Įsilaužimo aptikimas taikant neraiškiosios logikos metodus ir asociacijų taisykles

Abstract

Darbe apžvelgiamos įsilaužimo aptikimo sistemos, analizuojami juose taikomi aptikimo metodai ir jų efektyvumas. Atlikta neraiškiosios logikos ir asociacijų taisyklių metodų apžvalga. Sudarytas sintetinis duomenų rinkinys, skirtas tinklo anomalijoms atlikti. Duomenų rinkinio sudarymui, buvo panaudotas grafinis tinklo simuliatorius „GNS3“, kompiuteriams simuliuoti naudota „docker“ konteinerių technologija, atakoms generuoti pasirinkti „hping3“, „slowhttptest“, „goldeneyes“, „nmap“ ir „patator“ įrankiai, tinklo paketų srautui apdoroti naudota „CICFlowMeter-V3“ programa, o iš maršrutizatorių surinkti „netflow“ statistikas, naudoti „nfcapd“ ir „nfdump“ atviro kodo įrankiai. Atliktas sudaryto duomenų rinkinio vertinimas, taikant šešis mašininio mokymosi metodus, tokius kaip naivusis Bajesas, SVM, sprendimų medis J48, atsitiktinis miškas, k-Artimiausias kaimynas bei FURIA. Metodų skaičiavimai atlikti WEKA programinės įrangos aplinkoje. Gauti ML rezultatai lyginti naudojant tikslumo, preciziškumo, apmokymo ir testavimo laikų įverčius. Sudaryto duomenų rinkinio gauti rezultatai palyginti su viešai pasiekiamu CSE-CIC-IDS2018 duomenų rinkiniu. Išgautos neraiškiosios logikos ir asociacijos taisyklės. Asociacijos taisyklėms išgauti, buvo naudota R programavimo kalba. Taisyklėms atvaizduoti ir vertinti, panaudotas arulesViz pakete esantis balloon tipo grafikas. Atlikus ML metodų įvertinimą ir palyginus su kitais ML metodais, nustatyta, jog neraiškiosios logikos ir asociacijų taisyklių metodai leidžia pasiekti didesnį greitį. Darbą sudaro 7 dalys: įvadas, kibernetinė sauga ir pažeidžiamumų apžvalga, įsilaužimo metodai, įsilaužimų aptikimo tyrimas, išvados, literatūros sąrašas. Darbo apimtis – 59 p. teksto be priedų, 33 pav., 16 lentelių, 48 bibliografiniai šaltiniai.

This thesis provides an overview of intrusion detection systems, analysing their detection methods and their effectiveness. A review of fuzzy logic and association rule methods is done. A synthetic dataset for network anomaly analysis is constructed. To build the dataset, the graphical network simulator GNS3 was used, the docker container technology was used to simulate the hosts, the hping3, slowhttptest, goldeneyes, nmap and patator tools were chosen to generate the attacks, the CICFlowMeter-V3 program was used to process the network packet flow, and the open source nfcapd and nfdump tools were used to collect the netflow statistics from routers. The evaluation of the constructed dataset was carried out using six machine learning methods such as naive Bayes, SVM, decision tree J48, random forest, k-nearest neighbour and FURIA. The computations of the methods were performed in the WEKA software environment. The obtained ML results were compared using estimates of accuracy, precision, training and testing times. The results of the compiled dataset are compared with the publicly available CSE-CIC-IDS2018 dataset. Fuzzy logic and association rules were extracted. To extract the association rules, the R programming language was used. To represent and evaluate the rules, the balloon graph in the arulesViz package was used. The evaluation of the ML methods and the comparison with other ML methods showed that the fuzzy logic and association rule methods achieve higher speed. The thesis consists of 7 parts: introduction, cybersecurity and vulnerability overview, hacking methods, study on intrusion detection, conclusions, reference list. The thesis consists of 59 pages of text without appendices, 33 figures, 16 tables, 48 bibliographic sources.