Đang tải... (xem toàn văn)
Bài viết đề xuất Mô hình hệ thống phát hiện xâm nhập bất thường sử dụng thuật toán Phân cụm mờ lai ghép giữa thuật toán FCM, PSO và SVM. Thực nghiệm đã được tiến hành trên bộ dữ liệu chuẩn mẫu KDD CUP ‘99.
Cơng nghệ thơng tin MƠ HÌNH HỆ THỐNG PHÁT HIỆN BẤT THƯỜNG SỬ DỤNG THUẬT TOÁN PHÂN CỤM MỜ LAI GHÉP Vũ Đặng Giang1, Nguyễn Duy Thái1, Phạm Văn Nhã2* Tóm tắt: Tấn cơng phòng thủ hệ thống mạng thu hút quan tâm nhà nghiên cứu Các hệ thống trở thành mục tiêu ưu tiên hàng đầu công trái phép Vì vậy, việc củng cố hệ thống phòng thủ để phát xâm nhập bất thường từ bên bên mạng cần thiết thường xuyên Trong báo này, đề xuất Mơ hình hệ thống phát xâm nhập bất thường sử dụng thuật toán Phân cụm mờ lai ghép thuật toán FCM, PSO SVM Thực nghiệm tiến hành liệu chuẩn mẫu KDD CUP ‘99 Kết thực nghiệm chứng tỏ mơ hình đề xuất đạt hiệu suất vượt trội so với mơ hình đề xuất trước Từ khóa: Phát bất thường, Phân cụm mờ, Tối ưu bầy đàn, Máy vector hỗ trợ Ký hiệu Ký hiệu U={uci} JFCM Pc Dci Ý nghĩa Ma trận hàm thuộc Hàm mục tiêu FCM Tâm cụm Khoảng cách liệu đối tượng thứ c đối tượng thứ i IDS PSO SVM GA ANN FCM Chữ viết tắt Intrusion Detection Systems Particle Swarm Optimization Support Vector Machine Genetic Algorithms Artificial Neural Network Fuzzy clustering GIỚI THIỆU CHUNG Phát xâm nhập ngày thu hút quan tâm nhà nghiên cứu Hơn vấn đề chứng thực người dùng truyền thống, mã hóa thơng tin, tường lửa số công nghệ bảo vệ mạng khác, phát xâm nhập sử dụng để xác định phân loại cơng mạng máy tính, máy chủ máy chủ mạng Nó phát cơng độc hại mà phương pháp phòng thủ truyền thống khơng xác định Như vậy, đóng vai trò quan trọng q trình quản lý bảo mật dịch vụ Web an toàn xử lý liệu Phát 18 V Đ Giang, N D Thái, P V Nhã, “Mơ hình hệ thống phát hiện… phân cụm mờ lai ghép.” Nghiên cứu khoa học công nghệ xâm nhập nói chung chia thành hai loại: phát sử dụng sai quy cách phát bất thường Phát sử dụng sai quy cách dựa công biết lỗ hổng hệ thống để xây dựng quy tắc phát sử dụng để đánh giá kết nối mạng có phải kết nối xâm nhập hay khơng Nó có tỷ lệ xác tốc độ phản ứng cao, hạn chế lớn phát công quy tắc phát cập nhật tay Phát bất thường xác định xem kết nối có phải kết nối xâm nhập hay không cách phát độ lệch mẫu kết nối với mẫu hành vi bình thường [12] mơ tả so sánh vài phương pháp hệ thống phát mạng bất thường Nói chung, phát bất thường tìm thấy cơng chưa biết, mẫu hành vi bình thường thu bị nhầm lẫn với hành vi bất thường, nên tỷ lệ cảnh báo sai gia tăng [16], [29] Để khắc phục vấn đề này, số hệ thống phát xâm nhập IDS sử dụng kỹ thuật khai phá liệu máy học thiết kế, mà chủ yếu sử dụng để điều tra phát đặc tính, phân loại phán đốn xâm nhập [20] đề xuất mơ hình phát xâm nhập cách phân cụm luồng liệu kết nối, sau sử dụng kết phân cụm để phân tích phát bất thường cho mạng khơng dây Cấu trúc liệu ban đầu độ phức tạp thuật tốn phân lớp giảm tiến trình phân cụm, tâm cụm khởi tạo ngẫu nhiên, nên chất lượng phân cụm bị ảnh hưởng hạn chế vốn có thuật tốn phân cụm dễ rơi vào bẫy tối ưu cục Một số mơ hình phát xâp nhập hiệu đề xuất gần mơ hình sử dụng mạng thần kinh nhân tạo ANN để phát xâm nhập [19], sử dụng phương pháp phân cụm mờ FCM lai ghép với phương pháp xác định tâm cụm để phát xâm nhập bất thường [21] [30] nghiên cứu khả áp dụng máy vector hỗ trợ SVM để xây dựng IDS So sánh tối ưu giải thuật di truyền GA ANN SVM IDS mô tả [5] Tuy nhiên, ANN vốn có độ phức tạp việc khởi tạo giá trị đặc tính phân lớp chủ yếu sử dụng liệu phi tuyến, SVM có khả chỉnh sửa lỗi tốt khả điều khiển tốt [1], [6] Đây lý giúp lựa chọn kỹ thuật SVM báo Mơ hình phát bất thường không giám sát đề xuất [25] Mơ hình sử dụng thuật tốn K-Means để tự động xác định số cụm ghi kết nối bình thường, sau đó, xây dựng mơ hình SVM lớp [33] đề xuất sử dụng Tạp chí Nghiên cứu KH&CN qn sự, Số Đặc san An tồn Thơng tin, 05 - 2017 19 Công nghệ thông tin FCM SVM đa lớp để dự đoán nồng độ silicon metal nóng, [9] đề xuất mơ hình IDS áp dụng kỹ thuật FCM ANN Nói chung, mơ hình sử dụng kỹ thuật FCM để khởi tạo cụm thu hiệu suất tốt SVM ANN đơn lớp Tuy nhiên, phương pháp FCM truyền thống nhạy cảm với khởi tạo dễ rơi vào bẫy tối ưu cục bộ, ảnh hưởng đến kết dự đốn tồn hệ thống IDS Các thuật tốn tiến hóa giải thuật di truyền thường sử dụng để tìm tâm cụm khởi tạo cho thuật tốn FCM sử dụng PSO để tìm tâm cụm khởi tạo cho FCM [27], sử dụng GA để tìm tâm cụm khởi tạo [34] [4] sử dụng GA để tìm tâm cụm khởi tạo cho thuật tốn FCM mơ hình IDS sử dụng SVM Tuy nhiên, theo kết nghiên cứu so sánh kỹ thuật GA PSO từ [26], [28] cho thấy ảnh hưởng kích thước phân bố thời gian tìm giải pháp GA tăng theo lũy thừa PSO tăng theo tuyến tính; xu hội tụ sớm GA thấp so với PSO; khơng gian tìm kiếm PSO liên tục GA rời rạc; khả tránh bẫy tối ưu cục PSO cao so với GA Như vậy, thuật toán PSO lựa chọn phù hợp so với thuật tốn GA để tìm kiếm tâm cụm khởi tạo cho thuật toán phân cụm Trong báo này, chúng tơi đề xuất mơ hình phát xâm nhập bất thường PFCMS cách lai ghép thuật toán FCM dựa thuật toán PSO SVM Thuật toán PSO sử dụng để khởi tạo tâm cụm cho thuật toán phân cụm FCM để sinh cụm có thuộc tính cho SVM để phát xâm nhập bất thường Thực nghiệm tiến hành liệu chuẩn mẫu KDD CUP ’99 Kết thực nghiệm chứng tỏ mơ hình đề xuất đạt kết vượt trội so với mơ hình IDS đề xuất trước Tiếp theo, báo tổ chức sau Mục 2, trình bày số vấn đề lý thuyết liên quan đến kỹ thuật sử dụng báo; Mục 3, trình bày chi tiết mơ hình PFCMS đề xuất; Mục vài kết thực nghiệm, đánh giá hiệu suất; Mục 5, kết luận định hướng nghiên cứu NHỮNG VẤN ĐỀ CƠ BẢN Trong mục này, trình bày số vấn đề lý thuyết liên quan đến báo Bao gồm thuật toán Phân cụm mờ, thuật toán Tối ưu bầy đàn kỹ thuật phân lớp Máy vector hỗ trợ 2.1 Thuật toán Phân cụm mờ Thuật toán Phân cụm liệu thường áp dụng để tìm cấu trúc liệu ứng dụng rộng rãi nhiều lĩnh vực chuyên môn khác Để 20 V Đ Giang, N D Thái, P V Nhã, “Mơ hình hệ thống phát hiện… phân cụm mờ lai ghép.” Nghiên cứu khoa học công nghệ nâng cao hiệu suất phân cụm liệu, thuật toán Phân cụm kết hợp với logic mờ nhằm tăng khả thu nhận vấn đề không chắn liệu, thuật toán gọi thuật toán Phân cụm mờ Thuật toán phân cụm mờ lần giới thiệu Dunn [13] sau sửa đổi Bezdek [15] (gọi thuật toán Fuzzy C-Means (FCM)) Trong khn khổ thuật tốn FCM sử dụng mô đun Phân cụm để phân cụm liệu huấn luyện thành C cụm khác Hàm mục tiêu FCM cho công thức (1): C N J FCM (U ; p1 , p2 , , pC ; X ) ucim d ci2 (1) c 1 i 1 đó, X tập N ghi liệu kết nối, uci độ thuộc ghi thứ i cụm c uci bị ràng buộc điều kiện (2): C u ci 1, với i=1,2, …,N (2) c 1 uci xác định theo công thức (3): uci d ci j 1 ij C (3) (m 1) d pc tâm cụm c, tính theo cơng thức (4): N u pc m ci i x i 1 N u (4) m ci i 1 dci bình phương khoảng cách Euclidean ghi liệu kết nối xi với tâm cụm vc, định nghĩa sau: K d ci (x ik vck ) (5) k 1 Số mũ m sử dụng để điều chỉnh trọng số ảnh hưởng giá trị hàm thuộc, m lớn tăng độ mờ hàm mục tiêu JFCM, m thường lựa chọn Thuật tốn FCM mơ tả theo bước sau: Thuật toán Thuật toán Phân cụm mờ Bước Input: Tập liệu X xi , xi R K , i N , số cụm C (1