Bài viết Nghiên cứu phương pháp phát hiện sớm xâm nhập bất thường mạng DDOS dựa trên các thuật toán học máy tập trung nghiên cứu đề xuất xây dựng hệ thống hoạt động như một cảm biến có thể được cài đặt ở bất kỳ đâu trên mạng và thực hiện phân loại lưu lượng truy cập trực tuyến.
TNU Journal of Science and Technology 227(11): 137 - 144 STUDYING A SOLUTION FOR EARLY DETECTION OF DDOS ATTACKS BASED ON MACHINE LEARNING ALGORITHMS Le Hoang Hiep1*, Le Xuan Hieu2, Ho Thi Tuyen1, Duong Thi Quy1 TNU - University of Information and Communication Technology Thai Nguyen University ARTICLE INFO Received: 11/7/2022 Revised: 05/8/2022 Published: 05/8/2022 KEYWORDS Denial of service Cyber attack Network security Machine learning DDoS attack ABSTRACT This paper focused on researching and proposing to build a system that acts as a sensor that can be installed anywhere on the network and performs online traffic classification The proposed system used basic machine learning techniques for network anomaly detection and data dimensionality reduction techniques to remove features that are not significant in anomaly detection The main goal of the proposed system was to reduce the computation time to help detect the attack early but still ensure the accuracy of anomaly detection The obtained results showed that the model using the KNN algorithm combined with the feature extraction technique had relatively stable accuracy for all data sets (lowest is 99.15% on NSL-KDD set, highest is 99.73% in simulation dataset) with fast execution time (since the data is reduced in size, making the calculation faster) NGHIÊN CỨU PHƢƠNG PHÁP PHÁT HIỆN SỚM XÂM NHẬP BẤT THƢỜNG MẠNG DDOS DỰA TRÊN CÁC THUẬT TỐN HỌC MÁY Lê Hồng Hiệp1*, Lê Xn Hiếu2, Hồ Thị Tuyến1, Dƣơng Thị Quy1 Trường Đại học Công nghệ thông tin Truyền thông – ĐH Thái Nguyên Đại học Thái Nguyên THÔNG TIN BÀI BÁO Ngày nhận bài: 11/7/2022 Ngày hoàn thiện: 05/8/2022 Ngày đăng: 05/8/2022 TỪ KHĨA Từ chối dịch vụ Tấn cơng mạng An ninh mạng Học máy Tấn cơng DDoS TĨM TẮT Bài báo tập trung nghiên cứu đề xuất xây dựng hệ thống hoạt động cảm biến cài đặt đâu mạng thực phân loại lưu lượng truy cập trực tuyến Hệ thống đề xuất sử dụng kỹ thuật học máy để phát xâm nhập bất thường mạng kỹ thuật giảm chiều liệu để loại bỏ đặc trưng khơng có nhiều ý nghĩa việc phát bất thường Mục tiêu hệ thống đề xuất giảm thời gian tính tốn giúp phát sớm cơng đảm bảo độ xác việc phát bất thường Qua kết đạt cho thấy mô hình sử dụng thuật tốn KNN kết hợp với kỹ thuật trích chọn đặc trưng cho độ xác tương đối ổn định với tất liệu (thấp 99,15% NSL-KDD, cao 99,73% liệu mô phỏng) với thời gian thực thi nhanh (do liệu giảm chiều khiến cho việc tính tốn nhanh hơn) DOI: https://doi.org/10.34238/tnu-jst.6248 * Corresponding author Email: lhhiep@ictu.edu.vn http://jst.tnu.edu.vn 137 Email: jst@tnu.edu.vn TNU Journal of Science and Technology 227(11): 137 - 144 Giới thiệu Thử thách lớn việc chống lại DDoS việc phải phát sớm công giảm thiểu cơng nhanh Đã có nghiên cứu tính khơng hiệu việc phát giảm thiểu công DDoS có liên quan trực tiếp đến việc cấu hình hệ thống sai tốn thời gian thiếu công cụ theo dõi lưu lượng động mạng thiếu giám sát người Các phương pháp phát xâm nhập truyền thống chủ yếu chia thành phát bất thường phát dựa theo dấu hiệu Phát bất thường chủ yếu sử dụng kinh nghiệm chuyên môn phương pháp suy luận Trong phương pháp thống kê thuật tốn Bayers thuật tốn điển hình đại diện sử dụng Phương pháp nhìn chung giúp phát chống lại công mạng tốt với kĩ thuật công nghệ cao ngày phát triển kỹ thuật công ngày mạnh tinh vi phương pháp khó đáp ứng việc ngăn chặn phát sớm Một số công bố liên quan tới nghiên cứu gần như: Phương pháp D-FACE [1], [2]; Một kỹ thuật dựa Giao thức HTTP [3], [4]; Kỹ thuật Multiple – Features - Based Constrained – 𝐾 – Means [5]-[7]; Phương pháp 𝐾-nearest neighbor classifier (KNNC) [9]-[11] có ưu điểm như: phát cơng DDoS lại địi hỏi mức độ tương thích IPS cao nên hạn chế sử dụng cho giải pháp chung phương pháp dường áp dụng hệ thống giảm thiểu tự động, đặc biệt môi trường sản xuất không hỗ trợ tỷ lệ lấy mẫu cao trình phát tốn mặt tính tốn để thực thời gian thực số lượng trình đồng thời tăng lên Trong nghiên cứu này, nhóm tác giả đề xuất xây dựng hệ thống hoạt động cảm biến cài đặt đâu mạng phân loại lưu lượng truy cập trực tuyến chiến lược dựa thuật toán học máy (Machine Learning) giúp phân loại mẫu lưu lượng ngẫu nhiên thu thập thiết bị mạng thông qua giao thức truyền phát Phương pháp đề xuất tương thích với sở hạ tầng Internet không yêu cầu nâng cấp phần mềm phần cứng [12] Bên cạnh đó, quyền riêng tư liệu người dùng đảm bảo tất giai đoạn vận hành hệ thống Hệ thống đề xuất sử dụng kỹ thuật học máy để phát xâm nhập bất thường mạng (DDoS) kỹ thuật giảm chiều liệu để loại bỏ đặc trưng khơng có nhiều ý nghĩa việc phát bất thường Mục tiêu hệ thống đề xuất giảm thời gian tính tốn giúp phát sớm công đảm bảo độ xác việc phát bất thường Cơ sở nghiên cứu ứng dụng 2.1 Các thuật tốn học máy Các thuật tốn học máy ứng dụng việc phát công DDoS dùng số hệ thống phát xâm nhập [3]-[11]: Thuật toán K-nearest neighbor (KNN) thuật tốn học có giám sát (Supervised-Learning) đơn giản (mà hiệu vài trường hợp) học máy Khi huấn luyện (training), thuật tốn khơng học điều từ liệu training (đây lý thuật toán xếp vào loại máy lười học/Lazy Learning), tính tốn thực cần dự đốn kết liệu K-nearest neighbor áp dụng vào hai loại toán Supervised learning Classification (phân loại) Regression (hồi quy giá trị) Thuật toán Random Forests (RF) phương pháp Supervised Learning xử lý tốn Classification (phân loại) Regression (dự báo giá trị) Về Random forests phương pháp xây dựng tập hợp nhiều định (Decision Tree) sử dụng phương pháp bầu chọn để đưa định biến mục tiêu (target) cần dự báo Số lượng định RF khống chế theo mong muốn người sử dụng Thuật tốn AdaBoost liên quan đến việc sử dụng định ngắn (một cấp), gọi decision stumps weak learner thêm liên tục vào nhóm Mỗi mơ hình cố gắng sửa dự đoán thực http://jst.tnu.edu.vn 138 Email: jst@tnu.edu.vn TNU Journal of Science and Technology 227(11): 137 - 144 mơ hình trước chuỗi Từ kết thu kết tốt có thể; Thuật tốn Support Vector Machine (SVM) phương pháp học có giám sát mơ hình nhận dạng mẫu Nó khơng hoạt động tốt với liệu phân tách tuyến tính mà tốt với liệu phân tách phi tuyến 2.2 Một số kỹ thuật giảm chiều liệu 2.2.1 Kỹ thuật Principal Component Analysis (PCA) PCA thuật toán thống kê sử dụng phép biến đổi trực giao để biến đổi tập hợp liệu từ không gian nhiều chiều sang không gian chiều nhằm tối ưu hóa việc thể biến thiên liệu Phép biến đổi tạo ưu điểm sau liệu: - Giảm số chiều không gian chứa liệu có số chiều lớn - Xây dựng trục tọa độ mới, có khả biểu diễn liệu tốt tương đương, đảm bảo độ biến thiên liệu chiều - Tạo điều kiện để liên kết tiềm ẩn liệu khám phá không gian mới, mà đặt khơng gian cũ khó phát liên kết rõ - Đảm bảo trục tọa độ không gian trực giao đôi với nhau, không gian ban đầu trục khơng trực giao 2.2.2 Kỹ thuật Feature Importance Feature Importance đề cập đến kỹ thuật gán điểm (chỉ số “importance”) cho đặc trưng đầu vào dựa mức độ hữu ích chúng việc dự đoán giá trị mục tiêu Chỉ số “importance” hữu ích sử dụng loạt tình vấn đề mơ hình dự đốn, chẳng hạn như: - Hiểu rõ liệu; Hiểu rõ mơ hình - Giảm số lượng đặc trưng đầu vào: Điều đạt cách sử dụng số “importance” để chọn đặc trưng cần xóa (“importance” thấp) đặc trưng cần giữ (“importance” cao) Đây loại lựa chọn đặc trưng đơn giản hóa vấn đề mơ hình hóa, tăng tốc q trình mơ hình hóa (xóa đặc trưng gọi giảm kích thước) số trường hợp, cải thiện hiệu suất mơ hình 2.2.3 Kỹ thuật Univariate Selection Univariate Selection kiểm tra đặc trưng riêng lẻ để xác định độ mạnh mối quan hệ đặc trưng với giá trị trả lời Các phương pháp đơn giản để thực tốt để có hiểu biết tốt liệu, tìm đặc trưng có quan hệ tốt cho việc tìm giá trị trả lời Sau đó, giữ lại số lượng đặc trưng mong muốn để làm đặc trưng đầu vào cho mơ hình dự đốn 2.3 Phát biểu toán ứng dụng Với sở lý thuyết thuật toán học máy kỹ thuật giảm chiều liệu, áp dụng vào hệ thống phát xâm nhập mạng dựa bất thường Hệ thống đề xuất [12]: - Sử dụng phương pháp Rescaling sử dụng MiMaxScaler có sẵn thư viện sklearn - Sử dụng kỹ thuật giảm chiều liệu xử lý liệu đầu vào - Sử dụng giải thuật học máy để phát công nhờ vào khả phân loại chúng Hệ thống phát xâm nhập mạng IDS đề xuất hệ thống lai có đặc điểm: - Bộ liệu chữ ký Signature Dataset (SDS): phát xâm nhập dựa chữ ký - Sử dụng kỹ thuật Recursive Feature Elimination with Cross Validation để lựa chọn đặc trưng quan trọng, sau huấn luyện qua thuật tốn Random Forest http://jst.tnu.edu.vn 139 Email: jst@tnu.edu.vn TNU Journal of Science and Technology 227(11): 137 - 144 Hình Mơ hình phát cơng sử dụng kết hợp giải thuật học máy kỹ thuật giảm chiều liệu Chi tiết mơ hình thực sau: Khối lựa chọn đặc trưng: Sau nhận liệu, khối chức tập trung sử dụng ba kỹ thuật lựa chọn đặc trưng khác PCA, Feature Importance (Sử dụng Extra tree SelectFromModel thư viện scikit-learn), Univariate Selection (Sử dụng SelectKBest với thuật tốn chi-squared) Trong đó: PCA: tính tốn lại mối quan hệ đặc trưng giảm số chiều liệu số lượng mà mong muốn Để tìm số chiều phù hợp cần thử nghiệm nhiều lần Feature Importance Univariate Selection: có cách đánh giá đặc trưng khác hai kỹ thuật tính “điểm” cho đặc trưng sau giữ lại đặc trưng có “điểm” cao ngưỡng đặt Khối học máy: sau xử lý giảm chiều liệu với kỹ thuật trên, ta nhận liệu với số chiều nhỏ số chiều liệu ban đầu Huấn luyện liệu với giải thuật học máy (KNN, AdaBoost, Random Forest, SVM) để phân loại lưu lượng cơng lưu lượng bình thường - Hệ thống đề xuất đem lại số ưu điểm sau: Kết hợp kỹ thuật giảm chiều liệu giúp tăng tốc độ xử lý cho phù hợp, đảm bảo độ xác phát lưu lượng bất thường Khi giảm chiều liệu đầu vào cho thuật toán, thời gian tính tốn giải thuật giảm đi, tăng khả phát bất thường sớm, tăng hiệu phịng chống cơng DDoS Với kỹ thuật trích chọn đặc trưng Feature Importance Univariate Selection, sau tìm đặc trưng phù hợp để giữ lại đặc trưng dư thừa khác bỏ Điều giúp cho việc giám sát lưu lượng mạng đạt hiệu hơn, cần theo dõi thiết lập luật bắt đặc trưng cần thiết có lưu lượng vào hệ thống Khơng cần giám sát tồn đặc trưng lưu lượng, từ giảm thiểu độ lớn liệu đầu vào cho hệ thống phát công Triển khai đánh giá liệu mạng mô 3.1 Bộ liệu Về liệu sử dụng huấn luyện: liệu tự tạo theo mơ hình mạng hình VLAN 5, 6, sử dụng làm máy nạn nhân VLAN 100 dành riêng cho người dùng đơn vị học thuật VLAN 10 sử dụng làm máy chủ công, giám sát VLAN Tất mạng có quyền truy cập thường xuyên vào Internet Kế hoạch công sau 30 http://jst.tnu.edu.vn 140 Email: jst@tnu.edu.vn 227(11): 137 - 144 TNU Journal of Science and Technology phút lại tạo công, 48 kiện công 24 giờ, 00h00m00s kết thúc 23h59m00s Tất công thực máy chủ công (thuộc VLAN 10), thời gian khơng truyền lưu lượng truy cập hợp pháp cho nạn nhân Các công cụ cơng tham số hóa để tạo chế độ sneaky low-volume, medium-volume light mode, massive high-volume attacks Bộ liệu ban đầu gồm 73 đặc trưng cho ghi, gán nhãn “normal” “attack” rõ ràng Hình Cấu trúc mạng xây dựng liệu Bộ liệu xây dựng gần với môi trường mạng hoạt động thực tế Từ đó, sử dụng liệu để kiểm thử với mơ hình đề xuất giúp ta đánh giá hiệu hệ thống Nhưng liệu chưa đủ lớn, bao gồm 45500 ghi (trong có 22412 cơng 23088 ghi bình thường) Đây sở để tham khảo xây dựng liệu lớn để phát triển hệ thống sau [13] – [17] 3.2 Đánh giá kết thu Các kết thu giá trị trung bình sau 15 lần huấn luyện kiểm thử 3.2.1 Sau thực giảm chiều liệu sử dụng PCA Bảng Kết kiểm thử liệu mô với giảm chiều sử dụng PCA Thuật tốn KNN AdaBoost Random Forest SVM Độ xác ban đầu (%) 99,91 99,92 99,85 99,85 Độ xác sau giảm chiều liệu (%) 99,89 99,92 99,83 99,91 Thời gian thực thi ban đầu (ms) 6850,37 536,28 4121,91 997,18 Thời gian thực thi sau giảm chiều liệu (ms) 1428,85 964,01 6626,19 907,55 Phần tính tốn thời gian sau giảm chiều liệu tính thời gian xử lý với kỹ thuật PCA Bởi chất kỹ thuật tính tốn lại quan hệ đặc trưng để chuyển từ không gian nhiều chiều chiều liệu Vì vậy, lần có lưu lượng mạng qua hệ thống cần thay đổi chiều liệu lưu lượng đó, sau phân tích xem lưu lượng hợp lệ hay công Theo quan sát Bảng ta nhận thấy, ngoại trừ thuật toán Random Forest AdaBoost có thời gian thực thi tăng lên tương đối nhiều, lại thời gian thực thi giảm tương đối mạnh Nguyên nhân PCA chuyển liệu thành liệu làm cho cấu trúc xây dựng khác với ban đầu Nhìn chung độ xác giảm sau giảm chiều liệu Nhưng việc giảm chấp nhận so với thời gian thực thi Nhận thấy thuật toán KNN phù hợp với liệu huấn luyện sau http://jst.tnu.edu.vn 141 Email: jst@tnu.edu.vn 227(11): 137 - 144 TNU Journal of Science and Technology huấn luyện liệu giảm chiều liệu thời gian thực nhanh hẳn cho hệ thống có độ xác tương đối cao 3.2.2 Sau thực giảm chiều liệu sử dụng Feature Importance Thực giảm chiều liệu với kỹ thuật Feature Importance sử dụng Extra Tree để tính tốn Importance đặc trưng sau sử dụng thuật toán SelectFromModel để lựa chọn đặc trưng thỏa mãn điều kiện người dùng thiết lập Thực giảm chiều liệu nên loại bỏ 53 đặc trưng, 20 đặc trưng sử dụng Đặc trưng lại sau sử dụng Feature Importance: ‘tcp_dataofs_median’, ‘tcp_dataofs_mean’, ‘tcp_flags_mean’, ‘ip_proto’, ‘ip_ttl_cv’, ‘tcp_flags_rte’, ‘ip_len_std’, ‘ip_ttl_std’, ‘tcp_flags_median’, ‘ip_len_entropy’, ‘sport_entropy’, ‘tcp_seq_mean’, ‘tcp_dataofs_rte’, ‘ip_len_cv’, ‘ip_ttl_cvq’, ‘tcp_ack_entropy’, ‘tcp_flags_cv’, ‘tcp_seq_entropy’, ‘tcp_ack_cvq’, ‘ip_len_mean’ Bảng Kết kiểm thử liệu mô với giảm chiều sử dụng Feature Importance Thuật tốn KNN AdaBoost Random Forest SVM Độ xác ban đầu (%) 99,86 99,87 99,99 99,82 Độ xác sau giảm chiều liệu (%) 99,81 99,89 99,93 99,79 Thời gian thực thi ban đầu (ms) 6166,43 527,46 4123,88 1017,15 Thời gian thực thi sau giảm chiều liệu (ms) 808,75 131,59 1894,85 389,93 Theo quan sát Bảng ta nhận thấy, kết thu khả quan Độ xác mơ hình giảm nhẹ thời gian thực mô hình lại giảm mạnh Ngồi ra, sử dụng kỹ thuật Feature Importance, ta thu kết lại 20 đặc trưng sử dụng Từ đó, quản trị hệ thống IDS, người quản trị cần thiết lập luật cho cần lấy 20 đặc trưng cho luồng liệu vào, giảm thời gian lấy mẫu liệu, tăng tốc độ xử lý cho hệ thống Phương pháp giảm chiều liệu giúp cho mơ hình phát xâm nhập mạng áp dụng thuật toán học máy đạt mục tiêu đề nghiên cứu Thời gian thực thi ngắn sớm phát cơng, đảm bảo độ xác phân loại công 3.2.3 Sau thực giảm chiều liệu sử dụng Univariate Selection Thực giảm chiều liệu với kỹ thuật Univariate Selection sử dụng thuật tốn chi-squared để tính tốn chi bình phương cho đặc trưng liệu xếp chúng theo thứ tự giảm dần Sau thiết lập tham số đặc trưng muốn giữ lại cho SelectKBest, đặc trưng lấy từ cao xuống thấp theo số chi bình phương tính đủ Thực giảm chiều liệu phương pháp loại bỏ 53 đặc trưng, 20 đặc trưng sử dụng Đặc trưng lại sau sử dụng Univariate Selection: ‘ip_ttl_cv’, ‘ip_len_cv’, ‘ip_len_cvq’, ‘ip_ttl_cvq’, ‘tcp_ack_rte’, ‘tcp_seq_cvq’, ‘tcp_seq_rte’, ‘tcp_dataofs_median’, ‘tcp_dataofs_mean’, ‘tcp_window_median’, ‘dport_cv’, ‘tcp_window_mean’, ‘tcp_flags_mean’, ‘tcp_flags_median’, ‘tcp_ack_cvq’, ‘tcp_seq_mean’, ‘tcp_seq_median’, ‘tcp_seq_cv’, ‘ip_ttl_std’, ‘ip_len_std’ Bảng Kết kiểm thử liệu mô với giảm chiều sử dụng Univariate Selection Thuật toán KNN AdaBoost Random Forest SVM http://jst.tnu.edu.vn Độ xác ban đầu (%) 99,84 99,93 99,88 99,92 Độ xác sau giảm chiều liệu (%) 99,87 99,91 99,86 99,90 142 Thời gian thực thi ban đầu (ms) 6765,63 443,72 4077,38 1047,19 Thời gian thực thi sau giảm chiều liệu (ms) 1434,09 174,44 2441,35 303,09 Email: jst@tnu.edu.vn TNU Journal of Science and Technology 227(11): 137 - 144 Theo quan sát Bảng ta nhận thấy, kết thu khả quan Độ xác mơ hình giảm nhẹ thời gian thực mơ hình lại giảm mạnh Ngồi ra, sử dụng kỹ thuật Feature Importance, ta thu kết lại 20 đặc trưng sử dụng Từ đó, quản trị hệ thống IDS, người quản trị cần thiết lập luật cho cần lấy 20 đặc trưng cho luồng liệu vào, giảm thời gian lấy mẫu liệu, tăng tốc độ xử lý cho hệ thống Kết luận Với liệu có hai nhãn dán bình thường cơng, liệu mơ báo mơ hình đề xuất đem lại kết tốt Đảm bảo việc phát xâm nhập mạng kịp thời (thời gian phân loại công lưu lượng thường nhanh) cho độ xác hệ thống tương đối cao Hệ thống đưa phân loại lưu lượng thường tương đối xác, đánh giá độ xác phân loại loại cơng cụ thể độ xác thấp, đưa cảnh báo sai Hệ thống đề xuất phù hợp với liệu đánh nhãn để phân loại lưu lượng công lưu lượng thường Hai mơ hình sử dụng KNN Random Forest kết hợp với kỹ thuật giảm chiều liệu cho kết tốt độ xác thời gian thực Tổng hợp tất kết thu được, ta thấy hệ thống đề xuất đạt kết tốt ba liệu việc kết hợp giải thuật KNN kỹ thuật giảm chiều liệu Feature Importance Sau tính toán trả số lượng đặc trưng quan trọng việc phát công kỹ thuật Importance hiệu giải thuật KNN cải thiện Vì giữ lại đặc trưng quan trọng, số chiều liệu giảm khả tính tốn KNN nhanh Vì vậy, độ xác có giảm nhẹ thời gian tính tốn giảm nhiều Điều chấp nhận TÀI LIỆU THAM KHẢO/ REFERENCES [1] Y Cao, “Understanding Internet DDoS Mitigation from Academic and Industrial Perspectives,” IEEE Acess, vol 6, pp 66641-66648, 2018 [2] B Sunny, “D-FACE: An anomaly based distributed approach for early detection of DDoS attacks,” Journal of Network and Computer Applications, vol 111, pp 49-63, 2018 [3] H HadianJazi, “Detecting HTTP-based application layer DoS attacks on web servers in the presence of sampling,” Journal of Computer Networks, vol 121, pp 25-36, 2017 [4] N Muraleedharan and B Janet, “A deep learning based HTTP slow DoS classification approach using flow data,” ICT Express, vol 7, no 2, pp 210-214, 2021 [5] Y Zhen, “A systematic literature review of methods and datasets for anomaly-based network intrusion detection,” Journal of Computers & Security, vol 116C, pp 1-10, 2022 [6] E Alhajjar, “Adversarial machine learning in Network Intrusion Detection Systems,” Expert Systems with Applications, vol 186, pp 1-10, 2021 [7] Y Gu, “Multiple-Features-Based Semisupervised Clustering DDoS Detection Method,” Mathematical Problems in Engineering, vol 2017, pp 1-10, 2017 [8] K Saravanan, “Detection mechanism for distributed denial of service (DDoS) attacks for anomaly detection system,” Journal of Theoretical and Applied information Technology, vol 60, pp 174-178, 2014 [9] Y Liao and R V Vemuri, “Use of K-Nearest Neighbor classifier for intrusion detection,” Computers & Security, vol 21, no 5, pp 439-448, 2002 [10] M Aamir and S M A Zaidi, “Clustering based semi-supervised machine learning for DDoS attack classification,” Journal of King Saud University - Computer and Information Sciences, vol 33, no 4, pp 436-446, 2021 [11] F A F Silveira, A M B Junior, G V Solar, and L F Silveira, “Smart Detection: An Online Approach for DoS/DDoS Attack,” Security and Communication Networks, vol 2019, pp 1-15, 2019 [12] J Long, "TR-IDS: Anomaly-Based Intrusion Detection through Text-Convolutional Neural Network and Random Forest," Security and Communication Networks, vol 2018, no 1, pp 1-9, 2018 [13] A Maraj, “Testing of network security systems through DoS attacks,” in Embedded Computing (MECO), 6th Mediterranean Conference on IEEE, pp 368-373, 2017 http://jst.tnu.edu.vn 143 Email: jst@tnu.edu.vn TNU Journal of Science and Technology 227(11): 137 - 144 [14] T T Tran and H H Le, “Study technique to limit bandwidth spending from DDoS attacks,” Dalat University Journal of Science, vol 7, pp 52-61, 2020 [15] H H Le, “Improve network security system in Vietnam using reverse method,” TNU Journal of Science and Technology, vol 225, no 09, pp 125-133, 2020 [16] H H Le, “Study to applying Blockchain technology for preventing of spam email,” TNU - Journal of Science and Technology, vol 208, no 15, pp 161-167, 2019 [17] H H Le, “Study the method of implementation of Border Gateway Protocol on IPv4 and IPv6 infrastructure by analysis and evaluate of some properties affecting protocol performance,” TNU Journal of Science and Technology, vol 226, no 11, pp 149-157, 2021 http://jst.tnu.edu.vn 144 Email: jst@tnu.edu.vn ... giúp phát sớm cơng đảm bảo độ xác việc phát bất thường Cơ sở nghiên cứu ứng dụng 2.1 Các thuật toán học máy Các thuật toán học máy ứng dụng việc phát công DDoS dùng số hệ thống phát xâm nhập. .. động mạng thiếu giám sát người Các phương pháp phát xâm nhập truyền thống chủ yếu chia thành phát bất thường phát dựa theo dấu hiệu Phát bất thường chủ yếu sử dụng kinh nghiệm chuyên môn phương pháp. .. đoán 2.3 Phát biểu toán ứng dụng Với sở lý thuyết thuật toán học máy kỹ thuật giảm chiều liệu, áp dụng vào hệ thống phát xâm nhập mạng dựa bất thường Hệ thống đề xuất [12]: - Sử dụng phương pháp