Statistical methods used for intrusion detection

Abstract

Her gün bilgisayar ağlarına yönelik saldırılar gerçekleşmektedir. Saldırı tespitsistemleri bu saldırıları tespit edip etkilerini azaltmak için kullanılmaktadır. İmzatemelli saldırı tespit sistemleri, sadece bilinen saldırıları tanımlayabilmekte,bilinmeyen ve yeni saldırılar karşısında etkisiz kalmaktadır. Anormallik tespiti ilesaldırı tespiti yöntemleri bilinmeyen saldırıları tespit etmeyi hedeflemektedir ve buamaca yönelik geliştirilmiş algoritmalar mevcuttur. Bu çalışmada beş anormalliktespiti algoritması ve imza tabanlı bir saldırı tespit sistemi olan Snort'un, sentetik vegerçek veri kümeleri üzerinde test edilip başarımlarının gösterilmesi hedeflenmiştir.Snort ve SPADE algoritmaları kullanılarak saldırıların bir bölümü tespitedilebilmiştir. PHAD ve diğer algoritmalarda ise testlerde yeteri kadar uzun eğitimverisi olmaması sebebiyle saldırıların önemli bir bölümü tespit edilememiştir.

Computer networks are being attacked everyday. Intrusion detection systemsare used to detect and reduce effects of these attacks. Signature based intrusiondetection systems can only identify known attacks and are ineffective against noveland unknown attacks. Intrusion detection using anomaly detection aims to detectunknown attacks and there exist algorithms developed for this goal. In this study,performance of five anomaly detection algorithms and a signature based intrusiondetection system is demonstrated on synthetic and real data sets. A portion of attacksare detected using Snort and SPADE algorithms. PHAD and other algorithms couldnot detect considerable portion of the attacks in tests due to lack of sufficiently longenough training data .