Management and assessment system for network attacks based on data mining techniques

Abstract

Saldırı Tespit Sistemi tarafından üretilen uyarıların çoğu yanlış pozitif özellikgöstermektedir. Güvenlik analizcileri çok sayıda yanlış pozitif uyarı nedeniylesaldırıları tespit etme ve bunlar ile başa çıkmak için harekete geçme konusundazorluklarla yüz yüze kalmaktadır. Bu uyarılar tehdit derecesine göre kategorizeedilmemektedir. Ancak, saldırının ciddiyeti ve tepki sürelerini belirlemek için buuyarıların ele alınması gerekmektedir. Bu nedenle, uyarı derecesini sınıflandırmak içinveri madenciliği tekniklerini kullanmak için acil bir ihtiyaç ortaya çıkmıştır.Bu sistemi kullanmanın ardındaki nedenler, Saldırı Tespit Sistemi (IDS)uyarılarını sınıflandırmak ve IDS uyarılarının tehdit derecesini incelemek amacıylauyarıları değerlendirmektir. Bu sistem beş aşamadan oluşmaktadır: Özellik SeçmeAşaması, Özellik Entropisi Aşamasının, Uyarı Entropisi (Bilgi Yitimi) Aşaması,Değerlendirme Uyarısı Aşaması ve Sınıflandırma Uyarısı Aşaması.Özellik Seçimi Aşaması, saldırı tespit sisteminin uyarılarının saklanması,standart özelliklerin çıkarılması ve bunların Microsoft Access Veri Tabanı dosyasınakaydedilmesi için bir teknik geliştirmektedir. Özellik Entropisi Aşamasının başlıcagörevi, uyarının her bir özelliği için bilgi yitimi değerinin belirlenmesidir. UyarıEntropisi Aşaması, Uyarı Entropisini hesaplamak amacıyla bir sonraki aşama için girdiverileri olmasına yardımcı olacak yeni bir denklem kullanarak değerlendirilmektedir.Değerlendirme Uyarısı Aşaması, uyarının değerlendirme derecesini hesaplayan yenibir eşitliğe dayanan değerlendirme uyarılarından sorumlu olacaktır. Değerlendirmederecesine göre, uyarıların tehdit derecelerini baz alarak (Doğru veya Yanlış)uyarıların sınıflandırılmasını otomatik hale gelecektir. Sınıflandırma Uyarı Aşaması,sınıflandırmanın oranını hesaplayacak. Elde edilen sistem sonuçlarına göre, DARPA1999 veri seti kullanılarak yanlış pozitif uyarı miktarı % 96.70 oranında azaltılmıştır.

Most of the alerts generated by the Intrusion Detection System are false positive.The security analyst suffers from the difficulty of identifying attacks and taking actionto address them because of a large number of false positive alerts. These alerts werenot categorized depending on the degree of threat. These alerts must be addressed inorder to determine their degree of threat and response time. Therefore, an urgent needto use data mining techniques to classify the degree of alert.The reasons behind using this system are to classify IDS alerts by assessing themto examine the threat degree of IDS alert. This system contains five phases: FeatureSelection Phase, Feature Entropy Phase, Alert Entropy Phase, Assessment Alert Phase,and Classification Alert Phase.The Feature Selection Phase stores alerts of intrusion detection system, extractsthe standard features and saves them in the Database file Microsoft Access. The FeatureEntropy Phase determines the value of entropy for each feature of the alert. AlertEntropy Phase uses a new equation to compute the Alert Entropy which will help tobe the input data for the next phase. Assessment Alert Phase assess alerts based on anew equation which calculates the assessment degree for the alert. The classificationof alerts based on assessment degree of the threats (True or False). The ClassificationAlert Phase computes the ratio of classification. The result of the system reduced theamount of false positive alerts by 96.70% using DARPA 1999 data set.