Figure 3.11: ROC curves for ports 2

Con số 3,11: ROC đường cong cho cổng 21, 23, 25, 80 cho các mô hình khác nhau năm. Thông báo cáctrục x quy mô là khác nhau cho mỗi lô và không khoảng 100%, nhưng chỉ giới hạn ở tồi tệ nhấttỷ lệ sai tích cực cho mỗi lôTừ con số 3,11, chúng ta có thể thấy rằng các mô hình dựa trên trọng tải là rất tốt lúc phát hiệnCác cuộc tấn công cổng 21 đến cổng 80. Cho cổng 21, những kẻ tấn công thường đầu tiên tải lên một số mã độc hại vào nạn nhân máy và sau đó đăng nhập vào tai nạn máy hoặc truy cập gốc,như casesen và sechole. Dữ liệu kiểm tra cũng bao gồm các cuộc tấn công đó tải lên/tải về bất hợp phápbản sao của phần mềm, như warezmaster và warezclient. Các cuộc tấn công đã phát hiện một cách dễ dàngvì nội dung của họ mà là hiếm khi thực thi mã và khá khác nhau từcác tập tin phổ biến đi qua FTP. Cho cổng 80, các cuộc tấn công là thường bị thay đổi HTTPyêu cầu và là rất khác so với bình thường yêu cầu. Ví dụ, crashiis sẽ gửi yêu cầu

Hình 3.11: Các đường ROC cho cổng 21, 23, 25, 80 cho năm mô hình khác nhau. Chú ý các
quy mô trục x là khác nhau cho từng lô và không kéo dài đến 100%, nhưng chỉ giới hạn tồi tệ nhất
tỷ lệ dương tính giả cho từng lô
Từ hình 3.11 chúng ta có thể thấy rằng mô hình tải trọng trên là rất tốt trong việc phát hiện
các cuộc tấn công để cổng 21 và cổng 80. Đối cổng 21, những kẻ tấn công thường đầu tiên tải lên một số mã độc lên máy tính nạn nhân và sau đó đăng nhập vào đụng xe máy hoặc có thể truy cập root,
như casesen và sechole. Các dữ liệu thử nghiệm cũng bao gồm các cuộc tấn công đó upload / download bất hợp pháp
các bản sao của phần mềm, như warezmaster và warezclient. Những cuộc tấn công đã được phát hiện dễ dàng
bởi vì nội dung của họ mà hiếm khi nhìn thấy mã thực thi và hoàn toàn khác với
các file này sẽ thông qua FTP. Đối với cổng 80, các cuộc tấn công thường bị thay đổi HTTP
yêu cầu và rất khác biệt với các yêu cầu bình thường. Ví dụ, crashiis gửi yêu cầu