|
|
تشخیص حملات شبکههای کامپیوتری با یادگیری ماشین و تحلیل دادههای جریان ترافیک
|
|
|
|
|
نویسنده
|
ویسی هادی ,موسوی هادی ,خوانساری محمد
|
منبع
|
فناوري اطلاعات و ارتباطات انتظامي - 1399 - دوره : 1 - شماره : 1 - صفحه:15 -24
|
|
|
چکیده
|
با گسترش کاربردهای فناوری اطلاعات، هر روزه خدمات بیشتری برروی بستر شبکههای کامپیوتری ارائه میگردد که به همین نسبت تهدیدات امنیتی این سامانهها با اهداف خرابکارانه و یا تجاری توسعه یافته است. یکی از روشهایی که میتوان از پیچیدگی تحلیل کل ترافیک کم کرد، تحلیل خلاصه دادههای مربوط به جریان ترافیک به جای کل ترافیک میباشد. netflow از استانداردهای تولید دادههای جریان ترافیک است که دادههای خلاصه از جریانهای ترافیک شبکه را به صورت خودکار توسط مسیریابها و سوئیچهای سیسکو تولید مینماید. در این مقاله رویکرد مبتنی بر یادگیری ماشین برای تحلیل ترافیک و دستهبندی آن به منظور شناسایی ترافیکهای مربوط به حملات و انجام اقدامات پیشگیرانه، ارائه شدهاست. برای این کار، از الگوریتمهای مختلف یادگیری ماشین شامل بیز ساده (naive bayes)، ماشین بردار پشتیبان (svm) و درخت تصمیم بیز (nbtree) برای مدلسازی دادههای خلاصه جریان ترافیک استفاده شده است. برای ارزیابی روشهای ارائه شده از مجموعه داده kddcup99 استفاده شده است که قبل از استفاده در الگوریتمهای مربوطه، ویژگیهای مربوط به خلاصه جریان ترافیک از آن استخراج شده (7 ویژگی) و الگوریتمهای دستهبندی مذکور هم بر روی همان ویژگیها و هم بر روی همه ویژگیهای موجود در دادهها (41 ویژگی) اجرا شدهاند. متوسط دقت دستهبندی برای دستههای مختلف (22 دسته حمله و یک دسته ترافیک نرمال) نشان میدهد که استفاده از 7 ویژگی کارایی را زیاد تغییر نمیدهد اما محاسبات را به میزان چشمگیری کاهش میدهد. متوسط دقت روشها بیشتر از 97% بوده و در بهترین حالت (روش svm با 41 ویژگی)، متوسط دقت بیشتر از 99% است.
|
کلیدواژه
|
تشخیص حملات شبکه، دادههای جریان ترافیک، دستهبندی، یادگیری ماشین
|
آدرس
|
دانشگاه تهران, دانشکده علوم و فنون نوین, ایران, دانشگاه تهران, دانشکده علوم و فنون نوین, ایران, دانشگاه تهران, دانشکده علوم و فنون نوین, ایران
|
پست الکترونیکی
|
m.khansari@ut.ac.ir
|
|
|
|
|
|
|
|
|
Network Attack Detection on Netflow Data using Machine Learning Techniques
|
|
|
Authors
|
veisi Dr. Hadi ,Khansari Dr. Mohammad ,Mousavi Seyed Hadi
|
Abstract
|
The rapid growth of IT applications and providing more services on computer networks comes with security threats with malicious and business targets. One method to deal with network traffic analysis complexities is to analyze a summary of network data that is extracted from network connections. Netflow is a defacto standard for generating network flow data introduced by Cisco and integrated into Cisco switches and routers which produce flow records about underlying network traffic. In this paper, we use machine learning techniques to analyze Netflow data and classifying connections pertain to network attacks and do respective prevention measures after the classification. Machine learning algorithms including Naïve Bayes, SVM, and NBTree has been used to model different attacks based on network flow data. In the evaluation phase, KDDcup99 dataset used and related features to Netflow data are selected (7 features), and then, classification has been done with both original KDDcup99 features (41 features) and our selected Netflow features. Average classification accuracy for different 22 attack classes and one benign class shows that using just seven Netflow related features does not affect the accuracy obviously while the computation overhead is obviously decreased. Average detection accuracy for our selected features in different algorithms is 97% whereas, for the best case (i.e, SVM) with 41 features, the average accuracy is 99% which is not so much better than our less complex Netflow based method.
|
Keywords
|
NetFlow
|
|
|
|
|
|
|
|
|
|
|