Modelo de detección de ataques DDoS (distributed denial of services), con base en el clasificador decisión tree.

Fecha

Autor corporativo

Título de la revista

ISSN de la revista

Título del volumen

Editor

Compartir

Altmetric

Resumen

Intrusion Detection Systems (IDS) are important in the field of security for modern computer systems that are connected through information networks, as well as in the mitigation of possible damage in case of attacks of any kind. IDSs observe events in a network for subsequent decision making. Due to the popularity of the Internet and local networks, incidents of intrusion into computer systems are increasing, the rapid expansion of computer networks creates a need for the development of systems that can reliably detect network threats with a high detection rate and a low false positive rate under normal computational resource usage conditions. To meet the identified need, with the present degree project under the monograph modality, it was proposed to develop an intrusion detection model for DDoS attacks, which was implemented using the Machine Learning Decision Tree classification technique; the model was developed based on a dataset called CIC-IDS 2017 developed by the University of New Brunswick, Canada that contains updated information of common attacks in a real environment, and from which its main characteristics were selected in order to optimize the learning of the system. The developed system is a Python language script composed of different stages: Data Collection, Data Pre-Processing, Exploratory Data Analysis, Data Set Reduction, Algorithm Selection, System Training, System Evaluation. The result (trained system) has the ability to process a new dataset with the same structure as the training dataset and make classifications to categorize a traffic capture as a normal connection or as an attack. After analyzing the resulting metrics of the trained system with the full dataset, and comparing the results with other Machine Learning algorithms, it can be concluded that the Decision Tree algorithm did not present the best performance compared to other techniques, in this sense the best performance was obtained by the K- Nearest Neighbor algorithm (K - Nearest Neighbors) presenting an accuracy in its classification 53% higher than the Decision Tree algorithm. However, a subsequent training was performed with the Decision Tree technique by varying its hyper-parameters, thus achieving a 49% increase in the accuracy of its classifications and putting it on a par with other algorithms. Regarding the results of the system trained with the data set reduced by the WEKA software under the correlation criterion, it was observed that Decision Tree improved its accuracy metric by 36% compared to the training of the complete data set, being among the best performing algorithms together with Random Forest.

Descripción

Los Sistemas de Detección de Intrusos (IDS) tienen importancia en el campo de seguridad para sistemas computacionales modernos que se conecten a través de redes de información, así como en la mitigación de posibles daños en caso de tener ataques de algún tipo. Los IDS observan los eventos en una red para la posterior toma de decisiones. Debido a la popularidad de Internet y las redes locales, están aumentando los incidentes de intrusión en los sistemas informáticos, la rápida expansión de las redes informáticas crea consigo la necesidad de desarrollo de sistemas que puedan detectar las amenazas a la red, de manera fiable con una tasa de detección alta y una tasa de falsos positivos baja en condiciones de uso de recursos computacionales normales. Para satisfacer la necesidad identificada, con el presente proyecto de grado bajo la modalidad de monografía se planteó desarrollar un modelo de detección de intrusos para ataques DDoS, que se implementó mediante la técnica de clasificación de Machine Learning Decision Tree; el modelo fue desarrollado teniendo como base un conjunto de datos llamado CIC-IDS 2017 desarrollado por la Universidad de New Brunswick, Canadá que contiene información actualizada de ataques comunes en un entorno real, y del cual se seleccionaron sus principales características con el fin de optimizar el aprendizaje del sistema. El sistema desarrollado es un script del lenguaje Python que se compone de diferentes etapas: Recolección de datos, Pre-Procesamiento de Datos, Análisis Exploratorio de Datos, Reducción del conjunto de datos, Selección del algoritmo, Entrenamiento del sistema, Evaluación del sistema. El resultado (sistema entrenado) tiene la capacidad de procesar un set de datos nuevo con la misma estructura del dataset de entrenamiento y hacer clasificaciones para categorizar una captura de tráfico como conexión normal o como ataque Posterior al análisis de las métricas resultantes del sistema entrenado con el conjunto de datos completo, y la comparación de resultados con otros algoritmos usados en Machine Learning para clasificación, se puede concluir que el algoritmo Decision Tree no presentó el mejor rendimiento en comparación a otras técnicas, en este sentido el mejor desempeño lo obtuvo el algoritmo K- Nearest Neighbor (K – Vecinos más próximos) presentando una exactitud en su clasificación 53% mayor al algoritmo Decision Tree. Sin embargo, se realizó un entrenamiento posterior con la técnica Decision Tree variando sus híper-parámetros, consiguiendo así un aumento del 49% en la exactitud de sus clasificaciones y poniéndolo a la par de otros algoritmos. Referente a los resultados del sistema entrenado con el conjunto de datos reducido por el software WEKA bajo el criterio de correlación, se pudo observar que Decision Tree mejoró su métrica de exactitud en un 36% comparado al entrenamiento del conjunto de datos completo, estando dentro de los algoritmos de mejor desempeño junto a Random Forest.

Palabras clave

Algoritmos de clasificación, Ciberataque, DDoS (Distributed Denial of Service), Sistemas de detección de intrusos, Dataset CICIDS-2017

Materias

Ingeniería en Telecomunicaciones - Tesis y disertaciones académicas , Cliente/Servidores (Computadores) , Algoritmos (Computadores) , Sistemas de seguridad , Internet - Medidas de seguridad , Seguridad en computadores

Citación