Geri Dön

Intrusion detection with pattern classification

Örüntü sınıflandırması ile saldırı tespiti

  1. Tez No: 166493
  2. Yazar: MÜGE ÇEVİK
  3. Danışmanlar: PROF. DR. MEHMET BÜLENT ÖRENCİK
  4. Tez Türü: Yüksek Lisans
  5. Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2005
  8. Dil: İngilizce
  9. Üniversite: İstanbul Teknik Üniversitesi
  10. Enstitü: Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Kontrol ve Bilgisayar Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 111

Özet

ÖRÜNTÜ SINIFLANDIRMASI İLE SALDIRI TESPİTİ ÖZET Bilgisayarların ve bilgisayar ağlarının hızlanması, bilgisayar kullananların ve internete ulaşabilenlerin sayısı artması teknolojik gelişmenin göstergeleridir. Ne yazık ki herkes teknolojiyi iyi amaçlar doğrultusunda kullanmamaktadır, bazı kişiler kendilerinin ya da başkalarının çıkarlarına hizmet etmek için teknolojinin açıklarını bulmaya çalışmaktadırlar. Bilgisayar saldırıları günümüzde çok popüler bir araştırma konusudur ve olmaya da devam edecektir. Çünkü her yeni saldırıya karşı bir önlem bulundukça, saldırganlar da yeni saldırılar yaratmaktadırlar. Bugün bir çok büyük ya da küçük şirket, kamu kuruluşu ya da organizasyon saldırıya maruz kalmaktadır ve bu organizasyonlar prestijlerinin kaybetmemek için bu saldırıların çok azını kamuya açıklamaktadırlar. Saldırı tespit sistemleri, 1980'!erden beri geliştirilmektedirler. Temel olarak iki tip saldırı tespit sistemi vardır: Davranış bazlı ve bilgi bazlı. Bilgi bazlı sistemler sadece bildikleri saldırıları yakalayabilirler. Yeni saldırılara karşı dayanaksızdırlar. Davranış bazlı saldırı tespit sistemleri ise normal davranışları öğrenirler ve bu davranıştan farklı olan davranışları anormal olarak tanımlarlar. Her iki tip yakalama yönteminde uzman sistemler, veri madenciliği gibi belli algoritmalar kullanılmış ve bir çok birbirine alternatif saldırı tespit sistemi geliştirilmiştir. Örüntü sınıflandırması son yıllarda saldırı tespitinde kullanılmaya başlamıştır, örüntü sınıflandırması çok uzun yıllardan beri biyoloji, görüntü tanıma gibi bir çok alan kullanılmış ve bu konuda bir çok algoritma geliştirilmiştir, örüntü sınıflandırması hem bilgi bazlı hem davranış bazlı saldırı tespitini biraraya getirerek optimum sonuca ulaşmada yol gösterici olmaktadır. Örüntü sınıflandırmada iki tür yöntem vardır: Öğretimli sınıflandırma, öğretimsiz sınıflandırma. Öğretimli sınıflandırmada belli bir örüntü kümesiyle algoritma çalıştırılır ve algoritma bu kümede önceden belirlenmiş sınıfları ve sınıfların özelliklerini öğrenir. Test örüntüsü algoritmaya verildiğinde bu test verisinin hangi sınıftan olduğu belirlenir, öğretimsiz sınıflandırmada ise örüntülerin hangi sınıfta oldukları önceden bilinmez. Örüntülerden birbirine yakın özellikte olanlar aynı sınıfa toplanır. Daha sonra bunlar etiketlenir. Tüm algoritmalarda özelliklerin neler olduğu, hangi özelliklerin seçileceği, hangi özellliğe ne ağırlık atanacağı gibi bilgiler sonuca doğrudan etki eder. ACM Special Interest Group on Knowledge Discovery and Data Mining tarafından her yıl yapılan veri madenciliği yarışmasında 1999 yılında saldırı tespit verileri kullanılmış ve bu veriler bir çok saldırı tespit sisteminin gelişmesinde rol oynamıştır. Bu tezde de bu veriler kullanılarak bir örüntü sınıflandırması ile saldırı tespit sistemi gerçeklenmeye çalışılmıştır. Bu saldırı tespit sistemi CLIDS (Cluster based Intrusion Detection System) olarak adlandırılmıştır. Bu sistemde öncelikle bilinen ataklarla eğitim verileri içinde sınıf karakteristikleri çıkarılmaktadır. Bunu yaparken de bilinen sınıflandırma algoritmaları doğrudan kullanılmamıştır. Eğitim verileri. Lei Yu ve Huan Liu tarafından geliştirilmiş ve sonuçlan kanıtlanmış FCBF algoritmasıyla ayırt XIIedici özellikleri bulunduktan sonra sınıflandırılmıştır. Bu sınıflandırmada saldırı tespitinde çok önemli rol oynayan sembolik veriler (protokol tipi, hizmet tipi, bayrak tipi vb) öne çıkarılarak, FCBF tarafından seçilmiş sembolik verilerle etiketlenen sınıflar oluşturulmuştur. Bundan sonra CLIDS 'in içindeki algoritma test örüntülerini,“normal - atak ”verilerinin oluşturduğu sınıflara göre yaptığı karşılaştırmalarla hangi sınıflara yakın olduğunu, eğer birden fazla sınıfa yakın bulduysa bunlardan hangisinin seçilmesi gerektiğini bulur ya da hiç bir sınıfa önceden belirlenmiş bir eşikten daha yakın değişe“anormal”olarak etiketler. CLIDS gerçek zamanlı çalışmamakla birlikte öğretimli örüntü sınıflandırmasının ve özellik seçiminin saldırı tespitinde kullanılabileceğini kanıtlayan, anormal durumları bulmada yeni bir bakış açısı getiren ve ilerde geliştirilmeye çok açık bir çalışma niteliğindedir. X1U

Özet (Çeviri)

INTRUSION DETECTION WITH PATTERN CLASSIFICATION SUMMARY The computers become more and more faster, and number of computer users and internet users increase day by day, which are indicators of technology improvements. Unfortunately, not all of these people use technology in the good way, some of them use it for his/her or others benefit in bad way, to find vulnerable sides of it. Computer hacking is in our day a very popular research topic, and it is going to be also. Then, as more and more preventions of computer attacks are developed, attackers create new, unseen attacking methods. Today, many big or little firms are exposed of computer hijacking and in order not to lose their prestige, they explain only a few of these happenings. Intrusion detection systems are developed since 1980's. Basically, there are two types of intrusion detection systems: Behaviour based and knowledge-based. Knowledge-based systems can only detect the intrusions which are defined in their knowledge database. They are incapable of detecting new and unseen intrusions. Behaviour based intrusion detection systems learn first normal behaviour and then they define deviations from these behaviour as anomaly. In both types of intrusion detecting, algorithms like expert systems and data mining are used and many intrusion detection systems are developed alternative to each other. Pattern classification is used in last years in the field of intrusion detection, it is used for many years by many fields as biology, image recognition, and there are many algorithms by this subject. Pattern classification can combine knowledge-based and behaviour based intrusion detection and guide to find the optimum solution. In Pattern Classification there are two methods: Supervised clustering and unsupervised clustering. By supervised clustering the algorithm runs first with training data, so the algorithm learns the clusters and their characteristic. If the algorithm runs then with test data, it determines that which cluster this test data belongs to. By unsupervised clustering the clusters of the training data is not known. The patterns with similar features are grouped into same cluster, then these clusters are labeled. By all of these aigortihms, the features of the patterns, the selected features and the weights of the features influence the result directly. By KDD cup, organized every year by ACM Special Interest Group on Knowledge Discovery and Data Mining, is in 1999 intrusion detection data used, and these data has been a guide to development of many intrusion detection systems. In this thesis, these data has been used to develop an intrusion detection system with pattern classification. This system is named by CLIDS (Cluster based Intrusion Detection System). The system is trained first with known attacks and the cluster characteristics are determined in the training data set. So, by doing this, the known clustering algorithms are not used directly. The distinctive features of the training data are selected by the FCBF algorithm developed by Lei Yu and Huan Liu, which is proven by its results, and these features are used to make clusters. By this clustering, the symbolic values (protocol type, service type, flag type etc.) which have a big role by intrusion detection are brought forward and the symbolic values xivwhich are selected by FCBF, are given as labeis to the dusters. Then, the algorithm in CLIDS compares the test patterns with the clusters of the“normal - attack”data and finds the nearest clusters, if it finds more than one cluster, than it finds which cluster should be selected, if the test pattern is not near enough than the limit defined previously, it labeis it as“anomaly”. However CLIDS is not working real time, it is a work which proves that supervised pattern classification and the feature selection can be used by intrusion detection, it brings a new look for finding“anomalies”and it is very open to be developed more. xv

Benzer Tezler

  1. Tez No

    507765

    Bilgiişlem ortamı sunan bulut hizmetlerinde kötücül davranışların saptanması

    Classifying malicious behavior in paas services

    CEMİLE DİLER ÖZDEMİR

    Yüksek Lisans

    Türkçe

    Türkçe

    2018

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrolİstanbul Teknik Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ YUSUF YASLAN

  2. Tez No

    310564

    Destek vektör regresyonu ile PID kontrolör tasarımı

    Design of PID controller via support vector regression

    KEMAL UÇAK

    Yüksek Lisans

    Türkçe

    Türkçe

    2012

    Elektrik ve Elektronik Mühendisliğiİstanbul Teknik Üniversitesi

    Kontrol ve Otomasyon Mühendisliği Ana Bilim Dalı

    YRD. DOÇ. DR. GÜLAY ÖKE

  3. Tez No

    761168

    Network intrusion detection with payload-based approach

    Yük tabanlı yaklaşım ile ağ saldırılarının tespiti

    SÜLEYMAN ÖZDEL

    Yüksek Lisans

    İngilizce

    İngilizce

    2022

    Elektrik ve Elektronik MühendisliğiBoğaziçi Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    PROF. DR. EMİN ANARIM

    PROF. DR. MUTLU KOCA

  4. Tez No

    869106

    Ağ anomalisi tespitinde emülatör ortamı tasarımı ve makine öğrenmesi ile saldırı tespiti

    Emulator environment design for network anomaly detection and attack detection with machine learning

    SERKAN KESKİN

    Yüksek Lisans

    Türkçe

    Türkçe

    2024

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolBurdur Mehmet Akif Ersoy Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DR. ÖĞR. ÜYESİ ERSAN OKATAN

  5. Tez No

    538020

    Intrusion detection using big data and deep learning techniques

    Büyük veri ve derin öğrenme tekniklerini kullanarak saldırı tespiti

    OSAMA MOHAMAD FAKER FAKER

    Yüksek Lisans

    İngilizce

    İngilizce

    2019

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolÇankaya Üniversitesi

    Bilgisayar Mühendisliği Ana Bilim Dalı

    Prof. Dr. ERDOĞAN DOĞDU

Geri Dön