Improving misuse detection with neural networks

Abstract

Adı-Soyadı: Sadettin DEM RAYOkul: zmir Yüksek Teknoloji EnstitüsüAnabilim Dalı: Bilgisayar Mühendisli iProgramı: Bilgisayar Yazılımı (Yüksek Lisans)Tez Ba lı ı: Nöral A lar Kullanılarak Kötü Kullanım Tespitininyile tirilmesiÖZETKötüye kullanım tespit sistemleri, kural tabanlı sistemler olup veri kayna ıiçerisindeki saldırı desenlerini arar. Kötüye kullanım tespit sistemlerinin tespitkabiliyetleri sahip oldukları saldırı desenleri ile sınırlıdır. Ek olarak her yeni saldırıiçin bir saldırı imzası tanımlamak zahmetli ve zaman alıcı bir süreçtir. Benzer olarakdavranı tabanlı nüfuz tespit sistemleri de yüksek oranlarda yanlı alarmlarla sorunya amaktadır. Yapay sinir a larının nüfuz tespit sistemlerinde kullanılmasıyla birsaldırı kuralı tanımlamaya gerek kalmadan normal ve saldırı paketlerinin tanınmasısa lanabilir.Bu çalı ma yapay sinir a larının nüfuz tespit sistemlerinde kullanılmasınıkapsamaktadır. Bu amaca ula abilmek için yapay sinir a ları hem saldırı hem denormal a paketleriyle e itilmi tir. Geri yayılım algoritması ve Levenberg-Marquardt e itim algoritmaları yapay sinir a larının e itilmesinde kullanılmı tır.Her bir e itim algoritması için biri 3-katmanlı biri de 4-katmanlı olmak üzere ikigrup çok düzeyli algılayıcı a ları yaratılmı tır. Çok düzeyli algılayıcı a lara ek olarakkendi kendini organize eden yapay sinir a ları da saldırıları gruplandırmak içinkullanılmı tır. E itim ve test için 1999 DARPA Nüfuz Tespit SistemleriDe erlendirme veri seti kullanılmı tır. Ancak bu veri setindeki saldırı paketlerininsayısının yapay sinir a larını e itimi için yetersiz kalmasından dolayı, saldırıpaketleri bir simülasyon ortamında yaratılmı tır. E itilen yapay sinir a ları, e itimveri seti ve e itim veri setinin içinde olmayan verilerin bulundu u bir test veri setiyletest edilmi tir. Deney sonuçlarında geri yayılım algoritması ile e itilen yapay sinira larının e itim ve/veya test veri setindeki normal ve saldırı paketlerini ayrıt etmedeba arısız kaldı ı gözlemlenmi tir. Levenberg-Marquardt algoritması ile e iten dokuzyapay sinir a ı, e itim ve test veri setindeki saldırı ve normal paketleri ayırtedebilmeyi ba armı tır.

Name: Sadettin DEM RAYSchool: zmir Institute of TechnologyDepartment: Computer EngineeringMajor: Computer Software (Master)Title of Thesis: Improving Misuse Detection With Neural NetworksABSTRACTMisuse Intrusion Detection Systems are rule-based systems that search attackpatterns in the data source. Detection ability of misuse detectors is limited to knownattack patterns; hence unknown attacks may be missed. In addition, writing newsignatures for novel attacks can be troublesome and time consuming. Similarlybehavior based IDSs suffered from high rates of false alarms. Artificial neuralnetworks have generalization ability, thus they can be used with intrusion detectionsystem in order to identify normal and attack packets without the need of writingrules. We proposed to use neural networks with network-based IDS. To achieve this,system was trained and tested with both normal and malicious network packets.Backpropagation and Levenberg-Marquardt algorithms were used to train neuralnetworks. For each of these training algorithms a 3-layer and a 4-layer MLP networksets were generated. In addition, self-organizing maps were used to classify attackinstances. DARPA 1999 Intrusion Detection Evaluation dataset was used for trainingand testing, but lack of enough attack patterns in evaluation dataset made us to createa testbed to obtain sufficient malicious traffic. After training was completed, trainedneural networks were tested against training dataset and test dataset, which is notpart of the training dataset. Results of the experiments showed that, none of thetrained backpropagation networks could identify attacks in training and/or testingdata sets. But results of the Levenberg-Marquardt networks were more promising asnine of the trained Levenberg-Marquardt networks could identify attack and normalnetwork packets in training and test datasets.