Fakulta informačních technologií VUT v Brně

Detail publikace

Improving Network Intrusion Detection Classifiers by Non-Payload-Based Exploit-Independent Obfuscations: An Adversarial Approach

HOMOLIAK Ivan, TEKNŐS Martin, BREITENBACHER Dominik a HANÁČEK Petr. Improving Network Intrusion Detection Classifiers by Non-Payload-Based Exploit-Independent Obfuscations: An Adversarial Approach. EAI Endorsed Transactions on Security and Safety, roč. 5, č. 17, s. 1-15. ISSN 2032-9393. Dostupné z: http://eudl.eu/doi/10.4108/eai.10-1-2019.156245
Název česky
Vylepšení klasifikátorů pro detekci průniku sítí pomocí non-payload-based obfuskací nezávislých na exploitech: adversiální přístup
Typ
článek v časopise
Jazyk
angličtina
Autoři
Homoliak Ivan, Ing., Ph.D. (UITS FIT VUT)
Teknős Martin, Ing. (FIT VUT)
Breitenbacher Dominik, Ing. (UITS FIT VUT)
Hanáček Petr, doc. Dr. Ing. (UITS FIT VUT)
URL
Abstrakt
Klasifikátory strojového učení pro detekci průniku jsou schopné detekovat dosud neznámé útoky, ale zároveň mohou být náchylné na únik před detekcí pomocí obfuskačních technik. Útočník, který má znalost o ochranném systému může tento detekční modul jednoduše obejít. Hlavním cílem této práce je vylepšit klasifikátory pro detekci průniku vůči takovým útočníkům. K tomu nejdříve navrhneme několik obfuskačních technik vzdálených útoků, které jsou založené na modifikaci několika vlastností síťového spojení; pak provedeme sadu rozsáhlých experimentů pro vyhodnocení efektivity klasifikátorů pro detekci průniku proti obfuskovaným útokům. Vytvoříme instanci našeho přístupu ve smyslu nástrojů, založených na NetEm a Metasploit, které implementují obfuskační operátory nad jakoukoli TCP komunikací. To nám umožňuje generovat modifikovaný síťový provoz pro experimenty se strojovým učením využívající metriky síťového provozu a chování TCP spojení. Provádíme vyhodnocení několik klasifikátorů: Gaussian Naive Bayes, Logická regrese, Rozhodovací stromy, a Support Vector Machine. Naše experimenty potvrzují předpoklad, že je možné obejít detekci všemi testovanými klasifikátory trénovaných bez předchozí znalosti o obfuskovaných útocích, které způsobují zhoršení TPR o 7,8% až 66,8%. Dále, rozšířením znalosti klasifikátorů o podmnožinu obfuskovaných útoků při trénování, dosahujeme značného vylepšení TPR o 4,21% až 73,3%, kde FPR je zhoršeno pouze nepatrně (0,1% - 1,48%). Nakonec jsme otestovali schopnosti klasifikátorů znalých obfuskací k detekci neznámých obfuskovaných útoků, kde bylo dosaženo přes 90% míry detekce v průměru u většiny obfuskací.
Rok
2018
Strany
1-15
Časopis
EAI Endorsed Transactions on Security and Safety, roč. 5, č. 17, ISSN 2032-9393
Vydavatel
EAI - European Alliance for Innovation, n.o.
DOI
BibTeX
@ARTICLE{FITPUB11898,
   author = "Ivan Homoliak and Martin Tekn\H{o}s and Dominik Breitenbacher and Petr Han\'{a}\v{c}ek",
   title = "Improving Network Intrusion Detection Classifiers by Non-Payload-Based Exploit-Independent Obfuscations: An Adversarial Approach",
   pages = "1--15",
   journal = "EAI Endorsed Transactions on Security and Safety",
   volume = 5,
   number = 17,
   year = 2018,
   ISSN = "2032-9393",
   doi = "10.4108/eai.10-1-2019.156245",
   language = "english",
   url = "https://www.fit.vut.cz/research/publication/11898"
}
Nahoru