Geri Dön

Payload-based network intrusion detection using LSTM autoencoders

LSTM özkodlayıcılar ile ağ yükü tabanlı ihlal tespiti

PDF İndir

  1. Tez No: 654134
  2. Yazar: SELİN COŞAN
  3. Danışmanlar: PROF. DR. SÜLEYMAN SERDAR KOZAT
  4. Tez Türü: Yüksek Lisans
  5. Konular: Elektrik ve Elektronik Mühendisliği, Electrical and Electronics Engineering
  6. Anahtar Kelimeler: Belirtilmemiş.
  7. Yıl: 2020
  8. Dil: İngilizce
  9. Üniversite: İhsan Doğramacı Bilkent Üniversitesi
  10. Enstitü: Mühendislik ve Fen Bilimleri Enstitüsü
  11. Ana Bilim Dalı: Elektrik-Elektronik Mühendisliği Ana Bilim Dalı
  12. Bilim Dalı: Belirtilmemiş.
  13. Sayfa Sayısı: 55

Özet

Bilgisayar ağlarının çok sayıda farklı cihaz tarafından kullanımındaki artış, kötü niyetli oluşumların, bireyleri ve işletmeleri hedef alan çok sayıda farklı saldırılar geliştirmesine olanak sağlamaktadır. Saldırılar çok çeşitli karakteristik yapılara sahip olmanın yanı sıra her gün yeni formlarda ortaya çıktığı için savunma sistemlerinin sürekli güncel tutulması gerekmektedir. Saldırı tespiti, bu saldırıları önlemeyi amaçlayan bir siber güvenlik dalıdır. Makine oğrenimi ve derin öğrenme yaklaşımları, dolandırıcılık tespiti ve tıp gibi diğer pek çok alanda olduğu gibi bu disiplinde de popülerlik kazanmıştır. Ağ trafiğinin genellikle normal davranış sergilediği göz önüne alındığında, anomali tespit yöntemleri, anormal özelliklere sahip bağlantıları belirleyerek tehditleri tanıyabilmektedir. Bu görev, denetimli veya denetimsiz bir şekilde gerçekleştirilebilir. Anomali tespit yönteminin denetimli veya denetimsiz olması, ağ verilerinin anlamlı temsillerini oluşturmanın çok önemli olduğu gerçeğini değiştirmemektedir. Bu tezde, bilgisayar ağ verileri için farklı özelliklerde öznitelik çıkarma yöntemleri ve kötü niyetli davranışları tespit edebilen anomali tespit stratejileri kullanılmıştır. Öznitelik çıkarma görevi için, temel bilgileri daha erişilebilir kılacak ve alakasız bilgileri ayıklayacak şekilde ağ yüklerinin vektör temsillerinin elde edilmesi amaçlanmıştır. Bizim problem tanımımızda, girdi boyutu bilgisayar ağı verilerinin doğası gereği değişken olabilir. Bunu göz önünde bulundurarak, farklı boyutlardaki girdileri sabit boyutluluğa sahip öznitelik uzaylarına eşleştirebilen öznitelik çıkarma yöntemleri kullanılmıştır. Böylece bu ortamlarda varsayılan halleri ile kullanılması mümkün olmayan bazı makine öğrenimi yaklaşımları kullanılabilir hale getirilmiştir. Anomali tespiti görevi için hem denetimli hem de denetimsiz yaklaşımlardan yararlanılmıştır. Denetimli yöntemler, yukarıda bahsedilen öznitelik çıkarma stratejilerinden faydalanır ve bilgisayar ağı verilerinin indirgenmiş ve sabit boyutlu temsillerini kullanır. Denetimsiz durum için, sıralı verilerden bilgi çıkarabilen özkodlayıcılar kullanılmıştır. Tekrarlayan sinir ağları (RNN'ler), değişen uzunluktaki sıralı verileri işleyebilir. Özellikle, sıralı verilerdeki uzun vadeli bağımlılıkları işlemelerine olanak tanıyan daha karmaşık bir yapıya sahip özel bir RNN biçimi olan uzun kısa süreli belleğe (LSTM) sahip özkodlayıcılar kullanılmıştır. Ardından, yeniden yapılandırma hatası kullanılarak anomali tespiti gerçekleştirilir. Çeşitli saldırı türlerinden oluşan dinamik ve gerçekçi veri kümeleri kullanılarak deneyler yapılmıştır. Sonrasında, AUC ve F1 ölçümlerine dayalı olarak önerilen yaklaşımlarımızın geçerliliği değerlendirilmiştir.

Özet (Çeviri)

The increase in the use of computer networks by vast numbers of different devices have allowed malicious entities to develop a plethora of diverse attacks, targeting individuals and businesses. The defence systems need to be kept up to date constantly since new attacks emerge daily, in addition to having a wide range of characteristics. Intrusion detection is a branch of cyber-security that aims to prevent these attacks. Machine learning and deep learning approaches gained popularity in this discipline, as they did in many others such as fraud detection and medicine. Given that network traffic usually displays normal behavior, anomaly detection methods can pinpoint threats by identifying connections with abnormal properties. This task can be accomplished in a supervised or an unsupervised manner. Regardless of the path, constructing meaningful representations of network data is essential. In this thesis, we employ different types of feature extraction methods for computer network data and anomaly detection strategies that can detect malicious behaviour. For the feature extraction task, we aim to obtain vector representations of network payloads such that the core information is more reachable and irrelevant information is discarded. In our setting, the input size can vary due to the nature of the computer network data. Considering this, we use feature extraction methods that can map inputs of varying sizes into feature spaces with fixed dimensionality so that some machine learning approaches, that are otherwise unusable in these settings, can be employed. For the anomaly detection task, we utilize both supervised and unsupervised approaches. The supervised methods make use of the aforementioned feature extraction strategies and use the reduced and fixed dimensional representations of the computer network data. For the unsupervised case, we employ autoencoders that can extract information from sequential data. Recurrent neural networks(RNNs) can process sequential data with varying length. We specifi cally use autoencoders with long short-term memory(LSTM), which is a special form of RNNs with a more complex structure that allows them to handle long-term dependencies in sequential data. Then, anomaly detection is performed using reconstruction error. We conduct experiments using dynamic and realistic data sets, which consist of various types of attacks. Then, we evaluate the validity of our proposed approaches based on AUC and F1 measures.

Benzer Tezler

  1. Tez No

    761168

    Network intrusion detection with payload-based approach

    Yük tabanlı yaklaşım ile ağ saldırılarının tespiti

    SÜLEYMAN ÖZDEL

    Yüksek Lisans

    İngilizce

    İngilizce

    2022

    Elektrik ve Elektronik MühendisliğiBoğaziçi Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    PROF. DR. EMİN ANARIM

    PROF. DR. MUTLU KOCA

  2. Tez No

    179043

    Maximum entropy estimated payload based intrusion detection system ?the Me-PAYL?

    Maksimum entropi kestirimli payload tabanlı saldırı tespit sistemi ?Me-PAYL?

    DERYA ERHAN

    Yüksek Lisans

    İngilizce

    İngilizce

    2007

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolBoğaziçi Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    PROF.DR. EMİN ANARIM

  3. Tez No

    765667

    Deep packet inspection methods for network intrusion detection and application classification

    Ağ saldırı tespiti ve uygulama sınıflandırması için derin paket inceleme yöntemleri

    ÇAĞATAY ATEŞ

    Yüksek Lisans

    İngilizce

    İngilizce

    2022

    Elektrik ve Elektronik MühendisliğiBoğaziçi Üniversitesi

    Elektrik-Elektronik Mühendisliği Ana Bilim Dalı

    PROF. EMİN ANARIM

    PROF. MUTLU KOCA

  4. Tez No

    836225

    A new architecture for network intrusion detection systems by learning jointly from tabular and text-based features

    Ağ sızma tespit sistemleri için tablosal ve metin temelli özniteliklerden birlikte öğrenmeye dayalı yeni bir mimari

    BERKANT DÜZGÜN

    Yüksek Lisans

    İngilizce

    İngilizce

    2023

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolKadir Has Üniversitesi

    Yönetim Bilimleri Ana Bilim Dalı

    PROF. DR. HASAN DAĞ

  5. Tez No

    313014

    İnternet trafiğinin gerçek zamanlı sınıflandırması

    Real-time internet traffic classification

    CİHANGİR BEŞİKTAŞ

    Yüksek Lisans

    Türkçe

    Türkçe

    2012

    Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolGebze Yüksek Teknoloji Enstitüsü

    Bilgisayar Mühendisliği Ana Bilim Dalı

    DOÇ. DR. HACI ALİ MANTAR

Geri Dön