Anomaly-based cyber intrusion detection system with ensemble classifier

Abstract

Günümüzde, siber saldırılar giderek artan bir şekilde meydana gelmektedir. Bununla birlikte, siber saldırıların çeşitliliği, büyüklüğü ve yoğunluğu artmaktadır. Güvenlik cihazlarının logları incelendiğinde, büyük miktarda saldırı izi elde edilmektedir. Ayrıca, insanlar için logların doğru olarak değerlendirmesi de zordur. Bu nedenle, bu çok büyük veri setinden bir saldırıyı ayırt etmek için kullanılabilecek anahtar verilerin tanımlanması hem saldırıların hızlı tespiti hem de güvenlik cihazlarının hızlı bir şekilde tepki göstermesi açısından önemlidir. Bu çalışma, makine öğrenmesi yoluyla loglardan uygun verilerin seçimine ve bu verilerin seçiminde bir saldırıya özgü ayırt edici özelliklerin belirlenmesine odaklanmaktadır. Seçilen özellikler kullanılarak, bir sınıflandırma metodolojisi önerilmiştir. Sonuç olarak, 19 özellik ile önerilen model kullanılarak %80,20 ortalama doğruluk başarılmıştır. Ayrıca, DoS ve Exploit sınıflarında daha iyi bir tespit oranı elde edilmiştir.

Nowadays, cyberattacks are occurring progressively. Along with this, diversity, size and density of the cyberattacks are increasing. When the logs of security devices are analyzed, massive amounts of attack signs are detained. Besides, it is also difficult for humans to evaluate the logs accurately. Therefore, the identification of key data, which can be used to distinguish an attack from this very large data set, is important for both rapid detection of attacks and rapid response of security devices. This study focuses on selection of appropriate features from logs via machine learning and determining the distinctive attributes specific to an attack in the selection of these data. Based on the selected features, a classification methodology is proposed. As a result, 80.20% overall accuracy has been achieved using the proposed model with 19 features. Moreover, a better detection rate on DoS and Exploit classes has been obtained.