Tối ưu hoá hệ đa chuyên gia nhị phân để nâng cao xác suất phát hiện tấn công

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:7

Thêm vào BST

Báo xấu

23
lượt xem 4
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Tối ưu hoá hệ đa chuyên gia nhị phân với các chuyên gia được xây dựng dựa trên các mạng nơron: Multilayer perceptron (MLP), Support Vector Machine (SVM) và phương pháp Random Forest (RF) để nâng cao xác suất phát hiện tấn công Reconnaissance trên tập dữ liệu UNSW-NB15.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Tối ưu hoá hệ đa chuyên gia nhị phân để nâng cao xác suất phát hiện tấn công

Kỷ yếu Hội nghị KHCN Quốc gia lần thứ XIV về Nghiên cứu cơ bản và ứng dụng Công nghệ thông tin (FAIR), TP. HCM, ngày 23-24/12/2021 DOI: 10.15625/vap.2021.00106 TỐI ƯU HOÁ HỆ ĐA CHUYÊN GIA NHỊ PHÂN ĐỂ NÂNG CAO XÁC SUẤT PHÁT HIỆN TẤN CÔNG Lê Quang Minh1 , Lê Thị Trang Linh2 1 Viện Công nghệ Thông tin - Đại học Quốc gia Hà Nội 2 Đại học Điện lực quangminh@vnu.edu.vn, tranglinh2011@gmail.com TÓM TẮT: Tối ưu hoá hệ đa chuyên gia nhị phân với các chuyên gia được xây dựng dựa trên các mạng nơron: Multilayer perceptron (MLP), Support Vector Machine (SVM) và phương pháp Random Forest (RF) để nâng cao xác suất phát hiện tấn công Reconnaissance trên tập dữ liệu UNSW-NB15. Kết quả thử nghiệm cho thấy hệ đa chuyên gia nhị phân cho kết quả cao hơn kết quả của từng chuyên gia và khi tăng số lượng các chuyên gia thì hệ đa chuyên gia cho kết quả cũng cao hơn. Hệ đa chuyên gia nhị phân sau khi tối ưu có thể trở thành một công cụ hữu ích giúp hệ thống nâng cao xác suất phát hiện các cuộc tấn công. Từ khóa: IDS, Dataset UNSW-NB15, Hệ đa chuyên gia nhị phân. I. GIỚI THIỆU Phát hiện tấn công trong mạng máy tính luôn là một thách thức mà các quản trị viên bảo mật và nhân viên phải đối mặt. Hệ thống phát hiện xâm nhập (Intrusion Detection System IDS) đã trở thành một lựa chọn chính và là công cụ phổ biến để xác định các hoạt động bất thường và độc hại trong hệ thống máy tính và mạng. Việc nâng cao xác suất phát hiện các cuộc tấn công và giảm tỷ lệ báo động sai luôn là bài toán được quan tâm hàng đầu và là đề tài nghiên cứu của rất nhiều các nhà khoa học. Trong bài báo này tôi trình bày quá trình tối ưu hoá hệ đa chuyên gia nhị phân - MEBS để tăng xác suất phát hiện tấn công Reconnaissance trong tập dữ liệu tấn công UNSW-NB15 [1]. Các chuyên gia trong MEBS được xây dựng dựa trên mạng nơron MLP, máy véctơ hỗ trợ (SVM - support vector machine), phương pháp rừng ngẫu nhiên (RF - random forest). Bài báo gồm có những phần sau: I. Giới thiệu, II. Cấu trúc hệ đa chuyên gia nhị phân để phát hiện tấn công Reconnaisanse, III. Tập dữ liệu UNSW-NB15, IV. Quá trình tối ưu hoá hệ đa chuyên gia nhị phân để nâng cao xác suất phát hiện tấn công, V. Kết luận. II. CẤU TRÚC HỆ ĐA CHUYÊN GIA NHỊ PHÂN ĐỂ PHÁT HIỆN TẤN CÔNG RECONNAISANSE Việc đưa ra quyết định của một hệ đa chuyên gia đã có rất nhiều các thuật toán được phát triển như: thuật toán đưa ra quyết định theo đa số phiếu bầu, biểu quyết có trọng số, biểu quyết Bayes,… và rất nhiều các thuật toán khác đã được áp dụng vì kết quả thu được của hệ đa chuyên gia hoạt động tốt hơn hầu hết từng chuyên gia của hệ đa chuyên gia. Trong số các thuật toán này, thuật toán bỏ phiếu đa số có lịch sử lâu đời và được sử dụng thường xuyên nhất do sự phổ biến và tính dễ hiểu dễ áp dụng của nó. Theo thuật toán này, giả thuyết mà được đa số phiếu bầu của các chuyên gia được chấp nhận. Trong [15] chúng tôi đã trình bày kết quả phân tích của việc ra quyết định bằng thuật toán bỏ phiếu đa số và đề xuất cách tiếp cận để tính toán xác suất của giải pháp đúng của hệ đa chuyên gia với các giá trị không bằng nhau của xác suất có điều kiện của từng chuyên gia trong giả thuyết các chuyên gia được coi là độc lập lẫn nhau. Do phần cơ sở lý thuyết đã được trình bày kĩ trong [15] nên trong bài báo này tôi sẽ tập trung vào việc mô tả xây dựng hệ đa chuyên gia trong hệ thống phát hiện tấn công để minh hoạ các kết quả phân tích thu được trong [15]. Cấu trúc của các hệ đa chuyên gia nhị phân - MEBS để phát hiện tấn công được tạo thành từ các chuyên gia được xây dựng dựa trên mạng nơron đa lớp MLP [2], máy véctơ hỗ trợ [3], rừng ngẫu nhiên [4]. Để minh hoạ rõ hơn việc ảnh hưởng số lượng của các chuyên gia đến kết quả của hệ đa chuyên gia, cấu tạo và các kết quả của hệ đa chuyên gia được tạo nên từ 3 chuyên gia và 5 chuyên gia sẽ được mô tả kĩ trong bài báo. Hệ đa chuyên gia nhị phân được trình bày trong bài báo này là một hệ thống phát hiện tấn công tấn công Reconnaissanse (tấn công R) trong tập dữ liệu phát hiện tấn công UNSW-NB 15. Đối với hệ đa chuyên gia được cấu tạo từ 3 chuyên gia, trong đó mỗi chuyên gia được xây dựng dựa trên mạng nơron đa lớp MLP với các thông số của mạng khác nhau. Quá trình học và kiểm nghiệm của hệ đa chuyên gia này diễn ra như sau: từ tập dữ liệu UNSW-NB 15 sau khi tiền xử lý được chia ra theo tỷ lệ 80%-20% tương ứng để phục vụ cho quá trình huấn luyện và kiểm tra. Tập dữ liệu được sử dụng cho huấn luyện lại được chia ra làm 3 phần bằng nhau để phục vụ quá trình học của từng chuyên gia. Quá trình kiểm tra của tất cả các chuyên gia đều sử dụng 20% dữ liệu dành cho kiểm nghiệm được tách ra từ tập dữ liệu ban đầu. Thành phần của các tệp để huấn luyện và kiểm tra được trình bày trong Bảng 1.
582 TỐI ƯU HOÁ HỆ ĐA CHUYÊN GIA NHỊ PHÂN ĐỂ NÂNG CAO XÁC SUẤT PHÁT HIỆN TẤN CÔNG Bảng 1. Thành phần các tệp dữ liệu dùng để huấn luyện và kiểm tra của 3 chuyên gia Số lượng tấn công Số lượng dữ liệu của các tấn công còn lại Reconnaisanse (Không phải tấn công Reconnaisanse ) Số lượng dữ liệu để huấn luyện đối với 2725 40897 chuyên gia 1 Số lượng dữ liệu để huấn luyện đối với 2725 40900 chuyên gia 2 Số lượng dữ liệu để huấn luyện đối với 2723 40874 chuyên gia 3 Số lượng dữ liệu để kiểm tra đối với hệ đa chuyên gia nhị phân, được tạo thành 2043 30727 từ 3 chuyên gia Cấu tạo của hệ đa chuyên gia được tạo thành từ 5 chuyên gia dựa trên ba mạng nơron đa lớp MLP, máy véc tơ hỗ trợ SVM và rừng ngẫu nhiên được biểu diễn trong Hình 1. Cũng giống hệ đa chuyên gia được tạo nên từ 3 chuyên gia, 80%-20% dữ liệu tương ứng phục vụ cho quá trình huấn luyện và kiểm tra. Bảng 2 mô tả thành phần dữ liệu dùng cho quá trình huấn luyện và kiểm tra của từng chuyên gia. Hình 1. MEBS được cấu tạo từ 5 chuyên gia Bảng 2. Thành phần các tệp dữ liệu dùng để huấn luyện và kiểm tra của 5 chuyên gia Số lượng tấn công Số lượng dữ liệu của các tấn công còn lại Reconnaissanse (Không phải tấn công Reconnaissanse) Số lượng dữ liệu để huấn luyện đối với 1634 24544 chuyên gia 1 Số lượng dữ liệu để huấn luyện đối với 1634 24545 chuyên gia 2 Số lượng dữ liệu để huấn luyện đối với 1634 24539 chuyên gia 3 Số lượng dữ liệu để huấn luyện đối với 1634 24540 chuyên gia 4 Số lượng dữ liệu để huấn luyện đối với 1637 24555 chuyên gia 5 Số lượng dữ liệu để kiểm tra đối với hệ đa chuyên gia nhị phân, được tạo thành từ 2043 30727 5 chuyên gia
Lê Quang Minh, Lê Thị Trang Linh 583 Quá trình huấn luyện MEBS được thực hiện theo hai giai đoạn. Ở giai đoạn đầu, tất cả các chuyên gia của hệ thống được huấn luyện để nhận ra tấn công Reconnaissanse bằng cách sử dụng dữ liệu có sẵn để huấn luyện. Ở giai đoạn thứ hai, các chuyên gia sau khi đã được huấn luyện sẽ được tích hợp vào MEBS, tuỳ thuộc vào thuật toán tương ứng các chuyên gia sẽ đưa ra quyết định về dữ liệu nhận được là tấn công Reconnaissanse hay không phải tấn công Reconnaissanse. III. TẬP DỮ LIỆU UNSW-NB 15 Hiện nay tồn tại rất nhiều các tập dữ liệu phát hiện tấn công: DARPA 98 [5], KDD Cup 99 [6], NSL KDD [7], PESIM 2005 [8], ADFA Intrusion Detection Data Set [9], UNB ISCX Intrusion Detection Evaluation Data Set [10], University of New Mexico (UNM) Data Set [11], HTTP DATASET CSIC 2010 [12], UNSW-NB 15. Trong số các tập dữ liệu đã liệt kê, đa số đã xuất hiện từ khá lâu, không chứa những kiểu dữ liệu tấn công mới hiện này. Vì vậy trong thực nghiệm này tôi chọn tập dữ liệu UNSW-NB15, một trong những tập dữ liệu tấn công mới, được tạo thành vào năm 2015. Tập dữ liệu này chứa 2.540.044 bản ghi được lưu trữ trong bốn tệp CSV. Sau khi loại bỏ các bản ghi trùng, số bản ghi còn lại là 2059419, tất cả các bản ghi được tách thành 4 tệp chỉ chứa dữ liệu về thông tin thông thường và các kiểu tấn công tương ứng. Các cuộc tấn công của tập dữ liệu UNSW-NB 15 được chia thành 9 loại: Normal, Fuzzers, Analysis, Backdoors, DoS, Exploits, Generic, Reconnaissance, Shellcode, Worm. Mỗi bản ghi bao gồm 44 thuộc tính về lưu lượng mạng thuộc năm loại giá trị: định danh, số nguyên, số thực, thời gian, nhị phân, trong đó 2 thuộc tính cuối cùng chứa thông tin về loại tấn công của mỗi bản ghi. Tỷ lệ số lượng các loại tấn công được thể hiện trong cột thứ hai của Bảng 3. Bảng 3. Thành phần các kiểu tấn công của tập dữ liệu UNSW-NB15 Loại tấn công Số lượng bản ghi Normal 1959775 Reconnaissance 13357 Backdoor 1983 DoS 5665 Exploits 27599 Analysis 2184 Fuzzers 21795 Worms 171 Shellcode 1511 Generic 25378 Quá trình tối ưu hoá MEBS được mô phỏng đối với tấn công Reconnaissance vì số lượng tấn công Reconnaissance chiếm vị trí trung bình trong số các tấn công của tập dữ liệu UNSW-NB 15. Quá trình tiền xử lý dữ liệu UNSW-NB15 được biểu diễn trong Hình 2. Hình 2. Quá trình tiền xử lý dữ liệu UNSW-NB15 IV. KẾT QUẢ THỰC NGHIỆM A. Quá trình huấn luyện và kiểm tra của các chuyên gia của hệ đa chuyên gia nhị phân Quá trình huấn luyện và kiểm tra của các chuyên gia của hệ đa chuyên gia nhị phân được thực hiện theo dữ liệu đã được trình bày trong Bảng 1 và 2, được thực hiện trên môi trường MATLAB, sử dụng các gói chương trình ứng dụng Neural Network Toolbox.
584 TỐI ƯU HOÁ HỆ ĐA CHUYÊN GIA NHỊ PHÂN ĐỂ NÂNG CAO XÁC SUẤT PHÁT HIỆN TẤN CÔNG Đối với MEBS được tạo thành từ các chuyên gia trên cơ sở mạng nơron đa lớp MLP, quá trình huấn luyện sử dụng 3 lớp (15-10-1, 30-20-1, 50-30-1, 100-50-1, 100-100-1, 150-100-1, 200-100-1, 200-150-1) và 4 lớp (30-20-10-1), trong đó số đầu tiên - số nơron ở lớp thứ nhất, số thứ 2 - số nơron của lớp thứ 2,… Số thuộc tính đầu vào của tất cả các mạng đều là 42. Ngưỡng để phân loại sẽ chạy từ 0.1 đến 0.9 với bước nhảy là 0,01. Kết quả của các chuyên gia trong MEBS được trình bày trong Bảng 4, Bảng 5. Bảng 4. Các thông số của 3 chuyên gia trong MEBS được cấu tạo từ 3 chuyên gia Thông số Tỷ lệ phát hiện các № Phương Số lớp và Tỷ lệ phát hiện Loại tấn công không chuyên gia pháp nơron của Ngưỡng tán công chuyên gia phải tấn công huấn luyện mỗi lớp Reconnaissance, % Reconnaissance, % Chuyên gia MLP Trainlm 30-20-10-1 0,74 73,86 96,41 1 Chuyên gia MLP Trainlm 30-20-1 0,74 85,12 94,32 2 Chuyên gia MLP Trainlm 15-10-1 0,74 90,70 93,91 3 Bảng 5. Các thông số của 5 chuyên gia trong MEBS được cấu tạo từ 5 chuyên gia Thông số Tỷ lệ phát hiện Tỷ lệ phát hiện các № Số lớp và Loại Phương pháp tán công tấn công không chuyên gia nơron của mỗi Ngưỡng chuyên gia huấn luyện Reconnaissance, phải tấn công lớp % Reconnaissance, % Chuyên gia MLP Trainlm 30-20-10-1 0,6 84,68 92,39 1 Chuyên gia MLP Trainlm 30-20-1 0,6 80,52 94,08 2 Chuyên gia MLP Trainlm 15-10-1 0,6 89,92 94,33 3 Chuyên gia SVM Rbf 88,06 90,86 4 Chuyên gia RF All 87,66 93,37 5 B. Quá trình tối ưu hoá hệ đa chuyên gia nhị phân để nâng cao xác suất phát hiện tấn công Reconnaissance Nếu áp dụng thuật toán ra quyết định theo đa số phiếu thì trong trường hợp MEBS được tạo thành từ 3 chuyên gia - hệ thống sẽ thông báo về việc phát hiện một cuộc tấn công Reconnaissance nếu hai hoặc ba chuyên gia bỏ phiếu về việc phát hiện tấn công Reconnaissance. Nếu hai hoặc ba chuyên gia bỏ phiếu về việc không phát hiện tấn công Reconnaissance thì hệ thống cũng đưa ra thông báo về việc không phát hiện tấn công Reconnaissance. Theo nguyên tắc bỏ phiếu này, tỷ lệ phát hiện tấn công Reconnaissance là 85,71%, còn không phải tấn công Reconnaissance là 95,06%. Bảng 6. Quyết định của MEBS được cấu tạo từ 3 chuyên gia Số lượng Số lượng Số lượng tấn công không phải không phải tấn Số lượng Tỷ lệ phần Tỷ lệ phần trăm R trong tấn công R công R nhưng tấn công R trăm phát phát hiện đúng Quyết định tập dữ trong tập hệ thống nhận phát hiện hiện tấn công không phải tấn liệu dữ liệu nhầm là tấn được R, % công R, % kiểm tra kiểm tra công R 3 chuyên gia bỏ 1 phiếu về không 2043 30727 2744 1966 96,23 91,07 phải tấn công R 2 hoặc 3 chuyên gia bỏ phiếu về 2 2043 30727 1519 1751 85,71 95,06 không phải tấn công R 1, 2 hoặc 3 chuyên gia bỏ phiếu về 3 2043 30727 459 1384 67,74 98,51 không phải tấn công R
Lê Quang Minh, Lê Thị Trang Linh 585 Tối ưu hoá hệ đa chuyên gia nhị phân bằng cách thay đổi quy tắc bỏ phiếu như sau: nếu như cả 3 chuyên gia đều bỏ phiếu về sự có mặt của tấn công Reconnaissance thì MEBS sẽ đưa ra thông báo về sự xuất hiện của tấn công Reconnaissance. Theo nguyên tắc bỏ phiếu này, tỷ lệ phát hiện tấn công Reconnaissance là 96,23%, còn không phải tấn công Reconnaissance là 91,07%. Ngoài quy tắc bỏ phiếu này, Bảng 6 còn đưa ra kết quả của các quy tắc bỏ phiếu khác. MEBS có thể lựa chọn 1 trong 3 phương án trong Bảng 6 theo các tiêu chuẩn phù hợp với hệ thống. Nếu như MEBS đưa ra quyết định theo dòng đầu tiên của Bảng 6, nghĩa là MEBS ưu tiên phát hiện tấn công Reconnaissance. Nếu MEBS đưa ra quyết định dòng số 3 trong Bảng 6 thì MEBS ưu tiên phát hiện các tấn công không phải tấn công Reconnaissance. Kết quả dòng số 2 chính là áp dụng thuật toán ra quyết định bỏ phiếu theo số đông. Hình 4 biểu diễn kết quả của MEBS khi quyết định dựa trên bỏ phiếu theo số đông và khi quyết định lựa chọn theo quy tắc ở dòng số 1 của Bảng 6. Hình 3. So sánh kết quả MEBS khi đưa ra quyết định dựa trên các quy tắc khác nhau Tương tự đối với MEBS được cấu tạo từ 5 chuyên gia, kết quả của MEBS khi đưa ra quyết định dựa trên số lượng các chuyên gia bỏ phiếu được trình bày trong Bảng 7. Bảng 7. Quyết định của MEBS được cấu tạo từ 5 chuyên gia Số lượng Số lượng tấn Số lượng không phải Số lượng Tỷ lệ phần Tỷ lệ phần công R không phải tấn công R № tấn công R trăm phát trăm phát hiện trong tập dữ tấn công R nhưng hệ Quyết định phát hiện hiện tấn công không phải tấn liệu trong tập dữ thống nhận được R,% công R, % kiểm tra liệu kiểm tra nhầm là tấn công R 5 chuyên gia bỏ 1 phiếu về không phải 2043 30727 3868 2018 98,78 87,41 tấn công R 4 hoặc 5 chuyên gia 2 bỏ phiếu về không 2043 30727 2699 1983 97,06 91,22 phải tấn công R 3, 4 hoặc 5 chuyên gia bỏ phiếu về 3 2043 30727 2195 1871 91,58 92,86 không phải tấn công R 2, 3, 4 hoặc 5 chuyên gia bỏ phiếu 4 2043 30727 1497 1629 79,74 95,13 về không phải tấn công R 1, 2, 3, 4 hoặc 5 chuyên gia bỏ phiếu 5 2043 30727 490 1301 63,68 98,41 về không phải tấn công R
586 TỐI ƯU HOÁ HỆ ĐA CHUYÊN GIA NHỊ PHÂN ĐỂ NÂNG CAO XÁC SUẤT PHÁT HIỆN TẤN CÔNG Theo kết quả cho thấy từ Bảng 7, tối ưu hoá hệ đa chuyên gia nhị phân gồm 5 chuyên gia giúp hệ thống có thể nâng cao xác suất phát hiện tấn công Reconnaissance để phù hợp với các yêu cầu đặc trưng của hệ thống. Ngoài ra, kết quả sau khi tối ưu của MEBS được cấu tạo từ 5 chuyên gia có kết quả cao hơn MEBS được cấu tạo từ 3 chuyên gia. Hình 4 biểu diễn sự so sánh các kết quả sau khi tối ưu của các MEBS. Hình 4. So sánh kết quả sau khi tối ưu của các MEBS Kết quả thu được sau khi tối ưu các hệ đa chuyên gia nhị phân trong nghiên cứu này cao hơn so với các kết quả trong các công bố khác: công bố [131] cho thấy tỷ lệ nhận dạng đúng các cuộc tấn công Reconnaisance là 69,9%, còn công bố [132] tỷ lệ này là 75,6%. V. KẾT LUẬN Từ các kết quả thực nghiệm cho thấy: - Hệ đa chuyên gia nhị phân cho kết quả tốt hơn kết quả của mỗi chuyên gia. - Có thể nâng cao xác suất phát hiện tấn công bằng cách tăng số lượng các chuyên gia. - Tối ưu hoá hệ đa chuyên gia nhị phân có thể trở thành một công cụ hữu ích giúp hệ thống có tỷ lệ phát hiện các cuộc tấn công cao hơn và xác suất báo động sai thấp hơn. TÀI LIỆU THAM KHẢO [1] https://research.unsw.edu.au/projects/unsw-nb15-dataset. [2] Fox K. L., Henning R. R., Reed J. H., Simonian R. P. A Neural Network Approach Towards Intrusion Detection // Proceedings of the 13th National Computer Security Conference. Washington.1-4 October, pp: 125 - 134, 1990. [3] Cortes C, Vapnik V. Support vector machine. Machine learning. 20(3):273-97, 1995 Sep. [4] Breiman L. Random forests // Machine learning, Vol. 45. No. 1, pp: 5-32, 2001. [5] https://www.ll.mit.edu/ideval/data/1998data.html. [6] KDD Cup 1999 Data: http://kdd.ics.uci.edu/databases/kddcup99/ kddcup99.html. [7] https://github.com/defcom17/NSL_KDD. [8] Rieck K., Laskov P. Detecting unknown network attacks using language models //Detection of Intrusions and Malware & Vulnerability Assessment. - Springer Berlin Heidelberg, pp: 74-90, 2006. [9] https://www.unsw.adfa.edu.au/australian-centre-for-cyber-security/cybersecurity/ADFA-IDS-Datasets/ [10] Shiravi A., Shiravi H., Tavallaee M., Ghorbani A. A. Toward developing a systematic approach to generate benchmark datasets for intrusion detection //Computers & Security. Vol. 31, No. 3, pp: 357-374, 2012. [11] Forrest, S. University of New Mexico (UNM) Intrusion Detection Dataset //http://www.cs.unm.edu/~immsec/systemcalls.htm. [12] HTTP DATASET CSIC 2010//http://www.isi.csic.es/dataset/. [13] Moustafa N., Slay J. The significant features of the UNSW-NB 15 and the KDD 99 Data sets for Network Intrusion Detection Systems // Proceedings of the 4th International Workshop on Building Analysis Datasets and Gathering Experience Returns for Security (BADGERS), collocated with RAID, At Kyoto, Japan. Vol. 4, 2015. [14] Daniel Smit, Kyle Millar, Clinton Page, Adriel Cheng, Hong-Gunn Chew and Cheng-Chew Lim. Looking deeper: Using deep learning to identify internet communications traffic // Macquarie Matrix: Special edition, ACUR, 2017. [15] [15] Avedian E.D. , Le Thi Trang Linh. The dependence of the majority voting decision-making probabilities on a multi-expert binary system experts number. Informatization and communication, pp:7-14, ISSN 2078-8320, 1-2020.
Lê Quang Minh, Lê Thị Trang Linh 587 OPTIMIZATION OF MULTI-EXPERT BINARY SYSTEM TO INCREASE PROBABILITY OF ATTACK DETECTION Le Quang Minh, Le Thi Trang Linh ABSTRACT: Optimization of Multi-Expert Binary System with experts are built based on neutron networks such as: Multilayer perceptron (MLP), Support Vector Machine (SVM)… and Random Forest (RF) to increase probability of attack detection Reconnaissance on the dataset UNSW-NB15. The experimental testing show that the Multi-Expert Binary System bring higher achievements than the results of each individual expert. An increasing of experts leads to the Multi-Expert Binary System bring the higher results. Therefore, optimization of Multi-Expert Binary System can become an useful tool to help the system improve the probability of attack detection.