4
pages
Español
Documents
2011
Obtenez un accès à la bibliothèque pour le consulter en ligne En savoir plus
Découvre YouScribe en t'inscrivant gratuitement
Découvre YouScribe en t'inscrivant gratuitement
4
pages
Español
Documents
2011
Obtenez un accès à la bibliothèque pour le consulter en ligne En savoir plus
Ing. USBMed, V Vool. 1, No. 1, Jul-Dic 2010
IMPLEMENTATION OF A NEURAL NETWORK FOR INTRUSION
DETECCTION INN A TCP//IP NETWWORK
IMPLEMENTACIÓN DE UNA RED NEURONAL PARA LA DETECCIÓN DE
INTRUSIONES EN UNA RED TCP/IP
David Herrera A. Helber A. Carvajal C.
Universidad de Antioquia Universidad de Antioquia
aleph7h@@gmail.comherreradavid@@gmail.com
(Tipo de Artículo: INVESTIGACIÓN.. Recibido el 09/11/2010. Aprobado el 03/12/2010)
Abstract – This article shows how to design a neural
network to detect the anomaly connections of the NSL-
KDD data set. A reduction of the input variables is used
and is shown how to obtain the best network parametters
through differrent tests.
Keywords: NSL-KDD, Neural Networks, MSE,
supervised machine learning, computer security.
Resumen – En este artículo se muestra como diseñar
una red neuronal para detectar las conexio ones
anormales ddentro del set de datos NSL-KDD. Se usa
una reduccióón de variables de entrada, y se muesstra
como se obbtienen, mediiante diferenttes pruebas, los
Fig. 1. Esquema de un IDS mejores parámetros de la red.
2. DESCRIPCIÓN DE LOS DATOS Palabras Claves: NSL-KDD, redes neuronales, MSE,
detector de intrusiones, aprendizaje supervisado, Para este trabajo se utilizó un conjunto de datos
seguridad informática. que está compuesto por capturas de ataques y
tráfico normal proveniente es de un escenario real..
1. INTRODUUCCIÓN Muuchos de los datos hacen reeferencia all
A medida qque las personas se innvolucran enn el encabezado dde los prottoocolos y son de fácill
mundo digital, la seguridad informática va adquisición, otros se tomaron a través de diversas
adquiriendo más importancia. Los malware o herramientas.
personas con amplios conocimientos en redes
pueden vulnerar los derechos de otros usuariios, Se utilizó el set datos llamado NSL-KDD [1], que
modificando o accediendo a su información es una versión mejorada de kdd-cup ’99 [2], en ell
mediante iintrusiones. Esto hace pertinente el que se mencioonan varios ttipos de ataqque, algunoss
desarrollo dde sistemas que permittan detectar de diffíciles de ideentificar. Parraa hacer máss efectiva laa
forma automática los sucesos riesgosos en una clasificación, en el nuevo set de datos se aumenta
red y así tomar acciones para contrarrestarlos. la proporción de ataques con un nivel de dificultad
más elevado. Se redujeron los datos en un rango
Una intrusión es un acceso no autorizado a un cercano al 22% pero se aumentó mucho la calidad
sistema. El detector de intrusiones –IDS, por sus de los mismos [3].
siglas en ingglés– es una herramienta utilizada p para
dar proteccción a las reedes de datos, en la qque Exxisten 42 datoos de entrad da, algunos dde los cualess
juega un papel impórtate trabajando en conju unto son nominales o cualitativos, otros son números
con un fireewall. A diferencia del firewall, que reales y otros valores binarios. Algunos ejemplos
detecta ataques provenientes de otras redes, el son: el servicio utilizado, las banderas y el número
IDS puede hacerlo también en la red local. El de bytes enviados, entre otros. Se limitó la salida a
objetivo es detectar los peligros antes que dos opciones: intrusión o tráfico normal
ingresen al sistema, como se observa en la Fig. 1.
Paara este trabajo en parrticular, se usaron doss
La deteccióón de intrusioones mediannte técnicas de arcchivos, entreenamiento y prueba, cada uno con ell
minería de datos tiene ventajas frente a la basada 20% de la información [1].
en firmas, ya que la primera puede detectar
variaciones del mismo tipo de ataque o detectar 3. REDUCCIÓN DE VARIABLES DE ENTRADA
ataques no conocidos. En este trabajo se usaron Se realiza una reducción dde variables para hacer
redes neuronales para hacer la clasificación; a que el problema, en especial el entrenamiento de
pesar de los resultaddos obteniddos, se pueede la RNA, sea alggo más simpple [4].
pensar en iimplementarla con otras técnicas coomo
las de clustering.
D. Herrera A. y H. A. Carvajal C. “Implementación de una red Neuronal para la detección de intrusiones en una red TCP/IP”.
Ing. USBMed, ISSN: 2027-5846, Vol 1, No. 1, pp. 59-62. Jul-Dic 2010.
59 Ing. USBMed, V Vool. 1, No. 1, Jul-Dic 2010
La idea general fue identificar los datos que dan de transferencia en las neuronas de La función
más información, usando para esto un índice la capa oculta fue la sig gmoide.
asociado a cada desccriptor llamaddo “Informattion
Gain Rate” IGR. Enn la Fig. 1 see observa unna red neuroonal con unaa
capa oculta; se aclara que en la neurona de salida
Se usó la técnica “k-means”, y se evaluó con cuál se utilizó un limitador duro que entrega -1 ó 1, esto
subgrupo se obtenía mejores resultados. Se con el fin de obtener un mejor resultado al calcular
disminuyó de 42 datos de entrada a sólo 14, los el error.
cuales se pueden observar en la Tabla 1 [4]. Los
datos cualittativos que quedaron fuueron: “protoocol
type”, “servvice” y la saalida. El restto fueron daatos
continuos que no se modificaron.
4. PROCESAMIENTO DE LOS DATOS
Los datos provenientes del data set, aunque
reducidos, no son aptos para el algoritmo de
entrenamiento. Para solucionar este problema, se
implementóó un algoritmo que hicieraa las siguienntes
tareas sobre los datos:
Fig. 2. Red Multicapa (Una Capa Oculta) Normaliizarlos de -1 a 1
Mapear los nominales a numéricos
Como se mencionó anteeriormente, existen 14 Formatear de acuerdo con la herramienta
entradas y una salida con vvalor -1 ó 1, para indicar Entrenamiento de la RNA
cuándo hay y cuándo no hay una inntrusión a laa
redd; además, se cuenta con la entraada artificiall Debe recalcarse que en el mappeo se debben
que permite obtener mejores resultados all estudiar diferentes técnicas para seleccionar el
entrenar; en la Tabla 1 se pueden observar las 15 valor numérico de cada dato cualitativo, esto
entradas de la red neuronal. podría mejorar el rendimiento del algoritmo al
realizar el entrenamiento.
TABLAA 1
Entradas de la red neuronal
5. ENTRENNAMIENTO DDE LA RNA
X Entrada artiificial (igual a 1) 0Después de reducir yy normalizar los datos, se X Dst host difff srv rate 1
procede a entrenar una RNA buscando un buen X Logged in 2
desempeño tanto en los datos de entrenamiento X Dst host srv diff host rate3
como en los de prueba. Los datos se dividieron n en X Num failed llogins 4
3 partes: datos de entrenamiento, de prueba y y de X Diff srv rate 5
X Destination bytes validación. 6
X Root Shell 7
X Is guest login 8Para el enntrenamientoo se utilizó el toolbox de
X Urgent 9Matlab para redes neuronales –nntool– y la librería
X Service 10FANN, pero se pudo utilizar cualquier toolbox o
X Dst host count 11implementación que se considerara adecuada.
X Srv diff host rate 12 X Source bytes 13
Para el aprendizaje se utilizó el modelo X Protocol type 14
supervisado “Backpropagation” –propagación
hacia atráss– [5], conn el que sse realiza uuna 6. RESULTADDOS OBTENIIDOS
corrección hhacia atrás een los pesoss, dependienndo Utilizando las funciones mencionadas en la
del comportamiento de la red. Los parámetros sección anterior, se procede a realizar ell
definidos para su funcionamiento son los entrenamiento variando parámetros como ell
siguientes: número de capas ocultas y/o neuronas en una
respectiva capa. En las figuras de la 3 a 7 se
Para el entrenamiento se utilizó el algoritmo observan los resultados obtenidos con cada una
de optimmización de Levenberg--Marquardt qque dee las redes pprobadas; see observa, aademás, lass
se encaarga de minimizar numééricamente uuna muuestras analizadas con cada una de las redes,,
función, en este caso el error. donde el valor 1 indica que se cometió un error en
dicha muestra, mientras que 0 indica que no hubo
Para el aprendizaje se utilizó el algoritmo del error.
gradientee descendente.
Como función de rendimiento se utilizó el errror
cuadráticco medio MSSE.
60 Ing. USBMed, Vol. 1, No. 1, Jul-Dic 2010
Red Monocapa Red Multicapa con dos capas ocultas; la primera
con 8 neuronas y la segunda con 4.
Errores al Realizar el Entrenamiento
Error de Entrenamiento = 9.3079%
Errores al Realizar el Entrenamiento1
Error de Entrenamiento = 3.3807%Entrenamiento
1
Entrenamiento
0.5
0.5
0
0 2000 4000 6000 8000 10000 12000
Muestras
0Errores al Realizar las Pruebas
0 2000 4000 6000 8000 10000 12000Error de Prueba = 9.2103%
1 Muestras
Prueba Errores al Realizar las Pruebas
Error de