Original Title: AI-Driven Zero-Trust Security Framework for Detecting Advanced Persistent Threats in Cloud Environments
Source: www.researchgate.net
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ក្របខ័ណ្ឌសន្តិសុខ Zero-Trust ជំរុញដោយបញ្ញាសិប្បនិម្មិត (AI) សម្រាប់ការរកឃើញការគំរាមកំហែងកម្រិតខ្ពស់ (APTs) ក្នុងបរិស្ថានក្លោដ (Cloud)

ចំណងជើងដើម៖ AI-Driven Zero-Trust Security Framework for Detecting Advanced Persistent Threats in Cloud Environments

អ្នកនិពន្ធ៖ Aidar Imashev (Barry University)

ឆ្នាំបោះពុម្ព៖ 2025 (IRE Journals)

វិស័យសិក្សា៖ Cybersecurity

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ ប្រព័ន្ធការពារតាមបែបប្រពៃណីនិងផ្អែកលើច្បាប់ (Rule-based mechanisms) មិនសូវមានប្រសិទ្ធភាពក្នុងការកំណត់អត្តសញ្ញាណការគំរាមកំហែងកម្រិតខ្ពស់ (APTs) ដែលតែងតែវិវត្តខ្លួនយ៉ាងស្មុគស្មាញ និងលាក់កំបាំងនៅក្នុងប្រព័ន្ធ Cloud នោះទេ។

វិធីសាស្ត្រ (The Methodology)៖ ការសិក្សានេះបានស្នើឡើងនូវក្របខ័ណ្ឌសន្តិសុខ Zero-Trust ផ្អែកលើបញ្ញាសិប្បនិម្មិត (AI) ដោយប្រើប្រាស់គំរូម៉ាស៊ីនរៀនកូនកាត់ (Hybrid ML) ដើម្បីវិភាគទិន្នន័យ និងវាយតម្លៃពិន្ទុទំនុកចិត្តជាប្រចាំដោយស្វ័យប្រវត្តិ។

ការប្រមូលនិងរៀបចំទិន្នន័យពី Cloud (Data Collection and Preprocessing ពី AWS និង Azure, រួមមានឯកសារ VPC flow logs ព្រមទាំងសំណុំទិន្នន័យ CICIDS2017 និង UNSW-NB15)
ការប្រើប្រាស់ម៉ូដែលកូនកាត់ (Hybrid ML Model) ដែលរួមបញ្ចូល Extreme Gradient Boosting (XGBoost) សម្រាប់ទិន្នន័យមានរចនាសម្ព័ន្ធ និង Deep Neural Network (DNN) សម្រាប់វិភាគអាកប្បកិរិយា
ការកំណត់ពិន្ទុទំនុកចិត្ត និងម៉ូឌុលគ្រប់គ្រងគោលការណ៍ដោយស្វ័យប្រវត្តិ (Dynamic Trust Scoring and Policy Automation)

លទ្ធផលសំខាន់ៗ (The Verdict)៖

ម៉ូដែលកូនកាត់ (Hybrid ML) សម្រេចបានអត្រារកឃើញ (Detection rate) រហូតដល់ ៩៦,៤% និងពិន្ទុ F1-score ចំនួន ០,៩៤ ដែលខ្ពស់ជាងឆ្ងាយបើធៀបនឹងម៉ូដែលប្រពៃណី។
ប្រព័ន្ធនេះមានល្បឿនឆ្លើយតបលឿន ដោយប្រើរយៈពេលមធ្យមត្រឹមតែ ១,៨ វិនាទី (Latency) និងអាចកាត់បន្ថយអត្រាប្រកាសអាសន្នខុស (False Positive Rate) មកត្រឹម ៣,២% ប៉ុណ្ណោះ។
ការធ្វើតេស្តពង្រីកទំហំ (Scalability) បង្ហាញថា ប្រព័ន្ធនេះអាចដំណើរការបានល្អក្នុងបរិស្ថានក្លោដដោយប្រើប្រាស់ CPU ជាមធ្យម ៦៥% និង Memory ៣,២ GB ក្នុងមួយ node ធ្វើឲ្យវាមានភាពស័ក្តិសមសម្រាប់សហគ្រាសខ្នាតធំ។

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method)	គុណសម្បត្តិ (Pros)	គុណវិបត្តិ (Cons)	លទ្ធផលគន្លឹះ (Key Result)
Hybrid AI-ZTA (XGBoost + DNN) ក្របខ័ណ្ឌសន្តិសុខ Zero-Trust ជំរុញដោយ AI កូនកាត់ (XGBoost + DNN)	មានភាពត្រឹមត្រូវខ្ពស់ កាត់បន្ថយការប្រកាសអាសន្នខុស (False Positives) និងអាចសម្របតាមការប្រែប្រួលនៃការគំរាមកំហែងបានយ៉ាងលឿន។	ត្រូវការធនធានកុំព្យូទ័រខ្ពស់បន្តិចក្នុងការដំណើរការម៉ូដែលទាំងពីរព្រមគ្នា និងមានភាពស្មុគស្មាញក្នុងការដាក់បញ្ចូលទៅក្នុងប្រព័ន្ធ។	អត្រារកឃើញ (Detection rate) ៩៦,៤%, ពិន្ទុ F1-score ០,៩៤, រយៈពេលឆ្លើយតប ១,៨ វិនាទី និងអត្រាវិជ្ជមានមិនពិត (False Positive) ត្រឹម ៣,២%។
Standalone ML Models (XGBoost or DNN alone) ម៉ូដែលរៀនម៉ាស៊ីនទោល (XGBoost ឬ DNN ដាច់ដោយឡែក)	ងាយស្រួលក្នុងការដាក់ឱ្យដំណើរការ និងប្រើប្រាស់ធនធានគណនាតិចជាងគំរូកូនកាត់បន្តិច។	មានអត្រាប្រកាសអាសន្នខុសខ្ពស់ជាង និងខ្វះសមត្ថភាពវិភាគទិន្នន័យពហុវិមាត្រធៀបនឹងគំរូកូនកាត់។	អត្រារកឃើញត្រឹម ៨៧,១% (XGBoost) និង ៨៨,៣% (DNN) ឯអត្រាវិជ្ជមានមិនពិតមានដល់ ៩,៧% និង ៨,៥% រៀងគ្នា។
Signature-based IDS / Traditional Zero-Trust ប្រព័ន្ធស្វែងរកការឈ្លានពានផ្អែកលើហត្ថលេខា (Signature-based IDS)	មានភាពត្រឹមត្រូវខ្ពស់សម្រាប់ការវាយប្រហារដែលគេស្គាល់រួចហើយ និងចំណាយធនធានប្រព័ន្ធតិចតួច។	មិនអាចរកឃើញការវាយប្រហារថ្មីៗ (Zero-day APTs) និងមានភាពយឺតយ៉ាវក្នុងការឆ្លើយតបទៅនឹងការផ្លាស់ប្តូរទម្រង់វាយប្រហារ។	អត្រារកឃើញទាបបំផុតត្រឹម ៧៤,៥%, រយៈពេលឆ្លើយតបយឺត ៤,៥ វិនាទី និងអត្រាវិជ្ជមានមិនពិតខ្ពស់រហូតដល់ ១៥,៣%។

ការចំណាយលើធនធាន (Resource Cost)៖ ការដាក់ឱ្យដំណើរការក្របខ័ណ្ឌ AI កូនកាត់នេះតម្រូវឱ្យមានធនធានកុំព្យូទ័រនិងហេដ្ឋារចនាសម្ព័ន្ធ Cloud គ្រប់គ្រាន់ ទោះបីជាវាស្ថិតក្នុងកម្រិតប្រតិបត្តិការដែលអាចទទួលយកបានក៏ដោយ។

Hardware: ត្រូវការ CPU ដំណើរការជាមធ្យម ៦៥% (Peak) និងអង្គចងចាំ (RAM) ប្រហែល ៣,២ GB ក្នុងមួយ Node ដើម្បីតាមដានពី ៥០ ទៅ ៥០០ nodes។
Cloud Infrastructure: ត្រូវការសេវាកម្ម Cloud ដូចជា AWS ឬ Microsoft Azure ដើម្បីធ្វើការគ្រប់គ្រង និងទាញយកទិន្នន័យ Telemetry ចម្រុះ (VPC flow logs, IAM activity)។
Dataset: ប្រើប្រាស់សំណុំទិន្នន័យស្តង់ដារដូចជា CICIDS2017 និង UNSW-NB15 រួមជាមួយទិន្នន័យសិប្បនិម្មិតពី Cloud ដើម្បីហ្វឹកហាត់ម៉ូដែល។
Expertise: ទាមទារអ្នកជំនាញផ្នែកសន្តិសុខបច្ចេកវិទ្យា (Cybersecurity) និងវិស្វករទិន្នន័យដែលមានបទពិសោធន៍លើការអភិវឌ្ឍម៉ូដែល XGBoost, Deep Learning និងការតំឡើងគោលការណ៍ Zero-Trust។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការសិក្សានេះពឹងផ្អែកលើសំណុំទិន្នន័យស្តង់ដារ (CICIDS2017, UNSW-NB15) និងទិន្នន័យក្លែងក្លាយដែលបង្កើតឡើងលើ AWS/Azure ដែលប្រហែលជាមិនឆ្លុះបញ្ចាំងទាំងស្រុងពីទម្រង់វាយប្រហារជាក់ស្តែងឡើយ។ សម្រាប់ប្រទេសកម្ពុជា ការខ្វះខាតទិន្នន័យពិតប្រាកដក្នុងស្រុកស្តីពីការវាយប្រហារតាមអ៊ីនធឺណិត អាចធ្វើឱ្យម៉ូដែលនេះជួបការលំបាកក្នុងការចាប់យកទម្រង់គំរាមកំហែង (APTs) ដែលផ្តោតជាពិសេសមកលើស្ថាប័នក្នុងតំបន់។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

វិធីសាស្ត្រនេះមានសក្តានុពលខ្ពស់សម្រាប់ស្ថាប័នធំៗនៅកម្ពុជា ដែលកំពុងធ្វើបរិវត្តកម្មឌីជីថល (Digital Transformation) និងប្រើប្រាស់សេវាកម្ម Cloud កាន់តែទូលំទូលាយ។

វិស័យធនាគារ និងហិរញ្ញវត្ថុ (Banking and Finance): ធនាគារជាតិ និងធនាគារពាណិជ្ជក្នុងស្រុកអាចប្រើប្រាស់វាដើម្បីការពារទិន្នន័យប្រតិបត្តិការហិរញ្ញវត្ថុ និងគណនីអតិថិជនពីការគំរាមកំហែង APTs ព្រមទាំងដើម្បីគោរពតាមស្តង់ដារសុវត្ថិភាព។
រដ្ឋាភិបាលអេឡិចត្រូនិក (E-Government / National Data Center): ក្រសួងស្ថាប័នរដ្ឋដែលគ្រប់គ្រងមជ្ឈមណ្ឌលផ្ទុកទិន្នន័យជាតិ អាចអនុវត្តក្របខ័ណ្ឌ Zero-Trust នេះដើម្បីទប់ស្កាត់ការលួចចូលទិន្នន័យពលរដ្ឋ និងការពារឯកសាររដ្ឋបាលសំខាន់ៗ។
វិស័យទូរគមនាគមន៍ (Telecommunications): ក្រុមហ៊ុនផ្គត់ផ្គង់សេវាអ៊ីនធឺណិត និងបណ្តាញទូរស័ព្ទចល័តនៅកម្ពុជា អាចប្រើវាដើម្បីស្កេនរកភាពមិនប្រក្រតីក្នុងបណ្តាញ និងការពារហេដ្ឋារចនាសម្ព័ន្ធរបស់ពួកគេពីការវាយប្រហារទ្រង់ទ្រាយធំ។

ជារួម ក្របខ័ណ្ឌនេះផ្តល់នូវយុទ្ធសាស្ត្រការពារដ៏រឹងមាំសម្រាប់ហេដ្ឋារចនាសម្ព័ន្ធសំខាន់ៗនៅកម្ពុជា ប៉ុន្តែតម្រូវឱ្យស្ថាប័នមានការត្រៀមខ្លួនផ្នែកហេដ្ឋារចនាសម្ព័ន្ធ Cloud និងកម្លាំងជំនាញជាមុនសិន។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

សិក្សាមូលដ្ឋានគ្រឹះនៃ Zero-Trust និង Cloud Security: ស្វែងយល់ពីគោលការណ៍ Zero-Trust តាមរយៈឯកសារ NIST SP 800-207 និងអនុវត្តការដំឡើងសន្តិសុខមូលដ្ឋានលើគណនីសាកល្បងរបស់ AWS ឬ Microsoft Azure។
ប្រមូលនិងរៀបចំទិន្នន័យសុវត្ថិភាព (Data Preprocessing): ទាញយកសំណុំទិន្នន័យសាធារណៈដូចជា CICIDS2017 ឬ UNSW-NB15 រួចអនុវត្តការសម្អាតទិន្នន័យ តម្រឹមពេលវេលា (Timestamp alignment) និងធ្វើលក្ខណៈធម្មតា (Normalization) ដោយប្រើ Python និង Pandas។
អភិវឌ្ឍម៉ូដែលរៀនម៉ាស៊ីន (Machine Learning Development): សរសេរកូដដើម្បីបង្កើតម៉ូដែល XGBoost សម្រាប់វិភាគទិន្នន័យ Log ដែលមានរចនាសម្ព័ន្ធ និងបង្កើត Deep Neural Networks (DNN) សម្រាប់វិភាគអាកប្បកិរិយា ដោយប្រើប្រាស់ Scikit-Learn និង TensorFlow ឬ PyTorch។
រួមបញ្ចូលគំរូកូនកាត់ និងវាយតម្លៃ (Ensemble Strategy & Evaluation): បញ្ចូលលទ្ធផលនៃម៉ូដែលទាំងពីរ (Ensemble) ដើម្បីទាញយកពិន្ទុភាពមិនប្រក្រតី (Anomaly Score) រួចធ្វើការវាស់ស្ទង់ប្រសិទ្ធភាពតាមរយៈសូចនាករដូចជា F1-score និង False Positive Rate ធៀបនឹងម៉ូដែលដាច់ដោយឡែក។
សាកល្បងប្រព័ន្ធស្វ័យប្រវត្តិកម្មគោលការណ៍ (Policy Automation): បង្កើតស្គ្រីប (Script) សាមញ្ញមួយដើម្បីភ្ជាប់ពិន្ទុភាពមិនប្រក្រតីដែលទទួលបាន ទៅកាន់ប្រព័ន្ធគ្រប់គ្រងសិទ្ធិ (Access Control) ឧទាហរណ៍ដូចជាការបិទ IP address ឬផ្តាច់ Session ដោយស្វ័យប្រវត្តិប្រសិនបើពិន្ទុទំនុកចិត្តធ្លាក់ចុះទាប។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស	ការពន្យល់ជាខេមរភាសា (Khmer Explanation)	និយមន័យសាមញ្ញ (Simple Definition)
Advanced Persistent Threats (APTs)	ការវាយប្រហារតាមអ៊ីនធឺណិតដ៏ស្មុគស្មាញនិងមានគោលដៅច្បាស់លាស់ ដែលជនខិលខូចលួចចូលទៅក្នុងប្រព័ន្ធរួចសម្ងំលាក់ខ្លួនក្នុងរយៈពេលយូរដើម្បីលួចទិន្នន័យដោយមិនឱ្យគេដឹង។	ដូចជាចោរដែលលួចចូលក្នុងផ្ទះអ្នកយ៉ាងស្ងាត់ស្ងៀម ហើយរស់នៅលាក់ខ្លួនក្បែរអ្នករាប់ខែដើម្បីអង្កេតនិងលួចរបស់មានតម្លៃរាល់ថ្ងៃដោយអ្នកមិនដឹងខ្លួន។
Zero-Trust Architecture (ZTA)	ស្ថាបត្យកម្មសន្តិសុខដែលប្រកាន់ខ្ជាប់គោលការណ៍ "មិនទុកចិត្តដាច់ខាត ត្រូវតែផ្ទៀងផ្ទាត់ជានិច្ច" ទោះបីជាអ្នកប្រើប្រាស់ឬឧបករណ៍នោះស្ថិតនៅក្នុងបណ្តាញខាងក្នុងរួចហើយក៏ដោយ។	ដូចជាអគារដែលមានឆ្មាំយាមគ្រប់ទ្វារបន្ទប់ទាំងអស់ ទោះបីជាអ្នកមានកាតចូលអគារធំហើយក៏ដោយ ក៏អ្នកនៅតែត្រូវស្កេនកាតរាល់ពេលចង់ចូលបន្ទប់នីមួយៗដែរ។
Extreme Gradient Boosting (XGBoost)	ជាក្បួនដោះស្រាយរៀនម៉ាស៊ីន (Machine Learning Algorithm) ដ៏មានអានុភាពដែលប្រើប្រាស់ដើមឈើសម្រេចចិត្ត (Decision Trees) ជាច្រើនបញ្ចូលគ្នា ដើម្បីធ្វើចំណាត់ថ្នាក់ទិន្នន័យនិងទស្សន៍ទាយលទ្ធផលបានយ៉ាងត្រឹមត្រូវ ជាពិសេសសម្រាប់ទិន្នន័យដែលមានរចនាសម្ព័ន្ធច្បាស់លាស់។	ដូចជាការសួរសំណួរទៅកាន់ក្រុមអ្នកជំនាញជាច្រើននាក់ ហើយយកចម្លើយរបស់ពួកគេមកបូកបញ្ចូលគ្នាដើម្បីបានការសម្រេចចិត្តមួយដែលត្រឹមត្រូវបំផុត។
Deep Neural Network (DNN)	បណ្ដាញសរសៃប្រសាទសិប្បនិម្មិតដែលមានស្រទាប់ជាច្រើន ប្រើសម្រាប់រៀនពីលំនាំស្មុគស្មាញ និងអាកប្បកិរិយារបស់ទិន្នន័យ (ដូចជាពេលវេលា ឬសកម្មភាពបន្តបន្ទាប់គ្នា) ដើម្បីរកមើលភាពមិនប្រក្រតីដែលប្រព័ន្ធធម្មតាមើលមិនឃើញ។	ដូចជាខួរក្បាលមនុស្សដែលរៀនសង្កេតមើលទម្លាប់ប្រចាំថ្ងៃរបស់អ្នកដទៃ ហើយអាចដឹងភ្លាមៗនៅពេលដែលអ្នកនោះធ្វើសកម្មភាពខុសប្លែកពីធម្មតា។
Micro-segmentation	ការបែងចែកបណ្តាញប្រព័ន្ធកុំព្យូទ័រ (Network) ទៅជាផ្នែកតូចៗដាច់ដោយឡែកពីគ្នា ដើម្បីងាយស្រួលគ្រប់គ្រងសិទ្ធិចូលប្រើប្រាស់ និងរារាំងការឆ្លងរាលដាលនៃការវាយប្រហារពីផ្នែកមួយទៅផ្នែកមួយទៀត។	ដូចជាការសាងសង់ជញ្ជាំងនិងទ្វារសុវត្ថិភាពនៅចន្លោះបន្ទប់នីមួយៗក្នុងកប៉ាល់ធំមួយ ដើម្បីកុំឱ្យទឹកហូរចូលលិចកប៉ាល់ទាំងមូលនៅពេលដែលមានធ្លាយប្រហោងត្រង់បន្ទប់ណាមួយ។
Lateral Movement	សកម្មភាពរបស់ជនខិលខូចបន្ទាប់ពីលួចចូលក្នុងប្រព័ន្ធបានសម្រេច ដែលពួកគេព្យាយាមរំកិលខ្លួនឬវាយលុកពីកុំព្យូទ័រមួយទៅកុំព្យូទ័រមួយទៀតក្នុងបណ្តាញតែមួយ ដើម្បីស្វែងរកទិន្នន័យសំខាន់ៗ។	ដូចជាចោរដែលចូលតាមបង្អួចផ្ទះបាយ រួចលួចដើរពីបន្ទប់មួយទៅបន្ទប់មួយទៀតយ៉ាងស្ងៀមស្ងាត់ដើម្បីរាវរកទូដែកនៅក្នុងបន្ទប់ដេក។
False Positive Rate	អត្រានៃការប្រកាសអាសន្នខុស ដែលប្រព័ន្ធសន្តិសុខគិតថាសកម្មភាពធម្មតាស្របច្បាប់របស់អ្នកប្រើប្រាស់ គឺជាការវាយប្រហារឬជាការគំរាមកំហែងទៅវិញ។	ដូចជាសំឡេងរោទិ៍រថយន្តដែលបន្លឺឡើងដោយខ្លួនឯងនៅពេលដែលមានត្រឹមតែសត្វឆ្មាលោតកាត់ ធ្វើឱ្យម្ចាស់ឡានភ័យដេកមិនលក់ទទេៗ។
Dynamic Trust Scoring	ការវាយតម្លៃនិងផ្លាស់ប្តូរពិន្ទុទំនុកចិត្តរបស់អ្នកប្រើប្រាស់ឬឧបករណ៍ជាបន្តបន្ទាប់ (Real-time) ដោយផ្អែកលើសកម្មភាពជាក់ស្តែង ទីតាំង ឬភាពមិនប្រក្រតី ជាជាងការទុកចិត្តតែលើលេខសម្ងាត់ (Password) តែមួយមុខ។	ដូចជាការពិន័យឬផ្តល់រង្វាន់ដល់សិស្សប្រចាំថ្ងៃផ្អែកលើទង្វើជាក់ស្តែងក្នុងថ្នាក់រៀន មិនមែនវាយតម្លៃត្រឹមតែពិន្ទុប្រឡងចូលរៀនថ្ងៃដំបូងនោះទេ។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖