Guided feature selection and dimensionality reduction method for IDS improvement in DDoS attacks

Abstract

Bilgisayar teknolojilerinin hızla gelişmesi ile birlikte, ağ güvenliği son yıllarda önemli meselelerden biri haline gelmiştir. Ağ hızlarındaki gelişmelerin geleneksel saldırı tespit sistemi (IDS) için üstesinden gelmesi gereken yeni zorluklar yaratması nedeniyle, dağınık hizmet engelleme (DDoS) saldırıları giderek daha önemli bir güvenlik tehdidi oluşturmaktadır. Dahası, IDS sistemleri, sistemlerden ve ağlardan gelen gerçek zamanlı olarak izlenmesi ve etkili bir şekilde yönetilmesi gereken çok sayıda veri ile uğraşmak zorunda kalmaktadır; bu da, birçok gereksiz ve kullanışsız özellik içeren büyük ölçekli veriler yüzünden önemli bir sorun teşkil etmektedir. Bu tezde, özellik seçimi ve boyutluluk indirgemeden (FSDR) oluşan etkili bir yöntem sunulmaktadır. Seçilen özellikler alt kümesinde, ortak bilgideki (MI) belirsizlik değerine bağlı olan özelliklerin bir alt kümesini seçmek için ampirik kümülatif dağılım fonksiyonunun kullanımı ile tüm özellik alanının ağırlığı için ortak bilgi (MI) uygulanmıştır. Bundan sonra, MI'da seçilen özelliklerin yeni alan boyutlarını azaltmak için tekil değer ayrıştırma (SVD) algoritması geliştirilmiş ve çeşitli DDoS saldırılarını saptamak için geri yayılım sinir ağı algoritması uygulanmıştır. Birincil deneyler MATLAB ortamında uygulanmıştır. Deneysel sonuçlar bize FSDR yönteminin iki veri kümesinin optimal sayıda özelliğini seçebildiğini göstermiştir. İlk olarak, NSL-KDD veri setinin değerlendirilmesi boyutları 41'den 4'e düşürmüş ve Alkasasbeh [1] tarafından oluşturulan DDoS saldırılarının modern bir very setine ek olarak ve özellikleri beş katlı çapraz doğrulama gerçekleştirdikten sonra en yüksek sınıflandırma doğruluğu ile 27'den 6'ya indirilmiştir. Önerdiğimiz yöntem, saldırıların sınıflandırma doğruluğunu tehlikeye atmadan boyutları verimli bir şekilde en aza indirebilmekte ve hesaplama yükünü azaltabilmektedir

With the rapid development of the computer technologies, network security has become one of the essential issues in recent years. Distributed denial of service (DDoS) attacks are getting more and more important security threat as the improvements on network speeds create new challenges for traditional intrusion detection system (IDS) to overcome. Moreover, the IDS systems have to deal with a huge set of data with many redundant and non-useful features from systems and networks to be monitored and efficiently managed in real-time. We present an effective procedure composed of feature selection and dimensionality reduction (FSDR). In the features selection, we applied mutual information (MI) for weight the whole feature space with the use of empirical cumulative distribution function to select a subset of features that depend on the uncertainty value in MI. Also, we improved the singular value decomposing (SVD) algorithm to reduce the dimensions of the new space of the features selected in MI, and we implemented with the back-propagation neural network algorithm to detect various types of DDoS attacks. Primary experiments are implemented in MATLAB environment. Two datasets were used to test our method. First, the NSL-KDD dataset has reduced the dimensions from 41 to 4. Besides, a modern dataset of DDoS attacks created by Alkasasbeh [1] and its features are reduced from 27 to 6 with highest classification accuracy is still obtained, after carrying out with five-fold cross-validation. Our suggested method (FSDR) can efficiently minimize dimensions and diminish their computational overhead without jeopardizing on classification accuracy of attacks.