Báo Cáo Tìm hiểu kĩ thuật học máy được sử dụng phát hiện đột nhập dị thường SVM

I.Giới thiệu
Thiết kế và cái đặt hệ thống phát hiện đột nhập là một vấn đề nghiên cứu quan trọng trong an toàn mạng. Các hệ thống phát hiện đột nhâp được học và đề xuất gặp phải các thách thức trong môi trường internet. Không phải là sự thổi phòng trạng thái mà một hệ thống phát hiện đột nhập phải là một hệ thống hiện đại. Kĩ thuật phát hiện đột nhập có thể chia thành 2 nhóm : phát hiện sai và phát hiện dị thường.
Phát hiện sai nhận ra các các hành động đột nhập dựa trên các hành vi đã biết từ quá trình phát triển. Phát hiện sai tương tự các phần mềm diệt vi rút. Chúng so sánh dữ liệu với cơ sở dữ liệu virus có sẵn. Phát hiện sai là tập hợp các hành vi tấn công từ cơ sở dữ liệu thuộc tính. Do đó chúng có hạn chế không thể phát hiện đột nhập mới xảy ra ví dụ các sự kiện chưa xảy ra bao giờ. Phát hiện di thường khác biệt so với phát hiện sai.
Phát hiện dị thường dựa trên phân tích dữ liệu các sự kiện và nhận ra các mẫu của các hành động xuất hiện một cách bình thường. Nếu một sự kiện xảy ra ngoài mẫu, chúng được báo cáo như một xâm nhập. Có thể xem phương pháp này là phương pháp tiếp cận nửa học máy.
Có nhiều kĩ thuật học máy được sử dụng phát hiện đột nhập dị thường. Qiao giới thiệu một phương pháp phát hiện đột nhập dựa vào mô hình ẩn của Markov để phân tích tập dữ liệu UNM. Lee thiết lập mô hình phất hiện đột nhập kết hợp luật kết hợp và logic mờ điều chế mãu cho phất hiện dột nhâp. Mohajeran phát triển hệ thống phát hiện đôt nhập kết hợp mạng nơron và logic mờ phân tích tập dữ liệu KDD, Wang áp dụng thuật toán di truyền dánh giá hàm thành viên cho khai phái mờ luật kết hợp.
SVM (SVM) là một kĩ thuật phổ biến cho phát hiện đột nhâp dị thường. SVM huấn luyện vector vào không gian đặc trưng có số chiều lớn hơn, gán nhãn mỗi vector vào các lớp. SVM phân loại dữ liệu bởi giới hạn một tập vector hỗ trợ chúng là thành viên của tập dữ liệu huấn luyện nằm trên lề siêu phẳng của không gian đặc trưng.
SVM cung cấp một cơ chế chung để phù hợp với bề mặt siêu phẳng dữ liệu thông qua hàm nhân. Có nhiều hàm (tuyến tính, đa giác, xích ma) cho SVM trong quá trình huấn luyện, lựa chọn vector hỗ trợ theo bề mặt của hạt nhân.
Lý do SVM cho phát hiện đột nhâp. Thứ nhát là tốc độ : hiệu suất thời gian thực là yếu tố quan trọng hàng đầu cho hệ thống phát hiện đột nhập, Thứ hai là khả năng mở rộng : SVM là tương đối không nhảy cảm với số lượng các điểm dữ liệu và phân loại phưc tạp không phụ thuộc vào chiều của không gian vì vậy có khă năng học tập lớn các mẫu.