Ni dung loggin gt phía Client khi yêu cu cp n ht mơ hình

Một phần của tài liệu Thiết kế và xây dựng mô hình máy học cho hệ thống nhận diện xâm nhập mạng bất thường (Trang 58 - 65)

Hình 5-15: N i dung logging c a FTP server khi yêu c u c p nh t mơ hình t client bkrouter01

Bên c nh đĩ trong ph n này cịn th nghi m v i các ph n m m t n cơng DDoS thơng d ng hi n nay nh LOIC hay hping3:

Hình 5-16: Thi t b c nh báo cĩ cu c t n cơng DDoS s d ng cơng c LOIC đ n thi t b

Hình 5-17: Thi t b c nh báo cĩ cu c t n cơng DDoS s d ng cơng c hping3 đ n thi t b

Nh k t qu thu đ c t hai Hình 5-16và Hình 5-17, thi t b đã phát hi n đ c cu c t n cơng DoS t thi t b cĩ đ a ch IP là 192.168.1.99 và cu c t n cơng DDoS sinh ra t ph n m m LOIC.Tuy nhiên, cĩ m t k t qu đ t đ c cho th y cĩ m t s lu ng thơng th ng t các thi t b cĩ đ a ch IP an tồn b nh n nh m thành t n cơng. S xác đ nh nh m này cĩ th đ c gi i thích do s h n ch c a t p d li u đào t o ban đ u, c ng nh th i gian đ cho h th ng làm quen v i mơi tr ng cịn t ng đ i ng n.

47

CH NG 6: K T LU N VÀ H NG PHÁT TRI N

6.1 K t lu n

D a trên k t qu đ t đ c t vi c so sánh các thu t tốn t i u cho mơ hình th a th t, ta cĩ th đ a ra m t s k t lu n nh sau:V thu t tốn t i u phân ph i đ th a th t đ nh k d a trên trung bình Gradient (SRGM): K t qu cho th y thu t tốn đ thi u qu khá t t khi so sánh v i các thu t tốn t i u khác. Trong nh ng tr ng h p s l ng k t n i v n cịn chi m nhi u trong mơ hình, s chênh l ch hi u n ng gi a các thu t tốn là khơng nhi u. Tuy nhiên, khi đ th a th t c a mơ hình t ng d n, thu t tốn SRGMđã cho th y hi u n ng đ t đ c cĩ s chênh l ch nhi u so v i hai thu t tốn RigL và SET.

M c khác đ i v i h th ng s d ng mơ hình máy h c đ phát hi n các cu c t n cơng m ng. H th ng cĩ m t s u đi m so v i h th ng phát hi n truy n th ng (Signature-based) là nĩ cĩ kh n ng h c h i các lu ng d li u thơng th ng đi vào thi t b , t đĩ cĩ kh n ng phát hi n các cu c t n cơng b t th ng t nh ng k t n cơng. Tuy nhiên h th ng v n cịn khá nhi u nh c đi m nh : Nĩ c n nhi u th i gian ban đ u đ h c h i khi thay đ i mơi tr ng. Ngồi ra do đ c tính c h uc a h th ng Anomaly-based, m t s lu ng lành tính cĩ th b nh n nh m thành lu ng t n cơng, ho c ng c l i.

u đi m và khuy t đi m c a h th ng: 6.1.1 u đi m

i v i thu t tốn SRGM:

- Thu t tốn đã c i thi n h n so v i các thu t tốn t i u hi n nay nh RigL và SETv m t hi u n ng, s chênh l ch v hi u n ng đ c th y rõ ràng h n khi mơ hình cĩ đ th a th t t ng d n.

- Linh đ ng thay đ iđ cđ th a th t gi a các l p c a mơ hình.

i v i h th ng phát hi n xâm nh p d a trên mơ hình máy h c:

- Mơ hình sau khi đ c t i u chi m dung l ng r t nh phù h p cho các thi t b cĩ dung l ng h n ch .

6.1.2 Nh c đi m c a h th ng

i v i thu t tốn SRGM:

- Thu t tốn v n ch a đ c ki m tra và so sánh đ i v i các mơ hình cĩ nhi u s k t n i nh Resnet hay MobileNet. Vì v y, v n ch acĩ m tđánh giá t ng quát

48 cho hi u n ng c a thu t tốn đ i v i t ng lo i mơ hình v i kích th ckhác nhau.

- Thu t tốn đ c phát tri n trên các mơ hình thơng d ng nh MLP, CNN. i v i các mơ hình tiên ti n hi n nay nh LSTM, GRU, v.v, v n ch a áp d ng đ c các thu t tốn này.

i v i h th ng phát hi n xâm nh p d a trên mơ hình máy h c:

- H th ng c n m t th i gian dài ban đ u đ h c t p các lu ng d li u thơng th ng. Vì v y trong kho ng th i gian này, yêu c u đ t ra cho mơi tr ng ph i h n ch các cu c t n cơng đ n thi t b , n u khơng h th ng cĩ th hi u nh m các cu c t n cơng sau đĩ là các lu ng tin thơng th ng.

- T p d li u đ c s d ng cho quá trình hu n luy n ban đ u cho h th ng cịn t ng đ i h n ch và ch t p trung vào các cu c t n cơng DDoS.

- S đáp ng c a h th ng khi cĩ các cu c t n cơng t i cịn khá ch m do h th ng thu c ki u Anomaly-based. Trong khi các h th ng phát hi n truy n th ng phát hi n d a trên đ c đi m c a t ng gĩi tin, nên chúng cĩ t c đ đáp ng t c th i khi cĩ cu c t n cơng m i.

- Mơ hình phát hi n t n cơng d a trên c ch Server-Client nên cĩ kh n ng khi n cho server b ngh n khicĩ l ng l nyêu c u c p nh t phía client.

6.2 H ng phát tri n

T nh ng khuy t đi m trên, h ng phát tri n c a đ tàiđ c đ t ra nh sau:

- ánh giá t ng quan thu t tốn SRGM trên nhi u mơ hình v i kích th c khác nhau. c bi t là các mơ hình Resnet50, hay MobileNet áp d ng cho t p d li u ImageNet.

- Phát tri n thu t tốn cho nhi u lo i mơ hình máy h c khác ngồi MLP, CNN nh LSTM, GRM, GAN, v.v.

- Thi t k l i h th ng phát hi n xâm nh t c v mơ hình c a h th ng, c ng nh s h n ch v t p d li u đ c đào t o cho mơ hình. Vì v y, mơ hình đ c đ xu t cho h th ng phát hi n xâm nh p là t i u mơ hình máy h c sao cho cĩ th đào t o tr c ti p trên các thi t b nhúng thay vì ch y theo c ch Server-

Client. Ngồi ra, c n thu th p, phân tích và đánh giá nhi u t p d li u t n cơng m ng khác đ đa d ng kh n ng phân lo i t n cơng cho h th ng phát hi n.

49

CH NG 7: PH L C

7.1 Giao th c File Transfer Protocol (FTP) [21]

7.1.1 T ng quan giao th c FTP

FTP (Giao th c truy n t p) là m t giao th c m ng đ truy n t p gi a các máy tính qua k t n i Transmission Control Protocol/Internet Protocol (TCP / IP). Trong mơhình TCP / IP, FTP đ c n mtrênl p ng d ng.

Trong giao v nFTP, máy tính c a ng i dùng cu i th ng đ c g i là máy ch c c b . Máy tính th hai tham gia vào FTP là m t máy ch t xa. C hai máy tính c n đ c k t n i qua m ng và đ c đ nh c u hình đúng cáchđ truy n t p qua FTP. Máy ch ph i đ c thi t l p đ ch y các d ch v FTP và máy khách ph i cài đ t ph n m m FTP đ truy c p các d ch v này.

M c dù nhi u l n truy n t p cĩ th đ c ti n hành b ng Giao th c truy n siêu v n b n (HTTP) - m t giao th c kháctrong b TCP / IP - FTP v n th ng đ c s d ng đ truy n t p n cho các ng d ng khác, ch ng h n nh d ch v ngân hàng. Nĩ c ng đơi khi đ c s d ng đ t i xu ng các ng d ng m i thơng qua trình duy t web.

7.1.2 Ph ng th c ho t đ ng c a giao th c FTP

FTP là m t giao th c client-server d a trên hai kênh truy n thơng gi a client và server: m t kênh l nh đ đi u khi n cu c giao ti p và m t kênh d li u đ truy n t i n i dung t p.

D i đây là cách ho t đ ng c a chuy n FTP đi n hình:

Ng i dùng th ng c n đ ng nh pvào máy ch FTP, m c dù m t s máy ch cung c p m t s ho c t t c n i dung c a h mà khơng c n đ ng nh p, m t mơ hình đ c g i là FTP

n danh.

Máy khách b t đ u cu c trị chuy n v i máy ch khi ng i dùng yêu c u t i xu ng t p. S d ng FTP, máy khách cĩ th t i lên, t i xu ng, xĩa, đ i tên, di chuy n và sao chép t p trên máy ch .

Các phiên FTP ho t đ ng ch đ ch đ ng ho c th đ ng:

Ch đ ho t đ ng. Sau khi máy khách kh i t o phiên thơng qua yêu c u kênh l nh, máy ch t o k t n i d li u tr l i máy khách và b t đ u truy n d li u.

Ch đ th đ ng. Máy ch s d ng kênh l nh đ g i cho máy khách thơng tin c n thi t đ m kênh d li u. B i vì ch đ th đ ng cĩ máy khách kh i t o t t c các k t n i, nĩ ho t đ ng t t trên t ng l a và c ng d ch đ a ch m ng.

50

7.2 Mơ hình h c sâu MLP áp d ng cho t p d li u CICDDoS2019

7.2.1 L a ch n các đ c tr ng cho mơ hình

Nh đ c đ c p trong ph n 2.2, T p d li u v i g n 80 đ c tr ng khác nhau đ c trích xu t đ c thơng qua ph n m m cicflowmetter đ c các tác gi t p d li u phát tri n. Tuy nhiên vi c cĩ nhi u đ c tr ng trong t p d li u khi n cho quá trình hu n luy n m t nhi u th i gian c ng nh l u tr chi m nhi u b nh h n. i u này s khơng phù h p khi áp d ng

cho các thi t b nhúng hay IoT vì nh ng thi t b này cĩ dung l ng b nh khá th p và kh n ng tính tốn c a chúng là khơng t t. Vì v y tr c khi hu n luy n và t i u t p d li u, l a ch n các đ c tr ng cho mơ hình là m t b c quang tr ng trong quá trình hu n luy n.

7.2.2 ANOVA f-test [21]

Phân tích ph ng sai (Analysis of Variance) hay cịn g i là ki m đ nh ANOVA là m t k thu t th ng kê k t n i đ c s d ng đ so sánh các b d li u. Phântích ANOVA cĩ ch c n ng đánh giá s khác bi t ti m n ng trong m t bi n ph thu c m c quy mơ b ng m t bi n m c danh ngh a cĩ t 2 lo i tr lên. Các nhà phân tích s d ng th nghi m ANOVA đ xác đ nh nh h ng c a các bi n đ c l p đ i v i bi n ph thu c trong nghiên c u h i quy. K thu t ki m đ nh ANOVA này đ c phát tri n b i Ronald Fisher n m 1918.

F-statistic (ho c F-test), là m t lo i ki m tra th ng kê tính tốn t l gi a các giá tr ph ng sai, ch ng h n nh ph ng sai t hai m u khác nhau ho c ph ng sai đ c gi i thích và khơng gi i thích đ c b ng m t th nghi m th ng kê, nh ANOVA. Ph ng pháp ANOVA là m t lo i F-statistic đ c g i đây là phép ANOVA f-test.

Th vi n máy h c scikit cung c p tri n khai ANOVA f-test trong hàm f_classif (). Hàm này cĩth đ c s d ng trong vi c ch n l a tính n ng, ch ng h n nh ch n k tính n ng phù h p nh t hàng đ u (giá tr l n nh t) thơng qua SelectKBest.

7.2.2.1 K t qu ch n l u đ c tr ng v i hàm SeclectKBest c a th vi n scikit

V i g n 80 đ c tr ng cĩ trong t p d li u CICDDoS2019, và 6 nhãn phân lo i l n l t là: BENIGN, MSSQL, NetBIOS, UDP, LDAP, Syn. Tuy nhiên trong 80 đ c tr ng này cĩ m t s đ c tr ng đ c l t b nh : Unnamed:0, Sourse Port, Flow ID, Source IP, Destination IP, SimllarHTTP, Flow Bytes/s, Flow Packets/s. V i vì đây là các đ c tr ng mang tính thơng tin riêng bi t c a 1 lu ng nh Unnamed:0, Sourse Port, Flow ID, Source IP, Destination IP, SimllarHTTP. Hay các đ c tr ng trùng l p nh : Flow Bytes/s, Flow

51 Packets/s. Nh v y ch cịn 77 đ c tr ng trong t p d li u đ c dùng đ phân tích và đánh giá.

Sau khi s d ng ph ng pháp SelectKBest, k t qu đi m s mà hàm SelectKBest đánh giá đ c trình bày trong b ng sau:

B ng 7-1: i m SelectKBest c a t ng đ c tr ng trong t p d li u CICDDoS2019.

Features SelectKBest Score

1 Protocol 0.34430043

2 Flow Duration 0.6229037

3 Total Fwd Packets 0.296759509

4 Total Backward Packets 0.370631137

5 Total Length of Fwd Packets 0.263954338

6 Total Length of Bwd Packets 0.229580207

7 Fwd Packet Length Max 1.461198794

8 Fwd Packet Length Min 1.461858448

9 Fwd Packet Length Mean 0.248582461

10 Fwd Packet Length Std 1.488425435

11 Bwd Packet Length Max 0.231623014

12 Bwd Packet Length Min 0.159027391

13 Bwd Packet Length Mean 0.229438002

14 Bwd Packet Length Std 0.053865766

15 Flow IAT Mean 0.617575247

16 Flow IAT Std 0.578241592

17 Flow IAT Max 0.619901029

18 Flow IAT Min 0.172708331

19 Fwd IAT Total 0.489314487 20 Fwd IAT Mean 0.680615638 21 Fwd IAT Std 0.261349761 22 Fwd IAT Max 0.68723554 23 Fwd IAT Min 0.216916284 24 Bwd IAT Total 0.350165522 25 Bwd IAT Mean 0.352139537 26 Bwd IAT Std 0.077798285 27 Bwd IAT Max 0.348561504 28 Bwd IAT Min 0.330949928 29 Fwd PSH Flags 0.046287676 30 Fwd Header Length 0.696095629 31 Bwd Header Length 0.365846288 32 Fwd Packets/s 0.623547861 33 Bwd Packets/s 0.404491267

34 Min Packet Length 1.458552808

35 Max Packet Length 1.474969066

52

37 Packet Length Std 1.483929564

38 Packet Length Variance 0.43578332

39 SYN Flag Count 0.002983596

40 RST Flag Count 0.048417858

41 ACK Flag Count 0.606256797

42 URG Flag Count 0.173355124

43 CWE Flag Count 0.07199102

44 Down/Up Ratio 0.289355775

45 Average Packet Size 1.487262494

46 Avg Fwd Segment Size 0.472653289

47 Avg Bwd Segment Size 0.228710003

48 Fwd Header Length.1 0.495874591 49 Subflow Fwd Packets 0.296567123 50 Subflow Fwd Bytes 1.46563986 51 Subflow Bwd Packets 0.372424051 52 Subflow Bwd Bytes 0.231507904 53 Init_Win_bytes_forward 1.488260324 54 Init_Win_bytes_backward 0.190689579 55 act_data_pkt_fwd 0.456170791 56 min_seg_size_forward 0.615381324 57 Active Mean 0.056327329 58 Active Std 0.039339446 59 Active Max 0.053850376 60 Active Min 0.057132168 61 Idle Mean 0.056716834 62 Idle Std 0.039866801 63 Idle Max 0.055087181 64 Idle Min 0.050781365 65 Inbound 0.412245174

53

Một phần của tài liệu Thiết kế và xây dựng mô hình máy học cho hệ thống nhận diện xâm nhập mạng bất thường (Trang 58 - 65)

Tải bản đầy đủ (PDF)

(81 trang)