74 Trang 8 iii DANH MỤC VIẾT TẮT TỪ VIẾT TẮT TIẾNG ANH TIẾNG VIỆT AI Artificial Intelligence Trí tuệ nhân tạo NIDS Network intrusion detection system Hệ thống phát hiện xâm nhập mạng CP
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Phát xâm nhập mạng bất thường dựa phân tích lưu lượng mạng sử dụng kỹ thuật machine learning VŨ MẠNH TUÂN tuanvu71193@gmail.com Ngành Công nghệ Thông tin Giảng viên hướng dẫn: PGS.TS Nguyễn Linh Giang Viện: Công nghệ thông tin Truyền thông HÀ NỘI - 2020 Tai ngay!!! Ban co the xoa dong chu nay!!! 17061132203611000000 TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI LUẬN VĂN THẠC SĨ Phát xâm nhập mạng bất thường dựa phân tích lưu lượng mạng sử dụng kỹ thuật machine learning VŨ MẠNH TUÂN tuanvu71193@gmail.com Ngành Công nghệ Thông tin Giảng viên hướng dẫn: PGS.TS Nguyễn Linh Giang Chữ ký GVHD Viện: Công nghệ thông tin Truyền thơng HÀ NỘI - 2020 CỘNG HỊA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lậ p – Tự – Hạnh phúc BẢN XÁC NHẬN CHỈNH SỬA LUẬN VĂN THẠC SĨ Họ tên tác giả luận văn : VŨ MẠNH TUÂN Đề tài luận văn: Phát xâm nhập mạ ng bấ t thường d ựa phân tích lưu lượng mạ ng sử d ụ ng kỹ thuật Machine Learning Chuyên ngành: Mạng máy tính An tồn thơng tin Mã số SV: CA190190 Tác giả , Người hướng dẫ n khoa họ c Hộ i đ ồng ch ấ m luậ n văn xác nhận tác giả sửa chữa, bổ sung luận văn theo biên họp Hộ i đ ng ngày 30/10/2020 với nội dung sau: − − − − Chỉ nh sửa , bỏ ví dụ không liên quan đến chủ đề an ninh mạng Tính tốn lại giá trị confusion matrix Phân tích kết thực nghiệm thu Đánh giá phương án sử dụng Ngày tháng năm 2020 Giáo viên hướng dẫn Tác giả luận văn CHỦ TỊCH HỘI ĐỒNG LỜI CAM ĐOAN Tôi xin cam đoan r ằ ng lu ậ n văn tốt nghiệp với đề tài “Phát xâm nhập mạ ng bấ t thườ ng dựa phân tích lưu lượ ng mạ ng sử dụng k ỹ thuật Machine Learning ” cơng trình nghiên cứu tôi, s ự hướng d ẫ n PGS.TS Nguyễn Linh Giang Tơi trích dẫn đ ầ y đủ tài liệu, cơng trình nghiên cứu liên quan nước quốc tế phầ n tài liệu tham khảo Ngoại trừ tài liệu tham khảo dẫ n ch ứng, luận văn hồn tồn cơng trình nghiên cứu riêng tơi Tơi xin hồn tồn chịu trách nhiệm chịu hình thức kỷ lu ậ t theo quy định cho lời cam đoan Hà Nội, ngày… tháng … năm 2020 Học Viên Vũ Mạnh Tuân LỜI CẢM ƠN Đầu tiên xin dành lời m ơn đến PGS.TS Nguyễn Linh Giang hướng dẫ n , đưa lời khuyên hỗ trợ cho q trình hồn thành luận văn Tiếp theo xin chân thành cảm ơn thầy cô Viện Công nghệ thông tin truyền thông, trường Đạ i h ọc Bách Khoa Hà Nội giả ng dạy, truyền đạt kiến thức quý giá suố t q trình tơi học tậ p, nghiên cứu trường Tôi xin cảm ơn người thân gia đình tồn thể bạn bè, người đồ ng nghiệp tạ i Cả ng hàng không quốc tế Nội Bài giúp đỡ, động viên vấp phải khó khăn, bế tắc Cuối tơi xin cảm ơn đề tài KC.01.15/16-20 hỗ trợ trình thực luận văn Mặc dù cố gắng luận văn chắ c ch ắ n khơng tránh kh ỏi thiếu sót, tơi rấ t mong nhận ý kiến đánh giá phê bình từ phía Thầy Cơ để luận văn hồn thiện Tơi xin chân thành cảm ơn! MỤC LỤC DANH MỤC HÌNH VẼ iv DANH MỤC BẢNG BIỂU vi DANH MỤC VIẾT TẮT iii ĐẶT VẤN ĐỀ Lý lựa chọn đề tài : Tính cấp thiết đề tài : Mục tiêu phạm vi nghiên cứu : Cấu trúc luận văn : CHƯƠNG : TỔNG QUAN VỀ CÁC MƠ HÌNH HỌC MÁY ÁP DỤNG TRONG HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG BẤT THƯỜNG 1.1 Kiến trúc hệ thống Network Intrustion Detection System : 1.2 Tìm hiểu mơ hình Machine Learning : 1.2.1 Hồi quy tuyến tính : 1.2.1.1 Mơ hình hồi quy tuyến tính : 1.2.1.2 Hàm mát : 1.2.1.3 Gradient descent : 1.2.2 Mơ hình Multilayer Neural network : 1.2.2.1 Layer : 1.2.2.2 Node neural : 10 1.2.2.3 Các hàm Activation Function : 11 1.2.2.4 Cấu trúc mơ hình Multilayer Neural network : 12 1.2.3 Recurrent neural network biến thể : 15 1.2.3.1 Recurrent neural network : 15 1.2.3.2 Các mơ hình kiến trúc RNN thường gặp : 17 1.2.4 Support vector machine (SVM) : 18 1.2.4.1 Tìm hiểu SVM : 18 1.2.4.2 Phát biểu toán ứng dụng SVM : 19 1.2.4.3.Soft-margin support vector machine: 20 1.3 Khảo sát đánh giá số nghiên cứu khoa học để làm rõ mục tiêu luận văn : 23 1.3.1 So sánh hiệu LSTM GRU : 24 1.3.2 Đề xuất mơ hình mạng neuron kết hợp với SVM : 25 CHƯƠNG : KHẢO SÁT MƠ HÌNH LSTM VÀ GRU TÌM HIỂU CHI TIẾT VỀ TẬP DỮ LIỆU MẠNG KYOTO DATASET 28 i 2.1 Tập liệu thực nghiệm Kyoto Dataset : 28 2.1.1 Giới thiệu Kyoto Dataset : 28 2.1.2 So sánh Kyoto Dataset với liệu mạng : 29 2.1.3 Các đặc trưng liệu Kyoto dataset : 31 2.2 Long Short Term Memory : 33 2.2.1 Giới thiệu mơ hình mạng LSTM : 33 2.2.2 Tìm hiểu cấu trúc mạng LSTM : 36 2.3 Gated Recurrent Unit : 38 CHƯƠNG : MƠ HÌNH ĐỀ XUẤT LSTM KẾT HỢP VỚI SVM ÁP DỤNG CHO BÀI TOÁN PHÁT HIỆN XÂM NHẬP MẠNG 40 3.1 Giới thiệu ngơn ngữ lập trình Python thư viện Tensorflow : 40 3.1.1 Ngôn ngữ lập trình Python: 40 3.1.2 Thư viện Tensorflow : 40 3.2 Mô hình mạng neural LSTM kết hợp với SVM : 42 CHƯƠNG : PHÂN TÍCH , XỬ LÝ TẬP DỮ LIỆU KYOTO DATASET 2015 THỰC NGHIỆM VÀ ĐÁNH GIÁ MƠ HÌNH ĐỀ XUẤT 49 4.1 Trích rút tập liệu Kyoto Dataset 2015 : 49 4.2 Phân tích liệu : 51 4.3 Chuẩn hóa xử lý liệu : 55 4.3.1 Xử lý liệu thô : 57 4.3.2 Chuẩn hóa liệu : 57 4.3.2.1 Label-Encoding : 58 4.3.2.2 Kỹ thuật Standalization : 59 4.3.2.3 Data Binning : 61 4.3.3 Chuyển đổi định dạng file từ CSV sang NPY : 62 4.3.4 One-hot Encoding : 62 4.4 Thực nghiệm đánh giá mơ hình đề xuất : 63 4.4.1 Các phương pháp đánh giá : 63 4.4.2 Tìm hiểu thơng số hyper-parameter sử dụng mơ hình : 64 4.4.3 Cài đặt môi trường thực nghiệm : 66 4.4.4.Thực nghiệm tập liệu Kyoto Dataset 2013 : 67 4.4.5.Thực nghiệm tập liệu Kyoto Dataset 2015 : 70 4.5 Kết thực nghiệm : 74 KÊT LUẬN 76 ii DANH MỤC VIẾT TẮT TỪ VIẾT TẮT TIẾNG ANH TIẾNG VIỆT AI Artificial Intelligence Trí tuệ nhân tạo NIDS Hệ thống phát xâm nhập mạng CPU Network intrusion detection system Central Processing Unit GPU Graphics Processing Unit Bộ vi xử lý đồ họa RAM Random Access Memory Bộ nhớ lưu trữ tạm thời ANN Artificial Neural Network Mạng thần kinh nhân tạo RNN Recurrent Neural Network Mạng nơ ron hồi quy LSTM Long Short Term Memory Mạng nơ ron nhớ ngắn dài hạn GRU Gated Recurrent Units Mạng nơ ron hồi tiếp có cổng CNN Convolutional Neural Network Mạng nơ-ron tích chập SVM Support Vector Machine Một thuật tốn phân lớp TPR True positive rate TNR True nagative rate Tỉ lệ phân loại gói tin gán nhãn ‘độc hại’ Tỉ lệ phân loại gói tin gán nhãn “bình thường” FPR False positive rate Tỉ lệ phát nhầm gói tin độc hại thực tế bình thường FNR False negative rate Tỉ lệ loại trừ nhầm gói tin bình thường thực tế độc hại Bộ chip xử lý máy tính iii DANH MỤC HÌNH VẼ Hình 1.1 : Mơ hình áp dụng Machine Learning triển khai hệ thống NIDS Hình 1.3 : Mơ hình mạng neurral network có L layer Hình 1.4 : Mơ tả cách thức hoạt động neural 10 Hình 1.5 : Mơ hình Multilayer Neural network 12 Hình 1.6 : Tiến trình tính tốn mạng neural network [7] 13 Hình 1.7 : Tiến trình lan truyền tiến 14 Hình 1.8 : Tiến trình lan truyền ngược 15 Hình 1.9 : Mơ hình biểu diễn mạng Recurrent Neural Network [8] 16 Hình 1.10 : Mơ tả kiến trúc Recurrent Neural Network [10] 17 Hình 1.11 : Mô tả lớp liệu xanh đỏ , trường hợp có vơ số đường thẳng phân tách lớp liệu 18 Hình 1.12 : Ví dụ minh họa lớp liệu xanh đỏ sử dụng mặt phân chia có phương trình : + = 19 Hình 1.13 : SVM với tốn liệu có nhiễu nhỏ 20 Hình 1.14 : SVM với tốn liệu gần tách biệt 21 Hình 1.15 : Trường hợp áp dụng Soft-margin support vector machine 21 Hình 1.16 :So sánh RNN-IDS với thuật tốn khác phân loại đa lớp 24 Hình 1.17 :So sánh RNN-IDS với thuật tốn khác phân loại nhị phân 24 Hình 1.18 : Bảng so sánh GRU-SVM GRU-Softmax 26 Hình 2.1: Bảng so sánh đặc trưng tập liệu mạng 30 Hình 2.2 : Điểm benmark tập liệu KDD99 Kyoto Dataset 30 Hình 2.3 : Mơ hình mạng Recurrent Neural Network dùng hàm hidden layer 34 Hình 2.4 : Mơ hình mạng Long Short Term Memory với cổng chức 34 Hình 2.5 : Chú thích tốn tử mạng Long Short Term Memory 34 Hình 2.6 : Mơ tả cấu trúc nhớ dài hạn cell state LSTM 35 Hình 2.7 : Mơ tả cấu trúc lớp cổng quên LSTM 36 Hình 2.8 : Mô tả cấu trúc lớp cổng đầu vào LSTM 37 Hình 2.9 : Mơ tả bước cập nhập lại trạng thái cell state LSTM 37 Hình 2.10 : Mơ tả cấu trúc lớp cổng đầu vào LSTM 38 Hình 2.11 : Mơ hình mạng Gated Recurrent Unit với cổng chức [22] 38 iv Hình 3.1 : Mơ đồ thị xây dựng thư viện Tensorflow 41 Hình 3.3 : Kiến trúc mơ hình đề xuất LSTM-SVM 44 Hình 3.4 :Biểu diễn graph TensorBoard mơ lại bước tính tốn logic mơ hình LSTM-SVM 46 Hình 4.1 : Tập liệu Kyoto Dataset 2015 sau tải 49 Hình 4.2 : Các bước trích rút tập liệu thực nghiệm 50 Hình 4.3 : Biểu đồ thống kê số lượng nhãn gói tin trường liệu 54 Hình 4.4: Giản đồ mô bước 56 xử lý liệu mơ hình đề xuất LSTM-SVM 56 Hình 4.5: Biểu đồ matrix confusion LSTM-SVM tập huấn luyện Kyoto Dataset 2013 69 Hình 4.6 :Biểu đồ matrix confusion LSTM-SVM tập kiểm thử Kyoto Dataset 2013 70 Hình 4.7: Biểu đồ phân bố nhãn gói tin tập huấn luyện Kyoto Dataset 2015 71 Hình 4.8:Biểu đồ phân bố nhãn gói tin tập kiểm thử Kyoto Dataset 2015 72 Hình 4.9: Biểu đồ matrix confusion LSTM-SVM tập huấn luyện Kyoto Dataset 2015 73 Hình 4.10:Biểu đồ matrix confusion LSTM-SVM tập kiểm thử Kyoto Dataset 2015 74 v