Design of a Network-Based Anomaly Detection System Using VFDT Algorithm

Abstract

ABSTRACT: Despite the rapid progress in information technology, the problem of protecting computer and network security remained a major challenge for most researchers, especially after the expansion of networks and evolution of technology and the increasing number of network users and the internet. Networks need some tools for protection, such as firewall, Intrusion Detection Systems (IDSs) and Intrusion Prevention System (IPS). The aim of this thesis is to build a Network-based Anomaly Detection System (NADS). This system depends on the normal behavior of the network, in that it can distinguish each abnormal behavior. This system can work in two modes, online and offline modes. Very Fast Decision Tree (VFDT) algorithm was used to build the classifier for intrusions. VFDT is one of the data mining algorithms that deal with high data streams in a very short time. Experimental results demonstrated that NADS system is highly successful in detecting known and unknown attacks by 93%. Keywords: Network Security, Intrusion Detection, Very Fast Decision Tree Algorithm, KKD CUP99 dataset.

…………………………………………………………………………………………………………………………

ÖZ: Bilgi teknolojilerindeki hızlı gelişmelere rağmen bilgisayar ve ağ güvenliğinin sağlanması birçok araştırmacı için, özellikle ağ sayılarının çoğalması, teknolojinin değişmesi, sayıları artmakta olan ağ kullanıcıları ve İnternet gibi nedenlerle, çözülmesi zor bir konu olarak kalmıştır. Var olan ağların korunma için güvenlik duvarı, güvenlik ihlali tespit ve önleme sistemleri gibi çeşitli araçlara ihtiyacı bulunmaktadır. Bu tez çalışmasının amacı ağ merkezli bir anormal saldırı tespit sistemi geliştirmektir (NADS). Adı geçen sistems ağın normal davranışına bağlı olarak anormal davranış biçimini tespit etme görevini sürdürüp çevirimiçi ve çevirimdışı olmak üzere iki biçimde çalışmaktadır. Ağ ihlallerinin sınıflandırılması için Çok Hızlı Karar Verme Ağacı (VFDT) algoritması kullanılmıştır. Çok Hızlı Karar Verme Ağacı kısa sürede gerçekleşen yüksek veri akışı ile ilgilenen veri madenciliği algoritmalarından biridir. Deneysel sonuçlar,ağ, ağ merkezli anormal saldırı tespit sisteminin bilinen (NADS) ve bilinmeyen saldırıları tespit etmekte % 93 başarılı olduğunu göstermiştir. Anahtar Kelimeler: Ağ Güvenliği, İhlal Tespiti,Çok Hızlı Karar Verme Ağacı Algoritması, KKD CUP99 veri grubu.