-
08/10/2013
-
400
-
985 bài viết
Các mô hình học sâu (Deep Learning) sử dụng cho phát hiện xâm nhập mạng
Deep Learning (DL) là tập con của ML bao gồm nhiều lớp ẩn để có được các đặc tính của mạng học sâu. Các kỹ thuật này hiệu quả hơn ML do cấu trúc sâu và khả năng tự học các tính năng quan trọng từ bộ định dạng và tạo ra kết quả đầu ra. Học sâu chủ yếu được phát triển dựa trên nguyên lý kỹ thuật mạng nơ ron nhân tạo. Phần này trình bày các phương pháp tiếp cận DL được áp dụng để đề xuất các giải pháp NIDS.
Mạng nơron tái tạo (Recurrent neural networks - RNN) mở rộng khả năng của mạng nơron truyền thống và được thiết kế để lập mô hình dữ liệu dạng tuần tự. RNN được tạo ra từ các đơn vị: đầu vào-đơn vị ẩn-đơn vị đầu ra, trong đó các đơn vị ẩn được coi là các phần tử nhớ. Để đưa ra quyết định, mỗi đơn vị RNN dựa vào đầu vào hiện tại của nó và đầu ra của đầu vào trước đó. RNN được sử dụng rộng rãi trong các lĩnh vực khác nhau như xử lý giọng nói, nhận dạng hoạt động của con người, dự đoán chữ viết tay và hiểu ngữ nghĩa. Đối với hệ thống IDS, RNN có thể được sử dụng cho bài toán phân lớp có giám sát hoặc trích xuất đặc trưng. IDS dựa trên RNN được một số nghiên cứu đề xuất để phân loại nhị phân và phân lớp đa lớp trên tập dữ liệu NSL-KDD. Mô hình đã được thử nghiệm bằng cách sử dụng một số nút ẩn và tốc độ học khác nhau. Kết quả cho thấy rằng tốc độ học và số lượng các nút ẩn ảnh hưởng đến độ chính xác của mô hình.
Autoencoder là mạng nơ ron nhân tạo (ANN) có khả năng học hiệu quả các biểu diễn của dữ liệu đầu vào mà không cần nhãn. Các biểu diễn này thường có chiều nhỏ hơn nhiều so với đầu vào, do đó autoencoder có thể dùng trong các bài toán giảm chiều dữ liệu. Hơn nữa, autoencoder còn có thể hoạt động như các bộ phát hiện đặc trưng, để lấy ra các đặc trưng trước khi huấn luyện nhằm thực hiện các bài toán khác. Một số nghiên cứu đề xuất mô hình IDS sử dụng bộ autoencoder cải tiến (stacked sparse autoencoder - SSAE) và máy vector hỗ trợ (SVM). SSAE được sử dụng làm phương pháp trích xuất đặc trưng và SVM làm bộ phân loại. Kết quả cho thấy kết quả phân loại vượt trội so với các kỹ thuật trích chọn đặc trưng và kỹ thuật học máy khác trên tập dữ liệu NSL-KDD.
Mạng nơ ron sâu (Deep Neural Network - DNN) là một dạng cụ thể của lĩnh vực học sâu. Mạng nơ ron sâu là một mạng nơ ron nhân tạo nhưng có kiến trúc phức tạp và "sâu" hơn nhiều so với kiến trúc của mạng nơ ron truyền thống. Nghĩa là nó có số nút trong mỗi lớp và số lớp ẩn lớn hơn rất nhiều và cách thức hoạt động của nó phức tạp hơn so với kiến trúc mạng nơ ron truyền thống. Một số nghiên cứu đã chỉ ra sự vượt trội của mô hình này trong việc phát hiện xâm nhập, trên nhiều tập dữ liệu KDDCup 99, NSL-KDD, Kyoto, UNSW-NB15, WSN-DS, and CICIDS 2017.
Mạng nơ-ron tích chập (Convolutional neural network - CNN) là một dạng cụ thể của mạng nơ ron sâu. Mạng nơ ron tích chập có một lớp vào, một lớp ra và nhiều lớp ẩn khác nhau. Các lớp ẩn gồm các loại như: lớp tích chập, lớp giảm kích thước, lớp sửa dữ liệu, lớp chuẩn hóa, lớp kết nối đầy đủ... Trong đó, lớp tích chập được sử dụng nhằm tạo liên kết giữa các lớp liền kề trong phạm vi nhỏ, giới hạn trong một vùng cục bộ. Điều này giúp giảm đáng kể các việc tính toán các hàm truyền giữa các lớp mà vẫn duy trì được mối liên hệ giữa các nơ ron để trích xuất đặc trưng của dữ liệu ở các lớp sau đó của mạng. Một số nghiên cứu đề xuất một IDS hiệu quả dựa trên CNN. Ý tưởng là đầu tiên thực hiện trích xuất đặc trưng bằng cách sử dụng kỹ thuật phân tích thành phần và autoencoder. Sau đó biến đổi vectơ một chiều (tập đặc trưng) thành ma trận hai chiều và đưa vào mạng nơ ron tích chập. Các thử nghiệm được thực hiện trên tập dữ liệu KDD Cup'99, cho thấy hiệu quả của nó về thời gian thực hiện bởi các thuật toán trong giai đoạn huấn luyện và kiểm tra.
Mạng học sâu niềm tin (Deep belief net-DBN) là một mô hình mạng nơ-ron nhân tạo nhiều lớp. Quá trình huấn luyện mạng DBN gồm hai pha: tiền huấn luyện và hiệu chỉnh trọng số. Trong pha tiền huấn luyện, máy học Boltzmann được sử dụng để khởi tạo trọng số tốt nhất cho mô hình với dữ liệu không cần được gán nhãn. Trong pha hiệu chỉnh trọng số, DBN tiếp tục được huấn luyện bằng phương pháp lan truyền ngược cổ điển với dữ liệu được gán nhãn. Đối với IDS, DBN được sử dụng cho các nhiệm vụ trích xuất đặc trưng và phân lớp.
Mạng nơron tái tạo (Recurrent neural networks - RNN) mở rộng khả năng của mạng nơron truyền thống và được thiết kế để lập mô hình dữ liệu dạng tuần tự. RNN được tạo ra từ các đơn vị: đầu vào-đơn vị ẩn-đơn vị đầu ra, trong đó các đơn vị ẩn được coi là các phần tử nhớ. Để đưa ra quyết định, mỗi đơn vị RNN dựa vào đầu vào hiện tại của nó và đầu ra của đầu vào trước đó. RNN được sử dụng rộng rãi trong các lĩnh vực khác nhau như xử lý giọng nói, nhận dạng hoạt động của con người, dự đoán chữ viết tay và hiểu ngữ nghĩa. Đối với hệ thống IDS, RNN có thể được sử dụng cho bài toán phân lớp có giám sát hoặc trích xuất đặc trưng. IDS dựa trên RNN được một số nghiên cứu đề xuất để phân loại nhị phân và phân lớp đa lớp trên tập dữ liệu NSL-KDD. Mô hình đã được thử nghiệm bằng cách sử dụng một số nút ẩn và tốc độ học khác nhau. Kết quả cho thấy rằng tốc độ học và số lượng các nút ẩn ảnh hưởng đến độ chính xác của mô hình.
Autoencoder là mạng nơ ron nhân tạo (ANN) có khả năng học hiệu quả các biểu diễn của dữ liệu đầu vào mà không cần nhãn. Các biểu diễn này thường có chiều nhỏ hơn nhiều so với đầu vào, do đó autoencoder có thể dùng trong các bài toán giảm chiều dữ liệu. Hơn nữa, autoencoder còn có thể hoạt động như các bộ phát hiện đặc trưng, để lấy ra các đặc trưng trước khi huấn luyện nhằm thực hiện các bài toán khác. Một số nghiên cứu đề xuất mô hình IDS sử dụng bộ autoencoder cải tiến (stacked sparse autoencoder - SSAE) và máy vector hỗ trợ (SVM). SSAE được sử dụng làm phương pháp trích xuất đặc trưng và SVM làm bộ phân loại. Kết quả cho thấy kết quả phân loại vượt trội so với các kỹ thuật trích chọn đặc trưng và kỹ thuật học máy khác trên tập dữ liệu NSL-KDD.
Mạng nơ ron sâu (Deep Neural Network - DNN) là một dạng cụ thể của lĩnh vực học sâu. Mạng nơ ron sâu là một mạng nơ ron nhân tạo nhưng có kiến trúc phức tạp và "sâu" hơn nhiều so với kiến trúc của mạng nơ ron truyền thống. Nghĩa là nó có số nút trong mỗi lớp và số lớp ẩn lớn hơn rất nhiều và cách thức hoạt động của nó phức tạp hơn so với kiến trúc mạng nơ ron truyền thống. Một số nghiên cứu đã chỉ ra sự vượt trội của mô hình này trong việc phát hiện xâm nhập, trên nhiều tập dữ liệu KDDCup 99, NSL-KDD, Kyoto, UNSW-NB15, WSN-DS, and CICIDS 2017.
Mạng nơ-ron tích chập (Convolutional neural network - CNN) là một dạng cụ thể của mạng nơ ron sâu. Mạng nơ ron tích chập có một lớp vào, một lớp ra và nhiều lớp ẩn khác nhau. Các lớp ẩn gồm các loại như: lớp tích chập, lớp giảm kích thước, lớp sửa dữ liệu, lớp chuẩn hóa, lớp kết nối đầy đủ... Trong đó, lớp tích chập được sử dụng nhằm tạo liên kết giữa các lớp liền kề trong phạm vi nhỏ, giới hạn trong một vùng cục bộ. Điều này giúp giảm đáng kể các việc tính toán các hàm truyền giữa các lớp mà vẫn duy trì được mối liên hệ giữa các nơ ron để trích xuất đặc trưng của dữ liệu ở các lớp sau đó của mạng. Một số nghiên cứu đề xuất một IDS hiệu quả dựa trên CNN. Ý tưởng là đầu tiên thực hiện trích xuất đặc trưng bằng cách sử dụng kỹ thuật phân tích thành phần và autoencoder. Sau đó biến đổi vectơ một chiều (tập đặc trưng) thành ma trận hai chiều và đưa vào mạng nơ ron tích chập. Các thử nghiệm được thực hiện trên tập dữ liệu KDD Cup'99, cho thấy hiệu quả của nó về thời gian thực hiện bởi các thuật toán trong giai đoạn huấn luyện và kiểm tra.
Mạng học sâu niềm tin (Deep belief net-DBN) là một mô hình mạng nơ-ron nhân tạo nhiều lớp. Quá trình huấn luyện mạng DBN gồm hai pha: tiền huấn luyện và hiệu chỉnh trọng số. Trong pha tiền huấn luyện, máy học Boltzmann được sử dụng để khởi tạo trọng số tốt nhất cho mô hình với dữ liệu không cần được gán nhãn. Trong pha hiệu chỉnh trọng số, DBN tiếp tục được huấn luyện bằng phương pháp lan truyền ngược cổ điển với dữ liệu được gán nhãn. Đối với IDS, DBN được sử dụng cho các nhiệm vụ trích xuất đặc trưng và phân lớp.
Chỉnh sửa lần cuối bởi người điều hành: