Mô hình hệ thống phát hiện bất thường sử dụng thuật toán phân cụm mờ lai ghép

Bài viết đề xuất Mô hình hệ thống phát hiện xâm nhập bất thường sử dụng thuật toán Phân cụm mờ lai ghép giữa thuật toán FCM, PSO và SVM. Thực nghiệm đã được tiến hành trên bộ dữ liệu chuẩn mẫu KDD CUP ‘99.
Nội dung trích xuất từ tài liệu:
Mô hình hệ thống phát hiện bất thường sử dụng thuật toán phân cụm mờ lai ghép Công nghệ thông tin<br /> <br /> MÔ HÌNH HỆ THỐNG PHÁT HIỆN BẤT THƯỜNG SỬ DỤNG<br /> THUẬT TOÁN PHÂN CỤM MỜ LAI GHÉP<br /> Vũ Đặng Giang1, Nguyễn Duy Thái1, Phạm Văn Nhã2*<br /> Tóm tắt: Tấn công và phòng thủ hệ thống mạng đang thu hút sự quan tâm của<br /> các nhà nghiên cứu. Các hệ thống này luôn trở thành mục tiêu ưu tiên hàng đầu của<br /> các cuộc tấn công trái phép. Vì vậy, việc củng cố hệ thống phòng thủ để có thể phát<br /> hiện xâm nhập bất thường từ bên trong và bên ngoài mạng là rất cần thiết và<br /> thường xuyên. Trong bài báo này, chúng tôi đã đề xuất Mô hình hệ thống phát hiện<br /> xâm nhập bất thường sử dụng thuật toán Phân cụm mờ lai ghép giữa thuật toán<br /> FCM, PSO và SVM. Thực nghiệm đã được tiến hành trên bộ dữ liệu chuẩn mẫu<br /> KDD CUP ‘99. Kết quả thực nghiệm đã chứng tỏ mô hình đã đề xuất đạt được hiệu<br /> suất vượt trội so với các mô hình đã được đề xuất trước đó.<br /> Từ khóa: Phát hiện bất thường, Phân cụm mờ, Tối ưu bầy đàn, Máy vector hỗ trợ.<br /> <br /> Ký hiệu<br /> Ký hiệu Ý nghĩa<br /> U={uci} Ma trận hàm thuộc<br /> JFCM Hàm mục tiêu FCM<br /> Pc Tâm cụm<br /> Dci Khoảng cách dữ liệu giữa đối tượng thứ c và đối tượng thứ i<br /> Chữ viết tắt<br /> IDS Intrusion Detection Systems<br /> PSO Particle Swarm Optimization<br /> SVM Support Vector Machine<br /> GA Genetic Algorithms<br /> ANN Artificial Neural Network<br /> FCM Fuzzy clustering<br /> <br /> 1. GIỚI THIỆU CHUNG<br /> Phát hiện xâm nhập ngày càng thu hút sự quan tâm của các nhà nghiên cứu.<br /> Hơn nữa đối với các vấn đề chứng thực người dùng truyền thống, mã hóa thông<br /> tin, tường lửa và một số công nghệ bảo vệ mạng khác, phát hiện xâm nhập được sử<br /> dụng để xác định và phân loại các cuộc tấn công trên mạng máy tính, máy chủ và<br /> máy chủ mạng. Nó có thể phát hiện các cuộc tấn công độc hại mà các phương pháp<br /> phòng thủ truyền thống không xác định được. Như vậy, nó đóng một vai trò quan<br /> trọng trong quá trình quản lý bảo mật dịch vụ Web và an toàn xử lý dữ liệu. Phát<br /> <br /> <br /> 18 V. Đ. Giang, N. D. Thái, P. V. Nhã, “Mô hình hệ thống phát hiện… phân cụm mờ lai ghép.”<br /> Nghiên cứu khoa học công nghệ<br /> <br /> hiện xâm nhập nói chung được chia thành hai loại: phát hiện sử dụng sai quy cách<br /> và phát hiện bất thường.<br /> Phát hiện sử dụng sai quy cách dựa trên các cuộc tấn công đã biết và các lỗ<br /> hổng hệ thống để xây dựng các quy tắc phát hiện được sử dụng để đánh giá kết nối<br /> mạng có phải là kết nối xâm nhập hay không. Nó có tỷ lệ chính xác và tốc độ phản<br /> ứng cao, nhưng hạn chế rất lớn là không thể phát hiện các cuộc tấn công mới và<br /> các quy tắc phát hiện chỉ có thể cập nhật bằng tay. Phát hiện bất thường là xác định<br /> xem kết nối có phải là kết nối xâm nhập hay không bằng cách phát hiện độ lệch<br /> của mẫu kết nối với mẫu hành vi bình thường. [12] đã mô tả và so sánh một vài<br /> phương pháp và hệ thống phát hiện mạng bất thường. Nói chung, phát hiện bất<br /> thường có thể tìm thấy các tấn công chưa biết, nhưng vì mẫu hành vi bình thường<br /> mới thu được có thể bị nhầm lẫn với hành vi bất thường, nên tỷ lệ cảnh báo sai có<br /> thể gia tăng [16], [29].<br /> Để khắc phục những vấn đề này, một số hệ thống phát hiện xâm nhập IDS sử<br /> dụng các kỹ thuật khai phá dữ liệu và máy học đã được thiết kế, mà chủ yếu được<br /> sử dụng để điều tra phát hiện đặc tính, phân loại và phán đoán xâm nhập. [20] đã<br /> đề xuất mô hình phát hiện xâm nhập bằng cách phân cụm luồng dữ liệu kết nối,<br /> sau đó sử dụng kết quả phân cụm để phân tích và phát hiện bất thường cho mạng<br /> không dây. Cấu trúc dữ liệu ban đầu và độ phức tạp của thuật toán phân lớp có thể<br /> được giảm bởi tiến trình phân cụm, nhưng tâm cụm được khởi tạo ngẫu nhiên, nên<br /> chất lượng phân cụm bị ảnh hưởng bởi hạn chế vốn có của các thuật toán phân<br /> cụm là dễ rơi vào bẫy tối ưu cục bộ. Một số mô hình phát hiện xâp nhập hiệu quả<br /> đã được đề xuất gần đây như mô hình sử dụng mạng thần kinh nhân tạo ANN để<br /> phát hiện xâm nhập [19], sử dụng phương pháp phân cụm mờ FCM lai ghép với<br /> phương pháp xác định tâm cụm để phát hiện xâm nhập bất thường [21]. [30]<br /> nghiên cứu khả năng áp dụng của máy vector hỗ trợ SVM để xây dựng IDS. So<br /> sánh tối ưu giải thuật di truyền GA trên ANN và SVM trong các IDS đã được mô<br /> tả trong [5]. Tuy nhiên, ANN vốn có độ phức tạp trong việc khởi tạo các giá trị đặc<br /> tính phân lớp và chủ yếu được sử dụng đối với dữ liệu phi tuyến, như vậy SVM có<br /> khả năng chỉnh sửa lỗi tốt và khả năng điều khiển tốt hơn [1], [6]. Đây cũng là lý<br /> do giúp chúng tôi lựa chọn kỹ thuật SVM trong bài báo này.<br /> Mô hình phát hiện bất thường không giám sát đã được đề xuất trong [25]. Mô<br /> hình này đã sử dụng thuật toán K-Means để tự động xác định số cụm bản ghi kết<br /> nối bình thường, sau đó, xây dựng mô hình SVM một lớp. [33] đã đề xuất sử dụng<br /> <br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san An toàn Thông tin, 05 - 2017 19<br />  ...