Phương pháp giảm số thuộc tính đặc trưng và đánh giá hiệu quả của các mạng CMAC, MLP, SVM trong phát hiện tấn công trên tập dữ liệu UNSW-NB15

So sánh kết quả của việc sử dụng các mạng nơ ron: The Cerebellar Model Articulation Controller (CMAC), Multilayer perceptron (MLP), Support Vector Machine (SVM) để phát hiện các cuộc tấn công DoS trên tập dữ liệu UNSW-NB15. Kết quả thử nghiệm cho thấy các mạng nơ ron là công cụ hiệu quả để phát hiện các cuộc tấn công DoS tuy nhiên mạng nơ ron CMAC hoạt động nổi trội hơn so với hai mạng còn lại với xác suất phát hiện các cuộc tấn công cao hơn và xác suất báo động sai thấp hơn. Đề xuất phương pháp mới để giảm số thuộc tính đặc trưng dựa trên việc kết hợp phương pháp Random forest và mạng MLP.
Nội dung trích xuất từ tài liệu:
Phương pháp giảm số thuộc tính đặc trưng và đánh giá hiệu quả của các mạng CMAC, MLP, SVM trong phát hiện tấn công trên tập dữ liệu UNSW-NB15Kỷ yếu Hội nghị KHCN Quốc gia lần thứ XIII về Nghiên cứu cơ bản và ứng dụng Công nghệ thông tin (FAIR), Nha Trang, ngày 8-9/10/2020DOI: 10.15625/vap.2020.00154 PHƯƠNG PHÁP GIẢM SỐ THUỘC TÍNH ĐẶC TRƯNG VÀ ĐÁNH GIÁ HIỆU QUẢ CỦA CÁC MẠNG CMAC, MLP, SVM TRONG PHÁT HIỆN TẤN CÔNG TRÊN TẬP DỮ LIỆU UNSW-NB15 Lê Thị Trang Linh Đại học Điện lực tranglinh2011@gmail.com TÓM TẮT: So sánh kết quả của việc sử dụng các mạng nơ ron: The Cerebellar Model Articulation Controller (CMAC),Multilayer perceptron (MLP), Support Vector Machine (SVM) để phát hiện các cuộc tấn công DoS trên tập dữ liệu UNSW-NB15. Kếtquả thử nghiệm cho thấy các mạng nơ ron là công cụ hiệu quả để phát hiện các cuộc tấn công DoS tuy nhiên mạng nơ ron CMAC hoạtđộng nổi trội hơn so với hai mạng còn lại với xác suất phát hiện các cuộc tấn công cao hơn và xác suất báo động sai thấp hơn. Đề xuấtphương pháp mới để giảm số thuộc tính đặc trưng dựa trên việc kết hợp phương pháp Random forest và mạng MLP. Từ khóa: IDS, Máy học, Dataset UNSW-NB15. I. GIỚI THIỆU Tầm quan trọng của việc bảo mật thông tin trong các công ty gần đây là rất lớn. Không một tổ chức hay công tynào muốn bất kỳ thông tin nào của mình bị lọt ra ngoài, đặc biệt là đối thủ cạnh tranh. Để đảm bảo an toàn thông tin họsẵn sàng chi hàng triệu đô la và áp dụng các biện pháp hữu hiệu, điều này cho thấy mức độ quan trọng của vấn đề. Mộttrong những giải pháp để bảo mật thông tin là sử dụng hệ thống phát hiện xâm nhập (Intrusion Detection System). Nóimột cách đơn giản, IDS có thể ở dạng chương trình hoặc thiết bị, giống như tường lửa, sẽ phát hiện các hoạt động độchại hoặc đáng ngờ trong mạng. IDS lần đầu tiên được giới thiệu vào năm 1980 [1] bởi Anderson và sau đó được cảitiến bởi Denning [2] vào năm 1987. Một trong những phương pháp được sử dụng để xây dựng hệ thống phát hiện hệthống tấn công là sử dụng mạng nơron. Công trình đầu tiên về việc sử dụng mạng nơron để phát hiện các cuộc tấn cônglà công trình của K. Fox và cộng sự [3], trong đó bản đồ tổ chức Kohonen được sử dụng như một bộ phân loại các loạitấn công. Khoảng một phần tư thế kỷ đã trôi qua kể từ khi bắt đầu sử dụng các công nghệ mạng nơron để giải quyết cácvấn đề về phát hiện các cuộc tấn công vào tài nguyên thông tin. Phạm vi áp dụng của các công nghệ mạng nơron đượcsử dụng để phát hiện các cuộc tấn công rất rộng, không thể liệt kê hết các công trình sử dụng các công nghệ mạngnơron do số lượng lớn. Khi áp dụng mạng nơron trong bài toán nhận dạng các loại tấn công, hai bài toán chính cần phải giải quyết: bàitoán thứ nhất là lựa chọn các thuộc tính đặc trưng của kiểu tấn công, bài toán thứ hai là lựa chọn mạng nơron để nhậndạng các kiểu tấn công. Trong bài báo này tôi sử dụng 3 mạng nơron CMAC, MLP và SVM để nhận dạng kiểu tấn công DoS, đối vớimạng nơron CMAC do đặc thù của mạng giới hạn số chiều của vectơ đầu vào, để áp dụng CMAC cần giải quyết bàitoán giảm số thuộc tính đặc trưng của tấn công DoS. Tập dữ liệu UNSW-NB 15 được sử dụng để tiến hành thửnghiệm. Bài báo gồm có những phần sau: 1. Giới thiệu, 2. Mạng nơron trong bài toán phát hiện tấn công DoS, 3. Tậpdữ liệu UNSW-NB15, 4. Thử nghiệm, 5. Kết luận. II. MẠNG NƠRON TRONG BÀI TOÁN PHÁT HIỆN TẤN CÔNG DOS Khi áp dụng mạng nơron để phát hiện tấn công bắt buộc phải trải qua quá trình huấn luyện. Quá trình này đượcthực hiện bằng cách đưa vào thuộc tính đầu vào về các liên kết mạng và thông tin về các kiểu tấn công tương ứng vớitừng loại tấn công. Trong quá trình huấn luyện bắt buộc phải có tấn công DoS. Kết thúc quá trình huấn luyện, mạngnơron có khả năng nhận dạng được các tấn công DoS. Xác suất phát hiện tấn công DoS và tỷ lệ phát hiện sai phụ thuộcvào rất nhiều yếu tố như: loại mạng và thông số của mạng nơron, cấu trúc mạng trong quá trình học, số chiều của vectơthuộc tính và nhiều đặc trưng khác.1. Các đặc trưng của mạng nơron CMAC Cấu trúc mạng nơron CMAC và việc áp dụng nó trong bài toán phát hiện tấn công DoS đã được trình bày ở cácbài báo [4]. Ở đây chỉ nêu ra những khác biệt nhất của mạng nơron CMAC so với các loại mạng nơron khác: - Các đối số của hàm nhớ và hàm tái tạo (vectơ đầu vào của mạng nơron, hay vectơ đặc trưng) chỉ nhận các giátrị số nguyên. - Trong mạng nơron CMAC, vectơ đầu vào x (vectơ thuộc tính) kích hoạt p các ô nhớ MCMAC- của vectơ nhớw[n], sao cho tổng giá trị của các ô nhớ bằng giá trị của hàm nhớ. Thông số p đóng vai trò rất quan trọng, giá trị của nóxác định khả năng hoạt động và dung lượng bộ nhớ cần thiết MCMAC ...