Improved off-line intrusion detection using a Genetic Algorithm

Miniatura

Archivos

Hougen_Dean_Frederick_2005.pdf (118.66 KB)

Fecha

2005

Autores

Título de la revista

Publicado en

ICEIS 2005 - Proceedings of the 7th International Conference on Enterprise Information Systems; 7ª, 2005

Publicado por

ICEIS 2005 - Proceedings of the 7th International Conference on Enterprise Information Systems

URI

https://hdl.handle.net/20.500.12495/5282

URL de la fuente

https://www.scitepress.org/Link.aspx?doi=10.5220/0002553100660073

ISSN de la revista

Título del volumen

Resumen

Uno de los enfoques principales para el problema cada vez más importante de la seguridad informática es el sistema de detección de intrusiones. Se han propuesto varias arquitecturas y enfoques, entre ellos: enfoques estadísticos basados ​​en reglas; Redes neuronales; Sistema inmune; Algoritmos genéticos; y programación genética. Este documento se centra en el desarrollo de un sistema de detección de intrusiones fuera de línea para analizar un archivo de seguimiento de auditoría de Sun. La detección de intrusiones fuera de línea se puede lograr mediante la búsqueda de registros de seguimiento de auditoría de las actividades del usuario en busca de coincidencias con los patrones de eventos necesarios para ataques conocidos. Dado que dicha búsqueda es NP-completa, será necesario emplear métodos heurísticos a medida que crezcan las bases de datos de eventos y ataques. Los algoritmos genéticos pueden proporcionar métodos de búsqueda heurísticos apropiados. Sin embargo, equilibrar la necesidad de detectar todos los posibles ataques que se encuentran en una pista de auditoría con la necesidad de evitar falsos positivos (advertencias de ataques que no existen) es un desafío, dados los valores de aptitud escalar que requieren los algoritmos genéticos. Este estudio analiza una función de aptitud independiente de los parámetros variables para superar este problema. Esta función de aptitud permite que el IDS reduzca significativamente su tasa de falsos positivos y falsos negativos. Este documento también describe la extensión del sistema para tener en cuenta la posibilidad de que las intrusiones sean mutuamente excluyentes o no mutuamente excluyentes.

Descripción

Abstract

One of the primary approaches to the increasingly important problem of computer security is the Intrusion Detection System. Various architectures and approaches have been proposed including: Statistical, rule-based approaches; Neural Networks; Immune Systems; Genetic Algorithms; and Genetic Programming. This paper focuses on the development of an off-line Intrusion Detection System to analyze a Sun audit trail file. Off-line intrusion detection can be accomplished by searching audit trail logs of user activities for matches to patterns of events required for known attacks. Because such search is NP-complete, heuristic methods will need to be employed as databases of events and attacks grow. Genetic Algorithms can provide appropriate heuristic search methods. However, balancing the need to detect all possible attacks found in an audit trail with the need to avoid false positives (warnings of attacks that do not exist) is a challenge, given the scalar fitness values required by Genetic Algorithms. This study discusses a fitness function independent of variable parameters to overcome this problem. This fitness function allows the IDS to significantly reduce both its false positive and false negative rate. This paper also describes extending the system to account for the possibility that intrusions are either mutually exclusive or not mutually exclusive.

Palabras clave

Algoritmos genéticos, Detección de intrusiones, Detección de mal uso, Detección de intrusiones fuera de línea

Keywords

Genetic algorithms, Intrusion detection, Misuse detection, Off-line intrusion detection

Temáticas

Citación

Colecciones

Artículos