Payload-based network intrusion detection using LSTM autoencoders
LSTM özkodlayıcılar ile ağ yükü tabanlı ihlal tespiti
- Tez No: 654134
- Danışmanlar: PROF. DR. SÜLEYMAN SERDAR KOZAT
- Tez Türü: Yüksek Lisans
- Konular: Elektrik ve Elektronik Mühendisliği, Electrical and Electronics Engineering
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2020
- Dil: İngilizce
- Üniversite: İhsan Doğramacı Bilkent Üniversitesi
- Enstitü: Mühendislik ve Fen Bilimleri Enstitüsü
- Ana Bilim Dalı: Elektrik-Elektronik Mühendisliği Ana Bilim Dalı
- Bilim Dalı: Belirtilmemiş.
- Sayfa Sayısı: 55
Özet
Bilgisayar ağlarının çok sayıda farklı cihaz tarafından kullanımındaki artış, kötü niyetli oluşumların, bireyleri ve işletmeleri hedef alan çok sayıda farklı saldırılar geliştirmesine olanak sağlamaktadır. Saldırılar çok çeşitli karakteristik yapılara sahip olmanın yanı sıra her gün yeni formlarda ortaya çıktığı için savunma sistemlerinin sürekli güncel tutulması gerekmektedir. Saldırı tespiti, bu saldırıları önlemeyi amaçlayan bir siber güvenlik dalıdır. Makine oğrenimi ve derin öğrenme yaklaşımları, dolandırıcılık tespiti ve tıp gibi diğer pek çok alanda olduğu gibi bu disiplinde de popülerlik kazanmıştır. Ağ trafiğinin genellikle normal davranış sergilediği göz önüne alındığında, anomali tespit yöntemleri, anormal özelliklere sahip bağlantıları belirleyerek tehditleri tanıyabilmektedir. Bu görev, denetimli veya denetimsiz bir şekilde gerçekleştirilebilir. Anomali tespit yönteminin denetimli veya denetimsiz olması, ağ verilerinin anlamlı temsillerini oluşturmanın çok önemli olduğu gerçeğini değiştirmemektedir. Bu tezde, bilgisayar ağ verileri için farklı özelliklerde öznitelik çıkarma yöntemleri ve kötü niyetli davranışları tespit edebilen anomali tespit stratejileri kullanılmıştır. Öznitelik çıkarma görevi için, temel bilgileri daha erişilebilir kılacak ve alakasız bilgileri ayıklayacak şekilde ağ yüklerinin vektör temsillerinin elde edilmesi amaçlanmıştır. Bizim problem tanımımızda, girdi boyutu bilgisayar ağı verilerinin doğası gereği değişken olabilir. Bunu göz önünde bulundurarak, farklı boyutlardaki girdileri sabit boyutluluğa sahip öznitelik uzaylarına eşleştirebilen öznitelik çıkarma yöntemleri kullanılmıştır. Böylece bu ortamlarda varsayılan halleri ile kullanılması mümkün olmayan bazı makine öğrenimi yaklaşımları kullanılabilir hale getirilmiştir. Anomali tespiti görevi için hem denetimli hem de denetimsiz yaklaşımlardan yararlanılmıştır. Denetimli yöntemler, yukarıda bahsedilen öznitelik çıkarma stratejilerinden faydalanır ve bilgisayar ağı verilerinin indirgenmiş ve sabit boyutlu temsillerini kullanır. Denetimsiz durum için, sıralı verilerden bilgi çıkarabilen özkodlayıcılar kullanılmıştır. Tekrarlayan sinir ağları (RNN'ler), değişen uzunluktaki sıralı verileri işleyebilir. Özellikle, sıralı verilerdeki uzun vadeli bağımlılıkları işlemelerine olanak tanıyan daha karmaşık bir yapıya sahip özel bir RNN biçimi olan uzun kısa süreli belleğe (LSTM) sahip özkodlayıcılar kullanılmıştır. Ardından, yeniden yapılandırma hatası kullanılarak anomali tespiti gerçekleştirilir. Çeşitli saldırı türlerinden oluşan dinamik ve gerçekçi veri kümeleri kullanılarak deneyler yapılmıştır. Sonrasında, AUC ve F1 ölçümlerine dayalı olarak önerilen yaklaşımlarımızın geçerliliği değerlendirilmiştir.
Özet (Çeviri)
The increase in the use of computer networks by vast numbers of different devices have allowed malicious entities to develop a plethora of diverse attacks, targeting individuals and businesses. The defence systems need to be kept up to date constantly since new attacks emerge daily, in addition to having a wide range of characteristics. Intrusion detection is a branch of cyber-security that aims to prevent these attacks. Machine learning and deep learning approaches gained popularity in this discipline, as they did in many others such as fraud detection and medicine. Given that network traffic usually displays normal behavior, anomaly detection methods can pinpoint threats by identifying connections with abnormal properties. This task can be accomplished in a supervised or an unsupervised manner. Regardless of the path, constructing meaningful representations of network data is essential. In this thesis, we employ different types of feature extraction methods for computer network data and anomaly detection strategies that can detect malicious behaviour. For the feature extraction task, we aim to obtain vector representations of network payloads such that the core information is more reachable and irrelevant information is discarded. In our setting, the input size can vary due to the nature of the computer network data. Considering this, we use feature extraction methods that can map inputs of varying sizes into feature spaces with fixed dimensionality so that some machine learning approaches, that are otherwise unusable in these settings, can be employed. For the anomaly detection task, we utilize both supervised and unsupervised approaches. The supervised methods make use of the aforementioned feature extraction strategies and use the reduced and fixed dimensional representations of the computer network data. For the unsupervised case, we employ autoencoders that can extract information from sequential data. Recurrent neural networks(RNNs) can process sequential data with varying length. We specifi cally use autoencoders with long short-term memory(LSTM), which is a special form of RNNs with a more complex structure that allows them to handle long-term dependencies in sequential data. Then, anomaly detection is performed using reconstruction error. We conduct experiments using dynamic and realistic data sets, which consist of various types of attacks. Then, we evaluate the validity of our proposed approaches based on AUC and F1 measures.
Benzer Tezler
- Network intrusion detection with payload-based approach
Yük tabanlı yaklaşım ile ağ saldırılarının tespiti
SÜLEYMAN ÖZDEL
Yüksek Lisans
İngilizce
2022
Elektrik ve Elektronik MühendisliğiBoğaziçi ÜniversitesiElektrik-Elektronik Mühendisliği Ana Bilim Dalı
PROF. DR. EMİN ANARIM
PROF. DR. MUTLU KOCA
- Maximum entropy estimated payload based intrusion detection system ?the Me-PAYL?
Maksimum entropi kestirimli payload tabanlı saldırı tespit sistemi ?Me-PAYL?
DERYA ERHAN
Yüksek Lisans
İngilizce
2007
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolBoğaziçi ÜniversitesiElektrik-Elektronik Mühendisliği Ana Bilim Dalı
PROF.DR. EMİN ANARIM
- Deep packet inspection methods for network intrusion detection and application classification
Ağ saldırı tespiti ve uygulama sınıflandırması için derin paket inceleme yöntemleri
ÇAĞATAY ATEŞ
Yüksek Lisans
İngilizce
2022
Elektrik ve Elektronik MühendisliğiBoğaziçi ÜniversitesiElektrik-Elektronik Mühendisliği Ana Bilim Dalı
PROF. EMİN ANARIM
PROF. MUTLU KOCA
- A new architecture for network intrusion detection systems by learning jointly from tabular and text-based features
Ağ sızma tespit sistemleri için tablosal ve metin temelli özniteliklerden birlikte öğrenmeye dayalı yeni bir mimari
BERKANT DÜZGÜN
Yüksek Lisans
İngilizce
2023
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolKadir Has ÜniversitesiYönetim Bilimleri Ana Bilim Dalı
PROF. DR. HASAN DAĞ
- İnternet trafiğinin gerçek zamanlı sınıflandırması
Real-time internet traffic classification
CİHANGİR BEŞİKTAŞ
Yüksek Lisans
Türkçe
2012
Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve KontrolGebze Yüksek Teknoloji EnstitüsüBilgisayar Mühendisliği Ana Bilim Dalı
DOÇ. DR. HACI ALİ MANTAR