I. Giới thiệu về thuật toán cây quyết định
Thuật toán cây quyết định là một trong những phương pháp phổ biến trong lĩnh vực học máy. Nó được sử dụng để phân loại và dự đoán dựa trên các thuộc tính của dữ liệu. Trong bối cảnh phát hiện tấn công mạng, thuật toán này giúp xác định các hành vi bất thường trong lưu lượng mạng. Cây quyết định hoạt động bằng cách chia nhỏ dữ liệu thành các nhánh dựa trên các thuộc tính khác nhau, từ đó đưa ra quyết định cuối cùng. Việc áp dụng thuật toán này trong dữ liệu KDD99 và UNSW-NB15 cho thấy khả năng phân loại chính xác các cuộc tấn công mạng. Theo nghiên cứu, cây quyết định có thể đạt được hiệu suất cao trong việc phát hiện các loại tấn công khác nhau, từ tấn công từ chối dịch vụ đến tấn công xâm nhập. Điều này cho thấy giá trị thực tiễn của thuật toán trong việc bảo vệ an ninh mạng.
1.1. Cấu trúc và nguyên lý hoạt động
Cấu trúc của cây quyết định bao gồm các nút quyết định và các nhánh dẫn đến các kết quả khác nhau. Mỗi nút trong cây đại diện cho một thuộc tính của dữ liệu, trong khi các nhánh thể hiện các giá trị của thuộc tính đó. Nguyên lý hoạt động của cây quyết định dựa trên việc tối ưu hóa độ chính xác của các quyết định thông qua việc phân chia dữ liệu. Việc sử dụng các thuật toán như ID3, C4.5 và CART giúp cải thiện khả năng phân loại của cây quyết định. Đặc biệt, trong bối cảnh phát hiện tấn công mạng, cây quyết định có thể được sử dụng để phân loại các hành vi mạng thành hai nhóm: hành vi bình thường và hành vi bất thường. Điều này giúp các hệ thống phát hiện xâm nhập (IDS) nhanh chóng nhận diện các cuộc tấn công tiềm ẩn.
II. So sánh dữ liệu KDD99 và UNSW NB15
Hai bộ dữ liệu KDD99 và UNSW-NB15 đều được sử dụng rộng rãi trong nghiên cứu phát hiện tấn công mạng. KDD99, được phát triển từ KDD Cup 1999, chứa khoảng 4.900 mẫu dữ liệu với 41 thuộc tính, trong khi UNSW-NB15 cung cấp 2.540.044 mẫu với 49 thuộc tính. Sự khác biệt về quy mô và cấu trúc giữa hai bộ dữ liệu này ảnh hưởng đến hiệu suất của các thuật toán cây quyết định. KDD99 chủ yếu tập trung vào các cuộc tấn công đã biết, trong khi UNSW-NB15 bao gồm cả các cuộc tấn công mới và chưa được biết đến. Điều này cho thấy UNSW-NB15 có tính thực tiễn cao hơn trong việc phát hiện các cuộc tấn công hiện đại. Nghiên cứu cho thấy rằng các thuật toán cây quyết định có thể hoạt động hiệu quả trên cả hai bộ dữ liệu, nhưng cần điều chỉnh các tham số để tối ưu hóa hiệu suất.
2.1. Đặc điểm của bộ dữ liệu KDD99
Bộ dữ liệu KDD99 được xây dựng từ các bản ghi lưu lượng mạng và chứa nhiều loại tấn công khác nhau như tấn công từ chối dịch vụ, tấn công xâm nhập và tấn công dò tìm. Mặc dù KDD99 đã được sử dụng rộng rãi trong nghiên cứu, nhưng nó cũng gặp phải một số hạn chế, bao gồm sự không đầy đủ của các mẫu dữ liệu và sự thiếu đa dạng trong các loại tấn công. Điều này có thể dẫn đến việc các mô hình học máy được xây dựng trên KDD99 không thể phát hiện chính xác các cuộc tấn công mới. Tuy nhiên, KDD99 vẫn là một bộ dữ liệu quan trọng trong việc phát triển và thử nghiệm các thuật toán phát hiện tấn công mạng.
2.2. Đặc điểm của bộ dữ liệu UNSW NB15
Bộ dữ liệu UNSW-NB15 được phát triển gần đây hơn và bao gồm nhiều loại tấn công hiện đại, phản ánh thực tế của các mối đe dọa mạng ngày nay. UNSW-NB15 cung cấp một tập hợp phong phú các thuộc tính, cho phép các nhà nghiên cứu xây dựng các mô hình học máy chính xác hơn. Bộ dữ liệu này cũng bao gồm các thuộc tính về thời gian và địa chỉ IP, giúp cải thiện khả năng phát hiện các cuộc tấn công phức tạp. Việc sử dụng UNSW-NB15 trong nghiên cứu cho thấy rằng các thuật toán cây quyết định có thể được tối ưu hóa để đạt được hiệu suất cao hơn trong việc phát hiện các hành vi bất thường trong lưu lượng mạng.
III. Đánh giá hiệu suất của thuật toán cây quyết định
Đánh giá hiệu suất của các thuật toán cây quyết định trong phát hiện tấn công mạng là một phần quan trọng trong nghiên cứu. Các chỉ số như độ chính xác, độ nhạy và độ đặc hiệu thường được sử dụng để đo lường hiệu suất. Nghiên cứu cho thấy rằng thuật toán Random Forest, một biến thể của cây quyết định, thường đạt được hiệu suất cao hơn so với các thuật toán cây quyết định đơn giản khác. Việc áp dụng các phương pháp như tối ưu hóa tham số và cross-validation giúp cải thiện đáng kể độ chính xác của mô hình. Kết quả thực nghiệm cho thấy rằng các mô hình được xây dựng trên UNSW-NB15 có thể phát hiện các cuộc tấn công với độ chính xác lên đến 95%, trong khi KDD99 có độ chính xác thấp hơn do sự không đầy đủ của dữ liệu.
3.1. Kết quả thực nghiệm trên KDD99
Kết quả thực nghiệm trên bộ dữ liệu KDD99 cho thấy rằng thuật toán cây quyết định có thể phát hiện các cuộc tấn công với độ chính xác khoảng 90%. Tuy nhiên, do sự không đa dạng của các loại tấn công trong KDD99, một số cuộc tấn công mới có thể không được phát hiện. Điều này cho thấy rằng mặc dù KDD99 là một bộ dữ liệu quan trọng, nhưng nó không đủ để xây dựng các mô hình phát hiện tấn công mạng hiệu quả trong bối cảnh hiện đại. Các nghiên cứu tiếp theo cần xem xét việc sử dụng các bộ dữ liệu phong phú hơn để cải thiện khả năng phát hiện.
3.2. Kết quả thực nghiệm trên UNSW NB15
Kết quả thực nghiệm trên bộ dữ liệu UNSW-NB15 cho thấy rằng các thuật toán cây quyết định có thể đạt được độ chính xác lên đến 95%. Điều này cho thấy rằng UNSW-NB15 cung cấp một môi trường thử nghiệm tốt hơn cho các mô hình học máy. Việc sử dụng các thuộc tính phong phú và đa dạng trong UNSW-NB15 giúp cải thiện khả năng phát hiện các cuộc tấn công phức tạp. Nghiên cứu cũng chỉ ra rằng việc kết hợp các thuật toán cây quyết định với các phương pháp học máy khác có thể mang lại hiệu quả cao hơn trong việc phát hiện tấn công mạng.
