BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÀ RỊA - VŨNG TÀU TRẦN VĂN A KỸ THUẬT MÁY HỌC TRONG VIỆC HỖ TRỢ TĂNG CƯỜNG HIỆU NĂNG CỦA CÁC HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG BÁO CÁO MÔN HỌC 1 Bà Rịa - Vũng Tàu, năm 2019 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÀ RỊA -VŨNG TÀU KỸ THUẬT MÁY HỌC TRONG VIỆC HỖ TRỢ TĂNG CƯỜNG HIỆU NĂNG CỦA CÁC HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG Ngành: Công nghệ thông tin Mã số ngành: 7480201 BÁO CÁO MÔN HỌC 2 Giảng viên hướng dẫn: ThS Hoàng Ngọc Thanh Bà Rịa - Vũng Tàu, năm 2019 3 MỤC LỤC Danh mục ký hiệu, chữ viết tắt Danh mục bảng, biểu Danh mục hình vẽ, đồ thị Tóm tắt 01 I Giới thiệu 01 II Cách tiếp cận báo cáo .02 III Máy học 02 IV Tập liệu 06 V Kết luận 33 Tài liệu tham khảo .35 DANH MỤC CÁC KÝ HIỆU, CHỮ VIẾT TẮT ABC: Artificial Bee Colony AFS: Artificial Fish Swarm ANN: Artificial Neural Network AUC: Area Under the Curve Bagging: Bootstrap Aggregation BFS: Best-First Search BN: Bayesian Network CART: Classification and Regression Trees CFS: Correlation-based Feature Selection CSE: Consistency Subset Evaluator CV: Cross-Validation Decorate: Diverse Ensemble Creation by Oppositional Relabeling of Artificial Training Examples DoS: Denial of Service DT: Decision Tree ELM: Extreme Learning Machines FN: False Negative FNR: False Negative Rate FP: False Positive FPR: False Positive Rate FSE: Filtered Subset Evaluation GA: Genetic Algorithm GC: Global Competence GR: Gain Ratio GP: Genetic Programming GPEN: Genetic Programming-based Ensembling ICA: Independent Component Analysis IDS: Intrusion Detection System 6 DANH MỤC CÁC BẢNG, BIỂU Bảng Danh sách nghiên cứu gần IDS từ 2015 đến 2018 .05 Bảng So sánh phương pháp cho kết hợp đồng 22 Bảng So sánh phương pháp cho kết hợp không đồng .24 Bảng Kết hợp không đồng dựa biểu .29 Bảng Các cách tiếp cận phân loại NSL-KDD phổ biến 32 Bảng So sánh độ xác tổng thể .33 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình Danh mục thuật toán ML nghiên cứu .04 Hình Lĩnh vực tập trung nghiên cứu IDS từ 2015-2018 06 Hình Cách tiếp cận sử dụng nghiên cứu IDS từ 2015-2018 .06 Hình Tập liệu sử dụng nghiên cứu IDS từ 2015-2018 07 Hình Các số sử dụng đánh giá ROC - AUC 10 TÓM TẮT Hệ thống phát xâm nhập (IDS) công cụ quan trọng sử dụng bảo mật mạng để giám sát xác định công xâm nhập Nghiên cứu nhằm phân tích nghiên cứu gần IDS cách sử dụng phương pháp Machine Learning (ML); với quan tâm cụ thể liệu, thuật toán ML số liệu Lựa chọn tập liệu quan trọng để đảm bảo xây dựng mơ hình phù hợp với việc sử dụng IDS Ngoài ra, cấu trúc liệu ảnh hưởng đến hiệu thuật tốn ML Do đó, lựa chọn thuật tốn ML phụ thuộc vào cấu trúc tập liệu chọn Sau đó, số liệu cung cấp đánh giá định lượng thuật toán ML tập liệu cụ thể Nghiên cứu cho thấy kỹ thuật tính tốn mềm ý đáng kể, nhiều người áp dụng Ngoài ra, nhiều nhà nghiên cứu tập trung vào việc phân loại IDS, có lợi việc xác định công xâm nhập biết Tuy nhiên, đặt vấn đề việc phát xâm nhập bất thường, bao gồm công xâm nhập sửa đổi Để lấy liệu, nhiều nhà nghiên cứu sử dụng KDDCup99 biến thể NSL-KDD nó, chúng gần 20 tuổi Xu hướng liên tục dẫn đến tiến trình tĩnh IDS, công xâm nhập tiếp tục phát triển với công nghệ hành vi người dùng Cuối cùng, tình dẫn đến việc sử dụng IDS lỗi thời phần công cụ bảo mật mạng Ba số liệu sử dụng nhiều để đánh giá hiệu suất cho IDS độ xác, Tỷ lệ dương thực (TPR) Tỷ lệ dương tính giả (FPR) Điều mong đợi, số liệu cung cấp dẫn quan trọng phù hợp với chức IDS I GIỚI THIỆU Hệ thống phát xâm nhập (IDS) công cụ quan trọng sử dụng bảo mật mạng để giám sát xác định cơng xâm nhập Có ba loại IDS; IDS mạng, IDS máy chủ IDS ứng dụng IDS mạng giám sát gói mạng để phát công xâm nhập Trong IDS máy chủ giám sát máy chủ (máy chủ máy tính) Cuối cùng, IDS ứng dụng giám sát số ứng dụng rủi ro cao biết Để xác định liệu công xâm nhập xảy hay chưa, IDS phụ thuộc vào vài cách tiếp cận Đầu tiên cách tiếp cận dựa chữ ký, chữ ký cơng xâm nhập biết lưu trữ sở liệu IDS để khớp với liệu hệ thống Khi IDS tìm thấy trùng khớp, nhận xâm nhập Cách tiếp cận cung cấp phát nhanh chóng xác Tuy nhiên, nhược điểm việc phải cập nhật định kỳ sở liệu chữ ký Ngồi ra, hệ thống bị xâm phạm trước cơng xâm nhập cập nhật 10 Cách tiếp cận thứ hai dựa bất thường dựa hành vi, IDS xác định công hệ thống hoạt động không theo quy tắc Cách tiếp cận phát công biết chưa biết Tuy nhiên, nhược điểm phương pháp độ xác thấp với tốc độ báo động sai cao Cuối cùng, phương pháp dựa lai sử dụng hai cách tiếp cận dựa chữ ký dựa bất thường Cách tiếp cận sử dụng cách tiếp cận dựa chữ ký để phát công biết cách tiếp cận dựa bất thường để phát công chưa biết Kết hợp hai phương pháp đảm bảo phát hiệu hơn, làm tăng chi phí tính tốn II CÁCH TIẾP CẬN CỦA BÁO CÁO Để đảm bảo xem xét nghiên cứu quan tâm, đặt trước số tiêu chí quan trọng: Thứ nhất, báo phải xuất vào năm 2015 sau Điều để đảm bảo nhận nghiên cứu gần nhất, để nghiên cứu chúng tơi có liên quan khơng bị lỗi thời Thứ hai, báo phải công bố tạp chí khoa học hội nghị Điều để đảm bảo tính hợp lệ nội dung, xem xét phê duyệt Thứ ba, viết phải sử dụng ML cho IDS Đây mục tiêu chúng tơi cho nghiên cứu này, phải làm việc phạm vi nghiên cứu chúng tơi III MÁY HỌC Thuật tốn ML phân loại thành 11 loại Điều thể Hình Loại Bayes sử dụng định lý xác suất Bayes, xác định xác suất để dự báo kết cụ thể cho ví dụ Thuật tốn phổ biến thể loại Naïve Bayes Cây định có cấu trúc giống nút gốc, yếu tố dự đốn tốt Sau tiến triển thơng qua nhánh nó đạt đến nút rời [1] Đây kết định Bảng Danh sách nghiên cứu gần IDS từ 2015 đến 2018 Tài Tập liệu liệu [2] TRAbID (Probe, DoS) [3] CIDDS-001 [4] ISCX 2012 Phương pháp Decision Tree (DT) Naïve Bayes (NB) k-Nearest Neighbour (kNN) k-means Recursive Feature Addition (RFA) với SVM 10 Độ xác Accuracy (%) Probe; DT (98.42), NB (97.29) DoS; DT (99.90), NB (99.66) kNN (99.0), k-means (99.7) 92.90 11 [5] 10% KDD KDD DoS NSL-KDD UNSW-NB15 [6] Real network traffic [7] Real network traffic [8] KDDCup99 [9] NSL-KDD Constrained-optimization-based Extreme Learning Machines (cELM) Principal Component Analysis (PCA) Ant Colony Optimization (ACO) Fuzzy Logic Multi-level hybrid Support Vector Machine (SVM) ELM SVM-Radial Basis Function (RBF) 2%KDD: Binary (99.90) Multi-class (99.86) UNSW-NB15: Bin (85.87) 96.00 96.50 95.80 98.10 Hình Lĩnh vực tập trung nghiên cứu IDS từ 2015-2018 Hình Cách tiếp cận sử dụng nghiên cứu IDS từ 2015-2018 11 12 IV TẬP DỮ LIỆU Tập liệu thành phần việc huấn luyện phân lớp để phát mối đe dọa bất thường Tuy nhiên, phân tích từ nghiên cứu cho thấy nhiều nhà nghiên cứu dựa vào tập liệu lỗi thời, KDDCup99 NSL-KDD (một biến thể tập liệu KDDCup99), bị nhiều người trích lỗi thời khơng liên quan sở hạ tầng mạng Tập liệu tạo vào năm 1999, gần 20 năm tuổi Sự phát triển nhanh chóng thay đổi lĩnh vực công nghệ thông tin như: điện tốn đám mây, phương tiện truyền thơng xã hội internet vạn vật thay đổi cục diện sở hạ tầng mạng Những thay đổi có động lực việc thay đổi mối đe dọa cơng Do đó, nhiều kết nghiên cứu chứng minh độ xác cao xem cường điệu, tập liệu sử dụng không đại diện cho mối đe dọa sở hạ tầng V KẾT LUẬN Mặc dù có nhiều cách tiếp cận để khai thác kiến thức, hệ thống đa chuyên gia lĩnh vực nghiên cứu tích cực Cụ thể, vấn đề phân loại mẫu thường giải thông qua việc thực kỹ thuật dựa kết hợp Tổng quan nghiên cứu liên quan cho thấy nhiều phương pháp sử dụng thành công lĩnh vực nghiên cứu khác Nhìn chung, có nhiều cách tiếp cận để triển khai nhiều phân loại Ví dụ, có phương pháp chủ yếu làm giảm phương sai (variance), chẳng hạn Bagging [95] Boosting [48] phương pháp làm giảm độ lệch (bias), chẳng hạn tổng quát hóa xếp chồng [8] Ngồi ra, có phương thức, chẳng hạn xếp tầng [96], tạo thuộc tính dựa ước tính xác suất lớp ủy quyền [97], phân loại xử lý phần tập huấn luyện phần lại ủy quyền cho phân loại khác kết hợp Mặc dù có nhiều kỹ thuật kết hợp phong phú, hệ thống dựa biểu cách kết hợp phân loại phổ biến 12 13 TÀI LIỆU THAM KHẢO J Brownlee, “A Tour of Machine Learning Algorithms”, https://machinelearningmastery.com/a-tour-of-machine-learning-algorithms/, 2013 E K Viegas, A O Santin L S Oliveira, “Toward a reliable anomaly-based intrusion detection in real-world environments”, Comput Networks, vol 127, pp 200216, 2017 A Verma and V Ranga, “Statistical analysis of CIDDS-001 dataset for Network Intrusion Detection Systems using Distance-based Machine Learning”, Procedia Comput Sci., vol 125, pp 709-716, 2018 T Hamed, R Dara S C Kremer, “Network intrusion detection system based on recursive feature addition and bigram technique”, Comput Secur., vol 73, pp 137155, 2018 C R Wang, R F Xu, S J Lee C H Lee, “Network intrusion detection using equality constrained-optimization-based extreme learning machines”, KnowledgeBased Syst., vol 147, pp 68-80, 2018 13 ... TRƯỜNG ĐẠI HỌC BÀ RỊA -VŨNG TÀU KỸ THUẬT MÁY HỌC TRONG VIỆC HỖ TRỢ TĂNG CƯỜNG HIỆU NĂNG CỦA CÁC HỆ THỐNG PHÁT HIỆN XÂM NHẬP MẠNG Ngành: Công nghệ thông tin Mã số ngành: 7480201 BÁO CÁO MÔN HỌC 2 Giảng... THIỆU Hệ thống phát xâm nhập (IDS) công cụ quan trọng sử dụng bảo mật mạng để giám sát xác định cơng xâm nhập Có ba loại IDS; IDS mạng, IDS máy chủ IDS ứng dụng IDS mạng giám sát gói mạng để phát. .. vài cách tiếp cận Đầu tiên cách tiếp cận dựa chữ ký, chữ ký cơng xâm nhập biết lưu trữ sở liệu IDS để khớp với liệu hệ thống Khi IDS tìm thấy trùng khớp, nhận xâm nhập Cách tiếp cận cung cấp phát