Luận án đề xuất được các đặc trưng mới để nhận dạng trang web phishing hiệu quả,
đồng thời xây dựng các thuật toán tổng quan tiền xử lý giá trị cho các đặc trưng.
2. Thiết kế các thuật toán cho 3 phương pháp nhận dạng phishing đó là phương pháp
nhận dạng sử dụng heuristic, phương pháp nhận dạng sử dụng lý thuyết mờ và phương
pháp nhận dạng sử dụng mạng nơron. Cả 3 phương pháp này mang lại hiệu quả tốt và
làm tiền đề để xây dựng các mô hình nơron mờ.
3. Luận án đề xuất bộ điều khiển sử dụng mô hình nơron mờ 4 lớp không dựa vào tập
luật với nhiều cách sử dụng hàm liên thuộc khác nhau. Trong mô hình này, phần đầu là
khối mô hình mờ và phần sau là khối mạng nơron 3 lớp, ngõ vào của mạng nơron này
là các giá trị mờ được tính thông qua khối mô hình mờ, kết quả xuất của mạng nơron
chính là kết quả của mô hình này dùng để nhận dạng.
36 trang |
Chia sẻ: mimhthuy20 | Lượt xem: 643 | Lượt tải: 0
Bạn đang xem trước 20 trang tài liệu Luận án Ứng dụng mạng rron xây dựng thuật toán tự dộng phát triển các trang web đánh cắp thông tin trên mạng, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ne. Tuy nhiên, phương pháp này cũng còn tồn
tại một vài khuyết điểm cần nghiên cứu và phát triển thêm đó là vấn đề xác định trọng
số của các đặc trưng và ngưỡng nhận dạng trang web phishing dựa vào phương pháp
thử sai và phụ thuộc vào kinh nghiệm của chuyên gia hoặc phụ thuộc vào việc khai thác
tập dữ liệu mẫu.
4.3 Phương pháp tự động nhận dạng phishing với bộ điều khiển sử dụng lý thuyết
mờ
Theo lý thuyết mờ, các bộ điều khiển mờ thông thường phải có các khối như sau:
khối mờ hóa, khối luật suy diễn, khối tổng hợp luật và khối giải mờ. Tuy nhiên, trong
phương pháp tự động nhận dạng phishing với bộ điều khiển sử dụng lý thuyết mờ này,
nghiên cứu sinh đã kết hợp hai khối mờ hóa và khối luật suy diễn thành một khối bằng
8
cách sử dụng hàm liên thuộc để xác định mức độ thuộc của từng đặc trưng vào trực tiếp
tập kết quả KQ bao gồm Phishing và Legitimate (trong đó Phishing là trang web phishing
và Legitimate là trang web thật). Do đó, phương pháp này không cần xây dựng khối luật
suy diễn If-Then vẫn xác định được mức độ thuộc vào tập kết quả KQ dựa vào giá trị mờ
của từng đặc trưng. Mỗi đặc trưng có 2 biến ngôn ngữ là Phishing và Legitimate, mỗi biến
ngôn ngữ có một hàm liên thuộc để tính giá trị mờ. Kế tiếp, nghiên cứu sinh xây dựng
khối tổng hợp mức độ thuộc của tất cả đặc trưng đối với kết quả là Phishing và tổng hợp
mức độ thuộc của tất cả đặc trưng đối với kết quả là Legitimate. Sau cùng, so sánh giá trị
của 2 mức độ thuộc tổng hợp này để xác định trang web đó là trang web phishing hay là
trang web thật. Phương pháp này cũng không dùng khối giải mờ vì mục đích của kết quả
nhận dạng là trang web phishing hay là trang web thật, và dựa vào kết quả nhận dạng này
hệ thống sẽ điều khiển trình duyệt web. Phương pháp này được trình bày trong công trình
của nghiên cứu sinh [CT7].
4.3.1 Mô hình hệ thống
Mô hình hệ thống của phương pháp này bao gồm 5 giai đoạn được mô tả trong
hình 4.6.
Giai đoạn 1: Chọn các đặc trưng sử dụng cho hệ thống như là PrimaryDomain,
SubDomain, PathDomain, PageRank, AlexaRank, AlexaReputation.
Giai đoạn 2: Tiền xử lý tính giá trị cho các đặc trưng.
Giai đoạn 3: Tính giá trị mờ hay còn gọi là tính mức độ thuộc của từng đặc
trưng vào hai biến ngôn ngữ Phishing và Legitimate bằng cách sử dụng các hàm
liên thuộc s-shaped và z-shaped theo công thức (4.2) và (4.3). Hai biến ngôn ngữ
này cũng chính là tập kết quả KQ cần nhận dạng của hệ thống. Do vậy, hệ thống
này không cần sử dụng tập luật suy diễn If-Then mà đã xác định được mức độ
thuộc của các đặc trưng vào tập kết quả KQ. Trong quá trình nghiên cứu tính chất
của các đặc trưng, nghiên cứu sinh nhận thấy các đặc trưng có chung đặc điểm là
khi giá trị của đặc trưng vượt quá ngưỡng giá trị nào đó sẽ có xu hướng là trang
web phishing hoặc là trang web thật và khi giá trị của đặc trưng nhỏ hơn ngưỡng
giá trị nào đó thì ngược lại. Do vậy, các hàm liên thuộc dùng để tính giá trị mờ
cho các đặc trưng phải có đồ thị dạng hình chữ s và z là phù hợp nhất.
9
Hình 4.6 - Mô hình hệ thống của phương pháp tự động nhận dạng phishing với bộ điều
khiển sử dụng lý thuyết mờ.
2
2
0,
2 ,
2
( , , )
1 2 ,
2
1,
x a
x a a b
a x
b a
S x a b
x b a b
x b
b a
x b
(4.2)
2
2
1,
1 2 ,
2
( , , )
2 ,
2
0,
x a
x a a b
a x
b a
Z x a b
x b a b
x b
b a
x b
(4.3)
Giai đoạn 4: Tính giá trị trung bình cho MP (Mean Phishing) và ML (Mean
Legitimate). Giai đoạn này tổng hợp mức độ thuộc của tất cả đặc trưng đối với kết
quả là Phishing và tổng hợp mức độ thuộc của tất cả đặc trưng đối với kết quả là
Legitimate theo phương pháp tính giá trị trung bình. MP là trung bình cộng giá trị
10
của các biến ngôn ngữ Phishing được tính theo công thức (4.4), ML là trung bình
cộng của các biến ngôn ngữ Legitimate được tính theo công thức (4.5).
1
N
i
i
P
MP
N
(4.4)
1
N
i
i
L
ML
N
(4.5)
Giai đoạn 5: So sánh MP và ML để xác định trang web phishing theo thuật toán
trình bày trong hình 4.7.
Hình 4.7 - Thuật toán xác định kết quả của phương pháp tự động nhận dạng phishing
với bộ điều khiển sử dụng lý thuyết mờ.
4.3.2 Thực nghiệm
4.3.2.1 Dữ liệu thực nghiệm
Giống phần 4.2.2.1
4.3.2.2 Kết quả thực nghiệm
Kết quả thực nghiệm được đánh giá theo sai số RMSE
Kết quả thực nghiệm được đánh giá theo sai số RMSE đạt tỷ lệ nhận dạng chính
xác là 98,17%.
Kết quả thực nghiệm được đánh giá theo ROC
Kết quả thực nghiệm trên 5 tập dữ liệu kiểm tra được trình bày trong bảng 4.2.
Bảng 4.2 - Kết quả tỷ lệ nhận dạng theo ROC của phương pháp tự động nhận dạng
phishing với bộ điều khiển sử dụng lý thuyết mờ.
Tập dữ liệu
kiểm tra
Tỷ lệ
“True
Positive”
Tỷ lệ
“False
Positive”
Tỷ lệ
“True
Negative”
Tỷ lệ
“False
Negative”
Tỷ lệ trung
bình
1 98,29% 2,19% 97,81% 1,71% 98,05%
2 99,19% 1,59% 98,41% 0,81% 98,80%
3 97,64% 0,91% 99,09% 2,36% 98,35%
4 98,09% 1,51% 98,49% 1,91% 98,29%
5 97,92% 1,31% 98,69% 2,08% 98,30%
If MP > ML then
“Trang web phishing ”
else
“Trang web thật”
End if
11
So sánh kết quả thực nghiệm với phương pháp [12, 13]
Dựa theo đánh giá của ROC trong hình 4.3, đồ thị ROC so sánh giữa phương
pháp sử dụng lý thuyết mờ và phương pháp [12, 13] được trình bày trong hình 4.8 và
hình 4.9 cho thấy phương pháp [12, 13] kém hiệu quả hơn phương pháp sử dụng lý
thuyết mờ khá nhiều.
Hình 4.8- Đồ thị ROC so sánh tỷ lệ nhận dạng trang web phishing giữa phương pháp tự
động nhận dạng với bộ điều khiển sử dụng lý thuyết mờ và phương pháp [12, 13].
Hình 4.9 - Đồ thị ROC so sánh tỷ lệ nhận dạng trang web thật giữa phương pháp tự
động nhận dạng với bộ điều khiển sử dụng lý thuyết mờ và phương pháp [12, 13].
4.3.3 Thảo luận
Phương pháp tự động nhận dạng phishing với bộ điều khiển sử dụng lý thuyết
mờ đã ứng dụng được ý nghĩa của hàm liên thuộc trong lý thuyết mờ nhằm tối ưu hóa
tri thức cho từng đặc trưng. Mỗi đặc trưng có 2 biến ngôn ngữ là Phishing và
Legitimate, hàm liên thuộc của từng biến ngôn ngữ tính mức độ thuộc của đặc trưng
đối với biến ngôn ngữ Phishing và Legitimate, bước tính này chính là đưa tri thức vào
cho từng đặc trưng. Đồng thời bước tính này cũng chính là bước tính mức độ thuộc
của từng đặc trưng vào tập kết quả KQ bao gồm Phishing và Legitimate mà không cần
dùng tập luật suy diễn If-Then. Phương pháp này tính toán đơn giản, tốc độ tính toán
nhanh, thuật toán dễ cài đặt với độ phức tạp thuật toán O(n) nhưng hiệu quả khá tốt với
tỷ lệ nhận dạng đúng trên 98% và tỷ lệ nhận dạng sai dưới 2%. Hơn nữa, khi thực
12
nghiệm nhận dạng online mặc dù ảnh hưởng bởi nhiều yếu tố như tốc độ đường truyền
Internet, thời gian truy xuất của các API, v.v nhưng thời gian nhận dạng chưa đến một
giây. Tuy nhiên, phương pháp này vẫn còn khuyết điểm trong giai đoạn tổng hợp mức
độ thuộc của các đặc trưng sử dụng phương pháp tính trung bình cộng của MP và ML
chưa phải là phương pháp tốt vì đánh đồng các đặc trưng có mức độ quan trọng là như
nhau. Hơn nữa, việc xác định giá trị hai tham số a, b của các hàm liên thuộc s-shaped
và z-shaped dựa vào kinh nghiệm của chuyên gia hoặc tập mẫu, điều này mang tính
chủ quan. Các khuyết điểm trên sẽ được khắc phục dần ở các phương pháp sau.
4.4 Phương pháp tự động nhận dạng phishing với bộ điều khiển sử dụng mạng
nơron đơn lớp
Phương pháp này nhằm khắc phục khuyết điểm về vấn đề xác định trọng số của
phương pháp sử dụng đặc trưng heuristic. Trọng số của các đặc trưng heuristic trong
phương pháp này được tính từ quá trình luyện mạng nơron, do đó các trọng số này sẽ
tối ưu hơn. Phương pháp này sử dụng hàm tác động (Activation Function) là hàm sigmoid
vì trong quá trình thực nghiệm nghiên cứu sinh sử dụng 2 hàm tác động phổ biến là
sigmoid và hyperbolic tangent và nhận thấy hàm tác động sigmoid hiệu quả hơn. Phương
pháp này được trình bày trong các công trình của nghiên cứu sinh [CT6, CT10, CT11].
4.4.1 Mô hình hệ thống
Mô hình hệ thống bao gồm 4 giai đoạn được thể hiện trong hình 4.10.
Giai đoạn 1: Chọn các đặc trưng sử dụng cho hệ thống như là PrimaryDomain,
SubDomain, PathDomain, PageRank, AlexaRank, AlexaReputation.
Giai đoạn 2: Tiền xử lý tính giá trị cho các đặc trưng.
Giai đoạn 3: Sử dụng mô hình nơron đơn lớp để tính toán giá trị cho hệ thống.
Giai đoạn 4: Xác định kết quả nhận dạng dựa vào giá trị xuất của nút xuất so
sánh với ngưỡng nhận dạng.
Hình 4.10 - Mô hình hệ thống của phương pháp tự động nhận dạng phishing với bộ điều
khiển sử dụng mạng nơron đơn lớp.
13
4.4.2 Thực nghiệm
4.4.2.1 Dữ liệu thực nghiệm
Giống phần 4.2.2.1
4.4.2.2 Kết quả thực nghiệm
Kết quả thực nghiệm được đánh giá theo sai số RMSE
Kết quả thực nghiệm được đánh giá theo sai số RMSE đạt tỷ lệ nhận dạng chính
xác là 98,43%.
Kết quả thực nghiệm được đánh giá theo ROC
Kết quả thực nghiệm trên 5 tập dữ liệu kiểm tra được trình bày trong bảng 4.3.
Bảng 4.3 - Kết quả tỷ lệ nhận dạng theo ROC của phương pháp sử dụng mạng nơron
đơn lớp.
Tập dữ liệu
kiểm tra
Tỷ lệ
“True
Positive”
Tỷ lệ
“False
Positive”
Tỷ lệ
“True
Negative”
Tỷ lệ
“False
Negative”
Tỷ lệ trung
bình
1 98,12% 1,11% 98,89% 1,88% 98,50%
2 98,21% 1,41% 98,59% 1,79% 98,40%
3 97,72% 1,51% 98,49% 2,28% 98,10%
4 99,09% 1,69% 98,31% 0,91% 98,70%
5 98,60% 1,60% 98,40% 1,40% 98,50%
So sánh kết quả thực nghiệm với phương pháp [105]
Đồ thị so sánh kết quả thực nghiệm giữa phương pháp [105] và phương pháp sử
dụng mạng nơron đơn lớp được trình bày trong hình 4.11.
Hình 4.11 - So sánh kết quả thực nghiệm giữa phương pháp [105] và phương pháp sử
dụng mạng nơron đơn lớp.
4.4.4 Thảo luận
Phương pháp tự động nhận dạng phishing với bộ điều khiển sử dụng mạng nơron
đơn lớp đã ứng dụng được khả năng học của mạng nơron để xác định các trọng số tối
14
ưu cho từng đặc trưng. Giá trị từng đặc trưng được chuẩn hóa về đoạn [0,1] làm cho
quá trình luyện mạng nhanh hội tụ và hiệu quả hơn. Quá trình luyện mạng của phương
pháp này được thực hiện off-line, còn quá trình nhận dạng được thực hiện online với
tính toán đơn giản, tốc độ tính toán nhanh với độ phức tạp thuật toán O(n), hiệu quả
khá tốt với tỷ lệ nhận dạng đúng khoảng 98,4% và tỷ lệ nhận dạng sai khoảng 1,16%.
Hơn nữa, khi thực nghiệm nhận dạng online mặc dù ảnh hưởng bởi nhiều yếu tố như
tốc độ đường truyền Internet, thời gian truy xuất của các API, v.v nhưng thời gian
nhận dạng chưa đến một giây. Tuy nhiên, phương pháp này chưa khắc phục được
nhược điểm của mạng nơron truyền thống là tốc độ học chậm và quá trình luyện mạng
dễ xảy ra vấn đề tối ưu cục bộ. Do vậy, cần phải xây dựng mạng nơron ứng dụng được
những tính năng ưu việt của lý thuyết mờ để đưa tri thức vào cho các nơron làm tăng
tốc độ học và làm tăng hiệu quả quá trình luyện mạng, tránh xảy ra vấn đề tối ưu cục bộ
và thời gian hội tụ nhanh hơn.
4.5 Phương pháp tự động nhận dạng phishing với bộ điều khiển sử dụng mô hình
nơron mờ 4 lớp
Mạng nơron có thể tối ưu hóa các tham số và trọng số thông qua khả năng học
của chúng. Tuy nhiên, việc xác định số lớp ẩn và số nút ẩn cho cấu trúc mạng nơron là
công việc phức tạp. Hiện nay, chưa có phương pháp tổng quan và tối ưu nào để xác
định số lớp ẩn và số nút ẩn cho cấu trúc mạng nơron mà chỉ dựa vào quá trình thực
nghiệm để xác định. Mặt khác, giá trị các nút ngõ vào của mạng nơron thường là các
giá trị thô của các đặc trưng sẽ làm quá trình luyện mạng bị tối ưu cục bộ dẫn đến khó
hội tụ và hiệu quả luyện mạng không cao. Trang web phishing tiến hóa rất nhanh làm
phát sinh thêm các đặc trưng mới cũng như một số các đặc trưng cũ không còn ý nghĩa
nữa. Với sự thay đổi tăng hoặc giảm số lượng đặc trưng như vậy, một mạng nơron
truyền thống sẽ phải thay đổi lại cấu trúc khi có sự thay đổi về đặc trưng, điều này làm
tăng chi phí và gây ảnh hưởng đến cấu trúc hệ thống. Từ ý tưởng của tác giả Robert
Fullér [38] kết hợp lý thuyết mờ và mạng nơron thành mô hình nơron mờ lai nhằm
khắc phục khuyết điểm của từng phương pháp riêng biệt, nghiên cứu sinh kết hợp
phương pháp tự động nhận dạng phishing với bộ điều khiển sử dụng lý thuyết mờ
không dựa vào tập luật (trình bày mục 4.3) với phương pháp sử dụng mạng nơron
thành phương pháp tự động nhận dạng phishing với bộ điều khiển sử dụng mô hình
nơron mờ 4 lớp. Mô hình nơron mờ 4 lớp này sử dụng lý thuyết mờ để đưa tri thức vào
ngõ vào của nơron nhằm biến các “nơron” đầu vào thành “nơron mờ” trước khi đưa
vào mạng nơron. Nhờ vậy, làm tăng tốc độ học và quá trình luyện mạng của mạng
nơron. Đồng thời, vì mô hình nơron mờ 4 lớp kế thừa các ưu điểm của bộ điều khiển
sử dụng lý thuyết mờ không dựa vào tập luật nên khi có sự thay đổi các đặc trưng ngõ
vào thì vẫn giữ nguyên cấu trúc mô hình nơron mờ. Hơn nữa, trong mô hình này các
15
hàm liên thuộc được cải tiến bằng cách sử dụng hàm liên thuộc left sigmoid và hàm
liên thuộc right sigmoid có một tham số, làm giảm tính chủ quan khi xác định giá trị
tham số cho các hàm liên thuộc. Phương pháp này được trình bày trong các công trình
của nghiên cứu sinh [CT3, CT4].
4.5.1 Mô hình hệ thống
Mô hình hệ thống bao gồm 4 giai đoạn được thể hiện trong hình 4.12.
Hình 4.12 - Mô hình hệ thống phương pháp tự động nhận dạng phishing sử dụng mô
hình nơron mờ 4 lớp.
Giai đoạn 1: Trích lọc các đặc trưng như là PrimaryDomain, SubDomain,
PathDomain, PageRank, AlexaRank, AlexaReputation.
Giai đoạn 2: Tiền xử lý tính giá trị các đặc trưng.
Giai đoạn 3: Sử dụng mô hình nơron mờ 4 lớp để tính toán các giá trị xuất của
hệ thống (xem chi tiết mục 4.5.2 và 4.5.3).
Giai đoạn 4: Xác định kết quả nhận dạng dựa vào giá trị xuất của hệ thống và
ngưỡng.
4.5.2. Bộ điều khiển sử dụng mô hình nơron mờ 4 lớp
Cấu trúc mô hình nơron mờ 4 lớp bao gồm hai khối, khối đầu là hệ thống mờ và
khối sau là mạng nơron 3 lớp. Trong đó, khối đầu gồm có hai lớp là lớp thứ nhất và
lớp thứ hai; khối sau là mạng nơron 3 lớp bao gồm lớp thứ hai, lớp thứ ba và lớp thứ
tư. Mô hình nơron mờ này được mô tả trong hình 4.13.
Trích lọc các đặc trưng
Tính giá trị cho các đặc
trưng
Bộ điều khiển sử dụng
mô hình nơron mờ 4 lớp
Xác định kết quả nhận
dạng
16
Hình 4.13 - Mô hình nơron mờ 4 lớp.
Lớp thứ nhất bao gồm N nút cũng chính là N đặc trưng. Mỗi nút có 2 biến ngôn
ngữ là Phishing (trang web phishing) và Legitimate (trang web thật).
Lớp thứ hai bao gồm 2*N nút, trong đó N nút thuộc biến ngôn ngữ Phishing (Pi
,
i=1..n) được tính theo công thức của hàm liên thuộc left sigmoid (4.6) và N nút thuộc
biến ngôn ngữ Legitimate (Li, i=1..n) được tính theo công thức của hàm liên thuộc
right sigmoid (4.7).
( )
( )
( , )
1
x b
x b
e
P x b
e
(4.6)
( )
1
( , )
1 x b
L x b
e
(4.7)
Hình 4.14 biểu diễn đồ thị của hàm liên thuộc right sigmoid L(x) và hình 4.15
biểu diễn đồ thị hàm liên thuộc left sigmoid P(x).
17
Hình 4.14 - Đồ thị hàm liên thuộc right
sigmoid L(x).
Hình 4.15 - Đồ thị hàm liên thuộc left
sigmoid P(x).
Lớp thứ ba bao gồm 2 nút ML và MP, nút MP được tổng hợp từ các nút Pi và
nút ML được tổng hợp từ các nút Li.
Lớp thứ tư còn gọi là lớp xuất bao gồm một nút. Giá trị xuất của nút này dùng
để nhận dạng trang web là phishing hay là trang web thật. Hàm tác động của nút xuất
trong mô hình này sử dụng hàm sigmoid vì trong quá trình thực nghiệm chúng tôi sử
dụng 2 hàm tác động phổ biến là sigmoid và hyperbolic tangent và nhận thấy hàm tác
động sigmoid hiệu quả hơn.
4.5.3 Thuật toán luyện mạng của nơron mờ 4 lớp
Trong mô hình nơron mờ 4 lớp sử dụng thuật toán luyện mạng lan truyền ngược
sai số [44] được mô tả trong hình 4.16.
4.5.2 Thực nghiệm
4.5.2.1 Dữ liệu thực nghiệm
Giống phần 4.2.2.1
4.5.2.2 Kết quả thực nghiệm
Kết quả thực nghiệm được đánh giá theo sai số RMSE
Kết quả thực nghiệm được đánh giá theo sai số RMSE đạt tỷ lệ nhận dạng chính
xác là 99,10%.
Kết quả thực nghiệm được đánh giá theo ROC
Kết quả thực nghiệm trên 5 tập dữ liệu kiểm tra được trình bày trong bảng 4.4.
18
Hình 4.16 - Thuật toán luyện mạng của phương pháp tự động nhận dạng phishing sử
dụng mô hình nơron mờ 4 lớp.
Bảng 4.4 - Kết quả tỷ lệ nhận dạng theo ROC của phương pháp tự động nhận dạng
phishing với bộ điều khiển sử dụng mô hình nơron mờ 4 lớp.
Tập dữ liệu
kiểm tra
Tỷ lệ
“True
Positive”
Tỷ lệ
“False
Positive”
Tỷ lệ
“True
Negative”
Tỷ lệ
“False
Negative”
Tỷ lệ trung
bình
1 98,90% 0,70% 99,30% 1,10% 99,10%
2 99,40% 0,90% 99,10% 0,60% 99,25%
Khởi tạo trọng số
Tính giá trị các nút trong lớp thứ 2
Tính giá trị nhập và xuất cho từng nút của lớp thứ 3
Tính giá trị nhập cho nút xuất
Tính giá trị xuất cho nút xuất
Tính lỗi cho từng nút trong lớp thứ 3
Lỗi hệ thống <=
Ngưỡng hoặc vòng
lặp kết thúc
Kết thúc luyện mạng
Cập nhật trọng
số
Chưa
Có
Tính lỗi cho nút xuất
Tính lỗi tổng hợp cho lớp thứ 3
Tính lỗi hệ thống
19
Tập dữ liệu
kiểm tra
Tỷ lệ
“True
Positive”
Tỷ lệ
“False
Positive”
Tỷ lệ
“True
Negative”
Tỷ lệ
“False
Negative”
Tỷ lệ trung
bình
3 98,61% 0,80% 99,20% 1,39% 98,90%
4 99,60% 1,29% 98,71% 0,40% 99,15%
5 99,00% 0,80% 99,20% 1,00% 99,10%
So sánh kết quả thực nghiệm với các phương pháp khác
Kết quả thực nghiệm của các phương pháp được so sánh với nhau và được mô tả
trong hình 4.17.
Hình 4.17 - So sánh kết quả thực nghiệm giữa phương pháp tự động nhận dạng phishing
với bộ điều khiển sử dụng mô hình nơron mờ 4 lớp với các phương pháp khác.
4.5.5 Thảo luận
Phương pháp này xây dựng mô hình nơron mờ 4 lớp nhằm ứng dụng ưu điểm
của lý thuyết mờ đưa tri thức vào các nơron nhằm làm tăng hiệu quả của mạng nơron
trong quá trình luyện mạng cũng như trong quá trình nhận dạng. Quá trình luyện mạng
của phương pháp này được thực hiện off-line, còn quá trình nhận dạng thực hiện
online với tính toán đơn giản, tốc độ tính toán nhanh với độ phức tạp thuật toán O(n),
hiệu quả khá tốt với tỷ lệ nhận dạng đúng khoảng 99% và tỷ lệ nhận dạng sai khoảng
1%. Hơn nữa, khi thực nghiệm nhận dạng online mặc dù ảnh hưởng bởi nhiều yếu tố
như tốc độ đường truyền Internet, thời gian truy xuất của các API, v.v nhưng thời gian
nhận dạng khoảng hơn giây. Tuy nhiên, phương pháp này còn một số khuyết điểm như
hàm liên thuộc vẫn còn tham số b nên vẫn còn mang tính chủ quan, v.v. Do vậy, cần
phát triển hoàn thiện hơn mô hình nơron mờ 4 lớp để làm tăng hiệu quả nhận dạng:
- Sử dụng các phép toán mờ trong khối tổng hợp các mức độ thuộc của các giá trị
mờ nhằm tận dụng những ưu điểm của lý thuyết mờ vào việc tính toán cho
hiệu quả hơn.
20
- Hàm liên thuộc nên loại bỏ hết các tham số làm tăng thêm tính khách quan cho
việc xử lý cũng như kết quả đạt được.
4.6 Phương pháp tự động nhận dạng phishing với bộ điều khiển sử dụng mô hình
nơron mờ 5 lớp
Mô hình nơron mờ trong phương pháp này bao gồm 5 lớp được phát triển từ mô
hình nơron mờ 4 lớp, kế thừa được tất cả các ưu điểm của mô hình nơron mờ 4 lớp và
khắc phục các khuyết điểm của mô hình nơron mờ 4 lớp bằng cách sử dụng các phép
tính mờ để tổng hợp các giá trị mờ trên cùng một biến ngôn ngữ trong giai đoạn tổng
hợp mức độ thuộc của các đặc trưng vào tập kết quả KQ nhằm làm tăng hiệu quả tính
toán, đồng thời loại bỏ tất cả các tham số của hàm liên thuộc làm tăng tính khách quan
khi tính các giá trị mờ cho các biến ngôn ngữ. Trong mô hình nơron mờ 5 lớp này, sử
dụng khối hệ thống mờ để chuẩn hóa dữ liệu ngõ vào cho mạng nơron trước khi luyện
mạng nơron nhằm làm tăng hiệu quả luyện mạng, tránh tối ưu cục bộ và làm tăng tính
hội tụ khi luyện mạng. Tỷ lệ học trong quá trình luyện mạng được sử dụng là tỷ lệ học
thích nghi. Phương pháp này được trình bày trong các công trình của nghiên cứu sinh
[CT1, CT2, CT5].
4.6 1 Mô hình hệ thống
Mô hình hệ thống bao gồm 4 giai đoạn được thể hiện trong hình 4.18.
Hình 4.18 - Mô hình hệ thống phương pháp tự động nhận dạng phishing với bộ điều
khiển sử dụng mô hình nơron mờ 5 lớp.
Giai đoạn 1: Trích lọc các đặc trưng như là PrimaryDomain, SubDomain,
PathDomain, PageRank, GoogleIndex, BackLink.
Giai đoạn 2: Tiền xử lý tính giá trị các đặc trưng. Giá trị các đặc trưng được
tính trong đoạn [0, 1].
21
Giai đoạn 3: Sử dụng mô hình nơron mờ 5 lớp để tính các giá trị của hệ thống
(xem chi tiết mục 4.6.2 và 4.6.3) .
Giai đoạn 4: Xác định kết quả nhận dạng dựa vào kết quả xuất mạng nơron mờ
và ngưỡng.
4.6.2 Bộ điều khiển sử dụng mô hình nơron mờ 4 lớp
Mô hình nơron mờ 5 lớp bao gồm hai phần, phần đầu là phần mờ và phần sau là
mạng nơron đơn lớp. Trong đó, phần đầu bao gồm lớp thứ nhất, lớp thứ hai và lớp thứ
ba; phần sau là mạng nơron đơn lớp bao gồm lớp thứ tư và lớp thứ năm. Mô hình
nơron mờ này được mô tả trong hình 4.19.
Hình 4.19 - Mô hình nơron mờ 5 lớp.
Lớp thứ nhất bao gồm N nút cũng chính là N đặc trưng. Mỗi nút có 2 biến ngôn
ngữ là Phishing (trang web phishing) và Legitimate (trang web thật). Giá trị của N đặc
trưng trong đoạn từ 0-1 được tính trong quá trình tiền xử lý. Hình 4.20 mô tả ý nghĩa
giá trị đặc trưng của lớp thứ nhất.
Lớp thứ hai bao gồm 2*N nút, trong đó N nút thuộc biến ngôn ngữ Phishing
được tính theo công thức của hàm liên thuộc left sigmoid (4.8) và N nút thuộc biến
ngôn ngữ Legitimate được tính theo công thức của hàm liên thuộc right sigmoid (4.9).
Giá trị từng nút trong lớp thứ nhất trong đoạn từ 0-1 được ánh xạ sang đoạn từ Min-
22
Max theo công thức (4.10) trước khi đưa vào các hàm liên thuộc tính toán vì các tính
chất đặc trưng của hàm liên thuộc này.
( )
1
x
x
e
P x
e
(4.8)
1
( )
1 x
L x
e
(4.9)
*( )new oldValue Value Max Min Min (4.10)
Ở đây, Valueold là giá trị của các đặc trưng trong đoạn từ 0-1, Min và Max là giá trị do
người thiết kế mô hình xác định cho phù hợp.
Hình 4.20 - Biểu thị ý nghĩa giá trị của từng nút trong lớp thứ nhất
Hình 4.21 biểu diễn đồ thị của hàm liên thuộc right sigmoid L(x) và hình 4.22
biểu diễn đồ thị hàm liên thuộc left sigmoid P(x).
Hình 4.21 - Đồ thị hàm liên thuộc right sigmoid L(x) cho mô hình nơron mờ 5 lớp.
Hình 4.22 - Đồ thị hàm liên thuộc left sigmoid P(x) cho mô hình nơron mờ 5 lớp.
Lớp thứ ba bao gồm 2 nút πp và πL , nút πp là tổng hợp các nút Pi ở lớp thứ hai
và nút πL là tổng hợp các nút Li ở lớp thứ hai theo phép toán AND. Giá trị 2 nút trong
lớp này được tính theo công thức (4.11) và (4.12) [23].
23
1
P
N
i
i
P (4.11)
1
N
L i
i
L (4.12)
Lớp thứ tư bao gồm 2 nút, nút NP và NL được chuẩn hóa giá trị theo công thức
(4.13) và (4.14). Lớp này và lớp thứ 5 kết hợp lại thành mạng nơron đơn lớp (Single-
Layer) và lớp này chính là lớp nhập của mạng nơron, khi giá trị các nút này được
chuẩn hóa sẽ làm tăng hiệu quả và tính hội tụ của mạng nơron.
P
P
P L
N (4.13)
L
L
P L
N (4.14)
Lớp thứ năm bao gồm một nút, đây là nút xuất và kết quả nút này chính là kết
quả của mô hình. Mạng nơron trong mô hình này sử dụng hàm tác động là hàm
sigmoid theo công thức (4.15).
1
1 x
O
e
(4.15)
4.6.3 Thuật toán luyện mạng cho mô hình nơron mờ 5 lớp
Thuật toán luyện mạng là thuật toán lan truyền ngược sai số [44], thuật toán này
thực hiện 2 giai đoạn lan truyền tiến và lan truyền ngược được thể hiện trong hình
4.24.
4.6.4 Thực nghiệm
4.6.4.1 Dữ liệu thực nghiệm
Giống phần 4.2.2.1
4.6.4.2 Kết quả thực nghiệm
Kết quả thực nghiệm được đánh giá theo sai số RMSE
Kết quả thực nghiệm được đánh giá theo sai số RMSE đạt tỷ lệ nhận dạng chính
xác là 99,30%.
Kết quả thực nghiệm được đánh giá theo ROC
Kết quả thực nghiệm trên 5 tập dữ liệu kiểm tra được trình bày trong bảng 4.5.
24
Bảng 4.5 – Kết quả tỷ lệ nhận dạng theo ROC của phương pháp nơron mờ 5 lớp
Tập dữ liệu
kiểm tra
Tỷ lệ
“True
Positive”
Tỷ lệ
“False
Positive”
Tỷ lệ
“True
Negative”
Tỷ lệ
“False
Negative”
Tỷ ệ trung
bình
1 99,42% 0,66% 99,34% 0,58% 99,38%
2 99,20% 0,60% 99,40% 0,80% 99,30%
3 99,24% 0,62% 99,38% 0,76% 99,31%
4 99,22% 0,74% 99,26% 0,78% 99,24%
5 99,46% 0,68% 99,32% 0,54% 99,39%
So sánh kết quả thực nghiệm với các phương pháp khác
Trong phần này sử dụng 100 tập dữ liệu kiểm tra phát sinh ngẫu nhiên, kết quả
thực nghiệm của các phương pháp được so sánh với nhau và được mô tả trong hình 4.23.
Hình 4.23 - So sánh kết quả thực nghiệm giữa phương pháp tự động nhận dạng phishing
với bộ điều khiển sử dụng mô hình nơron mờ 5 lớp với các phương pháp khác.
4.6.5 Thảo luận
Phương pháp tự động nhận dạng phishing với bộ điều khiển sử dụng mô hình
nơron mờ 5 lớp không dựa vào tập luật If-Then nhằm mục đích ứng dụng cho các hệ
thống có đặc trưng ngõ vào không ổn định và không phụ thuộc tri thức của chuyên gia
xây dựng tập luật If-Then. Quá trình luyện mạng của phương pháp này được thực hiện
off-line, còn quá trình nhận dạng thực hiện online với tín
Các file đính kèm theo tài liệu này:
- tom_tat_luan_an_tieng_viet_2_2328_1853724.pdf