Tạp chí Khoa học Trường Đại học Cần Thơ Tập 58, Số 2A (2022): 43-50 DOI:10.22144/ctu.jvn.2022.035 HỆ THỐNG PHÁT HIỆN XÂM NHẬP HAI TẦNG CHO CÁC MẠNG IOT SỬ DỤNG MÁY HỌC Thái Minh Tuấn1*, Phạm Hoàng Hảo2 Trần Thanh Nam3 Khoa Công nghệ Thông tin Truyền thông, Trường Đại học Cần Thơ Sinh viên ngành Công nghệ Thơng tin - Chương trình chất lượng cao - Khóa 42 Học viên thạc sĩ ngành Hệ thống thông tin - Khóa 25 *Người chịu trách nhiệm viết: Thái Minh Tuấn (email: minhtuan@ctu.edu.vn) Thông tin chung: Ngày nhận bài: 17/09/2021 Ngày nhận sửa: 16/11/2021 Ngày duyệt đăng: 22/04/2022 Title: A two-tier intrusion detection system for IoT networks using machine learning Từ khóa: An ninh mạng, hệ thống phát xâm nhập, IoT, máy học Keywords: Cyber security, IDS, IoT, machine learning ABSTRACT Due to the increasing popularity and lack of security standards, Internet of Things (IoT) devices have become the targets of malicious activities such as intrusions and DoS attacks With the aim of providing a solution for securing such devices, this paper introduces a two-tier intrusion detection system that applies machine learning models The first tier of the proposed solution is a lightweight binary model, implemented in a gateway of an IoT network to detect intrusions and attacks in real-time The second tier is a complicated multi-class classification model, located on a remote cloud server, to classify malicious activities and detect intrusions and attacks which occur on multi-networks The experimental results display that the proposed solution can detect malicious activities using modified parameters more efficiently than Snort, which is a traditional signature-based IDS TÓM TẮT Do phổ biến ngày tăng thiếu tiêu chuẩn bảo mật, thiết bị Internet of Things (IoT) trở thành mục tiêu hoạt động độc hại xâm nhập mạng công DoS Với mục đích cung cấp giải pháp an ninh cho thiết bị IoT, hệ thống phát xâm nhập hai tầng áp dụng mô hình máy học giới thiệu viết Tầng thứ giải pháp mơ hình phân loại nhị phân gọn nhẹ, cài đặt gateway nhánh mạng IoT để phát hành vi độc hại thời gian thực Tầng thứ hai mơ hình phân loại đa lớp, triển khai máy chủ đám mây để xác định loại cụ thể hoạt động độc hại xảy nhiều nhánh mạng lúc Kết thực nghiệm cho thấy giải pháp đề xuất hoạt động hiệu quả, phát hành vi công sử dụng tham số tùy biến hiệu so với công cụ IDS truyền thống Snort Do đặc điểm thiết kế nên hệ thống IoT thường dễ bị tổn thương công qui mô nhỏ Thiệt hại kinh tế công xâm nhập mang lại lớn Vì số lượng, đặc điểm tính khơng đồng GIỚI THIỆU Sự phổ biến ngày tăng theo cấp số nhân thiết bị Internet of Things (IoT) khiến chúng trở thành mục tiêu thường xuyên công xâm nhập mạng (Vinayakumar et al., 2019) 43 Tạp chí Khoa học Trường Đại học Cần Thơ Tập 58, Số 2A (2022): 43-50 thiết bị IoT nên việc đảm bảo an ninh cho chúng phương pháp truyền thống không phù hợp Thật vậy, thiết bị có thời gian hỗ trợ nâng cấp (nếu có) từ nhà sản xuất ngắn Ngồi ra, chúng khơng khả thi để cài đặt giải pháp an ninh đầu cuối (endpoint security solution), ví dụ tường lửa hay chương trình chống mã độc, lên thiết bị hạn chế phần cứng phần mềm chúng Những phân tích cho thấy việc đề xuất xây dựng giải pháp phù hợp hiệu để phát hình thức cơng xâm nhập mạng cho hệ thống IoT cấp thiết Nhằm giải hạn chế giải pháp tại, nghiên cứu thiết kế cài đặt hệ thống phát xâm nhập hai tầng, phù hợp hoạt động hiệu cho mạng thiết bị IoT Như mơ tả Hình 1, tầng hệ thống cài đặt gateway nhánh mạng IoT, bắt trích xuất thông tin liệu mạng thô đến tới nhánh mạng Sau đó, thơng tin chuyển đến mơ hình mạng nơ-ron nhân tạo lớp đơn giản để phát cảnh báo hành vi xâm nhập thời gian thực Mô hình thiết kế gọn nhẹ chi phí thấp để triển khai IoT gateway Tầng thứ hai hệ thống triển khai máy chủ đám mây xa, sử dụng mơ hình máy học phức tạp Cây định (Decision tree), Gaussian naïve bayes Rừng ngẫu nhiên (Random forest) để xác định thông tin cụ thể loại hành vi cơng mạng Ngồi ra, tầng hoạt động giải pháp dự phòng cho tầng hướng tới phát hành vi độc hại dựa thông tin thu thập nhiều mạng IoT lúc Các giải pháp phát xâm nhập mức mạng (network-based intrusion detection system - NIDS) truyền thống Snort Suricata, cách phân tích đặc điểm liệu mạng (traffic signature) tỏ hiệu việc phát hình thức cơng xâm nhập biết (Albin et al., 2012) Tuy nhiên, chúng lại tỏ hiệu nhận biết hình thức cơng điều chỉnh từ hình thức cũ (Mishra et al., 2019) Thời gian qua có số nghiên cứu (Mafra et al., 2010; Vinayakumar et al., 2019) áp dụng kỹ thuật máy học với mục đích nâng cao hiệu khắc phục nhược điểm giải pháp IDS truyền thống Tuy nhiên, giải pháp yêu cầu phải triển khai thiết bị có yêu cầu phần cứng phần mềm cao, nên không phù hợp cho môi trường IoT Hệ thống đề xuất cài đặt triển khai kiểm thử môi trường thực nghiệm cục Kết thực nghiệm ban đầu cho thấy hệ thống đề xuất hoạt động hiệu có tỉ lệ phát hành vi công xâm nhập sử dụng tham số tùy biến cao so với Snort, công cụ IDS truyền thống hoạt động dựa nguy biết Hình Hệ thống phát xâm nhập tầng cho mạng IoT CÁC NGHIÊN CỨU LIÊN QUAN xâm nhập IDS Trong thực tế, IDS thường kết hợp với công cụ giám sát, tường lửa, chương trình phát mã độc, để tạo thành giải pháp Một phương pháp phổ biến để đảm bảo an ninh mạng sử dụng hệ thống phát 44 Tạp chí Khoa học Trường Đại học Cần Thơ Tập 58, Số 2A (2022): 43-50 bảo mật hoàn chỉnh cho hệ thống cơng nghệ thơng tin Các hệ thống IDS triển khai theo hai mơ hình bao gồm: Network-based (NIDS) cài đặt thiết bị mạng giám sát toàn nhánh mạng; Host-based (HIDS) cài đặt trực tiếp máy chủ vùng DMZ Security service Trong đó, Security gateway có trách nhiệm theo dõi thiết bị nhánh mạng phát hành vi bất thường nhánh mạng Trong đó, Security service tích hợp mơ hình phát xâm nhập từ Security gateway để đảm bảo an ninh toàn hệ thống Tương tự, giải pháp IoT Keeper (Hafeez et al., 2018) bao gồm hai tầng: Keeper gateway lọc liệu mạng độc hại nhánh mạng sử dụng giải thuật máy học bán giám sát Keeper service có vai trị hỗ trợ dự phịng cho Keeper gateway Qua khảo sát nghiên cứu liên quan, khẳng định phương pháp triển khai IDS IoT gateway kết hợp với tầng dự phòng xa xem giải pháp an ninh phù hợp cho môi trường IoT Các giải pháp IDS truyền thống Snort Suricata hoạt động dựa dấu hiệu đặc biệt nguy biết (Signature-based IDS), dựa so sánh lưu thông mạng với baseline (thông số đo đạt chuẩn hệ thống chấp nhận thời điểm tại) để tìm dấu hiệu khác thường (Anomaly-based IDS) nhằm phát hoạt động xâm nhập trái phép vào hệ thống (Hall et al., 2005) Mặc dù hiệu việc phát hình cơng biết triển khai thực tiễn; nhiên, hệ thống đề cập lại tỏ xác có tỷ lệ báo động giả (false positive) cao việc phát hình thức cơng tùy biến từ hình thức cũ (Mishra et al., 2019) THIẾT KẾ VÀ CÀI ĐẶT HỆ THỐNG 3.1 Tổng quan thiết kế hệ thống Hình mơ tả thiết kế hệ thống phát xâm nhập mạng tầng cho mạng thiết bị IoT đề xuất báo Tầng hệ thống mơ hình máy học đơn giản cài đặt gateway mạng IoT với mục đích phát hành vi xâm nhập thời gian thực Như giới thiệu, tầng thiết kế gọn nhẹ chi phí thấp để triển khai IoT gateway, vốn hạn chế khả phần cứng phần mềm Tầng thứ hai mơ hình máy học phức tạp chạy máy chủ đám mây xa, sử dụng để phân loại hành vi công xâm nhập xảy nhiều mạng IoT lúc Trong phạm vi nghiên cứu này, thiết bị IoT giao tiếp qua nối kết không dây, hệ thống đề xuất hỗ trợ phát hành vi độc hại thực nối kết chế độ sở hạ tầng (Infrastructure mode) Đã có số nghiên cứu áp dụng tiếp cận máy học nhằm nâng cao độ xác khắc phục nhược điểm giải pháp IDS truyền thống Vinayakumar et al (2019) áp dụng mạng nơron sâu (DNN) để phát công xâm nhập mạng không lường trước Nghiên cứu (Mafra et al., 2010) trình bày mơ hình máy học vector hỗ trợ SVM phát hành vi bất thường, áp dụng hệ thống phát xâm nhập có tên gọi Octopus-IIDS Kết thực nghiệm nghiên cứu cho thấy hệ thống có tỉ lệ phát cao giảm tỷ lệ false positive Nhìn chung, nghiên cứu đề cập (Mafra et al., 2010; Mishra et al., 2019; Vinayakumar et al., 2019) nhận định việc áp dụng kỹ thuật máy học nâng cao hiệu hệ thống phát xâm nhập mạng Tuy nhiên, nghiên cứu đưa giải pháp cho hệ thống mạng máy tính thiết bị di động truyền thống Trong hệ thống đề xuất, mô-đun Theo dõi mạng cài đặt gateway bắt trích xuất thuộc tính gói tin mạng thơ đến tới nhánh mạng Sau đó, mơ-đun Trích xuất đặc trưng Tầng chuyển đổi liệu thô sang đặc trưng định dạng phù hợp gửi đến mô-đun Phân loại nhị phân để phát có hành vi độc hại hay không Tương tự, mô-đun Trích xuất đặc trưng Tầng tạo đặc trưng từ thông tin gửi từ mô-đun Theo dõi mạng Tầng Các đặc trưng gửi đến mô-đun Phân loại đa lớp để xác định loại cụ thể hành vi độc hại Khi hành vi công xâm nhập mạng phát hiện, hệ thống đưa cảnh báo người dùng nguy có Trong năm gần đây, phổ biến thiết bị IoT, kèm với nguy công xâm nhập thiết bị có số nghiên cứu thực nhằm đưa giải pháp an ninh cho mơi trường IoT Trong đó, Eskandari et al (2020) giới thiệu giải pháp IDS triển khai IoT gateway bảo vệ thiết bị nối kết trực tiếp vào Nhóm tác giả Nguyen et al (2019) giới thiệu giải pháp có tên DioT, bao gồm hai tầng Security gateway 45 Tạp chí Khoa học Trường Đại học Cần Thơ Tập 58, Số 2A (2022): 43-50 Hình Quy trình hoạt động Hệ thống phát xâm nhập tầng lựa chọn 20 thuộc tính phổ biến phù hợp tập liệu để huấn luyện cho mơ hình phân loại mơ tả Bảng Kết nghiên cứu tác giả Zoghi et al (2021) chứng minh việc khơng sử dụng thuộc tính cịn lại tập liệu UNSW-NB15 khơng ảnh hưởng đến độ xác mơ hình phân loại Trong đó, điều giúp giảm yêu cầu lực xử lý IoT gateway việc trích xuất thuộc tính liệu mạng Lưu ý, thuộc tính Giao thức nối kết (proto) Trạng thái giao thức (state) chuyển từ kiểu chuỗi sang số trước sử dụng huấn luyện cho mơ hình Trong đó, thuộc tính state mã hóa theo thứ tự danh sách trạng thái Trong đó, thuộc tính proto chuyển sang giá trị số theo Assigned Numbers Internet Protocol 3.2 Huấn luyện mơ hình phát xâm nhập 3.2.1 Tiền xử lý tập liệu huấn luyện Nghiên cứu sử dụng liệu UNSWNB15 (Moustafa et al., 2017) tạo phịng thí nghiệm Trung tâm An ninh mạng Úc (ACCS) để huấn luyện cho mơ hình phân loại nhị phân đa lớp hệ thống đề xuất Đây liệu tiếng sử dụng nhiều nghiên cứu công xâm nhập mạng UNSW-NB15 bao gồm thuộc tính liệu mạng bình thường hành vi độc hại Có kiểu công xâm nhập hỗ trợ tập liệu bao gồm: Fuzzers, Analysis, Backdoors, DoS, Exploits, Generic, Reconnaissance, Shellcode Worms Bộ liệu có tổng cộng 2,539,740 dòng liệu, dòng chứa 49 thuộc tính nối kết mạng Nghiên cứu Bảng Các thuộc tính nối kết mạng sử dụng cho mơ hình phân loại # Tên sport dport dur proto Giải thích Số cổng nguồn Số cổng đích Thời gian nối kết Giao thức nối kết state Trạng thái giao thức Kiểu integer integer float nominal nominal spkts Số gói tin từ nguồn đến đích integer dpkts Số gói tin từ đích đến nguồn integer sbytes Số bytes từ nguồn đến đích integer dbytes Số bytes từ đích đến nguồn integer 10 sttl Giá trị time-to-live từ nguồn integer đến đích # Tên 11 dttl 12 sload 13 dload 14 sloss Giải thích Kiểu Giá trị time-to-live từ đích đến nguồn integer Số bits nguồn giây integer Số bits đích giây integer Số gói tin từ nguồn truyền lại integer loại bỏ 15 dloss Số gói tin từ đích truyền lại integer loại bỏ 16 synack Thời gian SYN SYN_ACK float 17 ackdat Thời gian SYN_ACK ACK float 18 smeansz Trung bình kích thước gói tin từ integer nguồn 19 dmeansz Trung bình kích thước gói tin từ đích integer 20 tcprtt Tổng thời gian thiết lập nối kết TCP float 46 Tạp chí Khoa học Trường Đại học Cần Thơ Tập 58, Số 2A (2022): 43-50 Phương pháp Hold-out (Yada & Shukla, 2016) sử dụng nghiên cứu chia tập liệu thành 80% cho tập huấn luyện (train) 20% cho tập kiểm thử (test) Số lượng dòng liệu dùng huấn luyện kiểm thử mơ tả Bảng hàm kích hoạt ReLU Lớp đầu gồm nút sử dụng hàm kích hoạt Sigmoid để xác định liệu mạng độc hại Mơ hình thực nghiệm chứng tỏ có hiệu cao việc phát hành vi mạng độc hại (Vinayakumar et al., 2019), không yêu cầu nhiều lực xử lý IoT gateway mơ hình khác Bảng Số lượng liệu dùng huấn luyện kiểm thử mơ hình Nhãn liệu Normal Analysis Backdoors DoS Exploits Fuzzers Generic Reconnaissance Shellcode Worms Mơ hình huấn luyện sử dụng thư viện máy học Keras (Chollet et al., 2015) Quá trình huấn luyện sử dụng trình tối ưu hóa momentum Adam với tốc độ học (learning_rate) 0,01 Hàm lỗi (loss function) binary_crossentropy Số lần trình huấn luyện học qua tất liệu tập huấn luyện (epochs) 20, với số lượng mẫu huấn luyện gửi đến mơ hình lúc (batch_size) 128 Kết huấn luyện cho thấy độ xác (accuary) mơ hình khoảng 0,91 3.2.3 Huấn luyện mơ hình Phân loại đa lớp cho Tầng Số lượng Số lượng liệu huấn luyện liệu kiểm tra 1.774.848 443.604 2.138 539 1.850 479 13.165 3.188 35.618 8.907 19.445 4.801 172.143 43.337 11.221 2.766 1.232 279 128 46 Để dự phòng cho Tầng hướng tới phát hành vi công xâm nhập mạng dựa thông tin thu thập nhiều mạng IoT lúc, Tầng giải pháp đề xuất cài đặt máy chủ xa (có thể triển khai mơi trường đám mây) Do khơng có hạn chế phần cứng phần mềm với chi phí triển khai, tầng sử dụng mơ hình máy học phức tạp Tầng 1, với mục đích xác định loại cụ thể hành vi độc hại (Fuzzers, Analysis, Backdoors, DoS, Exploits, Generic, Reconnaissance, Shellcode Worms) nâng cao độ xác hệ thống 3.2.2 Huấn luyện mơ hình Phân loại nhị phân cho Tầng Do yêu cầu Tầng hệ thống phát hành vi xâm nhập cơng mạng triển khai IoT gateway, vốn có khả phần cứng phần mềm hạn chế Vì vậy, mơ hình mạng nơ-ron nhân tạo lớp đơn giản sử dụng để phát cảnh báo hành vi xâm nhập thời gian thực Lớp đầu vào mơ hình gồm 20 nút hai lớp ẩn, lớp ẩn gồm 32 nút sử dụng Hình Kết huấn luyện mơ hình phân loại đa lớp 47 Tạp chí Khoa học Trường Đại học Cần Thơ Tập 58, Số 2A (2022): 43-50 sử dụng hệ điều hành Ubuntu, máy lại sử dụng hệ điều hành Kali Linux đóng vai trị máy cơng Thiết bị Raspberry Pi Zero sử dụng mô thiết bị IoT thực nghiệm Có mơ hình máy học sử dụng cho Phân loại đa lớp, Cây định (Decision tree), Gaussian naïve bayes Rừng ngẫu nhiên (Random forest) Các mơ hình máy học áp dụng chứng tỏ hiệu nghiên cứu đương đại phát công xâm nhập mạng (Mishra et al., 2019) Trong nghiên cứu này, mơ hình huấn luyện kiểm thử để quan sát độ xác thu được, từ có sở để lựa chọn mơ hình phù hợp cho hệ thống Thư viện máy học Scikit-Learn (Pedregosa et al., 2011) sử dụng để huấn luyện mơ hình với tham số huấn luyện hỗ trợ thư viện Hình mô tả kết huấn luyện mô hình Kết cho thấy hai mơ hình Cây định Rừng ngẫu nhiên có độ xác tốt tương đương (0,98) Trong đó, Gaussian nạve bayes cho kết thấp (0,30) Điều lý giải mơ hình khơng hoạt động tốt tập liệu cân UNSWNB-15 3.3 Cài đặt hệ thống Hình Mơi trường thực nghiệm Trong nghiên cứu này, độ xác hệ thống đề xuất so sánh với công cụ Snort, IDS mã nguồn mở sử dụng phổ biến Trong thực tế, công cụ Snort sử dụng chương trình kiểm tra gói tin để giám sát hệ thống thời gian thực Người quản trị mạng sử dụng cơng cụ để theo dõi tất gói tin đến tìm gói tin nguy hiểm cho hệ thống Snort sử dụng quy tắc (rules) tĩnh thiết lập trước để phát dấu hiệu bất thường mạng Độ xác Snort phụ thuộc vào quy tắc sử dụng, đòi hỏi kinh nghiệm người quản trị mạng Các thực nghiệm nghiên cứu sử dụng quy tắc hỗ trợ cộng đồng người dùng Snort (Community Rules) Mô-đun Theo dõi mạng Trích xuất đặc trưng hệ thống đề xuất cài đặt sử dụng công cụ Argus (openargus, n.d.) Đây công cụ giám sát mạng cho phép người dùng theo dõi gói tin đến tới nối kết mạng định Trong đó, cơng cụ Argus-sensor sử dụng mơ-đun Theo dõi mạng để thu thập, phân loại gói tin mạng xử lý thông tin thô Mô-đun Trích xuất đặc trưng sử dụng công cụ Argus-client để giao tiếp Argussensor mô-đun Theo dõi mạng để nhận liệu thô Trong đó, thành phần Argus-Ra cơng cụ sử dụng để rút trích tạo đặc trưng đầu vào cho mơ hình phân loại Các cơng cụ Hping3, Nmap, Hydra Metasploit Kali Linux sử dụng để tạo công nhằm kiểm tra đánh giá độ xác hai hệ thống Các hình thức cơng thực bao gồm Từ chối dịch vụ (DoS), cơng thăm dị (Reconnaissance/Analysis), công lỗ hổng bảo mật (Exploits), công khai thác (Backdoor) Các công thực với hình thức: Sử dụng tham số hỗ trợ công cụ công sử dụng tham số công tùy biến Trong đó, tham số cơng điều chỉnh dựa vào phân tích quy tắc Community Rules cơng cụ Snort Mỗi hình thức cơng thực 10 lần thực nghiệm 4.2 Kết thực nghiệm Mơ hình Phân loại đa lớp hệ thống cài đặt sử dụng thư viện Scikit-Learn dựa tảng máy học TensorFlow (Abadi, n.d.) Trong đó, mơ hình Phân loại nhị phân cài đặt sử dụng thư viện Keras dựa tảng TensorFlow Lite (TensorFlow Lite, n.d.), với mục đích tạo mơ hình có u cầu thấp, phù hợp cho IoT gateway THỰC NGHIỆM 4.1 Môi trường thực nghiệm Để đánh giá hiệu hệ thống phát xâm nhập tầng đề xuất nghiên cứu này, môi trường thực nghiệm đơn giản bao gồm máy tính thiết bị Raspberry Pi mẫu 3B+ xây dựng mơ tả Hình Trong đó, Tầng hệ thống cài đặt thiết bị Raspberry, đóng vai trị gateway nhánh mạng IoT Tầng hệ thống triển khai máy tính Bảng so sánh tỷ lệ phát hành vi công Tầng 1-Phân loại nhị phân Tầng 2Phân loại đa lớp hệ thống đề xuất báo công cụ Snort Như mô tả Bảng 3, kết 48 Tạp chí Khoa học Trường Đại học Cần Thơ Tập 58, Số 2A (2022): 43-50 thực nghiệm cho thấy Tầng có tỉ lệ phát trung bình cao (87,5%) với 80% (8/10) hình thức cơng sử dụng tham số Trong đó, Tầng có tỉ lệ phát gần tương đương với công cụ Snort hình thức từ chối dịch vụ lỗ hổng bảo mật, vượt trội tỉ lệ phát công khai thác (8/10 so với 0/10) Tuy nhiên, lại hình thức cơng thăm dị (2/10 so với 9/10) Ở kết thực nghiệm, hình thức cơng sử dụng tham số tuỳ biến (Bảng 4), tầng hệ thống có tỉ lệ phát gần tương đương với công sử dụng tham số Trong đó, cơng cụ Snort có giảm tỉ lệ phát lớn (từ 72,5% xuống 45,0%), đặc biệt hai loại công từ chối dịch vụ lỗ hổng bảo mật (từ 10/10 xuống 6/10 3/10) Kết thực nghiệm cho thấy giải pháp đề xuất hoạt động hiệu quả, cho kết khả quan công cụ Snort việc phát công tùy biến tham số Bảng Tỉ lệ phát hình thức cơng sử dụng tham số Hình thức cơng Từ chối dịch vụ (DoS) Thăm dị (Reconnaissance/Analysis) Lỗ hổng bảo mật (Exploits) Khai thác (Backdoor) Tổng cộng Tầng 1: Phân loại nhị phân Tầng 2: Phân loại đa lớp Công cụ Snort 9/10 8/10 10/10 8/10 2/10 9/10 10/10 8/10 35/40 (87,5%) 10/10 8/10 28/40 (70%) 10/10 0/10 29/40 (72,5%) Bảng Tỉ lệ phát hình thức cơng sử dụng tham số tùy biến Hình thức cơng Từ chối dịch vụ (DoS) Thăm dò (Reconnaissance/Analysis) Lỗ hổng bảo mật (Exploits) Khai thác (Backdoor) Tổng cộng KẾT LUẬN Tầng 1: Phân loại nhị phân Tầng 2: Phân loại đa lớp 9/10 6/10 8/10 2/10 Công cụ Snort 6/10 9/10 9/10 9/10 3/10 8/10 8/10 0/10 34/40 (85,0%) 25/40 (62,5%) 18/40 (45,0%) mô hình phát xâm nhập có độ xác cao hiệu hơn; đặc biệt cần tập trung vào giải Kết thực nghiệm nghiên cứu cho thấy pháp phát hình thức cơng từ chối dịch vụ sử giải pháp hệ thống phát xâm nhập hai tầng dụng mạng máy tính ma (Botnet), vốn phổ biến đề xuất hoạt động thành công phát mạng IoT Thứ hai triển khai hình thức công sử dụng tham số tuỳ biến khả tiến hành thực nghiệm diện rộng môi trường quan so với công cụ truyền thống Snort Các IoT thực tế sử dụng hình thức công phức thực nghiệm chứng minh hệ thống tạp để có kết thực nghiệm đa dạng hơn, làm đề xuất hoạt động hiệu quả, với tác động tối tảng để tiếp tục cải tiến giải pháp có thiểu đến trải nghiệm người dùng Hơn nữa, hoạt động hệ thống không yêu cầu phần cứng chuyên LỜI CẢM TẠ dụng thực sửa đổi thiết bị IoT Nghiên cứu tài trợ kinh phí từ đề Hướng phát triển nghiên cứu tập tài nghiên cứu khoa học công nghệ cấp sở T2020trung vào hai vấn đề Thứ cần thu thập 13, cấp Trường Đại học Cần Thơ thêm liệu huấn luyện xử lý vấn đề cân tập liệu có, để phát triển TÀI LIỆU THAM KHẢO Abadi, M., Barham, P., Chen, J., Chen, Z., Davis, A., Dean, J., Devin, M., Ghemawat, S., Irving, G., Isard, M., Kudlur, M., Levenberg, J., Monga, R., Moore, S., Murray, D G., Steiner, B., Tucker, P., Vasudevan, V., Warden, P., Wattenberg, M., Wicke, M., Yu, Y., & Zheng, X (2016) TensorFlow: A system for large-scale machine learning Proceedings of the 12th USENIX Conference on Operating Systems Design and Implementation, 265–283 Albin, E., & Rowe, N C (2012) A Realistic Experimental Comparison of the Suricata and Snort Intrusion-Detection Systems 2012 26th International Conference on Advanced Information Networking and Applications 49 Tạp chí Khoa học Trường Đại học Cần Thơ Tập 58, Số 2A (2022): 43-50 Workshops, 122–127 https://doi.org/10.1109/WAINA.2012.29 Chollet, F (2015) keras, GitHub https://github.com/keras-team/keras Eskandari, M., Janjua, Z H., Vecchio, M., & Antonelli, F (2020) Passban IDS: An Intelligent Anomaly-Based Intrusion Detection System for IoT Edge Devices IEEE Internet of Things Journal, 7(8), 6882–6897 https://doi.org/10.1109/JIOT.2020.2970501 Hafeez, I., Antikainen, M., Ding, A Y., & Tarkoma, S (2018) IoT-KEEPER: Securing IoT Communications in Edge Networks ArXiv:1810.08415 [Cs] http://arxiv.org/abs/1810.08415 Hall, J., Barbeau, M., & Kranakis, E (2005) Anomaly-based intrusion detection using mobility profiles of public transportation users WiMob’2005), IEEE International Conference on Wireless And Mobile Computing, Networking And Communications, 2, 17-24 https://doi.org/10.1109/WIMOB.2005.1512845 Mafra, P M., Moll, V., da Silva Fraga, J., & Altair Olivo Santin (2010) Octopus-IIDS: An anomaly based intelligent intrusion detection system The IEEE Symposium on Computers and Communications, 405–410 https://doi.org/10.1109/ISCC.2010.5546735 Mishra, P., Varadharajan, V., Tupakula, U., & Pilli, E S (2019) A Detailed Investigation and Analysis of Using Machine Learning Techniques for Intrusion Detection IEEE Communications Surveys Tutorials, 21(1), 686–728 https://doi.org/10.1109/COMST.2018.2847722 Moustafa, N., Creech, G., & Slay, J (2017) Big Data Analytics for Intrusion Detection System: Statistical Decision-Making Using Finite Dirichlet Mixture Models In I Palomares Carrascosa, H K Kalutarage, & Y Huang (Eds.), Data Analytics and Decision Support for Cybersecurity: Trends, Methodologies and Applications (pp 127–156) Springer International Publishing https://doi.org/10.1007/978-3-319-59439-2_5 Nguyen, T D., Marchal, S., Miettinen, M., Fereidooni, H., Asokan, N., & Sadeghi, A.-R (2019) DIoT: A Federated Self-Learning Anomaly Detection System for IoT ArXiv:1804.07474 [Cs] http://arxiv.org/abs/1804.07474 Openargus (n.d.) Retrieved September 11, 2021, from https://openargus.org/ Pedregosa, F., Varoquaux, G., Gramfort, A., Michel, V., Thirion, B., Grisel, O., Blondel, M., Prettenhofer, P., Weiss, R., Dubourg, V., Vanderplas, J., Passos, A., Cournapeau, D., Brucher, M., Perrot, M., & Duchesnay, É (2011) Scikit-learn: Machine Learning in Python Journal of Machine Learning Research, 12(85), 2825–2830 TensorFlow Lite (n.d.) TensorFlow Retrieved September 11, 2021, from https://www.tensorflow.org/lite Vinayakumar, R., Alazab, M., Soman, K P., Poornachandran, P., Al-Nemrat, A., & Venkatraman, S (2019) Deep Learning Approach for Intelligent Intrusion Detection System IEEE Access, 7, 41525–41550 https://doi.org/10.1109/ACCESS.2019.2895334 Yadav, S., & Shukla, S (2016) Analysis of k-Fold Cross-Validation over Hold-Out Validation on Colossal Datasets for Quality Classification 2016 IEEE 6th International Conference on Advanced Computing (IACC), 78–83 https://doi.org/10.1109/IACC.2016.25 Zoghi, Z., & Serpen, G (2021) UNSW-NB15 Computer Security Dataset: Analysis through Visualization ArXiv:2101.05067 [Cs] http://arxiv.org/abs/2101.05067 50