So sánh các thuật toán học máy trong phát hiện tấn công DDoS

Bài viết "So sánh các thuật toán học máy trong phát hiện tấn công DDoS" hướng tới đánh giá các thuật toán học máy: Thuật toán K láng giềng gần nhất (K-nearest neighbor - KNN), cây quyết định (Decision Tree), thuật toán rừng ngẫu nhiên (Random Forest) và máy vector hỗ trợ (Support Vector Machine - SVM) trên các chỉ số đánh giá khác nhau trong việc phát hiện các cuộc tấn công DDoS. Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
So sánh các thuật toán học máy trong phát hiện tấn công DDoS So Sánh các Thuật Toán Học Máy trong Phát Hiện Tấn Công DDoS Nguyễn Thị Khánh Trâm TS. Đoàn Trung Sơn Đại học Công nghệ, Đại học Quốc gia Hà Nội Khoa An ninh thông tin, Học viện An ninh nhân dân Hà Nội, Việt Nam Hà Nội, Việt Nam Khanhtramt2k23@gmail.com son.doantrung@gmail.com Tóm tắt--- Tấn công từ chối dịch vụ đã xuất hiện từ những Cuối năm 1999, CERT lần đầu công bố báo cáo về mối năm khởi nguyên của thời đại internet. Song hành cùng sự phát đe dọa của các cuộc tấn công từ chố dịch vụ, đồng thời đưa triển và bùng nổ của mạng Internet, tấn công từ chối dịch vụ ra các hành động ngăn chặn cụ thể để giảm thiểu mối đe dọa cũng ngày càng mạnh mẽ và trở thành mối đe dọa nghiêm trọng này [2]. Vài tháng sau, Internet bị tấn công DDoS quy mô lớn trên không gian mạng. Bài báo hướng tới đánh giá các thuật toán học máy: Thuật toán K láng giềng gần nhất (K-nearest đầu tiên [3], và liên tục xuất hiện nhiều vụ tấn công với quy neighbor - KNN), cây quyết định (Decision Tree), thuật toán mô ngày càng lớn trong những năm sau đó. Kể từ đó, các nhà rừng ngẫu nhiên (Random Forest) và máy vector hỗ trợ nghiên cứu đã phân tích một số công cụ được sử dụng để khởi (Support Vector Machine - SVM) trên các chỉ số đánh giá khác động các cuộc tấn công từ chối dịch vụ [4, 5, 6], đo lường tác nhau trong việc phát hiện các cuộc tấn công DDoS. động của chúng trên Internet và đưa ra một số phương pháp phòng thủ [7]. Theo đó, những nỗ lực nghiên cứu này đã đạt Abstract— Denial of service attacks have been around since kết quả là một số sản phẩm chống DDoS hiệu quả và đáng tin the dawn of the internet age. Along with the development and cậy được cung cấp dưới dạng thiết bị độc lập hoặc dịch vụ explosion of the Internet, denial of service attacks are also dựa trên đám mây. increasingly powerful and become a serious threat in cyberspace. The article aims to evaluate the machine learning Những năm gần đây, cùng với sự phát triển mạnh mẽ của algorithms: K-nearest neighbor (KNN), Decision Tree, Random trí tuệ nhân tạo, các phương pháp học máy và học sâu đang Forest and support vector machine (SVM) on different được sử dụng ngày một nhiều trong việc phát hiện tấn công evaluation indexes in detecting the DDoS attack. từ chối dịch vụ. Sambadi và Gondi đề xuất phương pháp tiếp cận theo hướng sử dụng hồi quy tuyến tính bội để phát hiện Từ khoá— DDoS, KNN, Decision tree, Random forest, SVM. tấn công DDoS [8]. P. Sangkatsanee và các cộng sự [9 đã xây dựng cơ chế I. GIỚI THIỆU phát hiện theo thời gian thực áp dụng các kỹ thuật học máy. Tấn công từ chối dịch vụ phân tán DDoS (Distributed Trong đó đề xuất 12 đặc trưng lưu lượng mạng thiết yếu, trên Denial of Service) được thực hiện bằng cách tăng lượng truy cơ sở đó phân biệt giữa dữ liệu thông thường và DDoS. cập trực tuyến từ nhiều nguồn đến máy chủ. Từ đó khiến máy Sofi và các cộng sự [10] nâng cấp tập dữ liệu mới gồm 27 chủ cạn kiệt tài nguyên lẫn băng thông. DDoS lần đầu xuất đặc trưng và năm lớp lưu lượng truy cập khác nhau. Bốn thuật hiện vào năm 1999. toán học máy là Naive Bayes, SVM, cây quyết định và MLP Việt Nam đang đứng trước nguy cơ lớn bị tấn công và đã được áp dụng để xác định các cuộc tấn công DDoS. Trong phát tán tấn công từ chối dịch vụ (DDoS) với vị trí thứ 6 trên đó, thuật toán MLP cho kết quả tốt nhất. toàn cầu sau Trung Quốc, Mỹ, Pháp, Nga và Brazil, đứng vị Mahadev và các cộng sự [11] đã sử dụng trình phân loại trí thứ 2 trong khu vực Châu Á Thái Bình Dương và đứng đầu Naive Bayes trong công cụ weka để phân tích luồng lưu khu vực Đông Nam Á [1]. lượng mạng và phát hiện ra nó mang lại độ chính xác 99% DDoS liên quan đến việc thực hiện các yêu cầu từ một trong việc phát hiện các cuộc tấn công DDoS. mạng máy tính được tạo thành từ hàng triệu máy tính với các S Duque và các cộng sự [12] nhận thấy thuật toán phân địa chỉ IP khác nhau mà quyền kiểm soát đã được thiết lập cụm k-mean cho hiệu quả tăng lên với việc sử dụng đúng số trước đó (botnet). Máy được khai thác có thể bao gồm máy lượng cụm. Hơn nữa, lưu ý rằng với sự tăng số lượng các cụm tính và các tài nguyên nối mạng khác như thiết bị IoT. Chúng trên số lượng kiểu dữ liệu, tỷ lệ âm tính giả, tỷ lệ phát hiện cộng hưởng lại sẽ tạo ra các “đợt sóng thần” traffic. Một cuộc giảm, nhưng tỷ lệ dương tính giả tăng lên. tấn công DDoS có thể hiểu giống như một vụ tắc đường bất ngờ làm tắc nghẽn đường cao tốc, ngăn không cho giao thông II. NỘI DUNG thông thường đến đích. Do được phân tán thành nhiều điểm A. Thuật Toán Học Máy truy cập có dải IP khác nhau, DDoS mạnh hơn DoS rất nhiều và thường rất khó để nhận biết hoặc ngăn chặn các cuộc tấn Bốn t ...