วิธีการแบบผสมสำหรับการสกัดคุณลักษณะของชุดข้อมูลบนเครือข่ายเพื่อระบุผู้บุกรุกแบบเวลาจริง

Abstract

วิธีการของการตรวจจับการบุกรุกสามารถแบ่งออกได้เป็น 2 ชนิด คือ วิธีการตรวจจับการบุกรุกแบบอโนมาลี (anomaly intrusion detection method) และวิธีการตรวจจับการบุกรุกแบบมิสยูส (misuse intrusion detection method) โดยที่วิธีการตรวจจับการบุกรุกแบบอโนมาลีนั้นเป็นวิธีการหาผู้บุกรุกโดยการวิเคราะห์การใช้งานของผู้ใช้งาน หรือตัวระบบเองที่เบี่ยงเบนไปจากระดับการใช้งานโดยปกติ ส่วนการตรวจจับการบุกรุกแบบมิสยูสนั้น เป็นวิธีการหาผู้บุกรุกโดยการเปรียบเทียบข้อมูลที่เข้ามากับรูปแบบของผู้บุกรุกที่มีอยู่เดิม ซึ่งทั้งสองวิธีนี้มีจุดแข็งและจุดอ่อนที่แตกต่างกัน ปัญหาที่เด่นชัดที่สุดของการตรวจจับการบุกรุกแบบมิสยูส คือ ไม่สามารถตรวจจับการบุกรุกแบบใหม่ หรือการบุกรุกที่ไม่มีในชุดรูปแบบของผู้บุกรุกที่มีได้ ส่วนการตรวจจับการบุกรุกแบบอโนมาลีนั้น จะสามารถตรวจจับการบุกรุกจากผู้บุกรุกที่ไม่มีในฐานข้อมูลการบุกรุกได้ แต่ปัญหาที่สำคัญในการตรวจจับการบุกรุกแบบอโนมาลีคือ ทำอย่างไรถึงจะสร้างเค้าโครงของการใช้งานปกติที่ดีได้ ในงานวิจัยนี้ คณะผู้วิจัยได้แสดงให้เห็นแล้วว่าการสกัดคุณลักษณะของชุดข้อมูลบนเครือข่าย มีความสำคัญต่อการพัฒนาการระบุผู้บุกรุกเป็นอย่างมากในการได้มาซึ่งตัวแทนชุดคุณลักษณะของชุดข้อมูลที่เหมาะสม เพื่อใช้ในการระบุผู้บุกรุกโดยอาศัยวีการแบบผสมในการสกัดคุณลักษณะของชุดข้อมูลเครือข่าย ซึ่งจะเพิ่มความสามารถในการะบุผู้บุกรุกได้เหมาะสมมากกว่า การพัฒนาการสกัดคุณลักษณะชุดข้อมูลเครือข่าย ประกอบด้วย 2 ขั้นตอน คือ 1. การหาคุณลักษณะของชุดข้อมูลที่สามารถแทนข้อมูลได้และมีข้อจำนวนคุณลักษณะที่เหมาะสม และขั้นตอนที่ 2 การรู้จำรูปแบบการบุกรุกเพื่อระบุผู้บุกรุกจากชุดข้อมูลบนเครือข่ายจากคุณลักษณะที่ได้จากการสกัดคุณลักษณะของชุดข้อมูล โดยวัดประสิทธิภาพจากอัตราความเร็วในการตรวจจับผู้บุกรุก และเปอร์เซ็นต์ความผิดพลาดของการตรวจจับผู้บุกรุก