Phát hiện bất thường trong mạng IoT: Từ góc nhìn giải pháp

Hãy cùng xem xét trường hợp của ĐTTM. Tiếp cận từ góc nhìn đời thường, ĐTTM là một vùng dân cư hay khu đô thị mà ở đó dữ liệu từ các hoạt động vận hành của cơ sở hạ tầng và dịch vụ công trên nhiều lĩnh vực (giao thông, y tế, năng lượng, du lịch, môi trường,...) được thu thập, phân tích và xử lý để tối ưu hóa hoạt động, mang lại những tiện ích thiết thực cho cư dân. Nói một cách khác, dữ liệu được thu thập, xử lý một cách "thông minh", đem đến những ứng dụng "thông minh", tăng mức độ tiện lợi cho cuộc sống cư dân.

Về mặt kỹ thuật, việc thu thập dữ liệu được thực hiện qua các giải pháp và công nghệ IoT, với các thiết bị cảm biến đầu cuối được lắp đặt tại các địa điểm cần thiết, sử dụng đồng thời với các giải pháp truyền dữ liệu không dây để truyền tải dữ liệu về trung tâm phục vụ mục đích phân tích xử lý, tạo ra các quyết định vận hành tối ưu. Ngay ở Việt Nam chúng ta có thể gặp hàng loạt các thiết bị đầu cuối có chức năng thu thập, gửi dữ liệu và kết nối có tính chất kết nối vạn vật IoT, ví dụ như:

- Đồng hồ đo điện điện tử: đồng hồ đo lường lượng điện tiêu thụ của các hộ cá nhân, cơ sở sản xuất.

- Camera an ninh: camera được lặp đặt bởi các hộ dân hoặc hệ thống camera được cơ quan chức năng lắp đặt tại khu vực công cộng, cơ sở sản xuất, đường phố để thu thập video hình ảnh thực tế, phân tích phát hiện các sự kiện tại khu vực muốn kiểm soát.

- Cảm biến giao thông: các cảm biến được gắn trên đường hoặc trên các phương tiện công cộng để theo dõi tình trạng lưu lượng xe cộ, các điểm đen tắc đường, các xung đột va chạm xảy ra trên đường.

- Cảm biến đo chất lượng môi trường: các cảm biến được gắn tại nhiều địa điểm trong đô thị, thu thập thông tin về các chỉ số môi trường như nhiệt độ, nồng độ bụi, các chỉ số khí ô nhiễm.

- Văn phòng thông minh (Smart Office): công sở, văn phòng được trang bị các thiết bị IoT mang lại các tiện ích làm việc thuận tiện.

Với trường hợp nhà thông minh, đó là khi các tiện ích sử dụng trong một căn hộ đều được “thông minh hóa”, nhờ vào nền tảng IoT bao gồm một mạng lưới các cảm biến thu thập thông tin, gửi dữ liệu thu thập về trung tâm để đưa ra các hành động điều khiển phù hợp. Các tiện ích như bật tắt, hay điều chỉnh chiếu sáng phòng, đóng mở cửa, cảnh báo khói lửa, bật tắt thiết bị điện tử, bật tắt thiết bị nhà bếp, phòng tắm v.v.. đều có thể được người dùng (chủ nhà) thao tác điều chỉnh một cách tiện lợi thông qua ứng dụng cài trên điện thoại di động hoặc qua giọng nói, thay vì phải dùng tác động cơ học trực tiếp đến thiết bị, công tắc, ổ cắm.

Trong bối cảnh mạng IoT ngày càng phổ biến như vậy, một trong những vấn đề tối quan trọng cần phải giải quyết là phát hiện kịp thời và phòng ngừa sớm các bất thường xảy ra với các tiện ích, hệ thống đang được điều hành hoạt động dựa trên nền tảng mạng lưới IoT.

Trước hết, rõ ràng bất thường về dữ liệu trong mạng IoT là các dấu hiệu chỉ điểm đến các bất thường trong hoạt động của cả hệ thống. Và nếu thực sự có bất thường trong hệ thống thì cần có các hành động phù hợp để xử lý kịp thời, trước khi các hậu quả nghiêm trọng có thể xảy ra. Như vậy, phát hiện bất thường về dữ liệu IoT là bước đầu tiên và tối quan trọng cần phải thực hiện để các hệ thống sử dụng mạng IoT có thể hoạt động và vận hành đúng theo nhu cầu sử dụng (Hình 1).

Những ví dụ về sự bất thường của hệ thống có thể kể đến như sự tăng đột biến của lượng điện tiêu thụ, nước, sự bất thường trong tình trạng giao thông, các vụ tấn công thâm nhập không gian mạng, xâm nhập vật lý trái phép vào các hệ thống hạ tầng, văn phòng, nhà ở cư dân... Dù là lý do khách quan hay là sự phá hoại có chủ đích, những bất thường này có thể gây xáo trộn các chức năng vận hành, giảm hiệu quả hoặc thậm chí gây ra những tác động xấu đến an ninh an toàn của đời sống xã hội và cộng đồng, vì vậy, cần được được phát hiện và ngăn chặn kịp thời ngay sau khi có dấu hiệu chỉ điểm về sự bất thường của dữ liệu.

Mặt khác, sự bất thường về dữ liệu IoT cũng có thể bắt nguồn từ việc chính bản thân mạng IoT đang bị tấn công, thao túng, làm sai lệch các kết quả đo đạc của các cảm biến. Trong trường hợp này, hậu quả xảy ra cũng là khó lường vì cả hệ thống sẽ đưa ra những tác vụ điều khiển sai lầm, kích hoạt những hành động vận hành sai, vì tất cả đều bắt nguồn từ tập dữ liệu IoT đầu vào (thu thập từ các thiết bị IoT đầu cuối đã bị tấn công, hoặc bị chiếm quyền kiểm soát) bị sai lệch so với thực tế. Khi nhìn vào các thống kê thực tế được công bố gần đây, số lượng các cuộc tấn công mã độc (malware) vào các thiết bị IoT có tốc độ tăng nhanh một cách đáng lo ngại.

Ví dụ như báo cáo từ tổ chức thống kê Statistica công bố năm 2023 cho thấy (Hình 2), số lượng tấn công IoT đã tăng gần 4 lần từ năm 2018 - 2022, từ 32 triệu lên hơn 112 triệu, mức độ tăng hàng năm là 87% [1]. Một lần nữa, điều này cho thấy sự cấp thiết phải quan tâm đến các giải pháp phát hiện kịp thời các bất thường trong mạng IoT.

Trong các ứng dụng ĐTTM trên nền tảng mạng IoT, thông thường các thiết bị IoT đầu cuối gửi thông tin về trung tâm xử lý theo thời gian thực (như trường hợp camera giao thông), hoặc theo tần suất khoảng thời gian từ một vài phút (như tín hiệu trạng thái ô đỗ xe) đến vài chục phút (như tín hiệu đo nhiệt độ môi trường). Lượng dữ liệu cần thu thập và xử lý theo thời gian có xu hướng tăng nhanh và rất lớn, có thể lên đến nhiều Terabyte sau một thời gian ngắn (vài tuần, vài tháng tùy theo quy mô mạng IoT).

Điều tương tự cũng xảy ra với các hệ thống nhà thông minh. Tần suất gửi dữ liệu từ các cảm biến trong nhà về hệ thống trung tâm sẽ dày đặc hơn trường hợp ĐTTM, vì trong một không gian hẹp, các tương tác của người dùng (chủ nhà) sẽ thường xuyên hơn. Hơn thế nữa, số lượng nhà thông minh nhanh chóng tăng cao, dẫn đến hệ thống trung tâm sẽ cần lưu trữ và xử lý lượng dữ liệu lớn không kém là bao so với trường hợp ĐTTM. Tựu trung lại, dữ liệu thu thập từ các hệ thống IoT là lớn và sẽ tăng lên rất lớn theo thời gian, lại có tính biến động cao. Vì thế, việc giám sát và can thiệp thủ công để phát hiện sự bất thường là không khả thi, cần xây dựng các giải pháp có tính tự động hóa và “đủ” thông minh để hoạt động một cách bài bản, chính xác.

Khi nào là bất thường?

Các bất thường về dữ liệu có thể phân loại theo đặc điểm xuất hiện của chúng. Đó có thể là bất thường mang tính chất điểm, có nghĩa là một điểm dữ liệu cục bộ có sự khác biệt đáng kể hoặc rất đáng kể so với xu hướng chung của dữ liệu. Ví dụ như chỉ số bụi từ khu vực được giám sát, được cảm biến đưa về với giá trị vượt xa ngưỡng cho phép, mặc dù tại thời điểm đó thời tiết tốt, quang đãng. Hay độ pH được cảm biến giám sát chất lượng nguồn nước nuôi trồng thủy sản trả về với giá trị cao hơn nhiều lần ngưỡng cho phép.

Bất thường cũng có thể mang tính nội dung, có nghĩa là dữ liệu được phân loại là bất thường phụ thuộc vào bối cảnh cụ thể và thời điểm cụ thể. Cùng một lưu lượng giao thông lớn, nhưng ở bối cảnh giờ cao điểm, đó là dữ liệu bình thường, nhưng vào giờ thấp điểm sẽ là bất thường. Cũng giống như vậy, một số lượng lớn người đếm được (ví dụ bằng cách sử dụng tính năng đếm đối tượng của camera thông minh) tại quảng trường khi lễ hội hóa trang đang được diễn ra là điều hoàn toàn bình thường, nhưng sẽ là rất bất thường nếu điều đó xảy ra vào một buổi chiều ngày làm việc trong tuần.

Bất thường cũng có thể liên quan đến toàn bộ tổng thể tập dữ liệu, cần phân tích đầy đủ cả tập dữ liệu đa chiều mới có thể đưa ra kết luận có xảy ra bất thường hay không. Ví dụ điển hình cho trường hợp này là cần phải tổng hợp và phân tích kết quả điện tâm đồ chứa số liệu từ nhiều điện cực, gắn vào các vị trí khác nhau trên cơ thể người bệnh, để chuẩn đoán các bất thường của các dấu hiệu bệnh lý tim mạch. Hay một ví dụ khác trong nhà thông minh, theo đó để kết luận về sự bất thường có xảy ra trong nhà hay không, cần phải tổng hợp và phân tích kết quả từ nhiều cảm biến đặt tại nhiều vị trí, giám sát các đối tượng, thực thể khác nhau trong nhà.

Nền tảng học thuật của các giải pháp phát hiện bất thường trong mạng IoT

Trong vài năm gần đây hướng nghiên cứu về giải pháp phát hiện kịp thời các bất thường về dữ liệu trong mạng IoT để có thể đưa ra giải pháp xử lý sớm, phòng tránh các sự cố, biến cố nguy hại, đã trở thành một hướng nghiên cứu thu hút sự quan tâm cao của giới chuyên môn. Yêu cầu thực tế đặt ra là giải pháp (mô hình, thuật toán) đưa ra cần có được tính ứng dụng thực tiễn, bao gồm các tiêu chí như có thể hoạt động phân tích, phân loại theo thời gian thực, tích hợp được với các hệ thống ra quyết định, có độ trễ nhỏ, có mức độ chính xác phù hợp, có khả năng mở rộng xử lý được dữ liệu quy mô lớn, và tựu trung lại cần dung hòa được các yếu tố vừa liệt kê.

Những giải pháp phát hiện các bất thường có thể được phân loại dựa trên nền tảng học thuật mà chúng áp dụng, cụ thể là giải pháp dựa trên nguyên tắc hình học, giải pháp dựa trên lý thuyết toán thống kê, và giải pháp dựa trên nền tảng học máy.

Trong giải pháp với nguyên tắc hình học, các giới hạn về khoảng cách hình học hoặc về tương quan mật độ được thiết lập, và dữ liệu không nằm trong các giới hạn đó sẽ được coi là bất thường. Một cách tổng quan, nếu ký hiệu giới hạn là “t”, còn giá trị khoảng cách hình học hoặc tương quan mật độ của dữ liệu đang xem xét là “d”, giải pháp sẽ phân loại dữ liệu dựa trên nguyên tắc:

Trong các giải pháp dựa trên lý thuyết toán thống kê, mô hình toán học, hàm mật độ xác suất (density function), hoặc chuỗi thời gian (time series) sẽ được xây dựng để mô tả sát nhất có thể những đặc tính của tập dữ liệu đã thu thập được, qua đó dự đoán các điểm dữ liệu mới. Những dữ liệu tiếp theo sẽ được đánh giá có phù hợp với mô hình, hàm mật độ hoặc chuỗi thời gian đã xác định không. Sự “phù hợp” ở đây hiểu là mức độ chênh lệch của một hoặc nhiều tham số nhất định giữa dữ liệu thực tế và giá trị lý thuyết tuân thủ theo mẫu của mô hình, hàm mật độ hoặc chuỗi thời gian, cần phải nhỏ hơn ngưỡng cho phép. Nếu không phù hợp, dữ liệu sẽ được phân loại là bất thường. Nói cách khác, bất cứ dữ liệu nào không đáp ứng các đặc tính của mô hình đã được xây dựng sẽ được phân loại là bất thường.

Nhóm các giải pháp dựa trên nền tảng học máy (machine learning) dựa trên lý thuyết và các bước thuật toán cơ bản của lý thuyết học máy. Đầu tiên là việc thiết lập một mô hình chuẩn ban đầu từ nhóm dữ liệu mẫu chọn trước từ lịch sử (bước đào tạo). Tùy vào tính chất cụ thể của loại dữ liệu mà mạng IoT thu thập (dữ liệu theo chuỗi thời gian, ảnh theo chuỗi thời gian, âm thanh, video...), các mô hình học máy cần được cân nhắc và lựa chọn một cách phù hợp từ các mô hình chuẩn quen thuộc (ví dụ, như LSTM: Long Short-Term Memory, CNN: Convolutional Neutral Networks, DNN: Deep Neural Network, RNN: Recurrent Neural Networks, AE: Auto Encoders, HMM: Hidden Markov Model, ...).

Thông thường, trong các giải pháp dựa vào nền tảng học máy, tập dữ liệu thu thập được trước tiên sẽ được làm sạch để loại bỏ các hiện tượng làm nhiễu như dữ liệu bị mất, dữ liệu không ổn định, các dữ liệu nhiễu. Sau đó thuật toán học máy sẽ được chạy trên tập dữ liệu đã được làm sạch nhất quán. Thuật toán sẽ tiếp tục tự động học từ tập dữ liệu thực tế để liên tục điều chỉnh cập nhật giá trị các tham số của mô hình chuẩn ban đầu, tạo ra phiên bản mô hình sát thực tế nhất. Việc phân loại một dữ liệu là bình thường hay bất thường sẽ tuân thủ theo các nguyên tắc phân loại có trong các mô hình học máy, điển hình như Bayes Decision Theory, Decision Tree, Support Vector Machine (SVM).

Tiêu chí nào để đánh giá một giải pháp phát hiện bất thường?

Để đánh giá một giải pháp phát hiện bất thường về dữ liệu, trước hết cần xuất phát từ mục tiêu cốt lõi là tính ứng dụng thực tế của giải pháp chín muồi đến mức nào. Điều này kéo theo sự tổng hòa một tập các tiêu chí quan trọng, bao gồm độ phức tạp tính toán và tài nguyên sử dụng cho tính toán, khả năng đưa ra phân loại trong thời gian thực, độ chính xác, khả năng mở rộng.

Giải pháp dù dựa trên nền tảng học thuật nào (hình học, thống kê hay học máy) cũng đều được người dùng đánh giá trước tiên qua mức độ phức tạp trong tính toán, và đi cùng theo đó là tài nguyên (bộ nhớ, CPU, ở cứng lưu trữ...) cần thiết cho tính toán. Mặc dù hiện nay năng lực lưu trữ dữ liệu, cũng như năng lực xử lý của CPU và bộ nhớ đã có giá thành giảm đáng kể, nhất là khi các dịch vụ điện toán đám mây, IaaS (Infrastructure as a Service), PaaS (Platform as a Service) đã có những bước tiến đáng kể, thời gian tính toán để đưa ra kết quả phân loại vẫn là tiêu chí mang tính thực tiễn do dữ liệu IoT thường lớn. Không thể chờ quá lâu mới có được kết quả phân loại, sẽ làm chậm quá trình ra quyết định cho các hành động phản hồi.

Độ chính xác của giải pháp bao hàm sự phân loại chuẩn xác dữ liệu là bất thường, không chuẩn đoán nhầm dữ liệu bình thường thành bất thường hoặc ngược lại. Một trong những cách lượng hóa cho tiêu chí về độ chính xác được thể hiện qua các tham số sau:

- Độ chính xác chung: đây là tỷ lệ dự đoán phân loại một cách chính xác về mẫu dữ liệu là bất thường hay bình thường

- Độ chính xác liên quan đến dữ liệu bất thường: tỷ lệ giữa số lần phân loại một cách chính xác về mẫu dữ liệu là bất thường và tổng số lần phân loại bất thường

Cần lưu ý rằng mạng IoT trong các ứng dụng ĐTTM, nhà thông minh sẽ luôn có những biến động theo thời gian. Đó có thể là sự mở rộng về quy mô (và đi kèm theo đó là lượng dữ liệu lớn cần xử lý), sự thay đổi về các yếu tố vận hành, sự điều chỉnh về các nguyên tắc quản lý tiện ích (bao gồm cả những điều chỉnh liên quan đến các quan điểm thế nào là dữ liệu bình thường, thế nào là bất thường).

Sự biến động nhiều chiều như vậy đòi hỏi các giải pháp phát hiện bất thường phải có sự linh hoạt, thể hiện ở tính mở rộng (vẫn có thể hoạt động ổn định khi lượng dữ liệu cần xử lý tăng lên đáng kể), tính thích ứng (điều chỉnh các nguyên tắc phân loại dựa trên các nguyên tắc quản lý được cập nhật). Xét tổng thể các yếu tố như vậy, các giải pháp dựa trên lý thuyết học máy được nhìn nhận là có ưu thế hơn so với các giải pháp dựa trên nguyên tắc hình học hay toán thống kê, nhờ vào tính linh hoạt và ưu việt của các thuật toán nội hàm, phù hợp với yêu cầu xử lý dữ liệu lớn và thực thi AI.

Một ví dụ cụ thể về giải pháp phát hiện bất thường sử dụng mô hình Markov ẩn HMM

Thuộc tính Markov là một lý thuyết rất phổ biến trong lĩnh vực toán xác xuất thống kê, lý thuyết toán hàng đợi và chu trình. Thông thường, một đối tượng (có thể là một hệ thống, một hiện tượng) có những trạng thái khác nhau được định nghĩa trước. Ví dụ thời tiết (một hiện tượng) có thể có hai trạng thái được định nghĩa trước là mưa hoặc nắng.

Theo tiến trình của thời gian, chuỗi trạng thái của một đối tượng được xem là có thuộc tính Markov nếu như xác suất chuyển sang trạng thái tiếp theo chỉ phụ thuộc vào trạng thái hiện tại mà không phụ thuộc vào các trạng thái lâu hơn nữa trong quá khứ. Vẫn ở ví dụ thời tiết, thuộc tính Markov có nghĩa là xác suất để trạng thái thời tiết ngày mai chuyển sang mưa, với điều kiện hôm nay là nắng chỉ phụ thuộc vào trạng thái thời tiết ngày hôm nay mà không bị phụ thuộc vào trạng thái thời tiết của ngày hôm qua, hôm kia hay một hôm nào đó khác lâu hơn trong quá khứ. Khi giá trị cụ thể của các xác suất chuyển tiếp trạng thái được xác định, hay nói cách khác là quan sát được, đó được gọi là chuỗi trạng thái Markov (xích Markov).

Ngược lại, có những trường hợp giá trị cụ thể của các xác suất chuyển tiếp trạng thái chưa xác định được ngay, hay nói cách khác là không quan sát được, đó được gọi là chuỗi trạng thái Markov ẩn (xích Markov ẩn).

Một ví dụ về sử dụng mô hình Markov ẩn (HMM: Hidden Markov Model) để phát hiện các bất thường trong mạng IoT được công bố trong nghiên cứu [2], liên quan đến nhà thông minh. Trong một căn hộ điển hình bao gồm phòng khách (living room), phòng ngủ (bedroom), bếp (kitchen), phòng tắm (bath room), có các cảm biến và thiết bị thông minh được trang bị.

Trạng thái của các cảm biến, thiết bị thông minh này được thu thập và gửi qua thiết bị định tuyến (router) đặt tại phòng khách về máy chủ trung tâm để xử lý với tần suất 30 giây/lần. Các cảm biến được đặt tại các vị trí phù hợp trong các phòng để xác định trạng thái cửa đóng hay mở, bộ điều khiển Google Mini cho phép điều khiển chiếu sáng phòng bằng giọng nói, ổ cắm thông minh (smart plug) cho phép điều khiển bật tắt ổ cắm qua điện thoại hoặc Google Mini, qua đó bật hoặc tắt các thiết bị đang được cắm vào ổ cắm (Hình 3, minh họa mặt bằng căn hộ, trong đó ký hiệu L: ổ cắm thông minh, M: cảm biến).

Dữ liệu được nhóm tác giả thu thập qua 3 tuần liên tiếp, bao gồm dữ liệu ở mức các gói IP và dữ liệu trạng thái (kèm theo thời điểm thu thập) của các cảm biến, thiết bị thông minh được trang bị trong căn hộ. Để tham khảo, trong vòng 3 tuần, tổng dữ liệu thu thập từ các cảm biến, thiết bị thông minh trong căn hộ là 1,1GB (với mức dung lượng tham chiếu như vậy, hãy hình dung khi hệ thống trung tâm điều khiển vài nghìn căn hộ, tổng lượng dữ liệu dễ dàng đạt đến mức nhiều Terabyte).

Bảng 1 liệt kê trạng thái của từng cảm biến/ đối tượng được trang bị trong căn hộ. Như có thể thấy, có tất cả 14 dữ liệu trạng thái. 14 dữ liệu trạng thái thành phần này tạo nên một vector sự kiện (trạng thái) chung của cả căn hộ.

Kết luận

Về mặt đường hướng, có các bước tuần tự khá rành mạch để phát hiện sớm các sự kiện bất thường trong mạng IoT như được hiển thị trong Hình 4. Theo đó, cần thu thập dữ liệu, chọn nền tảng thuật toán để mô hình hóa, tính toán các tham số đặc trưng của mô hình đã chọn, và sau đó đặt ngưỡng phân loại trong mô hình đã chọn. Từ đó trở đi, bất cứ hiện tượng nào có dữ liệu bao hàm tham số đặc trưng vượt ngưỡng sẽ được phân loại là bất thường và cần phải được cảnh báo, được phân tích để đưa ra các hành động xử lý phù hợp.

Tuy nhiên, từ khung đường hướng chung ở Hình 4 đến thiết lập thành công được một giải pháp cụ thể và phù hợp (phù hợp về tỷ lệ phân loại chính xác, về thời gian xử lý, về tính mở rộng và khả năng tính toán ổn định với tập dữ liệu lớn) trong từng bối cảnh áp dụng cụ thể là bài toán không có lời giải chung và phải có sự đầu tư nghiên cứu, thử nghiệm nghiêm túc.

Ví dụ như giải pháp sử dụng mô hình Markov ẩn HMM cho căn hộ thông minh được tóm lược ở trên mới chỉ là một ví dụ cho trường hợp áp dụng cụ thể có quy mô nhỏ. Vì vậy, các giải pháp phát hiện bất thường trong mạng IoT vẫn tiếp tục là chủ đề nóng trong cộng đồng khoa học và nghiên cứu ứng dụng, nhất là khi xu hướng nghiên cứu chuyên sâu về trí tuệ nhân tạo AI, dữ liệu lớn ngày càng trở nên quan trọng.

Song song với xu hướng tất yếu áp dụng mạng IoT vào rất nhiều lĩnh vực đời sống, yếu tố bảo mật an toàn cho mạng IoT ngày càng phải được chú trọng để có thể cảnh báo kịp thời, hành động sớm, ngăn chặn được những vấn đề phát sinh. Nhu cầu này không chỉ đúng trong những mạng IoT nhỏ mà còn hiện hữu và mang tính cấp bách ở những mạngClưới IoT lớn, phục vụ những hệ thống hoặc tiện ích quan trọng mang tầm đô thị hay quốc gia.

“

Tài liệu tham khảo
[1] A. Petrosyan. Global Annual Number of IoT
Cyber Attacks 2018-2022, Statista Report, May 2023.
[2] S. Ramapatruni, S. N.
Narayanan, S. Mittal, A. Joshi, and K. Joshi. Anomaly Detection Models for Smart Home Security, IEEE Intl Conference on High Performance and Smart Computing, (HPSC), pp 19-24, 2019.
[3] L. R. Rabiner. A tutorial on Hidden Markov Models and Selected Applications in Speech Recognition.
Proceedings of the IEEE, 77(2):257–286, 1989.