所有提交的电磁系统将被重定向到在线手稿提交系统。作者请直接提交文章在线手稿提交系统各自的杂志。

网络入侵检测系统利用聚类和异常检测

J。安东尼Jeyanna1,E.Indumathi2,Dr.D。莎莉尼·Punithavathani3
  1. 打开学生,计算机工程系,政府工程学院Tirunelveli Tamilnadu、印度
  2. 打开学生,计算机工程系,政府工程学院Tirunelveli Tamilnadu、印度
  3. 校长,政府工程学院、Tirunelveli Tamilnadu,印度
相关文章Pubmed,谷歌学者

访问更多的相关文章国际期刊的创新在计算机和通信工程的研究

文摘

随着网络化的发展计算机和相关的应用程序中,入侵检测已经成为网络安全的关键所在。许多入侵检测方法已经发展为保护计算机和网络使用传统统计方法以及数据挖掘的方法。入侵检测方法的功能,有必要更新与创造新的攻击。提出了一种混合入侵检测方法,它使用一个基于监督和异常值的组合方法来提高检测的效率新老攻击。基准的方法评估入侵数据集称为知识发现和数据挖掘杯1999数据集,数据集KDD (NSL-KDD)的新版本。因此,我们的方法的性能很好。



关键字

入侵检测;监督;离群值;NSL-KDD

介绍

基于网络的计算机服务的巨大增长和大幅增加在网络系统上运行的应用程序的数量,采用适当的安全措施来防止计算机和网络计算环境中入侵是一个至关重要的问题。入侵或攻击计算机系统或网络活动或试图破坏危及安全保密,系统的可用性或完整性。
入侵检测系统(IDS)能够检测攻击在几个可用的环境。这种入侵系统解决歧义在被动网络监控,检测系统的攻击。IDS能够预防命令给防火墙和路由器访问控制变化。这可以被视为一种进步在防火墙技术。它可以使访问控制决策基于应用程序的内容,而不是IP地址或港口作为传统的防火墙。
一个入侵检测系统(IDS)监控事件发生在一个计算机系统或网络,分析其中的入侵的迹象。入侵检测(ID)是一种计算机和网络安全管理系统。ID系统收集和分析信息从电脑或网络中不同领域的识别可能的安全漏洞,其中包括入侵攻击以外的组织和滥用(来自组织内部的攻击)。一个基于网络的IDS (NIDS)通常由一组专用传感器或主机计算机放置在不同的网络。这些单位监控网络流量,进行局部分析的交通和报告攻击一个中央管理控制台。基于网络的入侵检测通常使用两种方法实现:基于规则和anomaly-based。
的无穷误用检测和异常检测的方法已被应用。rulebased方法通常不产生大量的假警报,因为它是基于规则识别已知的入侵,但未能检测到新的类型的入侵他们的签名是不清楚。
异常检测的方法有能力检查新的或未知的入侵。因此鉴于anomaly-based的承诺能力的网络入侵检测系统(A-NIDS),这种方法目前是主要的焦点在入侵检测领域的研究和发展。

异常检测技术的概述

异常检测技术可以分为三个主要类别。基于知识,他们是基于统计和机器学习。statistical-based情况下,系统的行动或反应表示从一个遍历性的观点。另一方面,知识A-NIDS技术试图捕捉断言的行动从可用的系统数据(协议规范,网络流量情况下,等等)。最后,基于机器学习A-NIDS计划建立一个明确的或未阐明的模型,允许结构分类分析。

2.1 Statistical-based A-NIDS技术

statistical-based技术,网络流量函数捕获和创建一个轮廓代表其随机行为。这个大纲基于度量的基本特性,比如时间、协议、源和目标ip地址、源和目的地港口,服务等,内容和基于时间的功能。两个数据集的网络流量异常检测过程中被认为是:一个对应于目前观察到随着时间的推移,轮廓,另一个是之前培训统计概述。随着网络事件发生,目前大纲确定和异常等级估计相比之下的两个行为。年级通常表明异常的程度为一个特定的事件,这样的入侵检测系统将列出发生异常时,成绩超过某个阈值。
此外,大多数这些计划依赖的假设似稳态的过程,这并不总是现实的。Statistical-based A-NIDS技术可以进一步分为以下类别:
业务模型或阈值指标
b。马尔可夫过程模型或指标模型
c。统计时刻或平均值和标准偏差模型
d。多变量模型
e。时间序列模型

2.2基于知识的技术

基于知识的检测技术可以用于基于签名id以及异常的id。它积累知识具体的攻击和系统漏洞。它使用这些知识利用和漏洞的攻击来生成警报。任何其他事件不被认为是被接受的攻击。因此基于知识的准确性的入侵检测系统被认为是好的。然而他们的完整性要求定期更新他们的知识的攻击。
基于知识的检测技术可以进一步分为:
状态转换分析
b。专家系统
c。特征分析
d。佩特里网

2.3基于机器学习A-NIDS方案

基于机器学习的网络入侵检测系统是基于异常的NIDS的分类之一。机器学习技术是基于建立显式或隐式模型,使分类的模式分析。这些计划的一个单一的特征是带安全标签的数据时需要训练行为模型中,一个过程,严重的资源需求。在许多情况下,机器学习的适用性原则一致的统计技术,尽管前者是侧重于建立一个模型,改善其性能的基础上,以前的结果。因此,机器学习A-NIDS有能力改变它的执行策略,因为它获得新的信息。尽管这个特性可以使它需要使用这种方案对于所有情况,主要缺点是他们昂贵的自然资源。
基于机器学习的检测技术可以进一步分为:

相关工作

网络攻击包括四个主要类别:DoS(单一来源以及分布式源),探测器,U2R和R2L网络入侵的标准分类[16]。在论文[1],通过GA混合支持向量机的好处是说明本文也证明,通过提高SVM与GA可以减少假警报和均方误差(MSE)在检测入侵。摘要[2],一个基于混合入侵检测模型提出了模糊逻辑和神经网络。这种新的模式识别能力攻击高检测率和低假阴性。摘要[3],两个精度和效率等问题通过使用条件随机域混合入侵检测系统。摘要[4],混合C5.0和支持向量机的方法。调查的混合C5.0-SVM方法提供了最佳的性能,U2R和R2L攻击。摘要[5]、基于遗传算法和神经网络的入侵检测模型是解决。这种方法使用进化理论的信息来过滤流量数据,从而降低复杂性。摘要[6],入侵检测,提出了一种新颖的混合模型。 The framework composed of TAN and REP which can be effortlessly implemented in real time and is able to detect U2R and R2L attacks .In the paper[7], feature selection method is proposed. This method increases the efficiency of a given intrusion detection model and reduces the dataset looking for overlapping categories and also filters the desired features.In the paper[8], a simplified particle swarm optimization (SSO) is proposed. SSO is an optimization method that has a strong global search capability and is used for dimension optimization. In the paper[9], a hybrid framework based on clustering and association was developed. This result better in terms of high detection and low false alarm rate.In the paper[10], an intrusion detection model based on hybrid neural network and SVM was presented. The key idea is to aim at taking advantage of classification abilities of neural network for unknown attacks and the expert based system for the known attacks. In the paper[11], a hybrid IDS is proposed. It is obtained by combining packet header anomaly detection (PHAD) and network traffic anomaly detection (NETAD). By combining anomaly-based and misuse based IDSs shows that the hybrid IDS is a more powerful system. In the paper[12], a hybrid approach for adaptive network intrusion detection which involves a hybrid model combining HMM based model with Naive Bayesian (NB) based approach was proposed. But it holds some difficulties that might arise when implementing HMM model in real time.In the hybrid system[13] the advantages of low false-positive rate of signature-based intrusion detection system (IDS) and the ability of anomaly detection system (ADS) was combined to detect novel unknown attacks. This technique leads to fast and accurate intrusion detection. In the paper[14], a design of fuzzy logic-based system for effectively identifying the intrusion activities within a network are proposed. The amount of data retained for processing i.e., attribute selection process was reduced. In the paper[15], an IDS is based on a general and enhanced flexible neural tree FNT. The FNT structure is developed using an evolutionary algorithm and the parameters are optimized by a particle swarm optimization algorithm.

提出了系统

提出了一种两级IDS能够检测网络攻击与高度的准确性。这个id的实现使用两个级别的攻击检测方法:监督方法,和outlier-based方法。监督或outlier-based分类器的选择在一个特定的水平对于一个给定的数据集是基于单个分类器的分类精度,对于一个给定的数据集。第一级分类分类测试数据分成三个类别DoS,探测器,正常休息(非保密)。U2R和R2L连接被归类为休息在这个阶段。1级的主要目的是提取尽可能多的DOS和探头连接准确地从数据使用监督分类器模型。在2级,其余类别分为U2R和R2L攻击使用异常检测模型。
这个id高效整体性能的已知和未知攻击。fig4.1。这是一个组合的监督分类器基于分类聚类算法和监督的异常检测算法基于对称邻里关系。结果与基准分析入侵数据集称为NSL-KDD数据集。

4.1预处理:

每个记录的数据集是由41描述属性,其中一些是离散的,一些连续的和绝对的值。连续值属性是离散对数的基础2。名义价值属性映射到离散数值编码(编号从0开始)。数据集的类标号属性被移除,分别存储在不同的文件。

4.2监督分类

分类技术在[17],从可用的标记创建一组代表集群培训对象。让集群包含n对象数据集,每个被d属性A1, A2,。,广告有限discretevalued域D1、D2。,分别Dd。一个数据对象被表示为X = {x1, x2,。,xd}。j th组件的对象X xj,需要定义的一个可能的值在域属性Aj的Dj。指每个对象编号,数据集可以表示为一组N = {1, 2,。n}。同样,所代表的属性集M = {1, 2,。 , d}.
两个数据对象之间的相似度的X和Y是每个属性相似度的总和为所有属性。它计算
sim (X, Y) = dΣ_j = 1 s (xj, yj),
年代(xj, yj) j th属性的相似度定义为
s (xj, yj) ={1如果| xj−yj |≤δj,否则0},
在δj j th属性的相似度阈值。分类属性δj = 0和数值属性δj≥0。我们使用一个subspace-based增量聚类技术。
集群是一组对象,类似属性的一个子集。所需的最小子集的大小属性形成一个集群MinAtt定义的阈值。我们定义属性的子集由Dattributes = {a1, a2,。,anoAttributes}这样Dattributes⊆M和noAttributes Dattributes的大小。集群是由它的配置文件。这个概要文件表示一个对象的相似。集群中的所有对象相似的形象。集群配置文件定义的一组值,值= {v1、v2。,vnoAttributes}接管Dattributes中相应的属性,这是v1∈Da1的价值属性a1∈M, v2∈Da2属性的值是a2∈M。
它涉及到
Subspace-based增量聚类技术。集群C = {Olist,概要}
Olist - >索引的行出现在集群配置文件= {noAttributes, Dattributes,价值观}。
noAttributes - >特征的数量
Dattributes - >特征的名称
获得适当的值δj和δaj以下执行两个任务。
(我)预处理的数据集使用对数的基地2正常化消除偏见。它使离散连续值属性通过对数的基地2,然后转换成整数。这样做是为每个属性值使用计算z:如果(z > 2) z = _ (log2 (z)) + 1。以对数之前,把分数值的属性区间[0,1]中的乘以100,让他们承担值区间[0,100]。
(2)使用启发式方法来确定适当的范围δj和δaj详尽的实验使用基准和真实的数据集。

4.2.1 CatSub +准备算法

这个算法[17],最大限度地减少对输入参数的依赖通过提供可能的参数值基于启发式方法的范围。此外,CatSub +成本效益,因为它作用于相关特性的子集选择使用一个信息理论方法。CatSub +最初始于一个空的集群。它读取每个对象顺序Xi,插入现有集群基于Xi和集群之间的相似性,或创建一个新的集群Xi如果不是足够相似,所定义的阈值MinAtt,插入任何一个现有的集群。寻找一个集群插入当前对象开始在最后集群创建并走向第一个集群,直到搜索成功。如果成功,插入的对象是集群中的发现和搜索终止。插入对象的时候发现集群中的C、集群的定义属性的值设置(C.noAttributes)根据计算集群和对象之间的相似性度量。组C。Dattributes连同C。值也更新。如果搜索不成功,创建一个新的集群和集群的代表对象对象本身,即属性的全套变得Dattributes而完整的对象的值变成了新的集群配置文件的相应值。 Initially, CatSub+ is trained with a fixed number of known clusters. Once the clusters and corresponding profiles are built for the known classes, newer instances are incrementally inserted in any one of the clusters. Before the initiation of cluster formation and respective profile building, all the unselected objects are marked as unprocessed. Similarity thresholds minAtt and minSize are assigned high values and they are gradually decreased in steps. In each iteration, the remaining unprocessed objects are clustered using the similarity measure, with reference to δ. If it fails to insert an object in any of the preexisting known clusters (created in the previous iteration), then a new cluster is created with the object. When the clustering process ends in the present iteration, cluster profiles are extracted from each of the clusters having at least minSize objects in it and the objects in such a cluster are marked as processed. All insignificant clusters, whose sizes are less than minSize, are deleted. The remaining new clusters become known clusters for the next iteration after making them empty by deleting their object lists. Then the threshold values minSize and minAtt are reduced so that the next iteration can create larger clusters instead of fragmented clusters. By reducing the thresholds, more generalization is allowed. The algorithm iterates so long as there are unprocessed objects remaining. To ensure termination of the algorithm, minSize is reduced to minSize/2 so that the ultimate value of minSize becomes 1, after which no objects will remain unprocessed. The threshold minAtt is loosened by setting minAtt = minAtt − α, where α is a small integral constant such as 1 or 2. Reduction of minAtt below a certain level (MIN) is not allowed. It remains constant atMIN. Generalization beyond the MIN level will make data objects belonging to two different classes indistinguishable. When the clustering process terminates, the set of profiles found in the profile file becomes the final cluster profiles for use in the prediction process.

4.3基于异常挖掘分类

异常挖掘方法[17]基于对称邻里关系。为每一个对象的数据集,一个向前的邻居离群值的因素是找到最近邻估计和远期最近邻集合的数据对象识别离群值。
在数据集D = {d1, d2,。,n对象的dn},让di和dj是两个任意的对象在d .使用欧氏距离来评估对象之间的距离di和dj, dist (di, dj)表示。k最近邻的一组对象的对象p (NNk (p))的k最近邻的对象集p k > 0。在数据集D D | |对象,|亚硝胺(p) | = k
(我)如果∀p _∈亚硝胺(p)和(2)dist (o, p) < dist (´o, p) o和´o k和k + 1) th最近的邻居的p,分别。提出p k最近邻的一组对象的对象是亚硝胺的组对象包含p,指示为FNNk (p)。在D | |对象的数据集D p和q FNNk (p) = {q∈D | p∈亚硝胺(q), p≠}。得分为每个对象数据集的计算基于| NNk |和| FNNk |的对象。分数称为向前的邻居离群值系数k对象(FNOFk)和它决定链接的对象与其他对象的力量。远期的邻居离群值因子k的对象的对象p是其余的对象数的比率FNNk (p)的数据集D(除了对象p)的数量数据集对象(对象p除外),指示为FNOFk (p)。

4.3.1 GBBK算法:

异常值检测算法[17]这名叫GBBK算法包括两个功能:getFNOFk (D、k)和getNNk (D、磷、钾)。函数getFNOFk (D、k)使用欧氏距离计算所有对象之间的距离,所有距离和搜索最短k距离。函数getNNk (D、p、k)向前搜索最近邻函数返回的对象为每个k对象getFNOFk (D、k)对于任何对象,计算得分。

性能分析

5.1监督分类:

当训练集是450数据对象和测试集是180的数据对象,高检出率0.97778。

5.2异常分类:

当测试组935数据对象
图像

结论和未来的增强

该系统提出了一种两级混合入侵检测方法基于监督和异常值的方法。这种方法表现出很好的性能检测稀有类别的攻击以及大规模攻击新的和现有的攻击测试时NSL知识发现(KDD)数据集。在进一步的研究中,该系统将努力创建一个基于更快的更有效的整体方法和高效的分类器,做出重大贡献的入侵检测的研究。

表乍一看

表的图标
表1

数据乍一看

图1 图2
图1 图2

引用

  1. Kayvan Atefi1, Saadiah Yahya2, Ahmad Yusri Dak3,和乔Atefi4”ONDIFFERENTMACHINE学习算法为基础的混合入侵检测系统”程序计算和信息学的第四次国际大会上,ICOCI201328-30 8月,2013年马来西亚沙捞越。马来西亚公民大学纸No.022 (http://www.uum.edu.my)

  2. 穆纳Mhammad t Jawhar &莫妮卡Mehrotra“设计使用混合模糊神经网络的网络入侵检测系统”InternationalJournal计算机科学和安全、体积(4):问题(3)

  3. Sandip Ashok Shivarkar Mininath Raosaheb Bendre“混合入侵检测方法使用条件随机域”InternationalJournal计算机技术和电子工程(IJCTEE)卷1,问题3

  4. 瓦希德Golmah“高效的混合入侵检测系统基于C5.0和SVM“国际期刊数据库理论及应用第七卷,2号(2014),pp.59 - 70

  5. 尼廷•古普塔Parveen Kumar“混合入侵检测系统使用Genetic-Neural网络”国际工程研究和应用程序(IJERA)杂志ISSN: 2248 - 9622年全国会议工程与科技进步(让- 2014年3月29日)

  6. Mradul Dhakar +和Akhilesh女子“一种新颖的基于数据挖掘的混合入侵检测框架”ISSN 1746 - 7659,英格兰,UKJournal信息与计算科学卷。9日,1号,2014年,第048 - 037页(2012年6月23日收到,接受10月12日,2013)

  7. Witcha Chimphlee Abdul哈难阿卜杜拉穆罕默德努尔Md Sap“粗糙模糊混合算法计算机入侵检测”InternationalJournal阿拉伯技术分析,第4卷,2007年7月3号,国际期刊的P2P网络的趋势和技术(IJPTT) - 8 - Sep2013卷3问题

  8. [8]。Revathi1, a Malathi2“网络入侵检测使用混合简化群优化技术”ISSN: 2249 - 2615 375页Somani1资源Roshni Dubey2“混合基于聚类的入侵检测模型和关联

  9. Manish Somani1, Roshni Dubey2“混合基于聚类的入侵检测模型和协会”国际期刊的AdvancedResearch电气、电子、仪表工程(ISO 3297: 2007认证组织)卷。3,问题3,2014年3月

  10. 宗派k . AL-Rashdan Reyadh Naoum,瓦。Al_Sharafat,μ'taz Kh。Al-Khazaaleh”小说使用混合神经网络的网络入侵检测系统(Hopfield和Kohonen SOM与良心函数)“IJCSNSInternational《计算机科学和网络年代10安全感、VOL.10 11路,2010年11月手稿收到11月5日,2010年手稿修改后的11月20日,2010年

  11. m·阿里Ayd吗?n *, A .哈利姆Zaim k Gokhan Ceylan”混合入侵检测系统设计计算机网络安全”部门ofComputer工程、工学院,34320 Avcilar,伊斯坦布尔,TurkeyComputers和伊斯坦布尔大学电气工程35 (2009)517 - 526

  12. R Rangadurai Karthick R Rangadurai Karthick, Balaraman文德兰花,“自适应网络入侵检测系统使用HybridApproach”, 978 - 1 - 4673 - 0298 - 2/12 / c 2012年IEEE 31.00美元

  13. Kai黄,家伙,IEEE, Min Cai,会员,IEEE,应陈,学生会员,IEEE,和最小秦“混合入侵检测withWeighted签名生成网络异常事件”IEEE可靠和安全的计算,卷。4,没有。1,1 - 2007

  14. Chapke Prajkta p, Raut a B。“混合入侵检测系统模型”国际工程和计算机ScienceISSN杂志:2319 - 7242年Volume1问题3 Dec 2012页151 - 155

  15. Yuehui陈,1,,2,Ajith亚伯拉罕*博Yang1,‡“混合灵活Neural-Tree-Based入侵检测系统”1 InformationScience与工程学院,济南大学,济南250022年公关中国2计算机科学与工程学院,Chung-Ang大学,首尔,韩国

  16. 李普曼,R。et al。(2000)评估入侵检测系统:1998年美国国防部高级研究计划局离线入侵检测评估。Proc。DARPAInformation生存Conf.和博览会(DISCEX) 2000美国,类似CA 12-26页。

  17. Prasanta Gogoi1,位Bhattacharyya1,∗,b . Borah1和颧骨的k . Kalita2“MLH-IDS:多层次的混合入侵检测方法”©2013年作者。牛津大学出版社出版的英国计算机协会的代表