In this paper, we propose a rule ev

Trong bài này, chúng tôi đề xuất một cách tiếp cận tiến hóa quy tắc dựa trên di truyền lập trình (GP) (Koza 1992; Wong và Leung 2000) để phát hiện các cuộc tấn công được biết đến hoặc tiểu thuyết trên mạng. Bác sĩ gia đình mở rộng ý tưởng cơ bản của thuật toán di truyền (GA), và phát triển cấu trúc dữ liệu phức tạp hơn. Để làm như vậy, nó sử dụng phân tích cây để đại diện cho dân số ban đầu, thay vì nhiễm sắc thể. Hơn nữa, bác sĩ gia đình kỹ thuật có thể được sử dụng để phát triển dân số cá nhân, trong khi GA tìm kiếm giải pháp tốt nhất trong tất cả các giải pháp có thể. Quy tắc ban đầu được lựa chọn dựa trên nền tảng kiến thức từ cuộc tấn công được biết đến và có thể được biểu diễn như phân tích cây. GP sẽ phát triển các quy tắc ban đầu để tạo ra các quy định mới. Quy định mới được sử dụng để phát hiện các tiểu thuyết hoặc tấn công được biết đến. Để phát triển và đánh giá các quy tắc mới, chúng tôi sử dụng việc đào tạo và kiểm tra số liệu đề xuất bởi DARPA (Lippmann 2000), bao gồm hầu như tất cả được biết đến mạng-dựa trên cuộc tấn công, cụ thể là đất, synflood, bóng của cái chết (pod), smurf, teardrop, trở lại, sao Hải Vương, ipsweep, portsweep, và UDPstorm tấn công. Bằng chứng của khái niệm thực hiện cho thấy bác sĩ gia đình dựa trên phương pháp tiếp cận có thể phát hiện smurf và cuộc tấn công UDPstorm, vắng mặt từ bộ dữ liệu đào tạo. Sai tiêu cực mức bình (FNR) cho mỗi quy tắc là 5.04%, và tỷ lệ tích cực sai trung bình (FPR) là 5.23%. Mức trung bình là phát hiện các cuộc tấn công không rõ cho mỗi quy tắc là 57,14%. Hơn nữa, chúng tôi vẽ một đường cong đặc trưng (Trung Hoa dân Quốc) nhận được nhà điều hành của tỷ lệ FPR và phát hiện khi chúng tôi áp dụng bộ dữ liệu thử nghiệm để đánh giá chúng tôi quy tắc cơ bản. Đường cong ROC cho thấy tỷ lệ phát hiện sẽ gần gũi với 100% khi (FPR) té ngã trong phạm vi giữa 1,4% và 1,8%.

Trong bài báo này, chúng tôi đề xuất một cách tiếp cận tiến hóa dựa trên nguyên tắc về lập trình di truyền (GP) (Koza 1992; Wong Leung và 2000) để phát hiện các cuộc tấn công đã biết hay tiểu thuyết trên mạng. GP mở rộng ý tưởng cơ bản của thuật toán di truyền (GA), và phát triển ra các cấu trúc dữ liệu phức tạp hơn. Để làm như vậy, nó sử dụng phân tích cây để đại diện cho quần thể ban đầu, thay vì nhiễm sắc thể. Hơn nữa, các kỹ thuật GP có thể được sử dụng để phát triển dân số của các cá nhân, trong khi GA tìm kiếm giải pháp tốt nhất trong tất cả các giải pháp có thể. Quy tắc ban đầu được lựa chọn dựa trên nền tảng kiến ​​thức từ các cuộc tấn công được biết đến và có thể được biểu diễn như là cây phân tích cú pháp. GP sẽ phát triển các quy tắc ban đầu để tạo ra các quy định mới. Quy định mới được sử dụng để phát hiện tiểu thuyết hay tấn công đã biết. Để phát triển và đánh giá các quy định mới, chúng tôi sử dụng đào tạo và thử nghiệm các bộ dữ liệu của DARPA (Lippmann năm 2000), bao gồm hầu hết tất cả các cuộc tấn công dựa trên mạng-, cụ thể là đất, synflood, ping đến tử vong (pod), smurf, teardrop, lại đề xuất , các cuộc tấn công neptune, ipsweep, portsweep, và UDPstorm. Các bằng chứng về việc thực hiện khái niệm cho thấy các phương pháp tiếp cận dựa GP-có thể phát hiện Smurf và UDPstorm tấn công, mà vắng mặt từ các tập dữ liệu huấn luyện. Các sai trung bình tỷ lệ tiêu cực (FNR) cho mỗi quy tắc là 5,04% và tỷ lệ dương tính giả trung bình (FPR) là 5,23%. Tỷ lệ trung bình phát hiện các cuộc tấn công không rõ cho từng quy tắc là 57,14%. Hơn nữa, chúng ta vẽ một nhà điều hành tiếp nhận đặc trưng (ROC) đường cong của FPR và tỷ lệ phát hiện khi chúng ta áp dụng các bộ dữ liệu thử nghiệm để đánh giá cơ sở nguyên tắc của mình. Đường cong ROC cho thấy tỷ lệ phát hiện sẽ được gần 100% khi (FPR) nằm trong khoảng từ 1,4% và 1,8%.