Thông tin kết quả nhiệm vụ KH&CN

Nghiên cứu xây dựng hệ thống tự động phát hiện, cảnh báo và ngăn chặn tấn công mạng nhằm vào các thiết bị IoT cỡ nhỏ sử dụng mạng lưới tác tử thông minh (06/10/2025)

 Thiết bị IoT là những “vật” đa kiến trúc, hạn chế về tài nguyên có khả năng kết nối, chia sẻ, truyền tải và xử lý dữ liệu phục vụ các mục đích khác nhau. Hiện nay, số lượng thiết bị IoT trên thế giới rất lớn, ước tính có 41,6 tỷ thiết bị IoT được kết nối và có thể sinh ra 79,4 zettabyte (ZB) dữ liệu vào năm 2025. Thiết bị IoT sử dụng các loại vi điều khiển tiết kiệm năng lượng, tối giản về kích thước nên điều kiện tài nguyên khan hiếm, khả năng cài đặt thêm các chức năng bảo mật hạn chế, môi trường không được giám sát làm dấy lên những lo ngại về việc lộ thông tin của tổ chức, cá nhân khi các thiết bị IoT này đã và đang bị tin tặc tấn công. Tại Việt Nam, dù có những nghiên cứu lý thuyết về phân tích, phát hiện bất thường, tấn công các thiết bị IoT nhưng còn ở mức hạn chế và chưa có nghiên cứu nào đưa ra được mô hình tổng quan và giải pháp mang tính toàn diện. Trước nhu cầu đó, năm 2023 Học viện Công nghệ Bưu chính Viễn thông đã chủ trì thực hiện đề tài “Nghiên cứu xây dựng hệ thống tự động phát hiện, cảnh báo và ngăn chặn tấn công mạng nhằm vào các thiết bị IoT cỡ nhỏ sử dụng mạng lưới tác tử thông minh” do TS. Ngô Quốc Dũng làm chủ nhiệm rất có ý nghĩa khoa học và thực tiễn.

Triển khai đề tài, Ban chủ nhiệm nhiệm vụ đã tiến hành nghiên cứu và khảo sát một cách toàn diện, chuyên sâu về thiết bị IoT nói chung và thiết bị IoT cỡ nhỏ nói riêng. Nghiên cứu chỉ ra các vấn đề liên quan đến an ninh, an toàn thông tin của các thiết bị IoT cỡ nhỏ nhằm tìm hiểu các vấn đề cơ bản, đặc điểm, thách thức và những khó khăn với những đặc trưng của thiết bị IoT cỡ nhỏ để đưa ra hướng tiếp cận, nghiên cứu, xây dựng hệ thống phát hiện tấn công mạng dựa trên tác tử thông minh trong đề tài. Bên cạnh đó, kết quả nghiên cứu đã trình bày chi tiết mô hình tổng quan và các chức năng của các phân hệ trong mô hình tổng quan hệ thống tự động phát hiện, cảnh báo và ngăn chặn tấn công mạng nhằm vào các thiết bị IoT cỡ nhỏ; hệ thống gồm 03 phân hệ chính gồm phân hệ thu thập dữ liệu, phân hệ lưu trữ, xử lý và phân tích dữ liệu, phân hệ giám sát tập trung, cảnh báo và ngăn chặn tấn công. Đây là nội dung tiền đề quan trọng bởi mô hình sẽ giúp định hướng luồng hoạt động của hệ thống, từ đó đề tài sẽ xây dựng các phân hệ phù hợp để thực thi được đầy đủ, chính xác các tính năng của thiết bị.

Qua nghiên cứu, thiết kế, chế tạo thiết bị tác tử phần cứng (Hardware-Agent) đề tài đã trình bày chi tiết các thông số kỹ thuật theo yêu cầu và thực tế đạt được của thiết bị tác tử phần cứng. Để đảm bảo thiết bị tác tử phần cứng Hardware-Agent đáp ứng đầy đủ các yêu cầu kỹ thuật nhằm kết nối trong hệ thống mạng thiết bị IoT cỡ nhỏ, nhóm đề tài xây dựng quy trình thiết kế và chế tạo ra một sản phẩm phần cứng Hardware Agent gồm 41 bước. Bên cạnh đó, linh kiện cần thiết đáp ứng được tính năng của tác tử phần cứng, mạch nguyên lý, layout PCB của các thành phần trong tác tử phần cứng cũng được nhóm nghiên cứu lựa chọn chi tiết từ bảng mạch tổng quát cho đến các thành phần bên trong. Cuối cùng, để đánh giá các tính năng của thiết bị tác tử phần cứng, nhóm đề tài đưa ra một số kịch bản chi tiết như: Kịch bản thử nghiệm quản lý thiết bị IoT kết nối đồng thời; Kịch bản thử nghiệm khả năng chặn địa chỉ IP; Kịch bản thử nghiệm khả năng chặn dịch vụ; Kịch bản thử nghiệm khả năng giữ kết nối SSL/TLS đồng thời. Các kịch bản này đều gồm các bước thực hiện cụ thể: (1) Chuẩn bị; (2) thực hiện; (3) đánh giá kết quả. Kết quả cho thấy, thiết bị phần cứng HardwareAgent cho phép thu thập dữ liệu và quản trị các thiết bị IoT chuyên dụng không cho phép cài đặt tác tử, thiết bị hoạt động ổn định, đáp ứng các yêu cầu đã đề ra.

Kết quả nghiên cứu, thiết kế và xây dựng tác tử phần mềm (IoT-Agent) cho thấy, các hệ thống giám sát mạng hiện nay thường sử dụng công cụ phổ biến như SNMP (Simple Network Managerment Protocol) và CMIP (Common Management Information Protocol) cho việc giám sát và quản lý mạng. Cả hai hướng tiếp cận trên đều dựa trên kiến trúc máy khách/máy chủ. SNMP cung cấp một cách có hệ thống việc giám sát và quản lý hệ thống mạng. Mô hình quản lý SNMP gồm 4 thành phần: nút mạng được quản lý, máy trạm quản lý, thông tin quản lý và giao thức quản lý. Các nút mạng được quản lý có thể là máy tính, thiết bị định tuyến, máy in hoặc bất kỳ thiết bị nào có khả năng truyền tải thông tin trạng thái ra bên ngoài thiết bị. Một nút mạng được quản lý có khả năng chạy tiến trình quản lý SNMP được gọi là tác tử SNMP, nếu nó được quản lý trực tiếp bởi các trạm quản lý SNMP. Mỗi tác tử của nút mạng quản lý duy trì cơ sở dữ liệu các biến cục bộ (MIB) ví dụ như tỷ lệ mất gói tin. Tuy nhiên, trong trường hợp các thiết bị IoT cỡ nhỏ thì hầu hết không hỗ trợ SNMP, do vậy cần phát triển tác tử phần mềm có khả năng cài đặt trên thiết bị IoT cỡ nhỏ mà không làm ảnh hưởng nhiều đến hiệu năng của thiết bị, nhằm thu thập dữ liệu để phát hiện, cảnh báo và ngăn chặn tấn công mạng nhằm vào các thiết bị IoT cỡ nhỏ. Để giải quyết yêu cầu đặt ra, tác tử phần mềm được nhóm nghiên cứu thiết kế, xây dựng cần có các chức năng như chức năng cài đặt tác tử thu thập dữ liệu lên các thiết bị; chức năng thu thập tối ưu các dữ liệu về luồng mạng và lời gọi hệ thống từ thiết bị; dữ liệu sau khi được thu thập bởi tác tử được gửi về hệ thống xử lý và hệ thống lưu trữ; chức năng ngăn chặn tấn công mạng. Căn cứ vào những yêu cầu trên, nhóm đề tài tiến hành xây dựng quy trình biên dịch chuyên dụng cho tác tử phần mềm. Chương trình biên dịch được cài đặt và chạy thử đã đảm bảo yêu cầu, cho phép biên dịch từ một ngôn ngữ bậc cao thành mã thực thi trên các nền tảng Embedded Linux, Windows cho các thiết bị IoT cỡ nhỏ sử dụng một trong các kiến trúc chip vi xử lý: Mips32, Mips64, Arm, Arm64, Intel X86, PowerPC, Sparc. Kết quả cho thấy, phần mềm tác tử IoT-Agent gồm các mô-đun cài đặt tác tử trên thiết bị IoT cỡ nhỏ, mô-đun thu thập dữ liệu từ các thiết bị IoT cỡ nhỏ, mô-đun ngăn chặn tấn công mạng hoạt động ổn định và hiệu quả.

Với kết quả nghiên cứu trên, nhóm đề tài tiến hành thiết kế, xây dựng phân hệ tiền xử lý và phân tích dữ liệu nhằm phát hiện các cuộc tấn công mạng nhằm vào các thiết bị IoT (IoT-Analyzer), nghiên cứu cho thấy: Để phát hiện các hành vi tấn công mạng với các mô hình học sâu, các nhà nghiên cứu sử dụng nhiều loại dữ liệu đầu vào như: Dữ liệu luồng mạng; Dữ liệu lời gọi hệ thống; Dữ liệu hiệu năng hoạt động của hệ thống; Dữ liệu mẫu mã độc thực hiện tấn công. Tuy nhiên, với những đặc điểm riêng biệt của các hình thức tấn công mạng hướng tới thiết bị IoT dân dụng như mã độc tồn tại trực tiếp trên RAM thiết bị dẫn tới khó thu thập mẫu trực tiếp; thực hiện lây nhiễm, tấn công với các mục tiêu đa dạng về kiến trúc vi xử lý (như MIPS, ARM, PowerPC,…); tài nguyên thiết bị IoT dân dụng có nhiêu hạn chế, dẫn tới khó tích hợp trực tiếp lên thiết bị và thu thập dữ liệu hành vi của thiết bị trong thời gian dài mà không ảnh hưởng tới hoạt động của thiết bị. Do vậy để phát hiện hành vi bất thường trên thiết bị IoT nhóm nghiên cứu đã lựa chọn sử dụng mô hình xử lý dữ liệu đang được các tổ chức lớn trên thế giới sử dụng, đó là nền tảng Apache Kafka, Spark và MongoDB... Việc sử dụng Kafka như một bộ đệm giúp tránh tình huống thắt nút cổ chai khi lượng dữ liệu xử lý quá lớn và làm ảnh hưởng đến tài nguyên của thiết bị. Cũng tại phân hệ IoT-Analyzer này, nhóm nghiên cứu đề xuất sử dụng GPU có tối thiểu 3500 cores Cuda cho phép áp dụng các thuật toán học máy/học sâu trong việc xây dựng mô hình và phát hiện các cuộc tấn công mạng nhằm vào các thiết bị IoT cỡ nhỏ. Cụ thể quy trình tiến hành xây dựng phân hệ tiền xử lý, phân tích dữ liệu như sau:

Kết quả thử nghiệm và đánh giá hệ thống cho thấy, hệ thống thu thập dữ liệu trên các thiết bị IoT cỡ nhỏ (bao gồm các tác tử phần mềm cài đặt trực tiếp trên thiết bị IoT cỡ nhỏ và các thiết bị IoT cỡ nhỏ kết nối với thiết bị Hardware-Agent) đã chạy tốt. Tất cả các dịch vụ trên IoT Analyzer, remote-server, các tính năng trích chọn dữ liệu của các agent thu thập dữ liệu đều hoạt động ổn định. Dữ liệu thu thập về remote-server đầy đủ, dữ liệu chuyển về central-server đầy đủ. Hệ thống hoạt động chính xác, ổn định trong đảm bảo an toàn thông tin cho thiết bị IoT cỡ nhỏ, kịp thời phát hiện và cảnh báo tấn công mạng khi xảy ra các tấn công mạng vào hệ thống thiết bị IoT cỡ nhỏ. Như vậy, sản phẩm Hệ thống tự động phát hiện, cảnh báo và ngăn chặn tấn công mạng nhằm vào các thiết bị IoT cỡ nhỏ sử dụng mạng lưới tác tử thông minh của đề tài KC-4.0-05/19-25 đã được triển khai thử nghiệm thành công tại Sở TT-TT tỉnh Quảng Nam. Trong thời gian thử nghiệm, hệ thống hoạt động ổn định, có thể giúp phát hiện ra một số bất thường và nguy cơ an toàn thông tin trong hệ thống mạng thiết bị IoT cỡ nhỏ do Sở quản lý. Việc cấu hình, quản trị, truy cập các thông tin cảnh báo nhanh chóng, dễ dàng và kịp thời góp phần giúp công việc quản trị hệ thống thuận tiện, phát hiện sớm các nguy cơ an toàn thông tin cho hệ thống mạng thiết bị IoT cỡ nhỏ của tỉnh, nhất là trong thời đại 4.0 với nền tảng công nghệ IoT đóng vai trò cốt lõi.

Có thể tìm đọc toàn văn Báo cáo kết quả nghiên cứu dự án tại Trung tâm Thông tin và Truyền thông Hải Phòng./.