A model for cloud intrusion detection system using feature selection and decision tree algorithms

Other Title(s)

نموذج لنظام الكشف عن التسلل السحابي باستخدام خوارزميات اختيار الميزة و شجرة القرار

Dissertant

al-Jawaznih, Athal Sabir Salim

Thesis advisor

Bani Salamah, Jamal Nahar Ahmad

University

Mutah University

Faculty

Information Technology College

Department

Computer Science Department

University Country

Jordan

Degree

Master

Degree Date

2020

Arabic Abstract

توفر الحوسبة السحابية (CC) إطار عمل لدعم المستخدمين النهائيين الذين يتم ربطهم بسهولة بين الخدمات و التطبيقات القوية عبر الإنترنت حاليا، أكبر عقبة في اعتماد السحابة من قبل معظم مؤسسات الشركات هو أمنها تتمثل إحدى مشكلات الأمان في كيفية تقليل تأثير هجمات حرمان الخدمة (DoS) أو حرمان الخدمة الموزع (DDoS) في هذه البيئة.

تقلل هذه الهجمات من أداء النظام بشكل كبير.

لذلك، بسبب الطلب المتزايد على استخدام الحوسبة السحابية التي تعتمد على الإنترنت : اقتحام أنظمة الكمبيوتر من قبل الأطراف غير المصرح بها مشكلة متزايدة لحماية بيانات المستخدم و الموارد السحابية من الأنشطة الضارة يعد جدار الحماية و أنظمة كشف التسلل (IDS) الحلول الدائمة الوحيدة جدار الحماية غير مناسب للكشف عن الهجمات الداخلية بعض من Dos و DDoS معقدة للغاية بحيث لا يمكن اكتشافها بواسطة جدار الحماية.

بالإضافة إلى ذلك، فإن نظام الكشف عن التطفل المستند إلى الشبكة التقليدية أو القائم على المضيف غير مناسب لبيئة السحابة الافتراضية، كما أن أنظمة الكشف عن التطفل التقليدية ليست فعالة للتعامل مع مثل هذا التدفق الضخم للبيانات.

يلعب نظام كشف التسلل دورا مهما في أمن واستمرار نظام الدفاع النشط ضد هجمات الدخيل لأي منظمة تكنولوجيا معلومات.

تقرض الحوسبة السحابية IDS نهجا فعالاً وقابلا للتطوير و قائما على المحاكاة الافتراضية.

و بالتالي، من الضروري اعتماد IDS قوي للكشف عن النشاط الضار بدقة كشف عالية في بيئة سحابية.

في هذا البحث، اقترحنا نموذجا لكشف التسئل المستند إلى السحابة باستخدام خوارزمية اختيار الميزة تسمى Temporal Constraint و خوارزمية شجرة القرار C4.5 يتم اختيار خوارزمية القيود الزمنية لاختيار العدد الأمثل للميزات و يتم استخدام خوارزمية شجرة القرار لتصنيف البيانات إلى عادية وخبيثة.

استخدمنا (001-CIDDS) مجموعة بيانات خادم خارجي لتكون إدخال البيانات النموذجنا المقترح.

تتكون عملية تصميم النموذج المقترح من أربع مراحل : إدخال بيانات المعالجة المسبقة و اختبار الميزة و التصنيف و الاختبار.

المعالجة المسبقة لبيانات الإدخال هي مرحلة لمعالجة حركة المرور التي تم تسجيلها في بيئة الخادم الخارجية على مدى أربعة أسابيع لاستخدامها كمدخل لعملية كشف التسلل.

اختيار و تصنيف الميزات هي العمليات الفرعية الأساسية في نموذجنا بشكل عام.

استخدمنا خوارزمية اختيار الميزة القائمة على القيد الزمني لتحديد اختيار الميزة الأكثر صلة لتحسين دقة التصنيف.

بعد ذلك، قمنا بتقسيم مجموعة البيانات إلى 270 تدريب و 30% اختبار تم استخدام 3.6.8 Python لتشغيل الاختبار باستخدام جزء من بيانات الإدخال غير المصنفة للحصول على النتائج.

قمنا بالعديد من التجارب للتحقق من صحة النموذج المقترح.

وجدنا أن استخدام مزيج من خوارزمية اختيار الميزة القائمة على القيد الزمني وخوارزمية تصنيف شجرة القرار لها تأثير إيجابي في الكشف عن التطفل على البيئة السحابية.

أظهرت النتائج أن الدقة الإجمالية للنظام المقترح في التنبؤ بالبيانات الخبيثة و العادية في مجموعة بيانات 001 CIDDS - هي 100 ٪، ومعدل الخطأ في التصنيف هو 0%.

حساسية أو استدعاء النظام في عنا الخبيثة هي %100 والمعدل الإيجابي الكاتب هو 20 ؛ تم اشتقاق هذه النتائج من مصفوفة الارتباك التي تم تصميمها لوصف أداء نموذج التصنيف في نظام كشف التسلل المقترح.

English Abstract

Cloud computing (CC) provides a framework for supporting endusers who easily connect powerful services and applications through the Internet.

Currently, the biggest obstacle in the adoption of cloud by most corporate organizations is its security.

One of the security issues is how to minimize the impact of denial-of-service (DoS) attacks or distributed denial-of-service (DDoS) in this environment.

These attacks reduce system performance drastically.

To protect user data and cloud resources from harmful activities, the intrusion detection system (IDS) in the cloud networks plays a very important role as the active security defense against intruder.

Thus, it is necessary to adopt a powerful IDS to detect malicious activity with high detection accuracy.

In this research, we proposed a cloud-based intrusion detection model by using a Feature Selection Algorithm called Temporal Constraint and a C4.5 decision tree algorithm.

We used CIDDS-001 (Coburg Intrusion Detection Data Sets) external server dataset to be the data input for our proposed model.

The design process for the proposed model consists of four stages; input data pre-processing, feature selection, classification and testing.

Input data pre-processing is a stage to process the traffic that was recorded in the external server environment over a period of four weeks.

Feature selection and classification are the core subprocesses in our model.

We used temporal constraint based feature selection algorithm to select the most relevant feature selection to improve the classification accuracy.

After that, we split the dataset into 70% Training and 30% Testing test.

Decision tree algorithm is used for classifying data into normal and malicious.

We using part of unclassified input data for obtaining the results.

The model was implemented and tested using Python 3.6.8.

Several experiments have been carried out to validate the proposed model.

Using a combination of temporal constraint algorithm and decision tree classification algorithm have a positive impact in detecting intrusion on cloud environment.

The results show that the proposed system‟s overall accuracy in predicting malicious and normal data in CIDDS-001 dataset is 100%, and the misclassification rate is 0%.

The recall of the system in detecting malicious is100% and the false positive rate is 0%; these results were derived from the confusion matrix that were designed to characterize the performance of the classification model in the proposed IDS.

Main Subjects

Information Technology and Computer Science

No. of Pages

91

Table of Contents

• APA
• MLA
• AMA

Language

English

Data Type

Arab Theses

Record ID

BIM-1349899