Tạo luật cho các bức tường lửa sử dụng các kỹ thuật kết hợp dựa trên cây quyết định

Bài viết đề cập đến việc sử dụng các kỹ thuật kết hợp nhiều mô hình máy học như: Boosting, Bagging, Stacking, Random Forest và Decorate (Diverse Ensemble Creation by Oppositional Relabeling of Artificial Training Examples) để xây dựng các bộ phân lớp kết hợp có chất lượng cao trong việc phát hiện các dấu hiệu tấn công, từ đó tạo ra các luật mới giúp các bức tường lửa ngăn chặn các tấn công chưa từng biết.
Nội dung trích xuất từ tài liệu:
Tạo luật cho các bức tường lửa sử dụng các kỹ thuật kết hợp dựa trên cây quyết địnhKỷ yếu Hội nghị KHCN Quốc gia lần thứ XI về Nghiên cứu cơ bản và ứng dụng Công nghệ thông tin (FAIR); Hà Nội, ngày 09-10/8/2018DOI: 10.15625/vap.2018.00064 TẠO LUẬT CHO CÁC BỨC TƯỜNG LỬA SỬ DỤNG CÁC KỸ THUẬT KẾT HỢP DỰA TRÊN CÂY QUYẾT ĐỊNH Hoàng Ngọc Thanh1, 3, Trần Văn Lăng2 1 Trường Đại học Lạc Hồng 2 Viện Cơ học và Tin học ứng dụng, VAST 3 Khoa Công nghệ Thông tin, Trường Đại học Bà Rịa - Vũng Tàu thanhhn@bvu.edu.vn, langtv@vast.vnTÓM TẮT: Các bức tường lửa hiện nay hoạt động chủ yếu dựa trên các luật đã được thiết lập trước. Những bức tường lửa này tìmra sự xâm nhập mạng bằng cách kiểm tra các đặc tính của dữ liệu cần phân tích với các luật đã biết và ngăn chặn nếu phát hiện tấncông. Khi lưu lượng mạng phát triển nhanh chóng, việc cập nhật thủ công các luật ngày càng trở nên khó khăn, tẻ nhạt và tốn nhiềuthời gian. Kể từ đó, các phương pháp máy học đã được giới thiệu để giải quyết vấn đề này. Máy học đề cập đến các thuật toán máytính có khả năng học hỏi từ các mẫu dữ liệu trong quá khứ để nhận ra các mẫu tấn công mới, và từ đó tạo ra các luật mới cho cácbức tường lửa giúp ngăn chặn các cuộc tấn công mạng ngày càng phong phú, đa dạng và không ngừng thay đổi như hiện nay. Bàibáo đề cập đến việc sử dụng các kỹ thuật kết hợp nhiều mô hình máy học như: Boosting, Bagging, Stacking, Random Forest vàDecorate (Diverse Ensemble Creation by Oppositional Relabeling of Artificial Training Examples) để xây dựng các bộ phân lớp kếthợp có chất lượng cao trong việc phát hiện các dấu hiệu tấn công, từ đó tạo ra các luật mới giúp các bức tường lửa ngăn chặn cáctấn công chưa từng biết. Kết quả thử nghiệm thực hiện trên các bộ dữ liệu NSL-KDD, bộ dữ liệu được nhiều học giả sử dụng nhấtvà UNSW-NB, bộ dữ liệu hiện đại do Trung tâm An ninh mạng của Úc tạo ra năm 2015 cho thấy: các kỹ thuật kết hợp cho kết quảtốt nhất trong đa số các trường hợp khi phát hiện các mẫu tấn công.Từ khóa: Máy học; Cây quyết định; Bức tường lửa; Random Forest; Boosting; Bagging; Stacking; Decorate. I. GIỚI THIỆU Tấn công mạng là hình thức tấn công xâm nhập vào các hệ thống thông tin máy tính, cơ sở hạ tầng, mạng máytính hoặc các thiết bị cá nhân bằng nhiều cách khác nhau của các hành vi độc hại thường có nguồn gốc từ một nguồngiấu tên, mà đánh cắp, thay đổi hoặc hủy hoại một mục tiêu cụ thể bằng cách hack vào một hệ thống dễ bị tổn thương[1]. Tấn công mạng ngày càng trở nên phức tạp và nguy hiểm như những con sâu Stuxnet gần đây đã chứng minh [2].Để ngăn chặn các cuộc tấn công mạng như vậy, người ta đã xây dựng các bức tường lửa đặt tại các cổng kết nối của hệthống thông tin máy tính, các bức tường lửa này tìm ra sự xâm nhập bằng cách so sánh các đặc tính của dữ liệu đi quacổng kết nối với các dấu hiệu tấn công đã biết, nếu phát hiện dấu hiệu tấn công, bức tường lửa sẽ loại bỏ các gói tintương ứng để ngăn ngừa xâm nhập. Tuy nhiên, kẻ xâm nhập cũng không ngừng tìm kiếm các hình thức xâm nhập mới,điều đó làm cho hoạt động phát hiện xâm nhập của bức tường lửa trở nên khó khăn. Để khắc phục, các bức tường lửacần liên tục cập nhật các dấu hiệu tấn công mới và điều này thường không kịp thời và tốn nhiều chi phí. Kể từ đó, cácphương pháp máy học đã được giới thiệu để giải quyết vấn đề phát hiện xâm nhập. Máy học đề cập đến các thuật toánmáy tính có khả năng học hỏi từ các mẫu dữ liệu trong quá khứ để tự động phát hiện các mẫu tấn công mới. Dựa trênmáy học, các tường lửa đã hoạt động tốt hơn trong nhiều báo cáo cũng như thực tế triển khai [3]. Bên cạnh việc phát triển các mô hình máy học là các bộ phân lớp đơn sử dụng các thuật toán máy học như: câyquyết định, mạng nơron, mạng Naïve Bayes, k láng giềng gần nhất, máy vectơ hỗ trợ, hồi quy luận lý,… Từ nhữngnăm 1990, cộng đồng máy học đã nghiên cứu cách để kết hợp nhiều mô hình phân lớp thành tập hợp các mô hình phânlớp để cho tính chính xác cao hơn so với chỉ một mô hình phân lớp. Mục đích của các mô hình tập hợp là làm giảmphương sai (variance) và/hoặc độ lệch (bias) của các giải thuật học. Độ lệch là khái niệm về lỗi của mô hình học(không liên quan đến dữ liệu học) và phương sai là lỗi do tính biến thiên của mô hình so với tính ngẫu nhiên của cácmẫu dữ liệu học. Năm 1992 Buntine [4] đã giới thiệu các kỹ thuật Bayes để giảm phương sai của các phương pháp học.Phương pháp xếp chồng (Stacking) do Wolpert giới thiệu năm 1992 [5] hướng tới việc cực tiểu hóa độ lệch của cácgiải thuật học. Trong khi Freund và Schapire [6] đưa ra Boosting năm 1995, Breiman [7] đề nghị ArcX4 năm 1998 đểcùng giảm độ lệch và phương sai, còn Bagging do Breiman [8] đề nghị năm 1996 thì giảm phương sai của giải thuậthọc nhưng không làm tăng độ lệch quá nhiều. Tiếp cận rừng ngẫu nhiên (Random Forest) do Breiman đề xuất năm2001 [9] là một trong những phương pháp tập hợp mô hình thành công nhất. Giải thuật rừng ngẫu nhiên xây dựng câykhông cắt nhánh nhằm giữ cho độ lệch thấp và dùng tính ngẫu nhiên để điều khiển tính tương quan thấp giữa các câytrong rừng. Việc ứng dụng các kỹ thuật kết hợp như Bagging, Boosting và Stacking nêu trên vào các hệ thống phát hiệnxâm nhập mạng (Network Intrusion Detection System: NIDS) cũng đã được các tác giả đề xuất trong [10]. Nội dung bài báo này đề cập đến việc sử dụng các kỹ thuật kết hợp nhiều mô hình phân lớp như: Boosting,Bagging, Stacking, Random Forest và Decorate để xây dựng các bộ phân lớp kết hợp có chất lượng cao trong phát hiệncác dấu hiệu tấn công mới, từ đó tạo ra các luật mới giúp các bức tường lửa n ...