Ağ Tabanlı Saldırı Tespit Sistemlerinde Topluluk Öğrenme Yöntemlerinin Karşılaştırmalı Performans Analizi

Abstract

Teknolojinin gelişmesine paralel olarak internet kullanımı büyük bir artış göstermektedir. İnternetin bu denli yaygın kullanımı büyük miktarda verinin üretilmesine ve böylece bilgi güvenliği unsurlarını tehdit eden ağ saldırılarının daha da yaygınlaşmasına neden olmuştur. Bu bilgi güvenliği unsurlarının tehditlere karşı güvenliğinin sağlanması amacıyla birtakım uygulamalar geliştirilmekte ve kullanılmaktadır. Bu uygulamalardan biri olan saldırı tespit sistemlerinin son yıllarda makine öğrenmesi, derin öğrenme gibi yöntemlerle geliştirilmesi araştırmacılar tarafından ilgi görmektedir. Bu çalışmada, makine öğrenmesi yöntemiyle topluluk öğrenme algoritmaları kullanılarak bir saldırı tespit sistemi modeli önerilmiştir. Bu modelde, belirlenen algoritmaların performansı NSL-KDD veri kümesi üzerindeki KDDTest+ veri kümesini kullanarak test edilmiştir. Buna ek olarak, KDDTrain+ eğitim veri setinde bilgi kazancı yöntemi ile öznitelik seçimi yapılmış, bu algoritmaların KDDTest+ veri seti üzerindeki performansları da incelenmiştir. Bu modelde kullanılmak üzere, henüz literatürde az sayıda çalışılmış bir topluluk öğrenme algoritması olan, CatBoost algoritması seçilmiştir. Ardından, CatBoost algoritmasının performansı, diğer topluluk öğrenme algoritmalarından Random Forest ve AdaBoost algoritmalarının performanslarıyla karşılaştırılmıştır. Bu uygulamada deneysel ortam Python programlama dili, Scikit-learn ve CatBoost kütüphaneleri kullanılarak oluşturulmuştur. Deneysel sonuçlar incelendiğinde, önerilen model ile CatBoost algoritmasının performansı bilgi kazancı yöntemi ile seçilen öznitelikler kullanılarak KDDTest+ veri kümesi üzerinde %79,43 doğruluk (accuracy), %68,44 kesinlik (precision), %96,95 duyarlılık (recall), %80,24 f-ölçütü (f-measure) ve eğri altındaki alan (AUC) değeri 0,9678 olarak elde edilmiştir. Bu ampirik çalışmada, CatBoost algoritmasının, hem öznitelik seçimi yapılan hem de öznitelik seçimi yapılmayan veriler üzerinde diğer algoritmalara göre daha iyi saldırı tespiti performansı gösterdiği anlaşılmıştır.

The internet usage has increased significantly in parallel with the development of technology. Such widespread use of the Internet has led to the production of large amounts of data and thus, cause more to the spread of network attacks that threaten information security elements. In order to ensure the security of these information security elements against threats, some methods are developed and used. The fact that the intrusion detection system as one of these methods has been developed using machine learning and deep learning algorithms gathers interest among the researchers. In this paper, a model of intrusion detection system is proposed by using ensemble learning algorithms in machine learning method. In this model, the performance of the designated algorithms is tested using the KDDTest + dataset on the NSL-KDD dataset. In addition, feature selection was made with the information gain method in the KDDTrain + training data set, the performances on the KDDTest+ dataset of these algorithms were also analysed. CatBoost algorithm, an ensemble learning algorithm that has newly been limited number of studies in the literature, has been chosen to be used in this model. After, the performance of the CatBoost algorithm was compared with the performances of Random Forest algorithm and AdaBoost algorithm of other ensemble learning algorithms. In this paper, the experimental environment has been generated by Python programming language, Scikit-learn, and CatBoost libraries. In the analysis of the experiment's results, the performance of CatBoost algorithm with the suggested model that used features selected by the information gain method has produced %79,43 accuracy, %68,44 precision, %96,95 recall, %80,24 f-measure and area under curve value is 0.9678 on KDDTest+ data set. In this empirical study, it was arrived that the CatBoost algorithm has better performance of intrusion detection compared to other algorithms on both executed feature selection data and unexecuted feature selection data.