự học. Do đó, vấn đề đảm bảo tính riêng tư trong ứng dụng phương pháp học sâu đang là một vấn đề được quan tâm hiện nay.

Meta triển khai mã hóa đầu cuối mặc định trên Facebook Messenger

10:00 | 13/12/2023

Meta đã chính thức triển khai hỗ trợ mã hóa đầu cuối - End-to-end encryption (E2EE) trong ứng dụng Messenger cho các cuộc gọi và tin nhắn cá nhân theo mặc định trong bản cập nhật mới lần này, bên cạnh một số bộ tính năng mới cho phép người dùng có thể kiểm soát và thao tác dễ dàng và hiệu quả hơn trong các cuộc trò chuyện.

Tin được quan tâm

Rò rỉ kênh kề trên điện thoại thông minh khi thực hiện mã hóa RSA

14:00 | 11/09/2024|Công nghệ PKI
Giải pháp di động hóa ứng dụng sử dụng trong mạng chuyên dùng có yếu tố bảo mật

11:00 | 03/09/2024|GP ATM

Kỹ thuật DNS Tunneling

08:00 | 26/08/2024|GP ATM
Top 5 dịch vụ lưu trữ email tốt nhất năm 2024

10:00 | 19/08/2024|Tin tức sản phẩm

GP Mật mã

Rò rỉ kênh kề trên điện thoại thông minh khi thực hiện mã hóa RSA

Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.

14:00 | 11/09/2024
Khoa học mật mã Việt Nam: Khẳng định vị thế, vươn tầm quốc tế
Thừa Thiên Huế đẩy mạnh triển khai đồng bộ, toàn diện các giải pháp, sản phẩm bảo mật, an toàn thông tin
Một số khuyến nghị về việc sử dụng an toàn lược đồ ký số dựa trên đường cong Elliptic

Giải pháp khác

5G - Chìa khóa đi tới Công nghiệp 4.0

Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.

13:00 | 22/10/2024
Ransomware: Phòng ngừa và giảm thiểu (Phần I)
Tấn công phân tích RAM và các biện pháp bảo vệ dữ liệu
Discord triển khai mã hóa đầu cuối cho tính năng cuộc gọi âm thanh và video