A multilevel hybrid classifier using variant feature sets for intrusion detection

Abstract

İnternetin geniş kullanımı ile, insanlar her zamankinden daha fazla güvenlik sorunları yaşıyor. Bu nedenle internet kullanıcıları kişisel bilgilerini korumak için güvenlik duvarları, antivirüs, anti-spam ve anti-malware gibi yazılım kullanıyor. Fakat bu yazılımlar, `Denial of Service` (DoS) gibi birçok ağ saldırılarına karşı sistemleri korumak için yeterli değildir. Bu nedenle, güvenlik ihlallerini tespit edebilmek için Saldırı Tespit Sistemleri (STS) geliştirilmiştir. Ticari STS'ler genellikle imza tabanlıdır ve sadece bilinen saldırıları algılayabilmektedir. Diğer yandan, bilinmeyen saldırıları tespit yeteneğine olan sahip anomali tabanlı STS'ler üzerine araştırma yapılmaya devam edilmektedir. Ancak STS'ler hala olgunlaşmamışır, çünkü yüksek oranda yanlış alarm (false alarm) vermekte ve sürekli güncel ağ iletişim paketleri ile eğitilmek zorundadırlar. Bu tez, çeşitli anomali tabanlı saldırı tespit sistemlerini inceler ve sık güncellenen veriler için öğrenme işlemini hızlandırmak ve kolaylaştırmak için çözüm sunuyor. Aynı zamanda daha yüksek tespit oranları ile daha düşük yanlış alarm oranlarına ulaşmaya odaklanır. Diğer yandan, gerçek zamanlı uygulamalar söz konusu olduğunda pek çok ek sorunlar ortaya çıkmaktadır. Gerçek zamanlı uygulamalarda, herhangi bir network iletişim paketinin gözden kaçırılmaması için saldırı tespit sistemlerinin eğitiminin hızlı olması hayati önem taşımaktadır. Saldırıların tespitini hızlandırmak amacıyla sadece ilgili özelliklerin kullanılmasını sağlayan özellik seçimi yapılır. Ayrıca, yaygın olarak bilinmektedir ki, ilgisiz özellikler öğrenme sistemini olumsuz yönde etkilemektedir. Bu nedenle, ilgisiz özellikler kaldırılarak öğrenme performansı artırılır. Sonuç olarak özellik seçimi sınıflandırma oranını yükseltir ve STS'yi hafifleştirir. Bu nedenle özellik seçme, özellikle büyük veri setleri ile çalışırken yapay zeka sistemleri ile makine öğrenmede yaygın olarak kullanılmaktadır. Özellik seçme STS'lerde de yaygın olarak uygulanmaktadır. Bu tez saldırı tespit veri setlerinde üzerlerinde uygulanan ön işlemenin çeşitli etkileri üzerinde de durmaktadır. Ayrıca özellik aday alt kümelerini oluşturmak için arama algoritması olarak ayırt edilebilirlik (discernibility) fonksyonunu kullanarak sarma tabanlı özellik seçimini uygular. Buna ek olarak melez bir yöntem sunulmuş ve önerilen bu yöntem hem benchmark saldırı tespit veri kümesi üzerinde hem de gerçek bir saldırı tespit veri kümesi üzerinde uygulanmıştır. Bunlara ek olarak bu tezde önceden öğrenilmiş bilgiyi değerlendiren ve güncellenmiş veri seti ile öğrenme sistemine önceden kazanılmış bilgiyi uygulayan transfer öğrenme çalışılmıştır.

With the broad usage of the Internet, people have been experiencing more security issues than ever before. Therefore internet users are employing software such as firewalls, antivirus, anti-spam, and anti-malware to protect their personal information. But these software programs are not enough to guard systems from various network attacks such as Denial of Service (DoS). Therefore Intrusion Detection Systems (IDS) have been developed to detect the security violations. Commercial IDSs are usually misuse-based which can only detect known attacks. On the other hand, anomaly-based IDSs, which have the capability of detecting unknown attacks, have been under research. However, IDSs are still immature since they create high false alarms, and have to be trained with up-do-date network communication data packets.This thesis examines various anomaly based intrusion detection techniques and offers a solution for frequently updated datasets to facilitate and accelerate the learning process. It focuses on achieving better detection rates and lower false alarm rates. Meanwhile, many additional issues come into the picture when it comes to real-time applications. In real-time applications, it is vital to train the intrusion detection systems fast to not miss any communication packets. In order to speed up the detection, feature selection is conducted which helps to utilize only related features. Moreover, it is widely known that unrelated features negatively impact the learning system. Thus, removing unrelated features increases the learning performance. As a result, Feature Selection (FS) improves the classification rate and lightens the IDS. Therefore, FS methods are widely used in artificial intelligence and machine learning, particularly when dealing with large datasets. FS has also become widespread in IDS. This thesis focuses also on various effects of pre-processing intrusion detection dataset, and applies a wrapper based FS using the Discernibility Function as the search algorithm to create candidate feature subsets. A hybrid method is proposed as well and conducted on a benchmark intrusion detection dataset as well as on a real intrusion detection dataset. Moreover, this thesis studies transfer learning which helps to utilize the previously known information, and applies the previously gained knowledge to the learning system with an updated dataset.