Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo

Công nghệ thông tin 
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 42 
CẢNH BÁO AN NINH THÔNG MINH 
ỨNG DỤNG HỆ MIỄN DỊCH NHÂN TẠO 
Vũ Văn Cảnh*, Hoàng Tuấn Hảo 
Tóm tắt: Trong lĩnh vực bảo mật máy tính, cảnh báo an ninh, phát hiện xâm 
nhập (ID) là một cơ chế tìm ra truy cập bất thường vào hệ thống mạng, máy tính 
bằng cách phân tích các tương tác khác nhau. Các kỹ thuật ID hiện nay có tỷ lệ 
phát hiện, cảnh báo an ninh nhầm khá lớn, do đó, cần có những giải pháp nhằm 
giảm tỷ lệ cảnh báo nhầm. Các kỹ thuật tính toán thông minh đang được nghiên cứu 
nhằm nâng cao tỷ lệ phát hiện và đưa ra cảnh báo chính xác. Đã có một số công 
trình nghiên cứu về hệ thống miễn dịch nhân tạo (AIS), tuy nhiên, các nghiên cứu 
này cơ bản thiên về khảo sát phương pháp tiếp cận dựa trên AIS. Ứng dụng AIS 
trong ID hiện đang là hướng mới cho kỹ thuật phát hiện xâm nhập, cảnh báo an 
ninh. Trong bài báo này, nhóm tác giả trình bày một số nội dung cơ bản của hệ 
miễn dịch nhân tạo, các kết quả nghiên cứu ứng dụng hệ miễn dịch nhân tạo trong 
việc phát hiện xâm nhập mạng được thực hiện tại Phòng thí nghiệm An ninh mạng - 
Học viện Kỹ thuật quân sự. 
Từ khóa: Học máy, Xâm nhập mạng, Phát hiện xâm nhập, Cảnh báo an ninh, Hệ miễn dịch nhân tạo. 
1. GIỚI THIỆU 
Cùng với sự phát triển của mạng máy tính, vấn đề an ninh mạng cũng đang đối 
mặt với những thách thức lớn, ngày càng có nhiều hành vi xâm nhập trái phép vào 
hệ thống mạng nhằm phá hoại, ăn cắp thông tin với nhiều hình thức khác nhau, 
tinh vi hơn. Để giải quyết vấn đề này, nhiều kỹ thuật phát hiện xâm nhập mạng, 
cảnh báo an ninh đã được nghiên cứu và ứng dụng, tuy nhiên, các kỹ thuật này 
chưa có hiệu quả cao đối với các hình thức tấn công xâm nhập mới, ngày càng tinh 
vi với nhiều biến thể khác nhau. 
Làm thế nào để chúng ta có thể phát hiện xâm nhập, đưa ra cảnh báo an ninh có 
hiệu quả với tất cả các hành vi tấn công, xâm nhập trái phép vào hệ thống máy 
tính? Nhiều công trình nghiên cứu đã được thực hiện, Anderson J.P [1] đưa ra quan 
điểm phát hiện xâm nhập vào hệ thống máy tính, đến năm 1980 Anderson đã đưa 
ra khái niệm về hệ thống phát hiện xâm nhập (IDS) mạng máy tính. Năm 1987, 
Denning D.E đưa ra mô hình hệ thống chuyên gia phát hiện xâm nhập (IDES) [5]. 
Năm 1990 đã tạo ra bước ngoặt trong lịch sử phát hiện xâm nhập, Heberlein L.T 
phát triển mô hình giám sát an ninh mạng [10]. Sau đó, ID chính thức được phân 
chia thành 2 dạng: Hệ thống phát hiện xâm nhập dựa trên mạng (Network Intrusion 
Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 43
Detection System - NIDS) và hệ thống phát hiện xâm nhập dựa trên máy trạm 
(Host-based Intrusion Detection System). Hiện nay, ID đang là một chủ đề nghiên 
cứu được rất nhiều nhà nghiên cứu về bảo mật, an ninh mạng máy tính quan tâm, 
phát triển. 
Những năm gần đây, một số nghiên cứu đã áp dụng lý thuyết miễn dịch học cho 
hệ thống phát hiện xâm nhập, các nghiên cứu này được gọi là hệ miễn dịch nhân 
tạo (Artificial Immune System - AIS) [8]. Các nghiên cứu đã đóng góp đáng kể 
vào sự phát triển của AIS, nhiều công trình liên quan đã được ứng dụng như phát 
hiện gian lận [14], tối ưu hóa [9], học máy [3], robotics [13] và bảo mật máy tính 
[12]. Hầu hết các nghiên cứu về IDS dựa trên AIS cơ bản chỉ dừng lại ở mức độ 
đưa ra quan điểm sử dụng thuật toán và phát triển hệ thống. Trong nghiên cứu, 
chúng tôi nghiên cứu một số khía cạnh của AIS ứng dụng trong phát hiện xâm 
nhập mạng. 
Phần còn lại của bài báo, chúng tôi giới thiệu nền tảng AIS và mô hình thiết kế 
cho AIS. Hệ phát hiện xâm nhập được trình bày chi tiết trong phần 2. Phần 3 trình 
bày về mô hình AIS trong cảnh báo an ninh, thực nghiệm và kết quả sẽ được trình 
bày trong phần 4. Một số nhận xét, kết luận và định hướng nghiên cứu tiếp theo 
được trình bày trong phần 5. 
2. KIẾN THỨC NỀN TẢNG 
2.1. Hệ miễn dịch sinh học 
Hệ miễn dịch là hệ thống sinh học bảo vệ cơ thể chống lại những tấn công liên 
tục từ các sinh vật, tác động bên ngoài. Đây là mạng lưới vô cùng phức tạp của các 
tế bào, mô và các bộ phận giúp bảo vệ cơ thể khỏi các tác nhân xâm nhập như vi 
khuẩn, virus, ký sinh trùng, cũng như các rối loạn của tế bào. Hệ miễn dịch tạo ra 
các kháng thể và các tế bào đặc biệt để tấn công các sinh vật lạ thâm nhập cơ thể 
sống. Một trong những hệ miễn dịch được truyền từ đời này sang đời kia theo di 
truyền được gọi là hệ miễn dịch bẩm sinh, cơ thể ngay từ khi ra đời đã luôn ở trạng 
thái sẵn sàng nhận diện, loại bỏ và tiêu diệt các vi sinh vật lạ. Bên cạnh đó, cùng 
với sự phát triển của cơ thể sẽ tạo ra các hệ miễn dịch tham gia vào việc bảo vệ cơ 
thể, được gọi là hệ miễn dịch thích nghi, có hiệu quả hơn trong việc bảo vệ cơ thể 
chống lại các vi sinh vật mới. 
Hệ miễn dịch thực hiện nhận diện, ngăn chặn và loại bỏ những vi sinh vật xâm 
nhập vào cơ thể; chúng nhận dạng tế bào và phân chia thành hai nhóm khác nhau: 
Công nghệ thông tin 
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 44 
self (những tế bào của cơ thể tạo ra) và nonself (những tế bào lạ), đồng thời loại bỏ 
các tế bào thuộc loại nonself. 
Hệ miễn dịch thực hiện cơ chế miễn dịch thông qua 3 lớp được mô tả trong hình 1. 
Hình 1. Các lớp của hệ miễn dịch sinh học. 
Khi các chất lạ xâm nhập vào cơ thể, các tế bào thực bào và kháng thể sẽ tiến 
hành ngăn chặn (lớp vật lý), trường hợp các chất lạ là các vi sinh vật bình thường 
sẽ bị ngăn chặn và giết chết. Trường hợp các vi sinh vật vượt qua lớp vật lý nó sẽ 
bị ngăn chặn và đào thải ra khỏi cơ thể bởi lớp sinh hóa, trong lớp này chứa các 
enzym có thể loại bỏ các kháng nguyên bởi các axit và nhiệt độ cơ thể. Một số sinh 
vật có cấu trúc mạnh mẽ hơn, vượt qua 2 lớp bảo vệ trên sẽ đi sâu vào cơ thể, khi 
này hệ thống miễn dịch bẩm sinh và miễn dịch thích nghi sẽ kích hoạt các cơ chết 
bảo vệ để giết chết vi sinh vật xâm nhập. 
2.2. Hệ miễn dịch nhân tạo 
Hệ miễn dịch nhân tạo (AIS) lấy ý tưởng của hệ miễn dịch học thích nghi và 
những chức năng, nguyên tắc, mô hình miễn dịch quan sát được, áp dụng để giải 
các bài toán thực tế [4]. AIS có phạm vi ứng dụng rất rộng rãi như nhận dạng mẫu, 
an ninh máy tính, lập lịch, tìm kiếm tối ưu và điều khiển tự động. 
Trong các thuật toán mô phỏng tiến hoá sinh học, đối tượng tiến hóa là tập các 
nhiễm sắc thể nhân tạo (quần thể), quần thể này trải qua quá trình chọn lọc, sinh 
sản và đột biến gien. Quá trình này lặp lại nhiều lần, sau mỗi lần thực hiện sẽ nhận 
được quần thể mới tiến hóa (tốt) hơn. Để xây dựng được cấu trúc cơ bản của mô 
hình này người ta phải biểu diễn được gien các cá thể trong quần thể, cùng với các 
thủ tục lựa chọn, sản sinh và đột biến gien. Cấu trúc cơ bản của hệ thống phỏng 
sinh học cần có 03 yếu tố cơ bản đó là biểu diễn các thành phần hệ thống, cơ chế 
Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 45
đánh giá tương tác các cá thể với môi trường và các cá thể với nhau và các thủ tục 
thích nghi điều khiển tính động của hệ thống, tức là làm cho hoạt động của hệ 
thống thay đổi theo thời gian. 
Hình 2. Cấu trúc phân lớp của AIS. 
Hệ miễn dịch nhân tạo có thể được xây dựng theo cấu trúc phân lớp gồm 03 lớp 
biểu diễn như hình 2. 
Các lĩnh vực ứng dụng là cơ sở để xây dựng AIS, đối với mỗi lĩnh vực ứng 
dụng sẽ quyết định các thành phần và cách thức biểu diễn, các thao tác khác nhau 
trên AIS. Lời giải bài toán sẽ được cập nhật lại sau khi một quần thể mới được tạo 
ra và đưa ra kết quả khi đạt được điều kiện kết thúc nào đó [15]. 
Lớp biểu diễn trong AIS bao gồm 2 thành phần quan trọng là kháng thể và 
kháng nguyên. Trong lớp các phương pháp đánh giá độ thích nghi có thể sử dụng 
nhiều phương pháp khác nhau như khoảng cách Hamming, Euclid và Mahattan. 
Trong lớp các thuật toán miễn dịch có thể sử dụng các thuật toán như chọn lọc tích 
cực, chọn lọc tiêu cực, chọn lọc vô tính... để điều chỉnh tính động của AIS [15]. 
Khả năng phân biệt giữa mình (Self) và không phải mình (NonSelf) là một chức 
năng quan trọng nhất trong hệ thống miễn dịch, trong đó, kháng thể và kháng 
nguyên kết hợp với nhau như một sự phù hợp, và có thể mô tả như khối lồi và lõm 
trên bề mặt 2 phần tử (hình 3). Do vậy, để mô tả hình dạng tổng quát của kháng thể 
và kháng nguyên cũng như thể hiện sự kết hợp giữa chúng, ta có thể biểu diễn 
kháng thể và kháng nguyên là một tập các khối lồi, lõm với 3 tham số chiều cao, 
chiều rộng và chiều dài. Tổng quát hơn ta có thể biểu diễn kháng thể và kháng 
nguyên như một tập L tham số. 
Công nghệ thông tin 
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 46 
Hình 3. Kháng thể (Antibody) nhận diện kháng nguyên (Antigen) dựa vào phần bù. 
Mỗi kháng thể và kháng nguyên có thể coi như một chuỗi thuộc tính 
trong không gian S với L chiều. Mỗi phần tử chính là một điểm 
trong không gian S. Không mất tính tổng quát ta có thể giả sử kháng thể và kháng 
nguyên có cùng độ dài là L. Tổng quát một kháng thể được biểu diễn bởi vector 
 và một kháng nguyên được biểu diễn bởi vector 
; để xác định tương tác của các kháng thể với nhau và kháng 
thể với kháng nguyên có thể dùng công thức tính khoảng cách để đo độ thích hợp 
của 2 phần tử. 
Việc đánh giá tương tác giữa các phần tử dựa vào việc tính toán khoảng cách 
không gian Euclid và Mahattan để 
đánh giá độ thích hợp giữa các thành phần của AIS trong không gian thực. Trong 
không gian Hamming, các kháng nguyên và kháng thể được biểu diễn đưới dạng 
dãy các ký hiệu trên tập hữu hạn k mẫu tự và việc đánh giá độ thích hợp giữa hai 
chuỗi thuộc tính có độ dài L trong không gian Hamming, như sau: 
(1) 
Việc tính toán khoảng cách ở trên không chỉ dùng để biểu diễn tương tác giữa 
các kháng thể với kháng nguyên, mà còn có thể dùng để biểu diễn sự tương tác của 
kháng thể với kháng nguyên và được sử dụng để xác định tương tác giữa các phần 
tử trong AIS. Bên cạnh đó trong các bài toán thường quy định một ngưỡng  để 
xác định sự tương tác giữa các phần tử. Dựa vào ngưỡng này mà ta có thể xác định 
được 2 phần tử có thể tương tác với nhau hay nhận diện được nhau. 
2.3. Hệ miễn dịch ứng dụng trong an ninh máy tính 
Trong lĩnh vực an ninh máy tính, mục tiêu quan trọng là làm sao phát hiện và 
ngăn chặn các truy cập bất hợp pháp và các mã độc. Các nguyên tắc phát hiện và 
loại bỏ vi sinh vật lây nhiễm trên hệ miễn dịch sinh học được áp dụng cho thiết kế 
hệ thống an ninh máy tính. Cách tiếp cận tự nhiên này cho phép xây dựng các hệ 
thống phát hiện và phòng chống xâm nhập thông minh có khả năng tự động phát 
Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 47
hiện, cảnh báo sớm các truy cập bất hợp pháp, đây là hướng nghiên cứu có nhiều 
triển vọng trong tương lai [16]. 
Bảng 1. Minh họa ánh xạ giữa các thành phần trong hệ miễn dịch sinh học với 
kiến trúc môi trường mạng máy tính. 
Hệ miễn dịch sinh học Môi trường mạng 
Tế bào Tiến trình hoạt động trong một máy tính 
Cơ quan đa bào Máy tính chạy đa tiến trình 
Số lượng cơ quan Các máy tính trong mạng 
Da và hệ miễn dịch bẩm sinh 
Mật khẩu, quyền truy cập file, truy cập nhóm 
người dùng, 
Hệ miễn dịch thích nghi 
Một tiến trình có khả năng kiểm soạt các tiến 
trình khác để phát hiện bất thường 
Đáp ứng tự miễn dịch Cảnh báo 
Self Hành vi bình thường 
Nonself Hành vi bất thường 
Trong hệ thống an ninh máy tính, xem xét sự thay đổi bất thường của dữ liệu 
trong máy tính nhằm xác định máy tính có bị xâm nhập trái phép hay không để đưa 
ra các cảnh báo. Thông thường, những sự thay đổi này là hành vi hay kết quả của 
các cuộc tấn công vào hệ thống máy tính, thường tấn công từ môi trường mạng. 
Bảng 2. Minh họa ánh xạ giữa các thành phần của hệ miễn dịch sinh học với quản 
lý, điều hành trên máy tính. 
Hệ miễn dịch Môi trường máy tính 
Tế bào File dữ liệu 
Cơ quan Tập hợp các file của chương trình 
Da và hệ miễn dịch bẩm sinh 
Mật khẩu, quyền truy cập file, truy cập nhóm 
người dùng, 
Hệ miễn dịch thích nghi 
Hệ miễn dịch nhân tạo (có khả năng kiểm soát và 
phát hiện, cảnh báo những thay đổi của dữ liệu) 
Đáp ứng tự miễn dịch Cảnh báo 
Self Hành vi bình thường 
Non-Self Hành vi bất thường 
Kết hợp với việc phân tích log, người quản trị có thể biết được nguồn gốc, mục 
tiêu xâm nhập trái phép, để có phương pháp ngăn chặn kịp thời. 
Công nghệ thông tin 
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 48 
3. MÔ HÌNH HỆ MIỄN DỊCH NHÂN TẠO TRONG 
CẢNH BÁO AN NINH THÔNG MINH 
3.1. Mô hình AIS trong cảnh báo an ninh thông minh 
Trên cơ sở lý thuyết về hệ miễn dịch sinh học, hệ miễn dịch nhân tạo và các vấn 
đề an ninh mạng, mô hình AIS được xây dựng với mục đích phát hiện thay đổi bất 
thường của dữ liệu (hình 3). Người quản trị hệ thống dựa vào các cảnh báo về sự 
thay đổi dữ liệu cùng với các phương thức khác như phân tích log... để đưa ra kết 
luận chính xác về sự thay đổi của dữ liệu, dựa vào kết quả phân tích mà người 
quản trị có thể ngăn chặn ngay những hành vi bất hợp pháp. 
Hình 4. Mô hình thiết kế hệ miễn dịch nhân tạo. 
Với mô hình này, lĩnh vực ứng dụng nhằm mục đích theo dõi, phát hiện sự thay 
đổi dữ liệu, làm cơ sở để người dùng kiểm tra phát hiện xâm nhập trái phép trước 
khi có các rủi do lớn hơn có thể xảy ra, thông báo tới hệ thống an ninh mạng để 
theo dõi và hoàn thiện giải pháp bảo vệ hệ thống. Các thành phần AIS được mô tả 
trong bảng 3. Phương pháp đánh giá độ thích hợp theo quy tắc khớp R-Chunk 
(mục 3.3). Thuật toán miễn dịch theo thuật toán chọn lọc tiêu cực để phân biệt self-
nonself (mục 3.2). Lời giải của mô hình là kết quả phát hiện dữ liệu có sự thay đổi 
hay không và gửi các thông điệp cảnh báo khi phát hiện sự bất thường của dữ liệu. 
Bảng 3. Mô tả ánh xạ thành phần hệ miễn dịch sinh học và AIS. 
Hệ miễn dịch sinh học Hệ miễn dịch nhân tạo 
Kháng thể Bộ dò của chương trình 
Kháng nguyên Chuỗi bít rút ra từ file cần kiểm tra 
Cơ quan thụ cảm Luật so khớp (R-chunk) 
Quá trình chọn lọc âm tính Thuật toán chọn lọc âm tính 
Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 49
Trong các thành phần trong AIS, khái niệm Self là một tập S bao gồm các xâu 
 (các tập tin) cần được bảo vệ, NonSelf là tập các xâu không thuộc tập 
S mà bộ dò có thể so khớp được. Tập dò là các sâu có thể được so khớp với 
NonSelf nhằm mục đích xác định các xâu lạ trong S. 
3.2. Thuật toán chọn lọc tiêu cực 
Thuật toán chọn lọc tiêu cực được sử dụng để phát hiện sự thay đổi bất thường 
của dữ liệu và đưa ra các cảnh báo xâm nhập, cảnh báo an ninh mạng. Nhằm phân 
biệt Self – NonSelf (SNS) [6], hệ miễn dịch nhân tạo dựa trên nguyên tắc hoạt động 
của hệ miễn dịch sinh học, để tiến hành nhận dạng các dữ liệu cần bảo vệ, từ đó 
phân tích tìm ra sự thay đổi bất thường của dữ liệu và đưa ra những cảnh báo kịp 
thời cho người sử dụng. Trên cơ sở thuật toán chọn lọc tiêu cực (NSA), dựa trên 
một tập bộ dò, thuật toán cho phép tìm kiếm những thay đổi bất thường của dữ liệu 
(các file dữ liệu) trong máy tính khi dữ liệu nằm trong tầm bảo vệ của chương 
trình. Về bản chất, đây là một phương pháp chứng thực các file trên hệ thống máy 
tính, kiểm tra sự thay đổi của các file [6]. Thuật toán được chia thành 2 giai đoạn, 
giai đoạn sinh ra tập bộ dò và giai đoạn kiểm tra. 
3.2.1. Giai đoạn sinh tập bộ dò 
Mỗi bộ dò là một chuỗi mà nó không khớp được với bất cứ chuỗi dữ liệu nào 
được bảo vệ, tập dữ liệu bộ dò được sinh ra theo các bước như sau: 
Bước 1: Sinh ra các chuỗi tế bào có độ dài ℓ từ các file cần bảo vệ trong máy tính. 
Bước 2: Sinh ngẫu nhiên một chuỗi có độ dài ℓ. 
Bước 3: Tiến hành so khớp với tất cả các chuỗi tế bào của tập bộ dò, nếu 
khớp được với bất kì chuỗi tế bào nào thì quay lại bước 2, nếu không chuyển sang 
bước 4. 
Bước 4: Nạp chuỗi vào tập bộ dò, nếu tập bộ dò đã đủ số lượng phần tử 
thì kết thúc, nếu không quay lại bước 2. 
3.2.2. Giai đoạn theo dõi dữ liệu 
Giai đoạn này thực hiện so khớp dữ liệu với tập bộ dò được tạo ra ở giai đoạn 
trước nhằm bảo vệ dữ liệu, nếu bất kì chuỗi dữ liệu được bảo vệ nào khớp với bộ 
dò thì một thay đổi được xác nhận [2]. 
Ví dụ, chuỗi tế bào S dài 32 bit: 10100010010100000100101011010101. Để 
sinh ra tập bộ dò, đầu tiên tách chuỗi tế bào thành những phần có độ dài bằng nhau 
(giả sử trong trường hợp này tách 8 chuỗi con): 
Công nghệ thông tin 
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 50 
1
010 
0
010 
0
101 
0
000 
0
100 
1
010 
1
101 
0
101 
Sau đó tiến hành sinh ngẫu nhiên các chuỗi R0 có độ dài 4 và tiến hành so khớp 
với các chuỗi con của chuỗi tế bào S, giả sử sinh các chuỗi 0111, 1000, 0101, 
1010. Kết quả bộ dò R gồm 2 chuỗi 0111 và 1000; Các chuỗi 0101 và 1010 bị loại 
vì nó khớp với một chuỗi con của S. Sau khi tập bộ dò được sinh ra thì các chuỗi tế 
bào sẽ được theo dõi bằng cách so khớp chúng với các chuỗi trong tập bộ dò R. Ví 
dụ, trong chuỗi tế bào S ở trên chúng ta thay chuỗi con 0101 thành 0111, như vậy, 
trong quá trình so khớp với tập bộ dò sẽ phát hiện ra 1 chuỗi con so khớp được, khi 
đó sẽ phát ra cảnh báo chuỗi tế bào đã bị thay đổi. 
3.3. Quy tắc so khớp 
Như đã đề cập, quy tắc so khớp Hamming dựa trên khoảng cách giữa hai 
chuỗi, nếu hai chuỗi có cùng giá trị tại rvị trí thì được gọi là giống nhau. Một quy 
tắc so khớp hoàn chỉnh giữa hai chuỗi có độ dài bằng nhau sao cho mỗi vị trí 
tương ứng giữa hai chuỗi hoàn toàn giống nhau được gọi là quy tắc so khớp R-
Chunk và R-Contiguous. Để đơn giản, ta so khớp tại r vị trí liên tiếp giữa 2 
chuỗi, nếu 2 chuỗi khớp với nhau tại ít nhất r vị trí liên tiếp thì hai chuỗi được 
gọi là so khớp với nhau. Ví dụ, so khớp hai chuỗi x:BBAABCDAB, 
y:AABABCDBA; Chuỗi x và y gồm 4 ký tự, khi đó, nếu việc so khớp có r ≤ 3 thì 
2 chuỗi được gọi là khớp với nhau. 
Bộ dò r-chunk là một bộ (d,i) gồm một xâu và một số nguyên 
 khớp được với xâu nếu là 
tập các xâu nhị phân có chiều dài r. Bộ dò r-chunk được đề xuất bởi T.Stibor [11] 
có ưu điểm làm giảm tỷ lệ phát hiện sai. 
Bộ dò r-contiguous là một xâu khớp được với một xâu khác nếu 
với mọi mà . 
Ví dụ chuỗi tế bào: 
(2) 
khi đó, với r=3 ta có các bộ dò: gồm 09 bộ: 
 1 000,1 , 110,1 , 111,1D ; 2 011, 2 , 100, 2 , 111, 2D ; (3) 
 3 001,3 , 110,3 , 111,3D 
 ,3 11001;11110;11111ContD S . 
Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 51
Các quy tắc Humming, R-Chunk và R-Contiguous đều có thể sử dụng điều 
chỉnh một biến ngưỡng r để xác thực việc so khớp chuỗi, nếu r càng lớn thì việc 
so khớp càng nghiêm ngặt. 
3.4. Xác xuất phát hiện thay đổi 
Xác suất phát hiện sự thay đổi của tế bào khi được so khớp với r vị trí liên tiếp 
(r láng giềng) được xác định bởi , với là m số 
lượng ký tự khác nhau trong 2 chuỗi cần so khớp, l là độ dài của chuỗi so khớp và 
r là số vị trí liên tiếp cần so khớp. 
Bên cạnh đó cũng cần phải xác định số lượng chuỗi ngẫu nhiên cần sinh ra cần 
thiết cho tập bộ dò để khi so khớp với các tế bào thì độ chính xác của việc so khớp 
và thời gian so khớp có thể chấp nhận được. Ta có xác suất một chuỗi ngẫu nhiên 
trong không khớp được với tất cả các chuỗi tế bào là với là 
số lượng chuỗi tế bào và xác suất mà bộ dò không phát hiện được sự thay đổi 
 với là số lượng cuỗi của tập bộ dò. Khi đó, số lượng chuỗi 
ngẫu nhiên cần tạo ra cho tập bộ dò là: 
. 
4. THỰC NGHIỆM VÀ KẾT QUẢ 
Một số công trình nghiên cứu hướng về tìm điểm chung nhất đó là xây dựng tập 
bộ dò cho toàn bộ thư mục (ổ đĩa), tuy nhiên, tổng dữ liệu tại các thư mục/ổ đĩa là 
rất lớn nên việc kiểm soát và cài đặt một tập bộ dò cho toàn bộ thư mục/ổ đĩa 
không khả thi. Trong nghiên cứu này, chúng tôi đưa ra giải pháp là chia nhỏ dữ 
liệu đầu vào của bộ dò bằng cách sinh ra chuỗi tế bào S từ một tập tin máy tính hay 
nói cách khác mỗi tập tin trên máy tính sẽ tạo ra một chuỗi tế bào riêng. Điều này 
làm cho AIS có thể kiểm soát được toàn bộ dữ liệu của hệ thống. Việc tạo ra tập bộ 
dò ở đây theo hướng “tìm điểm chung nhất của một tập tin” hay nói cách khác mỗi 
tập bộ dò có đặc điểm của từng tập tin tương ứng và các tập bộ dò này được lưu 
vào cơ sở dữ liệu. Việc so khớp sẽ được tiến hành trên dữ liệu của tập tin và tập bộ 
dò của riêng nó, tập bộ dò mang các đặc điểm nhận dạng của tập tin để phân biệt 
self-nonself. 
Bên cạnh đó, nghiên cứu còn kết hợp với giải pháp so sánh dung lượng của tập 
tin để tìm tham số l phù hợp. Giả sử ta có 5 bít, như vậy, tổ hợp của 5 bít này có 
thể tạo ra 25 trường hợp kết hợp, hay nói một cách khác có thể tạo ra một tế bào có 
chiều dài 5*2+5+ bít. Tổng quát hơn, nếu một có dung lượng N, như vậy, tham số l 
Công nghệ thông tin 
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 52 
tối ưu cho bộ dò có thể được xác định bởi *2
ll N . Khi đã biết được tham số l 
với mỗi giá trị r ta có thể xây dựng được tập dò khác nhau. Theo phân tích trong 
phần 3.2, ta có thể thay đổi lần lượt giá trị r để có thể tìm thấy một phương án phù 
hợp với bài toán theo một xác suất nào đó. 
Trong giai đoạn tạo tập bộ dò, thuật toán sẽ tiền hành tìm kiếm các tập tin trong 
thư mục/ổ đĩa, với mỗi tập tin tìm được hệ thống sẽ tiền hành tạo bộ dò (chuỗi tế 
bào) cho tập tin và lưu vào tập tin dữ liệu của tập bộ dò. Lưu đồ thuật toán được 
biểu diễn trong hình 5. 
Hình 5. Lưu đồ thuật toán AIS tạo tập bộ dò. 
Trong thử nghiệm, chúng tôi đã tiến hành trên vùng dữ liệu gồm 1000 tập tin 
được chia thành 20 thư mục khác nhau, dữ liệu của tập bộ dò được tạo ra sẽ được 
lưu trong một tập tin văn bản. 
Hình 6. Lưu đồ thuật toán AIS kiểm tra sự thay đổi của các tập tin. 
Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 53
Để kiểm tra sự thay đổi của tập tin hay các tập tin có bị nhiễm mã độc/virus hay 
không thuật toán tiến hành tìm kiếm các tập tin trong vùng dữ liệu và truy vấn các 
thông tin bộ dò của tập tin tìm được, tiến hành kiểm tra sự thay đổi của tập tin. Lưu 
đồ thuật toán được biểu diễn như trong hình 6. 
Quá trình thử nghiệm được tiến hành tại phòng thí nghiệm An ninh mạng – Học 
viện Kỹ thuật quân sự với vùng dữ liệu gồm 1000 tập tin, mỗi tập tin có dung 
lượng xấp xỉ 1MB, tiến hành thay đổi dữ liệu trong 748 tập tin và kiểm tra hiệu 
quả của kỹ thuật cho thấy hệ thống đã cảnh báo sự thay đổi của 739 tập tin, trong 
đó có 9 tập tin cảnh báo sai. 
Từ kết quả trên cho thấy hệ thống AIS kiểm soát sự thay đổi của dữ liệu trong 
vùng dữ liệu được kiểm soát đạt độ chính xác 98.80% với sai số 1.22%. 
Cùng với các cảnh báo về sự thay đổi dữ liệu trong các tập tin mà AIS đưa ra, 
kết hợp với phân tích logfile mà người quản trị có thể phán đoán chính xác sự thay 
đổi này do người dùng gây ra (hợp pháp), hay sự thay đổi do virus, mã độc (bất 
hợp pháp) mà có thể đưa ra các biện pháp xử lý thích đáng. 
5. KẾT LUẬN 
Hệ miễn dịch nhân tạo đang là hướng nghiên cứu được quan tâm trong phát 
triển hệ thống phát hiện xâm nhập, cảnh báo an ninh. Dựa trên hệ miễn dịch nhân 
tạo có thể tạo ra các tế bào (mã) có khả năng đối kháng (nhận diện) được các mã 
độc hay các tấn công mới lạ, tinh vi hiện nay. Việc xác định phương án phù hợp 
nhất hay tìm tham số r tối ưu tốn nhiều thời gian do phải xét tất cả các trường hợp, 
trong thời gian tới nhóm tiếp tục nghiên cứu theo hướng tự động thay đổi tối ưu 
tham số đầu vào l và r nhằm tăng tốc độ xử lý trong hệ thống. 
TÀI LIỆU THAM KHẢO 
[1]. J. P. Anderson, “Computer security threat monitoring and surveillance,” 
Tech. Rep., James P. Anderson Company, Fort Washington, Pa, USA, 1980. 
[2]. I. Antoniou, S. Gutnikov, V. Ivanov, Yu. Melnikov and A. Tarakanov (2002), 
Immunocomputing: a survey, Solvay Preprint 01-02, Brussels, BELGIUM. 
[3]. L. N. de Castro and F. J. von Zuben, “Learning and optimization using the 
clonal selection principle”, IEEE Transactions on Evolutionary Computation, 
vol. 6, no. 3, pp. 239–251, 2002. 
[4]. L. N de Castro and J. Timmis, “Artificial Immune Systems: A New 
Computational Intlligence Approach”, Springer-Verlag, 2002 
Công nghệ thông tin 
V. V. Cảnh, H. T. Hảo, “Cảnh báo an ninh thông minh ứng dụng hệ miễn dịch nhân tạo.” 54 
[5]. D. E. Denning, “An intrusion-detection model,” IEEE Transactions on 
Software Engineering, vol. 13, no. 2, pp. 222–232, 1987. 
[6]. Forrest et al, “Self-Nonself Discrimination in a Computer”, in Proceedings of 
1994 IEEE Symposium on Research in Security and Privacy, Oakland, CA, 
202-212 
[7]. S. Forrest, S. A. Hofmeyr, and A. Somayaji, “Computer Immunology” 
Communications of the ACM, vol. 40, no. 10, pp. 88–96, 1997. 
[8]. C. A. Janeway, P. Travers, M. Walport, and M. Shlomchik, “Immunobiology: 
The Immune System in Health and Disease”, Garland Science, New York, 
NY, USA, 2005. 
[9]. M. F. A. Gadi, X. Wang, and A. P. do Lago, “Credit card fraud detection with 
artificial immune system,” in Artificial Immune Systems, vol. 5132 of Lecture 
Notes in Computer Science, pp. 119–131, Springer, Berlin, Germany, 2008. 
[10]. L. T. Heberlein, G. V. Dias, K. N. Levitt, B. Mukherjee, J. Wood, and D. D. 
Wolber, “A network security monitor,” in Proceedings of the IEEE Computer 
Society Symposium on Research in Security and Privacy, pp. 296–304, 
Oakland, Calif, USA, May 1990. 
[11]. T. Stibor et al, “An investigation of r-chunk detector generation on higher 
alphabets”, GECCO 2004, LNCS 3102, 299-30. 
[12]. J. Timmis, A. Tyrrell, M. Mokhtar, A. Ismail, N. Owens, and R. Bi, “An 
artificial immune system for robot organisms,” in Symbiotic Multi-Robot 
Organisms: Reliability, Adaptability, Evolution, pp. 268–288, Springer, 
Berlin, Germany, 2010. 
[13]. A. Watkins, J. Timmis, and L. Boggess, “Artificial immune recognition 
system (AIRS): an immune-inspired supervised learning algorithm,” Genetic 
Programming and Evolvable Machines, vol. 5, no. 3, pp. 291–317, 2004. 
[14]. S. X. Wu and W. Banzhaf, “The use of computational intelligence in intrusion 
detection systems: a review,” Applied Soft Computing Journal, vol. 10, no. 1, pp. 
1–35, 2010. 
[15]. Phạm Văn Việt, “Nghiên cứu, phát triển và ứng dụng hệ miễn dịch nhân tạo 
trong việc giải các bài toán tối ưu”, Luận văn Thạc sĩ, HV Kỹ thuật Quân 
sự (2006). 
[16]. Nguyễn Xuân Hoài, Nguyễn Văn Trường, Vũ Mạnh Xuân, “Hệ miễn dịch 
nhân tạo và ứng dụng”, Tạp chí Khoa học và Công nghệ ĐH Thái Nguyên 
(2007), pp. 13-18. 
Nghiên cứu khoa học công nghệ 
Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 55
ABSTRACT 
ARTIFICIAL IMMUNE SYSTEM ON INTELLIGENT NETWORK 
INTRUSION DETECTION SYSTEM 
In the field of cyber security, intrusion detection is a mechanism for 
detecting abnormal access to networks and computers by analyzing the 
various interactions. The current Intrusion detection (ID) methods normally 
has false positive rates and negative rate unexpectively. Thus, there should 
be measures to reduce the rate of false alarms. Computational intelligence 
techniques are being studied in order to improve detection rates and provide 
more accurate warnings. There have been some studies on Artificial Immune 
System (AIS), however, those examined the basic implementations of the 
approach based on AIS. Applying AIS on intrusion detection system is one of 
the attractive approaches recently. In this paper, we discover some basic 
concepts of artificial immune system, then apply artificial immune system to 
network intrusion detection. Some experimental results was conducted in 
Laboratory of Network Security – Le Quy Don Technical University which 
outperformed to other previous techniques. 
Keywords: Machine learning, Intrusion, Intrusion detection, Security alarms, Artifical Immune System. 
Nhận bài ngày 17 tháng 01 năm 2017 
Hoàn thiện ngày 20 tháng 02 năm 2017 
Chấp nhận đăng ngày 01 tháng 5 năm 2017 
Địa chỉ: Học viện Kỹ thuật quân sự. 
 * Email: canhvuvan@yahoo.com