1. Trang chủ
  2. » Luận Văn - Báo Cáo

Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS

95 0 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Tác giả Ho Thi Ngoc Phuc
Người hướng dẫn TS. Le Kim Hung
Trường học Trường Đại học Công nghệ Thông tin
Chuyên ngành An toàn thông tin
Thể loại Khóa luận tốt nghiệp
Năm xuất bản 2023
Thành phố TP. Hồ Chí Minh
Định dạng
Số trang 95
Dung lượng 48,94 MB

Cấu trúc

  • 3.3.2.1. Dinh nghia 0 (30)
  • 3.3.2.2. Global expẽanatIOH......................- --- --- 5 sưng ng rư 21 3.3.2.3. Local expẽaniatIOH.......................-- - c2 11v SH HH ng 26 3.3.2.4. Ưu điểm ..............................-ccccc tt the 26 3.3.2.5. Nhược điểm ..............................--cc+ccttthhHhngH ng ưe 27 3.4. Thư viện TensorFlow ........................---- 2 E222 1122311129311 v ng ng ng rec 28 3.4.1. mg quan.........................................---©E-©E2EE+EEEEEEEEEEEEEEEEEEEEEEEEEerkrrree 28 3.4.2. Một số khỏi niệm cơ bản của Tensorfẽow.......................-----.----<-<<<sc<+< 28 3.4.3. Các tính năng chính...............................- --- 5 +5 + kh HH ng ngư 29 3.5. Deep l€arnIng............................. co n1 HH HT TT TH HH HH HH hờ 30 3.5.1. CNN..... G2. xấc.......... x...........À (0)
  • 3.5.1.1. Tôn/(Uaết...@e.x@.............Ì (0)
  • 3.5.1.2. Một số khái niệm cơ bản...........................--2-¿- 5¿©e+©x++xz+zxezxeerxesrxee 30 3.5.1.3. Cac lớp cơ ban cua mô hình mạng CNN............................. .-- ----- ô+. 31 (41)
  • 3.5.1.4. Câu trúc mang CNN weecceccscccssessesssessessessessessessessessessessesssessesseeseess 35 3.5.1.5. Lựa chọn tham số cho CNN ....cccccsssssssssesesssesesersvsesseseseeeeetseeecaseees 36 3.5.2. ð h (0)
  • 3.5.2.1. Mạng nơ-ron hồi quy (Recurrent Neural Network -RNN) (47)
  • 3.5.2.2. Hạn chế của RNN o..essesesssseecssseecesseeeessntesssneecssnsecssneeeesnneeesaneessnees 37 3.5.2.3. Mụ hỡnh LSẽTM.............................--.- Ăn HH HH nh nh 38 3.5.3. CNN-LSTM................................... Ăn HH TH HH TH ng nh như 43 E999 (48)
  • 3.6.1. Giới thiỆU.................................... nh HH TH HH Hà HH nh như 45 3.6.2. Cai na (56)

Nội dung

Thông qua khóa luận này, em mong muốn sẽ xây dựng được một hệ thống phát hiệnDDoS với độ chính xác cao, tốc độ xử lí nhanh cùng với khả năng giải thích được các dự đoán của mô hình dựa t

Dinh nghia 0

SHAP (Shapley Additive exPlanation) [22] [23] là một framework được đề xuất bởi Lundberg và Lee dé giải thích các dự đoán SHAP giải thích dự đoán của một đối tượng x bằng cách tính toán sự đóng góp của mỗi tính năng vào dự đoán đầu ra.

Chú ý: SHAP chỉ thé hiện sự đóng góp hoặc sự quan trọng của mỗi tính năng trên dự đoán của mô hình, chứ nó không đánh giá chất lượng dự đoán mô hình.

Phương pháp giải thích SHAP tính toán Shapley values từ lí thuyết trò chơi liên minh. Giá trị của thuộc tính (feature values) của một đối tượng dtr liệu đóng vai trò là người choi trong liên minh Shapley values cho chúng ta biết cách phân bổ công băng tiền (đầu ra) giữa các tính năng Một người chơi có thé là một giá trị tính năng (feature value) riêng lẻ Một người chơi cũng có thê là một nhóm các giá trị tính năng Ví dụ dé giải thích một hình ảnh, pixels có thé được nhóm thành superpixels và dự đoán được phân tán giữa chúng Một sự đổi mới mà SHAP đem đến cho bảng là giải thích Shapley value được biéu diễn dưới dạng một phương pháp phân bồ tính năng bồ sung, một mô hình tuyến tính kết nỗi LIME va Shapley values Cụ thé được biéu diễn băng công thức sau:

Trong đó g là mô hình giải thích, z’ € {0,1} là vector liên minh (coalition vector hoặc simplified features), M là kích thước lớn nhất của liên minh và ở ; €]§ là Shapley values của feature j Trong vector liên minh, mục nhập | có nghĩa là feature value tương ứng là “hiện điện” và 0 nghĩa là vắng (thiếu) Công thức còn lại đơn giản như sau: g(x") = 6o + > 4, j=1

Shapley values là giải pháp duy nhất thỏa mãn các thuộc tinh Efficiency, Symmetry,

Dummy và Additivity SHAP cũng thoả mãn cái này, vì nó tính toán giá tri Shapley values SHAP mô tả 3 thuộc tính đáng mong đợi sau:

Nếu như bạn định nghĩa gy) = Ex(ÿ)) và cho tat ca x’ j = 1, day là thuộc tính efficiency của Shapley Lúc nay, ta được: f(x) = do + >ằ bx") = Ex(f(X)) + ằ j=l j=l

Những feature nào bị thiếu hooặc không có sẵn sẽ có một giá trị Shapley bằng 0.

Cho f(z’) = ƒ(h„(Z)) và z'_; = 0 Với bat kì hai mô hình f và f’ thỏa mãn: i: @') 5E722>., 2É.)

Với tất cả đầu vào z’ € {0,1}” thi:

Thuộc tinh consistency nói rằng nêu một mô hình thay đổi dé mà đóng góp cận biên của feature value tăng hoặc giữ nguyên (bất chấp những tính năng khác), Shapley value cũng sẽ tăng hoặc giữ nguyên.

Cài đặt SHAP: pip install shap

Global explanation cung cấp những hiểu biết về hành vi mô hình và quá trình đưa ra quyết định thông qua toàn bộ dataset hoặc tập con quan trọng của nó Nó tập trung vào khám phá các mẫu, xu hướng và môi quan hệ chung mà mô hình đã học được.

Các kĩ thuật global explanation có thé bao gồm phân tích feature importance, feature dependence, feature interations Chúng cung cap một cái hiểu ở cấp cao về biểu hiện tông quát của mô hình và các tác nhân ảnh hưởng đên dự đoán. a) Feature Importance

21 Ý tưởng đằng sau SHAP feature importance rất đơn giản Các features với Shapley values tuyệt đối lớn thì sẽ là những tính năng quan trọng Vì chúng ta muốn độ quan trọng toàn cục, chúng ta tính trung bình giá trị tuyệt đối của Shapley values mỗi feature thông qua dữ liệu:

Tiếp theo, chúng ta sắp xếp các features theo độ giảm mức độ quan trong va biéu diễn chúng Hình sau thể hiện các SHAP feature importance đối với mô hình được huấn luyện bằng CNN-LSTM:

Init Fwd Win Byts Fwd Pkt Len Max Init Bwd Win Byts Fwd Pkt Len Mean

Down/Up Ratio Bwd Seg Size Avg

ACK Flag Cnt Fwd Pkt Len Std

RST Flag Cnt Bwd Pkt Len Max

Fwd IAT Std Flow IAT Mean Pkt Len Mean

Pkt Len Max Flow IAT Std den

Pkt Size Avg == Benign mmm DDOS attack-HOIC

Pkt Len Std #4 DDoS attacks-LOIC-HTTP

| mmm DDOS attack-LOIC-UDP

0.0 0.1 0.2 0.3 0.4 0.5 0.6 mean(|SHAP value|) (average impact on model output magnitude)

Hình 3.9: Ví dụ về SHAP feature importances

Feature importance hữu ích, nhưng không chứa thông tin nào khác ngoài những tính năng quan trọng Dé có nhiều thông tin hơn, chúng ta sẽ xem xét summary plot. b) SHAP Summary Plot

Summary plot kết hop feature importance với anh hưởng của feature Mỗi điểm trên summary plot là một Shapley value cho 1 feature va 1 instance Trên trục Y là features và trục X là Shapley value Màu sắc thé hiện giá trị của feature từ thấp đến cao Các điểm chồng lên nhau trên trục X, nên chúng ta hiểu được sự phân bố của Shapley values mỗi feature Các features được sắp xếp theo độ quan trọng của chúng.

Hormonal.Contraceptives years oa Doom cen ene oes ome

Age or a eee ncn oo s 08 6

Num.of.pregnancies b _ “ng mews 6

IUD years meee oe wm eee g

Smokes years ° ota oe we 8

STDs Time.since.last.diagnosis 4 ome

STDs Time.since.first.diagnosis 7 one se

SHAP value (impact on model output)

Hình 3.10: Ví dụ về SHAP summary_plot Trong summary plot, chúng ta thấy những dấu hiệu đầu tiên về mối quan hệ giữa những giá trị của một tính năng và tác động đối với dự đoán Những dé xem chính xác mối quan hệ, chúng ta phải xem SHAP dependence plots. c) SHAP Dependence Plot

SHAP feature dependence có thé là hình ảnh đơn giản nhất của giải thích toàn cục. Đầu tiên, chọn một feature Tiếp theo, với mỗi đối tượng, vẽ một điểm với feature value trên trục x và Shapley value tương ứng trên trục Y.

SHAP value for Hormonal.Contraceptives years

Hình 3.11: Vi du về SHAP dependencies plot

So sánh với 0 years, càng ít năm sé làm thấp dự đoán và với số năm cao sẽ làm tăng dự đoán.

SHAP dependence plots thay thé cho partial dependence plots (PDP) và accumulated local effects (ALE) Trong khi PDP va ALE plot thé hiện các ảnh hưởng trung bình, SHAP dependence cho thay phương sai trên trục Y Đặc biệt trong trường hợp tương tác, SHAP dependence plot sẽ phân tán nhiều hon trong trục Y Dependence plot có thé được cải thiện bang cách highlight những feature interactions. d) SHAP Interaction values

Tương tac ảnh hưởng (feature effect) được bổ sung kết hợp sau khi giải thích feature effects riêng lẻ Shapley tương tác index từ lí thuyết game có thể được định nghĩa:

Khi i # j và: õ,;(S) = £&(S U GID — AS UTD) — FS UTD + £&(S)

Một số khái niệm cơ bản 2-¿- 5¿©e+©x++xz+zxezxeerxesrxee 30 3.5.1.3 Cac lớp cơ ban cua mô hình mạng CNN - ô+ 31

- Độ trượt (Stride): Kí hiệu là S La sỐ pIxel mà cửa số sẽ đi chuyền sau mỗi lần thực hiện phép tính.

Hình 3.14: Minh hoa độ trượt

- B6 lọc (Filter): Kí hiệu là F, hay còn gọi 1a kernel, filter hoặc feature detect là một ma trận có kích thước nhỏ, thường có kích thước là 3x3 hoặc 5x5.

- Đầu vào (Input): Kí hiệu là I.

- Pau ra (Output): Kí hiệu là O.

- Filter map: là ma trận đầu ra của lớp tích chập trong mạng Nó đại diện cho sự kích hoạt của các nơ ron trong lớp này, chứa các mẫu hoặc tính năng cục bộ của dữ liệu đầu vào.

- Zero padding: tên gọi của quá trình thêm các số không vào các biên của đầu vào Giá tri này có thể được lựa chọn thủ công hoặc một cách tự động.

3.5.1.3 Các lớp cơ bản của mô hình mang CNN

Theo [26], kiến trúc truyền thống của một mạng CNN - Là một dạng mạng neural được câu thành bởi các lớp cơ bản sau:

Tấm ảnh đầu vào Tích chập Pooling Kết nối đầy đủ

Hình 3.15: Các lớp cơ bản của mạng CNN a) Lớp tích chập — Convolution Layer

- Tích chập là lớp đầu tiên để trích xuất các tinh năng từ hình ảnh đầu vào Tích chập duy trì mối quan hệ giữa các pixel bằng cách tìm hiểu các tính năng hình ảnh băng cách sử dụng các ô vuông nhỏ của dữ liệu dau vào Nó là một phép toán có hai dau vào như ma trận hình ảnh va một bộ lọc hoặc hạt nhân.

- _ Xem xét một ma trận 5x5 có giá tri pixel là 0 và 1 Ma trận bộ lọc 3x3 như hình bên dưới:

Hinh 3.16: Minh hoa ma tran hinh anh va ma tran b6 loc

- Convolution hay tích chập là nhân từng phan tử bên trong ma trận 3x3 với ma trận bên trái Kết quả quả được một ma trận gọi là Convolved feature hay một

Feature map như hình bên dưới.

Hinh 3.17: Minh hoa cach nhan tich chap

- Su két hop của một hình anh với các bộ lọc khác nhau có thể thực hiện các hoạt động khác nhau như phát hiện cạnh, làm mờ và làm sắc nét bằng cách áp dụng các bộ lọc khác nhau Ví dụ đưới đây cho thấy kết quả hình ảnh tích chập khác nhau ra sao khi áp dụng cho các kernel khác nhau.

Operation Filter oo 2 cro ũ 1 0 Edge detection 1 -#1 ũ I

Hình 3.18: Ảnh tích chập khi áp dụng các kernel khác nhau b) Lớp Pooling

Trong mô hình CNN có hai khía cạnh cần quan tâm là tính bắt biến (Location Invariance) và tính kết hợp (Compositionality) Với cùng một đối tượng, nếu đối tượng này được chiếu theo các góc độ khác nhau (translation, rotation, scaling) thì độ chính xác của thuật toán sẽ bị ảnh hưởng đáng kê.

Lớp pooling thường được sử dụng ngay sau lớp convolutional dé đơn giản hóa thông tin đầu ra, giảm bớt số lượng neuron Lớp Pooling sẽ cho bạn tính bất biến đổi với phép dịch chuyền (translation), phép quay (rotation) và phép co giãn (scaling).

Các pooling có hai loại thường được sử dụng: Max Pooling, Average Pooling.

Kiêu Max pooling Average pooling

Từng phép pooling chọn giá trị | Tung phép pooling tính trung

Chức năng | lớn nhất trong khu vực mà nó | bình các giá trị trong khu vực mà đang được áp dụng nó đang được áp dụng.

Bảo toàn các đặc trưng đã phát | Giảm kích thước feature map

Nhận xét | hiện Được sử dụng trong mạng LeNet. Được sử dụng thường xuyên

Minh họa c) Lớp kết nối đầy đủ (Fully Connected Layer)

Tang kết nối đầy đủ (FC) nhận đầu vào là các dữ liệu đã được làm phẳng, mà mỗi đầu vào đó được kết nối đến tat cả neuron Trong mô hình mạng CNNs, các tang kết nối day đủ thường được tìm thay ở cuối mạng và được dùng dé tối ưu hóa mục tiêu của mạng (như độ chính xác của lớp). ĐẦU Sta XY OSS QL f2 Use ch

Hình 3.19: Minh họa tang kết nối đầy đủ

Mang CNN là một tập hợp các lớp Convolution chồng lên nhau và sử dụng các hàm nonlinear activation như ReLU và tanh dé kích hoạt các trọng số trong các node.

Hình 3.20: Sơ đồ tông quan của CNN

Mỗi một lớp sau khi thông qua hàm kích hoạt sẽ tạo ra các thông tin trừu tượng hơn cho các lớp tiếp theo Trong mô hình CNN thì các layer liên kết được với nhau thông qua cơ chế tích chập.

Lớp tiếp theo là kết quả tích chập từ lớp trước đó, nhờ vậy mà ta có được các kết nối cục bộ Như vậy mỗi nơ-ron ở lớp kế tiếp sinh ra từ kết quả của filter áp lên một vùng ảnh cục bộ của nơ-ron trước đó.

Mỗi một lớp được sử dụng các filter khác nhau và có hàng trăm hàng nghìn filter như vậy và kết hợp kết quả của chúng lại Ngoài ra có một số lớp khác nhau pooling/subsampling layer dùng đề chắt lọc, cô đọng lại các thông tin hữu ích hơn

(loại bỏ các thông tin nhiễu).

Trong quá trình huấn luyện, (training) CNN tự động học các giá trị qua các lớp filter dựa vào cách thức mà người nghiên cứu muôn thực hiện.

3.5.1.5 Lựa chọn tham số cho CNN

- Convolution layer: Nếu lớp này có số lượng lớn hơn, chương trình chạy của ban sẽ càng được cải thiện va tiến bộ Sử dụng layer với sỐ lượng nhiều có thé giúp các tác động được giảm một cách đáng kê Trong da phan các trường hợp, chỉ cần khoảng 3 đến 5 lớp là bạn sẽ thu về kết quả như mong đợi.

- Filter size: Thông thường, các filter size sẽ có kích thước là 3x3 hoặc 5x5.

- Pooling size: Với các hình ảnh thông thường, bạn nên sử dụng loại kích thước

2x2 Nếu đầu vòa xuất hiện dạng hình ảnh lớn hơn thi bạn nên chuyền sang dùng loại 4x4.

- Train test: Càng thực hiện nhiều lần train test, bạn càng có nhiều khả năng thu được các parameter tốt nhất, giúp mô hình thông minh và hiệu quả hơn.

3.5.2.1 Mạng nơ-ron hồi quy (Recurrent Neural Network -RNN)

Day là mạng nơ-ron nhân tạo được thiệt kê cho việc xử lí các loại dữ liệu có dang chuỗi tuần tự.

Mỗi block RNN sẽ lấy thông tin từ các block trước và input hiện tại.

Hình 3.21: Minh họa mạng RNN

Các x ở đây đại diện cho dt liệu đầu vào lần lượt (được chia theo time step). x, đại diện cho time step thứ t, va y, là output của một step.

Trong mạng RNN, trạng thái ấn tại mỗi bước thời gian sẽ được tính toán dựa vào dữ liệu đầu vào tại bước thời gian tương ứng và các thông tin có được từ bước thời gian trước đó, tạo khả năng ghi nhớ các thông tin đã được tính toán ở những bước thời gian trước cho mạng.

Mạng nơ-ron hồi quy (Recurrent Neural Network -RNN)

Day là mạng nơ-ron nhân tạo được thiệt kê cho việc xử lí các loại dữ liệu có dang chuỗi tuần tự.

Mỗi block RNN sẽ lấy thông tin từ các block trước và input hiện tại.

Hình 3.21: Minh họa mạng RNN

Các x ở đây đại diện cho dt liệu đầu vào lần lượt (được chia theo time step). x, đại diện cho time step thứ t, va y, là output của một step.

Trong mạng RNN, trạng thái ấn tại mỗi bước thời gian sẽ được tính toán dựa vào dữ liệu đầu vào tại bước thời gian tương ứng và các thông tin có được từ bước thời gian trước đó, tạo khả năng ghi nhớ các thông tin đã được tính toán ở những bước thời gian trước cho mạng.

Trong những năm gần đây, RNN đã có những ứng dụng không thể tin nỗi trong nhiều lĩnh vực: nhận dạng giọng nói, mô hình hóa ngôn ngữ, dịch máy, mô tả ảnh, Andrej

Karpathy có liệt kê một số kết quả mà RNN mang lại tại [27].

Hạn chế của RNN o essesesssseecssseecesseeeessntesssneecssnsecssneeeesnneeesaneessnees 37 3.5.2.3 Mụ hỡnh LSẽTM .- Ăn HH HH nh nh 38 3.5.3 CNN-LSTM Ăn HH TH HH TH ng nh như 43 E999

Van đề về phụ thuộc xa (hay còn gọi Vanishing Gradient Problem): Mạng RNN bị ảnh hưởng bởi khả năng ghi nhớ ngắn hạn (short-term memory) Nếu dữ liệu đầu vào là một chuỗi trình tự dai, mạng RNN sẽ gặp khó khăn trong việc truyén tải thông tin từ thời gian đầu tiên đến sau đó Ta có thé xem xét ví dụ dé hiểu rõ hơn van dé này Ví dụ, ta có “kim tự ” thì ta sẽ biết ngay từ phía sau là “tháp” Trong tình huống này, khoảng cách tới thông tin cần dé dự đoán là nhỏ, nên RNN hoàn toàn có thê xử lí được. ® ® Ú) pp Pt WH BO WwW @

Hình 3.22: Minh hoa RNN khi khoảng tới thông tin nhỏ

Nhưng khi ta xem xét câu sau: “Tôi lớn lên ở Pháp nên tôi có thé giao tiếp tốt tiếng ” Ta xem các thông tin gần “nên tôi có thé giao tiếp tốt tiếng” chi cho phép ta biết được sau nó sẽ là tên của một ngôn ngữ nao đó, chúng ta không thê biệt được cụ thé

37 là ngôn ngữ gì Muốn biết được, ta cần phải có thêm ngữ cảnh ở xa “Tôi lớn lên ở Pháp”, chúng ta mới có thể suy luận được Như vậy, trong trường hợp này, khoảng cách thông tin đã khá xa rồi.

Thật không may là đối với khoảng cách càng lớn dần thì RNN cũng bắt đầu không thê nhớ và học được nữa. đ)

Hình 3.23: Minh họa RNN khi khoảng cách tới thông tin xa

Về mặt lý thuyết, rõ ràng là RNN có khả năng xử lý các phụ thuộc xa (long-term dependencies) Chúng ta có thé xem xét và cai đặt các tham số sao cho khéo là có thé giải quyết được van dé này Tuy nhiên, trong thực tế RNN có vẻ không thé học được các tham số đó Van dé này đã được khám phá sâu bởi [28] và [29], trong các bài báo của mình, họ đã tìm được những lí do cơ bản dé giải thích tại sao RNN không thé học được.

Tuy nhiên, LSTM có thê giải quyết được vấn đề này!

LSTM là một phiên bản mở rộng của mạng RNN, LSTM được giới thiệu bởi [30].

LSTM được thiết kế để giải quyết các bài toán về phụ thuộc xa (long-term dependencies) trong mạng RNN.

Việc ghi nhớ thông tin trong suốt thời gian dài là một đặc tính mặc định của LSTM, chứ ta không cần phải huấn luyện hay tinh chỉnh dé có thé nhớ được Có nghĩa là ngay hiện tại của nó đã có thé ghi nhớ được mà không cần bat kì tác động nào.

Mọi mạng hỏi quy đều có dạng là một chuỗi các mô dun lặp đi lặp lại của mạng nơ ron Với mạng RNN chuân, các mô đun này có câu trúc rât đơn giản, thường là một lớp tanh.

Hình 3.24: Cấu trúc mạng RNN chuẩn LSTM cũng có kiến trúc dạng chuỗi như vậy, nhưng các mô đun trong nó có cấu trúc khác với mạng RNN chuẩn Thay vì chỉ có một tầng mạng nơ ron, chúng có tới bốn tầng tương tác với nhau một cách rất đặc biệt.

Hình 3.25: Kiến trúc mạng LSTM a) Y tưởng cốt lõi

Chia khóa của LSTM là trạng thái tế bao (cell state) — chính đường chạy thông ngang phía trên của sơ đô hình vẽ bên dưới.

Hinh 3.26: Duong trang thai té bao (cell state) Trạng thái tế bao là một dang giống như băng chuyền Nó chạy xuyên suốt tat cả các mắt xích (các nút mạng) và chỉ tương tác tuyến tính đôi chút Vì vậy mà các thông tin có thể dễ dàng truyền đi thông suốt mà không sợ bị thay đồi.

LSTM có khả năng thêm vào hoặc bỏ đi các thông tin cần thiết cho trạng thái tế bào, chúng được điều chỉnh cần thận bởi các nhóm được gọi là công (gate).

Các công là nơi sàng lọc thông tin đi qua nó, chúng được kết hợp bởi một tầng mạng sigmoid và một phép nhân.

Hình 3.27: Minh họa công (gate) trong LSTM Tầng sigmoid sẽ cho đầu ra là một số trong khoảng [0, 1], mô tả có bao nhiêu thông tin có thể được thông qua Khi đầu ra là 0 thì có nghĩa là không cho thông tin nào đi qua cả, còn khi 1 thì có nghĩa là cho tất cả các thông tin đi qua nó.

Một LSTM gồm có ba cổng như vậy dé duy trì và điều hành trạng thái của tế bào.

Trước khi trình bày các phương trình mô tả cơ chế hoạt động bên trong của một tế bào LSTM, chúng ta sẽ thống nhất quy ước một số ký hiệu được sử dụng sau đây: e *x¿: là vector dau vào tại mỗi bước thời gian t.

40 se My, We, W;: là các ma trận trọng số trong mỗi tế bào LSTM. ® br, bc, bị, bạ là các vector bias (độ lệch). © fz, iz, o¿: lần lượt chứa các giá trị kích hoạt lần lượt cho các cổng: công quên, công vào và công ra tương ứng. © CnC: lần lượt là các vector đại diện cho trạng thái tế bào và một cập nhật cho trạng thái mới. eh: trạng thái ấn tại thời gian t. b) Cơ chế hoạt động

Bước đầu tiên của LSTM là quyết định xem thông tin nào cần phải bỏ đi từ trạng thái tế bào Quyết định này được đưa ra bởi tang sigmoid — gọi là “tầng công quên” (forget gate layer) Nó sẽ lay đầu vào là h,_; va x; rồi đưa ra kết qua là một số trong khoảng [0 1] cho mỗi số trong trạng thái tế bào OFT Pau ra 1a 1 thé hién rang nó giữ toàn bộ thông tin lai, còn 0 chỉ rằng toàn bộ thông tin sẽ bi bỏ di.

Hình 3.28: Minh họa cách hoạt động của công quên Bước tiếp theo là quyết định xem thông tin mới nào ta sẽ lưu vào trạng thái tế bào. Việc này gồm hai phần Đầu tiên là sử dụng một tầng sigmoid được gọi là “tầng công vào” (input gate layer) dé quyết định giá tri nào ta sẽ cập nhật Tiếp theo là một tang tanh tạo ra một vector cho giá trị mới C, nhằm thêm vào trạng thái Trong bước tiếp theo, ta sẽ kết hợp hai giá trị đó lại dé tạo ra một cập nhật cho trạng thái.

Cy = tanh(Wo-[hi-1,2] + bc)

Hình 3.29: Minh họa cách hoạt động của công đầu vào va công thức Trạng thái tế bào cũ C,_, sẽ được cập nhật thành trạng thái mới C,.

Ta sẽ nhận trang thái cũ với f, dé bỏ đi những thông tin ta quyết định quên lúc trước.

Sau đó cộng thêm i, * Ế, Trạng thái mới thu được này phụ thuộc vào việc ta quyết định cập nhật mỗi giá trị trạng thái ra sao.

Với bài toán mô hình ngôn ngữ, chính là việc ta bỏ đi thông tin về giới tính của nhân vat cũ, và thêm thông tin về giới tính của nhân vật mới như ta đã quyết định ở các bước trước đó.

Hình 3.30: LSTM khi cap nhật trang thái mới

Giới thiỆU nh HH TH HH Hà HH nh như 45 3.6.2 Cai na

CICFlowMeter (trước đây là ISCXFlowMeter) [31], là một bộ tạo va phân tích lưu lượng mạng.

Nó có thê được sử dụng dé tạo các luồng hai chiều, trong đó gói đầu tiên xác định các hướng chuyền tiếp (nguồn tới đích) và ngược (đích đến nguồn), do đó có hơn 80 tính năng lưu lượng truy cập mạng thống kê như Duration, Number of packets, Number of bytes, Length of packets, có thể được tính riêng theo hướng tiến và lùi.

Các chức năng bồ sung bao gồm, chọn các tính năng từ danh sách các tính năng hiện có, thêm các tính năng mới và kiểm soát thời hạn của flow timeout Đầu ra của ứng dung là tệp định dạng CSV có sáu cột được gan nhãn cho mỗi luồng (FlowID,

SourceIP, DestinationIP, SourcePort, DestinationPort và Protocol) với hơn 80 tính năng phân tích lưu lượng mạng.

Các luồng TCP thường được kết thúc khi kết thúc sự có kết nối (bằng gói FIN) trong khi các luồng UDP bị cham dứt bởi thời gian chờ luồng Giá trị thời gian chờ dòng có thé được gan tùy ý bởi sơ đồ riêng, ví dụ: 600 giây cho ca TCP va UDP.

- Gitclone github: https://github.com/datthinh1801/cicflowmeter.g1t

Code Pull requests Actions Security Insights main x P1 91 Go to file Code ~

HTTPS SSH _ GitHub CLI tests

gitignore https: //github com/datthinh1801/cicflowmeter.

LICENSE ° EH Open with GitHub Desktop

README.md Open with Visual Studio requirements.txt

:~/Documents$ git clone “https://github.com/datthin h1801/cicflowmeter.git"

Cloning into 'cicflowmeter’ remote: Enumerating objects: 61, done. remote: Counting objects: 100% (24/24), done.

Hinh 3.34: Git clone github vé may

- Vao thư mục cicflowmeter và tiên hành cai dat: cd cicflowmeter python3 setup.py install

- _ Các sử dung cua cicflowmeter

46 usage: cicflowmeter [-h] (-i INPUT_INTERFACE | -f INPUT FILE) [-c]

[-u URL_MODEL] output positional arguments: output output file name (in flow mode) or directory (in sequence mode) optional arguments:

-h, help show this help message and exit

-i INPUT INTERFACE, interface INPUT INTERFACE capture online data from INPUT INTERFACE -f INPUT FILE, fiLe INPUT FILE capture offline data from INPUT FILE -C, CSV, flow output flows as csv

-u URL_MODEL, url URL MODEL

URL endpoint for send to Machine Learning Model e.g http://0.0.0.0:80/prediction 1:

Hình 3.35: Cách sử dụng của cicflowmeter khi cài đặt thành công

3.6.3 Một số đặc điểm và tính năng của CicFlowmeter

Bảng 3.1: Bảng cách đặc điểm của CicFlowmeter

Tên tính năng Mô tả

Flow duration Thời gian của flow tinh bằng Microsecond total Fwd Packet Tông số Packet theo hướng thuận total Bwd packets Tổng số Paket theo hướng ngược lại total Length of Fwd l

Tông kích thước của Packet theo hướng thuận

Packet total Length of Bwd l

Tông kích thước của Packet theo hướng ngược lại Packet

Fwd Packet Length Min | Kích thước tối thiểu của Packet theo hướng thuận

Fwd Packet Length Max | Kích thước tối đa của Packet theo hướng thuận

Fwd Packet Length Mean | Kích thước trung bình của Packet theo hướng thuận

Kích thước độ lệch chuẩn của Packet theo hướng

Fwd Packet Length Std h thuan

Bwd Packet Length Min Kích thước tối thiêu của Packet theo hướng ngược lại Bwd Packet Length Max | Kích thước tôi đa của Packet theo hướng ngược lại

Kích thước trung bình của Packet theo hướng ngược Bwd Packet Length Mean |_| lai

Kích thước độ lệch chuẩn của Packet theo hướng

Bwd Packet Length Std ; ngược lại

Flow Byte/s Số lượng flow bytes mỗi giây

Flow Packets/s Số lượng flow packet mỗi giây

Thời gian trung bình giữa hai gói được gửi trong

Thời gian lệch chuân giữa hai gói được gửi tron

Flow IAT Std ` s ` ` mẽ ` luông

Flow LAT Max Thời gian tối đa giữa hai gói được gửi trong flow

Flow LAT Min Thời gian tối thiểu giữa hai gói được gửi trong flow

Thời gian tối thiêu giữa hai gói được gửi theo hướng

Thời gian tối đa giữa hai gói được gửi theo hướn

Fwd IAT Max we 5 thuận

Thời gian trung bình giữa hai gói được gửi theo

Fwd IAT Mean ° we hướng thuận

Thời gian lệch chuẩn giữa hai gói được gửi theo

Fwd IAT Std ` 6 6 wee hướng thuận

Tổng thời gian giữa hai gói được gửi theo hướn

Fwd IAT Total š sme 5 we thuan

Thời gian tối thiểu giữa hai gói được gửi theo hướng

Bwd IAT Min ngược lại

Thời gian tối đa giữa hai gói được gửi theo hướn

Bwd IAT Max 5 5 h mẽ 5 ngược lại

Thời gian trung bình giữa hai gói được gửi theo

Bwd IAT Mean h h we hướng ngược lại

Thời gian lệch chuẩn giữa hai gói được gửi theo

Bwd IAT Std hướng ngược lại

Tổng thời gian giữa hai gói được gửi theo hướn

Bwd IAT Total 8608 ws ngược lại

Số lần cờ PSH được đặt trong gói gửi đi theo hướng

Fwd PSH flag thuận (0 với UDP)

Số lần cờ PSH được đặt trong gói gửi đi theo hướng

Bwd PSH Flag : ngược lại (0 với UDP)

Số lần cờ URG được đặt trong gói gửi đi theo hướng

Fwd URG Flag ; thuan (0 voi UDP)

Số lần cờ URG được đặt trong gói gửi đi theo hướng

Bwd URG Flag ngược lại (0 với UDP)

Tổng số byte được sử dụng cho header theo hướng

Tổng sô byte được sử dụng cho header theo hướng

Bwd Header Length ; ngược lại

FWD Packets/s Số lượng gói hướng thuận mỗi giây

Bwd Packets/s Số lượng gói hướng ngược lại mỗi giây

Min Packet Length Độ dai tôi thiêu của một gói

Max Packet Length Độ dài toi da của một gói

Packet Length Mean Độ dài trung bình của một gói

Packet Length Std Độ dài lệch chuân của một gói

Packet Length Variance Độ dai phương sai của một gói

FIN Flag Count Số lượng gói với FIN

SYN Flag Count Số lượng gói với SYN

RST Flag Count Số lượng gói với RST

PSH Flag Count Số lượng gói với PSH

ACK Flag Count Số lượng gói với ACK

URG Flag Count Số lượng gói với URG

CWR Flag Count Số lượng gói với CWR

ECE Flag Count Số lượng gói với ECE down/Up Ratio Tỉ lệ tải xuống và tai lên

Average Packet Size Kích thước trung bình của gói

Kích thước trung bình quan sat được theo hướng thuận

AVG Bwd Segment Size Kích thước trung bình quan sát theo hướng ngược lại

Fwd Header Length Kích thước header của gói theo hướng thuận

Số lượng trung bình của bytes bulk rate (tốc độ hàng

Fwd Avg Bytes/Bulk loạt byte) theo hướng thuận

Số lượng trung bình của packets bulk rate theo

Fwd AVG Packet/Bulk hướng thuận

Fwd AVG Bulk Rate Số lượng trung bình của tỉ lệ bulk theo hướng thuận

Số lượng trung bình của byte bulk rate theo hướng

Bwd Avg Bytes/Bulk ; ngược lại

Số lượng trung bình của packet bulk rate theo hướng

Bwd AVG Packet/Bulk ngược lại

Số lượng trung bình của tỉ lệ bulk theo hướng ngược

Bwd AVG Bulk Rate lai

Số lượng gói trung bình trong một luồng phụ theo

Subflow Fwd Packets ms sims sp hướng thuận

Số lượng bytes trung bình trong một luông phụ theo

Subflow Fwd Bytes hướng thuận

Số lượng gói trung bình trong một luồng phụ theo

Subflow Bwd Packets — : = Spm hướng ngược lai

Số lượng byte trung bình trong một luồng phụ theo

Subflow Bwd Bytes 5 š SP hướng ngược lại

Tổng sô byte được gửi trong cửa số ban đầu theo hướng thuận

Tổng số byte được gửi trong cửa số ban dau theo hướng ngược lại

Dém các gói có it nhất 1 byte dữ liệu payload TCP theo hướng thuận min_seg_size_forward

Kích thước segment tối thiêu quan sát được theo hướng thuận

Thời gian tối thiểu một luồng được kích hoạt trước khi không hoạt động

Thời gian trung bình một luồng được kích hoạt trước khi không hoạt động

Thời gian tối đa một luông được kích hoạt trước khi

Active Max không hoạt động

Thời gian lệch chuẩn một luồng được kích hoạt trước

Active Std khi không hoạt động

Thời gian tối thiểu một luồng không hoạt động trước

Idle Min khi kích hoạt

Thời gian trung bình một flow không hoạt động

Idle Mean trước khi được kích hoạt

Thời gian tối đa một luông không hoạt động trước

Idle Max khi kích hoạt

Thời gian lệch chuẩn một luồng không hoạt động

Idle Std trước khi được hoạt động

3.7.1 Poisoning attack (Tan công đầu độc)

Các hệ thống AI thường được huấn luyện lại bằng dữ liệu mới thu thập được sau khi triển khai dé thích ứng với các thay đổi trong đầu vào Vi dụ, một hệ thống phát hiện xâm nhập (IDS) liên tục thu thập mẫu trên mạng và huấn luyện lại mô hình dé phat hiện các cuộc tân công mới Trong cuộc tân công dau độc, kẻ tan công có thê chèn các mẫu độc hại do mình tạo ra đê làm nhiễm ban dữ liệu huân luyện khiên cho hệ thống AI không hoạt động bình thường nữa như là không thể phát hiện các cuộc tấn công hoặc phân loại sai các loại tan công Mô hình học sâu yêu cau số lượng lớn mẫu cho quá trình huấn luyện đề có thé đạt được những dự đoán và kết quả chính xác, vì thế không thể đảm bảo hoàn toàn chất lượng của các mẫu.

Các loại tan công đầu độc là: tan công gradient tối ưu, tan công tối ưu toàn cầu và tan công tối ưu hóa thống kê Các cuộc tấn công này nhắm vào các bộ dữ liệu chăm sóc sức khỏe, cho vay và bất động sản để ảnh hưởng đến suy đoán của các mô hình AI trên các mẫu mới - ảnh hưởng đến liều lượng, quy mô cho vay/lãi suất, và dự đoán giá nhà đất Bằng cách thêm 8% dữ liệu huấn luyện độc hại, kẻ tan công có thé gây ra thay đổi tới 75% liều lượng thuốc được đề xuất cho một nửa số bệnh nhân.

Quá trình tan công đầu độc bao gồm các bước:

- Tiém dữ liệu: Kẻ tấn công đưa vào các đữ liệu độc hại vào trong tập dữ liệu huấn luyện Điều này có thể thực hiện bằng cách thao túng những mẫu thử huấn luyện hiện có hoặc thêm toàn bộ những mẫu thử mới đã thiết kế cho mô hình.

- Huan luyện mô hình: Dữ liệu độc hại được sử dung để huấn luyện mô hình học máy Mô hình sẽ học từ các dữ liệu trên và điều chỉnh các tham số bên trong của nó cho phù hợp.

- Ảnh hưởng mô hình: Sự hiện diện của những dữ liệu độc hại trong tập huấn luyện có thé ảnh hưởng đến hiệu suất và hành vi của mô hình Nó có thé dan đến những dự đoán sai lệch, giảm độ chính xác, hoặc thậm chí các lỗ hồng có thé được khai thác bởi kẻ tan công.

Các cuộc tấn công đầu độc có thể có nhiều mục tiêu và hậu quả khác nhau, phụ thuộc vào mục tiêu của kẻ tân công Một vài mục tiêu phô biên bao gôm:

- Phan loại sai: Mục đích của kẻ tan công sẽ khiến cho mô hình phân loại sai một đầu vào cụ thể thành lớp khác hoặc lớp mục tiêu mà kẻ tấn công muốn.

- Backdooring: Kẻ tan công chèn thêm các trigger hoặc backdoor pattern vào trong tập huấn luyện, sau đó kích hoạt dé thao túng hành vi của mô hình trong quá trình thực thi.

- Suy thoái mô hình: Kẻ tấn công có chủ ý làm giảm hiệu suất chung của mô hình bằng cách thêm vào những dữ liệu nhiễu hoặc dễ gây nhầm lẫn vào tập huân luyện.

3.7.2 Evasion attack (tan công né tránh)

Trong một cuộc tân công né tránh [32], kẻ tan công sẽ chỉnh sửa dữ liệu đâu vào khiến cho mô hình AI không thé nhận diện được đầu vào.

Cho một mô hình máy học (ví dụ như phân loại mã độc, phân loại hình ảnh) với hàm quyết định f: X > Y ánh xạ đầu vào x € X thành nhãn đúng y„„¿ € Y, ta gọi x’ x + 6 được gọi là adversarial sample với ổ được gọi là adversarial perturbation, nếu:

FQ) = Vy' # Vựaue, |Iửl| < e, trong đú || l| là distance metric (chỉ số khoảng cỏch), và € là perturbation tối da cho phép dẫn đến phân loại sai trong khi vẫn bảo toàn tính toàn vẹn ngữ nghĩa (semantic integrity) của x Semantic integrity là một miền hoặc nhiệm vụ cụ thé Ví dụ, trong phân loại hình ảnh, thị giác bình thường không thé nhận ra sự khác biệt giữa x’ va x Trong phân loại mã độc, x'va x cần thỏa mãn một vài chức năng tương đương nhất định Trong né tránh không mục tiêu (untargeted evasion), mục tiêu là khiến cho mô hình phân loại sai một mẫu thành một lớp khác

Ngày đăng: 02/10/2024, 04:48

HÌNH ẢNH LIÊN QUAN

Hình đã xây dựng. - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
nh đã xây dựng (Trang 15)
Hình 3.1: So đồ hệ thống NIDS - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.1 So đồ hệ thống NIDS (Trang 19)
Hình 3.2: Sơ đồ hệ thống HIDS - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.2 Sơ đồ hệ thống HIDS (Trang 20)
Hình 3.4: Mô hình tan công DDoS 3.2.3. Một số loại tan công DdoS pho biến - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.4 Mô hình tan công DDoS 3.2.3. Một số loại tan công DdoS pho biến (Trang 23)
Hình 3.5: Mô hình mang OSI - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.5 Mô hình mang OSI (Trang 23)
Hình 3.7: So đồ tan công SYN Flood - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.7 So đồ tan công SYN Flood (Trang 25)
Hình 3.8: Sơ đồ cuộc tan công DNS Amplification - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.8 Sơ đồ cuộc tan công DNS Amplification (Trang 26)
Hình 3.9: Ví dụ về SHAP feature importances - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.9 Ví dụ về SHAP feature importances (Trang 34)
Hình 3.10: Ví dụ về SHAP summary_plot Trong summary plot, chúng ta thấy những dấu hiệu đầu tiên về mối quan hệ giữa - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.10 Ví dụ về SHAP summary_plot Trong summary plot, chúng ta thấy những dấu hiệu đầu tiên về mối quan hệ giữa (Trang 35)
Hình 3.11: Vi du về SHAP dependencies plot - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.11 Vi du về SHAP dependencies plot (Trang 36)
Hình bên dưới: - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình b ên dưới: (Trang 42)
Hình 3.18: Ảnh tích chập khi áp dụng các kernel khác nhau - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.18 Ảnh tích chập khi áp dụng các kernel khác nhau (Trang 44)
Hình 3.19: Minh họa tang kết nối đầy đủ - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.19 Minh họa tang kết nối đầy đủ (Trang 45)
Hình 3.20: Sơ đồ tông quan của CNN - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.20 Sơ đồ tông quan của CNN (Trang 46)
Hình 3.21: Minh họa mạng RNN - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.21 Minh họa mạng RNN (Trang 47)
Hình 3.22: Minh hoa RNN khi khoảng tới thông tin nhỏ - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.22 Minh hoa RNN khi khoảng tới thông tin nhỏ (Trang 48)
Hình 3.24: Cấu trúc mạng RNN chuẩn LSTM cũng có kiến trúc dạng chuỗi như vậy, nhưng các mô đun trong nó có cấu trúc khác với mạng RNN chuẩn - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.24 Cấu trúc mạng RNN chuẩn LSTM cũng có kiến trúc dạng chuỗi như vậy, nhưng các mô đun trong nó có cấu trúc khác với mạng RNN chuẩn (Trang 50)
Hình 3.27: Minh họa công (gate) trong LSTM Tầng sigmoid sẽ cho đầu ra là một số trong khoảng [0, 1], mô tả có bao nhiêu thông tin có thể được thông qua - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.27 Minh họa công (gate) trong LSTM Tầng sigmoid sẽ cho đầu ra là một số trong khoảng [0, 1], mô tả có bao nhiêu thông tin có thể được thông qua (Trang 51)
Hình 3.31: Minh họa cách hoạt động của công ra - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.31 Minh họa cách hoạt động của công ra (Trang 54)
Hình 3.33: Github của cicflowmeter - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.33 Github của cicflowmeter (Trang 57)
Hình 3.35: Cách sử dụng của cicflowmeter khi cài đặt thành công - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 3.35 Cách sử dụng của cicflowmeter khi cài đặt thành công (Trang 58)
Bảng 3.1: Bảng cách đặc điểm của CicFlowmeter - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Bảng 3.1 Bảng cách đặc điểm của CicFlowmeter (Trang 58)
Hình 4.1: Sơ đồ tong quan của hệ thong đề xuất Trong phần này, tôi sẽ giải thích cách Explainable AI hoạt động - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 4.1 Sơ đồ tong quan của hệ thong đề xuất Trong phần này, tôi sẽ giải thích cách Explainable AI hoạt động (Trang 67)
Hình 4.4: Sơ đồ Red Team và Blue team mà thư viện ART hỗ trợ Hình trên mô tả tổng quát và tương đối day đủ các hoạt động của hai team đối lập nhau, Red Team và Blue Team, mà thư viện Adversarial Robustness Toolbox có thé - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 4.4 Sơ đồ Red Team và Blue team mà thư viện ART hỗ trợ Hình trên mô tả tổng quát và tương đối day đủ các hoạt động của hai team đối lập nhau, Red Team và Blue Team, mà thư viện Adversarial Robustness Toolbox có thé (Trang 75)
Bảng 5.2: 20 tính năng năng quan trọng nhất được tính bằng SelectKBest - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Bảng 5.2 20 tính năng năng quan trọng nhất được tính bằng SelectKBest (Trang 79)
Hình 5.1: Kết quả dat được của mô hình - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 5.1 Kết quả dat được của mô hình (Trang 80)
Bảng 5.3: Bảng kết quả của từng loại tấn công - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Bảng 5.3 Bảng kết quả của từng loại tấn công (Trang 80)
Hình 5.2: Các thuộc tính quan trong nhất ảnh hưởng lên quyết định của mô hình - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 5.2 Các thuộc tính quan trong nhất ảnh hưởng lên quyết định của mô hình (Trang 82)
Hình 5.3: Ảnh hưởng của 20 tính năng quan trọng đối với tan công DDoS Trong hình trên, mỗi điểm đại diện cho một giá trị SHAP của một tính năng đối với một đối tượng - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 5.3 Ảnh hưởng của 20 tính năng quan trọng đối với tan công DDoS Trong hình trên, mỗi điểm đại diện cho một giá trị SHAP của một tính năng đối với một đối tượng (Trang 83)
Hình 5.4: 20 tính năng ảnh hưởng đến quyết định là DDOS attack-HOIC Nhìn vào hình ta thấy được, giá trị tính năng của TotLen Bwd Pkts và Fwd Pkt Len Std càng cao, thì mức độ ảnh hưởng của hai tính năng này lên mô hình càng nhiều. - Khóa luận tốt nghiệp An toàn thông tin: Xây dựng mạng Nơ ron tích chập có khả năng lý giải ứng dụng trong phát hiện tấn công DOS
Hình 5.4 20 tính năng ảnh hưởng đến quyết định là DDOS attack-HOIC Nhìn vào hình ta thấy được, giá trị tính năng của TotLen Bwd Pkts và Fwd Pkt Len Std càng cao, thì mức độ ảnh hưởng của hai tính năng này lên mô hình càng nhiều (Trang 84)

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN