БАЛАНСУВАННЯ САМОПОДІБНОГО ТРАФІКУ В МЕРЕЖНИХ СИСТЕМАХ ВИЯВЛЕННЯ ВТОРГНЕНЬ

The problem of load balancing in intrusion detection systems is considered in this paper. The analysis of existing problems of load balancing and modern methods of their solution are carried out. Types of intrusion detection systems and their description are given. A description of the intrusion detection system, its location, and the functioning of its elements in the computer system are provided. Comparative analysis of load balancing methods based on packet inspection and service time calculation is performed. An analysis of the causes of load imbalance in the intrusion detection system elements and the effects of load imbalance is also presented. A model of a network intrusion detection system based on packet signature analysis is presented. This paper describes the multifractal properties of traffic. Based on the analysis of intrusion detection systems, multifractal traffic properties and load balancing problem, the method of balancing is proposed, which is based on the funcsioning of the intrusion detection system elements and analysis of multifractal properties of incoming traffic. The proposed method takes into account the time of deep packet inspection required to compare a packet with signatures, which is calculated based on the calculation of the information flow multifractality degree. Load balancing rules are generated by the estimated average time of deep packet inspection and traffic multifractal parameters. This paper presents the simulation results of the proposed load balancing method compared to the standard method. It is shown that the load balancing method proposed in this paper provides for a uniform load distribution at the intrusion detection system elements. This allows for high speed and accuracy of intrusion detection with high-quality multifractal load balancing.У даній роботі розглянута проблема балансування навантаження в системах виявлення вторгнень. Проведено аналіз існуючих проблем балансування навантаження та сучасних методів їх вирішення. Наведено типи систем виявлення вторгнень та їх опис. Представлено опис мережної системи виявлення вторгнень, розташування та функціонування її елементів в комп’ютерній системі. Проведено порівняльний аналіз методів балансування навантаження на основі прийому пакетів та на основі розрахунку часу обслуговування. Також представлено аналіз причин дисбалансу навантаження в елементах системи виявлення вторгнень та наслідків дисбалансу навантаження. Представлено модель мережної системи виявлення вторгнень на основі сигнатурного аналізу пакетів. В даній роботі зазначено мультифрактальні властивості трафіку. На основі проведеного аналізу систем виявлення вторгнень, мультифрактальних властивостей трафіку та проблеми балансування навантаження запропоновано метод балансування, який заснований на роботі елементів системи виявлення вторгнень і аналізі мультифрактальних властивостей вхідного трафіку. Запропонований метод враховує час глибокої перевірки пакетів, що необхідний для порівняння пакета з сигнатурами, який обчислюється на основі розрахунку ступеня мультифрактальності інформаційного потоку. Правила балансування навантаження генеруються за допомогою оціненого середнього часу глибокої перевірки пакетів і параметрів мультифрактальності вхідного навантаження. В даній роботі наведено результати імітаційного моделювання запропонованого методу балансування навантаження в порівнянні зі стандартним методом. Показано, що запропонований в даній роботі метод балансування навантаження забезпечує рівномірний розподіл навантаження на вузлах системи виявлення вторгнень. Це дозволяє забезпечити високу швидкість і точність визначення вторгнень при якісному балансуванні мультифрактального навантаження

The effectiveness of sampling methods for the imbalanced network intrusion detection data set

One of the countermeasures taken by security experts against network attacks is by implementing Intrusion Detection Systems (IDS) in computer networks. Researchers often utilize the de facto network intrusion detection data set, KDD Cup 1999, to evaluate proposed IDS in the context of data mining. However, the imbalanced class distribution of the data set leads to a rare class problem. The problem causes low detection (classification) rates for the rare classes, particularly R2L and U2R. Two commonly used sampling methods to mitigate the rare class problem were evaluated in this research, namely, (1) under-sampling and (2) over-sampling. However, these two methods were less effective in mitigating the problem. The reasons of such performance are presented in this paper