Mengidentifikasi Fitur Signifikan untuk Analisis Forensik Jaringan Menggunakan Teknik Kecerdasan Buatan ABSTRAK Jaringan forensik adalah studi tentang aktivitas jaringan menganalisa untuk menemukan sumber kebijakan keamanan informasi pelanggaran atau pelanggaran jaminan. Menangkap jaringan kegiatan analisis forensik sederhana dalam teori, tetapi relatif sepele dalam praktek. Tidak semua informasi diambil atau direkam akan bermanfaat untuk analisis. Identifikasi fitur utama yangmengungkapkan informasi dianggap layak untuk analisis cerdas lebih lanjut masalah menarik bagi para peneliti di lapangan. Fokus dari makalah ini adalah penggunaan teknik kecerdasan buatan untuk analisisintrusi offline, untuk melindungi integritas dan kerahasiaan infrastruktur informasi. Yang efektif forensik alat yang penting untuk menjamin kepastian informasi dengan memperbarui baru diidentifikasi keamanan pelanggaran ke dalam mekanisme organisasi perlindungan dan deteksi. Dua teknik kecerdasan buatan yang dipelajari: Jaringan Syaraf Tiruan (Anns) dan Dukungan Vector Machines (SVMs). Kami menunjukkan bahwa SVMs lebih unggul Anns untukforensik jaringan di kritis tiga hal: 1. SVMs kereta api, dan menjalankan urutan besarnya lebih cepat; 2.SVMs skala yang jauh lebih baik; dan 3. SVMs memberikan ketepatan klasifikasi yang lebih tinggi. Kami juga menangani isu yang terkait peringkat pentingnya fitur input, yang merupakan masalah minat besar di modeling. Sejak penghapusan signifikan dan / atau masukan berguna menyebabkan penyederhanaan masalah dan memungkinkan lebih cepat dan lebih deteksi akurat, fitur seleksi adalah sangat penting dalam forensik jaringan. Dua metode untuk peringkat fitur disajikan, yang pertama adalah independen dari alat pemodelan, sedangkan metode kedua adalah khusus untuk SVMs. Dua metode diterapkan untuk mengidentifikasi fitur penting pada tahun 1999 data intrusi DARPA. Hal ini menunjukkan bahwa kedua metode menghasilkan sebagian besar hasil yang konsisten.
1.
PENDAHULUAN Keprihatinan Tulisan ini forensik jaringan, analisis intrusi offline dan isu terkait
mengidentifikasi fitur masukan penting untuk forensik komputer dan deteksi intrusi.Cyber forensik adalah masalah yang sangat penting untuk perlindungan informasi infrastruktur karena jaringan komputer adalah inti dari kontrol operasional banyak operasi bangsa. Kami
menggunakan dua jenis mesin learning untuk membangun sistem jaringanforensik: Syaraf Tiruan Jaringan atau Anns (1) dan Dukungan Mesin Vector atau SVMs (2). Karenakemampuan untuk mengidentifikasi masukan penting dan input berlebihan dari classifier mengarah langsung ke ukuran yang diperkecil, lebih cepat pelatihan dan hasil mungkin lebih akurat, sangat penting untuk dapat mengidentifikasipenting fitur data lalu lintas jaringan untuk forensik cyber dalam rangka untuk sistemmenganalisis untuk mencapai kinerja maksimal. Oleh karena itu, kami juga studi peringkat fitur dan seleksi, yang merupakan satu masalah yang sangat menarik dalam model bangunan berdasarkan data eksperimen. Ware dan Steven Levy menunjukkan kebutuhan akan keamanan komputer di [1,2] 80-an. Sejak sebagian besar intrusi dapat ditemukan dengan memeriksa pola kegiatan penggunadan catatan audit [3], banyak alat-alat komputer forensik telah dibangun dengan memanfaatkan serangan diakui dan penyalahgunaan pola, yang membutuhkan intervensi manusia. Dalam karya terbaru kami pada analisisintrusi offline, teknik kecerdasan buatan yang dikembangkan untuk mengotomatisasi proses inidengan mengurangi manusia intervensi. SVMs ditemukan lebih unggul Anns dalam beberapa hal dari intrusi deteksi [4,5]. Dalam tulisan ini kita akan berkonsentrasi pada SVMs dan secara singkat merangkum hasil ANNS. Data yang kita digunakan dalam percobaan kita berasal dari MIT's Lincoln Labs. ANNS Ini dikembangkan untuk offline evaluasi sistem deteksi intrusi DARPA dan dianggap sebagai patokan untuk deteksi intrusi evaluasi [6]. Kami melakukan percobaan untuk menentukan peringkat pentingnya fitur input untuk masing - masing dari lima kelas (normal, probe, penolakan layanan, pengguna untuk super-user, dan terpencil untuk lokal) pola dalam DARPA data. ANNS Hal ini menunjukkan bahwa hanya menggunakan fitur pentinguntuk klasifikasi menyediakan akurasi dan, dalam kasus tertentu, mengurangi waktu pelatihan dan waktu pengujian classifier SVM Sebuah pengantar singkat data yang kita digunakan adalah yang diberikan dalam bagian 2 Pada bagian 3 kita menjelaskan metode menghapus satu fitur input pada satu waktu dan metrik kinerjadipertimbangkan untuk menentukan pentingnya fitur tertentu Pada bagian 4 kami menyajikan hasil eksperimen menggunakan SVMs untuk fitur peringkat Pada bagian 5 kami menyajikan hasileksperimen menggunakan ANNS untuk fitur peringkat Pada bagian 6 kita merangkum hasil kami
1.1 Forensik Jaringan Jaringan forensik adalah tindakan menangkap, merekam, dan menganalisa jaringan jejak
audit dalam rangka untuk menemukan sumber masalah informasi lainnya jaminan Istilah
pelanggaran keamanan atau
forensik jaringan diperkenalkan oleh ahli keamanan
komputer Marcus Ranum padaawal 90's [7], dan ini dipinjam dari bidang hukum dan kriminologi mana "forensik" berkenaan dengan penyelidikan kejahatan Menurut Simson Garfinkel, jaringan sistem forensik dapat diimplementasikan dalam dua cara: "menangkap sebagai Anda bisa " dan "berhentimelihat dan mendengarkan" sistem [8]
Sebagian besar teknik saat ini monitor pasif, yang sangat bergantung pada lalu lintas jaringan, CPU penggunaan, atau I / O penggunaan dengan intervensi manusia Pada sebagian besar kasus baru serangan tanda tangan terdeteksi secara manual atau dalam beberapa kasus tidak terdeteksi sampai insidentersebut dilaporkan Utama fokus dalam bidang forensik cyber adalah untuk mengotomatisasi proses mendeteksisemua serangan dan mencegah kerusakan yang disebabkan oleh pelanggaran keamanan lebih lanjut Gagasan utama dari forensik jaringan untuk mengidentifikasi semua pelanggaran keamanan mungkin dan membangun signature ini ke dalam deteksi dan mekanisme pencegahan untuk mencegah kerugian lebih lanjut
1.2
Sistem Jaringan Forensik
Sistem Jaringan forensik dirancang untuk mengidentifikasi penggunaan yang tidak sah, penyalahgunaan, dan serangan terhadap sistem informasi yang sebelumnya diidentifikasi secara manual atau dalam banyak kasus, tak dikenal Sistem Jaringan forensik terutama diklasifikasikan sebagai "Catch sebagai Andabisa " dan "Berhenti dan lihat mendengarkan "sistem Kedua sistem ini bergantung pada peristiwa yang terjadidalam (audit berbasis) masa lalu sebagian besar sistem jaringan forensik didasarkan pada jejak audit Mengandalkansistem jejak audit mencoba mendeteksi pola serangan diketahui, penyimpangan dari perilaku normal, atau pelanggaran kebijakan keamanan. Mereka juga mencoba untuk mengurangi volume data yang besar audit untuk volumekecil data yang menarik Salah satu masalah utama dengan sistem ini adalah overhead, yang dapat menjadi sangat tinggi Untuk menganalisis log, sistem harus menyimpan informasi tentang semua tindakan yang dilakukan, yang selalu menghasilkan data dalam jumlah besar, membutuhkan ruang disk dan sumber daya CPU Selanjutnya, log harus diproses untuk mengkonversikannya ke dalam format dikelola, dankemudian dibandingkan denganset penyalahgunaan diakui dan pola serangan untuk mengidentifikasi pelanggarankeamanan mungkin Lebih lanjut, pola disimpan perlu
terus diperbarui, yang biasanya akan melibatkan keahlianmanusia Alat, cerdas beradaptasi dan biaya-efektif yang mampu ini adalah tujuan dari peneliti di forensik cyber. 2.
DATA Dalam program 1998 deteksi intrusi DARPA evaluasi, lingkungan yang dibentuk untuk
memperoleh baku TCP / IP data dump untuk jaringan dengan mensimulasikan USkhas Angkatan Udara LAN The LAN dioperasikan sebagai suatu lingkungan yang nyata, tapi satu yang sedangmeledak dengan serangan beberapa Untuk setiap koneksi TCP / IP, 41 fitur kuantitatif dan kualitatif berbagai diekstraksi [9] Dari database ini subset dari 494.021 data yang digunakan, dimana 20% merupakanpola normal Jenis erangan jatuh ke dalam empat kategori utama: a)
Probing: surveilans dan Penyelidikan lainnya
b) DOS: penolakan layanan c)
U2Su: akses tidak sah ke hak istimewa lokal super (root) user
d) R2L: akses tidak sah dari mesin remote
a) Probing: Probing adalah suatu kelas serangan dimana penyerang memindai jaringan komputeruntuk mengumpulkan informasi atau menemukan kelemahannya Seorang
penyerang dengan peta mesin dan layanan yang tersedia pada jaringan dapat menggunakan informasi ini untuk mencari eksploitasiContohnya adalah Ipsweep, Mscan, Nmap, Saint, Setan
b) Serangan Denial of Service: Sebuah penolakan serangan layanan adalah kelas serangan dimana penyerangmembuat komputasi beberapa atau sumber daya memori terlalu sibuk atau terlalu penuh untuk menangani permintaanyang sah, atau menolak pengguna yang sah akses ke mesin Contohnya adalah Apache2, Back, Tanah, Mail bom, SYN Flood, Pingof Death, Proses table, Smurf, syslogd, Teardrop, Udpstorm
c) User untuk Root Serangan: User untuk akar eksploitasi yang kelas serangan dimana penyerang dimulai denganakses ke normal account pengguna pada sistem dan mampu mengeksploitasi celah untuk mendapatkan akses root untuk sistem. Contohnya adalah Eject, Ffbconfig, fdformat, LoadModule, Perl, Ps, Xterm
d) Remote untuk Serangan Lokal: Sebuah jarak jauh untuk menyerang lokal kelas serangan dimana penyerang yang tidak memiliki account eksploitasi kerentanan beberapa untuk mendapatkan akses lokal dan mengirimkanpaket ke mesin melalui jaringan . Contohnya adalah Kamus, Ftp_write, Tamu, IMAP, Bernama, Phf, Sendmail, Xlock,Xsnoop
3.
RANKING ATAS SIGNIFIKANSI INPUT Fitur seleksi dan peringkat [10,11] merupakan isu penting dalam forensik jaringan
Daribesar sejumlah fitur yang dapat dimonitor untuk tujuan forensik cyber, yang benarbenarberguna, yang kurang signifikan, dan yang mungkin tidak berguna? Pertanyaannya adalahrelevan karena penghapusan fitur berguna (atau audit trail pengurangan) meningkatkan keakuratandeteksi sementara mempercepat perhitungan, sehingga meningkatkan kinerja secara keseluruhandeteksi mekanisme Dalam kasus di mana tidak ada fitur berguna, berkonsentrasi pada yang paling penting yang mungkin meningkatkan kinerja waktu dari mekanisme deteksi, tanpamempengaruhi akurasi deteksi dengan cara yang signifikan secara
statistik. Peringkat fitur dan masalah seleksi untuk forensik cyber sama di alam ke berbagai teknik masalah yang dicirikan oleh : a)
Memiliki sejumlah besar variabel input x = (x1, x2, â € |, xn) dari berbagai tingkat penting, yakni, beberapa elemen dari x adalah penting, beberapa yang kurangpenting, beberapa dari mereka mungkin tidak saling independen, dan beberapa mungkin tidak berguna atau kebisingan.
b) Kekurangan model analisis atau formula matematika yang tepat menggambarkaninput hubungan output, y = F (x) c)
Memiliki tersedia satu set data eksperimen yang terbatas, berdasarkan manasuatu model (misalnya saraf jaringan) dapat dibangun untuk keperluan simulasi dan prediksi) Karena
kurangnya
model
analitis,
satu-satunya
dapat
mencari
untuk
menentukankepentingan relatif dari variabel input melalui metode empiris Analisis lengkap akan membutuhkan pemeriksaan segala kemungkinan, misalnya, mengambil dua variabel pada suatu waktu untuk menganalisis ketergantungan mereka atau korelasi, kemudian mengambil tiga pada satu waktu, dll ini, bagaimanapun,adalah baik infeasible (memerlukan 2n percobaan) dan tidak sempurna (karena data yang tersedia mungkin kualitas yang buruk dalam sampling masukan seluruh ruang) Berikut ini, oleh karena itu, kami menerapkan teknikmenghapus salah satu fitur di waktu untuk peringkat fitur input dan mengidentifikasi yang paling penting untukdeteksi intrusi menggunakan SVMs [4,5].
3.1 Metode Berbasis Kinerja untuk Pentingnya Peringkat Kami pertama-tama
menggambarkan kinerja
yang umum (yaitu,
independen
alatpemodelan yang digunakan), metodologi berbasis input peringkat: Salah satu fitur input akan dihapus dari datapada satu waktu, sedangkan set data yang dihasilkan kemudian digunakan untuk pelatihan dan pengujian pemilahKemudian penggolong's kinerja dibandingkan dengan yang dari classifier asli (berdasarkan semua fitur) dalamhal kriteria kinerja yang relevan Akhirnya, pentingnya fitur ini peringkat menurutmenetapkan aturan berdasarkan perbandingan kinerja.
Prosedur ini diringkas sebagai berikut: a)
Tulis training set dan set pengujian; untuk fitur setiap melakukan hal berikut
b)
Menghapus fitur dari (pelatihan dan pengujian) data;
c)
Gunakan data yang dihasilkan diatur untuk melatih pemilah;
d) Analisa kinerja classifier menggunakan set tes, dalam hal yang dipilih kriteria kinerja;
e)
Peringkat pentingnya fitur sesuai dengan aturan
3.2 Metrik Kinerja untuk SVM Peringkat Berdasarkan Untuk peringkat pentingnya 41 fitur dalam IDS berbasis SVM, kami mempertimbangkan tiga utama kinerja kriteria: akurasi keseluruhan (5 kelas) klasifikasi; waktu pelatihan, dan waktupengujian Setiap fitur akan digolongkan sebagai "penting," "sekunder," atau "tidak signifikan,"menurut mengikuti aturan yang diterapkan pada hasil perbandingan kinerja asli 41 - fitur SVM dan SVM 40-Fitur : Peraturan yang ditetapkan : a)
Jika berkurang akurasi dan meningkatkan pelatihan waktu dan mengurangi waktu pengujian, maka fitur penting
b) Jika berkurang akurasi dan meningkatkan pelatihan waktu dan meningkatkanwaktu pengujian, maka fitur penting c)
Jika berkurang akurasi dan mengurangi waktu pelatihan dan meningkatkan waktupengujian, maka fitur penting
d) Jika unchanges akurasi dan meningkatkan pelatihan waktu dan meningkatkanwaktu pengujian, maka fitur penting e)
Jika unchanges akurasi dan mengurangi waktu pelatihan dan meningkatkan waktupengujian, maka fitur sekunder
f)
Jika unchanges akurasi dan meningkatkan pelatihan waktu dan mengurangi waktupengujian, maka fitur sekunder
g)
Jika
unchanges
akurasi
dan
mengurangi
waktu
pelatihan
dan
mengurangi
waktupengujian, maka fitur penting h)
Jika meningkatkan akurasi dan meningkatkan pelatihan waktu dan mengurangiwaktu pengujian, maka fitur sekunder
i)
Jika meningkatkan akurasi dan mengurangi waktu pelatihan dan meningkatkanwaktu pengujian, maka fitur sekunder
j)
Jika meningkatkan akurasi dan mengurangi waktu pelatihan dan mengurangiwaktu pengujian, maka fitur penting
Menurut aturan di atas, fitur 41 peringkat ke dalam 3 jenis {Penting}, <Secondary>, atau (Tidak Penting), untuk masing-masing 5 kelas pola, sebagai berikut : Kelas 1 : {1,3,5,6,8-10,14,15,17,20-23,25-29,33,35,36,38,39,41}, <2,4,7,11,12,16,18,19,24,30,31,34,37,40>, (13,32)
Kelas 2: {3,5,6,23,24,32,33}, <1,4,7-9,12-19,21,22,25-28,34 41>, (2,10,11,20,29,30,31,36,37)
Kelas 3: {1,3,5,6,8,19,23-28,32,33,35,36,38-41}, <2,7,911,14,17,20,22,29,30,34,37>, (4,12,13,15,16,18,19,21,3)
Kelas 4: {5,6,15,16,18,32,33}, <7,8,11,13,17,19-24,26,30,36-39>, (9,10,12,14,27,29,31,34,35,40,41)
Kelas 5: {3,5,6,24,32,33}, <2,4,7-23,26-31,34-41>, (1,20,25,38 )
3.3
SVM-spesifik Fitur Metode Peringkat Informasi tentang fitur dan kontribusi mereka terhadap klasifikasi tersembunyi dalam
mendukung fungsi vektor keputusan Menggunakan satu informasi dapat peringkatsignifikansi mereka, yaitu, dalam persamaan : F (X) = ΣWiXi + b Titik X termasuk kelas positif jika F (X) adalah nilai positif Titik X milik kelas negatif jika F (X) adalah negatif Nilai F (X) tergantung pada kontribusi masing-masing nilai X dan Wi Nilai absolut dari Wi mengukur kekuatan klasifikasi Jika Wi adalah besar nilai positif maka i merupakan faktor kunci untuk kelas yang positif. Jika Wi adalah besar negatif maka nilai i Fitur merupakan
faktor kunci untuk kelas negatif Jika Wi adalah nilai
yang
dekat
dengan nol pada salah satu positif atau sisi negatif, maka i tidak memberikan kontribusi yang signifikan terhadap
klasifikasi Berdasarkan ide
ini, peringkat bisa dilakukan dengan
mempertimbangkan dukungan keputusan fungsi vektor
3.4
Support Vector Decision Function (SVDF) Pemeringkatan masukan dilakukan sebagai berikut: Pertama kumpulan data asli
digunakan untuk pelatihan classifier. Maka fungsi keputusan penggolong ini digunakan untuk peringkat pentingnya fitur prosedur ini: a)
Hitung bobot dari vektor fungsi pendukung keputusan;
b)
Peringkat pentingnya fitur oleh nilai-nilai absolut dari beban Menurut metode pembobotan, 41 fitur yang ditempatkan ke dalam 3 kategori{Penting},
<Secondary> atau (Tidak Penting), untuk masing-masing 5 kelas pola, sebagaiberikut:
Kelas 1 Normal: {1,2,3,4,5,6,10,12,17,23,24,27,28,29,31,32,33,34,36,39}, <11, 13, 14, 16, 19,22,25,26,30,35,37,38,40,41>, (7,8,9,15,18,20,21)
Kelas 2 Probe: {1,2,3,4,5,6,23,24,29,32,33}, <10,12, 22,28, 34, 35, 36, 38, 39, 41>, (7, 8, 9, 11, 13, 14, 15,16, 17,18, 19 20, 21, 25, 26, 27, 30,31,37,40)
Kelas 3 DOS: {1,5,6,23,24,25,26,32,36,38,39}, <2,3, 4,10, 12,29,33,34> (7, 8, 9, 11, 13, 14,15, 16, 17 18,19, 20,21, 22,27,28,30,31,35,36,37,40,41)
Kelas 4 U2Su: {1,2,3,5,6,12,23,24,32,33}, <4,10,13, 14,17 22,27,29,31,34,36,37, 39> (7, 8, 9, 11, 15, 16,18, 19,20, 21,25,26,28,30,35,38,40,41)
Kelas 5 R2L: {1,3,5,6,32,33}, <2,4,10,12,22,23,24, 29,31,34,36,37,38,40>, (7, 8, 9, 11, 13, 14,15,16,17, 18, 19,20,21,25,26,27,28,30,35,39,41)
3.5
Metrik Kinerja untuk Jaringan Syaraf Berbasis Peringkat Untuk peringkat pentingnya 41 fitur dalam model jaringan saraf tiruan berdasarkan,
kami mempertimbangkan tiga utama kinerja kriteria: ketelitian keseluruhan (OA) dari (5 kelas) klasifikasi; tingkat positifpalsu (FP); dan tingkat negatif palsu (FN) Setiap fitur akan digolongkan sebagai "penting,""sekunder," atau "tidak signifikan," menurut aturan berikut yang diterapkan pada hasil kinerja perbandingan jaringan 41-fitur asli saraf dan 40-fitur jaringan syaraf peraturan yang ditetapkan: a)
Jika OA meningkat dan menurun KB dan menurunkan FN, maka fitur tersebut tidak penting
b)
Jika meningkat OA dan meningkatkan KB dan menurun FN, maka fitur tersebut tidak penting
c)
Jika berkurang OA dan meningkatkan FP dan meningkatkan FN, maka fitur inipenting
d)
Jika OA berkurang dan berkurang FP dan meningkatkan FN, maka fitur ini penting
e)
Jika OA un-perubahan dan tidak FP-perubahan, maka fitur ini sekunder Kinerja kami metrik dan aturan untuk menentukan pentingnya fitur input tidak terbatas
yang disebutkan di atas, mereka dapat dimodifikasi tergantung padakompleksitas dan sifat dari masalah Menurut metode pembobotan, 41 fitur yang ditempatkan ke dalam 2 kategori {Penting} atau (Tidak Penting), untuk 5 kelas pola, sebagai berikut :
4.
PERCOBAAN MENGGUNAKAN SVMs SVMs digunakan dalam masing-masing dua metode untuk peringkat pentingnya
fiturinput Setelah pentingnya fitur input peringkat, pengklasifikasi dilatih dan diuji dengan hanya
fitur penting Selanjutnya, kami memvalidasi peringkat dengan membandingkan
kinerja classifier menggunakan input semua fitur itu menggunakan fitur-fitur penting dan kami juga membandingkan kinerja suatu classifier menggunakan serikat fitur yang penting untuk semua kelasbalita. Karena SVMs hanya mampu klasifikasi biner, kita perlu mempekerjakan lima SVMs untuk identifikasi masalah lima kelas dalam deteksi intrusi Namun sejak serangkaian fitur penting mungkin berbeda dari kelas ke kelas, menggunakan lima SVMs menjadi keuntungan dan bukan hambatan,
yaitu, dalam membangun sebuah IDS menggunakan lima SVMs,
masing-masing hanya SVM dapat menggunakan fitur-fitur penting untuk itu kelas yang bertanggung jawab untuk membuat klasifikasi [12])
[1]
Statistik Kinerja SVM Hasil kami diringkas dalam tabel berikut Tabel 1 memberikan hasil kinerja dari lima
SVMs untuk setiap kelas masing-masing data Tabel 2 menunjukkan hasil SVMsmelakukan klasifikasi, dengan masing-masing sebagai input SVM menggunakan fitur penting bagi semua lima kelas Tabel 3 menunjukkan hasil klasifikasi SVMs tampil, dengan masingmasing SVMmenggunakan sebagai input persatuan pentingnya fitur untuk semua lima kelas Tabel 4 menunjukkan hasil SVMs melakukan klasifikasi, dengan masing - masing SVM menggunakan sebagai input fitur penting dansekunder untuk masing-masing kelas. Tabel 5 menunjukkan hasil klasifikasi SVMs, dengan masing - masing SVM digunakan sebagai masukan fitur penting yang diperoleh dari peringkat SVDF. Tabel 6 menunjukkan hasil klasifikasi SVMs, dengan masing-masing SVM menggunakan sebagai inputserikat yang
penting fitur untuk setiap kelas yang diperoleh dari peringkat SVDF, serikat memiliki 23 fitur
5.
PERCOBAAN MENGGUNAKAN JARINGAN SYARAF Bagian ini merangkum karya terbaru para penulis dalam membandingkan ANNS
danSVMs untuk intrusi deteksi [4,5,10,11] Karena (multi-layer feedforward) JST mampu membuat multi-kelas klasifikasi, sebuah JST tunggal (Scaled Conjugate Gradient Layak), digunakan untukmelakukan
deteksi intrusi, menggunakan pelatihan yang sama dan set
pengujian sebagai orang-orang untuk SVMs. Jaringan
syaraf
tiruan
mengambilwaktu pelatihan,
digunakan
untuk
peringkat
pentingnya
fitur
input,
pengujian waktu, dan ketepatan klasifikasi sebagai ukuran
kinerja, dan satu set aturanyang digunakan untuk peringkat Oleh karena itu, metode ini merupakan perpanjangan dari metode feature peringkat yang dijelaskan dalam [15] di mana ikatan semen masalah kualitas digunakan sebagai aplikasi engineeringBegitu pentingnya fitur
input menduduki peringkat, yang ANNS dilatih dan diuji dengankumpulan data hanya berisi fitur penting Kami kemudian membandingkan kinerja terlatih classifier terhadap JST asli dilatih dengan data yang berisi semua fitur input
5.1
Jaringan Syaraf Tiruan Jaringan saraf tiruan terdiri dari kumpulan pengolahan elemen yang sangat saling
berhubungan dan mengubah satu set output yang diinginkan [16,17] Hasil dari transformasi tersebut adalah ditentukan oleh karakteristik elemen dan bobot yang terkait dengan interkoneksi di antara mereka Sebuah jaringan syaraf melakukan analisis informasidan memberikan perkiraan probabilitas yang cocok dengan data yang telah dilatih untukmengenali Keuntungan jaringan syaraf pengalaman awalnya dengan melatih sistem dengan baik masukan dan output masalah yang diinginkan Konfigurasi jaringan halus sampai hasil yang memuaskan diperoleh.
5.2
Kinerja JST Statistik Tabel 7 di bawah ini memberikan perbandingan JST dengan semua 41 fitur untuk yang
menggunakan 34 fitur penting yang telah diperoleh oleh algoritma kami fitur-peringkat yang dijelaskan di atas
6.
RINGKASAN DAN KESIMPULAN Sejumlah observasi dan kesimpulan yang diambil dari hasil yang dilaporkan : SVMs
mengungguli ANNS dalam hal yang penting dari skalabilitas (SVMs dapatmelatih dengan lebih banyak pola, sedangkan ANNS akan memakan waktu lama untuk melatih ataugagal untuk berkumpul sama sekali ketika jumlah pola mendapat besar); pelatihan waktu dan waktu berjalan(SVMs menjalankan urutan besarnya lebih cepat); dan akurasi prediksi SVMs mudah mencapai akurasi deteksi tinggi (lebih tinggi dari 99%) untukmasing-masing 5 kelas data, terlepas dari apakah semua 41 fitur yang digunakan, hanya fitur penting bagi masingmasing kelas yang digunakan, atau gabungan dari semua fitur penting untuksemua kelas yang digunakan.
Kami
mencatat,
bagaimanapun,
bahwa
perbedaan
dalam
angka
akurasi
cenderungsangat kecil dan mungkin tidak statistik signifikan, terutama mengingat kenyataan bahwa 5 kelas pola berbeda dalammereka ukuran sangat Lebih kesimpulan yang pasti hanya dapat dilakukan setelahmenganalisis lebih komprehensif set data lalu lintas jaringan Mengenai peringkat fitur, kita amati bahwa: a)
Metode menampilkan dua peringkat menghasilkan hasil yang sangat konsistenKecuali untuk kelas 1 (Normal) dan kelas 4 (U2Su) data, fitur menduduki peringkat Penting oleh dua metode sangat tumpang tindih
b)
Fitur yang paling penting bagi dua kelas â € ~ Normalâ € ™ dan “DOS” ™sangat tumpang tindih
c)
U2Su dan R2L adalah dua kelas terkecil mewakiliserangan yang paling serius Masing-masing memiliki sejumlah kecil fitur penting dan sejumlah besar fitur sekunder
d)
Kinerja (a) menggunakan fitur-fitur penting untuk setiap kelas, Tabel 2 dan Tabel 5, (b) dengan menggunakan serikat fitur penting, Tabel 3 dan Tabel 6, dan (c)menggunakan persatuan fitur penting dan sekunder untuk setiap kelas, Tabel 4 dan Tabel 7, tidak menunjukkan perbedaan yang signifikan, dan semuanya mirip dengan menggunakan semua fitur 41
e)
Menggunakan fitur penting untuk masing-masing kelas memberikan kinerja palingluar biasa yaitu pengujian penurunan waktu di setiap kelas, akurasi meningkat sedikit untuk kelas satu
f)
Normal, agak menurun untuk dua kelas Probe dan DOS, dan tetap sama untuk dua kelas serangan yang paling serius
Percobaan
kami meliputi pembuatan fitur 23-kelas (22 serangan spesifikdan normal)
identifikasi menggunakan SVMs, dengan
tujuan
untuk merancang biaya
efektif dan
akurat forensik dan alat deteksi intrusi
7.
REFERENCES
[1]
Ware, W. H. “Security Controls for Computer Systems,” Report of Defense Science Board, Task Force on Computer Security. Santa Monica, CA: The Rand Corporation, 1979.
[2]
Steven Levy, “Hackers - Heroes of the Computer Revolution,” Dell, 1984.
[3]
Lunt, Teresa F. “A Survey of Intrusion Detection Techniques,” Computers and Security 12, 4 (June 1993), pp 405-418.
[4]
Mukkamala S., Janoski G., Sung A. H. (2002) “Intrusion Detection Using Neural Networks and Support Vector Machines,” Proceedings of IEEE International Joint Conference on Neural Networks, pp.1702-1707.
[5]
Srinivas Mukkamala, Andrew H. Sung “Audit Data Reduction Using Neural Networks and Support Vector Machines,” Digital Forensics Research Workshop (DFRWS-2002), August 7-9, 2002, Syracuse University, Center for Systems Assurance.
[6]
1998
DARPA
Intrusion
Detection
Evaluation.
http://www.ll.mit.edu/IST/ideval/docs/docs_index.html [7]
Marcus Ranum, Network Flight Recorder. http://www.ranum.com/
[8]
Simson
Garfinkel,
Web
Security,
Privacy
&
Commerce,
2nd
Edition.
http://www.oreillynet.com/pub/a/network/2002/04/26/nettap.html [9]
W. Lee and S. Stolfo, “Data Mining Approaches for Intrusion Detection,” Proc. 1998 7th USENIX Security Symposium, 1998.
[10] Mukkamala S., Janoski G., Sung A. H. (2001) “Monitoring Information System Security,” Proceedings of the 11th Annual Workshop on Information Technologies & Systems, pp.139-144. [11] S Mukkamala, A H. Sung “Identifying Key Features for Intrusion Detection Using Neural Networks,” Proceedings of ICCC International Conference on Computer Communications 2002 . [12] Joachims T. (2000) “SVMlight is an Implementation of Support Vector Machines (SVMs)
in C,”
Collaborative
http://ais.gmd.de/~thorsten/svm_light. University of Dortmund.
Research Center on Complexity Reduction in Multivariate Data
(SFB475). [13] Vlad imir V. N. (1995) “The Nature of Statistical Learning Theory,” Springer. [14] Joachims T. (2000) “Estimating the Generalization Performance of a SVM Efficiently,” Proceedings of the International Conference on Machine Learning, Morgan Kaufman. [15] Sung A. H. (1998) “Ranking Importance of Input Parameters of Neural Networks,” Expert Systems with Applications, pp.405-41. [16] Hertz J., Krogh A., Palmer, R. G. (1991) Introduction to the Theory of Neural Computation, Addison –Wesley. [17] Demuth H, Beale M (2000) Neural Network Toolbox User’s Guide. Math Works, Inc. Natick, MA.