توضیحات
ABSTRACT
Anomaly intrusion detection in big data environments calls for lightweight models that are able to achieve real-time performance during detection. Abstracting audit data provides a solution to improve the efficiency of data processing in intrusion detection. Data abstraction refers to abstract or extract the most relevant information from the massive dataset. In this work, we propose three strategies of data abstraction, namely, exemplar extraction, attribute selection and attribute abstraction. We first propose an effective method called exemplar extraction to extract representative subsets from the original massive data prior to building the detection models. Two clustering algorithms, Affinity Propagation (AP) and traditional k-means, are employed to find the exemplars from the audit data. K-Nearest Neighbor (k-NN), Principal Component Analysis (PCA) and one-class Support Vector Machine (SVM) are used for the detection. We then employ another two strategies, attribute selection and attribute extraction, to abstract audit data for anomaly intrusion detection. Two http streams collected from a real computing environment as well as the KDD’99 benchmark data set are used to validate these three strategies of data abstraction. The comprehensive experimental results show that while all the three strategies improve the detection efficiency, the AP-based exemplar extraction achieves the best performance of data abstraction.
INTRODUCTION
The importance of computer network security is growing with the pervasive involvement of computers in people’s daily lives and in business processes within most organizations. As an important technique in the defense-indepth network security framework, intrusion detection has become a widely studied topic in computer networks in recent years. In general, the techniques for intrusion detection can be categorized as signature-based detection and anomaly detection. Signature-based detection (e.g., Snort ) relies on a database of signatures from known malicious threats. Anomaly detection, on the other hand, defines a profile of a subject’s normal activities and attempts to identify any unacceptable deviation as a potential attack. Typically, machine learning techniques are used to build normal profiles of a subject. Any observable behavior of a system, such as a network’s traffic , a computer host’s .operating system or a mobile application , can be used as the subject information
چکیده
تشخیص نفوذ آنومالی در محیط های داده بزرگ، نیازمند مدل های سبک وزن است که قادر به دستیابی به عملکرد واقعی در طول تشخیص هستند. تهیه اطلاعات ممیزی داده ها، یک راه حل برای بهبود کارایی پردازش داده ها در تشخیص نفوذ می باشد. انتزاع داده به انتزاع یا استخراج اطلاعات مربوطه از مجموعه داده های عظیم اشاره دارد. در این کار، ما پیشنهاد سه راهبرد انتزاع داده، یعنی، استخراج نمونه، نسبت انتخاب و نسبت انتزاع. ابتدا یک روش مؤثر به نام استخراج نمونه برداری برای استخراج زیر مجموعه های نمایه از داده های عظیم اولیه قبل از ساخت مدل های تشخیص پیشنهاد می کنیم. دو الگوریتم های خوشه بندی، میل انتشار (AP) و سنتی k- به معنی، به کار می شوند برای پیدا کردن نمونه از داده های حسابرسی. K-نزدیکترین همسایه (K-NN)، آنالیز اجزای اصلی (PCA) و طبقه یک ماشین بردار پشتیبان (SVM) برای تشخیص استفاده می شود. سپس دو استراتژی دیگر را انتخاب می کنیم، ویژگی انتخاب و ویژگی استخراج، به داده های انتزاعی حسابرسی برای تشخیص نفوذ ناقص. دو جریان http جمع آوری شده از یک محاسبات واقعی محاسبات و همچنین مجموعه داده های معیار KDD’99 برای تایید این سه استراتژی abstraction داده ها استفاده می شود. نتایج تجربی نشان می دهد که جامع همه در حالی که سه استراتژی بهبود بهره وری تشخیص، استخراج نمونه بر اساس AP-دستیابی به بهترین عملکرد از انتزاع داده ها.
مقدمه
اهمیت امنیت شبکه رایانه با درگیر شدن فراگیر کامپیوترها در زندگی روزمره مردم و در فرایندهای کسب و کار در بیشتر سازمانها در حال افزایش است. به عنوان یک تکنیک مهم در چارچوب امنیت امنیت شبکه، تشخیص نفوذ در سال های اخیر تبدیل به یک موضوع به طور گسترده مورد مطالعه در شبکه های کامپیوتری شده است. به طور کلی، تکنیک تشخیص نفوذ می تواند به عنوان تشخیص مبتنی بر امضایی و تشخیص آنومالی طبقه بندی شود. تشخیص مبتنی بر امضا (به عنوان مثال Snort) به یک پایگاه داده از امضا از تهدیدات مخرب شناخته شده متکی است. از سوی دیگر، تشخیص آنومالی، یک پروفایل از فعالیت های عادی یک موضوع را تعیین می کند و تلاش می کند تا انحراف غیر قابل قبول را به عنوان یک حمله احتمالی شناسایی کند. به طور معمول، تکنیک های یادگیری ماشین برای ساخت پروفایل های عادی یک موضوع استفاده می شود. هر گونه رفتار قابل مشاهده از یک سیستم، مانند ترافیک شبکه، سیستم عامل opera میزبان کامپیوتر و یا برنامه تلفن همراه، می تواند به عنوان اطلاعات موضوع مورد استفاده قرار گیرد
Year: 2018
Publisher : ELSEVIER
By :Wei Wang, Jiqiang Liu, Georgios Pitsilis, Xiangliang Zhang
File Information: English Language/ 16 Page / size: 746 KB
سال : 1396
ناشر : ELSEVIER
کاری از : وی وانگ، جی کیانگ لیو، جورجیوز پیتسیلیس، Xiangliang ژانگ
اطلاعات فایل : زبان انگلیسی / 16 صفحه / حجم : KB 746
نقد و بررسیها
هنوز بررسیای ثبت نشده است.