A network intrusion detection system based on a Hidden Naive Bayes multiclass classifier
a b s t r a c t
With increasing Internet connectivity and traffic volume, recent intrusion incidents have reemphasized the importance of network intrusion detection systems for combating increasingly sophisticated network attacks. Techniques such as pattern recognition and the data mining of network events are often used by intrusion detection systems to classify the network events as either normal events or attack events. Our research study claims that the Hidden Naïve Bayes (HNB) model can be applied to intrusion detection problems that suffer from dimensionality, highly correlated features and high network data stream volumes. HNB is a data mining model that relaxes the Naïve Bayes method’s conditional independence assumption. Our experimental results show that the HNB model exhibits a superior overall performance in terms of accuracy, error rate and misclassification cost compared with the traditional Naïve Bayes model, leading extended Naïve Bayes models and the Knowledge Discovery and Data Mining (KDD) Cup 1999 winner. Our model performed better than other leading state-of-the art models, such as SVM, in predictive accuracy. The results also indicate that our model significantly improves the accuracy of detecting denial-of-services (DoS) attacks
سیستم کشف نفوذ مبتنی بر دسته کننده ی چند دسته ای مخفی Naive Bayes
چکیده :
با توجه به افزایش اتصال به اینترنت و حجم بالای ترافیک، سیستم کشف نفوذ اهمیت بالایی پیدا کرده است. اغلب تکنیک ها نظیر شناسایی الگو و داده کاوی رویدادهای شبکه توسط سیستم های کشف نفوذ مورد استفاده قرار می گیرد تا رویدادهای شبکه به صورت رویدادهای عادی یا رویدادهای تهاجمی دسته بندی شود. این مقاله مدعی است که مدل Hidden Nave Bayes( HNB) را می توان برای کشف نفوذ در سیستم هایی به کاربرد که با مشکلاتی از جمله ابعادی بودن ، ویژگی ها ی بی نهایت وابسته و حجم های جریان بالای داده در شبکه روبرو هستند. HNB یک مدل داده کاوی است که فرضیه استقلال شرطی روش Naive Bayes را ساده می کند. نتایجات نشان می دهد که در مدل HNB عملکرد کلی برتر برحسب دقت، نرخ خطا و هزینه دسته بندی اشتباه در مقایسه با مدل سنتی NB وجود دارد. و این موضوع باعث استفاده گسترده از این مدل گردیده است. این مدل از نظر دقت بهتر از دیگر مدل ها با فناوری پیشرو نظیر SVM عمل کرده و همچنین نتایج مشخص می سازد که این مدل به طور چشمگیری باعث بهبود دقت کشف حملات در خدمات (DOS) می گردد.
مقدمه:
براساس گزارش های امنیتی اینترنتی جدید، حجم و پیچیدگی حملات هدفمند شبکه در سال های اخیر افزایش یافته است. تعداد رو به رشد تهدیدات امنیتی و آسیب پذیری اهدافی همچون سیستم های شبکه نظامی ، دولتی و تجاری مستلزم انواع اقدامات امنیتی سایبری می باشد. کشف نفوذ یک اقدام امنیتی است که به تعیین هویت مجموعه ای از اقدامات بد اندیش کمک می کند. کشف نفوذ به دلیل مسائلی مانند دقت کشف، سرعت کشف و ماهیت دینامیک شبکه ها برای پردازش حجم های بالای داده در سیستم های شبکه ای پراکنده یک مسئله دشوار است. این ملاحظات به کشف نفوذ ی منجر شده بود که شامل کشف سوء استفاده و کشف وضعیت غیر عادی می باشد . کشف سوء استفاده به الگوریتم یادگیری تکیه می کند که از طریق یک مجموعه داده تشکیل شده بود که هر مثال در این مجموعه داده به دو صورت برچسب زده می شود که یا یک رویداد معمولی است و در غیر اینصورت نفوذ صورت گرفته است . هر چند الگوریتم نمی تواند حملاتی را کشف نماید که در مجموعه آموزش دهنده منظور نشده اند ، اما می تواند با مثال های جدید حمله از طریق مجموعه داده، حمله جدید کشف گردد. مدل هایی از رویداد های عادی در کشف وضعیت غیر عادی ایجاد می گردند و رویداد هایی کشف می شوند که از این مدل ها منحرف شوند. این روش می تواند انواع جدید رویداد های تهاجمی را کشف نماید چون تنها به رویداد های عادی شناخته شده تکیه می کند . روش کشف وضعیت غیر عادی علی رغم مزیت هایش از نرخ بالا ی هشدار های اشتباه به دلیل رویداد های عادی از قبل مشاهده نشده مشکل دارد . مدل های هیبردی از کشف سوء استفاده و رویکرد های کشف وضعیت غیر عادی بهره می برند تا عملکرد پیش بینی را بهبود بخشند.
مجموعه داده های بزرگ از طریق داده کاوی کشف گردیده و تجزیه تحلیل می شوند تا الگو ها و مدل های قابل فهم و سودمند را کشف نمایند . داده کاوی رویداد های شبکه اغلب برای تمییز رویداد های حمله از رویداد های عادی از طریق استفاده از روش های مختلف نظیر کشف عامل بیرونی ، خوشه بندی داده بر طبق مقوله ها ، مدل های دسته کننده برای پیش بینی مقوله ها و مدل های مبتنی بر قاعده رابطه استفاده ابزاری می گردد .
دسته بندی عبارتست از شناسایی برچسب ها از مثال ها که به طور نوعی از طریق مجموعه ویژگی ها توصیف می گردند . مدل های دسته کننده یادگیری از داده آموزش معین یاد می گیرند و برچسب های دسته را برای مثال هایی از داده جدید می فهمند . محققان از مدل های دسته کننده بیشماری نظیر کشف مبتنی بر قاعده ، شبکه های عصبی ، منطق فازی ، مدل مارکوف مخفی ، مدل جنگل تصادفی ، داده کاوی و تحلیل بیسی برای مشکل کشف نفوذ استفاده کرده اند .
مدل کشف نفوذ ما یک دسته کننده چند نمایی می باشد که برای دسته بندی رویداد های شبکه به صورت عادی یا رویداد های تهاجمی نظیر DOS ، probe ، U2R و R2I استفاده می کند . مدل مبتنی بر روش داده کاوی جدید می باشد که ( Hidden Naive Bayes( HNB نامیده شد . مدل دسته کننده HNB برا چندین مجموعه داده استفاده می گردد و نتایج نوید بخشی را در مقایسه با NB سنتی و روش های توسعه یافته اش نشان می دهد. هیچ نوع تحقیق سیستماتیک در رابطه با دانش ما وجود ندارد که به قابل اعمال بودن و تاثیرات استفاده از HNB مبتنی بر دسته کننده در حوزه کشف نفوذ بپردازد . مطالعه تحقیق آزمایشی ما در واقع NB سنتی را کشف می کند و رویکرد های NB توسعه یافته از نظر ساختار، نظیر رویکرد جدید HNB را رهبری می کند . دیگر مطالعه تحقیقاتی رقابتی در حوزه کشف نفوذ در دانش ما وجود ندارد که NB سنتی و رویکرد های NB توسعه یافته ساختاری به طور جامع بپردازد . ما در بررسی خودمان روش های NB و NB ارتقاء یافته را با گسسته سازی پیشرو و روش های انتخاب مشخصه را برای افزایش دقت و کاهش الزامات مشکل کشف نفوذ نقویت کرده ایم . مدل دسته کننده مبتنی بر HNB بر اساس نتایج مطالعه در این مقاله همانند سیستم کشف نفوذ ساده و عملی با دقت و هزینه پیشگویی بهتر برجسته می گردد .
روش NB که ساده ترین شکل شبکه بیسی می باشد ، یک روش داده کاوی معروف است که برای چندین دامین اعمال شده است . سادگی روش به فرضیه ای تکیه می کند که کل ویژگی ها مستقل از همدیگر می باشند . روش HNB که این فرضیه را ساده می سازد ، به طور موفقیت آمیزی برای داده کاوی وب بکار گرفته شده. اطلاعات پیشینه در مورد روش های NB و پیشرفت هایش در بخش کار مرتبط مقاله ارایه می گردند .
این مطالعه به دلیل عملکرد خوب اش در کار های ابتدایی در دیگر حوزه ها از مدل دسته کننده HNB برای مشکل کشف نفوذ استفاده می کند . در بخش روش تحقیق به معرفی دلیل منطقی در استفاده از مدل HNB پرداخته و مدل و چارچوب مفهومی را معرفی می کند .
از مجموعه داده کشف نفوذ KDD Cup 1999 ( KDD 1999) برای تست استفاده شده که با توجه به مشکل کشف نفوذ ، روش های NB سنتی از نظر ساختاری و روش برنده KDD 99 برحسب دقت کشف ، نرخ خطا و هزینه دسته بندی اشتباه توسعه یافته اند و به دلیل چالش های مرتبط با مجموعه داده یک سری مجموعه داده را با چندین روش گسسته سازی و انتخاب مشخصه پیش پردازش کرده اند .
در بخش آزمایشات و نتایج در مورد راه اندازی آزمایشات توضیح داده شده . همچنین نتایج کسب شده با دسته کننده HNB را با نتایج کسب شده از دسته کننده NB سنتی ارایه نموده و مقایسه کرده است . در نهایت ، نتایج را با نتایج کسب شده از مدل های با فناوری بالا از مطالعات ابتدایی تر مقایسه کرده است . نتیجه گیری های مطالعه در بخش آخر معرفی می شوند .
برای مطالعه بیشتر پیرامون این مقاله می توانید به لینک زیر مراجعه نمایید.
http://www.sciencedirect.com/science/article/pii/S0957417412008640