Bài giảng sử dụng kỹ thuật lập trình gen (GP-Genetic Programming) để cải thiện chất lượng phát hiện tấn công mạng. Trong thí nghiệm, chúng tôi sử dụng GP chuẩn và kỹ thuật văn phạm nối cây (TAG3P), tiến hành trên bộ dữ liệu nhân tạo do nhóm tác giả [25] đã đề xuất. Trên cơ sở các kết quả thí nghiệm và so sánh với một số kỹ thuật đã được đề xuất trước, chúng tôi nhận thấy ứng dụng GP và TAG3P trong phát hiện tấn công đạt hiệu quả tốt hơn các phương pháp trước đó.
Chuyên san Công nghệ thông tin Truyền thông - Số 10 (06-2017) PHƯƠNG PHÁP PHÁT HIỆN XÂM NHẬP SỬ DỤNG VĂN PHẠM NỐI CÂY TRONG LẬP TRÌNH GEN Vũ Văn Cảnh1 , Hoàng Tuấn Hảo2 , Nguyễn Văn Quân1 Tóm tắt Những năm gần vấn đề an ninh mạng trở nên cấp thiết tác động lớn tới hiệu hoạt động mạng máy tính đại Phát ngăn chặn công mạng máy tính chủ điểm nghiên cứu nhiều nhà nghiên cứu giới Một biện pháp bảo đảm an toàn cho hệ thống mạng Hệ thống phát xâm nhập trái phép Tuy nhiên, hệ thống phát trái phép tỏ hiệu dạng công, xâm nhập mới, biến thể dạng công biết Hướng tiếp cận học máy ứng dụng phát xâm nhập khắc phục hạn chế ngày thể tính ưu việt phát mẫu cơng với nhiều phương pháp khác Trong báo này, chúng tơi sử dụng kỹ thuật lập trình gen (GP-Genetic Programming) để cải thiện chất lượng phát cơng mạng Trong thí nghiệm, chúng tơi sử dụng GP chuẩn kỹ thuật văn phạm nối (TAG3P), tiến hành liệu nhân tạo nhóm tác giả [25] đề xuất Trên sở kết thí nghiệm so sánh với số kỹ thuật đề xuất trước, nhận thấy ứng dụng GP TAG3P phát công đạt hiệu tốt phương pháp trước In recent years, network security issues have become urgent and significant impact on the performance of modern computer networks Network intrusion detection/prevention system has been the topic of many studies researchers worldwide to improve the security of a network However, the intrusion detection systems are not high effective for new attacks, or variants of known attacks Machine learning approaches applied in intrusion detection have overcome restrictions on and increasingly shown the superiority in detecting new attacks with many different methods In this paper, we use genetic programming technique (GP) and Tree Adjoining Grammar Guided Genetic Programming (TAG3P) on artificial datasets from [25] Based on experimental results and comparisons, we found that GP and TAG3P are more effective in detecting attacks than previous measures Từ khóa GP, genetic programming, Classification, IDS, Attack detection, TAG3P, phát công 26 Học viện Kỹ thuật quân Tạp chí Khoa học Kỹ thuật - Học viện KTQS - Số 184 (06-2017) Giới thiệu Ngày mạng máy tính trở thành phần sống đại ngày đóng vai trị quan trọng hầu hết lĩnh vực sống từ kinh tế, trị, quân sự, lĩnh vực giải trí đến giáo dục đào tạo Cùng với phát triển mạng máy tính, nguy an tồn, an ninh thông tin ngày cao Ngày có nhiều cơng vào khơng gian mạng để truy cập trái pháp vào thông tin hệ thống lạm dụng tài nguyên mạng Việc lạm dụng dẫn tới hậu khiến cho tài nguyên mạng trở lên không đáng tin cậy không sử dụng được; số cơng dẫn đến phá hủy hệ thống, đánh cắp thông tin hay làm ngừng hoạt động hệ thống Nhìn chung, công thường gây lên tổn thương đến thuộc tính bảo mật thơng tin hệ thống Vì vậy, vấn đề đảm bảo an ninh, an tồn thơng tin sử dụng môi trường mạng cần phải đặc biệt quan tâm Phát công, xâm nhập mạng vấn đề lớn nhiều nhà nghiên cứu quan tâm Trong thực tế, có nhiều nguy xuất phát từ cơng mạng, hệ thống khác thiết kế xây dựng để ngăn cản công này, đặc biệt hệ thống phát xâm nhập (Intrusion Detection System - IDS) giúp mạng chống lại công từ bên Mục tiêu IDS cung cấp tường bảo vệ, giúp hệ thống mạng có khả chống lại cơng từ bên ngồi Việc phát công dựa giả thiết hành vi kẻ công khác với người sử dụng hợp lệ [11] Năm 1985 Denning đề xuất phương pháp phát xâm nhập để đếm vụ cơng lạm dụng mạng máy tính Phát xâm nhập triển khai hệ thống phát xâm nhập ngày có nhiều hệ thống phát xâm nhập thương mại hiệu Hình mơ tả vị trí điển hình IDS hệ thống mạng Hình Vị trí IDS giám sát mạng Hệ thống phát công công cụ giám sát kiện diễn hệ thống mạng máy tính phân tích chúng thành dấu hiệu mối đe dọa an ninh [9] Một cơng gây từ bên bên tổ chức; “tấn công từ bên trong” công khởi tạo thực thể bên vành đai an 27 Chuyên san Công nghệ thông tin Truyền thông - Số 10 (06-2017) ninh (tay trong), nghĩa thực thể phép truy cập vào tài nguyên hệ thống sử dụng theo cách không chấp nhận người cấp quyền; “tấn cơng từ bên ngồi” khởi tạo từ bên vành đai an ninh người dùng trái phép không hợp pháp hệ thống Trên mạng internet, tiềm tàng kẻ công từ bên ngồi với phạm vi từ kẻ cơng nghiệp dư đến tổ chức tội phạm, khủng bố Quốc tế, phủ thù địch Có hai nhóm hệ thống phát công: phát lạm dụng phát bất thường Hệ phát lạm dụng thực dị tìm cơng qua việc so khớp với mẫu biết, hệ thống phát bất thường nhận dạng bất thường từ hành vi mạng bình thường Hệ thống phát lai tổ hợp hệ thống phát lạm dụng bất thường Hệ thống phát công dựa bất thường cố gắng xác định độ lệch so với mẫu sử dụng thông thường thiết lập trước để đánh dấu cơng Vì vậy, hệ thống dựa bất thường cần huấn luyện dựa hành vi thông thường Các kỹ thuật học máy khác sử dụng rộng rãi để phục vụ cho mục đích [5] Khi đó, với gói tin bắt được, sau qua cơng đoạn tiền xử lý, chọn lựa thuộc tính phân lớp phân lớp huấn luyện Việc huấn luyện phân lớp thực qua pha huấn luyện kiểm tra với tập liệu huấn luyện lưu trữ Đã có nhiều kỹ thuật phát công học giả đề xuất phương pháp học máy, mạng nơ-ron Trong viết này, trình bày nghiên cứu kỹ thuật lập trình gen phân tích thuộc tính kiểu cơng mạng để từ đề xuất ứng dụng lập trình gen nhằm nâng cao khả phát cơng mạng Phần cịn lại báo trình bày sau: phần II Kiến thức tảng giới thiệu cơng trình nghiên cứu trước đây, liệu huấn luyện KDDCUP99, tổng quan lập trình gen; phần III giới thiệu mơ hình đề xuất phát công dựa GP/TAG3P, cài đặt thử nghiệm phân tích đánh giá kết đạt Kiến trúc tảng 2.1 Các nghiên cứu trước Hiện có nhiều nhà nghiên cứu đề xuất giải pháp áp dụng kỹ thuật tính tốn thơng minh phát cơng mạng Một số nghiên cứu sử dụng giải thuật di truyền (GA) lập trình gen (GP) để dị tìm loại công công kịch khác Một số sử dụng GA GP để tìm quy tắc phần loại [8],[20],[21],[28] GA GP sử dụng để chọn đặc trưng yêu cầu xác định tham số tối ưu tối thiểu số chức lõi phương pháp tính tốn thơng minh khác để tiếp nhận quy tắc dị tìm cơng [7],[13],[22] Một số 28 Tạp chí Khoa học Kỹ thuật - Học viện KTQS - Số 184 (06-2017) báo có liên quan đến phát xâm nhập có ảnh hướng định an ninh mạng [1],[23],[26],[27] Crosbie cộng đề xuất giải pháp sử dụng GA để phát xâm nhập [10], áp dụng công nghệ đa tác nhân sử dụng GP [14] để phát mạng bất thường thông qua việc giám sát số tham số liệu dấu vết mạng Các phương pháp đề xuất có lợi sử dụng nhiều tác nhân tự trị nhỏ khó khăn giao tiếp tác nhân khởi tạo không tiến trình huấn luyện ảnh hưởng lớn đến thời gian thực Li [20] đề xuất phương pháp sử dụng GA để phát xâm nhập mạng dị thường [2][14], phương pháp sử dụng để định lượng phân loại đặc trưng liệu mạng nhằm mục tiêu tìm quy tắc phân loại Tuy nhiên, định lượng đặc trưng làm tăng tốc độ tìm kiếm kết thí nghiệm không hiệu Goyal Kumar [6] đề xuất thuật toán dựa GA để phân loại tất loại công biết trước dấu hiệu, sử dụng liệu huấn luyện với tỷ lệ phát sai thấp (khoảng 0.2%) với tỷ lệ phát xấp xỉ 100% [2] Lu Traore [21] sử dụng GP để phân loại tập liệu lịch sử mạng, họ sử dụng framework hỗ trợ tin cậy hàm mục tiêu phân loại xác vài loại xâm nhập mạng Tuy nhiên việc sử dụng GP họ để tạo thủ tục thực thi khó thủ tục huấn luyện tập liệu với yêu cầu thời gian nhiều Xiao cộng [32] sử dụng GA để phát hành vi mạng bất thường thông tin lịch sử mạng [2],[14] Một số đặc trưng mạng định nghĩa với loại công mạng dựa thông tin tương hỗ đặc trưng mạng dạng cơng, sau sử dụng đặc trưng để tạo cấu trúc quy tắc tuyến tính cho GA; phương pháp sử dụng thông tin tương hỗ kết quy tắc tuyển tính có hiệu nâng cao tỷ lệ phát giảm thời gian thực hiện, nhiên họ coi đặc trưng rời rạc Gong cộng [14] đề xuất sử dụng GA để thực phát công mạng đưa phần mềm thực thi với phương pháp tìm tập quy tắc phân loại sử dụng framework hỗ trợ tin cậy để xem xét hàm mục tiêu Abdullah cộng [2] sử dụng thuật toán đánh giá hiệu suất dựa GA để phát xâm nhập mạng, phương pháp sử dụng lý thuyết thông tin để lọc lưu lượng mạng Faraoun [12] đề xuất phương pháp phân loại công sử dụng GP, kỹ thuật đề xuất bao gồm kết hợp tiến hóa quần thể với chuyển đổi tuyến tính tập liệu đầu vào phân loại, sau ánh xạ chúng tới không gian với số chiều giảm để đạt khác biệt tối đa lớp Ahmad [4] sử dụng kỹ thuật SVM để cải thiện hiệu suất kỹ thuật phát công cách lựa chọn đặc trưng với trị số đặc trưng cao PCA (Principal 29 Chuyên san Công nghệ thông tin Truyền thông - Số 10 (06-2017) component analysis), nghiên cứu áp dụng GA để tìm kiếm thành phần di truyền ban đầu mà tạo tập đặc trưng với độ nhạy tối ưu phân biệt cao 2.2 Bộ liệu KDDCup 99 Năm 1999, Stolfo [30] đề xuất liệu KDDCup 99 dựa liệu bắt chương trình đánh giá hệ thống phát xâm nhập DARPA’98 [17] Bộ liệu gồm gần triệu ghi, ghi có 41 thuộc tính gán nhãn bình thường hay dạng công đặc trưng KDDCup 99 sử dụng rộng rãi để đánh giá kỹ thuật phát bất thường Các dạng công phân thành nhóm sau đây: • • • • Tấn công từ chối dịch vụ (DoS): Là thủ đoạn nhằm ngăn cản người dùng hợp pháp truy cập sử dụng vào dịch vụ đó, DoS làm ngưng hoạt động hệ thống mạng, máy tính Về chất nhằm chiếm dụng lượng lớn tài nguyên mạng băng thông, nhớ làm khả xử lý yêu cầu dịch vụ từ khách hàng User to Root Attack (U2R): Kẻ công với quyền người dùng bình thường cố gắng để đạt quyền truy nhập cao vào hệ thống cách bất hợp pháp Một cách phổ biến lớp công thực phương pháp gây tràn đệm Remote to Local Attack (R2L): Kẻ công cố gắng đạt quyền truy cập vào hệ thống máy tính việc gửi gói tin tới hệ thống thơng qua mạng Một vài cách phổ biến mà loại thực đốn mật thơng qua phương pháp từ điển brute-force, FTP Write, Probing Attack: Kẻ cơng thực qt mạng máy tính để tìm điểm yếu dễ cơng mà thơng qua tin tặc khai thác hệ thống Một cách phổ biến loại công thực thông qua việc quét cổng hệ thống máy tính Một số chuyên gia cho hầu hết công biến thể công biết dấu hiệu cơng biết đủ để nhận dạng biến thể Bộ liệu huấn luyện KDD’99 bao gồm 24 loại công khác bảng có thêm 14 loại cơng thêm vào liệu kiểm tra Dựa vào đặc trưng cơng phân loại KDD’99 thành nhóm sau: • • 30 Nhóm đặc trưng bản: Bao gồm tất thuộc tính có từ kết nối TCP/IP Nhóm đặc trưng lưu lượng: Bao gồm đặc trưng tính tốn với mối liên hệ với khoảng thời gian chia thành nhóm: Tạp chí Khoa học Kỹ thuật - Học viện KTQS - Số 184 (06-2017) • – Đặc trưng “same host”: Các kết nối khoảng thời gian giây có host đích với kết nối hành thống kê liên quan tới hành vi giao thức, dịch vụ, – Đặc trưng “same service”: Các kết nối khoảng thời gian giây có dịch vụ với kết nối hành Ngồi cịn có số cơng thăm dị qt host (cổng) sử dụng khoảng thời gian lớn giây, không tạo mẫu công khoảng thời gian giây Nhóm đặc trưng nội dung: Khác với hầu hết công DoS Probing; R2L U2R khơng có mẫu cơng Bởi DoS Probing liên quan đến nhiều kết nối với số host khoảng thời gian ngắn; nhiên công R2L U2R nhúng đoạn gói liệu thường xuyên bao gồm kết nối Để phát loại công này, cần số đặc trưng để tìm kiếm hành vi nghi ngờ phần liệu, chẳng hạn số lần cố gắng đăng nhập thất bại, Bảng Bảng phân loại 24 loại công KDDCup 99 Loại DoS Probe U2R R2L Các công liệu KDDCup 99 Back, Land, Neptune, Pod, Smurf, Teardrop Ipsweep, Nmap, Portsweep, Satan Buffer_overflow, Loadmodule, Perl, Rootkit Ftp_write, Guess_passwd, Imap, Multihop, Phf, Spy, Warezclient, Warezmaster Các nghiên cứu [3][16][18][29][31] cho thấy sử dụng 10 thuộc tính có đóng góp nhiều phát xâm nhập thay sử dụng 41 thuộc tính liệu KDD99, với kết phát xâm nhập tốt sử dụng tài nguyên hệ thống Trong báo này, sử dụng liệu nhân tạo nhóm tác giả Phạm Trường Sơn, Nguyễn Quang Uy Nguyễn Xuân Hoài đề xuất [25] Bộ liệu tác giả phân loại thành loại cơng cụ thể với 10 thuộc tính phù hợp liệu KDD’99, cụ thể thuộc tính loại cơng liệt kê bảng sau: Bảng Lựa chọn thuộc tính cho loại cơng từ KDD’99 Loại cơng DoS Probe R2L U2R Các thuộc tính lựa chọn 3, 4, 5, 6, 8, 10, 13, 23, 24, 37 3, 4, 5, 6, 29, 30, 32, 35, 39, 40 1, 3, 5, 6, 12, 22, 23, 31, 32, 33 1, 2, 3, 5, 10, 13, 14, 32, 33, 36 31 Chuyên san Công nghệ thông tin Truyền thông - Số 10 (06-2017) 2.3 Lập trình Gen 2.3.1 Thuật tốn GP: Lập trình gen (GP) mở rộng thuật toán di truyền (GA) [19], phương pháp tìm kiếm tổng quát sử dụng phép loại suy từ chọn lọc tự nhiên tiến hóa Sự khác biệt GP GA phương pháp mã hóa giải pháp tìm kiếm Giải thuật GA trì quần thể lời giải tốn tối ưu hố Thơng thường, lời giải mã hoá dạng chuỗi gen có chiều dài cố định Giá trị gen có chuỗi lấy từ bảng ký tự định nghĩa trước chuỗi bít nhị phân, số nguyên, số thực, ký tự, Mỗi chuỗi gen liên kết với giá trị gọi độ phù hợp, độ phù hợp sử dụng trình chọn lọc Ngược lại với GA, GP mã hóa giải pháp đa tiềm cho vấn đề cụ thể quần thể chương trình hàm; chương trình biểu diễn dạng phân tích cú pháp Thơng thường, phân tích cú pháp bao gồm nút nội nút Các nút nội gọi nguyên hàm (f unction), nút gọi ký hiệu kết thúc (terminal) Các terminal xem đầu vào cho vấn đề cụ thể (các biến độc lập tập số) Các f unction hàm tốn học, tốn tử, Ví dụ, biểu diễn quy tắc phát cơng, GP sử dụng để tiến hóa quy tắc từ quy tắc tổng quát, quy tắc biểu diễn dạng if condition1 and condition2 and and conditionN then attack Trong trường hợp này, f unction tương ứng với toán tử and terminal condition (như: condition1 , condition2 , conditionN ) GP tạo ngẫu nhiên quần thể giải pháp ban đầu, sau áp dụng toán tử di truyền quần thể để tạo quần thể Các toán tử di truyền bao gồm tái sinh (Reproduction), lai ghép (Crossover), đột biến (M utation), loại bỏ theo điều kiện (Dropping condition) Q trình tiến hóa từ quần thể sang quần thể gọi hệ Giải thuật GP mơ tả tổng qt sau: • • • • • 32 Bước Tạo ngẫu nhiên quần thể chương trình, quy tắc, sử dụng biểu thức hồi quy để cung cấp khởi tạo quần thể ban đầu; Bước Đánh giá độ thích nghi chương trình quy tắc hàm thích nghi định nghĩa mà đo khả quy tắc chương trình giải vấn đề; Bước Sử dụng toán tử tái sinh để chép chương trình vào hệ mới; Bước Tạo quần thể với toán tử lai ghép, đột biến toán tử khác từ tập lựa chọn ngẫu nhiên cá cá thể cha mẹ; Bước Lặp lại từ bước trở quần thể thỏa mãn tiêu chuẩn dừng định nghĩa trước số cố định hệ hoàn thành; Tạp chí Khoa học Kỹ thuật - Học viện KTQS - Số 184 (06-2017) • Bước Giái pháp cho vấn đề chương trình di truyền với giá trị thích nghi cho tất hệ 2.3.2 Các toán tử di truyền: Trong GP, để thực toán tử lai ghép trước hết chép ngẫu nhiên hai cha mẹ từ quần thể ban đầu; sau hai điểm lai ghép chọn ngẫu nhiên cha mẹ Thực hoán đổi hai nhánh hai cha mẹ điểm lựa chọn để tạo hai Cây đạt thường khác với cha mẹ√chúng kích )∗ X2 √ đa thức thước hình dáng Hình mơ tả tốn tử lai ghép đa thức (X1X+X + X1 (X1 ∗X2 )−X1 (X1 +X2 ) (X1 +X2 )−X1 , kết thu hai đa thức X1 +√X1 (X1 +X2 )∗√X2 X1 +X2 Hình Sử dụng toán tử lai ghép GP Trong toán tử đột biến, cha/mẹ chép từ quần thể ban đầu, sau chọn ngẫu nhiên điểm đột biến (nút con) Sau đó, nút thay nút tạo ngẫu nhiên Hình mô √ X1 −X√ tả thao tác đột biến đa thức (X1 +X2 )∗ 1X2 kết đa thức sau đột biến (X1 ∗X2 )−X1 √ (X1 +X2 )∗ X2 Hình Sử dụng toán tử đột biến GP Toán tử “dropping condition” đề xuất để tiến hóa quy tắc mới, tốn tử 33 Chuyên san Công nghệ thông tin Truyền thông - Số 10 (06-2017) lựa chọn ngẫu nhiên điều kiện quy tắc sau thay đổi thành (any), điều kiện không cần thiết phải xem xét lại quy tắc chọn Ví dụ, quy tắc: if condition1 and condition2 and condition3 then attack biến đổi thành: if condition1 and condition2 and any then attack 2.3.3 Hàm thích nghi: Để lựa chọn cá thể cho thao tác lai ghép, tái tạo đột biến, đánh giá độ thích nghi (độ tốt) cá thể việc giải toán, hàm tính giá trị thích nghi (gọi tắt hàm thích nghi) phương pháp để đánh giá độ thích nghi cá thể quần thể Hàm thích nghi nhằm đảm bảo cho tiến hóa hướng tới tối ưu cách tính tốn giá trị thích nghi cho cá thể quần thể Giá trị thích nghi đánh giá hiệu suất cá thể quần thể hệ Độ thích nghi xác định sở đánh giá chương trình so với kết tập liệu huấn luyện Độ tốt cá thể thường chuẩn hóa trước lựa chọn cho phép toán di truyền Q trình chuẩn hóa GP chuẩn trình bày [19] 2.4 Lập trình Gen định hướng văn phạm nối Hệ lập trình Gen định hướng văn phạm nối (TAG3P) sử dụng văn phạm nối với văn phạm phi ngữ cảnh để tạo ràng buộc cú pháp độ sai lệch tìm kiếm chương trình tiến hóa TAG3P bao gồm tất thuộc tính GP chuẩn dựa biểu diễn dạng hình khác Trong TAG3P, cấu trúc văn phạm xác định tập hợp α β, cấu trúc quần thể dẫn xuất từ văn phạm Việc lượng giá độ tốt cá thể thực cách tạo dẫn xuất tương ứng từ dẫn xuất TAG, sau đánh giá biểu thức dẫn xuất Khơng gian tìm kiếm xác định văn phạm, tập hợp tất biểu thức GP văn phạm cho trước tạo với giới hạn độ phức tạp Tuy nhiên, đặc tính thứ ngun khơng xác định giúp kiểm sốt cách dễ dàng theo kích thước Do đó, kích thước sử dụng để kiểm soát độ phức tạp TAG3P thay theo chiều cao hệ GP khác [15],[24] Độ phức tạp phương pháp phụ thuộc vào kích thước quần thể, kích thước lớn số hệ cần thực Trong đó, chi phí để tạo cấu trúc liệu ràng buộc số lượng nút chọn quần thể.Độ phức tạp trường hợp xấu tất đạt kích thước lớn nhất, trường hợp tốt quần thể có số thưa thớt Trong trường hợp xấu nhất, độ phức tạp xác định O(N umberOf T ree × (M axT reeArity SizeOf T ree+1 − 1)) Độ phức tạp lần thăm 34 Tạp chí Khoa học Kỹ thuật - Học viện KTQS - Số 184 (06-2017) nút quần thể O(N umberOf T rees × (M inArity × SizeOf T ree + 1)) Như độ phức tạp thực tế nằm khoảng: O(N umberOf T rees × (M inArity × SizeOf T ree + 1)) ≥ ActualComplexity ≥ O(N umberOf T ree × (M axT reeArity SizeOf T ree+1 − 1)) Hình mơ tả ví dụ dẫn xuất Hình Cây dẫn xuất Tương tự GP chuẩn, TAG3P gồm có thành phần: biểu diễn chương trình, khởi tạo quần thể, hàm thích nghi, toán tử di truyền tham số Cụ thể sau: 2.4.1 Biểu diễn chương trình: TAG3P sử dụng chuyển đổi kiểu gen kiểu hình, TAG3P giải tốn với ràng buộc cú pháp cảm ngữ cảnh, cú pháp phi ngữ cảnh khơng có ràng buộc cú pháp [15] Do đó, kiểu hình trường hợp sau: • • • Văn phạm LTAG Glex sử dụng ngơn ngữ hình thức cho việc định nghĩa độ lệch, trường hợp này, kiểu hình dẫn xuất Glex Văn phạm phi ngữ cảnh (CFG) sử dụng để tạo LTAG Glex , đó, dẫn xuất Glex sử dụng kiểu gen, cịn kiểu hình dẫn xuất G (cây dẫn xuất văn phạm Glex - Xem hình 5) Tập hàm GP ký hiệu kết sử dụng để tạo văn phạm phi ngữ cảnh G = (N = {Bool, P RE, OP, V AR}, T = {X, sin, cos, log, ep, +, −, ∗, /, (, )}, P, {Bool}) ep hàm mũ, tập luật P = {Bool → Bool OP Bool, Bool → P RE(Bool), Bool → V AR, OP → +, OP → −, OP → ∗, OP → /, P RE → sin, P RE → cos, P RE → log, P RE → ep, V AR → T L} Trong báo này, LTAG Glex biểu diễn sau: Glex = [N = {Bool, P RE, OP, V AR}, T = {T L, sqrt, ep, log, +, −, ∗, /}, I, A] I ∪ A 2.4.2 Khởi tạo quần thể: Chọn số ngẫu nhiên khoảng cho trước, sau lấy ngẫu nhiên α từ tập 35 Chuyên san Công nghệ thông tin Truyền thông - Số 10 (06-2017) Hình Ví dụ văn phạm LTAG sở Glex để tạo dẫn xuất cho Glex Cây dẫn xuất mở rộng phép nối với β chọn ngẫu nhiên từ tập sở Quá trình kết thúc kích thước quần thể đạt tới giá trị chọn 2.4.3 Hàm thích nghi: Để đánh giá thích nghi cá thể, trước hết chuyển cá thể thành dẫn xuất Sau đó, q trình tính tốn thích nghi cá thể thực dẫn xuất (hình 6) Hình Quy trình chuyển cá thể thành dẫn xuất 2.4.4 Tốn tử truyền: TAG3P có tốn tử di truyền GP chuẩn lựa chọn, tái tạo, lai ghép đột biến: • • 36 Lựa chọn: TAG3P, chế lựa chọn sử dụng Đặc biệt, chế dựa độ thích nghi lựa chọn cạnh tranh thường hay sử dụng Tái tạo: phần quần thể chọn dựa độ thích nghi chép chúng vào hệ Tạp chí Khoa học Kỹ thuật - Học viện KTQS - Số 184 (06-2017) • • Lai ghép: tạo hai cá thể từ hai cá thể cha mẹ lựa chọn từ quần thể dựa vào giá trị thích nghi Đầu tiên, hai cha mẹ t1 t2 chọn thông qua chế lựa chọn Quá trình thực cách chọn ngẫu nhiên hai nút tương thích từ hai cha mẹ, sau hoán đổi cha mẹ với thu (hình 7a) Đột biến: Trong thao tác đột biến, chọn ngẫu nhiên Sau đó, loại bỏ thay khác có kích thước (hình 7b) (a) Thao tác lai ghép TAG3P (b) Thao tác đột biến TAG3P Hình Thao tác di truyền TAG3P HỆ THỐNG PHÁT HIỆN XÂM NHẬP DỰA TRÊN TAG3P 3.1 Mô hình phát cơng dựa lập trình gen Mơ hình đề xuất bao gồm giai đoạn (hình 8) Trong giai đoạn huấn luyện, sử dụng liệu dấu vết mạng để tạo tập quy tắc phát công mạng Giai đoạn giá trị thích nghi cao tập quy tắc tốt sử dụng để phát công mạng Trong hình trên, GP thực cá thể tiến hóa nhóm cá thể thành quần thể Mỗi cá thể biểu diễn kỹ thuật để giải vấn đề Một hàm thích nghi đánh giá cho quy tắc mà thi hành Sự tiến hóa quần thể quần thể khởi tạo ban đầu cách lựa chọn cá thể mà cải thiện dần giá trị thích nghi Các tốn tử di truyền: lựa chọn, lai ghép, đột biến tái sinh áp dụng cho cá thể suốt trình tạo hệ Đầu tiên số cá thể 37 Chuyên san Công nghệ thông tin Truyền thông - Số 10 (06-2017) Hình Mơ tả thiết kế cho mơ hình đề xuất phát cơng dựa lên GP+TAG3P lựa chọn dựa vào chiến lược lựa chọn phù hợp, sau cá thể áp dụng toán tử lại ghép, đột biến tái sinh theo tỷ lệ định (tùy thuộc vào thí nghiệm) Cuối cá thể tốt lựa chọn để đưa vào hệ cho cá thể đảm bảo khả phát công từ quần thể tạo hệ Trong nghiên cứu này, sử dụng TAG3P để thực phương pháp lựa chọn toán tử di truyền thích nghi áp dụng cho tốn tử di truyền: lai ghép đột biến Cơ chế tóm tắt ngắn gọn sau: - Lai ghép: Hai cá thể lựa chọn dựa giá trị thích nghi chúng Chọn ngẫu nhiên điểm chọn, tùy theo ràng buộc nối với cha mẹ khác Nếu điểm nối tìm thấy, nối với cha mẹ ngược lại điểm kết nối, ngược lại hai cá thể bị loại bỏ Quá trình lặp lại điểm lai ghép hợp lệ tìm thấy vượt giới hạn - Đột biến: Chọn ngẫu nhiên điểm chọn, sau tạo ngẫu nhiên để thay điểm chọn cha/mẹ 38 ... người sử dụng hợp lệ [11] Năm 1985 Denning đề xuất phương pháp phát xâm nhập để đếm vụ công lạm dụng mạng máy tính Phát xâm nhập triển khai hệ thống phát xâm nhập ngày có nhiều hệ thống phát xâm nhập. .. [3][16][18][29][31] cho thấy sử dụng 10 thuộc tính có đóng góp nhiều phát xâm nhập thay sử dụng 41 thuộc tính liệu KDD99, với kết phát xâm nhập tốt sử dụng tài nguyên hệ thống Trong báo này, sử dụng liệu nhân... hướng văn phạm nối Hệ lập trình Gen định hướng văn phạm nối (TAG3P) sử dụng văn phạm nối với văn phạm phi ngữ cảnh để tạo ràng buộc cú pháp độ sai lệch tìm kiếm chương trình tiến hóa TAG3P bao