Clasificador híbrido multinivel basado en Rough Fuzzy C-Means para fortalecer la robustez de un sistema de detección de intrusos
Fecha
2019Registro en:
instname:Instituto Tecnológico Metropolitano
reponame:Repositorio Institucional Instituto Tecnológico Metropolitano
Autor
Grajales Bustamante, Juan David
Resumen
Las redes computacionales se han convertido en una parte esencial para las organizaciones, donde el tráfico electrónico se convierte en un soporte vital de las empresas y la inversión en esta área incrementa el potencial de la capacidad de negociación. En este contexto, la ciberseguridad es un desafío dado el panorama de amenazas en constante evolución y toma gran relevancia no sólo en la comunidad científica,sino a nivel empresarial y gubernamental. Una gran variedad de Sistemas de Detección de Intrusos (IDS) basados en Aprendizaje de Máquinas, han jugado un papel importante en la detección de anomalías estructurados en la clasificación .Sinembargo ,estas técnicas siguen siendo débiles en el manejo y modelado de los ataques y amenazas, dada la complejidad de las redes computacionales y el comportamiento no lineal de los ataques, lo cual provoca que sean impredecibles a lo largo del tiempo, generando incertidumbres que constituyen un ensamble interactuante y multivariado. En este contexto se estudiarán los diferentes métodos de detección de intrusos como son: Detección basada en Conocimiento, Detección basada en Métodos Estadíısticos y Detección basada en Aprendizaje de Máquinas, donde se discuten. las técnicas de análisis supervisado, no supervisado y semi supervisado. Por consiguiente se presenta un esquema de clasificación híbrido multinivel, que incluye rutinas Rough Fuzzy c-Means, con el objetivo de lograr robustez en un IDS para cuatro tipos de ataques: Denial of Service (DoS), Probing Attack (PA), Remote to Local (R2L) y User to Root (U2R). Se realizó un proceso de selección de características con los algoritmos Fuzzy Rough Sets (FRS) y Relief F, encontrando que Relief F mejora significativamente la capacidad discriminante del clasificador multinivel. El IDS fue implementado usando la base de datos KDD Cup 99 a través de tres niveles y seis clasificadores. En el nivel uno, el primer clasificador identifica dos clases y una agrupación: DoS, PA y la agrupación compuesta por las clases R2L, U2R y Normal denominada (RUN). El segundo nivelestácompuestoportresclasificadores:losdosprimerosidentificanlasformasdeataque correspondientes a DoS y PA, respectivamente, mientras el tercer clasificador identifica las clases R2L, U2R y Normal. Asimismo, el nivel tres queda compuesto por dos clasificadores que identifican las formas de ataque para R2L y U2R, respectivamente. Se evaluaron tres tipos de clasificadores: Máquinas de Vectores de Soporte (SVM), k- Vecinos más Cercanos (k-NN)yFuzzy c-Means Semi-Supervisado(SSFCM).Se encuentra que SVM ofrece el mejor desempeño en el nivel uno y los dos primeros clasificadores del nivel dos, k-NN en el último clasificador del nivel dos y SSFC M en los clasificadores del nivel tres. Finalmente,se lograron errores inferiores al 1% en los niveles uno y dos, mientras en el nivel tres (clasificación entre las diferentes formas de ataque para R2L y U2R), se obtuvieron errores de alrededor del 7%. De esta manera, con una precisión global del clasificador en los niveles uno y dos de un 99.69%, y para el nivel 3, un resultado del 93% de ataques clasificados como ataques, donde se tomó como función objetivo la robustez del sistema de detección de intrusos