混合式系統(Hybrid System)

本節將針對 Self-Learning 機制的分類器，混合多層級投票的方式後之結果加 以討論，並討論影響其結果之因素。

6.3.1 分層

對於分層，這邊主要分為攻擊種類分層與分群分層兩種；對於攻擊種 類分層，分別嘗試了分為兩層(DoS+Probe & U2R+R2L)及分為三層(DoS&

Probe& U2R+R2L) 之分類器，而演算法方面，則使用前一節所提到之演算 法交叉測試，留下實驗結果最好之數據做為比較；而對於分群分層，對於 K-means 分群法之群數 設定，則有 2~ 6 群之不同實驗，並且在每種群數之 實驗中，皆會對 Random Seed 取不同之五個值，統計後留下最好的辨識 結果作為統計比較。

而從圖 29 及圖 39 之圖表結果，可看出再混合多層機制後，無論是利用 攻擊種類多層，或是分群多層、對於分類器的表現並沒有明顯的改進，且雖 然在模型建立的訓練時間上，有長有短，並沒有過大的差異，但這並沒將做 分群法的額外時間加入，因此若以分群多層，可能還會花去更多時間。

43

圖 31 混合多層機制下之實驗結果

圖 32 混合多層機制下之實驗結果

藉由這些實驗結果也說明了，分層後，反而會使得 Self-learning 所獲 得的大量惡意樣本之優點遭到稀釋，使得整體結果的提昇不如預期，而 由圖 31，則可更加驗證此想法，由圖可以看到，從 1~3 層，若未使用 Self-

Learning 的方法，其 Accuracy 在伯仲之間，但在採用 Self-Learning 機制 後，反而是單一分類器的準確率提升的最多。

44

圖 33 混合多層機制下之結果比較

6.3.2 投票

投票機制的用途在於避免 Self-Learning 的過程因分類錯誤導致有過 多錯誤樣本，使得最後訓練出之分類器其辨識能力低落的狀況，而在不同的 參數設定下，也會導致不同的結果，至於要如何訂定分類器的權重關係以及 門檻值，則必須要視情況及目的進行調整，若希望對未知攻擊有高一點的偵 測能力，則可以調高 Self-Learning 後期所訓練出之分類器權重，但其同時 也必須誤判率較高之風險，相反的，若只是想將 Self-Learning 之後訓練出 之分類器作為原始分類器的附加參考依據，則可將後續分類器的權重調低，

並升高門檻值，如此辨識結果便會接近原始分類器的狀況，風險較低，但相 對的，其偵測未知攻擊的能力便會較差。

而在表 18，則列出在不同資料集、不同演算法下，原始分類器，Self- Learning 分類器，以及經過 Voting 之辨識結果之 Accuracy 作為統計跟比 較，這邊的 Voting 數值是配合不同的參數設定所調整出的結果，想表達的 是，若有合適的參數設置，藉由 Voting 方法不僅可以避免最壞狀況，甚至 可以調整出比原始分類器以及 Self-Learning 分類器都來的好的辨識結 果。但要如何在不知測試樣本標籤的情況下，配合所期望的結果，調整出最 佳的參數，則是尚待討論的部分。

Accuracy Statistic (Original – Self-learning – Voting)

J48 Naïve Bayes Random Random RBF

45