HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

KHOA VIỄN THÔNG I

BÁO CÁO TIỂU LUẬN

QUẢN TRỊ MẠNG
ĐỀ TÀI: Quản trị mạng dựa trên trí tuệ nhân tạo và giải pháp quản trị
Network Anomaly Detection

Giảng viên : Dương Thị Thanh Tú

Nhóm lớp : 02
Nhóm tiểu luận : 01

Danh sách thành viên nhóm 1:

Tạ Thị Minh Thư B19DCVT402

Bùi Trọng Đạt B19DCVT074
Nguyễn Đăng Khoa B19DCVT207

HÀ NỘI, THÁNG 3/2023

Quản trị mang

MỤC LỤC
PHẦN MỞ ĐẦU………………………………...…………………………………2

CHƯƠNG I: GIỚI THIỆU CHUNG……………………………………………...3

1.1. Khái niệm về quản trị mạng và bảo mật thông tin trong mạng………………...3
1.1.1. Quản trị mạng………………………………………………………….3
1.1.2. Bảo mật thông tin trong mạng………………………………………….5
1.2. Trí tuệ nhân tạo……………………………………………………………….7
1.2.1. Định nghĩa……………………………………………………………..7
1.2.2. Phân loại……………………………………………………………….7
1.2.3. Ứng dụng trong quản trị mạng………………………………………..10
1.3. Giải pháp quản trị Network Anomaly Detection…………………………….14

CHƯƠNG II: GIẢI PHÁP NETWORK ANOMALY DETECTION…………15

2.1. Các loại tấn công mạng và nguyên nhân gây ra……………………………..15
2.1.1. Tấn công từ chối dịch vụ……………………………………………...15
2.1.2. Tấn công mã độc………………………………….…………………..16
2.1.3. Tấn công Man-in-the-Middle………………………………………...17
2.1.4. Tấn công thực thi mã…………………………………………………18
2.1.5. Tấn công lợi dụng dịch vụ không an toàn……………………………19
2.2. Giải pháp quản trị mạng Network Anomaly Detection và công cụ hỗ trợ phát
hiện bất thường…………………………………………………………………….20
2.2.1. Công cụ phát hiện bất thường truy cập mạng IDS……………………21
2.2.2. Công cụ phát hiện bất thường hành vi mạng UEBA………………….23
2.3. Các kỹ thuật trí tuệ nhân tạo được áp dụng để giải quyết vấn đề phát hiện bất
thường truy cập và hành vi mạng…………………………………………………..25

CHƯƠNG III: TÌNH HÌNH NGHIÊN CỨU TRƯỚC ĐÂY VÀ HƯỚNG PHÁT
TRIỂN TRONG TƯƠNG LAI…………………………………………………..30
3.1. Các nghiên cứu liên quan đến ứng dụng trí tuệ nhân tạo trong quản trị mạng
và giải pháp quản trị Network Anomaly Detection………………………………...30
3.2. Những hạn chế của nghiên cứu trước đây…………………………………...30
3.3. Những thách thức trong việc ứng dụng trí tuệ nhân tạo trong quản trị mạng và
giải pháp quản trị Network Anomaly Detection……………………………………31
3.4. Hướng phát triển của trí tuệ nhân tạo trong quan trị mạng và giải pháp quản trị
Network Anomaly Detection……………………………………………………....33

KẾT LUẬN……………………………………………………………………….35

DANH MỤC TÀI LIỆU THAM KHẢO………………………………………..36

1
Quản trị mang

PHẦN MỞ ĐẦU
Mạng máy tính ngày nay đã trở thành một phần không thể thiếu trong đời
sống cá nhân và hoạt động của doanh nghiệp. Điều này đặt ra một thách thức
lớn cho các nhà quản trị mạng để đảm bảo sự ổn định, bảo mật và hiệu quả hoạt
động của hệ thống mạng. Trong bối cảnh các cuộc tấn công mạng liên tục được
thực hiện, nhu cầu sử dụng trí tuệ nhân tạo và các giải pháp phát hiện bất thường
truy cập mạng (Network Anomaly Detection) đã trở nên cấp thiết để bảo vệ hệ
thống mạng khỏi những cuộc tấn công có hại.

Bài tiểu luận này tập trung vào giới thiệu về ứng dụng của trí tuệ nhân tạo
trong quản trị mạng và giải pháp Network Anomaly Detection. Phần đầu tiên
của bài tiểu luận sẽ trình bày về khái niệm, các vấn đề liên quan đến quản trị
mạng và trí tuệ nhân tạo. Phần tiếp theo sẽ giới thiệu về các loại tấn công mạng,
các công cụ hỗ trợ phát hiện bất thường và các kỹ thuật ứng dụng trong quản trị
mạng, bao gồm: Học máy, khai phá dữ liệu, học sâu và học tăng cường, v, v...
Cuối cùng, bài tiểu luận sẽ tập trung vào tình hình nghiên cứu trước đây và
hướng phát triển trong tương lai.

2
Quản trị mang

CHƯƠNG I: GIỚI THIỆU CHUNG

1.1. Khái niệm về quản trị mạng và bảo mật thông tin trong mạng

1.1.1. Quản trị mạng.

- Có khá nhiều quan điểm khác nhau đưa ra về khái niệm quản trị mạng. Đa số
quan điểm cho rằng, quản trị mạng là một bộ các chức năng nhằm điều khiển
, giám sát các hoạt động mạng cũng như lên kế hoạch, phát triển mạng. Những
chức năng này bao gồm từ việc xây dựng mạng, hoạch định tần số, định tuyến
lưu lượng mạng đến cân bằng tải, nhận thực, phân phối khoá bảo mật cũng
như các chức năng quản lý hiệu năng, quản lý lỗi, quản lý bảo mật và quản lý
tài khoản. Việc quản trị mạng này có thể có hoặc không quản trị cả các thiết bị
đầu cuối.

- Quản trị mạng là các biện pháp nhằm đảm bảo hoạt động của hệ thống được
hiệu quả, đạt được mục tiêu đề ra của nhà cung cấp dựa trên nguồn tài nguyên
mạng vốn có. Để đạt được điều này, các nhiệm vụ của quản trị mạng bao gồm
quản lý các nguồn tài nguyên mạng, điều phối các dịch vụ mạng, kiểm tra,
giám sát các trạng thái mạng và báo cáo trạng thái mạng cũng như sự bất
thường trong hoạt động của mạng. Các nhiệm vụ của quản trị mạng bao gồm:
+ Quản lý tài nguyên và dịch vụ hệ thống: nhiệm vụ này bao gồm hoạt điều
khiển, giám sát, cập nhật và báo cáo trạng thái hệ thống, cấu hình thiết bị và
dịch vụ mạng.
+ Đơn giản hóa độ phức tạp của quản lý các hệ thống lớn và không đồng nhất:
đây là nhiệm vụ khá quan trọng của hệ thống quản lý sao cho các thông tin
quản lý hệ thống được biểu diễn dưới dạng đơn giản giúp người điều hành dễ
dàng thao tác và quản lý được hệ thống mạng phức tạp. Bên cạnh đó, các hệ
thống quản lý cũng phải có khả năng biên dịch được các đối tượng quản lý bậc
cao.
+ Cung cấp các dịch vụ đáng tin cậy: nhiệm vụ này yêu cầu mạng phải cung
cấp các dịch vụ mạng với chất lượng dịch vụ cao cũng như tối thiểu hóa từ
gian ngừng hoạt động của hệ thống. Với nhiệm vụ này, thưởng các hệ thống
quản lý mạng phân tán được sử dụng để có thể nhanh chóng phát hiện và sửa
chữa các lỗi mạng, bảo về an toàn mạng trước các mối đe dọa bảo mật.
+ Duy trì liên tục thông tin chi phí vận hành và sử dụng mạng, nhiệm vụ này
yêu cầu hệ thống quan trị mạng phải theo dõi tài nguyên hệ thống và người
dùng mạng. Tất cả tài nguyên mạng và việc sử dụng dịch vụ phải được lưu trữ
liên tục và báo cáo đầy đủ.

3
Quản trị mang

Hình 1: Các lĩnh vực tiêu biểu của quản trị mạng

- Khái niệm quản tri cũng có thể được đưa ra dựa trên ba quan điểm: kinh doanh,
dịch vụ và vận hành bao dưỡng. Trong đó, dựa trên quan điểm kinh doanh,
quản trị mạng bao gồm các hoạt động lập kế hoạch thiết kế mạng, điều chỉnh
hoạt động mạng cũng như mô hình hoá dung lượng mạng. Dựa trên quan điểm
dịch vụ, quản trị mạng là hoạt động phân tích, thống kê, báo cáo chất lượng
dịch vụ hiệu năng mạng. Theo quan điểm vận hành bảo dưỡng, các hoạt động
quản trị mạng bao gồm giám sát, kiếm tra hoạt động của mạng.

- Cũng có một cách tiếp cận khác đưa ra về quản trị mạng. Trong dó, quản trị
mạng là các hoạt động, phương pháp, thủ tục và công cụ đảm bảo cho hệ thống
mạng được giám sát, bảo trì, vận hành được hiệu quả. Nhiệm vụ này bao gồm:
+ Hoạt động liên quan đến việc giữ cho mạng (và các dịch vụ mà mạng cung
cấp) luôn hoạt động trơn tru. Nó bao gồm việc giám sát mạng để phát hiện các
sự cố càng sớm càng tốt, lý tưởng là trước khi người dùng bị ảnh hưởng.
+ Theo dõi các tài nguyên mạng và cách chúng hoạt động cũng như được khai
báo. Điều này bao gồm tất cả quản lý về nhà xưởng, phòng máy để đảm bảo
cho mạng được hoạt động hiệu quả.
+ Bảo trì mạng. Đây là hoạt động liên quan đến việc thực hiện sửa chữa và
nâng cấp mạng. Ví dụ như khi thiết bị phải được thay thế hay khi bộ định tuyến
cần được nâng cấp hoặc khi một thiết bị chuyển mạch mới được thêm vào
mạng. Bảo trì cũng bao gồm các biện pháp khắc phục và phòng ngừa các nguy
cơ ảnh hưởng đến hoạt động mạng, giúp cho mạng hoạt động được tốt hơn,
chẳng hạn như điều chỉnh các thông số cấu hình thiết bị.
+ Giám sát mạng. Hoạt động này liên quan đến việc định cấu hình tài nguyên
trong mạng để hỗ trợ một dịch vụ nhất định. Điều này cũng bao gồm thiết lập
mạng để khách hàng mới cỏ thể nhận thêm dịch vụ.

4
Quản trị mang

- Dựa trên các quan điểm đó, ISO đưa ra khái niệm về quản trị mạng là quá trình
giám sát và điều khiển mạng nhằm đảm bảo mạng hoạt động một cách hiệu
quả, cung cấp giá trị cho cả nhà cung cấp dịch vụ cũng như người sử dụng.
Trên cơ sở đó, ISO cũng phân loại các hoạt động mạng theo năm chức năng
bao gồm chức năng quản lý lỗi, quản lý cấu hình, quản lý hiệu năng, quản lý
tài khoản và quản lý bảo mật.

Hình 2: Năm hoạt động mạng theo ISO phân loại

- Gần đây, Cisco cũng đưa ra khái niệm về quản trị mạng hiện đại như sau:
“Quản trị mạng là quá trình quản lý, giám sát và vận hành mạng dữ liệu trên
cơ sở một hệ thống quản lý mạng. Hệ thống quản lý mạng này bao gồm cả
phần cứng và phần mềm nhằm thu thập và phân tích liên tục các dữ liệu về
cấu hình nhằm đưa ra các thay đổi, điều khiển để đảm bảo hiệu năng, độ tin
cậy và bảo mật trong hoạt động của mạng.

- Như vậy, dù trên quan điểm nào thì quản trị mạng đều là các hoạt động liên
quan đến việc lập kế hoạch, tổ chức, điều hành, hạch toán và kiểm soát các
hoạt động và tài nguyên mạng cũng như giữ cho dịch vụ mạng luôn sẵn sàng
và chính xác.

1.1.2. Bảo mật thông tin mạng.

- Bảo mật thông tin mạng là tập hợp các quy trình và công cụ bảo mật để bảo
vệ trên diện rộng thông tin nhạy cảm của doanh nghiệp; bảo vệ thông tin truyền
tải qua các hệ thống mạng khỏi các mối đe dọa, tấn công và truy cập trái phép
từ bên ngoài hoặc bên trong mạng. Mục đích của bảo mật thông tin mạng là
đảm bảo tính toàn vẹn, tính bảo mật và tính sẵn sàng của dữ liệu.

- Bảo mật thông tin mạng rất quan trọng trong kinh doanh và các tổ chức, bởi
vì thông tin quan trọng như thông tin tài chính, thông tin khách hàng và thông
tin quản lý đều được lưu trữ và truyền tải qua mạng. Nếu các thông tin này bị
lộ ra ngoài, nó có thể gây ra thiệt hại lớn cho doanh nghiệp và đe dọa sự riêng
tư của khách hàng. Do đó, việc đảm bảo an toàn cho thông tin trên mạng là
cực kỳ quan trọng

5
Quản trị mang

- Các biện pháp bảo mật thông tin mạng có thể kể đến như :
+ Mật khẩu: Sử dụng mật khẩu mạnh để truy cập vào các tài khoản mạng như
email hoặc tài khoản ngân hàng. Mật khẩu nên được đổi thường xuyên và
không nên chia sẻ cho người khác. Đây là biện pháp đơn giản nhất để bảo vệ
tài khoản truy cập vào các hệ thống mạng.
+ Firewall: Sử dụng tường lửa để ngăn chặn các kẻ tấn công khỏi truy cập vào
hệ thống mạng của bạn. Nó hoạt động như một bức tường bảo vệ, giúp kiểm
soát luồng thông tin truy cập vào và ra khỏi mạng.
+ Mã hóa: Sử dụng mã hóa để bảo vệ dữ liệu khi truyền từ một thiết bị đến
thiết bị khác. Khi dữ liệu được mã hóa, nó sẽ không thể đọc được nếu không
có chìa khóa giải mã. Các mã hóa phổ biến hiện nay như SSL, TLS và AES.
+ Phần mềm diệt virus: Sử dụng phần mềm diệt virus để phát hiện và loại bỏ
các phần mềm độc hại khỏi máy tính của. Nó giúp ngăn chặn các chương trình
độc hại như virus, trojan, worm và phần mềm gián điệp từ xâm nhập vào hệ
thống mạng
+ Giám sát mạng: Giám sát mạng để phát hiện và phản ứng với các mối đe dọa
mới như sự tấn công từ bên ngoài hoặc từ bên trong tổ chức. Nó giúp kiểm tra
và giám sát hoạt động của các máy tính và thiết bị trong mạng, phát hiện các
hành vi bất thường và các hoạt động đáng ngờ

- Ngoài các biện pháp bảo mật thông tin mạng, còn có những cơ chế, giải pháp,
quá trình trong bảo mật thông tin mạng như sau:
+ Quản lý danh sách điều khiển truy cập (ACL): ACL là một cơ chế được sử
dụng để giới hạn quyền truy cập vào các tài nguyên mạng. ACL có thể được
cấu hình trên các thiết bị mạng, chẳng hạn như router và switch, để kiểm soát
quyền truy cập vào các kết nối mạng.
+ Bảo mật cổng và kết nối: Bảo mật cổng và kết nối là các kỹ thuật để đảm
bảo tính bảo mật của các kết nối mạng và cổng kết nối. Các kỹ thuật này bao
gồm việc sử dụng các cơ chế xác thực, chứng thực và phân quyền truy cập, và
việc giám sát hoạt động mạng để phát hiện các cuộc tấn công.
+ Kiểm tra bảo mật hệ thống: Kiểm tra bảo mật hệ thống là quá trình xác định
các lỗ hổng bảo mật trên hệ thống mạng và đưa ra các biện pháp khắc phục.
Các phương pháp kiểm tra bảo mật hệ thống bao gồm kiểm tra đánh giá bảo
mật (vulnerability assessment), kiểm tra thâm nhập (penetration testing) và
kiểm tra độ tin cậy (reliability testing).
+ Bảo mật mạng không dây: Bảo mật mạng không dây là một khía cạnh quan
trọng của bảo mật thông tin mạng, do đặc điểm của các mạng không dây là dễ
dàng bị tấn công. Các kỹ thuật bảo mật mạng không dây bao gồm việc sử dụng
mã hóa, giám sát lưu lượng mạng và cấu hình bảo mật đúng cách.

6
Quản trị mang

+ Quản lý sự kiện và nhật ký: Quản lý sự kiện và nhật ký là quá trình thu thập
và lưu trữ các sự kiện trên mạng. Nhật ký này có thể được sử dụng để phân
tích các cuộc tấn công trên mạng, xác định các vấn đề bảo mật và cải thiện
hiệu suất mạng.

1.2. Trí tuệ nhân tạo.

1.2.1. Định nghĩa.

AI là viết tắt của từ "Artificial Intelligence" (trí tuệ nhân tạo), đó là một lĩnh
vực của khoa học máy tính liên quan đến việc nghiên cứu và phát triển các hệ thống
máy tính có khả năng tự động học hỏi, cải thiện và thực hiện các nhiệm vụ mà trước
đây chỉ có con người mới có thể làm được. Các công nghệ trí tuệ nhân tạo bao gồm
máy học, học sâu, xử lý ngôn ngữ tự nhiên, robot, tư duy logic và nhiều lĩnh vực
khác. Các ứng dụng của trí tuệ nhân tạo rất đa dạng và đang được sử dụng rộng rãi
trong nhiều lĩnh vực như: y tế, sản xuất, tài chính, giáo dục, giao thông vận tải,
marketing, thương mại điện tử, game và nhiều lĩnh vực khác. Nó giúp tăng cường
tốc độ, độ chính xác và hiệu quả của những công việc của con người. Hai thành phần
có thể coi là cốt lõi của Trí tuệ nhân tạo đó là Machine Learning (học máy) và Deep
Learning (học sâu)

1.2.2. Phân loại.

Hình 3: Trí tuệ nhân tạo được phân loại dựa theo khả năng và chức năng.

- Về khả năng, AI được chia làm 3 loại: Narrow AI, Super AI và General AI.
+ Narrow AI hay còn gọi AI weak: AI hẹp, còn được gọi là AI yếu, tập trung
vào một nhiệm vụ hẹp và không thể thực hiện vượt quá giới hạn của nó. Nó
chỉ có một tập hợp con hữu hạn các khả năng nhận thức và những tiến bộ trong
phạm vi đó. Các ứng dụng AI hẹp đang ngày càng trở nên phổ biến trong cuộc
sống của chúng ta khi các phương pháp machine learning và deep learing tiếp
tục phát triển.
7
Quản trị mang

VD: Apple Siri là một ví dụ về Trí tuệ nhân tạo thu hẹp hoạt động với
phạm vi chức năng hạn chế được xác định trước. Siri thường gặp vấn đề với
các nhiệm vụ nằm ngoài phạm vi khả năng của nó.
Siêu máy tính IBM Watson là một ví dụ khác về AI thu hẹp. Nó áp dụng
điện toán nhận thức, machine learning và xử lý ngôn ngữ tự nhiên để xử lý
thông tin và trả lời các truy vấn của bạn. IBM Watson đã từng vượt qua thí
sinh người thật Ken Jennings để trở thành nhà vô địch trong chương trình trò
chơi nổi tiếng Jeopardy!.
Các ví dụ khác về Narrow AI có thể kể đến như google dịch, phần mềm
nhận dạng hình ảnh, hệ thống đề xuất, lọc thư rác và thuật toán xếp hạng
trang của Google.

+ General AI: AI nói chung, còn được gọi là AI mạnh, có thể hiểu và học bất
kỳ nhiệm vụ trí tuệ nào mà con người có thể làm được. Nó cho phép một cỗ
máy áp dụng kiến thức và kỹ năng trong các bối cảnh khác nhau. Các nhà
nghiên cứu AI cho đến nay vẫn chưa thể đạt được AI mạnh. Họ đang tìm một
phương pháp để làm cho máy móc có ý thức, lập trình một bộ khả năng nhận
thức đầy đủ. General AI đã nhận được khoản đầu tư 1 tỷ USD từ Microsoft
thông qua OpenAI.

VD: Siêu máy tính K của Fujitsu trị giá 1,2 tỷ USD là cỗ máy nhanh
nhất thế giới với khả năng thực hiện 8 ngàn triệu triệu phép tính trong một
giây
Tianhe-2 là siêu máy tính được phát triển bởi Đại học Công nghệ Quốc
phòng Trung Quốc. Nó giữ kỷ lục về cps (số phép tính mỗi giây) ở mức 33,86
petaflop (tỷ tỷ cps).

+ Super AI: Super AI vượt qua trí thông minh của con người và có thể thực
hiện bất kỳ nhiệm vụ nào tốt hơn con người. Khái niệm về siêu trí tuệ nhân
tạo cho thấy AI được phát triển giống với cảm xúc và trải nghiệm của con
người đến mức nó không chỉ hiểu chúng; nó cũng gợi lên những cảm xúc, nhu
cầu, niềm tin và mong muốn của riêng nó. Sự tồn tại của nó vẫn chỉ là giả
thuyết. Một số đặc điểm quan trọng của siêu AI bao gồm suy nghĩ, giải câu
đố, tự đưa ra phán đoán và quyết định.
8
Quản trị mang

- Về chức năng, AI được chỉa làm 4 loại:

+ Reactive machine: Máy phản ứng Máy phản ứng là dạng trí tuệ nhân tạo
chính không lưu trữ ký ức hoặc sử dụng kinh nghiệm trong quá khứ để xác
định các hành động trong tương lai. Nó chỉ hoạt động với dữ liệu hiện tại. Nó
nhận thức mọi thứ xung quanh và phản ứng lại với nó. Các máy phản ứng được
cung cấp các nhiệm vụ cụ thể và chúng không có khả năng nào ngoài các
nhiệm vụ đó. Ví dụ như Deep Blue của IBM đánh bại đại kiện tướng cờ vua
nhờ việc phản ứng. Nó nhìn thấy các quân cờ trên bàn cờ và phản ứng với
chúng
+ Limited Memory: Bộ nhớ hạn chế AI được đào tạo từ dữ liệu trong quá khứ
để đưa ra quyết định. Bộ nhớ của các hệ thống như vậy là ngắn hạn. Nọ có thể
sử dụng dữ liệu quá khứ này trong một khoảng thời gian cụ thể, nhưng họ
không thể thêm dữ liệu đó vào thư viện trải nghiệm của mình. Loại công nghệ
này được sử dụng trong các phương tiện tự lái. Ví dụ như Mitsubishi electric
sử dụng công nghệ này cho các ô tô tự lái
+ Theory of Mind: Lý thuyết về tâm trí AI là một khái niệm về một lớp công
nghệ tiên tiến. Một loại AI như vậy đòi hỏi sự hiểu biết thấu đáo rằng con
người và mọi thứ trong một môi trường có thể thay đổi cảm xúc và hành vi. Nó
hiểu được cảm xúc, tình cảm và suy nghĩ của con người. Mặc dù có nhiều cải
tiến trong lĩnh vực này, nhưng loại AI này vẫn chưa hoàn thiện. Ví dụ như
Sophia, có thể duy trì giao tiếp bằng mắt, nhận dạng cá nhân và theo dõi khuôn
mặt

+ Self Awareness: Tự nhận thức, loại AI này chỉ tồn tại trên lý thuyết. Nó có
thể hiểu các đặc điểm, trạng thái và điều kiện bên trong của chúng và nhận
thức được cảm xúc của con người. Những cỗ máy này sẽ thông minh hơn trí
óc con người. Loại AI này sẽ không chỉ có thể hiểu và gợi lên cảm xúc ở những
người mà nó tương tác, mà còn có cảm xúc, nhu cầu và niềm tin của riêng
mình.

9
Quản trị mang

1.2.3. Ứng dụng trong quản trị mạng

Công nghệ trí tuệ nhân tạo ngày càng phát triển mang đến sự đổi mới
trong cuộc sống con người với ngày càng nhiều các thiết bị thông minh với
các tính năng tự động hoá cao. Đối với hệ thống quản trị mạng, công nghệ trí
tuệ nhân tạo cũng không ngừng nâng cao khả năng tự động hoá trong các chức
năng quản trị như quản lý lỗi, quản lý lưu lượng, phân tích hiệu năng,... giúp
giảm bớt nhân lực điều hành mạng. Quản trị mạng dựa trên trí tuệ nhân tạo
cũng có thể tự động xử lý một số tình huống lỗi mà không nhất thiết phải có
sự tham gia của quản trị mạng.

Quản trị mạng dựa trên AI sẽ xây dựng các chương trình tự động dưới
dạng hệ thống chuyên gia (ES-Expert System), mục đích là bắt chước chuyên
gia của một lĩnh vực cụ thể. Sau đó, các hệ thống chuyên gia sẽ hỗ trợ các nhà
quản trị viên quản trị mạng một cách tự động và hiệu quả như các chuyên gia
trực tiếp quản trị.

a. Xử lý, phân tích dữ liệu và dự đoán

Hình 4: Sơ đồ chức năng của hệ thống chuyên gia

- Ba khối chức năng của một hệ thống chuyên gia sẽ đảm nhiệm các vai trò khác
nhau :
+ User interface (Giao diện người dùng): Là sự tương tác giữa người dùng và
ES. Người dùng có thể là bất kì ai, có thể là quản trị viên hệ thống, không nhất
thiết phải là chuyên gia và cũng không cần thiết phải biết về trí tuệ nhân tạo.
Giao diện sẽ sử dụng hiệu quả dữ liệu đầu vào để từ đó đưa ra giải pháp thân
thiện nhất với người sử dụng, đáp ứng yêu cầu của họ một cách nhanh nhất có
thể
10
Quản trị mang

+ Knowledge Base: nơi mà các kiến thức của chuyên gia trong một lĩnh vực
hoặc nhiệm vụ cụ thể được lưu trữ. Nó chứa tập hợp các quy tắc hoặc các tình
huống cho việc giải quyết một nhiệm vụ cụ thể nào đó theo kinh nghiệm của
các chuyên gia, bao gồm hai loại là factual knowledge và heuristic knowledge.
à Factual knowledge (kiến thức thực tế): là kiến thức đến từ thực tế
của các chuyên gia
à Heuristic knowledge (kiến thức khám phá): là kiến thức có được
dựa trên kinh nghiệm từ đó đưa ra các phán đoán hay đánh giá.
+ Interface Engineer (Cơ cấu suy luận hay nguyên tắc hoạt động): chứa cách
để giải quyết vấn đề được đưa ra. Các vấn đề này thường được phân loại theo
nhóm hoặc phân lớp với các quy tắc được sắp xếp theo trình tự cụ thể. Nó
thường được thiết lập để bắt chước khả năng lập luận hoặc giải quyết các vấn
đề mà chuyên gia sẽ sử dụng.

- Ngoài ra, kỹ thuật học máy (Machine Learning) cũng giúp cho việc xử lý, phân
tích dữ liệu và dự đoán rất nhiều. Machine Learning liên quan đến việc thiết
kế và phát triển các thuật toán, các kỹ thuật công nghệ cho phép máy tính có
thể “học”. Có hai kiểu học cơ bản quy nạp và suy diễn. Các phương pháp học
máy quy nạp trích xuất các quy tắc (rule) và các mẫu (pattern) từ các tập dữ
liệu khổng lồ. Các thông tin này được trích xuất tự động, sử dụng các phương
pháp tính toán và thống kê. Do vậy, học máy không chỉ liên quan chặt chẽ đến
khai thác dữ I và thống kê mà còn cần cả khoa học máy tính lý thuyết.

- Các ứng dụng cho học máy bao gồm xử lý ngôn ngữ tự nhiên, nhận dạng cú
pháp, công cụ tìm kiếm, chẩn đoán y tế, tin sinh học, giao diện não-máy và tin
học, phát hiện gian lận thẻ tín dụng, phân tích thị trường chứng khoán, phân
loại chuỗi DNA, nhận dạng giọng nói và chữ viết tay, nhận dạng đối tượng
trong máy tính tầm nhìn, chơi trò chơi và chuyển động của rô bốt. Trong quản
trị mạng, học máy còn đóng một vai quan trọng trong việc quan trị lỗi mạng,
tự cấu hình và tối ưu hóa.

- Phần lớn các hệ thống học máy sẽ kết hợp phương pháp quản trị hợp tác giữa
người và máy móc. Vi dữ liệu cần nhà thiết kế hệ thống dễ đưa ra cách biểu
diễn dữ 1iệu cũng như những cơ chế nào sẽ được sử dụng để tìm kiếm đặc
điểm của dữ liệu. Tuy nhiên, một số hệ thống học máy lại cố gắng loại bỏ nhu
cầu về trực phúc của con người trong phân tích dữ liệu.

- Tựu chung lại, việc các kỹ thuật hệ thống chuyên gia hay học máy trong trí tuệ
nhân tạo đều nhằm mục đích xử lý, phân tích dữ liệu và đưa ra các dự đoán

11
Quản trị mang

b. Tối ưu hoá mạng

Việc AI có thể phân tích dữ liệu về sự sử dụng băng thông, tài nguyên
hệ thống và các yêu cầu khác góp phần đưa ra các giải pháp tối ưu hoá cho
việc quản lý mạng. Từ đó tăng cường khả năng quản lý và tiết kiệm chi phí
vận hành.

VD: Một công ty có một mạng máy tính lớn với nhiều thiết bị và nhiều
ứng dụng. Công ty muốn tối ưu hóa việc sử dụng tài nguyên mạng để giảm
thiểu chi phí và nâng cao hiệu quả hoạt động.
Để tối ưu hóa băng thông, công ty có thể sử dụng các thuật toán học
máy để dự đoán lưu lượng mạng trong tương lai và tăng băng thông cho các
thiết bị phù hợp để đáp ứng nhu cầu sử dụng. Để thu thập dữ liệu cho các
thuật toán học máy này, công ty có thể sử dụng các công cụ quản lý mạng như
NetFlow hoặc SNMP để lấy dữ liệu về tình trạng sử dụng mạng và băng thông
hiện tại.
Cụ thể, công ty có thể thu thập các thông số như: lưu lượng dữ liệu được
truyền tải trong một khoảng thời gian cụ thể, tỷ lệ lưu lượng mạng vào và ra,
số lượng gói tin đến và đi, thời gian trễ trong việc truyền tải dữ liệu, độ ổn
định của mạng, v.v.
Để đạt được tối ưu hóa tài nguyên, công ty cũng có thể sử dụng các
thuật toán học máy để phân tích dữ liệu và đưa ra các giải pháp tối ưu cho
việc quản lý tài nguyên. Ví dụ, công ty có thể dự đoán các ứng dụng tiêu thụ
nhiều tài nguyên và tối ưu hóa cấu hình để đáp ứng nhu cầu sử dụng. Công ty
cũng có thể theo dõi sử dụng tài nguyên của các thiết bị mạng, chẳng hạn như
CPU, bộ nhớ và dung lượng ổ đĩa, để đưa ra các giải pháp tối ưu cho việc
phân phối tài nguyên và giảm thiểu lãng phí.
Những thông số cụ thể của mạng sẽ được lấy từ các công cụ quản lý
mạng, đồng thời còn được sử dụng để đào tạo mô hình học máy, bao gồm cả
các thông số lưu lượng và tài nguyên trên mạng, độ trễ mạng, các cổng và
thiết bị kết nối, thông tin về thiết bị và ứng dụng đang sử dụng mạng, v.v. Các
thuật toán học máy sau đó sẽ phân tích dữ liệu này và đưa ra các giải pháp
tối ưu cho việc quản lý tài nguyên mạng.
Bằng cách sử dụng các thuật toán học máy để dự đoán sự sử dụng tài
nguyên và đưa ra các giải pháp tối ưu, công ty có thể giảm thiểu chi phí và
tăng cường hiệu quả hoạt động của mạng.

12
Quản trị mang

c. Những ứng dụng tiêu biểu của trí tuệ nhân tạo trong quản trị mạng.

- Dự đoán và phòng ngừa sự cố mạng: Các thuật toán học máy có thể dự đoán
các sự cố mạng tiềm ẩn dựa trên dữ liệu lưu lượng mạng và các tham số khác.
Việc phát hiện sớm và giải quyết các vấn đề trên mạng sẽ giúp giảm thiểu tác
động đến người dùng cuối và tăng hiệu suất mạng:

- Sử dụng các thuật toán học máy như k-means clustering, decision tree, random
forest, deep learning để phân tích và dự đoán sự cố mạng dựa trên các thông
số mạng như băng thông, độ trễ, lưu lượng, v.v.

- Sử dụng hệ thống giám sát mạng như Nagios, Zabbix để giám sát và theo dõi
sự cố mạng và hệ thống giải quyết sự cố mạng tự động sử dụng các API hoặc
scripts.

- Tối ưu hoá mạng: Các thuật toán học máy có thể giúp phân tích sử dụng tài
nguyên mạng, như băng thông, dung lượng lưu trữ và CPU, để đưa ra các giải
pháp tối ưu cho việc phân phối tài nguyên và giảm thiểu lãng phí.
+ Sử dụng các thuật toán học máy như Linear Regression, Gradient Boosting,
Neural Networks để phân tích và dự đoán sử dụng tài nguyên mạng và tối ưu
hoá băng thông, dung lượng lưu trữ, CPU, v.v.
+ Sử dụng các công nghệ như Software Defined Networking (SDN), Network
Function Virtualization (NFV) để tự động hóa quản lý tài nguyên mạng.

- Quản lý bảo mật: Các thuật toán học máy có thể giúp phát hiện các hành vi
đáng ngờ trên mạng, như các cuộc tấn công mạng và vi rút. Điều này giúp các
quản trị viên mạng xác định các điểm yếu trong hệ thống và cung cấp các giải
pháp bảo mật thích hợp.
+ Sử dụng các thuật toán học máy như Support Vector Machine (SVM),
Random Forest, Naive Bayes để phát hiện các cuộc tấn công mạng và hành vi
đáng ngờ khác.
+ Sử dụng các công nghệ như Intrusion Detection and Prevention Systems
(IDPS), Firewall, Virtual Private Networks (VPN) để bảo vệ mạng và các thiết
bị khỏi các cuộc tấn công mạng.

- Quản lý thiết bị: Các thuật toán học máy có thể phân tích các thông tin liên
quan đến các thiết bị mạng, bao gồm thông tin phần cứng và phần mềm, lịch
sử sử dụng và sử dụng tài nguyên. Nhờ đó, các quản trị viên mạng có thể quản
lý các thiết bị mạng một cách hiệu quả hơn.
+ Sử dụng các thuật toán học máy như clustering, classification, regression để
phân tích các thông tin liên quan đến các thiết bị mạng như thông tin phần
cứng, phần mềm, lịch sử sử dụng và sử dụng tài nguyên.
13
Quản trị mang

+ Sử dụng các công nghệ như Simple Network Management Protocol

(SNMP), Network Configuration Protocol (NetConf) để quản lý các thiết bị
mạng.

- Tự động hóa: Các thuật toán học máy có thể được sử dụng để tự động hóa các
tác vụ quản lý mạng, chẳng hạn như tự động cấu hình mạng hoặc tự động phát
hiện và khắc phục sự cố. Việc sử dụng trí tuệ nhân tạo có thể giúp tăng hiệu
quả và độ chính xác của các tác vụ tự động hóa. Sử dụng các thuật toán học
máy và các công nghệ như Robotic Process Automation (RPA), Automation
Anywhere để tự động hóa các tác vụ quản lý mạng. Ví dụ, sử dụng RPA để tự
động cấu hình các router, switch hoặc sử dụng Automation Anywhere để tự
động giám sát và xử lý các yêu cầu hỗ trợ khách hàng.

1.3. Giải pháp quản trị Network Anomaly Detection.

- Giải pháp quản trị Network Anomaly Detection là một phương pháp sử dụng
trí tuệ nhân tạo để phát hiện các hành vi lạ trong mạng. Với sự gia tăng của
các cuộc tấn công mạng và sự phát triển của các ứng dụng và dịch vụ trực
tuyến, việc đảm bảo an ninh mạng là một trong những thách thức lớn đối với
các tổ chức.Nó sử dụng các thuật toán học máy để phân tích và học hành vi
thông thường của mạng. Sau đó, khi có các hành vi lạ xuất hiện, giải pháp này
sẽ phát hiện và báo cáo về sự cố mạng, giúp người quản trị mạng xử lý vấn đề
nhanh chóng và hiệu quả.

- Các thuật toán học máy được sử dụng trong giải pháp này có thể bao gồm
decision tree, clustering, neural networks và support vector machine. Các thuật
toán này sẽ phân tích các dữ liệu mạng như lưu lượng mạng, gói tin, độ trễ,
băng thông, v.v. để xác định hành vi bất thường. Ngoài ra, Network Anomaly
Detection cũng có thể được kết hợp với các công nghệ như Intrusion Detection
and Prevention Systems (IDPS), Firewall, Virtual Private Networks (VPN) để
tăng cường tính an toàn của mạng. Nó cũng có thể được tích hợp với các công
cụ giám sát mạng như Nagios, Zabbix để tăng cường khả năng quản lý và giám
sát mạng.

- Với giải pháp quản trị Network Anomaly Detection, người quản trị mạng có
thể phát hiện và ngăn chặn các hành vi lạ trong mạng một cách nhanh chóng
và hiệu quả, giúp bảo vệ mạng và dữ liệu của tổ chức.

14
Quản trị mang

CHƯƠNG II: GIẢI PHÁP NETWORK ANOMALY

DETECTION
2.1. Các loại tấn công mạng và nguyên nhân gây ra.

- Tấn công mạng là một trong những vấn đề được quan tâm trong lĩnh vực quản
trị mạng. Tấn công mạng có thể gây ra những tổn thất về kinh tế, tài sản, danh
tiếng và cả tính mạng con người. Các hình thức tấn công mạng ngày càng phức
tạp và tinh vi, đòi hỏi các chuyên gia quản trị mạng phải luôn cập nhật những
kiến thức mới nhất để phát hiện và ngăn chặn các mối đe dọa đến hệ thống
mạng của tổ chức.

- Các loại tấn công mạng thường gặp bao gồm:

+ Tấn công từ chối dịch vụ (DDoS).
+ Tấn công mã độc (Malware).
+ Tấn công Man-in-the-Middle (MITM).
+ Tấn công thực thi mã (Code execution).
+ Tấn công lợi dụng dịch vụ không an toàn (Exploits).

2.1.1. Tấn công từ chối dịch vụ (DDoS).

- Tấn công từ chối dịch vụ (DDoS - Distributed Denial of Service) là một loại
tấn công có mục đích tạo ra trở ngại trong việc sử dụng dịch vụ của một hệ
thống máy tính, server hoặc mạng bằng cách làm cho tài nguyên của hệ thống
bị gián đoạn và không thể sử dụng được.

- Cơ chế hoạt động của tấn công DDoS đó là sử dụng nhiều thiết bị (ví dụ như
botnet) để tấn công cùng một lúc đối với một hệ thống máy tính hoặc server
bằng cách gửi số lượng lớn yêu cầu truy cập đến hệ thống đó. Khi số lượng
yêu cầu quá lớn, hệ thống không thể xử lý và trở nên quá tải, dẫn đến việc dịch
vụ sẽ bị gián đoạn hoặc không thể truy cập được.
15
Quản trị mang

- Các nguyên nhân gây ra tấn công DDoS bao gồm:

+ Kẻ tấn công có thể là những hacker hoặc những tổ chức tội phạm mạng
muốn gây nguy hiểm cho một hệ thống máy tính, server hoặc mạng nào đó.
+ Doanh nghiệp hoặc tổ chức có thể đang bị tấn công DDoS để gây mất ổn
định và bị tổn thất tài chính.
+ Một số trang web hoặc dịch vụ trực tuyến, như các trang thương mại điện
tử, trang web ngân hàng, có thể bị tấn công DDoS để gây mất uy tín và đánh
cắp thông tin tài khoản của khách hàng.
- Để ngăn chặn tấn công DDoS, các quản trị viên hệ thống cần đặt các chính
sách bảo mật và sử dụng giải pháp phòng thủ chống lại tấn công này.

- Tóm lại, tấn công DDoS là một loại tấn công mạng tối ưu hóa để tạo ra một
sự cố hệ thống. Điều này có thể gây ra đáng kể tổn thất tài chính và uy tín cho
doanh nghiệp hoặc tổ chức và gây cản trở sự truy cập của người dùng đến dịch
vụ hoặc trang web mục tiêu.

2.1.2. Tấn công mã độc (Malware).

- Mã độc (malware) là một loại phần mềm độc hại được thiết kế để gây hại cho
thiết bị của người dùng, đặc biệt là máy tính và thiết bị di động. Các kiểu tấn
công mã độc bao gồm virus, trojan, worm, spyware, adware, ransomware và
nhiều loại malware khác.

- Nguyên nhân gây ra kiểu tấn công mã độc bao gồm:

+ Khai thác lỗ hổng bảo mật: Phần mềm của máy tính hay các thiết bị di động
không được cập nhật thường xuyên, hoặc được cài đặt các phiên bản phần
mềm không an toàn, để lại những lỗ hổng bảo mật dễ bị tấn công.

16
Quản trị mang

+ Tải xuống tập tin độc hại: Khi tải xuống các tập tin từ các trang web không
đáng tin cậy hoặc các tài khoản chia sẻ trên mạng, người dùng có thể lỡ tải về
phần mềm độc hại.
+ Email lừa đảo: Tin nhắn email có chứa các tệp tin đính kèm hoặc đường dẫn
được xây dựng với mục đích lừa đảo tấn công người dùng.
+ Mạng xã hội: Tin nhắn hoặc đường dẫn được chia sẻ trên mạng xã hội có
thể chứa các phần mềm độc hại.

- Hậu quả của tấn công malware có thể làm hỏng dữ liệu, mất quyền truy cập
vào các tài khoản, đánh cắp thông tin cá nhân, kiểm soát máy tính từ xa và lây
nhiễm sang các máy tính và mạng khác. Điều đó gây mối đe dọa đáng kể cho
tính riêng tư và sự an toàn của người dùng và các tổ chức.

- Để ngăn chặn tấn công malware, người dùng cần cập nhật thường xuyên hệ
điều hành và các ứng dụng phần mềm, tránh tải những tệp tin từ nguồn không
tin cậy, không mở tệp đính kèm đến từ email không được biết đến và không
sử dụng các đường dẫn chia sẻ bị nghi ngờ trên mạng xã hội. Sử dụng các công
cụ bảo vệ như phần mềm chống virus, firewall, và cập nhật thường xuyên các
tệp phân tích malware là cách hiệu quả để bảo vệ máy tính và mạng của người
dùng.

2.1.3. Tấn công Man-in-the-Middle (MITM).

- Tấn công Man-in-the-Middle (MITM) là một kiểu tấn công trong đó kẻ tấn
công can thiệp vào kết nối giữa hai bên khác nhau để ăn cắp thông tin hoặc
thay đổi dữ liệu được trao đổi giữa hai bên. Khi thực hiện MITM, tấn công
viên có thể nhìn thấy tất cả các thông tin được truyền đi, như mật khẩu, thông
tin thẻ tín dụng hay tài khoản ngân hàng.

17
Quản trị mang

- Nguyên nhân gây ra tấn công MITM bao gồm:

+ Hệ thống bảo mật kém: Nếu mạng hoặc hệ thống bảo mật không được cài
đặt hoặc cấu hình đúng, kẻ tấn công có thể dễ dàng truy cập mạng và MITM
được.
+ Phần mềm trung gian bị nhiễm mã độc: Nếu phần mềm trung gian (các ứng
dụng như phần mềm truyền file, phần mềm download nhạc, phần mềm giải
trí...) bị nhiễm mã độc MITM, kẻ tấn công có thể sử dụng phần mềm này để
thực hiện tấn công MITM.
+ Chủ đề tấn công tuân thủ các quy định cấu hình mạng đúng: Nếu một mạng
được cấu hình không đúng, kẻ tấn công có thể vượt qua và tính toán về các
quy định trên máy chủ để thực hiện các cuộc tấn công MITM.

- Tấn công MITM có những hậu quả nghiêm trọng như ăn cắp thông tin, tài
khoản và lấy cắp các thông tin quan trọng khác. Để ngăn chặn tấn công MITM,
người dùng nên sử dụng các giải pháp bảo mật bao gồm:
+ Sử dụng phần mềm bảo mật: Người dùng cần sử dụng phần mềm bảo mật
như phần mềm diệt virus và chống mã độc để hạn chế các phương tiện tấn
công MITM.
+ Cập nhật phần mềm đầy đủ: Các phần mềm có lỗ hổng được bảo mật và cập
nhật liên tục để giảm thiểu rủi ro của các cuộc tấn công.
+ Sử dụng HTTPS: Sử dụng HTTPS để mã hóa các thông tin quan trọng được
truyền qua mạng.
+ Sử dụng Virtual Private Network (VPN): VPN giúp bảo vệ mạng truyền
thông địa phương và cung cấp mã hóa end-to-end an toàn cho dữ liệu và thông
tin.

2.1.4. Tấn công thực thi mã (Code execution).

- Tấn công thực thi mã (code execution) là kỹ thuật sử dụng để xâm nhập vào
một hệ thống hay thiết bị điện tử để thực thi mã độc hoặc thay đổi mã nguồn
của nó.
18
Quản trị mang

- Các thủ thuật phổ biến được sử dụng trong tấn công thực thi mã bao gồm:
+ Buffer Overflow: Đây là một kỹ thuật tấn công phổ biến nhất. Khi một
chương trình hoạt động vượt qua giới hạn bộ nhớ lưu trữ đệ quy hoặc tràn bộ
đệm, tấn công này sẽ cho phép kẻ tấn công đọc hoặc thay đổi mã của chương
trình.
+ Injection: Tấn công này sử dụng đầu vào từ người dùng để thực thi mã độc
trong một ứng dụng cụ thể ví dụ như database server. Kẻ tấn công sẽ tiêm một
số thành phần độc vào bên trong dữ liệu hỗ trợ việc thực thi khi dữ liệu đó
được lưu trữ và chạy trong máy chủ.
+ Cross-site scripting (XSS): Kỹ thuật này cho phép kẻ tấn công chèn mã độc
vào trang web hoặc trang web phản hồi kết quả và chạy mã độc đó trong trình
duyệt của người dùng.

- Nguyên nhân chính gây ra tấn công thực thi mã bao gồm:
+ Lỗi quản lý mã độc: Khi mã độc bị phát hiện và không được quản lý tốt, nó
có thể vẫn còn tồn tại trên hệ thống, vì vậy kẻ tấn công có thể tìm thấy cách
khai thác các lỗ hổng.
+ Thiếu bảo mật trong các ứng dụng và hệ thống: Nếu các ứng dụng và hệ
thống không được thiết kế hoặc triển khai một cách an toàn, chúng sẽ dễ trở
thành mục tiêu của kẻ tấn công.
+ Thiếu kinh nghiệm và kiến thức bảo mật: Những người phát triển hoặc quản
trị mạng không có đủ kiến thức hoặc kỹ năng để bảo vệ hệ thống mạng của họ
khỏi các cuộc tấn công thực thi mã.

- Để ngăn chặn tấn công thực thi mã, người dùng cần cập nhật thường xuyên hệ
điều hành và các ứng dụng phần mềm, thiết lập thiết bị bảo mật và sử dụng
các công cụ bảo mật như phần mềm chống virus, firewall, IDS / IPS và WAF
để bảo vệ hệ thống của mình. Hơn nữa, việc giảm độ tin cậy của đầu vào người
dùng và sử dụng mã hóa dữ liệu cũng là các cách hiệu quả để bảo vệ trước tấn
công thực thi mã.

2.1.5. Tấn công lợi dụng dịch vụ không an toàn (Exploits).

- Kiểu tấn công lợi dụng dịch vụ không an toàn, còn được gọi là Exploits, đề
cập đến việc tận dụng các lỗ hổng trong các dịch vụ phần mềm để tấn công hệ
thống. Kẻ tấn công sử dụng các lỗ hổng này để thực hiện các hoạt động không
được ủy quyền, như tiến hành các tác vụ đánh cắp thông tin hoặc chiếm quyền
kiểm soát hệ thống.

19
Quản trị mang

- Nguyên nhân chính dẫn đến kiểu tấn công lợi dụng dịch vụ không an toàn bao
gồm:
+ Các lỗ hổng phần mềm: Đây là nguyên nhân chính dẫn đến các cuộc tấn
công lợi dụng dịch vụ không an toàn. Các lỗ hổng này có thể được tìm thấy
trong phần mềm và dịch vụ mà không ai được sửa chữa hoặc cập nhật. Khi các
lỗ hổng này được tìm thấy bởi kẻ tấn công, họ có thể tận dụng nó để tiến hành
các cuộc tấn công.
+ Sử dụng phần mềm và dịch vụ lỗi thời: Đối với các nền tảng phát triển phần
mềm cũ và dịch vụ không được cập nhật, các lỗ hổng bảo mật đôi khi không
được xử lý và dễ bị tấn công.
+ Quản lý không đáp ứng được các lỗ hổng bảo mật: Một số tổ chức không
đưa ra các biện pháp bảo mật phù hợp để phát hiện và giải quyết các lỗ hổng
bảo mật có thể được khai thác, dẫn đến các cuộc tấn công lợi dụng dịch vụ
không an toàn.

- Để phòng ngừa kiểu tấn công này, người quản trị hệ thống cần cập nhật các
phần mềm và dịch vụ thường xuyên để loại bỏ các lỗ hổng bảo mật. Họ cũng
nên đảm bảo rằng các thiết lập bảo mật đang hoạt động chính xác và đối chiếu
lại danh sách các dịch vụ đang chạy để tìm kiếm các lỗ hổng bảo mật tiềm ẩn.
Ngoài ra, cần đào tạo nhân viên về bảo mật mạng, tạo ra các chính sách an
ninh thích hợp và tổ chức các kiểm tra bảo mật thường xuyên để phát hiện và
giải quyết các lỗ hổng bảo mật.

2.2. Giải pháp quản trị mạng Network Anomaly Detection và công cụ hỗ trợ
phát hiện bất thường.

- Giải pháp quản trị mạng (Network Anomaly Detection) là một hệ thống giám
sát liên tục hoạt động của mạng để phát hiện các sự cố mạng bất thường. Hệ
thống này sử dụng các công cụ đánh giá sự cố mạng, phân tích dữ liệu, và phát
hiện các truy cập mạng bất thường.

20
Quản trị mang

- Các công cụ phát hiện bất thường trên mạng được tích hợp trong giải pháp
NAD đó là: Công cụ phát hiện bất thường truy cập mạng IDS (Intrusion
Detection System) và công cụ phát hiện bất thường hành vi mạng UEBA (User
and Entity Behavior Analytics). Đây đều là các phần quan trọng trong giải
pháp quản trị mạng này. Các công cụ phát hiện truy cập mạng bất thường và
công cụ phát hiện hành vi mạng là hai công cụ khác nhau nhưng có thể hỗ trợ
lẫn nhau trong giải pháp quản trị mạng Network Anomaly Detection.
- Khi sử dụng cả hai công cụ này, người quản trị mạng có thể tăng cường khả năng phát hiện
các hoạt động bất thường trên mạng và cải thiện sự phát hiện và giải quyết các sự cố an
ninh mạng. Các công cụ này có thể tích hợp để tạo ra một giải pháp phát hiện sự cố mạng
tự động, giúp người quản trị mạng tiết kiệm thời gian và nỗ lực trong việc quản lý mạng.

2.2.1. Công cụ phát hiện bất thường truy cập mạng IDS.

Hình 5: Hệ thống phát hiện bất thường truy cập mạng

- Công cụ phát hiện truy cập mạng bất thường (Instruction Detection System)
là một phần mềm được sử dụng để giám sát và phát hiện các hoạt động mạng
không bình thường. Công cụ này hoạt động bằng cách thu thập, phân tích và
đưa ra cảnh báo khi phát hiện các hành vi mạng đáng ngờ hoặc có khả năng
gây nguy hiểm cho hệ thống.

- Công cụ phát hiện truy cập mạng bất thường (Instruction Detection System)
hoạt động theo các bước sau:
+ Thu thập dữ liệu mạng: Công cụ này lấy dữ liệu từ hệ thống mạng được cài
đặt để giám sát, bao gồm các gói tin truy cập, lưu lượng mạng và các dữ liệu
khác liên quan đến hoạt động của hệ thống.
+ Phân tích dữ liệu: Công cụ sử dụng các kỹ thuật phân tích dữ liệu và mô
hình để hiểu các hoạt động bình thường của hệ thống. Các dữ liệu này sẽ đại
diện cho các trường hợp đang hoạt động bình thường tại hệ thống.
21
Quản trị mang

+ So sánh dữ liệu: Công cụ sẽ so sánh dữ liệu đang thu thập với các mô hình
và dữ liệu bình thường. Nếu có bất kỳ sự khác biệt nào đáng ngờ, nó sẽ được
đưa ra cảnh báo cho các nhà quản trị để xử lý vấn đề.
+ Phát hiện hoạt động bất thường: Nếu công cụ vào phát hiện hoạt động không
bình thường, nó sẽ đưa ra cảnh báo cho người quản lý hệ thống. Các hoạt động
đáng ngờ có thể bao gồm các kết nối không thường xuyên, lưu lượng mạng
lớn hơn bình thường hoặc các nỗ lực tấn công bảo mật.
+ Đưa ra cảnh báo: Công cụ sẽ thông báo cho người quản trị hệ thống khi phát
hiện hoạt động không bình thường và cung cấp thông tin chi tiết về các lỗ hổng
bảo mật, cần thiết để giúp họ xử lý tình huống.

- Một số công cụ Instruction Detection System cung cấp tính năng phân tích tiên
tiến, bao gồm học máy và trí tuệ nhân tạo, để phát hiện các mối đe dọa mới và
giúp tối ưu hóa quá trình phát hiện tình huống gây nguy hiểm. Quá trình này
được thực hiện một cách tự động và liên tục, giúp đảm bảo rằng hệ thống mạng
được giám sát và bảo vệ một cách hiệu quả.

- Instruction Detection System có thể được cài đặt trên một hoặc nhiều thiết bị
mạng, được liên kết với các thiết bị chủ quản lý để quản lý và giám sát mạng.
Công cụ này có thể phân tích các dữ liệu mạng như các gói tin truy cập, các
kết nối mạng và các dữ liệu khác để tìm kiếm các dấu hiệu bất thường.

- Trong quá trình phân tích, Instruction Detection System sử dụng các kỹ thuật
phân tích mô hình để hiểu các hoạt động mạng bình thường và đưa ra cảnh báo
nếu phát hiện bất kỳ hoạt động nào bất thường hoặc không phù hợp với mô
hình. Các dấu hiệu mà hệ thống sẽ quan tâm có thể là các kết nối không thông
thường, lưu lượng mạng lớn hơn bình thường, các hoạt động đáng ngờ từ các
trang web hoặc máy chủ đáng ngờ và các lỗ hổng bảo mật mạng.

- Khi phát hiện các hoạt động không bình thường, Instruction Detection System
sẽ đưa ra cảnh báo cho các nhà quản trị để họ có thể kiểm tra và xác minh các
tình huống. Công cụ này cung cấp các tính năng phân tích tiên tiến để giúp xác
định các mối đe dọa mới và thường xuyên được cập nhật để bảo đảm tính hiệu
quả của nó.

VD: Các nhân viên trong công ty ABC thường xuyên truy cập mạng từ
các địa chỉ IP cụ thể và thực hiện các hoạt động khác nhau trong hệ thống.
Tuy nhiên, một ngày nọ, công cụ phát hiện truy cập mạng bất thường
(Instruction Detection System) báo cáo về một địa chỉ IP lạ truy cập vào hệ
thống.

22
Quản trị mang

Sau khi kiểm tra, nhà quản trị hệ thống phát hiện ra rằng địa chỉ IP này
không được sử dụng bởi bất kỳ nhân viên nào trong công ty và không có bất
kỳ thông tin cụ thể nào về hoạt động của địa chỉ IP này.
Công cụ phát hiện truy cập mạng bất thường đã phát hiện ra hoạt động
không bình thường và cảnh báo cho nhà quản trị hệ thống về mối đe dọa tiềm
tàng. Các nhà quản trị có thể tiếp cận địa chỉ IP này và xác minh các hoạt
động khác nhau được thực hiện trên hệ thống từ địa chỉ IP đó.
Nếu có các hoạt động đáng ngờ khác nữa được phát hiện, công cụ phát
hiện truy cập mạng bất thường có thể đưa ra cảnh báo để giúp người quản trị
đưa ra các biện pháp đối phó. Quá trình này giúp đảm bảo an ninh mạng của
công ty và giảm thiểu nguy cơ bị tấn công từ bên ngoài.

2.2.2. Công cụ phát hiện bất thường hành vi mạng UEBA.

Hình 6: Ba thành phần cơ bản trong hệ thống phát hiện bất thường hành vi mạng

- Công cụ phát hiện bất thường hành vi mạng (User and Entity Behavior
Analytics) là một giải pháp phần mềm giám sát, phân tích và phát hiện các
hành vi mạng bất thường. Công cụ này hoạt động bằng cách thu thập, phân
tích và xây dựng các mô hình dữ liệu về các hành vi và hoạt động mạng bình
thường, từ đó cho phép phát hiện các hành vi không bình thường hoặc bất
thường trên hệ thống.

- Công cụ phát hiện bất thường hành vi mạng (User and Entity Behavior
Analytics) hoạt động theo các bước sau:
+ Thu thập dữ liệu: Công cụ này thu thập dữ liệu từ nhiều nguồn khác nhau,
bao gồm dữ liệu người dùng, lưu lượng mạng và các dữ liệu khác liên quan
đến hoạt động của hệ thống.

23
Quản trị mang

+ Phân tích dữ liệu: Công cụ sử dụng các kỹ thuật phân tích dữ liệu và mô
hình để hiểu các hoạt động bình thường của hệ thống. Các dữ liệu này sẽ đại
diện cho các trường hợp đang hoạt động bình thường tại hệ thống.
+ Xây dựng mô hình hành vi: Công cụ sẽ sử dụng các dữ liệu đã thu thập được
để xây dựng các mô hình hành vi của người dùng và các thực thể khác trên hệ
thống. Để làm điều này, công cụ sẽ sử dụng các kỹ thuật phân tích dữ liệu và
tự học từ các mẫu dữ liệu thu thập được.
+ Phát hiện hoạt động bất thường: Nếu công cụ phát hiện được các hoạt động
không bình thường, nó sẽ đưa ra cảnh báo cho người quản trị hệ thống. Các
hoạt động đáng ngờ có thể bao gồm sử dụng tài khoản truy cập không hợp lệ,
truy cập vào các ứng dụng không hợp lệ hoặc các hành động không phù hợp
với mô hình mạng đã được đưa ra.
+ Đưa ra cảnh báo: Công cụ sẽ thông báo cho người quản trị hệ thống khi phát
hiện hoạt động không bình thường và cung cấp thông tin chi tiết về các lỗ hổng
bảo mật, cần thiết để giúp họ xử lý tình huống.

- Các tính năng phân tích tiên tiến được tích hợp trong User and Entity Behavior
Analytics, cho phép nó phân tích và phát triển các hành vi bất thường và đưa
ra cảnh báo cho các nhà quản trị khi xảy ra các tình huống gây nguy hiểm.
Công cụ này còn có khả năng tự động cập nhật các mô hình, giúp đảm bảo
rằng phân tích và phát hiện tình huống của nó được thực hiện theo cách hiệu
quả nhất.

- User and Entity Behavior Analytics cung cấp các tính năng tùy chỉnh và phân
tích tùy thuộc vào các yêu cầu của từng tổ chức, giúp họ tìm hiểu nguyên nhân
các hành vi không bình thường trên hệ thống mạng của mình. Quá trình này
giúp đảm bảo an ninh mạng và giảm thiểu nguy cơ bị tấn công từ bên ngoài.

- User and Entity Behavior Analytics thường được cài đặt trên các thiết bị mạng
và máy chủ của một tổ chức để phân tích dữ liệu từ các nguồn khác nhau, bao
gồm dữ liệu về hành vi người dùng, lưu lượng mạng, hoạt động đối tượng và
các sự cố bảo mật.

- Công cụ này sử dụng các kỹ thuật phân tích mô hình để xác định các hành vi
bình thường của người dùng và các thực thể khác trên hệ thống. Ví dụ, User
and Entity Behavior Analytics có thể phân tích thông tin lưu lượng mạng và
các kết nối để xác định thói quen truy cập của người dùng, như thời gian truy
cập vào hệ thống, thói quen người dùng đăng nhập vào hệ thống, hay cách mà
người dùng truy cập trên các thiết bị khác nhau.

24
Quản trị mang

- Nếu công cụ phát hiện bất thường trong các hoạt động mạng, nó sẽ đưa ra cảnh
báo cho người quản lý hệ thống. Đây có thể là các hoạt động không phù hợp
với mô hình mạng đã được đưa ra, như truy cập vào các ứng dụng không liên
quan hoặc sử dụng tài khoản truy cập không hợp lệ.

- Một trong các tính năng cơ bản của User and Entity Behavior Analytics là
năng lực phát hiện bất thường và phát triển các hành vi đã xảy ra từ các tình
huống trước đây để giúp hoàn thiện các mô hình. Công cụ này cũng có thể
được cấu hình để hiển thị các đặc trưng và cảnh báo tùy chỉnh để đáp ứng nhu
cầu riêng của từng tổ chức.

VD: Một công cụ phát hiện bất thường hành vi mạng (User and Entity
Behavior Analytics) là phần mềm Oblivion. Công cụ này được thiết kế để giám
sát các hoạt động của nhân viên và hệ thống trong một tổ chức. Nó sử dụng
các thuật toán phân tích dữ liệu để xác định các hành vi không bình thường
hoặc độc hại.
Ví dụ, nếu một nhân viên hệ thống đăng nhập vào hệ thống vào lúc đêm
khuya (khi họ thường không làm việc) hoặc nhiều lần đăng nhập sai mật khẩu
trong một khoảng thời gian ngắn, Oblivion sẽ phát hiện ra rằng đó có thể là
một hành vi độc hại và cảnh báo quản trị viên.
Ngoài ra, công cụ này cũng có thể xác định các hành vi lạ lùng khác
trong hệ thống, như truy cập vào các tập tin và thư mục nhạy cảm hoặc truy
cập vào các ứng dụng không liên quan đến công việc của họ. Nhờ Oblivion,
các tổ chức có thể phát hiện và ngăn chặn các hành vi độc hại trước khi chúng
gây thiệt hại cho hệ thống.

2.3. Các kỹ thuật trí tuệ nhân tạo được áp dụng để giải quyết vấn đề phát hiện
bất thường truy cập và hành vi mạng.

Có một số kỹ thuật trí tuệ nhân tạo được áp dụng để giải quyết vấn đề
phát hiện bất thường truy cập và hành vi mạng, bao gồm:

- Học máy (Machine Learning): Đây là một phương pháp phân tích dữ liệu và
dự đoán được sử dụng để phát hiện các hành vi bất thường trên mạng. Học
máy có thể được sử dụng để xây dựng các mô hình dự đoán, được đào tạo trên
dữ liệu lịch sử của mạng để tìm ra các hành vi bất thường và cảnh báo cho
quản trị viên. Các thuật toán học máy phổ biến được sử dụng trong phát hiện
bất thường bao gồm Decision Tree, Random Forest, Support Vector Machine
(SVM) và Neural Network.

25
Quản trị mang

VD: Một ví dụ về kỹ thuật trí tuệ nhân tạo học máy (machine learning)
để phát hiện bất thường truy cập và hành vi mạng là sử dụng mô hình Random
Forest (rừng ngẫu nhiên).
Mô hình Random Forest sử dụng một tập dữ liệu huấn luyện được gán
nhãn (labeled dataset) để xác định những mẫu bất thường trong dữ liệu mới.
Ví dụ, một tập dữ liệu huấn luyện được gán nhãn có thể bao gồm các thông
tin như địa chỉ IP, cổng kết nối, loại giao thức và thời gian truy cập. Mô hình
sẽ học từ dữ liệu huấn luyện này để xác định những mẫu dữ liệu bất thường
và đưa ra cảnh báo.
Khi áp dụng mô hình Random Forest để phát hiện bất thường trong truy
cập mạng, mô hình sẽ học từ dữ liệu huấn luyện để xác định các mẫu truy cập
bất thường. Ví dụ, nếu một địa chỉ IP mới xuất hiện trên mạng và truy cập vào
một số cổng không phù hợp hoặc sử dụng các giao thức không thông thường,
mô hình sẽ nhận ra điều này và đưa ra cảnh báo.
Sau khi được huấn luyện và triển khai trên hệ thống, mô hình sẽ tiếp tục
học hỏi và cải thiện độ chính xác của mình khi nhận được dữ liệu mới. Kết
hợp với các giải pháp phát hiện bất thường khác, mô hình Random Forest có
thể giúp cho quản trị mạng phát hiện các hoạt động bất thường và đưa ra các
biện pháp phòng chống kịp thời.

- Khai thác dữ liệu (Data Mining): Khai thác dữ liệu cũng là một kỹ thuật phân
tích dữ liệu được sử dụng để tìm ra các mẫu bất thường hoặc các hành vi kỳ lạ
trong dữ liệu mạng. Các thuật toán khai thác dữ liệu bao gồm Cluster Analysis,
Association Rule Mining và Sequential Pattern Mining.

26
Quản trị mang

VD: Một ví dụ về kỹ thuật khai phá dữ liệu để phát hiện bất thường truy
cập và hành vi mạng là phân tích đồ thị truy cập mạng (network access graph
analysis). Kỹ thuật này áp dụng các kỹ thuật khai phá dữ liệu để phân tích và
hiển thị các quan hệ giữa các nút trên mạng, ví dụ như các thiết bị, ứng dụng,
người dùng và các kết nối giữa chúng.
Ví dụ, khi phân tích đồ thị truy cập mạng, ta có thể phát hiện ra các nút
(thiết bị, ứng dụng, người dùng) có hành vi truy cập và tương tác với mạng
một cách bất thường so với các hành vi truy cập mạng bình thường của chúng.
Chẳng hạn, nếu một thiết bị đã từng truy cập vào một ứng dụng cụ thể, nhưng
bất ngờ có một số lượng truy cập đáng ngờ vào ứng dụng khác trong khoảng
thời gian ngắn, có thể cho thấy rằng thiết bị đó đang bị kiểm soát từ xa hoặc
bị nhiễm virus.

- Học sâu (Deep Learning): Đây là một dạng của học máy sử dụng mạng lưới
nơ-ron (neural network) để xác định các hành vi bất thường trên mạng. Học
sâu có thể học được các mẫu phức tạp hơn và tìm ra các hành vi bất thường
tốt hơn so với các phương pháp học máy truyền thống.

VD: Một ví dụ về kỹ thuật học sâu (deep learning) để phát hiện bất
thường truy cập và hành vi mạng là sử dụng mô hình mạng neural gia tăng
(incremental neural network - INN) để phát hiện tấn công mạng từ chối dịch
vụ (DoS).
Mô hình INN sử dụng các lớp neural được thêm vào một cách động để
cập nhật và học dữ liệu mới một cách liên tục. Các lớp này được thêm vào một
cách tự động khi có dữ liệu mới được tạo ra. Mô hình này có khả năng học và
phát hiện những mẫu bất thường hoặc khác thường mà không cần phải xác
định trước các điểm dữ liệu đại diện cho các lớp khác nhau.
Ví dụ, một mô hình INN có thể được sử dụng để phát hiện tấn công DoS
trên mạng. Mô hình sẽ học từ các thông tin mạng bình thường và tìm hiểu cách
mà các giao thức hoạt động. Khi có một tấn công DoS được thực hiện, mô
hình sẽ phát hiện ra một sự khác biệt trong dữ liệu và đưa ra cảnh báo. Mô
hình INN này sẽ tiếp tục học và cập nhật các thông tin mới để phát hiện các
tấn công DoS mới một cách nhanh chóng và hiệu quả.
27
Quản trị mang

- Học tăng cường (Reinforcement Learning): Học tăng cường là một phương
pháp học máy sử dụng để phát triển các chính sách (policies) để quản lý hệ
thống mạng. Chính sách sẽ được cập nhật dựa trên kết quả của các quyết định
trước đó, và được cải thiện theo thời gian để giảm thiểu các hành vi bất thường
trên mạng.

VD: Ví dụ về kỹ thuật học tăng cường để phát hiện bất thường truy cập
và hành vi mạng là việc sử dụng học tăng cường để phát hiện các cuộc tấn
công DoS/DDoS. Trong trường hợp này, hệ thống mạng sẽ được huấn luyện
thông qua việc tương tác với môi trường bên ngoài, trong đó các cuộc tấn
công DoS/DDoS được mô phỏng. Hệ thống sẽ phải tìm ra những hành động
tối ưu để ngăn chặn các cuộc tấn công này.
Khi hệ thống gặp phải một cuộc tấn công DoS/DDoS thực tế, nó sẽ áp
dụng các hành động đã học được để ngăn chặn tấn công. Nếu hệ thống hoạt
động hiệu quả, nó sẽ ngăn chặn được cuộc tấn công và phát hiện được bất
thường trong hành vi mạng. Từ đó, người quản trị có thể tiến hành các biện
pháp phòng ngừa và bảo vệ mạng an toàn hơn.

- Khai thác văn bản (Text Mining): Khai thác văn bản là một kỹ thuật phân tích
dữ liệu được sử dụng để tìm ra các thông tin tiềm ẩn trong các tài liệu văn bản
như email, tin nhắn hoặc trang web. Khai thác văn bản có thể được sử dụng để
phát hiện các hành vi bất thường trong các trao đổi văn bản giữa các thiết bị
mạng.

28
Quản trị mang

VD: Một ví dụ về kỹ thuật khai thác văn bản để phát hiện bất thường
truy cập và hành vi mạng là sử dụng phân tích cảm xúc (Sentiment Analysis)
để đánh giá tính hợp pháp của các gói tin mạng. Khi một gói tin được gửi đi,
phương pháp này sẽ phân tích nội dung của gói tin và đưa ra đánh giá về tính
hợp pháp của nó dựa trên cảm xúc được diễn tả trong gói tin đó. Nếu phân
tích cho thấy gói tin có cảm xúc tiêu cực hoặc bất thường, nó có thể bị phát
hiện là một hành vi độc hại và bị chặn bởi hệ thống bảo mật mạng.

29
Quản trị mang

CHƯƠNG III: TÌNH HÌNH NGHIÊN CỨU TRƯỚC

ĐÂY VÀ HƯỚNG PHÁT TRIỂN TRONG TƯƠNG
LAI.
3.1. Các nghiên cứu liên quan đến ứng dụng trí tuệ nhân tạo trong quản trị
mạng và giải pháp quản trị Network Anomaly Detection.

- "Anomaly Detection in Network Traffic with Deep Learning" của Trang Cao
et al. (2018): Nghiên cứu này đề xuất một phương pháp phát hiện bất thường
trong lưu lượng mạng bằng kỹ thuật Deep Learning. Cụ thể, tác giả sử dụng
mô hình mạng nơ-ron học sâu để phân loại các gói tin mạng thành hai loại:
bình thường và bất thường. Kết quả thử nghiệm trên tập dữ liệu KDD99 cho
thấy phương pháp của tác giả có hiệu quả cao.

- "A Real-Time Network Anomaly Detection System Based on Multiple

Feature Fusion and Deep Learning" của Xiaoxia Cui et al. (2020): Nghiên cứu
này đề xuất một hệ thống phát hiện bất thường thời gian thực trên mạng bằng
cách kết hợp nhiều đặc trưng và kỹ thuật Deep Learning. Hệ thống của tác giả
sử dụng mô hình mạng nơ-ron tích chập (CNN) và mạng nơ-ron hồi quy
(RNN) để học từ các đặc trưng khác nhau của dữ liệu mạng, sau đó kết hợp
chúng để phát hiện bất thường. Kết quả thử nghiệm trên tập dữ liệu NSL-KDD
cho thấy hệ thống của tác giả có hiệu quả tốt hơn so với các phương pháp
truyền thống.

- "A Hybrid Anomaly Detection System Based on Text Mining and Machine
Learning for Network Security" của Yasser Alginahi et al. (2019): Nghiên cứu
này đề xuất một hệ thống phát hiện bất thường trong mạng dựa trên kỹ thuật
khai thác văn bản và học máy. Hệ thống của tác giả sử dụng phương pháp phân
tích văn bản để trích xuất thông tin từ các tài liệu báo cáo về bảo mật mạng,
sau đó sử dụng các kỹ thuật học máy để xác định các hành vi bất thường trong
dữ liệu mạng. Kết quả thử nghiệm trên tập dữ liệu UNSW-NB15 cho thấy hệ
thống của tác giả có khả năng phát hiện các hành vi bất thường với độ chính
xác cao.

3.2. Những hạn chế của nghiên cứu trước đây.

- Mặc dù những nghiên cứu liên quan đến ứng dụng trí tuệ nhân tạo trong quản
trị mạng và giải pháp quản trị Network Anomaly Detection có những ưu điểm
và tiềm năng như đã đề cập ở trên, nhưng cũng có những hạn chế như sau:

30
Quản trị mang

+ Dữ liệu mẫu chưa đủ đại diện: Với các kỹ thuật học máy và học sâu, dữ liệu
mẫu càng nhiều và đa dạng thì kết quả phân tích càng chính xác. Tuy nhiên,
trong thực tế, việc thu thập và xử lý dữ liệu mạng không phải lúc nào cũng đủ
đại diện cho các trường hợp bất thường, dẫn đến kết quả phân tích không chính
xác.
+ Khả năng phân loại chưa cao: Một số kỹ thuật như học máy, học sâu có thể
xử lý rất nhanh và chính xác với các tình huống đã biết trước. Tuy nhiên, với
các tình huống mới, không biết trước, chúng không thể tự động phát hiện và
phân loại tốt như con người.
+ Độ tin cậy còn hạn chế: Các kỹ thuật trí tuệ nhân tạo như học máy, học sâu
đang phát triển rất nhanh, nhưng vẫn còn nhiều hạn chế. Khi áp dụng chúng
vào thực tế, đôi khi kết quả phân tích còn không đủ tin cậy để có thể tin tưởng
và sử dụng cho quyết định quản trị mạng.

- Các nghiên cứu trên chỉ tập trung vào một khía cạnh của bài toán Network
Anomaly Detection. Trong khi đó, thực tế quản trị mạng là một vấn đề phức
tạp và đa dạng, bao gồm cả các kỹ thuật phát hiện bất thường truy cập và hành
vi mạng, nhưng cũng bao gồm các vấn đề như bảo mật mạng, quản lý dữ liệu,
cấu hình hệ thống, v.v. Do đó, để có thể áp dụng các giải pháp quản trị mạng
hiệu quả, chúng ta cần phải có một hệ thống toàn diện hơn để phối hợp các kỹ
thuật khác nhau.

- Ngoài ra, các nghiên cứu trên cũng chưa thực sự giải quyết được vấn đề của
"false positive" - các trường hợp bị phát hiện nhầm là bất thường mà thực tế
lại không phải. Điều này có thể dẫn đến các nhà quản trị mạng phải dành thời
gian và công sức để xử lý những thông báo bất thực, gây mất thời gian và sự
phiền toái.

- Tóm lại, các nghiên cứu trên có những giá trị và cải tiến đáng kể cho lĩnh vực
quản trị mạng. Tuy nhiên, để đạt được kết quả tốt nhất, chúng ta cần phải xem
xét toàn diện các khía cạnh của quản trị mạng và sử dụng một hệ thống kết
hợp các kỹ thuật khác nhau để đạt được hiệu quả tối đa.

3.3. Những thách thức trong việc ứng dụng trí tuệ nhân tạo trong quản trị mạng
và giải pháp quản trị Network Anomaly Detection:

- Trí tuệ nhân tạo (AI) có tiềm năng cách mạng hóa quản trị mạng bằng cách tự
động hóa các tác vụ phức tạp và cải thiện hiệu quả tổng thể của các hoạt động
mạng. Tuy nhiên, có một số thách thức trong việc ứng dụng AI trong quản trị
mạng:

31
Quản trị mang

+ Chất lượng và số lượng dữ liệu: Các thuật toán AI đòi hỏi một lượng lớn dữ
liệu chất lượng cao để tìm hiểu và đưa ra dự đoán chính xác. Trong quản trị
mạng, có thể có sẵn dữ liệu hạn chế hoặc dữ liệu có thể không đầy đủ hoặc
không chính xác, điều này có thể ảnh hưởng đến hiệu suất của các mô hình AI.
+ Cơ sở hạ tầng mạng phức tạp: Cơ sở hạ tầng mạng có thể phức tạp, với nhiều
thiết bị, giao thức và cấu hình khác nhau. Sự phức tạp này có thể gây khó khăn
cho việc thiết kế các thuật toán AI có thể mô hình hóa chính xác hành vi của
mạng.
+ Bảo mật: Bảo mật là mối quan tâm quan trọng trong quản trị mạng và phát
hiện bất thường, và các hệ thống AI có thể dễ bị tấn công và khai thác. Đảm
bảo an ninh cho các hệ thống AI và ngăn chặn truy cập trái phép vào dữ liệu
mạng là điều cần thiết.
+ Mối quan tâm về đạo đức: Việc sử dụng AI trong quản trị mạng làm tăng
mối quan tâm về đạo đức xung quanh quyền riêng tư, thiên vị và công bằng.
Điều quan trọng là phải đảm bảo rằng các hệ thống AI được thiết kế và triển
khai một cách có đạo đức và có trách nhiệm.
+ Tích hợp với các hệ thống hiện có: Tích hợp các hệ thống AI với cơ sở hạ
tầng mạng hiện có có thể là một thách thức, đặc biệt là khi các hệ thống kế
thừa có liên quan. Các vấn đề tương thích có thể phát sinh và cơ sở hạ tầng bổ
sung có thể được yêu cầu để hỗ trợ các ứng dụng AI.
+ Bộ kỹ năng: Các kỹ năng cần thiết để phát triển và duy trì hệ thống AI cho
quản trị mạng có thể khác với các kỹ năng quản trị mạng truyền thống và các
tổ chức có thể cần đầu tư vào đào tạo và phát triển để xây dựng chuyên môn
cần thiết.

- Bên cạnh những thách thức chung đối việc việc sử dụng AI trong quản trị mạng
thì trong giải pháp quản trị mạng Network Anomaly Detection cũng có những
thách thức riêng như:
+ Định nghĩa bất thường: Xác định những gì cấu thành sự bất thường trong dữ
liệu mạng có thể là một thách thức. Các mẫu lưu lượng truy cập mạng có thể
rất thay đổi và phức tạp, và những gì có thể được coi là bình thường trong một
bối cảnh có thể là bất thường trong bối cảnh khác.
+ Độ phức tạp của mô hình: Các thuật toán AI có thể rất phức tạp và khó giải
thích, điều này có thể gây khó khăn cho việc xác định nguyên nhân gốc rễ của
sự bất thường hoặc xác định phản ứng thích hợp.
+ Tích hợp với các hệ thống hiện có: Tích hợp các giải pháp phát hiện bất
thường dựa trên AI với các hệ thống quản lý mạng hiện có có thể là một thách
thức, đặc biệt nếu hệ thống AI không được thiết kế để hoạt động với các định
dạng dữ liệu hoặc giao thức cụ thể được sử dụng bởi các hệ thống đó.
+ Hạn chế về tài nguyên: Các thuật toán AI có thể yêu cầu tài nguyên tính toán
đáng kể, đây có thể là một thách thức trong các môi trường hạn chế tài nguyên.

32
Quản trị mang

3.4. Hướng phát triển của trí tuệ nhân tạo trong quản trị mạng và giải pháp
quản trị mạng Network Anomaly Detection.

- Trí tuệ nhân tạo (AI) đang nhanh chóng thay đổi cách tiếp cận và quản lý quản
trị mạng. Một số hướng phát triển chính của AI trong quản trị mạng bao gồm:
+ Giám sát và quản lý mạng thông minh: Các hệ thống dựa trên AI có thể được
sử dụng để giám sát hiệu suất mạng, phát hiện sự bất thường và tối ưu hóa
phân bổ tài nguyên mạng. Điều này có thể dẫn đến hoạt động mạng hiệu quả
hơn và trải nghiệm người dùng tốt hơn.
+ Bảo trì dự đoán: Các thuật toán AI có thể được sử dụng để dự đoán lỗi thiết
bị và nhu cầu bảo trì, giảm thời gian chết và cải thiện độ tin cậy của mạng.
+ An ninh mạng: AI có thể giúp phát hiện và ứng phó với các mối đe dọa bảo
mật trong thời gian thực, cung cấp bảo mật mạng nâng cao và ngăn chặn mối
đe dọa.
+ Quản lý mạng tự trị: AI có thể được sử dụng để tự động hóa các tác vụ quản
lý mạng, giải phóng quản trị viên mạng để tập trung vào các nhiệm vụ cấp cao
hơn và lập kế hoạch chiến lược.
+ Tối ưu hóa mạng: AI có thể được sử dụng để tối ưu hóa lưu lượng mạng,
giảm tắc nghẽn và nâng cao hiệu quả mạng.
+ Định tuyến thông minh: Các thuật toán AI có thể được sử dụng để định tuyến
lưu lượng mạng một cách thông minh, giảm độ trễ và cải thiện hiệu suất mạng.
+ Phân tích mạng: Phân tích dựa trên AI có thể được sử dụng để cung cấp
thông tin chi tiết về các mô hình và xu hướng sử dụng mạng, giúp các tổ chức
đưa ra quyết định sáng suốt hơn về thiết kế và tối ưu hóa mạng.
+ Tự động hóa mạng thông minh: AI có thể được sử dụng để tự động hóa cấu
hình và tối ưu hóa mạng, giảm thời gian và tài nguyên cần thiết để quản lý các
mạng phức tạp.

- Bên cạnh đó, giải pháp quản trị mạng Network Anomaly Detection cũng có
những hướng phát triển trong tương lai như:
+ Phát hiện bất thường dựa trên deep learning: Các thuật toán học sâu, chẳng
hạn như mạng thần kinh, có thể được sử dụng để phân tích khối lượng lớn dữ
liệu mạng và xác định các bất thường mà các hệ thống dựa trên quy tắc truyền
thống khó phát hiện.
+ Phát hiện bất thường theo thời gian thực: Các thuật toán AI có thể được sử
dụng để phát hiện sự bất thường trong thời gian thực, cho phép phản ứng và
khắc phục ngay lập tức.
+ Trực quan hóa bất thường: Các thuật toán AI có thể được sử dụng để tạo ra
các biểu diễn trực quan về sự bất thường, giúp quản trị viên mạng dễ dàng xác
định và phản hồi các vấn đề hơn.

33
Quản trị mang

+ Phản hồi tự động: Các hệ thống phát hiện bất thường dựa trên AI có thể được
tích hợp với các hệ thống phản hồi tự động, cho phép phản ứng nhanh hơn và
hiệu quả hơn đối với các bất thường mạng.
+ Phân đoạn mạng: Các thuật toán AI có thể được sử dụng để phân đoạn mạng
dựa trên các mẫu lưu lượng và hành vi, giúp dễ dàng xác định và phản hồi các
bất thường trong các phần cụ thể của mạng.
+ Phát hiện bất thường dựa trên hành vi: Các thuật toán AI có thể được sử
dụng để phân tích các mẫu và hành vi lưu lượng mạng để xác định sự bất
thường, thay vì dựa vào các quy tắc hoặc chữ ký được xác định trước.
+ Phát hiện bất thường không giám sát: Các thuật toán AI có thể được sử dụng
để phát hiện sự bất thường mà không cần dữ liệu được gắn nhãn trước, cho
phép phát hiện các bất thường chưa biết trước đó.
+ Học liên kết: Các thuật toán AI có thể được đào tạo trên dữ liệu từ nhiều
nguồn để cải thiện độ chính xác của việc phát hiện bất thường mà không cần
chia sẻ dữ liệu nhạy cảm.

- Nhìn chung, sự phát triển của AI trong quản trị mạng tập trung vào việc cải
thiện hiệu suất, độ tin cậy và bảo mật mạng đồng thời giảm chi phí và hợp lý
hóa hoạt động. Khi công nghệ AI tiếp tục phát triển, có khả năng chúng ta sẽ
thấy các trường hợp sử dụng sáng tạo và có tác động hơn nữa xuất hiện trong
lĩnh vực quản trị mạng.

34
Quản trị mang

KẾT LUẬN

Trong bài tiểu luận này, nhóm chúng em đã thảo luận về quản trị mạng dựa
trên trí tuệ nhân tạo và giải pháp quản trị Network Anomaly Detection. Đầu tiên,
nhóm đã tìm hiểu về ý nghĩa của trí tuệ nhân tạo và các phương pháp sử dụng nó để
giải quyết các vấn đề bảo mật mạng, như phát hiện bất thường truy cập và hành vi
mạng. Tiếp theo là tìm hiểu về giải pháp quản trị Network Anomaly Detection, cách
hoạt động của nó và các kỹ thuật sử dụng trong quá trình phát hiện bất thường truy
cập và hành vi mạng. Và cuối cùng là đưa ra một số nghiên cứu liên quan đến ứng
dụng trí tuệ nhân tạo trong quản trị mạng và giải pháp quản trị Network Anomaly
Detection.

Tuy nhiên, nhóm em cũng nhận thấy rằng vẫn còn nhiều hạn chế và thách thức
đang đối diện với các giải pháp trí tuệ nhân tạo trong việc quản trị mạng, đặc biệt là
việc xử lý các dữ liệu lớn và đảm bảo tính chính xác và đáng tin cậy của các phương
pháp phát hiện bất thường truy cập và hành vi mạng.

Vì vậy, vấn đề này cần tiếp tục được nghiên cứu và phát triển các giải pháp
mới, đồng thời áp dụng các kỹ thuật và công nghệ mới để cải thiện hiệu suất và độ
chính xác của các giải pháp quản trị mạng dựa trên trí tuệ nhân tạo và giải pháp quản
trị Network Anomaly Detection.

35
Quản trị mang

BẢNG PHÂN CÔNG CÔNG VIỆC

Nhóm 1: Quản trị mạng dựa trên trí tuệ nhân tạo và giải pháp quản trị
Network Anomaly Detection

Nội dung Thành viên

Đảm nhận nội dung Chương I Bùi Trọng Đạt

Lên đề cương + Đảm nhận nội dung

Chương II + Chỉnh sửa nội dung tiểu Tạ Thị Minh Thư
luận

Đảm nhận nội dung Chương III +

Nguyễn Đăng Kho
Slide

36
Quản trị mang

TÀI LIỆU THAM KHẢO

[1]. Pellegrino, G., Giacobbe, M., D'Antonio, S., & Palmieri, F. (2017). Network
Anomaly Detection: Methods, Systems and Tools. IEEE Access, 5, 22706-22726.
doi: 10.1109/access.2017.2764059

[2]. DNSstuff. (n.d.). Network Management. Retrieved from:

https://www.dnsstuff.com/network-management

[3]. Simplilearn. (n.d.). Types of Artificial Intelligence. Retrieved from:

https://www.simplilearn.com/tutorials/artificial-intelligence-tutorial/types-of-
artificial-intelligence#what_is_artificial_intelligence

[4]. Học viện Công nghệ Bưu chính Viễn thông. (2019). Giáo trình Quản trị mạng.
Hà Nội: Nhà xuất bản Bưu điện.

[5]. Zhang, X., Liu, Y., & Song, X. (2019). Challenges in Applying Artificial
Intelligence to Network Management. In 2019 IEEE International Conference on
Communications Workshops (ICC Workshops) (pp. 1-6). IEEE

[6]. Fout, T., Morris, S., Vuffray, M., & Smola, A. (2019). Challenges and
Opportunities for Machine Learning in Network Operations. In Proceedings of the
2019 Conference of the ACM Special Interest Group on Data Communication (pp.
455-469). ACM

[7]. Nardelli, P. H. J., Cirne, W., & de Carvalho, M. B. (2020). Machine Learning
for Network Management: Review of Current Status and Challenges. IEEE Access,
8, 34298-34320.

[8]. El-Sayed, A. M., Khedr, A. M., & El-Sayed, A. H. (2021). Challenges and
Opportunities for Artificial Intelligence and Machine Learning in Networking: A
Survey. IEEE Communications Surveys & Tutorials, 23(2), 1202-1231

[9]. Sahoo, S. K., Sahoo, B., & Sethi, A. (2021). Challenges and Opportunities of
Artificial Intelligence in Network Management. In Proceedings of the 2021
International Conference on Communication and Signal Processing (ICCSP) (pp. 95-
100). IEEE.

37