Análisis de la exactitud de los sistemas de red de detección de intrusos basados en anomalías

Abstract

RESUMEN: Éste trabajo de Tesis presenta un análisis de la exactitud de los sistemas de detección de intrusos en red basados en anomalías haciendo uso de la base de datos NSL-KDD99 la cual es una mejora de la base de datos KDD99 perteneciente a siete semanas del tráfico de red de una red militar con el objeto del entrenamiento y evaluación de clasificadores pertenecientes a la rama de algoritmos de aprendizaje de máquina. Al realizar el análisis de exactitud se hace uso de diferentes métricas, las cuales son específicas para la clasificación binaria y en cinco clases, debido a que el promedio de aciertos en relación a la totalidad de instancias en la base de datos se ha demostrado que no describe completamente el desempeño de los clasificadores. Para el análisis de exactitud se evalúan además dos sistemas de red de detección de intrusos ligero con atributos reducidos, menores a los 41 atributos originales en la base de datos NSL-KDD99. Los atributos reducidos se encuentran haciendo uso del algoritmo de búsqueda heurística de trayectoria simple: Ascenso de Colinas Por Mutación Aleatoria, y del algoritmo de búsqueda heurística poblacional: Optimización por Movimiento de Iones, el cual es modificado para ser utilizado en problemas binarios y aplicado por primera vez en los sistemas de red de detección de intrusos. Con el propósito de utilizar un sistema de red de detección de intrusos ligero con atributos reducidos, se busca determinar aquel clasificador que no esté sobre entrenado ni poco entrenado que proporcione la mayor exactitud con una menor cantidad de dimensiones y por lo tanto otorgue un menor tiempo de entrenamiento y evaluación, factor importante en la implementación en tiempo real de los sistemas de detección de intrusos. ABSTRACT: This Thesis introduce a network intrusion detection system accuracy analysis based on anomalies, using the NSL-KDD99 database which it’s an improvement of the KDD99 database belonging to seven weeks of a militar network traffic with the porpouse of training and testing classifiers pertaining to the branch of machine learning algorithms. By doing an accuracy analysis different metrics are used, which are specific for the binary and five class classification, due to the relationship between correct classifications and the totality of instances has been proved to no describe completely the classiffiers performance. For the accuracy analysis are evaluated furthermore two lightweight network intrusion detection systems with reduced features, less than the 41 original features in the NSL-KDD99 database. The reduced features are found by using heuristic search algorithms, Random Hill Mutation Climbing as a simple trayectory algorithm, and Ions Motion Optimization as a population algorithm. Ions Motion Optimization it’s also modified to be used on binary problems and applied for the very first time on the network intrusions detection systems. In order to use a lightweight network intrusion detection system we aim to determine the classifier that is not overfit nor underfit, which grant the biggest accuracy score with a lower quantity of features than the original NSL-KDD99, and therefore provide a lower training and testig time, important factor in a network intrusion detection system implementation in real-time.