Anomalous network packet detection

Abstract

In the last decade, extensive research has been done to the improvement of Intrusion Detection Systems (IDS) for anomalous network packets. Two types of IDS are available. The first one is the signature-based detection system. It can detect intrusions by scanning network packets and compare them with human-generated signatures against previously observed attacks. The second type is the anomaly-based detection system, which is able to detect new attacks against observed attacks. In this thesis, anomaly-based detection systems have been used with density base clustering algorithms and techniques. DBSCAN (Density-Based Spatial Clustering and Application with Noise) and DenStream algorithms are well-known data stream clustering algorithms in data mining. DBSCAN algorithm can separate packets as normal and noisy data. The second algorithm, DenStream starts off with DBSCAN and then tries to reduce the amount of noise to be clustered. For this study, we used DARPA' 99 dataset. We worked with attacks of type R2L, U2R, DoS and Probe. The DenStream and DBSCAN algorithms have been performed with fine-tuned. Overall, the DenStream algorithm achieved higher detection results and sensitivity than the DBSCAN algorithm. After, only epsilon distance and minimum number of points parameters for neighborhood area are fine-tuned, the clustering methods can be easily applied for classifying normal and noisy data regardless of its attack type

Geçen on yıllık dönemde anormal ağ paketlerinin Saldırı Tespit Sistemlerini (STS) iyileştirmek amacıyla yoğun araştırmalar yapılmıştır. İki türden STS mevcuttur. Birincisi imzaya dayalı tespit sistemidir. Bu sistem, ağ paketlerini tarayarak ve bunları önceden gözlemlenen saldırılara karşı, insan kaynaklı imzalarla karşılaştırarak saldırıları tespit edebilmektedir. İkinci tip, gözlemlenen ataklara karşı yeni saldırıları tespit edebilen, anomaliye dayalı tespit sistemidir. Bu tezde, anomaliye dayalı tespit sistemi, yoğunluk tabanlı kümeleme algoritma ve teknikleri ile kullanılmıştır. DBSCAN (Yoğunluk Tabanlı Uzaysal Kümeleme ve Gürültülü Veride Uygulaması) ve DenStream algoritmaları veri madenciliğinde iyi bilinen yoğunluk kümeleme algoritmalarıdır. DBSCAN algoritması, paketleri normal ve gürültülü veri olarak ayrıştırabilir; ikinci algoritma, Den Stream, DBSCAN ile başlar ve sonra kümelenecek gürültü miktarını azaltmaya çalışır. Bu çalışma için DARPA'99 veri seti kullanılmıştır. R2L, U2R, DoS ve Probe atak tipleri ile çalışılmıştır. DBSCAN ve DenStream algoritmaları ince ayar ile uygulanmıştır. Performans ve etkinliğe göre, DenStream algoritması, DBSCAN algoritmasından daha yüksek tespit sonuçları ve hassasiyet elde etmiştir. Daha sonra yalnızca epsilon uzaklık ve en az nokta sayısı parametreleri komşu alan için ince ayarlanarak; kümeleme yöntemleri, saldırı tipinden bağımsız, normal ve gürültülü veri sınıflandırma için kolaylıkla uygulanabilmektedir