Luận án Phát hiện và phòng chống tấn công DGA Botnet sử dụng kỹ thuật học sâu Ngành: Mạng máy tính và Truyền thông dữ liệu

Tên luận án:

PHÁT HIỆN VÀ PHÒNG CHỐNG TẤN CÔNG DGA BOTNET SỬ DỤNG KỸ THUẬT HỌC SÂU

Ngành:

Mạng máy tính và Truyền thông dữ liệu

Tóm tắt nội dung tài liệu:

Luận án "Phát hiện và phòng chống tấn công DGA Botnet sử dụng kỹ thuật học sâu" của Mạc Đình Hiếu, thuộc ngành Mạng máy tính và Truyền thông dữ liệu, tập trung giải quyết mối đe dọa nghiêm trọng từ Botnet, đặc biệt là DGA Botnet sử dụng thuật toán sinh tên miền tự động (DGA) để tránh bị phát hiện. Mục tiêu chính của nghiên cứu là giảm thiểu số lượng nguồn tấn công và ngăn chặn các cuộc tấn công DDoS quy mô lớn.

Nghiên cứu này mô hình hóa đặc trưng của các máy tính bị nhiễm mã độc DGA thông qua các phương pháp học sâu. Luận án kết hợp lý thuyết và thực tiễn, phân tích dữ liệu từ các chuyên gia bảo mật để tổng hợp và phân loại hành vi đặc trưng về truy vấn DNS của DGA Botnet. Tác giả đã tổng hợp, xem xét và đánh giá các phương pháp phát hiện DGA Botnet khác nhau để xác định xu hướng và hướng tiếp cận hiệu quả nhất. Các phương pháp đề xuất đã được kiểm chứng qua thực nghiệm khoa học trên các bộ dữ liệu thử nghiệm thu thập từ môi trường thực tế, giúp xác định các vấn đề hạn chế và đề xuất hướng tiếp cận tối ưu hơn cho việc phát hiện DGA Botnet trong tương lai.

Luận án đã đưa ra ba đóng góp chính về học thuật. Thứ nhất, đề xuất hai phương pháp cải tiến LSTM trong bài toán phân loại tên miền: (1) Kết hợp CNN và Bidirectional LSTM; (2) Kết hợp các đặc trưng thống kê với các đặc trưng nội hàm của mạng LSTM. Thứ hai, đề xuất thuật toán Cost-Sensitive LSTM để giải quyết vấn đề không đồng đều dữ liệu giữa các họ mã độc DGA trong bài toán phân loại đa lớp. Mô hình LSTM.MI được giới thiệu nhằm giảm tỷ lệ cảnh báo giả đối với tên miền thông thường và tăng tỷ lệ phát hiện với các họ mã độc có kích thước mẫu huấn luyện nhỏ. Thứ ba, đề xuất phương pháp BotFighter, một hệ thống có khả năng phát hiện liên tục máy tính bị nhiễm mã độc DGA theo thời gian thực. Phương pháp này được xây dựng dựa trên việc tích hợp bộ phân loại tên miền dựa trên LSTM và các đặc trưng tần suất truy vấn DNS thông qua mô hình Hidden Markov Model (HMM) kết hợp với định lý Bayes.

Về ý nghĩa khoa học và thực tiễn, luận án đã đưa ra những đề xuất mới trong việc áp dụng các kỹ thuật học sâu để giải quyết các bài toán trong lĩnh vực an toàn thông tin. Phương pháp BotFighter có thể được tích hợp với hệ thống IDPS hoặc triển khai trực tiếp trên các máy tính và thiết bị cá nhân của người dùng cuối để liên tục phát hiện các thiết bị bị nhiễm mã độc với độ chính xác cao và đáp ứng yêu cầu xử lý thời gian thực, từ đó nâng cao khả năng phát hiện và loại bỏ các bot trong mạng DGA Botnet, giảm thiểu nguồn gốc của các cuộc tấn công DDoS.

Mục lục chi tiết:

• Mở đầu
• Chương 1: Tổng quan về DGA Botnet, các đặc trưng của nó và các hướng nghiên cứu liên quan.
• Chương 2: Trình bày về các giải thuật cải tiến cho LSTM trong bài toán phân loại tên miền do tác giả đề xuất.
• Chương 3: Đề xuất phương pháp Cost-Sensitive LSTM, giải quyết vấn đề mất cân bằng dữ liệu trong quá trình huấn luyện mạng LSTM.
• Chương 4: Trình bày về BotFighter - phương pháp phát hiện liên tục máy tính bị nhiễm mã độc DGA.
• Chương 5: Tổng kết kết quả chính và đóng góp của luận án, cũng như đề xuất hướng nghiên cứu tiếp theo.
• Phần kết luận
• Tài liệu tham khảo