XÂY DỰNG HỆ THỐNG PHÁT HIỆN TẤN CÔNG MẠNG ÁP DỤNG CÁC KỸ THUẬT HỌC MÁY

Abstract

Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, các cuộc tấn công mạng ngày càng trở nên tinh vi và khó lường, vượt qua khả năng phòng thủ của các hệ thống tường lửa truyền thống dựa trên biểu thức chính quy. Luận văn với đề tài “XÂY DỰNG HỆ THỐNG PHÁT HIỆN TẤN CÔNG MẠNG ÁP DỤNG CÁC KỸ THUẬT HỌC SÂU” tập trung nghiên cứu và xây dựng một giải pháp thế hệ mới, ứng dụng sức mạnh của Trí tuệ nhân tạo để nhận diện các hành vi bất thường theo thời gian thực. Về mặt kiến trúc, hệ thống được thiết kế dựa trên mô hình Microservices, đảm bảo tính linh hoạt, khả năng mở rộng độc lập và dễ dàng bảo trì. Kiến trúc tổng thể bao gồm 4 phân hệ chức năng chuyên biệt giao tiếp qua giao thức TCP/IP và HTTP: 1. Phân hệ Thu thập (Flow Agent): Sử dụng kỹ thuật bắt gói tin (Packet Sniffing) để giám sát lưu lượng mạng đi vào các cổng dịch vụ (80/443), thực hiện trích xuất và chuẩn hóa đặc trưng dòng dữ liệu (Flow-based features). 2. Phân hệ Xử lý trung tâm (ML Detector): Vận hành mô hình máy học XGBoost (Extreme Gradient Boosting)đã được huấn luyện trên tập dữ liệu chuẩn CICIDS-2018. Mô hình được tối ưu hóa thông qua kỹ thuật Grid Search CV với tiêu chí đánh giá chính là F1-Score để cân bằng giữa độ chính xác và độ phủ. 3. Phân hệ Điều phối (Backend API): Đóng vai trò trung tâm lưu trữ, quản lý lịch sử truy cập và cung cấp API RESTful cho các dịch vụ khác. 4. Phân hệ Giám sát (Frontend Dashboard): Cung cấp giao diện trực quan hóa dữ liệu theo thời gian thực, giúp quản trị viên phản ứng nhanh chóng trước các nguy cơ tấn công. Kết quả thực nghiệm cho thấy hệ thống hoạt động ổn định, quy trình từ lúc bắt gói tin đến khi phát cảnh báo diễn ra với độ trễ thấp (< 100ms). Mô hình XGBoost sau khi tinh chỉnh đạt hiệu suất cao trong việc phân loại các lớp tấn công phức tạp, chứng minh tính khả thi của việc áp dụng học máy vào bài toán an ninh mạng thực tế.