Thông tin về luận án tiến sĩ trước bảo vệ cấp Học viện của NCS. Bùi Công Thành

TRANG THÔNG TIN LUẬN ÁN TIẾN SĨ

Tên đề tài luận án tiến sĩ: Phát triển một số mô hình phát hiện bất thường mạng dựa trên học sâu và tổng hợp dữ liệu

Chuyên ngành: Hệ thống thông tin

Mã số: 9.48.01.04

Họ và tên NCS: Bùi Công Thành

Người hướng dẫn khoa học:

1.          PGS.TS. Hoàng Minh

2.        PGS.TS. Nguyễn Quang Uy

Cơ sở đào tạo: Học viện Công nghệ Bưu chính Viễn thông

 NHỮNG KẾT QUẢ MỚI CỦA LUẬN ÁN:

 Sự phát triển nhanh chóng của hạ tầng và dịch vụ mạng máy tính trong những năm qua đã kéo theo sự bùng nổ các nguy cơ, đe doạ an ninh mạng. Nghiên cứu các giải pháp để phát hiện và ngăn chặn các tấn công mạng là nhiệm vụ thu hút sự quan tâm của rất nhiều nhà nghiên cứu, tiêu biểu là phát triển các mô hình phát hiện bất thường mạng (Network Anomaly Detection – NAD). Theo đó, mục đích luận án hướng đến nghiên cứu cải tiến các thuật toán phát hiện bất thường mạng, kết quả thể hiện thông qua các mô hình lý thuyết, sau đó cài đặt thực nghiệm để hỗ trợ kiểm chứng, đánh giá kết quả. Các kết quả đóng góp chính của luận án có thể được tóm tắt như sau.

• Luận án đã đề xuất được các mô hình phát hiện bất thường mạng dựa trên học sâu, các giải pháp có tên Clustering-Shrink AutoEncoder (KSAE) và Double-Shrink AutoEncoder (DSAE). Các giải pháp này được đề xuất để khắc phục một số hạn chế mà mô hình tiêu biểu SAE gặp phải, SAE được cho là hoạt động hiệu quả trên nhiều tập dữ liệu an ninh mạng. Trong đó, DSAE là mô hình NAD mới và có hướng đi khác với các phương pháp dựa trên mạng nơ-ron AutoEncoder, DSAE sử dụng đồng thời cả hai yếu tố là lỗi tái tạo (RE) và vector lớp ẩn làm cơ sở đưa ra độ đo bất thường. Kết quả thực nghiệm đã cho thấy, DSAE có thể phát hiện hiệu quả hơn với các tấn công mà mô hình tiêu biểu NAD dựa trên học sâu gặp khó. Các tấn công này được cho là có dữ liệu rất giống với dữ liệu bình thường, do vậy thường tạo ra khó khăn cho các mô hình phát hiện bất thường mạng.

• Luận án đã đề xuất được một phương pháp khung có tên là OFuseAD (One-Class Fusion-based Anomaly Detection), giải pháp cho phép giải quyết các hạn chế của các phương pháp đơn thường được cho là rất hiệu quả trên một vấn đề cụ thể, còn với các vấn đề khác thường không hiệu quả. OFuseAD

cung cấp một kiến trúc chung để xây dựng các mô hình tổng hợp dữ liệu trong điều kiện bài toán học bán giám sát (nghĩa là thường không sẵn có dữ liệu dương tính và nhãn tương ứng để giúp đánh giá giải pháp đề xuất). Giải pháp này gom lợi thể từ các phương pháp đơn NAD, mô hình có thể hoạt động mà không cần sự can thiệp của chuyên gia trong thiết lập ngưỡng, phù hợp với yêu cầu thực tiễn.

• Luận án đề xuất giải pháp ứng dụng phù hợp lý thuyết Dempster-Shafer (D-S) cho phát hiện bất thường mạng. Đã đề xuất được hàm có tên One-Class Basic Probability Assignment (OBPA), đây là vấn đề được cho là khó khăn khi ứng dụng lý thuyết D-S. Đã đề xuất được hàm DRC_AD, đây là giải pháp mở rộng của hàm kết hợp DRC trong lý thuyết D-S, giúp khắc phục hạn chế đang gặp phải.

CÁC ỨNG DỤNG, KHẢ NĂNG ỨNG DỤNG TRONG THỰC TIỄN HOẶC NHỮNG VẤN ĐỀ CÒN BỎ NGỎ CẦN TIẾP TỤC NGHIÊN CỨU:

(1). Mô hình khung OFuseAD có thể được ứng dụng cho các bài toán phát hiện bất thường khác, không chỉ riêng trong phạm vi NAD. Nhìn chung, OFuseAD có thể được xem xét ứng dụng cho các bài toán phân đơn lớp (OCC).

• Các kết quả của luận án về lý thuyết Dempster-Shafer như cách thiết lập hàm OBPA, luật DRC-AD có thể được cân nhắc ứng dụng.
• Luận án đề xuất một phương pháp mới để đánh giá độ tin cậy của các phương pháp OCC. Phương pháp này có thể được sử dụng như là chỉ số để so sánh độ tin cậy giữa các phương pháp đơn
• Ngoài các kết quả đạt được, luận án vẫn còn một số hạn chế như: việc xây dựng mô hình OFuseAD đang trên giả định các bộ phát hiện cục bộ đều quan sát đồng nhất một nguồn dữ liệu, do vậy làm cho mô hình có hạn chế về tính linh hoạt; OFuseAD sử dụng các phương pháp đơn dựa trên khoảng cách và dựa trên mật độ dẫn đến chi phí tính toán thường lớn.
• Một số hướng nghiên cứu phát triển tiếp theo như; với mô hình tổng hợp dữ liệu, có thể hướng đến sử dụng nhiều bộ phát hiện cục bộ; các loại bộ phát hiện có thể đa dạng hơn, bao gồm cả quyết định từ các chuyên gia, các ứng dụng an ninh mạng hoặc ngay cả thông tin có được từ các bộ phát hiện môi trường vật lý.

Xác nhận của đại diện tập thể Người hướng dẫn khoa học

PGS.TS. Hoàng Minh

Nghiên cứu sinh

Bùi Công Thành

INFORMATION ON DOCTORAL DISSERTATION

Title of Thesis:

Network Anomaly Detection Models based on Deep learning and Data Fusion

Major: Information Systems

 Code: 9.48.01.04

 Name of PhD candidate: Bui Cong Thanh

 Committees:

1. Associate Professor.Doctor. Hoang Minh
2. Associate Professor.Doctor. Nguyen Quang Uy

 Academic Institution: Posts and Telecommunications Institute of Technology

NEW RESULTS OF THE DISSERTATION:

The rapid development of the computer network in all aspects of its infrastructure has put it under the pressure of modern cyber-attacks. Seeking solutions to identify and prevent cyber attacks is a crucial task that has attracted the research community, mainly investigating to enhance network anomaly detection (NAD) method. The thesis aimed to improve network anomaly detection algorithms; the result is presented in the theoretical algorithms, which are later supported by empirical results. The contributions of the thesis can be summarized as follows.

• The thesis proposed novel models of Network Anomaly Detection based on deep learning; they are named Clustering-Shrink AutoEncoder (KSAE) and Double-Shrink AutoEncoder (DSAE). These solutions are to solve the challenges of the SAE model, which is a typical deep learning-based NAD model, achieves convincing results on a wide range of network security datasets. Amongst them, DSAE is constructed in a very different way as other methods based on AutoEncoder. DSAE uses both reconstruction errors (RE) and the latent vector to build the anomaly score. The experiment shows that DSAE provides a highly reliable in detecting an intrusion that mimics the normal data, which usually leads SAE challenging to
• The thesis proposes a novel fusion-based framework for network anomaly detection called OFuseAD (One-Class Fusion-based Anomaly Detection). Since the stand-alone NAD method faces an issue, it can efficiently perform a problem while it can not perform well on another problem. OFuseAD provides a general architecture to build a fusion-based model in semi-supervised learners (unavailable of positive data and its corresponding label to evaluate the algorithm). This model takes advantage of the individual stand-alone NAD, and it can also eliminate the decision threshold to meet the requirement of deploying in the real-world network.

• The thesis introduces the method to apply Dempster – Shafer (D-S) theory for network anomaly detection. It provides a novel function called One-Class Basic probability assignment (OBPA), which are often too complicated to apply D-S theory. It also presents a solution to solve the limitation of DS-theory’s rule, which is named DRC_AD, in unequal performance amongst individual local

APPLICATION AND USED IN THE REAL WORLD OR FUTURE WORKS:

 The OFuseAD can be utilized on another than the network security domain of anomaly detection problems. In general, the model detection based on OFuseAD can be considered in circumstances of the OCC

• Dempster – Shafer (D-S) theory with OBPA function and DRC_AD rule can be considered for developing the
• The thesis introduces a novel metric for measuring the generalization ability of OCCs. This metric can be considered to estimate the weight of OCC
• Besides that, this thesis still has some limitations: the OFuseAD model for network anomaly detection assumes that the original information source for the local detectors to observe is the same, leading the model less flexible; the computation complexity of OFuseAD is based on the OCC detector, with the distance-based and density-based method, which usually get the high
• In the future, several developments from OFuseAD are considerable such as using more detectors, with the heterogeneity of sensors including a decision from the security expertise, other platform security application, or physical detectors such as voltage metrics of security

Research supervisors

Associate Professor. Doctor. Hoàng Minh

PhD candidate

Bui Cong Thanh

 Luận án tiến sĩ

Tóm tắt Luận án tiến sĩ

Trang Thông tin Luận án tiếng việt 

Trang Thông tin Luận án Tiếng Anh