b. Phân loại các kỹ thuật học máy
3.2.1. Xây dựng kịch bản thử nghiệm
Bài tốn đặt ra là phân loại kiểu tấn cơng trong bộ dữ liệu KDD cup 99 nhằm hỗ trợ cho các hệ thống phát hiện xâm nhập mạng. Đây là bài tốn được nhiều tác giả quan tâm nghiên cứu trong thời gian gần đây. Cĩ thể tham khảo các kết quả nghiên cứu chi tiết trong các tài liệu [1], [2], [6], [8], [9], [11] và [16].
Trong mục này, luận văn sẽ thực hiện thử nghiệm với bài tốn sau:
Đầu vào của bài tốn: (1) Bộ dữ liệu KDD cup 99; (2) Các thuật tốn thử nghiệm:
- Thuật tốn Cây quyết định (Decision Tree); - Thuật tốn Bayes;
- Thuật tốn máy vecto hỗ trợ (SMV).
Đầu ra của bài tốn:
Các độ đo đánh giá hiệu năng các mơ hình phân loại kiểu tấn cơng sử dụng các thuật tốn thử nghiệm trên bộ dữ liệu KDD cup 99.
Luận văn sẽ tiến hành thử nghiệm theo hai kịch bản trình bày dưới đây.
Kịch bản thứ nhất:
Trong kịch bản này, luận văn sẽ thực hiện phân lớp dữ liệu trong KDD cup 99 thành 2 lớp: kết nối bình thường (Normal) và kết nối tấn cơng (anomaly - khơng bình thường). Lý do là trong các hệ thống phát hiện xâm nhập mạng, trước hết cần quan tâm đến các kết nối tấn cơng để hệ thống xem xét cảnh báo và đề xuất các giải pháp xử lý phù hợp.
Kịch bản thứ hai:
Trong kịch bản thứ hai, luận văn sẽ thực hiện phân lớp dữ liệu trong KDD cup 99 thành các lớp như trình bày trong mục 3.1.2: Normal (dữ liệu thể hiện loại
kết nối TCP/IP bình thường); DoS (dữ liệu thuộc loại tấn cơng từ chối dịch vụ); Probe (dữ liệu thuộc loại tấn cơng thăm dị); R2L (dữ liệu thuộc loại tấn cơng từ xa) và U2R (dữ liệu thuộc loại tấn cơng chiếm quyền Root).
Kết quả phân loại chi tiết các kiểu tấn cơng sẽ hỗ trợ hệ thống phát hiện xâm nhập mạng đề xuất các giải pháp xử lý phù hợp nhất cĩ thể.