USING ENSEMBLE MACHINE LEARNING FOR INTRUSION DETECTION USING MULTIPLE MODELS WITH SAME ADAPTIVE AI CLASSIFICATION ALGORITHMS ON WEKA

آل يوسف, متعب يحيى علي ; AL-YOUSEF, MUTEB ; عبد المجيد, نبيه طارق . مشرف (2018-04-15)

رسالة (ماجستير)-جامعة نايف العربية للعلوم الأمنية، كلية أمن الحاسب والمعلومات، قسم أمن المعلومات، تخصص أمن المعلومات،

79 ورقة : جداول، رسوم بيانية

Thesis

Abstract With the rapid development and growth of the internet and networking in a very fast manner, numerous numbers of attacks are rising that threaten up the networks and information security alike. Thus, intrusion detection systems (IDSs) are introduced either signature-based IDS (SIDS) or anomaly-based IDS (BIDS) or a hybrid of both. Many IDSs that adopted the signature-based method suffer from many challenges. One of the main challenges is how to detect a new attack in the incoming traffic in which its signature hadn’t been stored in the database of known signatures and keeping the rate of false positive alarms low, high performance and low resource consuming. Many IDS systems updating its database of signatures from time to time through internet or relying on the network administrator to manually update the database with new attacks signature, which is labor intensive process and can be error prone. Manual update of new attacks is not practical all the time. The proposed model was provisioned, implemented and tested its outputs. The proposed model improves the previous efforts in minimizing the big size of signatures database issue. Also, it provides a filtering engine to detect and update the SIDS’s database with new attack signatures. Finally, analysis of the model’s outputs was provided with the recommendations and future works.

المستخلص مع التطور السريع والنمو المتزايد للإنترنت والشبكات بطريقة سريعة جدا، تتزايد أعداد كثيرة من الهجمات التي تهدد الشبكات وأمن المعلومات على حد سواء. ولذلك يتم إستخدام نظام كشف الهجومات القائم على تقنية التوقيع أو المعتمد على قياس الشذوذ أو هجين من الاثنين معا. العديد من أنظمة كشف الهجومات التي اعتمدت الطريقة القائمة على التوقيع تعاني من العديد من التحديات. واحد من تلك التحديات هو كيفية الكشف عن هجوم جديد في الحزم الواردة الى شبكات الحاسب والتي تواقيعها لم تخزن في قاعدة البيانات الخاصة بالتوقيعات المعروفة مع الحفاظ على معدل الإنذارات الإيجابية الكاذبة منخفضة، مع الأداء العالي وانخفاض الموارد المستهلكة. العديد من أنظمة كشف الهجومات تحدث قاعدة بياناتها من التوقيعات من وقت لآخر من خلال الإنترنت أو الاعتماد على مسؤول الشبكة لتحديث قاعدة البيانات يدويا بتواقيع الهجمات الجديدة التي هي عملية تتطلب موظفين كثر والذي يعني أن تكون عرضة للخطأ البشري. التحديث اليدوي للهجمات الجديدة ليست عملية في جميع وقت. تم تقديم نموذجنا المقترح، وتم تنفيذه واختبار نتائجه. يحسن النموذج المقترح الجهود السابقة في تقليل حجم قاعدة بيانات التوقيعات الكبيرة. كما أنه يوفر محرك تصفية للكشف وتحديث قاعدة بيانات بتوقيعات الهجمات الجديدة وأخيرا، تم تقديم تحليل لمخرجات النموذج مع توصياتنا وأعمالنا المستقبلية المطروحة للحل من قبل باحثين آخرين.