Bài báo Dò tìm bất thường thiết bị định tuyến bằng kĩ thuật phân lớp đề xuất cách thức mới để phát hiện dữ liệu bất thường thông qua các kĩ thuật phân lớp dữ liệu. Dữ liệu BGL được sử dụng lại của tổ chức Usenix được gán nhãn theo kinh nghiệm của nhiều chuyên gia. Quá trình thực hiện bao gồm giai đoạn lựa chọn đặc trưng, huấn luyện mô hình, và kiểm thử. Kết quả khả quan khi các dự đoán lỗi hệ thống của các bộ định tuyến được phát hiện nhanh chóng và chính xác, và quan trọng là đã xác thực các đặc trưng được đặt giả thiết là quan trọng qua quá trình quan sát.
TẠP CHÍ KHOA HỌC TRƯỜNG ĐẠI HỌC SƯ PHẠM TP HỒ CHÍ MINH HO CHI MINH CITY UNIVERSITY OF EDUCATION JOURNAL OF SCIENCE Vol 19, No 11 (2022): 1878-1887 Tập 19, Số 11 (2022): 1878-1887 ISSN: 2734-9918 Website: https://journal.hcmue.edu.vn https://doi.org/10.54607/hcmue.js.19.11.3625(2022) Bài báo nghiên cứu 1* DỊ TÌM BẤT THƯỜNG THIẾT BỊ ĐỊNH TUYẾN BẰNG KĨ THUẬT PHÂN LỚP Nguyễn Quốc Huy Trường Đại học Sài Gòn, Việt Nam Tác giả liên hệ: Nguyễn Quốc Huy – Email: nqhuy@sgu.edu.vn Ngày nhận bài: 11-10-2022; ngày nhận sửa: 18-11-2022; ngày duyệt đăng: 21-11-2022 TĨM TẮT Phát sớm tín hiệu bất thường định tuyến giúp dự đốn lỗi có phương án thay kịp thời Dữ liệu bất thường phân tích thơng qua liệu cập nhật hoạt động thiết bị Bài báo đề xuất cách thức để phát liệu bất thường thông qua kĩ thuật phân lớp liệu Dữ liệu BGL sử dụng lại tổ chức Usenix gán nhãn theo kinh nghiệm nhiều chuyên gia Quá trình thực bao gồm giai đoạn lựa chọn đặc trưng, huấn luyện mơ hình, kiểm thử Kết khả quan dự đoán lỗi hệ thống định tuyến phát nhanh chóng xác, quan trọng xác thực đặc trưng đặt giả thiết quan trọng qua trình quan sát Từ khóa: phát bất thường; kĩ thuật phân lớp; rút trích đặc trưng; phân loại dịng nhật kí; thiết bị định tuyến Giới thiệu Thiết bị định tuyến thiết bị quan trọng quan, tổ chức có hạ tầng lớn công nghệ thông tin Các cố liên quan đến thiết bị định tuyến cần dự đoán sớm có phương án phịng ngừa, thay Vì chi phí loại thiết bị khơng mắc mà cịn khó việc đặt mua Chính vậy, việc đảm bảo thiết bị hoạt động ổn định phát hiện, bảo vệ chúng có cố xảy vô quan trọng Nhưng thiết bị định tuyến tiếng khó hiểu khó chẩn đốn, khơng đồng chất thiết bị hộp đen Cách phổ biến để hiểu rõ hệ thống định tuyến phát hành vi bất thường kiểm tra tập tin nhật kí định tuyến Tuy nhiên, liệu nhật kí khó kiểm tra liệu vừa lớn, vừa khơng có cấu trúc, đến từ nhiều nhà cung cấp khác Bên cạnh đó, độ tương quan liệu việc dị tìm bất thường lại khơng cao (Yadav, 2020) Hiện nay, có nhiều giải pháp để theo dõi hoạt động thiết bị mạng, cách tiếp cận thông thường để hiểu nhật kí hệ thống tập trung vào tìm kiếm từ khóa (chẳng hạn Cite this article as: Nguyen Quoc Huy (2022) Anomaly detection of router devices by classification techniques Ho Chi Minh City University of Education Journal of Science, 19(11), 1878-1887 1878 Nguyễn Quốc Huy Tạp chí Khoa học Trường ĐHSP TPHCM lỗi ngoại lệ) nhật kí liên kết với hỏng hóc Một cách tiếp cận tốn thời gian dễ xảy lỗi Bài báo cung cấp phương pháp dự đoán hiệu thơng qua liệu từ dịng nhật kí thiết bị Các hoạt động bất thường thiết bị xuất phát từ lỗi định tuyến mạng, lỗi phần cứng thiết bị, công DDOS lỗi tiến trình xử lí bên thiết bị Các hoạt động bất thường thiết bị định tuyến thường gửi đến nhật kí hệ thống máy chủ dạng dịng nhật kí thiết bị cấu hình Các tập dịng kí bất thường thường kèm với nhiều dịng nhật kí bình thường khác nhằm mang lại nhiều thơng tin cho người quản trị Đối với hệ thống nhỏ, người quản trị mạng định nghĩa luật ràng buộc kiểm tra dịng nhật kí hệ thống để xác định bất thường dựa kiến thức họ hệ thống vận hành Các từ khóa sử dụng để việc tìm kiếm dịng nhật kí bất thường nhanh Như đề cập trên, kích thước vơ lớn liệu nhật kí tạo (lên đến hàng triệu dịng nhật kí) hàng trăm thiết bị khiến việc phân tích thủ cơng trở nên bất khả thi Do đó, phương pháp phân tích tin log tự động để xác định bất thường thiết bị định tuyến Cisco, Huawei, Dlink, Juniper dựa kĩ thuật phân lớp vô cần thiết Mặc dù nay, có nghiên cứu phân tích, phân loại dịng nhật kí nhiều thiết bị khác Phần thực nghiệm thực tập tin nhật kí bất thường BGL tổ chức Usenix (Usenix, 2022) cho thiết bị định tuyến với kĩ thuật phân lớp phổ biến Thực nghiệm làm rõ giả thiết đặc trưng quan trọng qua quan sát dự đốn thủ cơng: Các từ quan trọng Độ dài dịng nhật kí Thơng tin nhật kí hệ thống phân thành hai lớp riêng biệt: dịng nhật kí bất thường dịng nhật kí bình thường Đối tượng phương pháp nghiên cứu Do dịng nhật kí chứa nhiều thơng tin khơng cần thiết cho việc huấn luyện, nên thông tin cần loại bỏ Sau loại bỏ thông tin cần thiết, thơng tin cịn lại cần biểu diễn theo cấu trúc thích hợp để dễ dàng cho việc huấn luyện mơ hình 2.1 Tiền xử lí Thiết bị định tuyến thường xuyên tạo dịng nhật kí để ghi nhận lại trạng thái thiết bị thông tin thời gian hoạt động Mỗi dịng bao gồm nội dung xác định điều ghi nhận nhãn thời gian Những thiết bị cấu hình để gửi liệu nhật kí nhật kí hệ thống máy chủ, máy chủ ln ln nhận liệu nhật kí từ cổng cấu hình trước Mặc dù định dạng dịng nhật kí khơng có chiều dài cố định, chúng có đặc điểm chung Những thơng tin hữu ích sử dụng để phân loại dùng cho mục đích khác, liệu nhật kí thu thập lưu nhật kí hệ thống máy chủ dạng dịng kí tự (tham khảo Hình 1) 1879 Tập 19, Số 11 (2022): 1878-1887 Tạp chí Khoa học Trường ĐHSP TPHCM Hình Nội dung tâp tin nhật kí thiết bị định tuyến Như ta thấy ví dụ trên, dịng nhật kí bắt đầu nhãn thời gian, tiếp tên thiết bị định tuyến với định dạng đặc điểm chung khác: tập tin nhật viết tiếng Anh, chúng tạo thành số, chữ thường, chữ hoa kí tự đặc biệt khác Các liệu nhật kí thơ cần tiền xử lí trước sử dụng bước Các cơng việc tiền xử lí liệu nhật kí liệt kê cụ thể sau: • Loại bỏ nhãn thời gian: loại bỏ toàn nhãn thời gian trước tin (bao gồm ngày tháng thời gian) • Loại bỏ tên thiết bị: loại bỏ tên thiết bị tin • Loại bỏ chữ số, kí tự đặc biệt: loại bỏ kí tự đặc biệt nào, bao gồm dấu chấm câu số • Thay khoảng trắng liên tục khoảng trắng đơn: thay khoảng trắng liên tục khoảng trắng đơn • Kí tự chữ thường: thay chữ hoa chữ thường tương ứng Mặc dù, nhãn thời gian dịng nhật kí thơng tin quan trọng cho người quản trị mạng (thể thời gian mà kiện dịng nhật kí xảy ra), thơng tin loại bỏ khỏi dòng nhật kí để thuận tiện cho việc xử lí Sau phân loại vào lớp khác nhau, dòng nhật đầy đủ (bao gồm nhãn thời gian) gửi tới người giám sát hệ thống 2.2 Biểu diễn xử lí liệu Bài báo dựa mơ hình phát bất thường có kiến trúc dựa LogEvent2Vec (He & Zhu, 2017) có số điều chỉnh, bao gồm việc giảm đáng kể độ dài chuỗi tin xác định tầm ảnh hưởng thông số quy trình phát bất thường 1880 Nguyễn Quốc Huy Tạp chí Khoa học Trường ĐHSP TPHCM Sau phương pháp kiểm tra chéo sử dụng phù hợp với liệu khơng có độ cân cao Hình Mơ hình dị tìm bất thường từ tập tin nhật kí Q trình thực nghiệm năm kĩ thuật phân lớp chọn phân lớp phù hợp Quá trình phát bất thường trình bày báo thực ba bước: phân tích cú pháp nhật kí, trích xuất tính mẫu nhật kí phát trình tự bất thường (Hình 2) Xem tin nhật kí ngơn ngữ tự nhiên, mơ hình xử lí mẫu nhật kí dạng từ chuỗi mẫu nhật kí dạng câu Sau chia nhật kí mẫu thành chuỗi, mẫu chuỗi biểu diễn dạng vectơ (Zhao, 2018) Vectơ đưa làm đầu vào cho thuật toán phát bất thường, cố gắng dự đoán liệu điều bất thường có xảy hay khơng trình tự Mơ hình Bag-of-Words (BoW) độ dài dịng nhật kí sử dụng để tính tốn thơng số Từ điển sử dụng mơ hình BoW xây dựng dựa dịng nhật kí bình thường tiền xử lí trước BoW mơ hình đơn giản để tìm số lượng từ dịng nhật kí xuất từ điển Dựa vào BoW, dịng nhật kí biểu diễn vector thưa có chiều dài với chiều dài từ điển Mỗi phần tử biểu thị số lần xuất từ dịng nhật kí Các từ xuất dịng nhật kí khơng bao gồm từ điển khơng tính thực mơ hình BoW Dự liệu nhật kí trở thành ma trận Hình Term frequency – inverse document frequency (TF-IDF) thuật toán phổ biến khai thác liệu văn Phương pháp dùng để tính toán trọng số từ đoạn văn Trong báo này, frequency thể tần số xuất từ dịng nhật kí, inverse document frequency sử dụng để tính tốn mức độ quan trọng từ tập tin nhật kí (Sokolova & Lapalme, 2009) Một vài cải tiến thuật toán TF-IDF đề cập (Guo & Yang, 2016) Công thức tính giá trị TF-IDF: 1881 Tập 19, Số 11 (2022): 1878-1887 Tạp chí Khoa học Trường ĐHSP TPHCM tf ij ∗ log ω= ij n df j (1) Với 𝜔𝜔ij trọng số TF-IDF từ j dòng nhật kí i, n kích thước tập tin nhật kí, tfij tần suất xuất từ j dịng nhật kí i, dfj số lượng dịng nhật kí chứa từ j Tổng giá trị TF-IDF từ dịng nhật kí thành phần thứ ba vector đặc trưng Công thức dùng để tính tổng giá trị TF-IDF dịng nhật kí: h Wi = ∑ ωij j =1 (2) Với Wi tổng giá trị TF-IDF dịng nhật kí i, h số lượng từ dịng nhật kí 2.3 Các kĩ thuật dị tìm bất thường Bài tốn phát dịng nhật kí bất thường xem tốn phân lớp nhị phân Với việc xử lí biểu diễn liệu phù hợp, liệu đầu vào áp dụng kĩ thuật phân lớp nhị phân Bài báo thực nghiệm kĩ thuật phân lớp tiêu biểu như: định (DT), rừng ngẫu nhiên (RF), AdaBoost (AB), mạng nơron (MLP), máy vectơ hỗ trợ (SVM) Dữ liệu đầu vào phân loại nhị phân có thành phần: vectơ biểu diễn thơng tin dịng nhật kí thơng tin gán nhãn việc liệu dịng nhật kí có bất thường hay khơng Kết thảo luận 3.1 Tập liệu Bài báo sử dụng liệu Blue Gene / L (BGL) thực Usenix Nhật kí từ máy chủ này thu thập qua 215 ngày Tập tin nhật kí có 4,747,963 dịng nhật kí, dung lượng 708 MB Đây loại liệu cân cao có 348.460 dịng nhật kí bất thường, chiếm 7,3% tổng số tập liệu Việc gán nhãn liệu BGL thông qua phương pháp lọc nhật kí bán tự động kết hợp với thao tác thủ công người quản trị hệ thống Các bất thường phổ biến nhất, chiếm 44% tổng số trường hợp (152.734 dịng nhật kí), cảnh báo KERNDTLB mô tả việc ngắt lỗi TLB liệu 48% tất bất thường (168.011 dòng nhật kí) loại KERNSTOR, APPSEV, KERNMNTF ERNTERM Cịn lại 8% dịng nhật kí bất thường mơ tả 36 loại cảnh báo xảy 3.2 Môi trường thực nghiệm Trình phân tích cú pháp Drain (IBM Drain3, 2022) cấu hình với số tham số ảnh hưởng đến q trình phân tích cú pháp nhật kí Hai tham số quan trọng độ sâu tối đa phân tích cú pháp tham số độ tương tự, ngưỡng tương tự nhật kí so với độ tương tự mẫu phải lớn nhật kí gán cho nhóm mẫu cụ thể Trong thực nghiệm, độ sâu tối đa ngưỡng tương tự 0,3, theo đề xuất từ Tham số xác định số lượng nút tối đa phân tích cú pháp 100 Đây thơng số mặc định ổn định làm thực nghiệm 1882 Nguyễn Quốc Huy Tạp chí Khoa học Trường ĐHSP TPHCM Bảng Ảnh hưởng độ dài dịng nhật kí STT Độ dài dịng nhật kí 10 20 50 100 Số dòng nhật kí Tập huấn luyện (70%) Tập kiểm thử (30%) 332,357 142,439 166,178 71,220 66,579 28,533 33,178 14,219 Độ dài dịng nhật kí là thơng tin quan trọng Trong q trình tìm hiểu dịng nhật kí cho thấy dịng có độ dài đặc biệt có khả cao bất thường dịng có độ dài khác Gọi Si độ dài dịng nhật kí sử dụng khoảng trắng dịng nhật kí i sau tiền xử lí để tính tốn Si Với m độ dài từ điển, hàng ma trận thể dịng nhật kí liệu nhật kí Số lượng từ dịng nhật kí khác với từ điển độ dài dịng nhật kí tính theo cơng thức : m L= Si − ∑ xij i j =1 (3) Trong giai đoạn huấn luyện, liệu huấn luyện phân tích theo Drain, tạo tập thơng tin nhật kí vectơ hóa Tuy nhiên, liệu thử khơng nên làm kết bị sai lệch Thay vào đó, mục tiêu Drain phân tích cú pháp nhật kí đến gán chúng vào nhóm mẫu phù hợp độ đo lớn ngưỡng mơ hình rút trích đặc trưng biểu diễn mẫu nhật kí dạng vectơ hóa tập liệu huấn luyện Q trình phân tích cú pháp tập liệu huấn luyện tạo từ điển chứa trung bình 1557 mẫu nhật kí Trong giai đoạn kiểm thử mơ hình, trình phân tích cú pháp xác định có 265 nhật kí khơng khớp với mẫu Các mẫu nhật kí cịn lại tập liệu kiểm thử gán vào nhóm phù hợp có tập liệu huấn luyện Sau q trình phân tích cú pháp nhật kí, mẫu nhật kí chia thành chuỗi nhật kí khơng chồng chéo với bốn độ dài 10, 20, 50 100 (xem Bảng 1) Việc chia liệu thành hai tập huấn luyện kiểm thử theo trình kiểm tra chéo K-fold Ngồi Drain, mơi trường thực nghiệm cịn có sử dụng thư viện ngơn ngữ lập trình Python Re (xử lí biểu thức quy), NumPy, Pandas, fastText (thực mơ hình rút trích đặc trưng), Scikit-Learn (dùng kĩ thuật phân lớp) 3.3 Phương pháp đánh giá Dùng phương pháp ma trận lỗi (confusion matrix), trước tiên thống thuật ngữ sau: • True positive (TP) — số dịng nhật kí lỗi dự đốn xác • False positive (FP) —số dịng nhật kí bình thường phân loại bất thường (dự đốn sai) • True negative (TN) —số dịng nhật kí bình thường dự đốn xác 1883 Tập 19, Số 11 (2022): 1878-1887 Tạp chí Khoa học Trường ĐHSP TPHCM • False negative (FN) —số dịng nhật kí lỗi phân loại bình thường Hiệu suất mơ hình thử nghiệm phân tích theo độ đo: Anomalies detected Anomalies reported Anomalies detected Recall = All anomalies × Precision × Recall F _ measure = Precision + Recall Precision = (4) • Precision, cho biết tỉ lệ dự đốn thực tất dòng lỗi theo mơ hình dự đốn • Recall, cho biết tỉ lệ dự đoán thực tất dịng lỗi theo thực tế • F-measure, trung bình điều hòa độ đo Precision Recall 3.4 Kết thực nghiệm Quá trình thực nghiệm chạy thử nhiều lần năm kĩ thuật phân lớp DT, RF, AB, MLP, SVM (Ertam & Kaya, 2018) (với hàm hạt nhận RBF) bốn độ dài vectơ đặc trưng biến đổi từ dòng nhật kí Hình (trên đặc trưng có độ dài 100), Hình (trên đặc trưng có độ dài 50), Hình (trên đặc trưng có độ dài 20), Hình (trên đặc trưng có độ dài 10) cung cấp tóm tắt số đánh giá (Precision, Recall, F-measure) kết thử nghiệm tập liệu BGL Mỗi điểm số liệu đánh giá trung bình 10 lần thực nghiệm giá trị thu trình trình đánh giá chéo Rõ ràng, phân loại MLP RF đạt hiệu suất tổng thể tốt nhất, với F-measure 98% Các phân lớp khác đạt điểm thấp chút, có thước đo đánh giá tốt Tất chúng đạt điểm F1 95,5% Tuy nhiên, thuật toán RF thuật tốn xác (99,84% kết xác số tổng dịng dự đốn có lỗi) Hình Các mơ hình với vectơ đặc trưng có độ dài 100 1884 Nguyễn Quốc Huy Tạp chí Khoa học Trường ĐHSP TPHCM Hình Các mơ hình với vectơ đặc trưng có độ dài 50 Hình Các mơ hình với vectơ đặc trưng có độ dài 20 Hình Các mơ hình với vectơ đặc trưng có độ dài 10 1885 Tập 19, Số 11 (2022): 1878-1887 Tạp chí Khoa học Trường ĐHSP TPHCM Hình mô tả đặc trưng độ dài vectơ biểu diễn dịng nhật kí Thơng qua độ đo Precision, Recall, F-measure đăng trưng độ dài 10, 20, 50, 100 Nói chung, độ dài vectơ biểu diễn dịng nhật kí có ảnh hưởng đến độ đo, dài không tốt ngắn không cho kết tối ưu Qua yếu tố này, kĩ thuật phân lớp nhị phân cần xem xét đến độ dài Có đặc trưng lỗi nhiều quan trọng đặc trưng độ dài vectơ biểu diễn dịng nhật kí Các tính cá nhân chịu trách nhiệm dị thường quan trọng chuỗi dài hơn, kết biến đổi vectơ chưa thật xác thơng qua cách tính trung bình Cũng thật may mắn năm kĩ thuật áp dụng thực nghiệm, độ dài vectơ biểu diễn dịng nhật kí có giá trị lân cận 20 cho kết tối ưu Một số kĩ thuật khác cho kết khơng hội tự mong muốn Hình Ảnh hưởng đặc trưng chiều dài Kết luận Mặc dù có nghiên cứu phân tích, phân loại dịng nhật kí nhiều thiết bị khác Phần thực nghiệm tập tin nhật kí bất thường BGL tổ chức Usenix cho thiết bị định tuyến với kĩ thuật phân lớp phổ biến cho thấy giả thiết đặc trưng quan trọng qua quan sát dự đốn thủ cơng với thực nghiệm: Các từ quan trọng Độ dài dòng nhật kí Kết nghiên cứu phương pháp để nhà quản trị mạng tạo ứng dụng để thao tác tự động liệu nhật kí lớn phức tạp Để kết thuyết phục hơn, công việc tương lai chủ đề kết hợp với nhà quản trị hệ thống mạng để nhận phản hồi thực tế nhằm so sánh với độ xác mơ hình Ngồi ra, cơng việc huấn luyện mơ hình học liệu khơng có bất thường nhằm huấn luyện đặc trưng hệ thống bình thường ổn định Qua dễ dàng xác định tín hiệu bất thường nằm ngồi đặc trưng mơ hình phát cảnh báo nhẹ Tuyên bố quyền lợi: Tác giả xác nhận hồn tồn khơng có xung đột quyền lợi 1886 Nguyễn Quốc Huy Tạp chí Khoa học Trường ĐHSP TPHCM TÀI LIỆU THAM KHẢO Ertam, F., & Kaya, M (2018) Classification of Firewall Log Files with Multiclass Support Vector Machine In: A, Varol, M Karabatak and C Varol (editors) International Symposium on Digital Forensic and Security, 22-25, Antalya, Turkey IEEE Piscataway, New Jersey, 1-4 Guo, A., & Yang, T (2016) Research and improvement of feature words weight based on TFIDF algorithm In: Information Technology, Networking, Electronic and Automation Control Conference, 20-22 May 2016, Chongqing, China IEEE 415-419 He, P., Zhu, J., Zheng, Z.,& Lyu, M R (2017) Drain: An Online Log Parsing Approach with Fixed Depth Tree In Proceedings of the IEEE International Conference on Web Services (ICWS), Honolulu, HI, USA, 25-30 June 2017 IBM Drain3 Retrieved from https://github.com/IBM/Drain3 (accessed on 10 January 2022) Sokolova, M., & Lapalm, G (2009) A systematic analysis of performance measures for classification tasks Information Processing and Management, 45, 427-437 Usenix The HPC4 Data Retrieved from https://www.usenix.org/cfdr-data#hpc4 (accessed on 20 February 2022) Yadav, R B., Kumar, P S., & Dhavale, S V (2020) A Survey on Log Anomaly Detection using Deep Learning In Proceedings of the 8th International Conference on Reliability, Infocom Technologies and Optimization (Trends and Future Directions) (ICRITO) Noida, India, 4-5 June 2020, 1215-1220 Ying, S., Wang, B., Wang, L., Li, Q., Zhao, Y., Shang, J., … Geng, J (2021) An Improved KNNBased Efficient Log Anomaly Detection Method with Automatically Labeled Samples ACM Trans Knowl Discov, 15(3), 1-22 Zhao, X., Wang, H Xiao, & Chi, X (2018) Improvement of the Log Pattern Extracting Algorithm Using Text Similarity In: International Parallel and Distributed Processing Symposium Workshops, 2125, May 2018, Vancouver, BC, Canada IEEE Los Alamitos, California, 507-514 ANOMALY DETECTION OF ROUTER DEVICES BY CLASSIFICATION TECHNIQUES Nguyen Quoc Huy Saigon University, Vietnam Corresponding author: Nguyen Quoc Huy – Email: nqhuy@sgu.edu.vn Received: October 11, 2022; Revised: November 18, 2022; Accepted: November 21, 2022 ABSTRACT Detecting early the anomaly signal of routers helps to predict errors and to prepare suitable solutions Anomaly signals are analysed from the data log of devices In this study, we have proposed an approach to detect anomaly signals from log files of routers using classification techniques The log files BGL from the Usenix organization are collected and labelled based on the experience of many experts Feature extraction is performed before training and testing the model The results are efficient in almost realistic environments and especially confirm the assumption of the important features via our observation process Keywords: anomaly detection; classification techniques; feature extraction; log file classification; router devices 1887 ... thiết bị Các hoạt động bất thường thiết bị xuất phát từ lỗi định tuyến mạng, lỗi phần cứng thiết bị, cơng DDOS lỗi tiến trình xử lí bên thiết bị Các hoạt động bất thường thiết bị định tuyến thường. .. thiết bị khiến việc phân tích thủ cơng trở nên bất khả thi Do đó, phương pháp phân tích tin log tự động để xác định bất thường thiết bị định tuyến Cisco, Huawei, Dlink, Juniper dựa kĩ thuật phân. .. kí 2.3 Các kĩ thuật dị tìm bất thường Bài tốn phát dịng nhật kí bất thường xem toán phân lớp nhị phân Với việc xử lí biểu diễn liệu phù hợp, liệu đầu vào áp dụng kĩ thuật phân lớp nhị phân Bài