2 research outputs found
Detecção de intrusão utilizando redes neurais artificiais no reconhecimento de padrões de ataque
The number of cyber attack is growing up more and more, because, the tools of
invasion is become more widely e easy to find and the vulnerabilities take a long time
to be corrected. For all this, the Intrusion Detection System has become a necessary
device in the most of network security system. The main objective is identifying
potential violations in security policy. The most Intrusion Detection System are based
on rules and need that tha database be update every time that a new attack is
discovered. However, this task is not too simple, since the rules are complicated and
require deep knowledge of the attack that we wish detect, further than will consume
important time of the system administrator, who should make the database update
frequently. If the intrusion detection system not be updated, this system become a
security flaw, because it will not report a invasion when the network be invaded by a
unknown attack. This work has the purpose of show the use of artificial neural
network for the problem of detection of those violations and newer attack pattern. For
this, was used a Multi_layer Perceptorn (MLP) network whit the intuit of recognize
network attack patterns, having whit database the Third International Knowledge
Discover and Data Mining Tools Competition. As this database possesss discrete
and continuous fields, the normalization of the 41 fields was necessary that
composes it to make possible its use in the training of the neural nets. It was opted to
the use of 4 neural nets, which had as objective to detect a type of attack, Remote to- Local, User-to - the Root, Probe and Of, beyond recognizing the standards of
normal traffic correctly. Excellent results in the use of neural nets in the recognition of
standards of attack had been gotten, with high rate of detection of the new attacks
and decreases taxes of false positives and false negatives, having a case where
100% of attack detention occur and 100% of detention of normal traffic.O número de ataques cibernéticos vem crescendo cada vez mais, pois as
ferramentas de invasão estão cada vez mais fáceis de encontrar e as
vulnerabilidades encontradas, demoram a serem corrigidas. Em virtude disso, os
sistemas de detecção de intrusão têm-se tornado um componente necessário na
maioria dos sistemas de segurança de rede. O principal objetivo é identificar
potenciais violações nas políticas de segurança. A maioria dos sistemas de detecção
de intrusão é baseada em regras e necessitam que a base de dados seja atualizada
a cada vez que um novo ataque é descoberto. Entretanto esta tarefa não é simples,
pois as regras são complicadas e necessitam de conhecimento profundo do ataque
que se deseja detectar, além de consumir um tempo importante do administrador do
sistema que deverá fazer a verificação da base de dados constantemente. Caso o
sistema de detecção de intrusão não seja atualizado, este se torna uma brecha no
sistema de segurança, pois não irá relatar uma invasão quando a rede for invadida
por um ataque desconhecido. Este trabalho tem como propósito apresentar o uso de
redes neurais artificiais no problema de detecção de tais violações e em novos
padrões de ataque. Para isso foi utilizado uma rede Multi-Layer Perceptron (MLP)
com o intuito de reconhecer padrões de ataques de rede, tendo como base de dados
o Third International Knowledge Discovery and Data Mining Tools Competition.
Como essa base de dados possui campos discretos e contínuos, foi necessária a
normalização dos 41 campos que a compõe para viabilizar o seu uso no treinamento
das redes neurais. Optou-se pela utilização de 4 redes neurais, as quais tinham
como objetivo detectar um tipo de ataque, Remote-to-Local, User-to-Root, Probe e
DoS, além de reconhecer corretamente os padrões de tráfego normal. Obtiveram-se
ótimos resultados na utilização de redes neurais no reconhecimento de padrões de
ataque, com altas taxa de detecção dos novos ataques e baixas taxas de falsos
positivos e falsos negativos, tendo um caso onde ocorre 100% de detecção de
ataque e 100% de detecção de tráfego normal