Hệ thống phát hiện xâm nhập hai tầng cho các mạng IOT sử dụng máy học
Do sự phổ biến ngày càng tăng và thiếu các tiêu chuẩn bảo mật, các thiết bị Internet of Things (IoT) đã trở thành mục tiêu của các hoạt động độc hại như xâm nhập mạng và tấn công DoS.
Với mục đích cung cấp một giải pháp an ninh cho các thiết bị IoT, một hệ thống phát hiện xâm nhập hai tầng áp dụng các mô hình máy học được giới thiệu trong bài viết này. Tầng thứ nhất của giải pháp là một mô hình phân loại nhị phân gọn nhẹ, được cài đặt trên gateway của các nhánh mạng IoT để phát hiện các hành vi độc hại trong thời gian thực. Tầng thứ hai là một mô hình phân loại đa lớp, được triển khai trên máy chủ đám mây để xác định loại cụ thể các hoạt động độc hại xảy ra trên nhiều nhánh mạng cùng lúc. Kết quả thực nghiệm cho thấy rằng giải pháp được đề xuất hoạt động hiệu quả, có thể phát hiện các hành vi tấn công sử dụng các tham số tùy biến hiệu quả hơn so với công cụ IDS truyền thống Snort.
Sự phổ biến ngày càng tăng theo cấp số nhân của các thiết bị Internet of Things (IoT) đã khiến chúng trở thành mục tiêu thường xuyên của các cuộc tấn công và xâm nhập mạng (Vinayakumar et al., 2019). Do các đặc điểm về thiết kế nên các hệ thống IoT thường dễ bị tổn thương ngay cả đối với các cuộc tấn công qui mô nhỏ. Thiệt hại về kinh tế do các cuộc tấn công và xâm nhập mang lại là rất lớn. Vì số lượng, đặc điểm và tính không đồng nhất của các thiết bị IoT nên việc đảm bảo an ninh cho chúng bằng các phương pháp truyền thống là không phù hợp. Thật vậy, các thiết bị này có thời gian hỗ trợ nâng cấp (nếu có) từ các nhà sản xuất là rất ngắn. Ngoài ra, chúng cũng không khả thi để cài đặt các giải pháp an ninh đầu cuối (endpoint security solution), ví dụ như tường lửa hay chương trình chống mã độc, lên chính các thiết bị này do sự hạn chế cả về phần cứng và phần mềm của chúng. Những phân tích trên cho thấy việc đề xuất và xây dựng một giải pháp phù hợp và hiệu quả để phát hiện các hình thức tấn công và xâm nhập mạng cho các hệ thống IoT là rất cấp thiết.
Các giải pháp phát hiện xâm nhập ở mức mạng (network-based intrusion detection system - NIDS) truyền thống như Snort và Suricata, bằng cách phân tích các đặc điểm của dữ liệu mạng (traffic signature) đã tỏ ra khá hiệu quả trong việc phát hiện các hình thức tấn công và xâm nhập đã biết (Albin et al., 2012). Tuy nhiên, chúng lại tỏ ra kém hiệu quả trong nhận biết các hình thức tấn công mới hoặc được điều chỉnh từ các hình thức cũ (Mishra et al., 2019). Thời gian qua đã có một số nghiên cứu (Mafra et al., 2010; Vinayakumar et al., 2019) áp dụng các kỹ thuật máy học với mục đích nâng cao hiệu quả và khắc phục các nhược điểm của các giải pháp IDS truyền thống. Tuy nhiên, những giải pháp này yêu cầu phải được triển khai trên các thiết bị có yêu cầu về phần cứng và phần mềm cao, nên không phù hợp cho các môi trường IoT.
Nhằm giải quyết hạn chế của những giải pháp hiện tại, nghiên cứu này thiết kế và cài đặt một hệ thống phát hiện xâm nhập hai tầng, phù hợp và hoạt động hiệu quả cho các mạng thiết bị IoT. Như được mô tả trong Hình 1, tầng đầu tiên của hệ thống được cài đặt trên gateway của các nhánh mạng IoT, sẽ bắt và trích xuất các thông tin của dữ liệu mạng thô đến và đi tới nhánh mạng. Sau đó, các thông tin sẽ được chuyển đến một mô hình mạng nơ-ron nhân tạo 4 lớp đơn giản để phát hiện và cảnh báo các hành vi xâm nhập trong thời gian thực. Mô hình này được thiết kế gọn nhẹ và chi phí thấp để có thể triển khai trên các IoT gateway. Tầng thứ hai của hệ thống được triển khai trên các máy chủ đám mây ở xa, sử dụng các mô hình máy học phức tạp hơn như Cây quyết định (Decision tree), Gaussian naïve bayes và Rừng ngẫu nhiên (Random forest) để xác định thông tin cụ thể các loại hành vi tấn công mạng. Ngoài ra, tầng này cũng hoạt động như giải pháp dự phòng cho tầng đầu tiên và hướng tới phát hiện các hành vi độc hại dựa trên thông tin thu thập được trên nhiều mạng IoT cùng lúc.
Hệ thống đề xuất đã được cài đặt và triển khai kiểm thử trên môi trường thực nghiệm cục bộ. Kết quả thực nghiệm ban đầu cho thấy hệ thống đề xuất hoạt động hiệu quả và có tỉ lệ phát hiện các hành vi tấn công và xâm nhập sử dụng các tham số được tùy biến cao hơn so với Snort, một công cụ IDS truyền thống hoạt động dựa trên các nguy cơ đã biết.
Tạp chí Khoa học Trường Đại học Cần Thơ, Tập 58, Số 2A (2022): 43-50