HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG -š›&š› - Bài Tiểu Luận Môn: An Ninh Mạng Thơng Tin Giảng viên hướng dẫn: TS.Hồng Trọng Minh Lời mở đầu Trải qua 35 năm đổi mới, hệ thống thơng tin Việt Nam có phát triển mạnh mẽ, phục vụ đắc lực lãnh đạo, quản lý, điều hành Đảng, Nhà nước, đáp ứng nhu cầu thơng tin xã hội, góp phần đảm bảo quốc phịng, An Ninh đất nước Lĩnh vực viễn thơng, Internet, tần số vơ tuyến điện có phát triển mạnh mẽ, đạt mục tiêu số hóa hồn tồn mạng lưới, phát triển nhiều dịch vụ mới, phạm vi phục vụ mở rộng, bước đầu hình thành doanh nghiệp mạnh, có khả vươn tầm khu vực, quốc tế Hệ thống bưu chuyển phát, báo chí, xuất phát triển nhanh số lượng, chất lượng kỹ thuật nghiệp vụ, có đóng góp quan trọng cho phát triển kinh tế - xã hội; đảm bảo quốc phòng, An Ninh, đối ngoại đất nước Tuy nhiên, tình hình an ninh thơng tin Việt Nam có diễn biến phức tạp Các quan đặc biệt nước ngoài, lực thù địch, phản động tăng cường hoạt động tình báo, gián điệp, khủng bố, phá hoại hệ thống thông tin; tán phát thông tin xấu, độc hại nhằm tác động trị nội bộ, can thiệp, hướng lái sách, pháp luật Việt Nam Gia tăng hoạt động công mạng nhằm vào hệ thống thông tin quan trọng quốc gia, hệ thống thông tin quan trọng an ninh quốc gia Theo thống kê, trung bình năm, qua kiểm tra, kiểm soát quan chức phát 850.000 tài liệu chiến tranh tâm lý, phản động, ân xá quốc tế, tài liệu tuyên truyền tà đạo trái phép; gần 750.000 tài liệu tuyên truyền chống Đảng, Nhà nước tán phát vào Việt Nam qua đường bưu Từ 2010 đến 2019 có 53.744 lượt cổng thơng tin, trang tin điện tử có tên miền bị cơng, có 2.393 lượt cổng thơng tin, trang tin điện tử quan Đảng, Nhà nước “gov.vn”, xuất nhiều cơng mang màu sắc trị, gây hậu nghiêm trọng Hệ thống thông tin Việt Nam tồn nhiều điểm yếu, lỗ hổng bảo mật dễ bị khai thác, công, xâm nhập; tình trạng lộ, bí mật nhà nước qua hệ thống thông tin gia tăng đột biến; tượng khai thác, sử dụng trái phép sở liệu, tài nguyên thông tin quốc gia, liệu cá nhân người dùng diễn biến phức tạp; xuất nhiều dịch vụ mới, đại gây khó khăn cho cơng tác quản lý, kiểm soát quan chức Mục Lục DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT Bảng Phân Công DANH MỤC HÌNH VẼ, BẢNG BIỂU Chương : Tổng quan an toàn mạng .5 1.Giới thiệu 1.1.Bối cảnh .5 1.2.Tình hình thực tế 1.3.Các nguy an tồn thơng tin 1.4.Nguyên nhân .7 1.5.Phương pháp tiếp cận Chương 2: Nội dung 2.1.Khái niệm: 2.2.Đặc điểm 2.3.Mô hình an tồn mạng 10 2.3.1.Mơ hình an tồn mạng thông tin 10 2.3.2.Chiến lược xây dựng mơ hình bảo mật 10 2.3.3.Các mơ hình bảo mật phổ biến .11 2.4.Cơ chế an toàn .13 2.4.1.Cơ chế xác thực 13 2.4.2.Kiểm soát truy cập 14 2.5.Các dịch vụ an tồn mạng thơng tin 14 2.6.Các loại công an ning mạng 16 2.6.1.Những giả định công 16 2.6.2.Các mối đe dọa hệ thống máy tính phân loại theo phương pháp sử dụng để công .16 2.7.Các phương pháp an toàn mạng 18 2.7.1.Các phương pháp an toàn mạng sau: 19 2.7.2.Các giải pháp đảm bảo an toàn thông tin mạng cho trang web, cổng thông tin điện tử .19 2.8.Mục tiêu chung công .19 Chương 3: Mở rộng 22 3.1.Phát bất thường 23 3.2.kỹ thuật phát bất thường .24 3.3.IoT-23 datasets .26 3.3.1.giới thiệu 26 3.3.2.tóm tắt sơ lược datasets .26 3.3.3.Đưa mục tiêu hướng giải 28 3.3.4.Áp dụng đưa đánh giá .32 Chương 4: Kết Luận 32 Chương 5: Tài liệu tham khảo 33 DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT Viết Tắt AI Tiếng Anh Artificial Intelligence ATTT Tiếng Việt Trí tuệ nhân tạo An Tồn Thơng Tin CIS Center for Internet Security Trung tâm Bảo mật Internet DL Deep Learning Học sâu DNN Deep Neural Network Mạng học sâu FP False positive Số trường hợp sai tiêu cực FN False negative số trường hợp sai tiêu cực ID Identification Nhận dạng ISO International Standards Organization Tổ chức Tiêu chuẩn hóa Quốc tế NIST The US National Institute of Standards and Technology Viện Tiêu chuẩn Kỹ thuật Quốc gia Hoa Kỳ NCSC National Cyber Security Center Trung tâm an ninh mạng Quốc Gia PCI DSS Payment Card Industry Data Security Standard Tiêu chuẩn Bảo mật Dữ liệu Thẻ Thanh toán TN True negative số trường hợp tiêu cực TP True positive Số trường hợp tích cực ML Machine Learning Học máy DANH MỤC HÌNH VẼ, BẢNG BIỂU Hình 1: Mơ hình an tồn mạng thơng tin 10 Hình 2: Mơ hình chiến lược bảo mật 11 Hình 3: dịch vụ an tồn thơng tin 15 Hình 4: Minh hoạ công từ chối dịch vụ 17 Hình 5: Minh hoạ công truy cập trực tiếp 18 Hình 6: minh hoạ ba loại bất thường 24 Hình 7: Phân loại Supervised un-supervised 25 Hình 8: mơ tả giải thuật định 30 Hình 9: Mơ tả giải thuật rừng ngẫu nhiên 30 Hình 10: Phân biệt mạng neural đơn giản mạng neural sâu 31 Hình 11: ma trận nhầm lẫn khơng gian tìm kiếm 31 Bảng 1: 20 file chụp phần mềm độc hại 27 Bảng 2: file chụp phần mềm lành tính 27 Bảng 3: danh sách features description IoT-23 datasets 28 Bảng 4: Kết thuật toán phân loại 32 Chương : Tổng quan an toàn mạng 1.Giới thiệu 1.1.Bối cảnh Ở nước, trước hết nguy tụt hậu công nghệ, lệ thuộc vào công nghệ nước ngoài, hệ thống mạng lõi; phần mềm hệ thống, dịch vụ thơng tin nước ngồi (nhất dịch vụ mạng xã hội) dẫn tới chủ quyền nội dung số, tài nguyên thông tin công ty cơng nghệ nước ngồi ngày nghiêm trọng hơn; đối tượng hội, chống đối trị nước, triệt để sử dụng mạng xã hội tán phát thông tin giả, thông tin xấu, độc nhằm gây rối nội bộ, kích động biểu tình, bạo loạn Ở bên ngoài, lực thù địch triệt để sử dụng hệ thống thông tin để tác động, can thiệp nội bộ, hướng lái sách, thao túng dư luận, thúc đẩy “cách mạng màu” Việt Nam; xâm phạm độc lập, chủ quyền quốc gia không gian mạng, tiến hành chiến tranh thông tin Việt Nam Các tổ chức phản động lưu vong, khủng bố tăng cường hoạt động công, phá hoại hệ thống thông tin quan trọng an ninh quốc gia; sử dụng không gian mạng để tán phát thông tin xấu, độc hại, kích động biểu tình, bạo loạn; hình thành hội, nhóm, tổ chức trị đối lập,… Các tổ chức tin tặc, tổ chức tội phạm thực cơng mạng tự phát, đơn lẻ có chủ đích nhằm vào hệ thống thơng tin trọng yếu quốc gia, làm tê liệt, gây gián đoạn hoạt động lãnh đạo, đạo, điều hành, quản lý kinh tế-xã hội quan Đảng, Nhà nước 1.2.Tình hình thực tế Mối đe dọa an ninh mạng ngày gia tăng An toàn, an ninh mạng bao gồm việc áp dụng trì quy trình liên quan đến việc phát sớm mối đe dọa mạng giảm thiểu rủi ro, điều kiện tiên để áp dụng hệ sinh thái máy tính bền vững có trách nhiệm bảo vệ hoạt động xã hội đại dựa công nghệ Theo Báo cáo Rủi ro Toàn cầu năm 2019 Diễn đàn Kinh tế Thế giới, công an toàn, an ninh mạng nằm số rủi ro hàng đầu tồn cầu Các cơng mạng dẫn đến thiệt hại hàng tỷ la lĩnh vực kinh doanh, đặc biệt máy chủ ngân hàng, bệnh viện, nhà máy điện thiết bị thông minh bị xâm nhập Điều dẫn đến thiệt hại nghiêm trọng cho xã hội số thay hỗ trợ phát triển Việc thiếu biện pháp bảo mật có khơng đầy đủ khơng gây cố nghiêm trọng ban đầu, xã hội số niềm tin, dẫn đến suy giảm nghiêm trọng phát triển Theo Diễn đàn Kinh tế Thế giới, ước tính giá trị thị trường an tồn, an ninh mạng dự kiến tăng từ 120 lên 300 tỷ vào năm 2024 Theo chuyên gia NCSC, hình thức lừa đảo trực tuyến hình thức công mạng phổ biến lâu đời Tuy nhiên, lợi dụng tình hình dịch bệnh Covid-19 diễn biến phức tạp, thực chủ trương giãn cách xã hội để phịng, chống dịch Chính phủ, hầu hết hoạt động, sinh hoạt người dân thực qua không gian mạng, hoạt động lừa đảo qua hình thức từ gia tăng, thủ đoạn đối tượng sử dụng mạng viễn thông, mạng xã hội để lừa đảo Theo Cục An Ninh Mạng Phịng Chống Tội Phạm sử dụng cơng nghệ cao - Bộ Công An, năm 2020, Cục phát khoảng 4.100 vụ việc liên quan đến tội phạm lừa đảo chiếm đoạt tài sản qua không gian mạng Trong đó, có 776 vụ việc lừa đảo qua mạng viễn thông thủ đoạn giả danh quan thực thi pháp luật, doanh nghiệp cung cấp dịch vụ viễn thông, bưu điện…, đe dọa, yêu cầu người bị hại cung cấp thông tin tài khoản chuyển tiền Tính đến cuối tháng 12/2020, Cục tiến hành xác minh, điều tra 18 vụ; khởi tố vụ án 27 bị can; tiếp tục xác minh 10 vụ 1.3.Các nguy an tồn thơng tin * Nguy an tồn thơng tin khía cạnh vật lý: Nguy an tồn thơng tin khía cạnh vật lý nguy điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng, phần tử phá hoại nhân viên xấu bên kẻ trộm bên * Nguy bị mất, hỏng, sửa đổi nội dung thông tin: Người dùng vơ tình để lộ mật khơng thao tác quy trình tạo hội cho kẻ xấu lợi dụng để lấy cắp làm hỏng thông tin Kẻ xấu sử dụng cơng cụ kỹ thuật để thay đổi nội dung thơng tin (các file) nhằm sai lệnh thông tin chủ sở hữu hợp pháp * Nguy bị công phần mềm độc hại: Các phần mềm độc hại công nhiều phương pháp khác để xâm nhập vào hệ thống với mục đích khác như: virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware), Virus: chương trình máy tính tự chép lên đĩa, file khác mà người sữ dụng không hay biết Thông thừờng virus máy tính mang tính chất phá hoại, gây lỗi thi hành, lệch lạc hay hủy liệu Chúng có tính chất: Kích thước nhỏ, có tính lây lan từ chương trình sang chương trình khác, từ đĩa sang đĩa khác lây từ máy sang máy khác, tính phá hoại thông thường chúng tiêu diệt phá hủy chương trình liệu (tuy nhiên có số virus khơng gây hại chương trình tạo với mục đích trêu đùa) Worm: Loại virus lây từ máy tính sang máy tính khác qua mạng, khác với loại virus truyền thống trƣớc lây nội máy tính lây sang máy khác đem chương trình nhiễm virus sang máy Trojan, Spyware, Adware: Là phần mềm gọi phần mềm gián điệp, chúng khơng lây lan virus Thường cách (lừa đảo người sử dụng thông qua trang web, người cố tình gửi cho người khác) cài đặt nằm vùng máy nạn nhân, từ chúng gửi thơng tin lấy bên lên quảng cáo ý muốn nạn nhân * Nguy xâm nhập từ lỗ hổng bảo mật: Lỗ hổng bảo mật thường lỗi lập trình, lỗi cố phần mềm, nằm nhiều thành phần tạo nên hệ điều hành chương trình cài đặt máy tính Hiện, lỗ hổng bảo mật phát ngày nhiều hệ điều hành, web server hay phần mềm khác, Và hãng sản xuất cập nhật lỗ hổng đưa phiên sau vá lại lỗ hổng phiên trước * Nguy xâm nhập bị công cách phá mật khẩu: Quá trình truy cập vào hệ điều hành bảo vệ khoản mục người dùng mật Đôi người dùng khoản mục lại làm mục đích bảo vệ cách chia sẻ mật với người khác, ghi mật để cơng khai để nơi cho dễ tìm khu vực làm việc Những kẻ cơng có nhiều cách khác phức tạp để tìm mật truy nhập Những kẻ cơng có trình độ biết ln có khoản mục người dùng quản trị Kẻ cơng sử dụng phần mềm dị thử mật khác Phần mềm tạo mật cách kết hợp tên, từ từ điển số Ta dễ dàng tìm kiếm số ví dụ chương trình đốn mật mạng Internet như: Xavior, Authforce Hypnopaedia Các chương trình dạng làm việc tương đối nhanh ln có tay kẻ cơng * Nguy an tồn thơng tin sử dụng e-mail: Tấn cơng có chủ đích thư điện tử công email giả mạo giống email gửi từ người quen, gắn tập tin đính kèm nhằm làm cho thiết bị bị nhiễm virus Cách thức công thường nhằm vào cá nhân hay tổ chức cụ thể Thư điện tử đính kèm tập tin chứa virus gửi từ kẻ mạo danh đồng nghiệp đối tác Người dùng bị cơng thư điên tử bị đánh cắp mật bị lây nhiễm virus Rất nhiều người sử dụng e-mail nhận họ nạn nhân công e-mail Một công e-mail xuất phát từ nguồn thân thiện, chí tin cậy như: cơng ty quen, người thân gia đình hay đồng nghiệp Người gửi đơn giản giả địa nguồn hay sử dụng khoản mục email để gửi e-mail phá hoại đến người nhận Đôi e-mail gửi với tiêu đề hấp dẫn “Congratulation you’ve just won free software Những e-mail phá hoại mang tệp đính kèm chứa virus, sâu mạng, phần mềm gián điệp hay trojan horse Một tệp đính kèm dạng văn word dạng bảng tính chứa macro (một chương trình tập thị) chứa mã độc Ngồi ra, e-mail chứa liên kết tới web site giả * Nguy an tồn thơng tin q trình truyền tin: Trong q trình lưu thơng giao dịch thơng tin mạng internet nguy an tồn thơng tin trình truyền tin cao kẻ xấu chặn đường truyền thay đổi phá hỏng nội dung thông tin gửi tiếp tục đến người nhận 1.4.Ngun nhân Qua q trình triển khai cơng tác bảo đảm an tồn thơng tin, chúng tơi tổng hợp số ngun nhân gây an tồn thơng tin đề xuất số giải pháp để bảo đảm an tồn thơng tin sau: • Ngun nhân phổ biến gây an tồn thơng tin nhận thức ý thức người sử dụng thiết bị công nghệ thông tin chưa tốt, sử dụng tùy tiện dịch vụ internet để kết nối, nhận chuyển tài liệu qua mạng • Các quan, đơn vị chưa ý xây dựng quy chế quản lý cán sử dụng dịch vụ viễn thông quản lý tài liệu mật cách chặt chẽ • Việc xây dựng hay áp dụng sách an tồn thơng tin chưa quan tâm; việc chấp hành tuân thủ tiêu chuẩn an tồn thơng tin chưa đúng, tạo sơ hở hệ thống thơng tin • Sử dụng máy tính kết nối mạng internet mà khơng có giải pháp bảo vệ an toàn để soạn thảo, lưu trữ thơng tin có nội dung nhạy cảm • Sử dụng phần mềm có lỗ hổng bảo mật, đặc biệt phần mềm khơng có quyền, việc "vá" lỗ hổng bảo mật không quan tâm mức, tạo kẽ hở cho tin tặc lấy cắp thơng tin dễ dàng • Mất an tồn thơng tin xảy từ việc cập nhật thơng tin có mã độc lên hệ thống thơng tin Do chủ quan người dùng không quét virus mã độc trước đăng tải lên hệ thống • Sử dụng đường truyền tin khơng có mã hóa xác thực thơng tin Ngồi việc cơng lấy cắp thông tin trực tiếp từ máy chủ, máy tính người sử dụng, đối phương chặn bắt thông tin đường truyền tin, thông tin nhạy cảm khơng mã hóa xác thực hồn tồn bị lấy cắp • Mất an tồn thơng tin thơng qua thiết bị chép thông tin, liệu (USB, thẻ nhớ, ) Ðây trường hợp lấy cắp thông tin tinh vi mà người dùng ngờ máy tính họ hồn tồn độc lập với mạng internet 1.5.Phương pháp tiếp cận Hướng dẫn người dùng lựa chọn thích hợp mật mạnh Ví dụ, để ngăn chặn việc đoán mật kẻ xâm nhập tiềm người nên chọn mật dài (ít tám ký tự) khơng rõ ràng khơng dễ đốn (ví dụ: khơng phải vợ / chồng tên, tên đệm, tên đăng nhập tên số nói ngược) Mật nên sử dụng chữ viết thường, chữ số biểu tượng Ngồi ra, mật khơng nên viết ra, hoặc, có, khơng nên viết nơi rõ ràng Người dùng nên thay đổi mật họ khoảng thời gian thích hợp Hiện nay, hoạt động lấy cắp thông tin, công không gian mạng diễn diện rộng với nhiều phương thức thủ đoạn khác Việc bảo đảm an tồn bảo mật thơng tin phải thực chặt chẽ đồng tất phương diện: Từ việc tăng cường nhận thức ý thức người sử dụng công tác quản lý, đầu tư trang thiết bị bảo mật, ban hành quy chế, quy định an toàn thông tin quan, tăng cường hoạt động điều phối ứng cứu, xử lý cố an toàn thông tin phải xem xét cách tổng thể, sơ hở hay xem nhẹ khía cạnh dẫn tới tình trạng an tồn thơng tin Do đó, để bảo đảm an tồn thơng tin hoạt động quan nhà nước xin đề xuất số giải pháp cụ thể sau: 2.7.1.Các phương pháp an tồn mạng sau: o Thực triển khai quy trình đánh giá an tồn thơng tin điều phối an ninh mạng o Sử dụng công nghiệp tự động hóa tiên tiến, kỹ thuật cao để phân tích liệu, virus website thông tin tảng internet o Gia tăng bảo mật thông tin, liệu nhân, doanh nghiệp, tổ chức tảng IoT, ứng dụng, đám mây, thương mại điện tử, ngân hàng, … o Thiết lập giải pháp ứng biến khẩn cấp đề phòng cố công mạng xảy o Đẩy mạnh việc thiết lập hợp tác, phối hợp quan, ban ngành việc đảm bảo an ninh, an tồn thơng tin mạng 2.7.2.Các giải pháp đảm bảo an tồn thơng tin mạng cho trang web, cổng thông tin điện tử o Thiết lập hệ thống phịng thủ website: có nhìn tồn diện mơ hình mạng từ triển mơ hình mạng hợp lý cho trang web cài đặt hệ thống ngăn chặn quan trọng như: Tường lửa, thiết bị phát hiện, phòng chống xâm nhập, bảo mật công nghệ thông tin với IT security o Thiết lập cài đặt cấu hình hệ thống máy chủ an tồn: Việc thiết lập cấu hình hệ thống máy chủ hợp lý giúp giảm thiểu công vào máy chủ làm tê liệt trang web cổng thông tin o Cài đặt tảng ứng dụng bảo vệ: xây dựng hệ thống ứng dụng chống virus, phát xâm nhập nhằm chủ động việc bảo vệ an tồn thơng tin mạng cho trang website o Sử dụng chế lưu phục hồi: giải pháp vô quan trọng giúp lưu liệu tránh liệu bị mất, phục hồi hệ thống trạng thái trước hệ thống có vấn đề 2.8.Mục tiêu chung cơng Tính bảo mật (confidentiality): 19 o Bảo mật liệu: bảo vệ liệu khỏi bị lộ trái phép o Tính riêng tư: bảo đảm thông tin liên quan đến cá nhân không bị lộ, hay bị lưu giữ trái phép o Các công cụ phục vụ cho tiêu chí "bảo mật": • • • • Mã hóa (Encryption): Mã hóa phương pháp chuyển đổi thông tin khiến liệu trở nên đọc người dùng trái phép cách sử dụng thuật tốn Sử dụng khóa bí mật (khóa mã hóa) để liệu chuyển đổi, đọc cách sử dụng khóa bí mật khác (khóa giải mã) Cơng cụ nhằm bảo vệ liệu nhạy cảm số thẻ tín dụng, cách mã hóa chuyển đổi liệu thành văn mật mã đọc được, liệu đọc giải mã Khóa bất đối xứng (asymmetric-key) khóa đối xứng (symmetric-key) hai loại mã hóa phổ biến Kiểm sốt quyền truy cập (Access Control): Đây công cụ xác định quy tắc sách để giới hạn quyền truy cập vào hệ thống tài nguyên, liệu ảo/vật lý Kiểm soát quyền truy cập bao gồm trình người dùng cấp quyền truy cập số đặc quyền định hệ thống, tài ngun thơng tin Trong hệ thống kiểm sốt quyền truy cập, người dùng cần xuất trình thơng tin đăng nhập trước cấp phép tiếp cận thơng tin, kể đến danh tính, số sê-ri máy chủ Trong hệ thống vận hành vật lý, thơng tin đăng nhập tồn nhiều dạng, với thông tin khơng thể chuyển giao cung cấp tính bảo mật cao Xác thực (Authentication): Xác thực q trình đảm bảo xác nhận danh tính vai trị người dùng Cơng cụ thực theo số cách khác nhau, đa số thường dựa kết hợp với: thứ mà cá nhân sở hữu (như thẻ thơng minh khóa radio để lưu trữ khóa bí mật), thứ mà cá nhân biết (như mật khẩu) thứ dùng để nhận dạng cá nhân (như dấu vân tay) Xác thực đóng vai trị cấp thiết tổ chức, cơng cụ cho phép họ giữ an tồn cho mạng lưới thơng tin cách cho phép người dùng xác thực truy cập vào tài nguyên bảo vệ, giám sát Những tài nguyên bao gồm hệ thống máy tính, mạng, sở liệu, website ứng dụng dịch vụ dựa mạng lưới khác Cấp quyền (Authorization): Đây chế bảo mật sử dụng để xác định quyền hạn (privilege) người tài ngun chương trình máy tính, tệp tin, dịch vụ, liệu tính ứng dụng Ủy 20 quyền thường sau xác thực nhằm xác định user sau đăng nhập thành cơng phép làm loại liệu Quản trị viên hệ thống thường người định cấp phép từ chối quyền truy cập cá nhân muốn tiếp cận thông tin liệu đăng nhập vào hệ thống Bảo mật lý (Physical Security): Đây biện pháp thiết kế để ngăn chặn truy cập trái phép vào tài sản công nghệ thông tin sở vật chất, thiết bị, nhân sự, tài nguyên loại tài sản khác nhằm tránh bị hư hại Công cụ bảo vệ tài sản nêu khỏi mối đe dọa vật lý như: trộm cắp, phá hoại, hỏa hoạn thiên tai • Tính tồn vẹn (intergrity): o Tính tồn vẹn liệu: bảo đảm liệu, chương trình xử lý, thay đổi trình phân quyền hành động cá nhân thiết bị quyền o Tính tồn vẹn hệ thống: bảo đảm hệ thống thực chức đắn, không bị can thiệp từ cá nhân trái phép o Các cơng cụ phục vụ cho tiêu chí "tồn vẹn": • • • Sao lưu (Backups): Sao lưu lưu trữ liệu định kỳ Đây trình tạo lập liệu tệp liệu để sử dụng trường hợp liệu gốc tệp liệu bị bị hủy Sao lưu sử dụng để tạo phục vụ cho mục đích lưu lại lịch sử liệu, chẳng hạn nghiên cứu dài hạn, thống kê cho ghi chép, đơn giản để đáp ứng yêu cầu sách lưu trữ liệu Tổng kiểm tra (Checksums): Tổng kiểm tra giá trị số sử dụng để xác minh tính tồn vẹn tệp liệu truyền Nói cách khác, tính tốn hàm phản ánh nội dung tệp thành giá trị số Chúng thường sử dụng để so sánh hai liệu, nhằm đảm bảo chúng giống hệt Hàm tổng kiểm tra phụ thuộc vào tồn nội dung tệp, thiết kế theo cách mà thay đổi nhỏ tệp đầu vào (chẳng hạn lệch bit) dẫn đến giá trị đầu khác Mã chỉnh liệu (Data Correcting Codes): Đây phương pháp để lưu trữ liệu theo cách mà thay đổi nhỏ dễ dàng phát tự động điều chỉnh Tính sẵn sàng (availability): 21 o Tính sẵn sàng: bảo đảm hệ thống làm việc xác dịch vụ sẵn sàng cho người sử dụng hợp pháp Mọi hệ thống thơng tin phục vụ cho mục đích riêng thơng tin phải ln ln sẵn sàng cần thiết Hệ thống có tính sẵn sàng cao hướng đến sẵn có, khả dụng thời điểm, tránh rủi ro, đảm bảo thơng tin truy cập sửa đổi kịp thời người ủy quyền o Các cơng cụ phục vụ cho tiêu chí "sẵn có": • Bảo vệ vật lý (Physical Protections): Có nghĩa giữ thơng tin có sẵn trường hợp phải đối mặt với thách thức vật chất Đảm bảo thông tin nhạy cảm công nghệ thông tin quan trọng lưu trữ khu vực an tồn • Tính tốn dự phịng (Computational Redundancies): Được áp dụng nhằm bảo vệ máy tính thiết bị lưu trữ, đóng vai trị dự phịng trường hợp xảy hỏng hóc Một số mục tiêu an tồn khác: o Cung cấp kênh truyền liệu tin cậy o Cung cấp kênh truyền sẵn sàng o Cung cấp giám sát kiểm soát truy cập o Phát hiện, ngăn chặn hành vi nghe sửa đổi liệu o Tính xác thực (authenticity): tính đắn xác minh tin cậy, xác nhận tin, nguồn gốc o Tính trách nhiệm giải trình (accountability): mục tiêu an tồn thiết lập u cầu cho hoạt động thực thể phải theo dõi thực thể Hỗ trợ chống chối bỏ, cô lập lỗi, phát xâm nhập, hồi phụ Chương 3: Mở rộng Anomaly detection 22 Bây xác định vấn đề phát bất thường thảo luận số khía cạnh thách thức Sau đó, chúng tơi đưa nhìn tổng quan kỹ thuật phát bất thường có Cuối cùng, chúng tơi cung cấp tảng lý thuyết ngắn gọn thuật toán sử dụng công việc 3.1.Phát bất thường Phát bất thường nhiệm vụ máy học khai thác liệu Theo cho Chandola cộng sự, “phát bất thường vấn đề việc tìm kiếm quan sát mẫu liệu không phù hợp với hành vi mong đợi ” Chúng tham khảo mẫu không phù hợp dị thường Trong thực tế, phát bất thường sử dụng để giải vấn đề phát thuộc số loại, thường liên quan đến khuyết tật, gian lận kiện khơng mong muốn Các ứng dụng ví dụ bao gồm gian lận thẻ tín dụng, bệnh y tế chẩn đốn, dự đốn thiên tai cuối khơng phần quan trọng, phát xâm nhập mạng Các khía cạnh vấn đề phát bất thường chất liệu đầu vào, loại dị thường tính khả dụng nhãn Như tác vụ học máy, liệu vấn đề phát bất thường thường có dạng bảng, hình ảnh, văn chuỗi Thường cần phải thực kỹ thuật tính năng, u cầu kiến thức chun gia miền Các chất liệu hạn chế lựa chọn kỹ thuật phù hợp; ví dụ, khai thác văn phương pháp khó áp dụng trực tiếp cho liệu hình ảnh Trong tiểu luận nàt, chúng tơi xử lý liệu dạng bảng có tính số phân loại hỗn hợp Dị thường thường phân thành ba loại: • Point anomaly: Điểm bất thường điểm liệu tìm thấy bất thường so với phần lại liệu Ví dụ, tên trộm thực giao dịch mua đắt tiền thẻ bị đánh cắp từ tài khoản ngân hàng chi tiêu thấp • Contextual anomaly: Bất thường theo ngữ cảnh điểm liệu tìm thấy bất thường ngữ cảnh định Ví dụ, kẻ trộm sử dụng thẻ bị đánh cắp để thực giao dịch thơng thường vào thời điểm vị trí địa lý thơng thường • Collective anomaly: Điểm bất thường tập thể tập hợp điểm liệu tìm thấy bất thường với phần cịn lại liệu Ví dụ, tên trộm thực loạt giao dịch thường xuyên khác sở bất thường, tạo thành mẫu 23 Hình 6: minh hoạ ba loại bất thường 3.2.kỹ thuật phát bất thường Các kỹ thuật để phát điểm bất thường Point (điểm), Contextual (ngữ cảnh) Collective (tập thể) khác nhau, với phần lớn phương pháp có nhằm phát điểm bất thường, điều khái niệm dị thường đơn giản Các kỹ thuật để phát theo Contextual Collective dị thường đặc trưng cho miền Tuy nhiên, đơi hữu ích để giảm dị thường theo ngữ cảnh tập thể để dị thường Xem xét thẻ bị đánh cắp ví dụ trên, trường hợp bất thường theo ngữ cảnh, chúng tơi thêm “vị trí” để điểm liệu có vị trí bất thường trở thành điểm bất thường Trong trường hợp bất thường tập thể, chúng tơi chuyển đổi điểm liệu để đại diện cho thống kê giao dịch khoảng thời gian định; ví dụ, tính tốn tính "số lần rút tiền ATM" khoảng thời gian tuần, để điểm liệu với giá trị cao “số lần rút tiền ATM” trở thành điểm bất thường Trong sau đây, thấy mức giảm tương tự liệu lưu lượng mạng Lấy nhãn cho nhiệm vụ phát bất thường thường khó tính chất vấn đề; thực sự, lĩnh vực phát động đất, tượng dị thường khan liệu hạn chế có sẵn Hơn nữa, hành vi bất thường phức tạp thay đổi theo thời gian, trường hợp đó, thu thập gắn nhãn đủ liệu để nắm bắt khơng khả thi Mặt khác, liệu mô tả hành vi bình thường thường dồi Tùy thuộc vào tính khả dụng nhãn, thuật toán phát bất thường hoạt động ba chế độ: 24 Supervised Learning (Chế độ học có giám sát): Trong q trình đào tạo, thuật tốn có quyền truy cập vào điểm liệu bất thường nhãn tương ứng chúng Có thể hiểu đơn giản sau, tất liệu ta điều đánh nhãn Thường toán classification (phân loại) Unsupervised Learning (Chế độ học không giám sát): Trong q trình đào tạo, thuật tốn trải nghiệm liệu mà khơng có nhãn mác Trong ví dụ trên, liệu đào tạo chứa bình thường giao dịch gian lận (khơng có nhãn) Thường tốn clustering (phân cụm) Semi-Supervised learning (Chế độ học bán giám sát): Trong q trình đào tạo, thuật tốn có quyền truy cập vào liệu bình thường điểm Có thể hiểu liệu chứa hai loại vừa đánh nhãn vừa không đánh nhãn, kết hợp phương pháp unsupervised learning supervised learning Hình 7: Phân loại Supervised un-supervised Các thuật toán phát bất thường thường định điểm bất thường cho đầu vào ví dụ, “thước đo mức độ mà đối tượng coi dị thường “ Trong công việc này, tuân theo quy ước “điểm cao, nhiều khả trường hợp bất thường.” Để gắn cờ tất trường hợp bất thường, cần biến điểm số 25 bất thường thành dự đoán Một cách đơn giản để đạt điều sử dụng ngưỡng phát Tất trường hợp có điểm cao ngưỡng bị gắn cờ dị thường Có thể chọn ngưỡng cách phân tích vài bất thường giai đoạn xác thực 3.3.IoT-23 datasets 3.3.1.giới thiệu Trong tiểu luận sử dụng IoT-23 datasets tập liệu lưu lượng mạng từ thiết bị Internet of Things (IoT) Nó có 20 chụp phần mềm độc hại thực thi thiết bị IoT chụp cho lưu lượng thiết bị IoT lành tính Bộ liệu IoT-23 bao gồm hai mươi ba ghi (được gọi kịch bản) lưu lượng mạng IoT khác Các kịch chia thành 20 lần chụp mạng (tệp pcap) từ thiết bị IoT bị nhiễm (sẽ có tên mẫu phần mềm độc hại thực thi tình huống) ba lần chụp mạng thiết bị IoT thực lưu lượng truy cập mạng (có tên thiết bị mà lưu lượng truy cập bị bắt) 3.3.2.tóm tắt sơ lược datasets • sơ lược: tệp có thơng tin thu thập phần mềm độc hại tên phần mềm độc hại xảy ra, md5, sha1 sha256 tệp nhị phân phần mềm độc hại; thời lượng chụp tính giây, liên kết đến tệp phần mềm độc hại VirusTotal số mô tả ngắn tệp bên thư mục • Pcap: tệ tệp pcap gốc từ việc thu thập lưu lượng mạng • conn.log.labeled: tệp Zeek conn.log thu cách chạy trình phân tích mạng Zeek tệp pcap gốc Tệp conn.log.labeled có luồng kết nối mạng chụp tệp Zeek conn.log bình thường có hai cột cho nhãn Hơn tài liệu có danh sách nhãn chi tiết có với mơ tả chúng Bảng bảng show cho thấy có 20 file malware-capture, có cột thời gian thu thập, số lượng gói, kích thước, tên, … file đánh số Chúng ta thấy kích thước malware-capture lớn lên đến 47GB 26 Bảng 1: 20 file chụp phần mềm độc hại Tương tự, Bảng bảng show cho thấy có file Honeypotcapture số lượng gói tin Bảng 2: file chụp phần mềm lành tính 27 Tập liệu có 21 thuộc tính tính bao gồm nhãn lớp Do đó, tổng cộng có 21 thuộc tính xác định tính kết nối có cá thể liệu Các thuộc tính trộn lẫn chất, với số danh nghĩa, số số số mang giá trị dấu thời gian.Tổng quan chung tập liệu trình bày Bảng Attribute Number 10 11 12 13 14 15 16 17 18 19 20 21 Features Description fields-ts uid id.orig-h id.orig-p id.resp-h id.resp-p proto service duration orig-bytes resp-bytes conn-state local-orig local-resp missed-bytes history orig-pkts orig-ip-bytes resp-pkts resp-ip-bytes tunnel-parents label flow start time Unique ID Source IP address Source port Destination IP address Destination port Transaction protocol http, ftp, smtp, ssh, dns, etc Record total duration Source2destination transaction bytes Destination2source transaction bytes Connection state Source local address Destination local address Missing bytes during transaction History of source packets Flow of source bytes Destination packets Flow of destination bytes Traffic tunnel Attack label Bảng 3: danh sách features description IoT-23 datasets 3.3.3.Đưa mục tiêu hướng giải Trước tiên, tập datasets lớn mà máy móc lại không đủ khả để đáp ứng nên lựa chọn file malware - capture (CTU-IoT-Malware-Capture-34-1, CTU-IoT-Malware-Capture-49-1, CTU-IoT-Malware-Capture-44-1) file honeypot capture để phục vụ cho q trình thử nghiệm Cịn số lượng data cịn lại, chắn để tăng thêm thơng tin để nâng cao độ xác q trình training model mà bị 28 underfitting (chưa học nhiều từ tập liệu) chúng tơi đưa thêm data vào training Khi lựa chọn IoT-23 datasets hay datasets cần làm bước, chia làm phần sau: Về phần A xử lý data đầu vào, bước chứa nhiều kiến thức tiểu luận không sâu vào chi tiết cụ thể bước xử lý liệu mà đưa bước Mục đích chúng tơi muốn đưa hướng giải tạo mơ hình mang tính chất áp dụng thực tế nhiều mặt đem lại o Phần A: Preprocessing data: § Bước 1: Chúng tơi import thư viện sau đọc file từ ổ cứng máy tính lên mơi trường code § Bước 2: Tiếp chúng tơi đọc từ file.conn.log.labeled sau ghi file theo dạng bảng định dạng file.csv Lí để tiện cho việc thao tác số frameworks numpy, pandas, matplotlib,… § Bước 3: Gộp hết file xử lí thành componentfile.csv § Bước 4: Chúng tơi đánh nhãn theo tên file malware-capture đánh nhãn honeypot-capture đánh nhãn sau đưa vào cột label § Bước 5: Tiếp theo chúng tơi xử lí missing-data (NaN:Not a Number) § Bước 6: Kiểm tra liệu label_encoder đưa từ categorical data thành numerical data § Bước 7: Chia datasets thành Training Test set § Bước 8: Feature Scaling o Phần B: Lựa chọn thuật toán phù hợp: thử nghiệm thuật toán Machine Learning Random Forest Deep Neural Network phía Deep Learning § Decision Trees (cây định): Cây định thuật tốn học có giám sát sử dụng học máy Nó hoạt động thuật toán phân loại hồi quy Như tên cho thấy, giống với nút Các nhánh phụ thuộc vào số lượng tiêu chí Nó chia liệu thành nhánh đạt đơn vị ngưỡng Cây định có nút gốc, nút nút Để dễ hình dung chúng tơi biểu diễn ví dụ sau: 29 Hình 8: mơ tả giải thuật định § Random Forest (rừng ngẫu nhiên): Rừng ngẫu nhiên rừng định ngẫu nhiên giống thuật toán định học tập tổng hợp để phân loại, hồi quy nhiệm vụ khác hoạt động cách xây dựng vô số định thời điểm đào tạo Đối với nhiệm vụ phân loại, đầu rừng ngẫu nhiên loại chọn hầu hết Có nghĩa nhiều định tạo rừng ngẫu nhiên Hình 9: Mơ tả giải thuật rừng ngẫu nhiên § Deep Neural Network: Mạng neural sâu mạng neural có mức độ phức tạp định, mạng neural có nhiều hai lớp ẩn Mạng neural sâu sử dụng mơ hình tốn học phức tạp để xử lý liệu theo cách phức tạp 30 Hình 10: Phân biệt mạng neural đơn giản mạng neural sâu o Phần C: Đánh giá mơ hình: có nhiều cách đánh giá mơ hình AI (Precision, Accuracy, F1 score, ) chúng tơi sử dụng cách đánh giá Accuracy F1 score Để hiểu cách đánh giá modol có hiệu hay khơng chúng tơi có đưa ra: - True positive (TP): số trường hợp tích cực - False positive (FP): số trường hợp sai tiêu cực - True negative (TN): số trường hợp tiêu cực - False negative (FN): số trường hợp sai tiêu cực Hình 11: ma trận nhầm lẫn khơng gian tìm kiếm § Accuracy(độ xác) hiểu đơn giản tỉ lệ số điểm dự đoán tổng số điểm tổng liệu kiểm tra thử TP + TN 𝐴𝑐𝑐𝑢𝑟𝑎𝑐𝑦 = TP + FP + TN + FN § F1 score giá trị trung bình có trọng số độ xác độ thu hồi khoảng từ đến 1, giá trị F-score lý tưởng 31 𝐹1 − 𝑠𝑐𝑜𝑟𝑒 = TP TP + 0.5(FP + FN) 3.3.4.Áp dụng đưa đánh giá Tất code phần Anomaly lưu trử Github quản lý code Huy nhóm trưởng bạn có nhu cầu xin vui lịng truy cập: Quanghuy99 (github.com) Kết phần nghiên cứu lần chạy macbook air M1 2020, sử dụng chip M1 neural engine apple: Metrics Accuracy F1-score Classifiers Random Forest 0.822 0.799 DNN 0.882 0.823 Bảng 4: Kết thuật toán phân loại Kết cho thấy sử dụng phương pháp đánh giá accuracy f1-score mạng học sâu mang đến cho chúng tơi kết tốt hơn, kết cịn tốt trang thiết bị máy móc yếu thời gian hạn chế nên dừng lại múc accuracy = 0.882% f1-score = 0.823%, sử dụng 1/3 lượng liệu gốc nên việc cải thiện kết điều tất yếu Chương 4: Kết Luận Thông qua tiểu luận cho thấy nhìn tổng qt an tồn mạng đặc biệt công an ninh mạng phức tạp nguy hiểm kết hợp với việc áp dụng ngày nhiều thiết bị IoT không an tồn, cơng mạng trở thành mối đe dọa an ninh lớn internet Trong giới hạn tiểu luận nêu số loại công không độ phức tạp nguy hiểm tin đọc hại Giải phái đưa sử dụng AI đặc biệt ML DL để xác định tính bất thường Cho đến nay, nhiều giải pháp dựa ML DL được đề xuất để phát bất thường Chúng lựa chọn tập liệu IoT-23 áp dụng Random Forest DNN vào để thử nghiệm Các kết thử nghiệm chứng minh thuật toán phát hiệu công đào tạo dựa đặc trưng cụ thể tập liệu Trong công việc tại, cố gắng để tăng mức độ xác hiệu tập liệu nói sau làm tập liệu khác Trong tương lai, đặt mục tiêu tổng qt hóa việc học máy mơ hình để phát tất kiểu bất thường khác Qua chúng tơi đưa cách thức tiếp cận xử lý toán bất đồng bộ, cịn nhiều thiếu sót ngày cố gắng phát triển 32 Chương 5: Tài liệu tham khảo [1] V H Tiệp, Machine Learning bản, 2018 [2] N T Tuấn, Deep Learning bản, 2019 [3] Bayraci, Selcuk,Susuz, Orkun, “DEEP NEURAL NETWORK (DNN) BASED CLASSIFICATION MODEL IN APPLICATION TO LOAN DEFAULT PREDICTION,” 2018 [4] K Xiong, “Roughened Random Forests for Binary Classification,” 2014 [5] TS Nguyễn Chiến Trinh, PGS.TS Nguyễn Tiến Ban, TS Hoàng Trọng Minh, ThS Nguyễn Thanh Trà, ThS Phạm Anh Thư, BÀI GIẢNG AN NINH MẠNG VIỄN THƠNG, Học Viện Cơng Nghệ Bưu Chính Viễn Thơng, 2016 [6] W Stallings, Network Security Essentials: Applications and Standards Sixth Edition Global Edition, Global edition, 2017 [7] P Ionescu, “The 10 Most Common Application Attacks in Action,” 2015 [Trực tuyến] Available: https://securityintelligence.com/the-10-most-commonapplication-attacks-in-action/ [8] R A Kemmerer, “Cybersecurity,” 25th International Conference on Software Engineering, 2003 [9] Vibekananda Dutta ,Michał Choraś ,Marek Pawlicki,Rafał Kozik, “A Deep Learning Ensemble for Network Anomaly and Cyber-Attack Detection,” Sensors, 2020 [10] N.-A Stoian, “MACHINE LEARNING FOR ANOMALY DETECTION IN IOT NETWORKS : MALWARE ANALYSIS ON THE IOT-23 DATA SET,” Business & IT BSc (56066), 2020 [11] Alexandre Dulaunoy, Gérard Wagener,Sami Mokaddem, Cynthia Wagner, “AN EXTENDED ANALYSIS OF AN IOT MALWARE FROM A BLACKHOLE NETWORK,” Mirai analysis and network security, 2020 33 ... 2.6 .Các loại công an ning mạng 16 2.6.1.Những giả định công 16 2.6.2 .Các mối đe dọa hệ thống máy tính phân loại theo phương pháp sử dụng để công .16 2.7 .Các phương pháp. .. điều phối hệ thống/ thành phần khác + Kẻ cơng có nguồn tài ngun tính tốn lớn + Kẻ cơng có số quyền truy cập định 2.6.2 .Các mối đe dọa hệ thống máy tính phân loại theo phương pháp sử dụng để công Mặc... chương trình tạo với mục đích trêu đùa) Worm: Loại virus lây từ máy tính sang máy tính khác qua mạng, khác với loại virus truyền thống trƣớc lây nội máy tính lây sang máy khác đem chương trình