Detection of Attacks of the U2R Category by Means of the SOM on Database NSL-KDD
Loading...
Date
2022
Journal Title
Journal ISSN
Volume Title
Publisher
Український державний університет науки і технологій, ННІ «Інститут промислових та бізнес технологій», ІВК «Системні технології», Дніпро
Abstract
ENG: Creating an effective system for detecting network attacks requires the use of qualitatively new approaches to information processing, which should be based on adaptive algorithms capable of self-learning. The mathematical apparatus of the Kohonen self-organizing map (SOM) was used as a research method. Python language with a wide range of modern standard tools was used as a software implementation of the Kohonen SOM addition, this section compiles the Python software model «SOM_U2R» using a Kohonen SOM. Created «SOM_U2R» software model on database NSL-KDD an error research was performed for different number of epochs with different map sizes. On the «SOM_U2R» model the research of parameters of quality of detection of attacks is carried out. It is determined that on the «SOM_U2R» created software model the error of the second kind of detection of network classes of attacks Buffer_overflow and Rootkit is 6 %, and for the class Loadmodule reached 16 %. In addition, a survey of the Fmeasure was conducted for a different number of epochs of learning the Kohonen SOM. It is determined that for all network attack classes (except Buffer_overflow) the F-measure increases, reaching its maximum value at 50 epochs.
UKR: Створення ефективної системи виявлення мережевих атак вимагає застосування якісно нових підходів до обробки інформації, які повинні ґрунтуватися на адаптивних алгоритмах здатних до самонавчання. Найбільш перспективним напрямком у створенні подібних систем виявлення атак на комп’ютерну мережу є застосування нейромережних технологій, що підтверджує актуальність теми даної роботи. У якості методу дослідження використаний математичний апарат самоорганізуючої карти Кохонена 41-2-4, де 41 – кількість вхідних нейронів (параметри мережевого трафіку); 2 - кількість шарів; 4 - кількість результуючих нейронів (Rootkit, Loadmodule, Buffer_overflow та відсутність атаки). У якості програмної реалізації самоорганізуючої карти Кохонена використана мова Python з широким спектром сучасних стандартних засобів. На створеній програмній моделі «SOM_U2R» з використанням відкритої бази даних NSL-KDD проведено дослідження помилки за різною кількістю епох при різних розмірах карти: 5*5; 10*10; 20*20. Визначено, що найменше значення помилки досягається на карті 20*20. На створеній програмній моделі «SOM_U2R» проведено дослідження параметрів якості виявлення атак: True Positive; True Negative; False Positive; False Negative та інші. Визначено, що на програмній моделі «SOM_U2R» помилка другого роду склала 6 % для Buffer_overflow і Rootkit, 16 % для класу Loadmodule. Крім того, проведено дослідження F-мірки (середнєгармонічного значення між точністю та повнотою) за різною кількістю епох навчання самоорганізуючої карти Кохонена. Визначено, що для всіх атак (крім Buffer_overflow) F-мірка зростає, досягаючи свого максимального значення (50 епох).
UKR: Створення ефективної системи виявлення мережевих атак вимагає застосування якісно нових підходів до обробки інформації, які повинні ґрунтуватися на адаптивних алгоритмах здатних до самонавчання. Найбільш перспективним напрямком у створенні подібних систем виявлення атак на комп’ютерну мережу є застосування нейромережних технологій, що підтверджує актуальність теми даної роботи. У якості методу дослідження використаний математичний апарат самоорганізуючої карти Кохонена 41-2-4, де 41 – кількість вхідних нейронів (параметри мережевого трафіку); 2 - кількість шарів; 4 - кількість результуючих нейронів (Rootkit, Loadmodule, Buffer_overflow та відсутність атаки). У якості програмної реалізації самоорганізуючої карти Кохонена використана мова Python з широким спектром сучасних стандартних засобів. На створеній програмній моделі «SOM_U2R» з використанням відкритої бази даних NSL-KDD проведено дослідження помилки за різною кількістю епох при різних розмірах карти: 5*5; 10*10; 20*20. Визначено, що найменше значення помилки досягається на карті 20*20. На створеній програмній моделі «SOM_U2R» проведено дослідження параметрів якості виявлення атак: True Positive; True Negative; False Positive; False Negative та інші. Визначено, що на програмній моделі «SOM_U2R» помилка другого роду склала 6 % для Buffer_overflow і Rootkit, 16 % для класу Loadmodule. Крім того, проведено дослідження F-мірки (середнєгармонічного значення між точністю та повнотою) за різною кількістю епох навчання самоорганізуючої карти Кохонена. Визначено, що для всіх атак (крім Buffer_overflow) F-мірка зростає, досягаючи свого максимального значення (50 епох).
Description
V. Pakhomova: ORCID 0000-0002-0022-099X
Keywords
category, class, NSL-KDD, SOM, Python, error, epoch, F-measure, категорія, клас, помилка, епоха, F-мірка, КЕОМ
Citation
Pakhomova V., Mehelbei Y. Detection of Attacks of the U2R Category by Means of the SOM on Database NSL-KDD. System technologies. 2022. Vol. 5, No. 142. P. 18–27. DOI: 10.34185/1562-9945-5-142-2022-03.