基于软计算的分类方法对入侵检测系统使用KDD 99数据集

苏雷什卡¹,女士。Pooja Agrawal²,Mr.Vikas钱德拉Pandey³普拉萨德先生,苏拉Keshri⁴

研究学者(M.Tech。), Dr.C.V。RamanUniversity, Kargi路哥打,比拉斯布尔,印度
研究学者(博士),Dr.C.V。RamanUniversity, Kargi路哥打,比拉斯布尔,印度
研究学者(博士),Dr.C.V。RamanUniversity, Kargi路哥打,比拉斯布尔,印度
研究学者(M.Tech。), Dr.C.V。RamanUniversity, Kargi路哥打,比拉斯布尔,印度

文摘

入侵检测系统(IDS)检查所有入站和出站的网络活动和识别可疑模式可能表明一个网络或系统攻击有人试图闯入或妥协的一个系统。软计算技术比传统技术生物过程更相似,主要是基于正式的逻辑系统。在数据库知识发现(KDD)是自动发现大型数据库的模式和关系。在本文中,我们将进行预处理KDD cup 99数据集的不同。两种算法误差反向传播(EBP)是最训练算法用于feedforwrd人工神经网络(FFANNs)和径向基函数(RBF)神经网络基于监督学习过程比较后我们给结果,径向基函数(RBF)比误差反向传播(EBP)。比较我们使用MATLAB工具。

关键字

检测方法、Matlab、入侵检测、网络安全。

介绍

入侵检测系统(IDS)检查所有入站和出站的网络活动和识别可疑模式可能表明一个网络或系统攻击有人试图闯入或妥协的一个系统。IDS的初始设计和功能是保护组织的重要信息从一个局外人。IDS分析收集的信息,把它比作大型数据库的攻击签名。

入侵检测功能包括:-

一个¯·监测和分析用户和系统的活动。

一个¯·分析系统配置和漏洞。

¯·评估系统和文件的完整性。

一个¯·识别模式的典型攻击的能力。

一个¯·异常活动的分析模式。

一个¯·跟踪用户策略违规。

二世。IDS使用传统方法

现代计算机系统的日益复杂使得传统的信息安全不切实际的看法,如果不是不可能的。附近的计算环境是动态的,不断变化的配置,软件,和使用模式。这使得给定系统完全保护困难的理论任务静态系统角度,今天的系统的动态特性。这礼物需要更多信息安全的动态视图,一个识别的静态描述政策和安全机制的不足,提出了一种动态提供安全保障的手段,这是足够的对于一个给定的系统在给定的时间。

许多收回在传统的方法:

一个¯·基于签名的IDSs必须被编程来检测每个攻击,因此必须不断更新签名的新攻击。

一个¯·许多基于签名的IDSs狭义签名,防止检测常见攻击的变种。

一个¯·异常检测方法通常会产生大量的假警报将用户和网络的不可预测性。

一个¯·异常检测方法往往需要大量训练集的系统事件记录为了描述正常行为模式

一个¯·比基于主机的ids,基于应用程序的IDSs可能更加脆弱被攻击和残疾人,因为他们作为应用程序运行在主机监控。

三世。软计算

软计算成为一个正式的计算机科学的研究领域在1990年初。早些时候只能模型和精确分析计算方法相对简单的系统。更复杂的系统中发生生物学、医学、人文、管理科学、和类似的领域往往仍然是棘手的传统数学和分析方法

软计算的组件包括:-

一个¯·神经网络(NN)。

一个¯·模糊系统(FS)。

一个¯·进化计算(EC)。

一个¯·进化算法。

答:为什么软计算工具用于id ?

传统的保护技术,如用户身份验证、数据加密、避免编程错误和防火墙是用作计算机安全的第一道防线。如果一个密码是软弱和妥协,用户身份验证不能防止未经授权的使用、防火墙很容易错误配置和怀疑模棱两可或未定义的安全策略。他们通常无法防止恶意移动代码,内幕攻击和无担保的调制解调器。编程错误无法避免,系统和应用软件的复杂性正迅速发展留下一些可利用的弱点。因此,计算机系统可能仍是无担保在可预见的未来。入侵检测不仅是有用的在检测成功的入侵,但还在监测试图打破安全提供了重要的信息及时的对策。

入侵检测系统(IDS)本身可以被定义为工具,方法,和资源来帮助识别,评估和报告未经授权或未经批准的网络活动。

IV.KDD 99数据集

在数据库知识发现(KDD)是自动发现大型数据库的模式和关系。大型数据库并不少见。更便宜和更大的计算机存储能力造成了这样的扩散在广泛领域的数据库。

知识发现(KDD)使用方法从机器学习等各个领域,人工智能、模式识别、数据库管理和设计、统计、专家系统和数据可视化。知识发现(KDD)更加正式定义为识别有效的非平凡的过程,小说,可能有用,最终可以理解的模式数据。KDD过程是一个高度迭代、用户参与,多步骤的过程,可以看到如图2所示。

我们看到,最初,我们有组织数据。这个数据是操作数据收集在一个或多个位置。

V。分类数据集

所有数据集分类为基础的五大类别的攻击这些:

¯·正常数据集:正常的数据集类意味着IDS不能发现任何异常情况。

一个¯·DoS(拒绝服务数据集):拒绝服务(DoS)是一个类的攻击中,攻击者使计算或内存资源太忙或太全面处理合法请求,因此否认合法用户访问机器。

一个¯·R2L(未经授权的访问从远程计算机数据集):一个远程用户(R2L)攻击是一个类的攻击中,攻击者通过网络向机器发送数据包,然后利用机器的漏洞非法获得本地访问用户。有不同类型的R2U攻击;在这堂课上最常见的攻击是使用社交工程完成的。

一个¯·U2Su(未经授权的访问本地超级用户(root)数据集):用户根利用类的攻击,攻击者开始进入一个正常的系统上的用户帐户,可以利用漏洞获得根访问系统。最常见的利用这类攻击是常规的缓冲区溢出,造成常规编程错误和环境的假设。

一个¯·探测(监测和其他调查数据集):探测是一个类的攻击中,攻击者扫描网络收集信息或找到已知的漏洞。攻击者在地图上可用的机器和服务网络可以利用这些信息利用。有不同类型的探针:他们中的一些人滥用电脑的合法的特性;他们中的一些人使用社交工程技术。

培训KDD cup 99数据集我们给了许多不同类型的攻击包括普通攻击如表所示。

VI.CLASSIFICATION

数据分类是一个方法来调整业务需求的基础设施,所以基础设施服务提供适当的支持数据存储和管理。

分类的对象可能是最常见的和古老的决策任务执行的人。它可以被视为分配一个特定对象的一个预定义的组或类基于许多观察到该对象的属性。分类过程主要是有关自然的感官:人类识别或分类对象基于自然传感器获得的数据。收集到的数据通过传感器转换为特定的功能。

上面图3显示分类过程的示意图。

七世。通过EBPA分类

最受欢迎的重量更新规则的学习(培训)算法误差反向传播(EBP)。然而,大多数的EBP神经学习算法严格依赖于安和的架构有许多问题与当前现有的算法基于EBP及其变化。喂——向前与EBP神经网络学习方法是一个多功能系统。他们可以被视为一种统计方法,非线性控制器,一个过滤器,一个代理行为系统和其他复杂的输入输出函数近似和泛化。

算法:

训练一个神经网络的反向传播包括三个阶段:

•前馈输入训练模式,

•相关误差反向传播

•调整权重。

算法如下:

步骤1:初始化权重(设置为随机值)。

步骤2:停止条件为假时,步骤2 - 9。

步骤3:为每个训练,做的步骤3 - 8。

八世。通过径向基函数分类

径向基函数(RBF)神经网络是基于监督学习。许多研究者提出的RBF网络独立和中长期规划是一个受欢迎的选择。RBF网络也擅长造型非线性数据,可以训练一个阶段而不是使用一个迭代过程中长期规划和快速学习给定的应用程序。他们是有用的在解决问题输入数据与加性噪声损坏。

训练的RBF神经网络:-

训练集是一个m贴上一对{Xi, di}表示关联的映射或连续多变量函数的样本。平方误差准则函数的总和可以被看作是一个误差函数E是最小化给定的训练集,也就是说,开发一种训练方法,最大限度地减少E通过自适应更新RBF网络的自由参数。这些参数的接受域中心μj隐层高斯单位,接受域宽度σj,输出层权值(w ij)。由于RBF网络传输的可微性质特点、训练方法之一被认为这是一个完全监督梯度下降法在E。

特别是,μjσjand w ij更新如下:

在ρμ,ρσ和ρW,小正的常数。这种方法能够匹配或超过与反向传播神经网络算法的性能,butgives培训可比的s形FFNN14类型。RBF网络的训练是截然不同的古典训练标准FFNNs。在这种情况下,没有重量的变化梯度法的使用旨在函数最小化。在RBF网络与径向基函数的选择类型,训练融入到选择的中心和维函数和计算输出神经元的权重。通过MATLAB的s / w现在模拟IDS数据使用EBPA和RBN然后我们得到以下结果

IX.COMPARISON

作为我们用EBP神经网络训练算法和RBF和我们不同的输出,是明确从上面两个图但IDS数据(训练)RBF运行良好而EBP显示低效率的结果。

我们已经尝试和训练神经网络的数据量非常少,这可能是我得到完整的结果误差的原因。让错误更少的结果我们可以执行以下任务。

1)初始化连接的神经网络更好的重量。

2)设置另一个参数如偏见神经元。

3)考虑更多的训练数据id。

X。结论和进一步的研究

本文由神经网络训练的专门为IDS数据已经做了大量工作,并在这一领域的软计算工具被设计用于Intrution检测为基础,本文试图对IDS的仿真数据为开发智能系统id。我们的结果表明,这种方法可以增强开发id使用不同的技术进行比较的部分。

进一步的研究在这个领域可以进行通过考虑不同的算法来训练神经网络的数据量更大,比较和总结我结果,算法将适合IDS数据,进一步设计一个新的软计算工具可以为IDS系统使用软计算的混合动力技术。

引用

威廉切除“密码学和网络安全”普伦蒂斯霍尔2009年第四版
介绍神经计算。亚历山大,我和莫顿,第二版
神经网络在太平洋西北国家实验室
http://www.emsl.pnl.gov: 2080 / docs / cie /神经/ neural.homepage.html
Ajith Abraham1和拉维。Jain2“软计算模型对网络入侵检测系统”1计算机科学系,俄克拉何马州立大学,美国ajith.abraham@ieee.org 2信息科学学院、南澳大利亚大学、澳大利亚ravi.jain@unisa.edu.au
介绍神经计算。亚历山大,我和莫顿,第二版
西蒙微积分“神经网络”,普伦蒂斯霍尔出版社2008年第二版
Dubois, d和布雷德,H。,1980年。模糊集和系统:理论和应用程序。纽约:学术
Kosko B。,1991年。神经网络和模糊系统。恩格尔伍德悬崖,新泽西:普伦蒂斯霍尔。
IC1043“神经网络和模糊逻辑”号to39 RMKEC页面
kddcup.names特性的列表。
http://kdd.ics.uci.edu/databases/kddcup99/kddcup.data.gz的完整数据集(18米;743未压缩的)
http://kdd.ics.uci.edu/databases/kddcup99/kddcup.data_10_percent.gz 10%的子集。(2.1米;75未压缩的)
http://kdd.ics.uci.edu/databases/kddcup99/kddcup.newtestdata_10_percent_unlabeled.gz (1.4 m;45米未压缩的)
http://kdd.ics.uci.edu/databases/kddcup99/kddcup.testdata.unlabeled.gz (11.2 m;430未压缩的)
http://kdd.ics.uci.edu/databases/kddcup99/kddcup.testdata.unlabeled_10_percent.gz (1.4 m; 45米未压缩的)
http://kdd.ics.uci.edu/databases/kddcup99/corrected.gz测试数据与更正标签。
training_attack_types入侵类型的列表。
纠正打字错误。txt短暂注意的错误数据集已经被修正。
http://www.sigkdd.org/kddcup/index.php?section=1999&method=data
http://matauranga.wordpress.com/rana/kdd evaluation/——杯- 1999数据
http://www.scribd.com/doc/2346440/neural -网络-和-模糊逻辑控制- ic - 1403