Örüntü Sınıflandırması İle Saldırı Tespiti

Abstract

Bilgisayar saldırıları günümüzde çok popüler bir araştırma konusudur ve olmaya da devam edecektir. İki tip saldırı tespit sistemi vardır: Davranış bazlı ve bilgi bazlı. Örüntü sınıflandırması her ikisini biraraya getirerek optimum sonuca ulaşmada yol gösterici olmaktadır. Bu tezde KDD Cup 99 saldırı verileri kullanılarak bir örüntü sınıflandırması ile saldırı tespit sistemi gerçeklenmeye çalışılmıştır ve CLIDS (Cluster based Intrusion Detection System) olarak adlandırılmıştır. CLIDS’te ataklar sınıfları, KDD Cup verileri de sınıflara ait örüntüleri ifade etmektedir. CLIDS, gözetimli öğrenmeyle sınıf karakteristiklerini öğrenir, bu sınıflara uyan test verilerini bir atak adıyla ya da “normal” olarak etiket verir, uymayanları da “anormal” olarak adlandırır. CLIDS’in en önemli özelliği, Lei Yu ve Huan Liu tarafından geliştirilmiş ve sonuçları kanıtlanmış FCBF (Fast Correlation Based Filter) özellik seçme algoritmasını kullanarak bilinen örüntü sınıflandırma algoritmalarında olmayan ve saldırıları birbirinden ayırmak için çok gerekli olan sembolik verilerle sembolik olmayan verilerini birbirlerinden ayırma yeteneğini kazanmış olmasıdır. Sonuç olarak CLIDS, DOS ve Probe atak çeşitlerinin yakalanmasında başarılı olmuş, U2R ve R2L atak çeşitlerinin yakalanmasında ise KDD Cup verilerinin bu saldırıları yakalamak için uygun olmaması nederiyle daha az başarılı olmuştur. Ancak görülen odur ki, bütün saldırı çeşitlerinde atakların yanlışlıkla “normal” olarak adlandırılmasının %1’in altında kalması bu sistemi güvenilir kılmaktadır.

Computer hacking is in our day a very popular research topic, and it is going to be also. There are two types of intrusion detection systems: Behaviour based and knowledge based. Pattern classification can combine both of them and guides to find the optimum solution. In this thesis, the KDD Cup 1999 intrusion detection data have been used to develop an intrusion detection system with pattern classification which is named CLIDS (Cluster based Intrusion Detection System). In CLIDS, attacks correspond the clusters and KDD Cup data correspond the patterns belonging to the clusters. CLIDS learns the cluster characteristics by supervised classification, it names the test data corresponding a cluster by an attack name or “normal”, the test data which do not correspond neither of the clusters as “anomaly”. The most important feature of CLIDS is that it uses a feature selection algorithm which is the FCBF (Fast Correlation Based Filter) developed by Lei Yu and Huan Liu, proven by its results, to seperate the clusters from each other, so it has gained the ability to distinguish symbolic and not symbolic data, which is very necessary to distinguish the attacks from each other. In conclusion, CLIDS has been succesfully by detection of DOS and Probe attacks, and less successfully by U2R and R2L attacks, because the KDD Cup data are not suitable for detection of U2R and R2L attacks. But it is seen that the “false negative” rate is below of %1 by all attack types, which makes this system reliable.