Implementasi Sistem Deteksi Intrusi Awan: Kerangka Kerja, Peningkatan Keamanan, Penggunaan FC-ANN.
ABSTRAK
Dokumen ini menjelaskan cara menggunakan Sistem Deteksi Intrusi (IDS) untuk mendeteksi aktivitas mencurigakan di sistem Anda dan mengirimkan pemberitahuan saat aktivitas mencurigakan terdeteksi. Jaringan saraf tiruan (ANN) dapat digunakan untuk mendeteksi penetrasi sistem, tetapi memiliki kelemahan seperti akurasi deteksi yang rendah untuk serangan frekuensi dan stabilitas deteksi yang rendah. Oleh karena untuk menyelesaikan masalah ini, kami memilih strategi FC-ANN berdasarkan pengelompokan fuzzy dan jaringan saraf buatan. Proses utama ANN adalah sebagai berikut: Pertama, berbagai subset pelatihan dibuat menggunakan teknik pengelompokan fuzzy. Model ANN yang berbeda kemudian dilatih menggunakan subset pelatihan yang berbeda untuk menyediakan model dasar yang berbeda. Lalu gabungkan hasilnya. Dengan menggunakan meta-learner dengan modul agregasi fuzzy, kami juga telah menambahkan titik pemulihan, yang memungkinkan Anda memulihkan kunci registri, berkas sistem, program yang terinstal, dan basis data proyek, dll.
Kata Kunci: Deteksi Intrusi, Komputasi Awan, Pengelompokan Fuzzy, Jaringan Syaraf Tiruan, Agregasi Fuzzy, Model uX, Model sX, Monitor Instansi Awan, Penangan Protokol Heterogen, Prosesor Protokol, Audit.
PENDAHULUAN
Dengan pertumbuhan aplikasi cloud yang pesat, jenis serangan cyber baru terus bermunculan. Oleh karena sangat penting untuk melindungi jaringan Anda dari penyerang. Masalah keamanan ini harus diidentifikasi pada awal perencanaan dan implementasi jaringan. Komputasi awan dengan cepat menjadi penggerak utama untuk semua kebutuhan TI sesuai permintaan saat ini. [1] Dibandingkan dengan pesaing sebelumnya, ia mengusulkan paradigma komputasi generasi berikutnya dan menunjukkan potensi pembagian sumber daya yang tepat, elastisitas sejati, dan pemanfaatan sumber daya yang maksimal. Tag menarik tentang komputasi awan
Model bisnis ini telah menarik minat banyak perusahaan[2]. Meskipun memiliki kelebihan ini, banyak perusahaan—baik besar maupun kecil—masih ragu mengadopsi model komputer seperti itu karena masalah keamanan. Karena dunia bisnis saat ini berputar di sekitar pelanggan dan data mereka, prosedur canggih diperlukan untuk melindungi data dari pencurian dan penyalahgunaan. Karena komputasi awan bersifat publik dan multi-penyewa, pelanggaran keamanan terjadi lebih sering dan lebih cepat dibandingkan dengan komputasi lokal. Studi ini menunjukkan
CloudIDS – Kerangka kerja untuk meningkatkan keamanan lingkungan komputasi awan.
Solusi keamanan baru didasarkan pada model ahli hibrida dua lapis, model uX (lapisan 1) dan model sX (lapisan 2). [1] CloudIDS adalah prototipe sistem keamanan hybrid yang menggunakan kecerdasan buatan dan pembelajaran mesin untuk memantau aktivitas pengguna dan memperingatkan intrusi dari sumber internal dan eksternal (terpantau dan tidak terpantau). CloudIDS dapat memecahkan tiga kategori keamanan komputasi awan saat ini, seperti isolasi penyimpanan logis dan masalah keamanan multi-penyewa.
2 Pengaturan percobaan.
Semua percobaan dilakukan dengan konfigurasi sebagai berikut: VisualStudio 4.5, 2017 64-bit Community Edition sebagai platform, Windows 10 sebagai sistem operasi, CloudStack 3.0.0 [4] sebagai infrastruktur cloud, XenServer 6.0.2 [5] sebagai host virtualisasi, dan semua mesin memiliki alamat IP statis. Karena skala dan kompleksitas komputasi, arsitektur CloudIDS diimplementasikan secara bertahap. Setelah berhasil menyebarkan infrastruktur cloud (IaaS) menggunakan CloudStack 3.0.0 dan hypervisor Citrix XenServer 6.0, beberapa mesin virtual dengan persyaratan berbeda dibuat. Windows 10 LTS versi 64-bit diinstal pada salah satu mesin cloud virtual. (Selanjutnya disebut sebagai instance M) Kemudian, instance M disiapkan di cloud VM menggunakan model program Java dan beberapa tabel basis data MySQL. Instansi -M ini sudah digunakan.
2.1 Tahap Eksperimen I
Sasaran tahap pertama adalah mengimplementasikan prototipe bukti konsep (POC) model CloudIDS uX menggunakan pembelajaran mesin tanpa pengawasan. Komponen paling mendasar dari setiap sistem komputer adalah proses pemantauan waktu nyata dalam bentuk data mentah yang dikenal sebagai log sistem. Log sistem merupakan sumber informasi yang berharga tentang status sistem, properti, dan bahkan penyebab serta akar penyebab masalah. Setiap disiplin komputer membuat berkas log. Properti berkas log ini, khususnya struktur, konteks, dan bahasanya, bervariasi antar sistem. Subsistem CloudIDS CIM digunakan untuk mengidentifikasi tindakan pengguna pada suatu mesin atau instansi. Anggap berkas log sebagai sumber informasi utama tentang aktivitas Anda.
Zeitgeist adalah layanan yang merekam aktivitas dan peristiwa pengguna (file yang dibuka, situs web yang dikunjungi, percakapan dengan orang lain, dll.) dan menyediakan informasi yang diperlukan ke aplikasi lain di sistem operasi Windows. Ini adalah perekam suara bawaan sistem operasi Windows. Layanan Zeitgeist mengenali berkas log dan menggunakannya secara logis dalam implementasinya. File log yang dihasilkan oleh sistem yang dianalisis pada tahap pertama penyelidikan ini adalah sebagai berikut
Keempat protokol di atas hanya diimplementasikan pada Instance-M karena percobaan ini dimaksudkan sebagai prototipe bukti konsep (POC) Syslog untuk melacak dan mencatat kejadian tingkat sistem/kernel. Demikian pula, daemon.log mendefinisikan layanan seperti perangkat USB, perangkat Bluetooth, dan basis data MySQL.
dan layanan lainnya yang berjalan di stasiun kerja pengguna dan dihidupkan atau dimatikan oleh pengguna. Saat pengguna masuk ke instans M untuk pertama kalinya atau setelah layar terkunci, aktivitas ini dicatat dalam berkas auth.log. Dari sini kita dapat menyimpulkan bahwa pengguna yang masuk telah diautentikasi. File recent-used.xbel mencatat semua file yang baru saja diakses, diperbarui, atau dijelajahi dan semua aktivitas terkait.
Format, struktur, dan konten data berkas log penilaian bervariasi berdasarkan konfigurasi tingkat sistem. Apakah ada cara standar untuk mengekstrak hanya informasi yang saya perlukan (pada OS/platform apa pun) tanpa memodifikasi berkas konfigurasi kernel? Untuk tujuan ini, modul Audit Log Preprocessor dibuat, yang tujuan utamanya adalah menyiapkan berkas log untuk diproses lebih lanjut. Format, struktur, dan konten data berkas log penilaian bervariasi berdasarkan konfigurasi tingkat sistem. Apakah ada cara standar untuk mengekstrak hanya informasi yang saya perlukan (pada OS/platform apa pun) tanpa memodifikasi berkas konfigurasi kernel? Untuk tujuan ini, modul praprosesor log audit dibuat, yang terutama bertanggung jawab untuk memproses berkas log. Untuk pasca-pemrosesan.
Karena hasil yang diproses diserahkan ke uX-Model dan sX-Model CloudIDS, perhatian khusus harus diberikan untuk memilih bidang yang diperlukan untuk diekstraksi dari berkas log ini di ALP. Ekstraksi fitur adalah tulang punggung kecerdasan buatan dan merupakan konsep inti untuk mengekstrak data dari berkas log. Ekstraksi fitur mengurangi beban sumber daya yang diperlukan untuk merepresentasikan sejumlah besar data secara akurat. Hal ini penting untuk eksperimen karena menyediakan sejumlah kecil fitur sebagai masukan untuk teknik tanpa pengawasan.
Seperti yang kita ketahui, setiap aktivitas di Instance-M membuat, memperbarui, dan memelihara log. Saat merancang sistem yang aman, berkas log berisi berbagai bidang yang mungkin penting atau tidak dalam mendeteksi perilaku anomali. Bidang seperti jenis akses, waktu akses, nama pengguna, nama sistem, pesan, dsb. dipilih sebagai kandidat ekstraksi karena membantu mengidentifikasi intrusi yang terjadi pada instans M.
Aspek penting dari sistem log sedikit berbeda dari data teks tradisional. Meskipun protokol ditulis dalam bahasa alami, protokol ini tidak mengikuti aturan tata bahasa apa pun dan struktur serta konteksnya bervariasi. Karena log dikumpulkan dari berbagai sumber, sifatnya jelas berbeda. Oleh karena implementasinya memerlukan teknologi yang dapat beradaptasi dengan terminologi spesifik, heterogenitas, dan format file protokol dari berbagai sumber. Kesulitan utama lainnya adalah mengekstraksi dan mengevaluasi fitur dari protokol ini untuk memperoleh hasil berbasis pola.
2.1.1 Kriteria pemilihan untuk algoritma pembelajaran mesin tanpa pengawasan uX-Model.
Ada beberapa algoritma dan sistem yang memecahkan masalah yang sama persis, masing-masing dengan karakteristik kinerjanya sendiri. Sampai saat ini, berbagai algoritma pembelajaran mesin belum dibandingkan dan dievaluasi secara sistematis, dan kinerja sistem saat ini belum dibandingkan secara menyeluruh dengan pendekatan lain. Namun, untuk menemukan algoritma yang tepat, beberapa aturan harus diikuti.
Pengelompokan K-means [6], peta pengorganisasian diri (SOM) [7], SOM hierarkis yang berkembang (GHSOM) [120], dll. semuanya merupakan metode pembelajaran mesin tanpa pengawasan yang andal yang dapat mendeteksi anomali dan pola yang tidak biasa, di antaranya SOM dianggap sebagai metode kandidat umum.
Di antara teknik pembelajaran mesin tanpa pengawasan berdasarkan tinjauan pustaka, dari sudut pandang analisis data, deteksi harus dilakukan menggunakan algoritma peta pengorganisasian mandiri (SOM) karena kemampuannya yang unik untuk mengekstraksi struktur topologi data yang terkubur dalam karena alasan berikut.
Metode Jaringan Jaringan Syaraf.
Kita dapat menggunakan peta SOM untuk melihat mengapa suatu negara ditandai sebagai Seolah-olah itu tidak normal.
Kita dapat menggunakan algoritma SOM untuk membangun peta topologi serangan yang diketahui dan melakukan analisis forensik pada data jaringan yang mencurigakan. SOM digunakan untuk.
Makalah ini membahas serangan yang dilakukan sambil mempertahankan topologi SOM, baik sebagai teknik post-mortem untuk menganalisis serangan yang diketahui maupun sebagai alat untuk mengidentifikasi dan menganalisis serangan baru.
2.1.2 Eksperimen pada model uX menggunakan SOM.
SOM mengambil input berupa vektor (logaritma transformasi numerik) dan memerintahkan sistem untuk mempelajari cara membuat klaster.
algoritma SOM.
Untuk ruang masukan n-dimensi dan m neuron keluaran
1 Pilih bobot vektor acak wi untuk neuron i, i=1,….m.
2 Pilih Masukkan Acak x.
3. Tentukan neuron pemenang k
||Minggu X|| = Mini|| Wi-X|| (Jarak Euclidean).
4 Perbarui semua vektor bobot semua neuron di lingkungan tersebut.
k dari neuron
Wi := Wi + ^ * ^ (i,k) ) * (X – Wi) (maka Wi bergerak ke arah X).
5. Ketika kriteria konvergensi terpenuhi, berhenti; jika tidak, kurangi ukurannya.
Fungsi lingkungan^ dan pembelajaran parameter^ dan pergi ke (2).
Dalam model CloudIDS Tier-1 uX, algoritma SOM menggunakan input yang ditunjukkan pada Gambar 1.
Gambar 1: Masukan ke algoritma SOM CloudIDS Tier-1 uX-Model.
Gambar 2 menunjukkan representasi klaster dalam format vektor dan visualisasi klaster dalam format warna pola.
Gambar 2 menunjukkan hasil numerik model Cluster-SOM-CloudIDS Tier-1 uX.
Klaster diidentifikasi dari data yang divisualisasikan di atas dan dievaluasi menggunakan data pembelajaran SOM uX-Model dari berkas log. Kemudian, uX-Model menentukan apakah data yang diberikan menunjukkan perilaku normal. Jika CloudIDS Tier-1 menentukan bahwa protokol yang dipelajari termasuk dalam kategori “Perilaku Normal”, ia akan mengirimkannya ke standar.
Jika tidak, Audit Repository (SAR) akan menggunakan prosedur dalam SOM untuk menentukan jenis perilaku untuk fase CloudIDS mendatang, seperti yang ditunjukkan di bawah ini.
Mengekstrak klaster dari pembelajaran SOM.
Vektor identifikasi adalah nilai rata-rata untuk setiap klaster.
Tentukan ambang batas untuk setiap klaster.
2.2 Tahap kedua percobaan.
Tahap pertama audit meletakkan fondasi yang kokoh untuk mengembangkan sistem yang lebih stabil dan menjanjikan, serta membuka jalan bagi penelitian lebih lanjut mengenai pembelajaran mesin tanpa pengawasan berbasis AI yang digunakan dalam model CloudIDS Tier-1 uX, yang berfokus pada pengidentifikasian aktivitas pemangku kepentingan standar dan pencatatannya dalam repositori audit standar. Sistem CloudIDS harus mampu membedakan antara aktivitas umum, intrusi, dan entri log yang tidak diketahui. Oleh karena sistem harus diajarkan untuk mendeteksi serangan ini. Untuk tujuan ini, percobaan memasuki fase kedua dari fase pertama, dengan tujuan mengimplementasikan prototipe POC model CloudIDS sX menggunakan teknik pembelajaran mesin yang diawasi.
2.2.1 Kriteria Pemilihan SVM
Support Vector Machine (SVM) adalah metode klasifikasi n-kelas yang modern dan matang dalam model pembelajaran mesin terawasi. SVM adalah pengklasifikasi yang banyak digunakan dalam penelitian akademis dan industri. Namun, untuk mencapai hasil terbaik, penting untuk memahami cara kerjanya secara rinci dan meningkatkan akurasinya.
Algoritma pembelajaran terawasi menggunakan SVM telah dipelajari dan dianalisis secara ekstensif untuk aplikasi waktu nyata. Dalam penelitian Liu dan Zhu [12], mereka menggunakan SVM multi-kelas dan algoritma BP untuk perbandingan gambar. Dalam [13], kami fokus pada serangkaian pola masukan tertentu dan menggunakan SVM untuk segmentasi warna dan invariansi momen. Shi, Wu, dan Fleyeh mengusulkan model pengenalan rambu lalu lintas yang kuat berdasarkan mesin vektor pendukung (SVM) untuk pengenalan rambu lalu lintas Swedia [14]. Hasil eksperimennya memuaskan, menunjukkan SVM mempunyai ketahanan yang kuat.
[14] mengusulkan momen Tchebichef dan mesin vektor pendukung. Gunakan metode ini untuk mengubah gambar RGB yang ditangkap oleh kamera ke ruang warna HSV. Foto-foto ini kemudian digunakan untuk membangun sistem pengenalan. [15] melakukan percobaan pada SVM menggunakan metode momen Zernike dan memperoleh hasil positif. Untuk meningkatkan kualitas pengenalan, [17] dipilih algoritma GFD [16] dan SVM untuk penelitian. Dapat dilihat bahwa SVM mampu mengekstrak fitur dari algoritma apa pun.
Selama fase pelatihan, sistem mempertimbangkan fitur-fitur yang diketahui dan mempelajarinya serta membuat pola dari fitur-fitur tersebut. Selama fase pengujian, data disimpan bersama dengan fase pelatihan. Namun, ia dirancang khusus untuk menguji sistem yang terlatih. Dalam percobaan CloudIDS sPhase II, alat pustaka mesin vektor pendukung populer LIBSVM[21] digunakan untuk mengimplementasikan pemodelan SVM.
Dibandingkan dengan tahap pertama, tingkat percobaan SVM pada tahap kedua lebih tinggi. Empat berkas log diuji pada tahap pertama, dan hasilnya semuanya positif. Dari keempat log ini, hanya dua (auth.log dan deamon.log) yang disimpan untuk menyelidiki lebih lanjut bentuk log aplikasi (heterogen) lainnya, dan log basis data juga dipertimbangkan untuk fase kedua POC. Dalam skenario bisnis yang umum, ketika server database
Gambar 4: File myauthlog.log adalah file pertama yang diproses di ALP.
Jika dikonfigurasi dalam lingkungan cloud, data tersebut harus disimpan di VM lain. Oleh karena pemantauan aktivitas basis data dalam mesin virtual merupakan persyaratan penting yang tidak dapat diabaikan. Dengan membuat VM Instance-M yang menghosting basis data MySQL, pada fase kedua kami berupaya melacak dan menganalisis log pada tingkat basis data ALP, menggunakan versi logika analisis yang disesuaikan untuk melakukan pra-proses file auth.log dan daemon.log. Pada fase kedua, ALP memeriksa log sistem dameon.log dan auth.log pada interval yang telah ditentukan sebelumnya, mirip dengan fase pertama.
2.2.2 Prapemrosesan autentikasi protokol.
Parser auth.log dibuat pada fase kedua untuk mengekstrak bidang ini.
Berikut ini adalah berkas log audit CIM di /var/log/auth.log.
sudo, su, gdm-session-worker, dan gnome-screensaver-dialog adalah kolom penting yang perlu dipertimbangkan saat mengurai auth.log. Semua operasi yang dilakukan menggunakan instruksi ini dipantau secara berkala (misalnya, setiap 10 detik) oleh CIM dan kemudian diproses terlebih dahulu oleh subsistem ALP. Untuk sX Model Fase II, file auth.log ditransfer dari CIM ke subsistem ALP, seperti yang ditunjukkan pada Gambar 3. Gambar 4 menunjukkan file myauthlog.log…
Gambar 3. Berkas auth.log subsistem ALP selama fase input II.
2.2.3 Data basis data log praproses.
Saat mengembangkan prototipe pemantauan log basis data, kami membuat skenario dunia nyata di mana konsumen cloud (pengguna layanan cloud) perlu membuat cadangan basis data yang dihosting pada mesin virtual. Sebagian besar basis data memiliki berkas log sendiri untuk mencatat peristiwa dan aktivitasnya. Misalnya, log MySQL disimpan dalam.
Pada sistem operasi Windows adalah /var/log/mysql.log. Namun, pemantauan, persiapan, dan analisis berkas ini dengan CloudIDS tampaknya sebanding dengan tahap awal pemrosesan auth.log dan berkas lainnya. Karena berkas tersebut hanya mencatat masalah yang terjadi saat memulai/menghentikan server MySQL (log kesalahan), memperbarui data, dll., skenario dunia nyata dikembangkan saat merancang prototipe log basis data.
Dalam hal pemantauan, konsumen cloud (pengguna layanan cloud) ingin memastikan keamanan basis data yang dihosting di mesin virtual. Sebagian besar basis data melacak kejadian dan aktivitas dalam berkas log (seperti log MySQL), dan kejadian serta aktivitas ini dicatat dalam, misalnya, berkas log sistem operasi Windows.
direktori /var/log/mysql.log. Namun, fase pertama pemrosesan auth.log dan file lainnya tampaknya serupa dengan pemantauan, pembuatan, dan analisis file-file ini menggunakan CloudIDS. File mysql.log yang dihasilkan mungkin tidak cukup untuk mengembangkan sistem deteksi serangan yang lengkap karena hanya mencatat operasi seperti masalah saat memulai/menghentikan server MySQL (log kesalahan), memperbarui data, dll. Serangan basis data perlu dicatat, termasuk pengguna mana yang masuk ke sub-basis data mana, apa yang dilakukan orang-orang ini, dll. Pada tingkat yang lebih tinggi, serangan tingkat tabel basis data dapat dicatat berdasarkan serangan tingkat kolom atau tingkat baris yang terkait dengan nilai yang dimasukkan/diperbarui/dihapus terkait.
Tahap kedua instalasi CIM memantau aktivitas tabel, baris, dan kolom MySQL. Dalam aplikasi praktis, pemantauan tabel, baris, dan kolom semacam ini sangat berguna. Bayangkan skenario ini: Anda memiliki situs web e-commerce dan ingin memastikan bahwa tidak ada data transaksi yang tidak sah yang diubah dalam basis data cloud Anda. Dalam kasus ini, salah satu pilihannya adalah menggunakan pemicu.
Pemicu dipanggil saat tabel dalam database diubah menggunakan pernyataan penyisipan, pembaruan, atau penghapusan SQL. Pemicu sering digunakan sebagai alat validasi tabel atau mekanisme keamanan basis data untuk melacak perubahan. Pemicu dapat diterapkan ke tabel. Setiap kali terjadi perubahan basis data (seperti penyisipan, pembaruan, atau penghapusan), pemicu dibuat dan log relevan ditulis ke berkas log SQL kustom.
Audit basis data tingkat tabel dibuat sebagai pemicu dalam CIM dan menulis ke log setiap kali operasi tingkat baris dilakukan.
Buat prototipe tabel pemicu siswa dalam database MySQL dengan skema “student_id”, “name”, dan “grade”. Pemicu ini secara otomatis dieksekusi sebelum operasi pembaruan dilakukan pada tabel siswa. Untuk setiap entri, nilai sebelumnya dari nomor siswa, nama, dan nilai diambil, bersama dengan tanggal pemicu dieksekusi. Nilai-nilai ini dicatat oleh subsistem CIM dalam berkas log khusus. Berkas berisi bidang cap waktu, modul, dan pesan.
2.2.4 Tahap kedua adalah transformasi nilai.
Bagian terakhir terdiri dari komponen konversi digital dari modul ALP tahap kedua. Bidang alfanumerik dalam berkas log sistem dan berkas log kustom untuk basis data yang diuji meliputi nomor urut, tanggal, waktu mulai, tingkat keparahan, pesan, waktu berhenti, dan frekuensi. Menurut teori pembelajaran mesin, teknik dan fungsi SVM sepenuhnya didasarkan pada fitur numerik dari log yang dihasilkan.
Dokumen ini harus diubah menjadi representasi digital, termasuk justifikasi penting.
Subsistem ALP memanfaatkan semua teknik pengkodean digitalisasi ALP untuk membuat berkas vektor hasil digitalisasi akhir. Gambar 5 mengilustrasikan hal ini.
Gambar 5: Komponen modul Transformasi Digital ALP Fase 2 adalah bagian terakhir dari bidang alfanumerik yang diuji dalam berkas log sistem dan berkas log basis data kustom: nomor urut, tanggal, waktu mulai, tingkat keparahan, pesan, waktu berhenti, dan frekuensi. Menurut teori pembelajaran mesin, teknik dan operasi SVM sepenuhnya didasarkan pada fitur numerik. Berkas log yang dibuat harus diubah menjadi representasi digital yang harus memuat justifikasi yang diperlukan.
Subsistem ALP menggunakan semua teknik pengkodean yang diperlukan untuk digitalisasi ALP guna membuat berkas vektor yang memuat hasil digital akhir, seperti yang ditunjukkan pada Gambar 5. Berkas mylog dari subsistem ALP dengan konversi digital.
2.2.5 Fase pelatihan sX-model CloudIDS menggunakan SVM tahap kedua.
Untuk setiap entitas dalam set pelatihan LIBSVM, ada satu entitas.
(misalnya fitur atau faktor yang dipertimbangkan) Tujuan SVM adalah untuk membuat model (berdasarkan data pelatihan) yang dapat memprediksi nilai target dari data uji hanya dengan menggunakan fitur data uji. Setelah konversi numerik, keluaran akhir ALP digunakan sebagai data pelatihan untuk SVM. Setelah pelatihan kumpulan data selesai, a.
Model berkas.
File model yang dibuat digunakan sebagai file masukan dasar dalam fase pengujian dan dalam proses sebenarnya karena berisi semua pola yang dipelajari oleh SVM dalam format mentah.
Setelah klien menerapkan sistem ke situs CSP, pengaturan Acute Audit Repository dan AAR sX-Model di CloudIDS harus diisi berdasarkan pengujian riwayat serangan klien, yang mencakup perilaku berikut
Proses serangan.
Sejarah kejahatan dunia maya global.
Pengguna yang belum diberi izin.
Akses situs yang tidak sah, login, akses jarak jauh, dll.
Saat menguji semua serangan ini, Anda perlu menentukan tingkat keparahan yang berbeda untuk setiap serangan di subsistem Alert Level Generator (WLG), dan tindakan terkait yang akan diambil dalam sistem peringatan. Misalnya, akses tidak sah ke berkas di direktori root dianggap sebagai serangan. Hal ini diidentifikasi sebagai pola serangan selama uji coba dan dicatat dalam Acute Audit Repository dengan tag tingkat keamanan. Untuk serangan ini, tingkat keparahan yang berbeda harus ditetapkan dalam generator tingkat peringatan dan tindakan terkait ditetapkan dalam sistem peringatan. Misalnya, akses tidak sah ke direktori yang diperuntukkan bagi administrator mungkin kurang parah daripada akses tidak sah ke direktori yang diperuntukkan bagi pengguna biasa, yang mungkin memiliki tingkat keparahan sedang atau tinggi. WLG dapat menentukan tingkat keamanan ini, dan sistem alarm dapat menentukan tindakan respons yang akan diambil. Dalam skenario yang digunakan, akses tidak sah dengan prioritas rendah akan mengakibatkan terkirimnya email ke administrator CloudIDS, sedangkan akses tidak sah dengan tingkat keparahan sedang akan mengakibatkan pengguna diblokir sementara dan dilaporkan ke administrator dan klien.
Sebagai bagian dari studi ini, AAR akan melakukan studi komprehensif
Sistem dapat mengkategorikan intervensi dalam repositori.
Mengenai intrusi CSP, poin-poin berikut telah diketahui sejak awal.
Implementasi fase kedua dievaluasi dan diuji.
Tentukan jenis dan beratnya hukuman.
Subsistem WLG.
Pada akhir percobaan, semua pola yang dihasilkan diberi nama kelas.
Saat membuat prototipe sistem pelatihan, evaluasi tingkat, tingkat keparahan, dan ruang lingkup penilaian.
Setiap pola terdiri dari 1 hingga 5 pola, dengan pola pertama berada di atas.
Yang terbaik, yang terburuk, yang terburuk.
Baik tingkat keparahan maupun pola data dicatat.
XML untuk berkas ini dihasilkan oleh generator subsistem dengan tingkat peringatan.
Berkas XML yang menentukan tingkat keparahan ditunjukkan pada Gambar 5.6.
Gambarnya salah! Tidak ada teks pada halaman yang cocok dengan gaya yang diminta. Setiap pola dalam berkas XML diberi tingkat keparahan. Hasil pengujian dapat menjawab pertanyaan-pertanyaan seperti
Pola diberi label dengan nama kategori.
Penyusup yang diketahui diberi tingkat keparahan.
Berkas model pelatihan yang dibuat oleh SVM.
Berkas model yang dibuat selama fase pelatihan model SVM digunakan untuk meningkatkan kemampuan pembelajaran SVM dengan mengidentifikasi pola yang relevan dan keluaran yang diharapkan. Alat LIBSVM adalah alat klasifikasi vektor pendukung yang terintegrasi dengan baik dan mudah digunakan untuk membangun model SVM. Karena LIBSVM memungkinkan klasifikasi multi-kelas, alat ini dipilih untuk melakukan eksperimen pada tahap kedua menggunakan model sX yang memerlukan klasifikasi multi-kelas. Dalam sX-Model, file model yang dihasilkan menurut langkah pelatihan LIBSVM ditunjukkan pada Gambar 5.7. Di masa mendatang, jika SVM mendeteksi kecocokan pola yang tepat atau pola yang serupa, SVM dapat membedakan data serangan dari data normal dengan memeriksa berkas ini. Oleh karena berkas model ini digunakan dalam fase pengujian dan penyebaran SVM.
Ada kesalahan pada gambar! Tidak ada teks pada halaman yang cocok dengan gaya yang dibutuhkan oleh file model yang dihasilkan selama fase pelatihan model sX.
2.2.6 CloudIDS Fase II: Menguji model sX menggunakan SVM.
Pada tahap percobaan yang kedua ini, tahap pengujian sangatlah penting karena pada tahap ini akan dievaluasi faktor-faktor keberhasilan pada tahap pelatihan. Pilih beberapa log acak dengan pola abnormal sebagai data uji untuk SVM. Setiap entri baru dalam berkas log diperiksa untuk melihat apakah itu serangan. Subsistem sX-Model melakukan ini dengan menemukan kecocokan logis dengan data pelatihan SVM jika tersedia (misalnya, berkas model).
Setiap berkas log yang diuji dengan SVM di sX-Model pertama-tama diubah ke dalam bentuk numerik. Konversi ini dilakukan dengan cara yang sama seperti konversi subsistem ALP. Ini akan menjadi data uji untuk tahap SVM berikutnya. LIBSVM menggunakan data uji yang diperoleh setelah konversi digital dan berkas model yang dihasilkan dalam fase pelatihan untuk mengklasifikasikan pola ke dalam label kelas yang telah ditetapkan sebelumnya dalam fase pengujian. Output fase pengujian LIBSVM ditunjukkan pada Gambar 5.8.
Akhirnya, menggunakan data pelatihan yang diserahkan ke SVM, akurasi model sX dievaluasi dengan menganalisis perbedaan antara keluaran yang diharapkan dan keluaran aktual.
2.2.7 Menganalisis kinerja dan efisiensi operasi model SVM sX.
Karena LIBSVM digunakan untuk mengimplementasikan model SVM dalam pengujian CloudIDS Tier-2 sX-Model Fase II, banyak parameter dan konfigurasi yang dapat diambil dalam LIBSVM untuk mengoptimalkan kapasitas model klasifikasi sX. Hal ini dapat dioptimalkan dengan melakukan proses penskalaan pada berkas pelatihan (lebih lanjut tentang ini nanti). Proses perluasan harus dipantau selama fase pelatihan dan pengujian. Proses ini tidak dapat diselesaikan sekaligus.
Untuk mengoptimalkan data yang digunakan untuk pelatihan dan pengujian dalam sX-Model dan mencapai efisiensi terbaik, berbagai pra-konfigurasi LIBSVM harus dilakukan di CloudIDS C3.
Skalakan data pelatihan dan pengujian dengan mudah.
Untuk menyempurnakan data menjadi topik, penting untuk melakukan penskalaan sebelum menerapkan SVM. Manfaat dasar penskalaan adalah untuk mencegah atribut dengan rentang numerik yang lebih besar mendominasi atribut dengan rentang numerik yang lebih kecil. Keuntungan lainnya adalah bahwa perhitungannya tidak dipengaruhi oleh kompleksitas numerik. Penskalaan biasanya dilakukan untuk setiap fitur dalam rentang [-1, +1] atau [0, 1]. Faktor skala yang sama digunakan untuk data pelatihan dan pengujian.
Pertimbangkan kernel RBF. Meskipun hanya ada empat kernel yang umum digunakan, Anda harus terlebih dahulu memilih kernel yang akan digunakan, lalu memilih parameter penalti C dan parameter kernel. Dibandingkan dengan kernel linear, kernel RBF mengubah sampel nonlinier ke dalam ruang berdimensi lebih tinggi, yang memungkinkannya menangani situasi di mana hubungan antara label dan atribut kelas bersifat nonlinier. Kernel RBF juga memiliki lebih sedikit masalah numerik. Oleh karena fase implementasi kedua kernel RBF dirilis.
Tinjauan lintas bagian.
C dan Gamma adalah dua parameter yang membentuk kernel RBF. Mustahil untuk memprediksi nilai C dan gamma mana yang akan optimal untuk pemandangan tertentu. Oleh karena diperlukan semacam pemilihan model (pencarian parameter). Tujuannya adalah untuk menemukan (C, Gamma) yang baik sehingga pengklasifikasi dapat secara andal memprediksi data yang tidak diketahui (misalnya, data uji). Pendekatan umum adalah membagi kumpulan data menjadi dua bagian, yang salah satunya tidak diketahui. Kinerja klasifikasi pada himpunan data independen lebih akurat tercermin dalam akurasi prediksi yang dicapai oleh pengklasifikasi.
Validasi silang ensemble adalah versi perbaikan dari prosedur ini. Dengan menggunakan validasi silang V-fold, set pelatihan dibagi menjadi v subset dengan ukuran yang sama, pengklasifikasi dilatih pada v-1 subset yang tersisa, lalu setiap subset diuji secara bergantian. Oleh karena setiap entitas diprediksi hanya satu kali dalam keseluruhan set pelatihan, dan akurasi validasi silang adalah proporsi data yang diklasifikasikan dengan benar menggunakan validasi silang.
Telusuri kisi-kisi.
Aplikasi pada C dan Gamma Untuk mengoptimalkan akurasi LIBSVM pada CloudIDS sX-Model, banyak pasangan nilai (C, Gamma) dievaluasi dan pasangan dengan akurasi validasi silang terbaik dipilih. Gambar 5.10 menunjukkan berbagai probabilitas C dan Gamma yang diuji dalam percobaan. Tingkat akurasi untuk setiap kumpulan data juga dapat ditemukan di kolom terakhir.
Uji SOM.
Studi data telah menunjukkan bahwa model UX mampu mendeteksi upaya intrusi saat pengguna melakukan tugas normal. Ini mewakili 11% dari total dan dapat dikaitkan dengan kurangnya protokol pengujian yang memadai untuk menentukan perilaku normal. Kami juga memperhatikan bahwa sebagian kecil log hilang saat dimasukkan ke dalam sistem.
Gambar 5.7 Kesalahan! Dokumen tidak berisi teks dengan gaya yang dipilih. Berdasarkan hasil pengujian, terpilih 10 orang sebagai pasangan terbaik (C, Gamma).
Model dilatih pada set pelatihan menggunakan berbagai kombinasi nilai parameter yang diperoleh dalam fase validasi silang. Gambar 5.7 menunjukkan berkas model yang dibuat setelah langkah pelatihan. Berkas model ini digunakan untuk mengklasifikasikan data uji.
Data uji diskalakan dengan cara yang sama seperti data pelatihan. Saat menskalakan data pelatihan, parameter yang digunakan untuk menskalakan data pelatihan dipertahankan, dan saat menskalakan data uji, parameter yang sama diambil.
Ini memerlukan pertimbangan dampak parameter SVM pada pengklasifikasi, serta memilih nilai yang tepat untuk parameter tersebut, menormalkan data, dan faktor-faktor yang memengaruhi waktu pelatihan. Dalam kedua kasus tersebut, data tampak tidak teratur, yang berarti jika SVM tidak berfungsi dengan baik, distribusi data tidak merata atau tidak pasti.
PEMBAHASAN
Selain mesin virtual Instance-M, tiga mesin virtual lainnya, Instance-M1, Instance-M2, dan Instance-M3, sedang dipersiapkan untuk melakukan studi prototipe yang lebih terperinci dan memverifikasi efisiensi sistem. Semua fase pembelajaran, pelatihan, dan pengujian uX-Model dan sX-Model CloudIDS dijalankan pada ketiga VM ini. Setiap mesin virtual dilengkapi dengan aplikasi Visual Studio langsung dan server basis data. Seluruh struktur mesin virtual ini menjadi dasar bagi tiga mesin virtual yang berfungsi sebagai model simulasi waktu nyata. Selama sepuluh hari berturut-turut, kami mengumpulkan log secara merata dari ketiga sistem dan melakukan operasi acak pada setiap mesin virtual untuk menguji dan memantau aktivitas ketiga mesin virtual tersebut. Hasil VM: Untuk pengujian akurasi CloudIDS, kami mengumpulkan total tiga puluh hari log dengan beberapa stempel waktu dan perubahan untuk tiga VM. Bagian ini juga membahas hasil eksperimen dan kebenaran model uX dan model sX dari kerangka kerja keamanan CloudIDS.
3.1 Hasil Model uX Tingkat I.
Dalam percobaan yang dijelaskan pada Bagian 5.3, aktivitas manual (normal dan patologis) dilakukan pada instans M menggunakan berbagai kasus uji. Lalu dapatkan protokolnya dan gunakan.
(Hanya di bawah 4%) tidak diklasifikasikan sebagai perampokan. Secara keseluruhan, perilaku intrusi terlalu mirip dengan perilaku dalam model UX.
Tingkat deteksi.
Nilainya negatif, jadi itu angka yang salah.
Salah.
Positif.
Tetapkan nilai.
85%.
4% adalah angka yang paling tinggi di dunia.
11% dari total populasi.
Tabel 1: Implementasi kinerja CloudIDS Tier-1 uX-.
Model SOM.
Lebih jauh lagi, SOM uX-Model yang dikembangkan mencapai kinerja pengenalan sebesar 85%, yang sangat mengesankan untuk implementasi pembelajaran mesin tanpa pengawasan. Meskipun sistem mendeteksi anomali, hasil negatif palsu dan positif palsu diamati dalam beberapa percobaan.
3.2 Hasil tahap kedua model sX.
Setelah pengujian ekstensif terhadap berbagai sampel uji, tingkat akurasi mencapai 90,3%.
Korpus data log yang dibuat melalui pengujian 30 hari pada mesin virtual Instance-M1, Instance-M2, dan Instance-M3 memperkuat fondasi model pembelajaran sX.
Sebelum proses eksperimen, memilih kernel yang sesuai secara intuitif dapat membantu meningkatkan akurasi model sX.
Selama proses validasi silang, beberapa percobaan kemungkinan dan kombinasi dilakukan pada nilai C dan gamma, dan diperoleh sepasang nilai optimal dengan akurasi 90,3%.
Uji pelaksanaan implementasi fase kedua menggunakan antarmuka pengguna grafis interaktif. Personel yang relevan dapat masuk ke sistem dan memantau proses yang berjalan di instance M. Setelah SVM menyelesaikan prediksi serangan, outputnya dalam bentuk biner, yaitu,
Ya0 dan 1. Berdasarkan nilai keluaran ini, kita dapat menentukan apakah perilaku yang tercatat dalam berkas log merupakan serangan. Pola aktivitas yang diidentifikasi sebagai serangan kini dibandingkan dengan tingkat keparahan yang ditetapkan dalam berkas XML. Setiap entri yang terkait dengan serangan diberi tingkat keparahan. Setelah tingkat keparahan ditambahkan, semua entri yang menjelaskan serangan disimpan dalam basis data, menyediakan repositori audit yang kecil dan mudah dikelola. Gambar 5.11 menunjukkan hasil kueri SELECT untuk tabel basis data serangan dalam basis data MySQL.
Kesalahan gambar! Teks pada halaman tidak sesuai dengan gaya yang diminta, memilih kueri dalam tabel dan menunjukkan bahwa serangan tersebut dapat bertahan lama.
Pengguna dapat masuk ke lingkungan simulasi dan melihat semua serangan yang terjadi pada VM Instance-M. Anda dapat melihat informasi terperinci dengan memilih bulan, tingkat keparahan, atau tanggal. Misalnya, jika pengguna ingin melihat semua serangan tingkat keparahan 5 yang terjadi pada bulan Mei, mereka dapat memilih nomor yang sesuai dari kotak drop-down. Program tersebut kemudian membuat laporan tabular. Tabel menunjukkan tanggal, bulan, dan waktu serangan beserta pengguna, alamat IP, direktori kerja induk, perintah, pesan log, dan tingkat keparahan. Gambar 5.12 menunjukkan bidang pilihan untuk menampilkan log berdasarkan bulan, hari, dan tingkat keparahan.
Kesalahan gambar! Tidak ada teks pada halaman yang cocok dengan pola yang diminta. 12 GUI CloudIDS Laporan terperinci tentang serangan pada VM pengguna.
Jika serangan baru yang tidak ada dalam Acute Audit Repository ditemukan selama percobaan, program akan memberitahukan pengguna melalui kotak dialog pop-up berdasarkan tingkat keparahan serangan. Dengan memperluas kemampuan ini, ketika tingkat keparahan serangan tinggi (misalnya 5), peringatan dapat dikirim ke administrator, CSP, dan pengguna. Pemberitahuan dapat berupa pesan teks, email, atau panggilan telepon dengan pesan yang direkam. Layar juga dapat diblokir, sehingga mencegah penyerang membahayakan Instance-M lebih lanjut. Kami juga dapat menangani serangan yang tidak terlalu parah dengan memberi tahu personel yang tepat dan mengambil tindakan yang tepat.
Makalah ini mengusulkan topik penelitian menggunakan teknik komputasi lunak dalam eksperimen CloudIDS (Fase I dan Fase II). Keuntungannya adalah meskipun karakteristik serangan tidak dijelaskan dalam berkas konfigurasi, sistem dalam model uX dapat memprediksi apakah itu serangan.
Keakuratan percobaan adalah 85%, sedangkan keakuratan percobaan model sX adalah 90,3%, yang merupakan hasil yang sangat baik. Hal ini secara efektif membuktikan bahwa kerangka kerja keamanan CloudIDS dapat memantau aktivitas yang terjadi pada sebuah VM (Instance-M) dan memperhitungkan tiga klasifikasi keamanan paling ketat dalam komputasi awan masa kini, seperti: masalah keamanan isolasi penyimpanan logis dan multi-penyewa, masalah manajemen identitas, serangan orang dalam, dan berbagai masalah keamanan awan lainnya.
