nghiên cứu các phương pháp phát hiện botnet dựa trên học máy sử dụng lưu lượng mạng

iii NHẬN XÉT, ĐÁNH GIÁ, CHO ĐIỂM của giảng viên phản biện Hà Nội, ngày tháng năm 2022 CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN 123docz.net - File bi loi xin lienhe: lethikim34079@hotmail.com uhah t

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA CÔNG NGHỆ THÔNG TIN

- -

ĐỒ ÁN TỐT NGHIỆP ĐỀ TÀI

NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN BOTNET DỰA TRÊN HỌC MÁY SỬ DỤNG LƯU

LƯỢNG MẠNG

Giảng viên hướng dẫn: TS Hoàng Xuân Dậu Sinh viên thực hiện: Nguyễn Quốc Tuấn

69Thursday, June 13, 202410:05:14 PM10:05:14 PM69Thursday, June 13, 202410:05:14 PM10:05:14 PM69Thursday, June 13, 202410:05:14 PM10:05:14 PM

uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh

uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh

69uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhThursday, June 13, 2024

Trang 2

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA CÔNG NGHỆ THÔNG TIN

- -

ĐỒ ÁN TỐT NGHIỆP ĐỀ TÀI

NGHIÊN CỨU CÁC PHƯƠNG PHÁP PHÁT HIỆN BOTNET DỰA TRÊN HỌC MÁY SỬ DỤNG LƯU

LƯỢNG MẠNG

Giảng viên hướng dẫn: TS Hoàng Xuân Dậu Sinh viên thực hiện: Nguyễn Quốc Tuấn

Trang 3

i

LỜI CẢM ƠN

Đầu tiên, em xin bày tỏ lòng biết ơn sâu sắc nhất đến Thầy giáo hướng dẫn của em – TS Hoàng Xuân Dậu, người đã luôn tận tình hướng dẫn và chỉ dạy cho em, người đã dành thời gian và quan tâm đến em trong suốt quá trình học tập và thực hiện đồ án tốt nghiệp này Giúp em có những định hướng và các phương pháp tiếp cận trong quá trình tìm hiểu, phát triển đồ án Em xin chân thành cảm ơn thầy!

Em xin chân thành cảm ơn các Thầy, Cô trong Khoa Công Nghệ Thông Tin và toàn thể các cán bộ của Học viện Công nghệ Bưu chính Viễn thông Hà Nội đã tạo điều kiện để em có thể được học tập trong một môi trường tốt Cảm ơn các Thầy, Cô đã cung cấp cho em những kiến thức hữu ích trong học tập cũng như những kinh nghiệm trong công việc Giúp em và các bạn sinh viên ngày càng trưởng thành hơn

Xin gửi lời cảm ơn chân thành đến tất cả các bạn bè của em, những người luôn bên em, động viên, cổ vũ, tận tình giúp đỡ và tạo điều kiện thuận lợi cho em trong quá trình làm đồ án tốt nghiệp

Cuối cùng, với trình độ hiểu biết còn nhiều hạn chế của bản thân và vốn kiến thức vẫn còn ít ỏi nên trong đồ án của em không tránh khỏi những thiếu sót Em rất mong nhận được sự góp ý của các Thầy, Cô để đồ án của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

Hà Nội, tháng 1 năm 2022 Sinh viên thực hiện

Nguyễn Quốc Tuấn

Trang 4

NHẬN XÉT, ĐÁNH GIÁ, CHO ĐIỂM

(của giảng viên hướng dẫn)

Hà Nội, ngày tháng năm 2022 CÁN BỘ - GIẢNG VIÊN HƯỚNG DẪN

HOÀNG XUÂN DẬU

Trang 5

iii

NHẬN XÉT, ĐÁNH GIÁ, CHO ĐIỂM

(của giảng viên phản biện)

Hà Nội, ngày tháng năm 2022 CÁN BỘ - GIẢNG VIÊN PHẢN BIỆN 123docz.net - File bi loi xin lienhe: lethikim34079@hotmail.com

uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh6924130610:05:13 PM10:05:13 PM6924130610:05:13 PM10:05:13 PM6924130610:05:13 PM10:05:13 PM

uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh69Thursday, June 13, 202410:05:14 PM10:05:14 PM69Thursday, June 13, 202410:05:14 PM10:05:14 PM69Thursday, June 13, 202410:05:14 PM10:05:14 PM

Trang 6

CHƯƠNG 1: TỔNG QUAN VỀ PHÁT HIỆN BOTNET 12

1.1 Khái quát về Botnet 12

1.1.1 Giới thiệu về mã độc 12

1.1.2 Giới thiệu về Botnet 15

1.1.3 Kiến trúc và hoạt động của Botnet 16

1.2 Các phương pháp, kỹ thuật phát hiện Botnet 22

1.2.1 Phát hiện dựa trên honeypot 22

1.2.2 Phát hiện dựa trên chữ ký 23

1.2.3 Phát hiện dựa trên bất thường 23

1.3 Kết chương 25

CHƯƠNG 2: PHÁT HIỆN BOTNET DỰA TRÊN HỌC MÁY SỬ DỤNG LƯU LƯỢNG MẠNG 26

2.1 Mơ hình phát hiện Botnet dựa trên học máy sử dụng lưu lượng mạng 26

2.1.1 Giới thiệu mơ hình 26

2.1.2 Các khâu xử lý 26

2.2 Khái quát về học máy 27

2.2.1 Giới thiệu học máy 27

2.2.2 Quy trình làm việc (Workflow) 29

2.2.3 Phân loại 29

2.2.4 Các thuật ngữ trong học máy 31

2.2.5 Ứng dụng thực tế 31

2.3 Một số thuật tốn học máy cĩ giám sát 32

2.3.1 SVM (Support Vector Machine) 32

2.3.2 Cây quyết định (Decision Tree) 37

2.3.3 Rừng ngẫu nhiên (Random Forest) 41

2.3.4 Nạve Bayes 43

123docz.net - File bi loi xin lienhe: lethikim34079@hotmail.com

Trang 7

v

2.4 Kết chương 45

CHƯƠNG 3: THỬ NGHIỆM VÀ ĐÁNH GIÁ 46

3.1 Giới thiệu tập dữ liệu thử nghiệm 46

Trang 8

DANH MỤC HÌNH ẢNH

Hình 1-1: Phân loại mã độc 13

Hình 1-2: Mô hình tấn công của Botnet 15

Hình 1-3: Kiến trúc Client-Server của Botnet 16

Hình 1-4: Kiến trúc P2P của Botnet 17

Hình 2-1: Mô hình xử lý bài toán 26

Hình 2-2: Các thành phần của AI 27

Hình 2-3: Học máy và học sâu 28

Hình 2-4: Các bước triển khai mô hình học máy 29

Hình 2-5: Siêu phẳng phân cách hai lớp 33

Hình 2-6: Lề phân cách hai lớp 34

Hình 2-7: Các siêu phẳng trong phân lớp 35

Hình 2-8: Điểm dữ liệu gây nhiễu 35

Hình 2-9: Siêu phẳng được chọn trong trường hợp có điểm gây nhiễu 35

Hình 2-10: Các điểm dữ liệu của hai lớp không phân biệt tuyến tính 36

Hình 2-11: Siêu phẳng trong trường hợp các điểm dữ liệu không phân biệt tuyến tính 36

Hình 2-12: Mô hình cây quyết định 38

Hình 2-13: Mô hình Rừng ngẫu nhiên 41

Hình 2-14: Mô hình chi tiết của thuật toán Rừng ngẫu nhiên 42

Hình 3-1: Ma trận nhầm lẫn 48

Hình 3-2: Các bản ghi lưu lượng 50

Hình 3-3: Code chuẩn hóa trường nhãn 51

Hình 3-4: Code chuẩn hóa trường giao thức 51

Hình 3-5: Kết quả, số lượng bản ghi sau khi chuẩn hóa trường giao thức 52

Hình 3-6: Code chuẩn hóa trường có giá trị rỗng 52

Hình 3-7: Code chuẩn hóa trường có giá trị hexa 52

Hình 3-8: Code chuẩn hóa trường địa chỉ IP 53

Hình 3-9: Danh sách bộ dữ liệu sau bước tiền xử lý 53

Hình 3-10: Code tách bộ dữ liệu huấn luyện và kiểm thử 53

Hình 3-11: Code scaling dữ liệu 54

Hình 3-12: Các thư viện sử dụng 54

Hình 3-13: Đọc dữ liệu 54

Hình 3-14: Tách dữ liệu huấn luyện và kiểm thử, scaling dữ liệu 55uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh6924130610:05:13 PM10:05:13 PM6924130610:05:13 PM10:05:13 PM6924130610:05:13 PM10:05:13 PM

Trang 9

vii

Hình 3-15: Khai báo thư viện Naive Bayes và huấn luyện mô hình 55

Hình 3-16: Kiểm thử mô hình Naive Bayes và tính các độ đo 55

Hình 3-17: Huấn luyện, kiểm thử và tính các độ đo cho mô hình Cây quyết định 56

Hình 3-18: Huấn luyện, kiểm thử và tính các độ đo cho mô hình Rừng ngẫu nhiên 57

Hình 3-19: Khai báo thư viện SVM và huấn luyện mô hình 58

Hình 3-20: Kiểm thử mô hình và tính các độ đo mô hình SVM 58

Hình 3-21: Các độ đo mô hình 58uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh6924130610:05:13 PM10:05:13 PM6924130610:05:13 PM10:05:13 PM6924130610:05:13 PM10:05:13 PM

Trang 10

Trang 11

ix

DANH MỤC TỪ VIẾT TẮT

AI: Artificial Intelligence Trí tuệ nhân tạo

ARP: Address Resolution Protocol Giao thức phân giải địa chỉ BIOS: Basic Input Output System Hệ thống nhập xuất cơ bản CART: Classification and Regression Tree Cây phân loại và hồi quy

CSV: Comma Seperated Values Định dạng phân tách bằng dấu phẩy C&C: Command and Control Ra lệnh và điều khiển

DDOS/DDoS: Distributed Denial of Service Từ chối dịch vụ phân tán DMZ: Demilitarized Zone Vùng mạng trung lập

DNS: Domain Name System Hệ thống phân giải tên miền DOJ: Department of Justice Bộ tư pháp

DOS/DoS: Denial of Service Từ chối dịch vụ

FNR: False Negative Rate Tỷ lệ âm tính giả

FPR: False Positive Rate Tỷ lệ dương tính giả

HTTP: Hyper Text Transfer Protocol Giao thức truyền tải siêu văn bản

IANA: Internet Assigned Numbers Authority Cơ quan giám sát việc chỉ định địa chỉ IP ICMP: Internet Control Message Protocol Giao thức điều khiển truyền tin mạng IGMP: Internet Group Management Protocol Giao thức quản lý nhóm mạng

IRC: Internet Relay Chat Nhắn tin chuyển tiếp mạng NAT: Network Address Translation Chuyển đổi địa chỉ mạng

PCAP: Packet Capture Data Dữ liệu bắt gói tin

RTP: Real-Time Transport Protocol Giao thức truyền tải thời gian thực

SPAM: Stupid Pointless Annoying Messages Nhắn tin quấy rối

Trang 12

SVC: Support Vector Classifier Bộ phân loại véc-tơ hỗ trợ SVM: Support Vector Machine Máy véc-tơ hỗ trợ

TCP: Transmission Control Protocol Giao thức điều khiển truyền vận

UDP: User Datagram Protocol Giao thức dữ liệu người dùng

Trang 13

xi

LỜI MỞ ĐẦU

Trong bối cảnh xã hội đã và đang bước sang thời đại cơng nghiệp 4.0, cơng nghệ thơng tin đang là lĩnh vực nĩng hơn bao giờ hết Đi kèm với sự phát triển đĩ luơn là những hiểm họa mà người dùng cũng như những người cung cấp dịch vụ sẽ gặp phải trong mơi trường khơng gian mạng Những mối nguy đĩ cĩ thể đến từ các tin tặc hoặc các loại mã độc trên mạng Internet, chúng được thiết kế ra nhằm các mục đích khác nhau Botnet là một trong các loại mã độc được tin tặc sử dụng rộng rãi trên khơng gian mạng Đối với người dùng thường, khi bị nhiễm Botnet, máy tính của họ sẽ trở thành Zombie - một phần tử trong hệ thống Botnet – chịu sự kiểm sốt của máy chủ C&C, nhằm phục vụ mục đích của tin tặc, cĩ thể là tấn cơng DDoS tới các máy chủ từ đĩ khiến những máy chủ này bị quá tải, khơng thể cung cấp dịch vụ cho người dùng hoặc doanh nghiệp, dẫn tới rất nhiều hệ lụy Tuy vậy, cho đến hiện tại, các phương pháp phát hiện Botnet vẫn chưa thực sự hiệu quả Mỗi loại Botnet sẽ cĩ một mơ hình kiến trúc, cấu hình khác nhau, hơn thế, tin tặc trang bị cho Botnet khả năng vơ hình trước hệ thống phát hiện, khiến Botnet càng khĩ hơn để phát hiện ra

Do những nguyên nhân trên, đồ án sẽ tiến hành tìm hiểu về phương pháp phát hiện Botnet từ lưu lượng mạng cụ thể hơn sẽ dựa vào các thuật tốn học máy Bộ dữ liệu được thu thập của trường đại học CTU – Cộng hịa Czech – sẽ được sử dụng như là đầu vào của bài tốn CTU-13 với tổng cộng 13 kịch bản, mỗi kịch bản là một bộ dữ liệu về một mẫu Botnet, trộn lẫn giữa lưu lượng bình thường, lưu lượng Botnet và lưu lượng nền Các bộ dữ liệu sẽ được lưu trong file CSV, bao gồm các đặc trưng của lưu lượng mạng Các dữ liệu lưu lượng với các đặc trưng này sau đĩ sẽ được đưa vào mơ hình học máy tiến hành phân loại giữa lưu lượng thường và lưu lượng Botnet Trong phạm vi của đồ án, các thuật tốn học máy sẽ được sử dụng là máy vectơ hỗ trợ (SVM – Support Vector Machine), cây quyết định (Decision Tree), rừng ngẫu nhiên (Random Forest) và Nạve Bayes

Cấu trúc đồ án sẽ gồm 3 phần chính: Chương 1 sẽ trình bày tổng quan về phát hiện Botnet các khái niệm về mã độc, Botnet, mơ hình kiến trúc, vịng đời, phương thức hoạt động của Botnet Tại chương 2, đồ án sẽ trình bày về mơ hình, phương pháp phát hiện Botnet dựa trên học máy, cụ thể hơn về các thuật tốn học máy sẽ được sử dụng trong phần thực nghiệm để tiến hành phân loại các loại lưu lượng Chương 3 sẽ trình bày về kịch bản thử nghiệm, chi tiết mơi trường cài đặt, kết quả thu được, tiến hành đánh giá, so sánh kết quả giữa các

Trang 14

CHƯƠNG 1: TỔNG QUAN VỀ PHÁT HIỆN BOTNET

Ở chương I, đồ án sẽ trình bày về bài toán phát hiện Botnet đồng thời tìm hiểu về mã độc, Botnet, cụ thể hơn là định nghĩa, cách phân loại Ngoài ra, đồ án sẽ đưa ra các phương pháp, kỹ thuật phát hiện Botnet hiện đang có trên thế giới

1.1 Khái quát về Botnet

1.1.1 Giới thiệu về mã độc

1.1.1.1 Định nghĩa

Mã độc (Malicious Software/Malware) là một dạng chương trình hoặc một đoạn

chương trình được chèn vào chương trình khác với mục đích thực hiện các loại hành vi gây hại đến các thành phần máy tính như: máy khách, máy chủ, hệ thống mạng và mục đích cuối cùng thường sẽ gây hại tới người dùng [1] Các phần mềm độc hại này sẽ thực hiện các hành vi xâm phạm tới các thuộc tính của an toàn thông tin (bí mật, toàn vẹn, sẵn dùng) Mục đích mà mã độc được tạo ra và sử dụng thường là lấy trộm thông tin hoặc tạo cửa hậu (backdoor) trong hệ thống để có thể truy cập vào tài nguyên, dữ liệu mà không cần sự cho phép của chủ sở hữu

- Các phần mềm độc hại không cần chương trình chủ, vật chủ để lây nhiễm Các phần mềm độc hại thuộc nhóm này gồm Worms (Sâu) và Zombies hay Bots [1, 2] Trong số các phần mềm độc hại, các phần mềm độc hại có khả năng tự lây nhiễm (self-infection), hay tự nhân bản (self-replicate) gồm Virus, Worm và Bot Các dạng còn lại không có khả năng tự lây nhiễm Việc phân loại các phần mềm độc hại kể trên mang tính chất tương đối do hiện nay có một số phần mềm độc hại có các đặc tính của cả Virus, Worm và Bot

a Các phần mềm độc hại cần chương trình chủ:

- Virus: là một đoạn mã độc được gắn kèm vào một phần mềm khác (đầu hoặc cuối mã nguồn), khi phần mềm này được thực thi, thường do sự không để ý của người dùng, virus sẽ theo đó mà khởi động và tiến hành nhân bản, phát tán mã độc bằng cách chỉnh sửa các chương trình khác khi chèn chính nó vào mã nguồn của những uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh

uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh

Trang 15

chương trình này [2, 3] Mục đích thường là đánh cắp dữ liệu nhạy cảm, khởi động một cuộc tấn công DDoS hoặc nhắm tới tấn công Ransomware

Hình 1-1: Phân loại mã độc

- Trojan: hay Trojan Horse, là một trong các loại malware nguy hiểm nhất Nó thường giả dạng thành một phần mềm hữu dụng nào đó như: game, app, bản cập nhật phần mềm, hoặc được nhúng trong mail, để lừa người dùng cài đặt Một khi người dùng tải và cài đặt Trojan, attacker đằng sau nó có thể vượt quyền và kiểm soát được máy tính, hệ thống Khác với virus, Trojan không được thiết kế để có khả năng tự nhân bản [3] Mục đích thường để truy cập tới những dữ liệu nhạy cảm, sửa đổi, xóa dữ liệu, hoặc nhắm tới tấn công Ransomware.

- Logic bomb: (Bom logic) là các đoạn mã độc thường được “nhúng” vào các chương trình bình thường và thường hẹn giờ để “phát nổ” trong một số điều kiện cụ thể Điều kiện để bom “phát nổ” có thể là sự xuất hiện hoặc biến mất của các file cụ thể, một thời điểm cụ thể, hoặc một ngày trong tuần Khi “phát nổ” bom logic có thể xoá dữ liệu, file, tắt cả hệ thống

- Spyware: là loại mã độc được sử dụng để bí mật thu thập dữ liệu cá nhân người dùng, cụ thể nó sẽ theo dõi hành vi sử dụng máy tính và gửi tới một bên thứ ba mà không cần sự cho phép của người dùng [1, 2] Mục đích thường để đánh cắp dữ liệu cá nhân Một loại Spyware tiêu biểu là Keylogger, có khả năng ghi lại hành vi gõ phím từ người dùng.

Trang 16

- Rootkit: là loại mã độc, thường là tập hợp các công cụ phần mềm độc hại, cho phép hacker có được quyền truy cập từ xa với quyền hạn admin trong hệ thống mục tiêu, còn được biết đến là quyền truy cập “root” Rootkit không có khả năng tự nhân bản, nên sẽ không lây lan được, nó phải được người dùng cài đặt trên thiết bị máy tính Bởi vì nơi mà nó được vận hành (trong OS kernel hoặc trong BIOS), Rootkit rất khó có thể bị phát hiện và thậm chí càng khó hơn trong việc xóa bỏ [1, 2].

- Adware: là một loại phần mềm được thiết kế để thu thập dữ liệu người dùng trên máy tính, từ đó đưa ra quảng cáo phù hợp, thường là trên trình duyệt web Adware sử dụng phương thức ngụy trang thành ứng dụng hợp pháp hoặc nó sẽ lợi dụng ứng dụng khác để lừa người dùng cài đặt [1, 2].

- Ransomware: là loại mã độc được sử dụng để khóa người dùng khỏi thiết bị/tài nguyên trên thiết bị của chính họ, hoặc mã hóa các file trong máy tính từ đó buộc người dùng phải thanh toán một khoản phí chuộc để lấy được khóa giải mã Ransomware những năm gần đây trở thành một loại vũ khí lợi hại của tội phạm mạng bởi nó đòi hỏi người dùng phải thanh toán nhanh chóng bằng tiền điện tử - loại tiền mà không thể truy vết [1, 2].

- Cryptojacking: (hay Malicious cryptomining) là loại malware đang thịnh hành, thường được cài đặt bởi Trojan Nó cho phép việc sử dụng máy tính người dùng để tiến hành đào tiền ảo như Bitcoin Sau đó số tiền ảo đào được sẽ được gửi về tài khoản của attacker Nói cách khác, Cryptojacking lợi dụng tài nguyên máy tính người dùng để kiếm tiền cho kẻ tấn công [4].

b Các phần mềm độc hại không cần chương trình chủ:

- Worm: là một phần mềm mã độc độc lập, có điểm tương đồng với Virus Điểm

giống nhau này nằm ở khả năng tự nhân bản của Worm, tuy vậy Worm có một điểm khác biệt rõ ràng so với Virus, chính là nó có thể tự lây lan tới các thiết bị trong mạng mà không cần tới phần mềm phụ thuộc như Virus, cũng như không cần tới tương tác của người dùng [1, 2] Worm thường lây nhiễm một thiết bị qua một file được download hoặc trong một kết nối mạng trước khi nó nhân bản và phát tán tới mọi thiết bị trong mạng theo cấp số mũ Mục đích thường là đánh cắp dữ liệu, khởi động một cuộc tấn công DDOS hoặc nhắm tới tấn công Ransomware.

- Bots/Botnets: Bot là một ứng dụng phần mềm mà thực hiện những tác vụ một cách

tự động theo lệnh Chúng được sử dụng với mục đích hợp pháp như đánh chỉ mục cho công cụ tìm kiếm, nhưng khi sử dụng cho mục đích xấu, chúng sẽ được thiết kế để có thể xâm nhập vào máy tính, tự động phản hồi hoặc thực thi những lệnh được gửi tới bởi C&C server Bots có thể tự nhân bản (như Worm) hoặc nhân bản uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh

Trang 17

qua tương tác với người dùng [1, 2] Một mạng lưới nhiều bots sẽ tạo nên Botnet, thường được dùng để khởi động cuộc tấn công DDoS.

1.1.2 Giới thiệu về Botnet

Trong phần này, đồ án sẽ tiến hành giới thiệu về Botnet, cụ thể hơn là về định nghĩa, cách thức phân loại Botnet theo các đặc điểm của nó, vòng đời của một Botnet

Ngoài ra, đồ án sẽ chỉ ra một số hành vi của các loại Botnet phổ biến.

Botnet thuật ngữ đầy đủ là “Bot network” dùng để chỉ một mạng lưới các máy tính bị chi phối bởi một người nào đó (Botmaster hay Bot herder), cụ thể là bị điều khiển bởi một máy tính khác từ xa [6]

Các máy tính bị nhiễm malware và trở thành một thành phần trong Botnet được gọi là

“Zombie” Một mạng lưới Botnet có thể gồm hàng trăm nghìn thậm chí hàng triệu máy

Ở phần tiếp theo đồ án sẽ giới thiệu về các kiến trúc và hoạt động của Botnet

Trang 18

1.1.3 Kiến trúc và hoạt động của Botnet

a Kiến trúc Client – Server

Hình 1-3: Kiến trúc Client-Server của Botnet

Thế hệ đầu tiên của Botnet được triển khai trên kiến trúc Centralized Client-Server, C&C Server kiểm soát toàn bộ các Bots/Zombies Trong kiến trúc này, mọi điều khiển sẽ được đưa ra từ Botmaster, đưa tới C&C Server để rồi cuối cùng mỗi C&C Server sẽ truyền đi lệnh điều khiển tới những Bots/Zombies nằm dưới quyền kiểm soát của nó [7]

Nhờ sự đơn giản, kiến trúc Centralized vẫn được sử dụng phổ biến ngày nay Tuy vậy, nhược điểm của kiến trúc này so với kiến trúc P2P là tính “nhạy cảm” của nó đối với mỗi điểm kết nối thất bại [7]

b Kiến trúc P2P

Thế hệ mới của Botnet là kiến trúc Decentralized peer-to-peer (P2P) Một mạng P2P là mạng mà mỗi node trong mạng có thể vừa hoạt động như client vừa hoạt động như server [7]

Trang 19

Hình 1-4: Kiến trúc P2P của Botnet

Trong P2P Botnet, các bot có thể nhận lệnh từ bot khác mà không cần phải từ Botmaster Do đó, kể cả khi số lượng bot trong mạng được xác định, các chuyên gia an toàn mạng cũng không có bất kỳ thông tin gì để xác định được Botmaster

P2P Botnet có khá nhiều ưu điểm so với kiến trúc Centralized Botnet, mỗi bot là một máy độc lập trên kênh truyền nên nếu một bot bất kỳ bị lỗi sẽ không ảnh hưởng gì tới Botnet Tuy nhiên, việc thiết kế hệ thống P2P là phức tạp hơn kiến trúc Centralized rất nhiều, cũng như không đảm bảo đường truyền và độ trệ [7]

c Kiến trúc Unstructured

Một bot hay Botmaster khi muốn gửi lệnh đi thì sẽ tiến hành mã hóa dữ liệu muốn gửi và quét ngẫu nhiên trong mạng Internet cho tới khi phát hiện được một bot khác trong mạng lưới Botnet Điểm ưu của kiến trúc này là sự đơn giản của nó và một bot bất kỳ bị phát hiện cũng không ảnh hưởng tới toàn bộ Botnet Tuy nhiên, độ trễ trong truyền tin là rất cao cũng như không đảm bảo việc truyền thành công

1.1.3.2 Hoạt động, vòng đời của Botnet

Thông thường, các giai đoạn hoạt động trong vòng đời của một Botnet bao gồm các bước: lây lan, tương tác và điều khiển, tấn công, cập nhật và duy trì

a Lây lan

Khi thiết kế một mạng Botnet, kẻ tấn công phải xem xét các cách để lây nhiễm máy của nạn nhân Kẻ tấn công sẽ cố gắng tìm hiểu và khai thác các lỗ hổng bảo mật trên máy tính nạn nhân (các lỗ hổng này có thể được gây ra bởi các phần mềm độc hại trước đó, các uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh

Trang 20

ứng dụng, hoặc lỗi của hệ điều hành…) Botmaster sẽ cố gắng lừa người dùng tải xuống, cài đặt một số phần mềm hoặc tệp tin độc hại, từ đó tấn công vào lỗ hổng bảo mật trên thiết bị của nạn nhân Bên cạnh đó, việc lây nhiễm cũng có thể được tiến hành một cách tự động bằng cách quét các mạng cho các lỗ hổng đã được biết đến trước đó [8]

Tùy vào mục đích cũng như các yếu tố liên quan, kẻ tấn công sẽ lựa chọn triển khai

các biện pháp khai thác và lây nhiễm khác nhau

b Tương tác và điều khiển

Saukhi máy tính nạn nhân trở thành bot, nó sẽ giao tiếp với botmaster qua kênh truyền thông được sử dụng bởi Botnet đó Botmaster sẽ nhận được thông báo về bot mới được lây nhiễm, và bot đó sẽ chờ lệnh đến từ botmaster [8]

1.1.4 Lịch sử ra đời và phát triển

Vào khoảng những năm của thập niên 90, một phương thức tấn công hệ thống mạng mới được khai sinh ra – Botnet Loại Botnet đầu tiên được phát hiện ra tiến hành lây nhiễm cho các máy tính khác ở trong cùng một phòng và cùng thảo luận liên lạc với nhau thông qua kênh IRC và lúc đó các lệnh độc hại sẽ được thực hiện [9]

Năm 2000 sự xuất hiện của Global Threat Bot ra đời đánh dấu sự thay đổi lớn đối với thế giới Botnet này là một Botnet rất mới nó có năng lực rất cao là đáp ứng tất cả yêu cầu trên IRC và được cấp quyền để kết nối truy cập vào TCP gốc và các cổng logic của UDP, vì vậy nó hoàn hảo đối với các cuộc tấn công DDoS đơn giản Điều này bắt buộc tin tặc phải cải hóa mới cách xây dựng Botnet theo thời gian khi mà cũng trong năm 2000 đã có sự thay đổi rất lớn về mặt truyền thông tin là giao thức IRC được đổi sang mạng ngang hàng (peer-to-peer) mạng này còn được gọi là mạng đồng đẳng, tức là một mạng mà máy tính hoạt động chủ yếu dựa vào khả năng tính toán và băng thông của các máy tham gia chứ không còn tập trung vào máy chủ như trước [9]

Tuy nhiên, qua thời gian IRC đã cho con người thấy được những mặt tốt, khả năng và sự hiệu quả của mình, các nhà nghiên cứu về vấn đề bảo mật sớm nhìn thấy và phát hiện ra rằng họ chỉ cần đưa IRC dựa trên các máy chủ lệnh và kiểm soát (Command-and-Control - uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh

Trang 21

C&C) vào danh sách đen để diệt các Botnet Tin tặc là nhóm người có kiến thức và am hiểu về thế giới ảo, chúng tìm đến các mạng P2P thay vì các cơ sở hạ tầng không tập trung C&C Các máy tồn tại như những con zombie, tức là các chủ nhân của máy tính bị nhiễm mạng này không biết được rằng máy mình đang sử dụng đang thực hiện một loạt các hành động bất hợp pháp, vì chúng bị điều khiển bởi các máy tính ma, điều này nhằm cung cấp một mạng P2P có thể ẩn đi máy chủ một cách hiệu quả Dẫn đến làm cho việc phá vỡ hoàn toàn hoạt động của Botnet này gần như là không thể [9]

Năm 2002 là sự xuất hiện của Agobot, nó là một họ khác của sâu máy tính, nó là một chương trình được viết theo dạng đa luồng, hướng đối tượng và được viết bằng ngôn ngữ lập trình C++, chính vì thế việc sử dụng nó rất dễ vì nó không cần nhiều kiến thức để có thể hiểu và sử dụng nó theo ý của mình Chính vì thế đã có thêm một khái niệm về cuộc tấn công nữa bằng cách chia nhỏ các cuộc tấn công theo từng giai đoạn và các dữ liệu vận chuyển của một gói tin sẽ được phân phối lần lượt chia đều cho mỗi gói tin Các cuộc tấn công sẽ phân định rõ nhiệm vụ của mình ví dụ như: cuộc tấn công đầu tiên sẽ tạo ra một cửa sau (backdoor), cuộc tấn công thứ hai sẽ cố gắng hạ gục phần mềm diệt virus và cuộc tấn công thứ ba sẽ chặn sự truy cập của các nhà cung cấp bảo mật và đến lúc này việc tấn công đã hoàn tất [9]

Năm 2003 Spybot được ra đời, sự ra đời của phần mềm chống gián điệp này là do được tạo nên từ cơ sở của SDBot (là loại trojan cổng sau nó cho phép các kẻ tấn công có thể dễ dàng điều khiển máy tính bị nhiễm thông qua các kênh, kênh này gọi là IRC) với các khả năng khác nhau để thực hiện các hoạt động gián điệp Nó có khả năng là ghi các mã khóa, phần mềm gián điệp khai thác dữ liệu và nó có thể dùng để gửi các tin nhắn hoặc spam Nó là botnet đầu tiên phát động các cuộc tấn công dạng DDoS, thậm chí hơn là nó có thể sử dụng proxy SOCKS và nó cũng là botnet đầu tiên áp dụng thuật toán nén và mật mã để tránh bị phát hiện [9]

Năm 2004, với sự xuất hiện của các phần mềm hậu duệ của Agobot là Phatbot là một trong số những phần mềm độc hại botnet đầu tiên được sử dụng P2P thay vì IRC và cũng trong năm này Polybot lần đầu tiên áp dụng các thuật toán mới, các thuật toán này gọi là các thuật toán đa hình để làm cho các mã của nó trở nên động Trên thực tế là vi-rút đa hình có thể biến đổi bộ giải mã của chúng thành một số lượng lớn các trường hợp khác nhau có thể có hàng triệu dạng khác nhau Bên cạnh đó việc bảo vệ phòng chống phần mềm độc hại gặp rất nhiều khó khăn vì Polybot đã có nhiều biến thể khác nhau Cũng trong năm này Botnet cuối cùng cũng đã chuyển sang giao thức HTTP và ICMP từ IRC [9]

Năm 2006 phần mềm độc hại Zeus (Zbot) lần đầu tiên xuất hiện với khả năng là phần mềm gián điệp và qua nhiều năm, một số bản cập nhật của các biên bản được áp dụng và các tính năng mới cũng được đưa vào Theo như các con số đã được ghi nhận và thống kê uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh

Trang 22

thì nó là một trong những Botnet lớn nhất từng được ghi nhận Thậm chí Zeus là phần mềm đầu tiên có thể dễ dàng cho thuê trong Darknet [9]

Hoạt động trong năm 2007, do tính chất của máy chủ C&C những phần mềm bảo vệ đã hiệu quả hơn dựa vào định danh trên IP qua đó đòi hỏi kỹ thuật ngụy trang cao hơn nữa và đã có một dấu ấn quan trọng trong sự phát triển của ngành công nghiệp Botnet Sự xuất hiện đó là Cutwail Botnet, bao gồm cho phép các Botnet tạo ra tên máy chủ, tức là có thể tự tạo ra tên máy chủ có thể giống hoặc khác so với tên máy chủ của chúng để nó có thể thay thế cho các máy chủ C&C của chúng hàng ngày và kể cả các khái niệm về kết nối sao lưu trên máy tính [9]

Năm 2008, với sự xuất hiện của Conficker Botnet đã tạo nên một bước ngoặt lớn bằng việc sử dụng một kỹ thuật tương tự và có khả năng tạo ra 50.000 tên thay thế mỗi ngày Những phát triển liên tục như thế này đã và đang tạo nên những thuận lợi giúp tội phạm mạng che giấu hoạt động botnet tốt hơn và ngày có nhiều công cụ hơn cho chúng thực hiện hành vi của mình khiến cho việc thi hành luật pháp để ngăn chặn chúng gặp phải rất nhiều khó khăn Trên thực tế đây cũng không hoàn toàn là một việc dễ dàng đối với ngay cả tội phạm mạng, nếu không nắm vững những phát triển này chúng sẽ lạc hậu và việc thực hiện hành vi của chúng sẽ dễ bị phát hiện hơn, tuy nhiên cũng đã có một vài sự kiện lớn xảy ra trong thời gian gần đây [9]

Một công ty lưu trữ đã bị loại bỏ ngay sau khi một phóng viên của tờ Washington Post liên lạc với hai nhà cung cấp dịch vụ Internet của công ty để gửi đến họ cảnh báo về hoạt động độc hại thông qua các máy chủ McColo Và cũng từ đó người ta đã nhận ra rằng các nhà cung cấp đã lưu trữ và bảo vệ các máy chủ C&C cho một hoặc thậm chí là rất nhiều botnet lớn mà trong đó bao gồm những cái tên rất nổi tiếng như Cutwail và Rustock Sau đó, khi mà máy chủ độc hại đó đã bị loại khỏi Internet vào tháng 11, trên thế giới có một sự chuyển biến hết sức quan trọng đó là mức độ spam toàn cầu giảm đi rất nhiều gần 80% Tuy nhiên, không lấy gì là chắc chắn rằng không còn những thứ khác không xuất hiện và người ta dự báo rằng thư rác sẽ sớm thống trị trở lại [9]

Trong năm 2009, sự xuất hiện với ước tính có đến 30 triệu Botnet với một mạng lưới có kích thước lớn như thế này nó có khả năng phát tán hơn 3,6 tỷ email rác độc hại mỗi ngày cho các máy tính và người dùng trên thế giới Năm 2010 Mã Zeus được tích hợp vào SpyEye phần mềm độc hại và tiếp thị đến các khách hàng và tội phạm mạng Botnet và thư rác Waledac bị gỡ xuống đó là thư của Microsoft Năm 2011 ‘Gameover Zeus’ xuất hiện bằng cách sử dụng giao thức P2P để liên hệ với các trang web C&C Năm 2012 Grum botnet bị gỡ xuống có sự phối hợp hoạt động của các nước như Nga, Ukraine, Panama, và Hà Lan [9]

Trang 23

Năm 2013 các chuyên gia bảo mật đã đưa ra các báo cáo đầu tiên về Botnet android như MisoSMS Sau đó việc thực thi pháp luật chung và khu vực tư nhân đã gỡ xuống nhiều Botnet của Citadel, chịu trách nhiệm về vụ trộm 500 triệu đô-la từ tài khoản ngân hàng của người tiêu dùng và doanh nghiệp Năm 2014 Tovar: Bộ Tư pháp (DOJ) cùng với thực thi pháp luật ở nhiều quốc gia và bắt đầu kiểm soát mạng Botnet Gameover Zeus [9]

Sau đó hai năm tức là năm 2016 cả thể giới đã chứng kiến sự nổi lên của một thế lực đó là Mirai một Botnet được coi là khét tiếng và là kẻ đứng sau các cuộc tấn công vào mạng Dyn vào tháng 10 năm 2016 cuộc tấn công đã khiến cho Spotify, Netflix, Amazon và những mục tiêu khác ngoại tuyến bị thiệt hại nặng nề Và cũng kể từ đó trên các website của các hacker đã và đang phân phối một dạng mã nguồn mở đó là mã nguồn của Botnet chúng xuất hiện rất nhiều và ngày càng mở rộng thêm Năm 2017 đến nay Các Botnet IoT đã mở rộng và trở thành Botnet được lựa chọn nhất trong năm Các nhà phát triển tuyên bố Botnet sẽ tiếp tục sáng tạo và bí mật hơn, xây dựng các mạng Botnet ngày càng khó phá vỡ [9]

1.1.5 Tác hại của Botnet

Botnet được tạo ra với các mục đích nhằm gây hại cho mục tiêu Trong đó loại tấn công tiêu biểu nhất có thể kể tới chính là tấn công DDoS

- Tấn công DDoS: trong cuộc tấn công DDoS, bằng cách ra lệnh cho các bot gửi đồng loạt các yêu cầu tới hệ thống, mục đích của những cuộc tấn công DDoS là nhằm phá vỡ tính sẵn dùng của dịch vụ, hệ thống đó, khiến hệ thống máy tính hoặc tài nguyên mạng bị nghẽn và người dùng hợp pháp sẽ không thể sử dụng được [8] - Gửi thư rác (spam) là một loại tấn công khác của Botnet, các Botnet được sử dụng

để gửi thư rác bởi khả năng thay đổi nhanh chóng và dễ dàng từ các địa chỉ IP hợp pháp khác nhau [8]

- Phishing: Tương tự như mục đích gửi thư rác, phishing là việc kẻ tấn công dựa vào tính linh hoạt của địa chỉ IP được cung cấp bởi Botnet để thực hiện hành vi lừa đảo Nếu một trang web lừa đảo bị gỡ xuống, ngay lập tức một bản sao của nó sẽ nhanh chóng được dựng lại [8]

- Click Fraud: Dạng tấn công này liên quan tới việc tăng doanh thu cho bên thứ 3 bằng hành vi kích chuột vào trang quảng cáo trực tuyến hoặc truy cập vào trang web [8]

- Đánh cắp thông tin: Các bot có thể đánh cắp thông tin trên mạng và cả trên máy tính nạn nhân (bot) Điều này sẽ giúp cho botmaster có thể thu thập được các thông tin quan trọng và nhạy cảm của người dùng [8]

1.1.6 Hành vi của một số loại Botnet

Trong môi trường mạng Internet, các phần mềm bình thường gửi thông tin dựa trên một giao thức và khiến mọi thứ trong tầm kiểm soát, ngược lại đối với mã độc, chúng uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh

Trang 24

thường sinh ra một lượng lớn lưu lượng mạng hoặc gửi thông tin rác để từ đó gây hại cho mục tiêu và tạo nên sự hỗn loạn

Spam và DDoS là hai loại mã độc Botnet tiêu biểu khi chúng có thể kiểm soát các máy bị nhiễm nhằm phát tán tin rác hoặc Ngoài ra còn một số loại mã độc khác [10]

1.1.6.1 Hành vi SPAM

Đối với hành vi của Spam: các mail được gửi từ Spam sẽ không khác là bao so với các mail thông thường, điểm khác biệt chính là chúng sẽ gửi mail với cùng nội dung tới các máy khác trong một khoảng thời điểm Bởi hệ thống mail thường sử dụng giao thức SMTP tại cổng 25, 587, do vậy Spam cũng là tương tự Để xác định hành vi Spam, giao thức, cổng và khác biệt trong thời gian gửi là những thông tin cần quan tâm [10]

1.1.6.2 Hành vi DDoS

Tấn công từ chối dịch vụ phân tán là loại tấn công tiêu biểu nhất cho một cuộc tấn công Botnet Trong tấn công DDoS, kẻ tấn công sẽ điều khiển máy chủ C&C gửi lệnh tới tất cả các bots mà nó kiểm soát Các bots này sẽ nghe lệnh và gửi một lượng lớn gói tin ICMP (Internet Control Message Protocol) tới nạn nhân tại cùng một thời điểm Những gói tin ICMP này chứa request và yêu cầu câu trả lời từ nạn nhân, một lượng lớn những yêu cầu như vậy được gửi tới sẽ khiến máy nạn nhân cạn tài nguyên và không thể đáp ứng các yêu cầu từ người dùng thông thường Từ đây rút ra được rằng, để xác định một bot, cần phải chú tâm số lượng yêu cầu được gửi tới một địa chỉ đích trong một khoảng thời gian và sử dụng giao thức ICMP [10]

1.1.6.3 Hành vi các loại mã độc khác

Ngoài 2 loại tiêu biểu ở trên, các loại mã độc khác cũng có một đặc điểm chung chính là cổng đích (destination port) Có tất cả 65536 cổng được định nghĩa bởi IANA (Internet Assigned Numbers Authority), 1024 cổng đầu được coi là cổng của các dịch vụ phổ biến, các cổng khác có thể được sử dụng bởi bất kỳ ứng dụng nào [10]

Số của cổng dịch vụ chính là một cách khả thi để nhận diễn mã độc khi dựa vào hành vi của chúng

1.2 Các phương pháp, kỹ thuật phát hiện Botnet

Trong phần này đồ án sẽ trình bày về các phương pháp, kỹ thuật phát hiện Botnet hiện có trên thế giới Các kỹ thuật này được phân loại theo 3 phương pháp tiếp cận chính: honeypot-based, signatured-based, anomaly-based [19]

1.2.1 Phát hiện dựa trên honeypot

Honeypot là một hệ thống máy tính, thường được đặt trong mạng DMZ (Demilitarized Zone) của công ty, tập đoàn, nó được xây dựng giả dạng như hệ thống thật từ đó đánh lừa attacker tấn công vào nó

Trang 25

Honeypot sẽ tiến hành lưu, thu thập các loại thông tin như: chữ ký của bot, cơ chế hoạt động của C&C Server, chi tiết về Botnet, kỹ thuật sử dụng bởi attacker, mục tiêu của attacker, và quan trọng nhất, lỗ hổng của hệ thống mà bot khai thác

Kỹ thuật này rất hiệu quả trong việc thu thập, truy vết Botnet, nó cung cấp bản phân tích, kiểm tra đối với hành vi của các bot cho người giám sát Các thông tin hữu dụng mà honeypot thu thập được: chữ ký của bot, thông tin về cơ chế hoạt động của C&C Server Botnet, lỗ hổng bảo mật chưa biết mà bot khai thác, công cụ, kỹ thuật mà attacker sử dụng, mục tiêu của attacker [19]

Tuy nhiên, honeypot có một số giới hạn trong việc phát hiện bot lây nhiễm: có tỉ lệ giới hạn trong việc truy vết hành vi khai thác, không thể bắt các bot sử dụng kỹ thuật lây lan mà ngoài kết quả quét được, chỉ có thể đưa ra báo cáo đối với những máy bị nhiễm mà được dự đoán trước và đưa vào mạng honeypot như một máy bẫy, nghĩa là nó không thể đưa ra báo cáo về những máy bị nhiễm bot mà không phải máy bẫy, hay ta phải chờ tới khi một bot lây nhiễm cho hệ thống từ đó tiến hành truy vết, phân tích [19]

1.2.2 Phát hiện dựa trên chữ ký

Kỹ thuật này phát hiện các hành vi của bot dựa trên các khuôn mẫu được định nghĩa từ trước hay các chữ ký của các bot phổ biến, do vậy độ chính xác của kỹ thuật này là khá cao [19]

Tuy nhiên, kỹ thuật này có một số hạn chế: đầu tiên, bot có thể thoát khỏi sự phát hiện của

kỹ thuật phát hiện dựa trên chữ ký bằng cách dùng kỹ thuật code obfuscation, từ đó việc

xác định bot theo khuôn mẫu sẽ bị cản trở và không thể thực hiện Hạn chế thứ hai, các khuôn mẫu hay chữ ký đều được thu thập từ các bot phổ biến hay đã biết, điều này có nghĩa hệ thống sẽ không có sức phòng thủ trước các loại bot mới [19]

1.2.3 Phát hiện dựa trên bất thường

Phát hiện dựa trên bất thường (Anomaly-based) là kỹ thuật xác định Botnet dựa trên các trường dữ liệu bất thường trong lưu lượng mạng như độ trễ cao bất thường, lưu lượng cao bất thường, cổng dịch vụ khác thường, hành vi khác thường, … từ đó có thể xác định được sự hiện diện của mã độc bot trong mạng [19]

Ưu điểm của kỹ thuật này nằm ở việc nó có thể tìm ra các loại bot mới một cách dễ dàng dựa vào sự bất thường trong lưu lượng mạng mà không cần dựa trên khuôn mẫu, chữ ký có trước Tuy vậy, nó sẽ không gửi cảnh báo nếu hành vi của mã độc giống như lưu lượng bình thường [19]

Phát hiện dựa trên bất thường được chia làm 4 loại chính: khai phá dữ liệu (data mining), phân tích hành vi (behavioral analysis), DNS, thống kê (statistical approaches)

Trang 26

1.2.3.1 Khai phá dữ liệu (Data mining)

Data mining – khai phá dữ liệu là quá trình phân loại, sắp xếp các tập hợp dữ liệu lớn để xác định các mẫu và thiết lập các mối liên hệ nhằm giải quyết các vấn đề nhờ phân tích dữ liệu

Data mining có thể được sử dụng trong xác định Botnet Điểm mạnh là các thuật toán data mining cho phép việc tự động phát hiện các đặc tính từ một bộ dữ liệu lớn Kỹ thuật này có tính tương tác, trực quan và làm việc trực tiếp với kho dữ liệu [19]

Data mining vẫn có một số hạn chế trong xác định Botnet Kỹ thuật này hỗ trợ trong việc khai phá khuôn mẫu và mối liên hệ trong dữ liệu, nhưng nó không thể đảm bảo một kết quả hoàn hảo, không thể giải thích nguyên nhân dẫn tới kết quả, cũng như không thể sửa nếu dữ liệu gặp vấn đề [19]

1.2.3.2 Phân tích hành vi (Behavioral Analysis)

Kỹ thuật phân tích hành vi có thể áp dụng vào trong phát hiện Botnet thông qua các hành vi của lưu lượng mạng Một trong những ưu điểm quan trọng nhất của kỹ thuật phân tích hành vi là khả năng phát hiện những mối nguy từ Botnet chưa biết Phân tích hành vi trong lưu lượng mạng hoạt động dựa trên đặc tính cơ bản được tìm ra bởi các chủng loại Botnet khác nhau và không quan hệ tới kiến trúc (ví dụ: centralized, P2P) cũng như giao thức liên lạc (ví dụ: IRC, HTTP) được sử dụng bởi các loại Botnet [19]

Phương pháp phân tích hành vi lưu lượng mạng không phụ thuộc vào nội dung mà packet chứa đựng, điều này có nghĩa nó hoạt động ngay cả trên lưu lượng bị mã hóa Rất nhiều nghiên cứu đã chỉ ra rằng, việc xác định lưu lượng mạng có thể được phân biệt một cách hiệu quả đối với các loại lưu lượng ứng dụng mạng Phần lớn những nghiên cứu này sử dụng các kỹ thuật học máy tinh vi và đưa ra báo cáo với độ chính xác hơn 90%.[11]

Xác định Botnet từ việc phân tích hành vi lưu lượng mạng thường nhắm tới mục tiêu là học về các đặc tính khác nhau trong lưu lượng mạng Ví dụ như kích thước gói tin, thời lượng truyền, số gói tin ACK, SYN, … Kỹ thuật phát hiện dựa trên phân tích hành vi sẽ sử dụng kết hợp những đặc tính trên vào trong mô hình học máy từ đó xây dựng nên những khuôn mẫu để phân biệt các loại lưu lượng mạng khác nhau, phân biệt được giữa lưu lượng của Botnet và lưu lượng của ứng dụng mạng khác [11]

Phân tích hành vi lưu lượng mạng có thể là một công cụ rất mạnh trong việc xác định Botnet, nhưng về thời gian xử lý, yêu cầu đối với môi trường phù hợp để quan sát hành vi của máy tính, hay nguy cơ dương tính giả có thể làm cho việc chẩn đoán gặp nhiều khó khan [19]

1.2.3.3 DNS

Kỹ thuật phát hiện Botnet dựa trên DNS là một trong các kỹ thuật anomaly-based sử dụng trên lưu lượng DNS Cơ chế phát hiện Botnet được phát triển nên với 4 bước Bước uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh

Trang 27

đầu tiên, tìm ra các đặc tính của lưu lượng DNS của Botnet mà khác biệt với lưu lượng

DNS thơng thường Bước hai, tìm ra một đặc tính khĩa của lưu lượng DNS và gọi là “hành

vi nhĩm” Bước 3, phát triển thuật tốn để phân biệt truy vấn DNS của Botnet bằng cách sử

dụng đặc tính “hành vi nhĩm” Bước cuối, phân tích thuật tốn để chứng minh tính khả thi của cơ chế phát hiện Do nĩ là cơ chế phát hiện anomaly-based, nên việc phát hiện Botnet sẽ khơng phụ thuộc vào chủng loại bot, Botnet [19]

Ưu điểm của kỹ thuật này nằm ở sự phổ biến của dữ liệu DNS cũng như cách thức thu thập dữ liệu dễ dàng cho mục đích xác định Botnet Tuy nhiên một số điểm trừ cĩ thể kể ra của kỹ thuật này: địa chỉ nguồn truy vấn DNS cĩ thể bị che giấu bằng cách sử dụng NAT, do đĩ địa chỉ nguồn cơng khai cĩ thể thu thập được chỉ là địa chỉ IP cơng khai của mạng chứa bot [19]

1.2.3.4 Thống kê (Statistical approaches)

Kỹ thuật thống kê chủ yếu dựa trên việc mơ hình hĩa dữ liệu, cụ thể là các thuộc tính thống kê, sử dụng những thơng tin này để tiến hành đánh giá liệu mẫu thử là bot hay khơng [19]

Điểm mạnh của kỹ thuật thống kê nằm ở khả năng phân tích dữ liệu nhanh chĩng, hơn nữa, kỹ thuật này thường đơn giản và minh bạch [19]

Trong thực tế, Botnet rất linh hoạt và thay đổi vơ cùng nhanh chĩng, dẫn tới việc kỹ thuật dựa trên thống kê sẽ khơng hiệu quả Cĩ thể tốn nhiều thời gian trong việc xử lý, thu thập dữ liệu [19]

1.3 Kết chương

Tại chương đầu tiên, đồ án đã giới thiệu sơ lược về bài tốn cần giải quyết – các phương pháp phát hiện Botnet dựa trên học máy sử dụng lưu lượng mạng, đồng thời trình bày các khái niệm về mã độc, Botnet, kiến trúc, phương thức hoạt động của Botnet, và các phương pháp phát hiện Botnet hiện cĩ trên thế giới Tại chương tiếp theo, đồ án sẽ tiến hành giới thiệu về học máy nĩi chung và các thuật tốn học máy được sử dụng nĩi riêng Đĩ là các thuật tốn như: Nạve Bayes, Cây quyết định, Rừng ngẫu nhiên, SVM

Trang 28

CHƯƠNG 2: PHÁT HIỆN BOTNET DỰA TRÊN HỌC MÁY SỬ DỤNG LƯU LƯỢNG MẠNG

Trong chương 2, đồ án sẽ giới thiệu sơ lược về mơ hình phát hiện Botnet dựa trên học máy sử dụng lưu lượng mạng, các khâu xử lý bên trong đồng thời giới thiệu tổng quan về học máy (machine learning), khái niệm, phân loại, ứng dụng, cũng như đi sâu hơn vào các giải thuật học máy ứng dụng trong phần thực nghiệm

2.1 Mơ hình phát hiện Botnet dựa trên học máy sử dụng lưu lượng mạng

2.1.1 Giới thiệu mơ hình

Để giải quyết bài tốn phát hiện Botnet, tại chương 2 này, đồ án sẽ đưa ra mơ hình tổng quan trong việc phát hiện Botnet dựa trên học máy sử dụng lưu lượng mạng

Dữ liệu đầu vào sẽ là file CSV bao gồm các lưu lượng Botnet, lưu lượng bình thường và lưu lượng nền Tập dữ liệu trên sẽ trải qua bước tiền xử lý và được coi là đầu vào của mơ hình học máy, mơ hình học máy sẽ được sử dụng để giải quyết bài tốn bao gồm 4 loại: SVM, Nạve Bayes, Cây quyết định và Rừng ngẫu nhiên

Hình 2-1: Mơ hình xử lý bài tốn

2.1.2 Các khâu xử lý

Quy trình cụ thể bao gồm các bước sau: bước đầu, xử lý dữ liệu thơ; bước hai, đưa dữ liệu của các thuộc tính về cùng một tỷ lệ, đưa bộ dữ liệu trên vào mơ hình huấn luyện; bước ba, tiến hành phân loại dựa trên mơ hình được huấn luyện ở bước trên, tính tốn các thơng số độ chính xác của mơ hình học máy

2.1.2.1 Tiền xử lý

Tại bước đầu tiên trong quy trình giải bài tốn, cơng việc phải làm chính là tiền xử lý, hay xử lý dữ liệu thơ sang dạng dữ liệu mà cĩ thể sử dụng để đưa vào mơ hình học máy Cụ thể hơn, tiến hành loại bỏ các trường thuộc tính khơng quan trọng, chuẩn hĩa các dữ liệu dạng chữ về dạng số, loại bỏ hoặc quy chuẩn những dữ liệu trống về -1 Sau khi xử lý xong, tiến hành tách bộ dữ liệu thành 2 phần với tỷ lệ 70:30, trong đĩ 70% sẽ được sử dụng để huấn luyện mơ hình và 30% cịn lại được dùng trong việc kiểm thử độ chính xác của mơ uhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihhuhah tieh va dahh gia tihh hihh hoat dohg tai ehihh tai eohg ty thhh uhat trieh due mihh hoc bihh

Trang 29

hình Trước khi tiến hành huấn luyện mơ hình, cơng việc phải làm là đưa các trường dữ liệu về một tỷ lệ, từ đĩ việc huấn luyện mơ hình sẽ chính xác hơn

2.1.2.2 Huấn luyện mơ hình

Tại bước huấn luyện mơ hình, đồ án sử dụng thư viện sklearn (sẽ được giới thiệu ở chương 3) hỗ trợ Cả 4 thuật tốn được sử dụng để huấn luyện mơ hình là: SVM, Nạve Bayes, Cây quyết định và Rừng ngẫu nhiên đều là các module cĩ sẵn trong thư viện sklearn Sử dụng 70% bộ dữ liệu đã được tách ra ở bước tiền xử lý là đầu vào, sau khi huấn luyện mơ hình,

2.1.2.3 Kiểm thử mơ hình

Tại bước kiểm thử mơ hình, bộ dữ liệu bao gồm 30% bộ được tách ra ban đầu được sử dụng để tiến hành tính tốn độ chính xác của mơ hình Các độ đo được sử dụng ở đây bao gồm: Accuracy, Precision, F1-Score, Recall, FPR (False Positive Rate – Tỷ lệ dương tính giả), FNR (False Negative Rate – Tỷ lệ âm tính giả)

Sau khi cĩ được các độ đo của các mơ hình, tiến hành so sánh độ chính xác giữa các mơ hình với nhau

2.2 Khái quát về học máy

2.2.1 Giới thiệu học máy

Trí tuệ nhân tạo (AI – Artificial Intelligence) là một ngành thuộc lĩnh vực khoa học máy tính (Computer science) Cơng nghệ AI là cơng nghệ mơ phỏng các quá trình suy nghĩ và học tập của con người cho máy mĩc, đặc biệt là các hệ thống máy tính Các quá trình này bao gồm việc học tập (thu thập thơng tin và các quy tắc sử dụng thơng tin), lập luận (sử dụng các quy tắc để đạt được kết luận gần đúng hoặc xác định) và tự sửa lỗi

Trang 30

Học máy (Machine learning) là một nhánh con của trí tuệ nhân tạo (AI) và khoa học máy tính, nó tập trung vào việc sử dụng dữ liệu và các thuật toán để giúp máy tính mô phỏng lại hành động học tập của con người mà không cần phải lập trình cụ thể, nghĩa là thay vì code phần mềm bằng cách thức thủ công với một bộ hướng dẫn cụ thể để hoàn thành một nhiệm vụ cụ thể, máy được “đào tạo” bằng cách sử dụng một lượng lớn dữ liệu và các thuật toán cho phép nó học cách thực hiện các tác vụ, từ đó cải thiện một cách toàn diện độ chính xác, hiệu suất tính toán [12]

Học máy là một thành phần không thể thiếu trong sự phát triển của lĩnh vực khoa học dữ liệu (data science) Thông qua việc sử dụng các phương pháp thống kê, các thuật toán được đưa vào để tiến hành “training” từ đó tạo nên các tập phân loại hoặc tập dự đoán tùy theo mục đích

Cụm từ “training” ám chỉ việc áp dụng các thuật toán, sau khi đưa tập dữ liệu đầu vào vào, máy tính sẽ tiến hành “học tập” và xây dựng nên khuôn mẫu để sử dụng cho việc dự đoán trong tương lai

Bài toán machine learning thường được chia làm hai loại là dự đoán (prediction) và phân loại (classification)

- Các bài toán dự đoán như dự đoán giá nhà, giá xe…

- Các bài toán phân loại như nhận diện chữ viết tay, nhận diện đồ vật…

Hình 2-3: Học máy và học sâu

Học sâu (Deep learning) là một kỹ thuật của machine learning, nhưng không như

machine learning được huấn luyện bởi các chuyên gia để máy tính nhận biết được các mẫu dữ liệu và dự đoán, trong học sâu, máy tính sẽ tự huấn luyện bản thân nó

Trang 31

Học sâu có thể được coi là một loại học máy với mạng thần kinh (neural-networks), có thể xử lý dữ liệu theo như cách tương tự mà bộ não con người hoạt động, trong quá trình huấn luyện, máy tính sẽ nhận đầu vào là một bộ dữ liệu lớn, tiến hành tìm ra điểm chung, điểm khác nhau trong các tập dữ liệu, để khi đến giai đoạn testing, dựa vào những gì đã học, máy tính sẽ đưa ra kết luận

2.2.2 Quy trình làm việc (Workflow)

Hình 2-4: Các bước triển khai mô hình học máy [14]

Học máy có một quy trình làm việc chung gồm 5 bước: Data collection, Preprocessing, Training model, Evaluating model, Improve model [13]

1 Data collection (Thu thập dữ liệu): để máy tính có thể học được, ta cần cung cấp cho máy tính dữ liệu đầu vào (dataset), tự thu thập hoặc từ các bộ dữ liệu thử nghiệm đã được công bố trước đó (CTU-13, CSE-CIC-IDS2018)

2 Preprocessing (Tiền xử lý): tại bước này, các công việc cần làm là chuẩn hóa dữ liệu, loại bỏ các thuộc tính không cần thiết, gán nhãn dữ liệu, mã hóa một số đặc trưng, trích xuất đặc trưng, rút gọn dữ liệu nhưng vẫn đảm bảo kết quả đầu ra,… Bước 1 và 2 thường chiếm hơn 70% tổng thời gian thực hiện

3 Training model (Huấn luyện mô hình): trong bước này, máy tính sẽ tiến hành học dựa trên dữ liệu được đưa vào, kết hợp thuật toán học máy được sử dụng, xây dựng nên mô hình cho bài toán

4 Evaluating model (Đánh giá mô hình): sau khi đã huấn luyện mô hình xong, ta cần dùng các độ đo để đánh giá mô hình, tùy vào từng độ đo khác nhau mà mô hình cũng được đánh giá tốt hay không khác nhau Độ chính xác của mô hình đạt trên 80% được cho là tốt 5 Improve model (Cải thiện mô hình): sau khi đã đánh giá mô hình, các mô hình đạt độ chính xác không tốt thì cần được train lại, lặp lại từ bước 3, cho đến khi đạt độ chính xác như kỳ vọng Tổng thời gian của 3 bước cuối rơi vào khoảng 30% tổng thời gian thực hiện

Trang 32

Học máy được phân loại thành 3 nhóm chính theo phương pháp học: học máy có giám sát (supervised machine learning), học máy không giám sát (unsupervised machine learning), học máy bán giảm sát (semi-supervised machine learning)

2.2.3.1 Học máy có giám sát (Supervised Machine Learning)

Học máy có giám sát là phương pháp dự đoán đầu ra của một dữ liệu mới dựa trên các cặp (dữ liệu đầu vào, kết quả) đã biết từ trước Cặp dữ liệu này còn được gọi là (dữ liệu, nhãn)

Cụ thể hơn, học máy có giám sát được định nghĩa là việc đưa vào máy tính bộ dữ liệu được đánh nhãn sẵn (đánh nhãn theo nhóm phân loại), tiến hành huấn luyện theo một thuật toán, từ đó tiến hành xây dựng mô hình của bài toán Sau khi tìm hiểu cách tốt nhất để mô hình hóa các mối quan hệ cho dữ liệu được gắn nhãn, các thuật toán được huấn luyện sẽ được sử dụng cho các bộ dữ liệu mới (không được gán nhãn) Công việc của máy tính lúc này là dựa vào mô hình đã xây dựng tiến hành đánh nhãn phân loại hoặc dự đoán nhãn cho bộ dữ liệu mới

Ứng dụng của kĩ thuật học có giám sát: Xác định tín hiệu hay biến số tốt nhất để dự báo lợi nhuận trong tương lai của cổ phiếu hoặc dự đoán xu hướng thị trường chứng khoán

2.2.3.2 Học máy không giám sát (Unsupervised Machine Learning)

Học máy không giám sát sử dụng các thuật toán học máy để phân tích và phân nhóm cho các bộ dữ liệu không được đánh nhãn Những thuật toán này sẽ tiến hành khám phá các khuôn mẫu của bộ dữ liệu hoặc nhóm chúng mà không cần sự can thiệp của con người

Khả năng tìm ra điểm tương đồng và khác biệt trong thông tin khiến cho học máy không giám sát trở thành một giải pháp lý tưởng cho các ngành ngành phân tích dữ liệu, nhận diện ảnh,

Phương pháp học máy không giám sát có thể được chia nhỏ thành hai loại: Clustering (Phân nhóm), Association

- Clustering (Phân nhóm): bài toán sẽ đưa ra một tập dữ liệu X, công việc của máy tính là dựa vào đặc điểm của thông tin trong tập dữ liệu, tìm ra sự tương đồng hoặc khác biệt để phân loại chúng

- Association: bài toán khám phá ra một quy luật dựa trên nhiều dữ liệu cho trước

2.2.3.3 Học máy bán giám sát (Semi-Supervised Machine Learning)

Học máy bán giám sát là hội tụ của 2 loại học máy có giám sát và học máy không giám sát Bộ dữ liệu lớn X đầu vào được đưa vào máy tính, nhưng chỉ có một phần dữ liệu trong đó là được đánh nhãn Trong suốt quá trình training, nó sẽ sử dụng bộ dữ liệu đã đánh nhãn để tiến hành hướng dẫn phân loại và trích xuất các đặc tính từ bộ dữ liệu lớn hơn – bộ không được đánh nhãn

Trang 33

Học máy bán giám sát thường được sử dụng để giải quyết các bài toán mà dữ liệu đầu vào là các bộ dữ liệu không có đủ dữ liệu được đánh nhãn để thực hiện học máy có giám sát

2.2.4 Các thuật ngữ trong học máy

Trong phần này, đồ án sẽ trình bày định nghĩa về một số thuật ngữ trong học máy

- Dataset: là tập dữ liệu ở dạng nguyên thủy chưa qua xử lý mà đã thu thập được ở

bước thu thập dữ liệu Một bộ dữ liệu sẽ bao gồm nhiều điểm dữ liệu (datapoint) [13]

- Data point: là điểm dữ liệu, mỗi điểm dữ liệu biểu diễn cho một quan sát Mỗi điểm dữ liệu có nhiều đặc trưng hay thuộc tính khác nhau, được chia làm hai loại: dữ liệu số (numerical) và dữ liệu không phải số (ví dụ như chuỗi) (non-numerical/categorical) Điểm dữ liệu được biểu diễn thành dòng tương ứng, mỗi dòng có thể có 1 hoặc nhiều dữ liệu (chính là các đặc trưng) [13]

- Training data và testing data: bộ dữ liệu thường sẽ được chia làm 2 tập này, training data dùng để huấn luyện cho mô hình, testing data dùng để dự đoán kết quả và đánh giá mô hình Có những bài toán sẽ cho sẵn hai tập này thì không cần phải chia ra, đối với những bài toán chỉ cho một bộ dữ liệu thì công việc phải làm là chia bộ dữ liệu thành training data và testing data Thông thường tỷ lệ giữa tập training và testing sẽ là 8:2 hoặc 7:3 [13]

- Features vector: là vector đặc trưng, mỗi vector này sẽ biểu diễn cho một điểm dữ liệu trong dataset Mỗi vector có n chiều biểu diễn các đặc trưng của điểm dữ liệu, mỗi đặc trưng là một chiều và phải là dữ liệu số Các mô hình chỉ có thể huấn luyện được từ các vector đặc trưng này, do đó dataset cần phải chuyển về dạng một tập các vector đặc trưng (features vectors) [13]

- Model: là các mô hình được dùng để huấn luyện trên một bộ dữ liệu huấn luyện theo thuật toán của mô hình đó Sau đó mô hình có thể dự đoán hoặc đưa ra các quyết định dựa trên những gì chúng đã được học [13]

- Overfitting: khi mô hình có độ chính xác cao với bộ dữ liệu huấn luyện, nhưng độ chính xác thấp với bộ dữ liệu mới (hay dữ liệu tổng thể)

- Underfitting: khi mô hình có độ chính xác thấp trên cả bộ dữ liệu huấn luyện và bộ dữ liệu mô tả tổng thể mới

Trang 34

- Nhận diện giọng nĩi (Speech recognition): Hay nhận biết giọng nĩi tự động (ASR - automatic speech recognition), cĩ khả năng sử dụng cơ chế xử lý ngơn ngữ tự nhiên (NLP - natural language processing) để xử lý biến đổi giọng nĩi con người thành dạng văn bản Rất nhiều thiết bị điện thoại di động thơng minh, gần như tất cá đều được tích hợp chức năng nhận diện giọng nĩi trong hệ thống để áp dụng trong chức năng tìm kiếm bằng giọng nĩi (Ví dụ: trợ lý ảo Siri, Google assistant) [12]

- Chăm sĩc khách hàng (Customer service): Online chatbots ngày nay đã được đưa vào để thay thế cho con người trong việc hỗ trợ khách hàng Cụ thể hơn, chatbot sẽ hỗ trợ trả lời khách hàng về các câu hỏi thường gặp (FAQ - Frequently Asked Questions) đối với mỗi chủ đề [12]

- Thị giác máy tính (Computer vision): Cơng nghệ AI cho phép hệ thống máy tính cĩ thể thu thập thơng tin hữu ích từ hình ảnh kỹ thuật số, video Khả năng này cho phép nĩ cĩ thể hỗ trợ trong các nhiệm vụ nhận dạng hình ảnh Được hỗ trợ bởi mạng lưới nơ-ron phức hợp, thị giác máy tính đã được áp dụng rộng rãi trong nhận diện người được tag trong ảnh trên mạng xã hội, xe tự lái trong ngành cơng nghiệp ơ tơ [12]

- Hệ thống gợi ý (Recommendation engine): Sử dụng hành vi dữ liệu tiêu dùng trong

quá khứ của người dùng, các thuật tốn AI cĩ thể hỗ trợ khám phá các xu hướng dữ liệu cĩ thể được sử dụng để phát triển các chiến lược bán kèm hiệu quả hơn [12]

- Phát hiện mã độc (Malware detection): Cơng nghệ thơng tin đang phát triển qua từng ngày đi theo đĩ chính là hiểm họa về bảo mật thơng tin Mỗi một phần mềm mới được ra đời và đưa vào thị trường, một loại khai thác mới, mã độc mới sẽ được sinh ra ngay sau đĩ bởi attacker với nhiều mục đích khác nhau Machine learning với khả năng tự học dựa vào dữ liệu đầu vào được cung cấp, sẽ cung cấp cho máy tính khả năng xây dựng nên các mơ hình để từ đĩ cĩ thể phát hiện ra các loại mã độc cùng loại

Cụ thể hơn ở đây, tại phần thực nghiệm của đồ án sẽ sử dụng các thuật tốn machine learning tiến hành xây dựng nên mơ hình phát hiện Botnet trong mạng

2.3 Một số thuật tốn học máy cĩ giám sát

Trong phần này, đồ án sẽ tiến hành tìm hiểu sâu hơn về các thuật tốn học máy sẽ được sử dụng trong thực nghiệm Các thuật tốn bao gồm: SVM, Cây quyết định (Decision Tree), Rừng ngẫu nhiên (Random Forest), Nạve Bayes

2.3.1 SVM (Support Vector Machine)