| 类型 | 内容 |
|---|---|
| 标题 | Using artificial neural network in intrusion detection systems to computer networks |
| 时间 | 2017 |
| 会议 | 2017 9th Computer Science and Electronic Engineering (CEEC) |
| DOI | 10.1109/CEEC.2017.8101615 |
@INPROCEEDINGS{8101615,
author={L. P. {Dias} and J. J. F. {Cerqueira} and K. D. R. {Assis} and R. C. {Almeida}},
booktitle={2017 9th Computer Science and Electronic Engineering (CEEC)},
title={Using artificial neural network in intrusion detection systems to computer networks},
year={2017},
volume={},
number={},
pages={145-150},
}
摘要
本文提出的研究提出了一种基于人工神经网络(ANN)和KDD CUP’99数据集的IDS系统。 实验结果清楚地表明,与预先定义的入侵攻击类别相比,该系统可以达到99.9%的整体准确率。
介绍
入侵检测系统分为两类,第一种是误用或特征检测,基于规则进行检测,缺点是只能检测已知的攻击,且需要不断的更新系统来应对不断变化和发展的攻击,优点是误报率低。 第二种是异常检测
人工神经网络
| Method | DoS | Probe | R2L | U2R |
|---|---|---|---|---|
| Fuzzy logic and genetic algorithm | 85.70% | 75.18% | 10.49% | 19.30% |
| Decision Tree-Naïve Bayes | 99.69% | 52.61% | 46.15% | 25.00% |
| Decision Tree J48 | 99.84% | 50.00% | 33.33% | 50.00% |
| ANN–RBF | 96.95% | 71.01% | 36.58% | 0% |
| ANN–MLP | 99.91% | 48.12% | 93.18% | 83.33% |
| ANN–MLP | 99.99% | 99.23% | 89.61% | 0% |
数据集介绍
该数据集是基于DARPA(国防高级研究计划局)中捕获的数据构建的,整个数据库是由麻省理工学院的Linconln实验室捕获的,它在超过九周的时间模拟了一个接收各种入侵攻击的LAN网络。 所有原始数据都经过处理并转换,提取出41个特征, 每条连接都被标记为正常或特定类型的攻击。此数据集中有24种攻击类型,可分为4个主要类别Dos,Probe,R2L,U2R。 数据集中的记录拥有不同的概率分布,一些入侵检测专家认为,大多数新的攻击是一些已知攻击的变异。
每个记录包括一组从网络连接获取的41个特征(例如:持续时间、协议类型、服务、标志等)和一个标签,该标签指定该记录为正常流量或特定攻击。
训练模型用于检测和分类
数据集
包含4898433条记录
预处理
整理
一些字段如协议类型,错误标志,服务需要从字符转换为数值
对数据进行欠采样,剩余134179条记录
ANN用于模式分类
使用的结构有41个输入,1个隐藏层,5个输出层,5个输出。将数据集分成三个子集,如下表所示。
在神经网络的训练过程,使用了trainscg算法,利用之前的交互信息调整神经网络的权值,来减少误差。
ANN的性能是通过考虑输出与预期结果之间的均方误差(MSE)来确定的,默认是在达到1.000 epochs或梯度达到1*10^-5时,训练结束。验证是在迭代每6次以后。
隐藏层中使用的激活函数是sigmoid,在输出层使用softmax函数,将输出层的值变成概率分布。
实验和结果
多种参数中,隐藏层中有50个神经元的效果最好
图7是混淆矩阵,每个类分类(Normal、DoS、Probe、R2L和U2R)的准确率分别为99.8%、100%、100%、96.1%和51.9%,平均准确率为99.9%。U2R攻击的分类准确率最低,为51.9%。原因是数据库中存在的这种攻击类型的样本数量太少了、
