Intrusion detection system using feature ranking and GWO

Other Title(s)

نظام الكشف عن الاختراقات باستخدام أسلوب تصنيف السمات و خوارزمية قطيع الذئاب الرمادية

Dissertant

Nasr Allah, Amir

Thesis advisor

Tumar, Iyad

University

Birzeit University

Faculty

Faculty of Engineering and Technology

Department

Department of Computer Science

University Country

Palestine (West Bank)

Degree

Master

Degree Date

2020

Arabic Abstract

يعد نظام كشف الاختراقات مكونا مهما في بيئات الشبكات الحديثة، يقوم هذا النظام بتحليل البيانات التي تمر في الشبكة لاكتشاف الأنشطة غير الاعتيادية، إحدى أصعب المهام في هذه الأنظمة هي القدرة على تحديث نفسها و اكتشاف الحالات المريبة في وقت قصير لذلك، تم تطبيق العديد من تقنيات التعلم الآلي على هذه الأنظمة و بالرغم من ذلك، لا تزال هذه التقنيات تعتمد على تحليل كل سمات البيانات التي تمر في الشبكة، و هذا بدوره يقلل أحيانًا من معدل اكتشاف الهجمات و يزيد دائها من الوقت المطلوب للاكتشاف.

المواجهة هذه التحديات، نعرض في هذا البحث طريقة مكونة من خطوتين لاختيار السمات المميزة في بيانات الشبكة.

المرحلة الأولى من هذه الطريقة هي تصنيف السمات باستخدام طريقة تعرف باسم تحليل التباين ANOVA F-value في هذه المرحلة ، سيتم اختيار نسبة من أعلى السمات تصنيفا.

هذه البيانات التي تم اختيارها في المرحلة الأولى ستكون مدخلا للمرحلة الثانية في المرحلة الثانية، سنقوم باستخدام خوارزمية قطيع الذئاب الرمادية GWO كاستراتيجية للبحث عن أفضل السمات.

تم تجربة الطريقة المقترحة على مجموعة بيانات تدعىNSL-KDD، و قارننا أداءها بأداء : عدد قليل من المصنفات دون مرحلة اختيار السمات تمكنا من خفض عدد السمات بنسبة %68، مع تحقيق تقريبا نفس الدقة ومعدل الكشف و معدل الإنذار الخاطئ للمصنفات التي قمنا باختيارها كما و تمكنا من تقليل وقت البحث في خوارزمية GWO بنسبة 18% .

بالإضافة إلى ذلك، تمكنا من تقليل وقت تدريب مصنفات KNN و SVM بنسبة 77% و 62% على التوالي في التصنيف متعدد الفئات و 59% و %68 على التوالي في التصنيف الثنائي و بالمثل تم تقليل وقت اختبار مصنفات KNN و SVM بنسبة %46% على التوالي في التصنيف متعدد الفئات و 89 و %48 على التوالي في التصنيف الثنائي.

English Abstract

Intrusion detection system (IDS) is an important component in modern network environments.

An IDS analyzes network traffic to detect abnormal activities.

A challenging task in IDS is the ability to update itself and detect anomalies in short time.

Therefore, many machine learning techniques have been applied on IDS.

But they still use many attributes of network traffic which sometimes decreases the detection rate and always increases detection time.

In this study, we propose a hybrid feature selection approach to address these challenges.

The first stage of the proposed approach is featuring ranking using ANOVA F-value.

In this stage, a percentage of the top ranked features will be selected.

In the second stage, a wrapper approach with GWO as a search strategy, and Random Forest for evaluation is used.

In this stage, the reduced dataset from the first stage is the input, and the output is an optimal subset of features.

We tested the proposed approach on NSL-KDD dataset, and compared its performance with the performance of few classifiers without feature selection.

We were able to achieve a dimensionality reduction of 68%, while achieving accuracy, detection rate, and false alarm rate similar to those of the chosen classifiers.

Moreover, we reduced the search time of GWO by 18%.

Moreover, we were able to reduce the training time of KNN and SVM by 77% and 62% respectively in multi-class classification, and by 59% and 68% respectively in binary classification.

Similarly, the testing time of KNN and SVM was reduced by 93% and 46% respectively in multi-class classification, and and by 89% and 48% respectively in binary classification.

Main Subjects

Information Technology and Computer Science

No. of Pages

116

Table of Contents

• APA
• MLA
• AMA

Language

English

Data Type

Arab Theses

Record ID

BIM-1413008