ANALYSIS OF NETWORK INTRUSION DETECTION SYSTEM USING MACHINE LEARNING TECHNIQUES

Abstract

This paper proposes an anomaly-based network intrusion detection system based on a combination of feature selection, K-Means clustering and tree-based models classification. The performance of the proposed system was tested with a NSL-KDD dataset using a KDDTest+ dataset. A feature selection method based on attribute ratio (AR) was applied to construct a reduced feature subset of NSL-KDD dataset. After the application of K-Means clustering and hyperparameter tuning of each classification model corresponding with each cluster was implemented. There were only two clusters, the proposed model obtained accuracy equal to 84.41% with a detection rate equal to 86.36% and a false alarm rate equal to 18.20% for the KDDTest+ dataset. The performance of the proposed model outperformed those obtained using the recurrent neural network (RNN) based deep neural network. In addition, due to feature selection, the proposed model employed only seventy-seven out of one hundred and twenty-two features (63.11%) to achieve this level of performance comparable to those using a full number of features to train the model.

ในงานวิจัยนี้ นำเสนอเทคนิคการตรวจจับรูปแบบการบุกรุกบนเครือข่ายที่ผิดปกติ โดยผสมผสานเทคนิคของการเลือกคุณลักษณะ (Feature Selection) การแบ่งกลุ่มรูปแบบของข้อมูล (K-Means clustering) และการจำแนกรูปแบบของข้อมูลที่ผิดปกติโดยใช้เทคนิคการจำแนกข้อมูลแบบต้นไม้ (Tree-based models classification) ผู้วิจัยได้ทดสอบประสิทธิภาพของโมเดลโดยใช้ชุดข้อมูล NSL-KDD สำหรับทดสอบ (KDDTest+) ซึ่งหลักการสร้างโมเดลจะใช้วิธีการเลือกคุณลักษณะตามค่าอัตราเฉลี่ยของคุณลักษณะ (Attribute Ratio) เพื่อลดจำนวนคุณลักษณะที่ไม่จำเป็นออก หลังจากนั้นจึงใช้การแบ่งกลุ่มรูปแบบของข้อมูล (K-Means clustering) เพื่อให้รูปของข้อมูลที่เหมือนกันอยู่ในกลุ่มเดียวกัน โดยงานวิจัยนี้ใช้การแบ่งกลุ่มเพียง 2 กลุ่มเท่านั้น จากนั้นนำข้อมูลที่ได้จากการแบ่งกลุ่มมาเข้าโมเดลโดยใช้การทำไฮเปอร์พารามิเตอร์จูนนิ่ง เพื่อหาค่าคะแนนสูงสุดของแต่ละพารามิเตอร์ในแต่ละกลุ่ม ซึ่งจากการทดสอบประสิทธิภาพของโมเดลกับชุดข้อมูล KDDTest+ พบว่าโมเดลที่นำเสนอมีค่าความแม่นยำเท่ากับ 84.41% โดยมีอัตราการตรวจจับเท่ากับ 86.36% และอัตราการเตือนภัยผิดพลาดเท่ากับ 18.20% โดยประสิทธิภาพของโมเดลที่ผู้วิจัยได้นำเสนอมีค่าความแม่นยำดีกว่าการใช้เครือข่ายประสาทเทียมแบบโครงข่ายประสาทเทียม (RNN) นอกจากนี้โมเดลของเราใช้คุณลักษณะเพียง 77 คุณลักษณะเท่านั้นจาก 122 คุณลักษณะ หรือคิดเป็น 63.11% เมื่อเปรียบเทียบกับชุดข้อมูล NSL-KDD แบบเต็ม พบว่าโมเดลให้ค่าความแม่นยำใกล้เคียงกันแต่ใช้คุณลักษณะน้อยกว่า