Improved off-line intrusion detection using a Genetic Algorithm | Improved off-line intrusion detection using a Genetic Algorithm

Uno de los enfoques principales para el problema cada vez más importante de la seguridad informática es el sistema de detección de intrusiones. Se han propuesto varias arquitecturas y enfoques, entre ellos: enfoques estadísticos basados ​​en reglas; Redes neuronales; Sistema inmune; Algoritmos genéticos; y programación genética. Este documento se centra en el desarrollo de un sistema de detección de intrusiones fuera de línea para analizar un archivo de seguimiento de auditoría de Sun. La detección de intrusiones fuera de línea se puede lograr mediante la búsqueda de registros de seguimiento de auditoría de las actividades del usuario en busca de coincidencias con los patrones de eventos necesarios para ataques conocidos. Dado que dicha búsqueda es NP-completa, será necesario emplear métodos heurísticos a medida que crezcan las bases de datos de eventos y ataques. Los algoritmos genéticos pueden proporcionar métodos de búsqueda heurísticos apropiados. Sin embargo, equilibrar la necesidad de detectar todos los posibles ataques que se encuentran en una pista de auditoría con la necesidad de evitar falsos positivos (advertencias de ataques que no existen) es un desafío, dados los valores de aptitud escalar que requieren los algoritmos genéticos. Este estudio analiza una función de aptitud independiente de los parámetros variables para superar este problema. Esta función de aptitud permite que el IDS reduzca significativamente su tasa de falsos positivos y falsos negativos. Este documento también describe la extensión del sistema para tener en cuenta la posibilidad de que las intrusiones sean mutuamente excluyentes o no mutuamente excluyentes.

https://www.scitepress.org/Link.aspx?doi=10.5220/0002553100660073

One of the primary approaches to the increasingly important problem of computer security is the Intrusion Detection System. Various architectures and approaches have been proposed including: Statistical, rule-based approaches; Neural Networks; Immune Systems; Genetic Algorithms; and Genetic Programming. This paper focuses on the development of an off-line Intrusion Detection System to analyze a Sun audit trail file. Off-line intrusion detection can be accomplished by searching audit trail logs of user activities for matches to patterns of events required for known attacks. Because such search is NP-complete, heuristic methods will need to be employed as databases of events and attacks grow. Genetic Algorithms can provide appropriate heuristic search methods. However, balancing the need to detect all possible attacks found in an audit trail with the need to avoid false positives (warnings of attacks that do not exist) is a challenge, given the scalar fitness values required by Genetic Algorithms. This study discusses a fitness function independent of variable parameters to overcome this problem. This fitness function allows the IDS to significantly reduce both its false positive and false negative rate. This paper also describes extending the system to account for the possibility that intrusions are either mutually exclusive or not mutually exclusive.