Classification system ids alerts by using data mining technique

Abstract

Günümüzde insanlar sınırları olmayan bir dünyada yaşıyorlar ve bu nedenle de artık ulaşılmaz olan hiçbir şey yok. Teknolojideki ciddi gelişmeler bilgisayar çağında yeni tehditleri ortaya çıkardı. Bu riskler giderek artmakta ve bizim de bu riskler ile daha etkin bir şekilde mücadele etmemiz gerekmekte. Bu nedenle, araştırmacıların network koruması üzerine odaklanması ve bu amaca yönelik bir yazılım geliştirmesi gerekmektedir. Bir başka deyişle, 'bir sızma tespit sistemi 'intrusion detection system' (IDs) geliştirmek gerekmektedir. IDS çeşitli türlerde saldırıları ortaya çıkarabilir ve network ile bilgisayar sistemlerinde oluşan olayları analiz ederek herhangi bir koruma sorunu olup olmadığını tespit eder. Ancak, IDS tarafından her gün çok sayıda uyarı verilir fakat bu uyarıların yine bir çoğu yanlış alarm olabilir. Bu nedenle, araştırmacılar bu yanlış alarm sorununu çözmenin yollarını aramaktadırlar. Bu çözüm yöntemlerinden bir tanesi veri madenciliği algoritmasıdır, yani büyük veri kümelerinden bilgi madenciliği yapma işlemi. Veri madenciliği bu gibi yüksek oranlı uyarılar ile başa çıkabilmek için uygun bir yöntem olabilir. Bu araştırmada sunulan metodolojinin içerdiği geliştirilmiş veri madenciliği tekniği, alarmları gerçek saldırı ve yanlış saldırı olarak sınıflandırmaktadır. Bu teknik, tavsiye edilen sınıflandırma sisteminin tasarlanmasında kullanılmaktadır. Veri setini test etmek için C# kullanan bir uygulama geliştirilmiştir. Sınıflandırma sistemi, bir askeri idare network simülasyonundan alınan DARPA 1999 veri setinin ikinci, dördüncü ve beşinci haftalarında üç deneme yapılarak test edilmiştir. Her bir deneme yüksek doğruluk oranına ulaşarak alarmları sınıflandırmış ve doğru alarm ile yanlış alarmı ayırt etmeye çalışan güvenlik analistlerine yardımcı olabilecek bir süreç başlatmıştır. İlk denem ikinci haftada gerçekleşmiş ve yanlış alarm yüzdesi (YAY) ile doğru alarm yüzdesi (DAY) sırası ile %95 ve %5 olarak gerçekleşmiştir. İkinci deneme dördüncü haftada gerçekleşmiş ve YAY ve DAY sırası ile %94.19 ve %5.81 olarak gerçekleşmiştir. Üçüncü deneme beşinci haftada gerçekleşmiş ve YAY ve DAY sırası ile 93.768% ve %6.232 olarak gerçekleşmiştir. Aynı veri setini kullanan geçmiş bulgular ile karşılaştırıldığında, teklif edilen sistem en iyi sonuçları elde etmiştir.

Currently, people are living in a world without borders, which means that nothing is beyond reach. The significant growth in technology has led to new threats in the era of computing. These risks are increasing and we should be dealing with them in a more efficient manner. Therefore, it has become necessary for researchers to focus on protecting networks and to work on the production of software for this purpose, namely 'an intrusion detection system' (IDs) .IDS can reveal various types of attacks and analyze events that arise in networks and computer systems to identify any protection problem. However, an IDS generates a considerable number of alerts each day most of which may be false alarms. Therefore, researchers have attempted to find ways to solve the problem of false alerts. One of these methods is data mining algorithms, which is a process of mining knowledge from huge datasets. Data mining may be suitable for dealing with this large number of alerts. This research presents a methodology involving an improved data mining technique to classify alarms as being a real attack or a false attack. This technique is used in designing the proposed classification system. An application has been designed using C# to test the dataset. The classification system is tested by conducting three experiments on the second, fourth, and fifth week of the DARPA 1999 dataset which extracted from a simulation of a military management network. Each experiment produces high accuracy to classify the alerts in order to facilitate the process of analyzing alerts to help security analysts to distinguish between true and false alerts. The first experiment is conducted on the second week with percentage of false alert (PFA) and percentage of true alerts (PTA) equaling 95%, and 5%, respectively. The second test was conducted on the fourth week and the PFA and PTA equaled 94.19% and 5.81%, respectively. The third experiment was conducted in the fifth week with the PFA and PTA equaling 93.768% and 6.232%, respectively. The proposed system achieved the best results when compared with the literature findings that had used the same dataset.