Nhằm đánh giá hiệu quả của hệ thống phát hiện xâm nhập, chúng ta thường dùng các độ đo như sau: độ chính xác (accuracy), độ đo truy hồi (recall), độ rõ ràng (precision).
TN (True Negative): trường hợp mạng bình thường và không cảnh báo.
TP (True Positive): trường hợp mạng bị tấn công và có cảnh báo.
FN (False Negative): trường hợp mạng bị tấn công nhưng không cảnh báo.
FP (False Positive): trường hợp mạng bình thường nhưng lại cảnh báo tấn công. (3.15) TN TP Accuracy TN TP FN FP TP Recall TP FN TP Precision TP FP
Muốn hệ thống dự báo tốt, chúng ta phải đảm bảo accuracy, recall, precision cao.
* Để xác định được ngưỡng cảnh báo phù hợp phải thỏa điều kiện tỉ lệ cảnh báo sai thấp nhất. Cảnh báo sai gồm 2 loại:
False negative (FN): có tấn công nhưng ứng dụng không cảnh báo vì chưa đạt được đến ngưỡng cảnh báo cần thiết.
False positive (FP): trong tình trạng bình thường nhưng ứng dụng vẫn cảnh báo là có tấn công do lưu lượng bình thường này đạt đến ngưỡng cảnh báo.
Nếu để ngưỡng cảnh báo thấp sẽ phát hiện tấn công kịp thời, nhưng khả năng FP cao, vì lúc đó tình trạng bình thường nhưng ứng dụng vẫn cảnh báo. Ngược lại, nếu để ngưỡng cảnh báo cao thì tình trạng FP thấp nhưng lúc đó nhiều cuộc tấn công ứng dụng không nhận dạng ra được do chưa đạt đến
3.9 3. 10
ngưỡng cảnh báo. Như vậy, việc đưa ngưỡng cảnh báo vào phải làm sao „cân bằng‟ được giữa FN và FP.
Trong quá trình huấn luyện, chúng ta sẽ cập nhật ngưỡng của từng nơ-ron theo phương pháp sau:
Bước 1: Khởi tạo ngưỡng icủa từng nơ-ron bằng 0.
0
i
(3.12)
Bước 2: Gọi d là khoảng cách từ mẫu đầu vào x đến nơ-ron chiến thắng i Nếu d i thì:
i d
(3.13)
Sau đó, trong quá trình tấn công, chúng ta so sánh khoảng cách dx (từ những mẫu tấn công x đến nơron chiến thắng BMUx của chúng) với ngưỡng của nơron BMUx. Để hạn chế tình trạng có tấn công nhưng không cảnh báo thì chúng ta thay đổi ngưỡng sao cho phù hợp (giá trị được thay đổi dựa vào quá trình dò tìm thực tế và kinh nghiệm của người quản trị hệ thống máy).