DOI: http://dx.doi.org/10.21123/bsj.2016.13.2.0278
خاَاٍت حػوًجي ًف مفطرنا فشكن حٍػاًُنا ًثهسنا ءاقرَلاا حٍيصساوخ شٌوطذ
NSL-KDD
ٍسذي صافي
ٍهخ
يضُؼنا م
*
الله ساج وصاد ءلاػ
*
*
* ة٘عبؾىا ً٘يػ ٌغق ،
دبٞػبٝشىاٗ ة٘عبؾىا ً٘يػ خٞيم ،
وطَ٘ىا خؼٍبع .
* * دبظزقلااٗ حسادلاا خٞيم ،
وطَ٘ىا خؼٍبع .
شؾجىا ًلازعا 28
/ 9 / 2015
ششْىا ه٘جق 5
/ 11 / 2015
This work is licensed under a Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International Licens
حصلاخنا
:
قر س٘طر غٍ بّ
دبٍ٘نؾىا ٚىا ٌىبؼىا ٔع٘رٗ ،خّٞٗشزنىلاا دلابظرلااٗ خىبقْىا حضٖعلاا ٍِ دلابظرلاا دب
.خّٞٗشزنىلإا خفشٞظىاٗ ،خّٞٗشزنىلإا حسبغزىاٗ ،خّٞٗشزنىلإا ازى
دبؽبشْىا ٓزٕ خجقاشٍ ٛسٗشؼىا ٍِ ؼجطأ بٖؼٍْٗ
ٍِ ىا زعلإا حءبعإ ٗأ وفطزيى عشؼز هبَؼ
ٌَٖىا َِف ازى ،بٖى خٝبَؾىا شٞف٘رٗ فمٗ خٝ٘ق خَظّا ٌَٞظر
ء٘ ازٖث ً٘قر ح
.عشغىا زعا وَؼ ٜف خٍٞصسا٘خ ،خٞقٞقؾىا ٌٞقىا دار( خٞػبَْىا ٜجيغىا ءبقزّلاا خٍٞصسا٘خ ٍِ فبْطا حذػ شؾجىا ازٕ
،ذثبص شطق فظّ دار دبفشبم غٍ ٜجيغىا ءبقزّلاا ٗ
فشنى )ٌغؾىا حشٞغزٍ دبفشبم غٍ ٜجيغىا ءبقزّلاا خٍٞصسا٘خ
ٍِ ٜنجشىا وفطزىا عّ٘
زعلاا حءبعا شٞؽ ،هبَؼ
دبْٞػ ضَٞٞزى دبفشبنىا ٍِ خػَ٘غٍ ذٞى٘زث خٍٞصسا٘خىا ً٘قر
.دازىا خٞيَؼىا ةسبغزىا ذزجصأ فشم خجغّ قٞقؾر
زعبث ٌَظَىا ًبظْىا ٜف خٞىبػ هبَؼ
دبّبٞث NSL-KDD دار
12
ًلاقؽ ٍِ ه٘ظؾىا ٌر رإ دبفشبنىا دذػ شٞٞغر ٗأ فشبنىا شطق فظّ شٞٞغزث شصأزىا ُٗد ِٞث بٍ فشم خجغّ ٚيػ
( 0.984, 0.998, 0.999 خجغّ ٗ )
( ِٞث بٍ ةربم سازّا (0.003, 0.002, 0.001
ةسبغزىا ظئبزّ ظنػ ٚيػ .
دبّبٞث ٚيػ ذٝشعُأ ٜزىا خٞيَؼىا NSL-KDD
دار 41 شٞٞغزث فشنىا خجغّ بٖٞف دشصأر ٜزىا ،هبظرأ وقؽ
ٞث بٍ فشم خجغّ ٚيػ ه٘ظؾىا ٌر را فشبنىا دذػٗ شطق فظّ ( ِ
0.44, 0.824, 0.992 )
ةربم سازّا خجغّٗ
( ِٞث بٍ 0.5, 0.175, 0.003 .)
:حٍدارفًنا خاًهكنا
NSL-KDD ،
خٝشظّ دازىا شٞغٗ دازىا ضَٞٞر ،
ٌٞقىا دار ٜجيغىا ءبقزّلاا خٍٞصسا٘خ
خٞقٞقؾىا ، خٞئا٘شؼىا خٞقٞقؾىا ٌٞقىا دار ٜجيغىا ءبقزّلاا خٍٞصسا٘خ .
حيذقًنا
:
ٜؼٞجطىا خػبَْىا ًبظّ دبٞىآ ذؽا ٕ٘ ٜجيغىا ءبقزّلاا خٞػبْططلاا خػبَْىا خَظّأ ٌظؼَى ًبٖىا سذظٍ ٕ٘ٗ حذغىا ٜف خغػبْىا خٞئبزىا بٝلاخىا خغىبؼٍ ٌزر .خٞىبؾىا ً٘قرٗ .خػبَْىا صبٖع ٜف ششزْر ُأ وجق خٝشزؼغىا ٍِ خػَ٘غٍ ذٞى٘زث ٜجيغىا ءبقزّلاا خٍٞصسا٘خ بؼٍ هلاخ ٍِ دبفشبنىا لا ؼششٍ فشبم ٛأ خيٍ
.دازىا دبْٞػ خػَ٘غٍ غٍ قثبطزٝ ُا
دبٞعبعأ
زعا ٜجيغىا ءبقزّلاا دبٍٞصسا٘خ ؼ
َ ي فيزخٍ ٜف ذ
ًذق ٛزىا رٗزشىا فشم وضٍ خٞقٞجطزىا دبؽبغَىا خٞعبعا حشنف بٖفط٘ث ٜجيغىا ءبقزّلاا خٍٞصسا٘خ ذٞى٘ر وعلأ خٍٞصسا٘خيى دبفشبنىا ٍِ خػَ٘غٍ
خؾششَىا ] 2،1 [ .
:حهصنا خار زوذثنا
ًبػ ٜف 2010
ًذق شؽبجىا Shane Edward
Dixon ػ شٞزغعبٍ خىبعس
ش ٜػبَْىا ًبظْىا بٖٞف ف
ٜػبْططلاا AIS
أ ٚيػ أّشّ وقؽ ّٔ د
س٘ؾث ٔٞف
خػبَْىا صبٖع ٍِ حبؽ٘زغَىا ٜثبغؾىا ءبمزىا زعاٗ ،خٞع٘ى٘ٞجىا وَؼ
دار ٜجيغىا ءبقزّلاا خٍٞصسا٘خ
خٞقٞقؾىا ٌٞقىا RNSA
ًبعرَّ٘أ ٔفط٘ث ضَٞٞزيى بٞثبغؽ
زىا شٞغٗ دازىا ِٞث بٍ خٞئبزىا بٝلاخىا بٖث ً٘قر ٜزىا دا
ٜػبَْىا ًبظّ وظؽ ،ٜؼٞجطىا ٜػبَْىا ًبظْىا ٜف فشم خجغّ ٚيػ ٜػبْططلاا 95.4
[ 3 ] .
ٗ ًبػ ٜف 2012 ( ُبضؽبجىا ًبق Rumsha R.
ٗ )
(Farrukh A.)
زعبث هبَؼ ءبقزّلاا خٍٞصسا٘خ
ٜيٞغْىا ,(CLONALG) ٜجيغىا ءبقزّلاا خٍٞصسا٘خٗ
(NSA) ٚيػ رٗزشىا فشم ٜف
ُؽ ظ و بٖٞيػ زعبث هبَؼ (NSA) ، ءبقزّلاا خٍٞصسا٘خٗ
ٜيٞغْىا ى
دبّبٞجىا خػَ٘غَ ٜزىاٗ ،بٖغفّ
ذَر
،بٖزّسبقٍ ٗ
ا ُأ خّسبقَىا خغٞزّ دشٖظ (NSA)
زعا ٍِ وؼفأ ظئبزّ ذطػأ هبَؼ
ءبقزّلاا خٍٞصسا٘خ
[ ٜيٞغْىا 4
.]
حٌشظَ
و خازنا ضًٍٍذ
خازنا شٍغ
:
دازىا ِٞثبٍ ضَٞٞزىا شٞغٗ
دازىا ، ٙذؽإ ُ٘نر ذق
ىا ًبَٖىا َ ٖ خفٞٞنزىا خػبَْىا ًبظّ ٜف خَ ٜف
ءبْصأ
.عاشٍلأى خججغَىا دبٞيَؼىا ٗ
ٖعٗ ٍِ خ
شظّ
،ٌغغىا ٜف خئٞعٗ حذٞع شطبْػ كبْٕ دبٝٗبفَيىا سبشٝٗ ٚىإ حذٞغىا شطبْؼىا ث
سبشٝ بَم ،دازىب ٚىإ
شٞغ شطبْؼىا ىا
حذٞغ شٞغث دازىا [ 1 .] ٗ خعبؾىا ُ٘نر
خٝٗبفَيىا بٝلاخيى ،
ٕبٍ ٚيػ ٌغغىا ٌٞيؼزى ٞ
خ ك٘يغىا
ؼٞؾظىا شٞغٗأ
،ؽبَّلأا ٓزٖى ؼٞؾظىا طسذٝ بَم
.ِٝذىا٘ىا ذؽا ٍِ وفطىا ٜفٗ
طبزؾر ٔغفّ ذق٘ىا
دشيى ؼٞؾط ونشثٗ ٌغغىا ٌٞيؼزى ،خٝٗبفَيىا بٝلاخىا ٚيػ بٝلاخىا ٌٞيؼر ٌزٝٗ ،بٖى عشؼزٝ ٜزىا دبَغٖىا ٌغع ٜف ٌظؼىا عبخّ ٜفٗ خٝشزؼغىا حذغىا ٜف خٝٗبفَيىا
،ُبغّلإا إ
قٝشؽ ِػ بٖغفّ داذٞزججىا ٚىإ ُ٘ػشؼزٝ ر
ٜجيغىا سبٞزخلاا وؽاشٍ (NS)
ٜثبغٝلاا سبٞزخلااٗ
(PS) ( ونشىا ٜف بَم 1
) [ 5 ] .
ًثهسنا ءاقرَلاا حٍيصساوخ عاوَأ
:
غٝ ٜجيغىا ءبقزّلاا وَؼز
ٜػبَْىا ًبظْىا وجق ٍِ
.ُبغّلإى ذؼٝٗ
خٞىٗلأا خغىبؼَىا ى
ًبغعلأا دادبؼَ
قيطر .َْ٘ىا خيَزنٍ شٞغ حذغىا
ًبظؼىاٗ خٝشزؼغىا
حذٝذع ًبغعأ دادبؼٍ ٜجيغىا ءبقزّلاا صشؾٝٗ
ٚيػ
ءبقثإ لير لا ٜزىا ر ش ر ؾج غٍ ٛأ ٍِ دازىا بٝلاخ
خجقاشَى ،ٌغغىا ءاضعأ ٜقبث ٚىإ لىر ذؼث عص٘رٗ تجغىا ازٖى .خٞؾىا بٝلاخىا ُبف
ٜجيغىا ءبقزّلاا خىبؽ
ٝسٗشػ ُبغّلإى ٜػبَْىا ًبظْيى خ
ى ز دادبؼٍ ُأ ذمؤ
[ دازىا بٝلاخ ٌعبٖر لا حذىَ٘ىا ًبغعلأا 6
] . كبْٕ
صلاص خ :ٜجيغىا ءبقزّلاا خٍٞصسا٘خ ٍِ عاّ٘أ
3 . حقٍقذنا ىٍقنا خار ًثهسنا ءاقرَلاا حٍيصساوخ
خٞقٞقؾىا ٌٞقىا دار ٜجيغىا ءبقزّلاا خٍٞصسا٘خ ذؽشزقأ ًبػ 2002 حءبفنىاٗ ضَٞٞزىا دذؾر خٍَٖ وٍا٘ػ حذػ .
زّلاا خٍٞصسا٘خ ٜف خقٞقؾىا ٌٞقىا دار ٜجيغىا ءبق
٘ث ع ب ىا فٝشؼر خؽ وضَر ٜزىا ،دبفشبنىاٗ دبّبٞج
٘ث ع ب ،تعبَْىا سبٞزخلاا .خٞقٞقؾىا ٌٞقىا دبّبٞث خؽ ٚىإ ٛدؤٝ ًبر ونشث ٔثبشزىا ٗا خفبغَىا طبٞقى
هٗلأا .خٞقٞقؾىا ٌٞقىا دار ٜجيغىا ءبقزّلاا خٍٞصسا٘خ ٌٞقىا دار ٜجيغىا ءبقزّلاا خٍٞصسا٘خ ٜف ٌٕلااٗ ونش دذؾر ٜزىا خف٘فظَىا خفبغٍ ٜٕ خٞقٞقؾىا فشبنىا
ءبؼف ٜف N
داشزٍٞاسبث حذػ د٘عٗ وؼىٗ .ذؼجىا خٞئبْص
هذؼٝ ،حشطٞع ٍِ
ٓبغر ذٞى٘زىا خٖعاٗ ءادأ شٞصأر
خٍٞصسا٘خىا ٛدؤزى ،خٝضمشٍ خٞىآ ٜٕٗ خف٘فظَىا .بٖزفٞظٗ ٜطؼرٗ
خيٞظؽ حزفَْىا خف٘فظَىا خفبغٍ
دبفشبنىا خٞطغر شٝذقرٗ حذىَ٘ىا دبفشبنىا دذؼى خّٝ٘بص [ 6 .]
2
حٍيصساوخ . دتاش شطق فصَ غي ًثهسنا ءاقرَلاا
ٜٕٗ دشجزخاٗ دزفّ ٜجيع ءبقزّا خٍٞصسا٘خ هٗأ ٜٕ وجق ٍِ دبْٞقزىا خغىبؼٍ ٜف طبعلأا
Gonzalez and Dasgupta 6 .
ُا ا ًٖ٘فٍ دبّبٞجى
زغٝ خقٞقؾىا ٌٞقىا دار وَؼ
شٞغٗ دازىا ءبؼف ضَٞٞزى
دلاَنٍ ٍِ ذؼر دبفشبم خػَ٘غٍ شٝ٘طرٗ دازىا ،دازىا شٞغ ءبؼف ٜطغر ٜزىا خٞئضغىا خفبغَىا دازىا دبْٞػ خػَ٘غٍ ٜٕ خٍٞصسا٘خىا دلاخذٍٗ ع٘ث وضَر ٜزىا ب
خطقّ خؽ N
لىر ذؼث .دبؼثلأا خٞئبْص
ٍِ ٙشخأ خػَ٘غٍ س٘طر ُأ خٍٞصسا٘خىا هٗبؾر شٞغ ءبؼف ٜطغر ؽبقْىا َٚغر ٜزىاٗ دازىا
ذؼرٗ )دبفشبم( خغىبؼَىا هلاخ ٍِ حذٞع خٍٞصسا٘خ
ِٞفذٕ ققؾرٗ ،دبفشبنىا غقاٍ٘ شٝذؾزث ً٘قر ٜزىا دبفشبنىا بَٕ ِٞٞعبعأ ٜزىا
خػَ٘غٍ كشزر ُأ تغٝ
دبفبغٍ كشزر ُأ تغٝ ،دازىا خٞطغزى ،خجزؼىا دبفبغٍ ؽبقّ غَٞع ٜطغر ُا غٞطزغزى ،دبفشبنىا ِٞث خيطبف ازىا شٞغ .د زفْرٗ ءبقزّلاا خٍٞصسا٘خ زٞفْر خٖعاٗ
نىا غٍ خٞقٞقؾىا ٌٞقىا دار ٜجيغىا فظّ دار دبفشب
٘ث أذجٝ ،ذثبص شطق ع
ب داشزٍٞاسبث حذؼى ٌٞق ِٞٞؼر خؽ
ٜزىا فشبنىا خجزػ وضٍ بقثبع شمر بَم ٜٕٗ حشطٞع َٞق وضَر ًب دازىا ِٞث بٍ ضَٞٞر ٜزىا خٞيَؼىا ٜٕٗ خٞقٞقؽ
[ دازىا شٞغٗ 3
.]
1 . ساوخ جشٍغري خافشاك غي ًثهسنا ءاقرَلاا حٍيص
ىجذنا
ٌٞقىا دار ٜجيغىا ءبقزّلاا خٍٞصسا٘خى قٞجطر هٗأ خجزػ خفبغٍ ٚيػ ٛ٘زؾر دبفشبم ذٞى٘ر ٜٕ خٞقٞقؾىا وم ٜف دبفشبنىا ٍِ خػَ٘غَى ذثبص شطق فظّ دار ُأ ِنَٝ دبفشبنىا داضٍٞ ُبف لىر غٍٗ .وؽاشَىا ػشزقا ؽششىا ازٕ صٗبغزر Zhou and Dasgupta
[6] دبٞىآ خقثبطٍٗ دبفشبنىا ذٞى٘زى ًاذٝذع ًبٍبظّ غٍ دبفشبم ذٍذق ٜزىا ٜجيغىا ءبقزّلاا خٍٞصسا٘خ خؽشزقَىا خٍٞصسا٘خىا َِؼزر .حشٞغزٍ ضئبظخ فظّ ٜٕ ،حذٝذع حشٞغزٍ داشزٍٞاسبث ونى شطقىا
زغَىا خجزؼىاٗ ،فشبم يَؼ
خقثبطَىا خفبغَىا وجق ٍِ خ
شطق فظّ دذؾر حذػبقيى ؼػاٗ سبٞخ ٕ٘ٗ فشبنىا
َر ٜزىا دازىا شٞغ خقطٍْ ٜف شظْىا وؼغى ذ
بٖزٞطغر
٘ث ع ب خؽ ىا حشٞغزٍ ُ٘نر ُا ؼعشَىا ٍِٗ دبفشبن
(ونشىا ،ٌغؾىا 2
حشئاد بٍٖذقر ٜزىا خّٗشَىا ؼػ٘ٝ )
[شٞغزٍ شطق فظّ دار 3
.]
فشبنىا ٜجيغىا
ع٘فشَىا فشبنىا ءبؼفىا
( مكش 1 و خازنا ضًٍٍذ ) خازنا شٍغ
ونشىا ؼػ٘ٝ (
2 ) خقٝشطى خٞعبعلأا بٝاضَىا ٍِ ذٝذؼىا
.ٌغؾىا حشٞغزٍ دبفشبنىا زٞفْر ُأ خؾػاٗ حضٍٞ هٗأ
ٍِ دذػ وقأث بٖزٞطغر ِنَٝ دازىا شٞغ خؽبغٍ .دبفشبنىا بٍا
خينشَىا ءبقزّلاا خٍٞصسا٘خ ٜف خٞعبعلأا
،ٜجيغىا ٜٖف ِٞثبٍ خفبغَىا دازىا ؽبقّٗ دبفشبنىا
ٜزىا ِنَٝلا بٖث خؽبؽلاا ٌغؽ دار دبفشبم وجق ٍِ
ونشىا ٜف د٘علأا ُ٘يىبث ؼػٍ٘ ٕ٘ بَم ذثبص ة
( 2 ،)
غٍٗ ىر ل زعبث هبَؼ ٜف بَم حشٞغزٍ ًبغؽئث دبفشبنىا
ونشىا أ( 2 حشٞغط دبفشبم ذٞى٘ر ِنَٝ ) ،
ٜطغزى
دبؽبغٍ حشٞغط
شجما ٜطغر حشٞجنىا دبفشبنىا بَْٞث
ة٘يعأ ٜف ٙشخأ حضٍٞ كبْٕ .دازىا شٞغ ٍِ خؽبغٍ ( ونشىبث شٖظر لا ٌغؾىا حشٞغزٍ دبفشبنىا 2
إ ) بٖى ر
حسذقىا خٞطغزىا ٚيػ حدبٝص ٍِ لاذث
،دبفشبنىا دذػ
ِنَٝٗ أ زع ىبَؼ بٖ بٖفط٘ث .حشطٞع داشزٍٞاسبث
ُا خٞىآ حس٘ظثٗ خٞطغزىا ٚيػ حسذقىا بٖى خٍٞصسا٘خىا
ٗ ٚيػ حسذقىا بٖى شٞف٘ر
سبٞؼٍ خٍٞصسا٘خ .فق٘زىا
بٖى ،خفيزخَىا ًبغؽلأا دار دبفشبنيى ٜجيغىا ءبقزّلاا زّلاا خٍٞصسا٘خى خيصبٍَ فئبظٗ فظّ غٍ ٜجيغىا ءبق
ذثبص شطق بٍَ
شقّ٘ .بقثبع
حٍقٍقذنا ىٍقنا خار ًثهسنا ءاقرَلاا حٍيصساوخ
حٍئاوشؼنا
(RRNS)
:
ٕ خٍٞصسا٘خىا ٓزٕ ٍِ فذٖىا ٘
ٍِ خػَ٘غٍ ذٞى٘ر
شٞغ ءبؼف ٜطغر ٜزىا خَخؼىا خٝٗشنىا دبفبشنىا ( دازىا non-self
ٍِ خٍٞصسا٘خىا ُ٘نزرٗ )
:ِٞزيؽشٍ
:لاوأ
.دبفشبنىا ٍِ خٞىٗأ خػَ٘غٍ ءبشّئث ً٘قر
:اٍَاش
ٚظقأ قٞقؾزى خػَ٘غَىا ٓزٕ غٝص٘ر ِٞغؾر ٓزٕ دلاخذٍ .دازىا شٞغى خؼعا٘ىا خٞطغزىا ٍِ سذق دازىا خػَ٘غٍ ٍِ دبْٞػ خػَ٘غٍ ٜٕ خٍٞصسا٘خىا S1 دازىا خػَ٘غٍ ٜف شٞغزيى ؼَغر ، rself
فظّ ،
فشبنىا شطق rab
داشزٍٞاشجىا خػَ٘غٍٗ ، II
بَم ،
لاا خٞعبعلاا دا٘طخىا ٜف ر
خٍٞصسا٘خى خٞ RRNS
[ 7 .]
RR-Negative-SELACTION(S1 ,rself, rab ,
II )
S1 : set of self samples rself :self variability threshold rab : detector radius
II : additional parameters
1:D CALCULATE-INIT-
DETECTOR-SET(S1 ,rself , rab)
2: D1 OPTIMIZE-DETECTOR-
DISTRIBUTION (D1 ,rab ,S1,rself ) 3: Return D1
ٗ خٍٞصسا٘خىا ٛ٘ؾر لىزى بقفٗ ٞزفٞظٗ ٚيػ
: ٚىٗلاا ِ
(CALCULATE-INIT- DETECTOR) ٜٕ
ءبؼف خَٞقى داشٝذقر ةبغؽ (non-self)
طبزّلا
ٗ دبفبشنىا ٍِ حذٞع خػَ٘غٍ
(OPTIMIZE-DETECTOR-DISTRBUTION) ٜٕ خّٞبضىا
ءبؼف ٜف ٛٗبغزٍ ونشث دبفبشنىا غٝص٘ر
(non-self) .ٌظٍْ ونشث شٖظزى
خافاشكنا دذػ ذٌذذذ
:
ُأ عشفّ Ѵd
ذؽ ٚيػ فشبم ونى خَٞق ٜٕ ح
ُأ عشفّٗ Ѵnon-self
ءبؼف خَٞق (non-self)
ِنَٝ
تٝشقزىا ٚطؼٝ ُأ شٞغ
ىا ع٘ث دبفشبنىا دذؼى قٞقذ ب
:خؽ
…… (1)
ٗ اذع ذٞفٍ تٝشقر ِػ حسبجػ ٕ٘ ازٕ ُأ عؽلاّ ،لىر
ُأ ُبجغؾىبث زخأٝ ّٔلأ ٌغؽ خٞطغر وٞؾزغَىا ٍِ
غؼجث ػبَغىا ُٗد خٝٗشنىا دبفشبنىا ٍِ ً٘يؼٍ ف هبؼف ٘ؾّ ٚيػ وخاذزىبث ؼَع ارإٗ ،وخاذزىا ئ
ّٔ
ٌغؽ ٜطغٝ hyper sphere
فشبنىبث فشؼر ٜزىاٗ
ّٔا ٚيػ ٔفٝشؼر ِنَٝ ٛزىاٗ ،شغطأ خَٞقث ِنىٗ ٜطغٝ ٛزىا ٛذئاضىا تؼنَىا ٜف وغغَىا ٌغؾىا .فشبنىا ظٞئشىا تجغىا وَؼٝٗ
فٝشؼزىا ازٕ سبٞزخلا
( خٞطغزى حششبجٍ خقٝشؽ د٘عٗ n
هبَؼزعبث دبؼثلأا ٍِ )
ٍِ غثاس ذؼث دار دبجؼنٍ خشقبَْيى بقفٗ .دبؾزف ُٗد
ىا هبؼفىا ٌغؾىا ُبف خقثبغىا فشبنىا ٔٞطغٝ ٛز
d غٍ
شطق فظّ حشئاد r
:ٜرلأا ٘ؾْىا ٚيػ فشؼر
Ѵ
d(
√
)
... (2)زعبث هبَؼ ( ِٞزىدبؼَىا 1
(ٗ) 2 ةبغؽ ِنََىا َِف )
شطق فظّ ةبغؽ غٍ فشا٘نىا دذؼى ذٞع تٝشقر دازىا شٞغ خؽبغٍ خٞطغزى خٍصلاىا حشئاد ٗ
خفشؼٍ
[ دازىا شٞغ خؽبغٍ 7
.]
خازنا حػوًجي ىجد باسد
و
خازنا شٍغ
:
ءبقزّلاا خٍٞصسا٘خ ٚىإ هبخدلإا ُبٞؽلأا ٌظؼٍ ٜف ،دازىا خػَ٘غٍ ٍِ خٞػشف خػَ٘غٍ ٜٕ ٜجيغىا بٍَ٘ػٗ ُبف
دازىا ءبؼف ٜف بٖيَمأث ِٝضخزىا حذؽٗ
فٗشؼٍ شٞغ خ
ْجّ ُأ عشف ٚيػٗ ، ٍِ طرَّ٘ا ٜ
دازىا خػَ٘غٍ Š
، ٍِ خػَ٘غٍ بّٖبث فشؼر ٜزىا
دازىا دبْٞػ S1
فٝشؼزىا ازٕ ٜف ٜعبعلأا عاشزفلاا ،
دبْٞؼى ٜفنٝ بَث خجٝشق ُ٘نر ٜزىا شطبْؼىا ذؽا ٕ٘ ذٝذؾر ٌرٗ .دازىا ٘ؾّ ٚيػ فشؼر ٜزىاٗ دازىا ،خجزػ وجق ٍِ ةسبقزىا rself
ّٚدلأا ذؾىا فشؼر ٜزىا
ىجذنا حرتاش خافشاك .ب ىجذنا جشٍغري خافشاك .أ
( مكش 2 خافشاكنا ٍٍتاي حَساقًنا خضوٌ )
ىجذنا حرتاشو جشٍغري
شظْؼىاٗ دازىا دبْٞػ ِٞث بٍ تٝشقزيى x
ُأ ِنَٝ ،
ُ٘نٝ x َّا ٕ٘ٗ دازىا خػَ٘غٍ ٍِ ًاءضع طر٘
دازىا خػَ٘غَى Š
:ٜرلاا ونشىبث فشؼر ٜزىا ،
Š:={x ϵ U Эsϵ S1,||s-x||≤rself}...(3)
فٗشؼٍ ٕ٘ بَمٗ ُبف
شٞغزٍ ؾع٘زَى ذٞغىا شٝذقزىا
ؾع٘زٍ ٜٕ ) بٖيٞظؾر غق٘زَىا خَٞقىا( ٜئا٘شػ ـى هذؼَىا ًذخزغّ ف٘ع ازى دبْٞؼىا خػَ٘غٍ { Xŝ(xi){i=1…m شٝذقزىا ٜفٗ
Ѵŝ ازىا خَٞقى د
∑
... (4) Ѷŝ=
شٝذقزىا فٝشؼر أضغزٝ
ؾع٘زٍ ةبغؽ قٝشؽ ِػ
ٜزٍّ٘ وٍبنر ٜف بَم خٞئا٘شػ دبْٞػ ٍِ خػَ٘غٍ غٍ عسبؼزٝ ة٘يعلأا ازٕ ٜف خٞعبعلأا حضَٞىا ٘ىسبم تٞىبعلأا شٞغ
ٙشخلأا خٞىبَزؽلاا إ
أ ر ِنََىا ٍِ ّٔ
ىا ةبغؽ ذَ ٍِ خيطبفىا ح ٜعبعلأا شٝذقزىا ٜف خقضىا
زغٍ خيَؼ ( central limit theorem )
را ِنََىا ٍِ
ةبغؽ ذٍ زعبث خقضيى ح هبَؼ
خٝضمشَىا خٝبْٖىا خٝشظّ
ٗ [ ٍْٜضىا وطبفىا ازٕ ةبغؽ ِنََىا ٍِ 7
: ]
Pr(| | √ ) … (5)
ٜرأٝ بَٞفٗ ٌٞقىا دار ٜجيغىا ءبقزّلاا خٍٞصسا٘خ
خٞئا٘شؼىا خٞقٞقؾىا (RRNS)
CALCULATE-INIT-DETECTOR-SET(S1 , r self ,
ϵmax ,init-iter)
S1:set of self samples
rself :self variability threshold ϵmax : : maximum allowed error mmin : initial number of iteration rab: detector radius n : dimension of the self/non-self space 1: num_hits ← 0
2: m ← 0 3: Repeat 4: m ← m + 1
5: x ←uniformly distributed random sample from [1, 0]n
6: y ←NEAREST-NEIGHBOR(S1, x)
7: If ||x-y|| ≤ rself
8: Then num_hits ← num_hits + 1 9: EndIf
10:Ŵŝ←
11: ϵ←3√
12: Until m ≥ mmin and ϵ≤ϵmax
13: numab⌊
(
√ )
⌋
14:rab . 15: D ←ᶿ 16: Repeat
17: x ←uniformly distributed random sample from [1, 0]n
18: y ←NEAREST-NEIGHBOR(S1,x) 19: If ||x-y|| ≥ rself
20: Then D ← D ∪ {x} 21: EndIf
22: Until |D| = numab 23: Return D
ًثهسنا ءاقرَلاا حٍيصساوخ ٍساذي
:
زعا تجع غعشٝ هبَؼ
حذؼى ٜجيغىا ءبقزّلاا خٍٞصسا٘خ
بٍْٖ ِعبؾٍ [6]
:
3 ) حثٌشغنا خلااذنا ٍػ فشكنا
ظْٖىا ازٕ ُأ ٜٕ خيئبٖىا داضَٞىا ٙذؽإ
ىا حربشىا دلابؾىا فشؼٝ لا سذؾزغَىا ٌزٞى ،حدذؾَ
ٗ ،بْٖػ فشنىا ٌص ٍِ
خقجغٍ خفشؼٍ تيطزٝ لا ّٔئف
حربشىا دلابؾىبث .
حسدبق ُ٘نر ُأ بٖى ؼَغر حضَٞىا ٓزٕ
ٌى ٜزىا خٕ٘جشَىا خجٝشغىا دلابؾىا ِػ فشنىا ٚيػ .وٞضٍ بٖى قجغٝ
2 ) نا جسذقنا فٍكرنا ىهػ حٍناؼ
بٖػّ٘ ٍِ حذٝشف دبفشبنىا ٍِ خخغّ وم ُأ بَث خقثبطٍ فٞؼٍ ونى ِنََىا ٍِ ّٔبف ازى خيقزغٍٗ ٌٖربعبٞزؽلا بقفٗ دبفشبنىا ٍِ خطبخىا ٌٖزخغّ وٞغشزىا خئٞث ٗ خطبخىا .
1 ) حٍهذًنا و حػصوًنا خافشاكنا ٍٍت اي غًجنا
ٗ .بٞيؾٍ ٗ بػصٍ٘ فشبنىا ُ٘نٝ ،لىر ِػ لاؼف ٚيػ ؾقف ٛ٘زؾٝ ذؽا٘ىا فشبنىا ُبف ٙشخأ حسبجؼث غَٞع فط٘ى خٍصلاىا ؽبَّلأا ٍِ خٞػشف خػَ٘غٍ ًبظْىا ٍِ حشٞغط ءاضعأ تقاشرٗ ،خٕ٘جشَىا دلابؾىا ؾقف ، ٍِ خٕ٘جشَىا دلابؾىا ضَٞٝ فشبم وم ُبف لىزى
ٔجقاشٝ ٛزىا ًبظْىا ٍِ شٞغط ٌغق ؾقف
ضٞخشر ٌزٝٗ ،
بٖيَمأث خٞؼٞجطىا شٞغ دلابؾىا ٍِ خػَ٘غٍ وجق ٍِ
.خيقزغَىا فشنىا ظئبزّ ف ،لىر ِػ لاؼف
أ ازٕ ُ
خّبزٍ شف٘ٝ خٞيؾَىا دبفشبنىا ٔزػصٗ ٛزىا فشنىا .ًبظْىا وخاد
ًثهسنا ءاقرَلاا حٍيصساوخ ئواسي
:
3 ) ذئاص ًتاسد دقو Excessive Computing time
خٞثبغؾىا دبقٗلأا ٜٕ خَٕٞأ شضملأا خينشَىا دبفشبم ءبْجى ٜئا٘شؼىا وٞغىا ظّٖ ِػ خَعبْىا حذئاضىا ٜثبغؾىا ذٖغىا ٍِ ٜعأ َّ٘ ٜف ظئبزْىا ٓزٕ .خؾىبط .ٜرار ؽبَّأ ٌغؽ غٍ
2 ) اقثسي اهذٌذذذ ةؼصٌ خافشاكنا دذػ
بٍ فشؼّ ُأ اذع تؼظىا ٍِ ّٔئف ،لىر ِػ لاؼف
ٍِ دذػ ُبم ارإ ىا
فبم شٞجم ٌغؾث دذىٗ دبفشبن
ْٔنَٝ ٍِ .فشنىا ءبؼف خٞطغر
خاَاٍت حػوًجي
NSL-KDD
:
دبّبٞث ذؽشزقا NSL-KDD
وجق ٍِ ( Tavallaee
et al. .)
ذؼرٗ دبّبٞث ٍِ خىضزخٍ خخغّ KDD
بٖغفّ دبّبٞجىا داضٍَٞ ٍِ فىأزرٗ خٞيطلأا KDD99 هبظرا وغع وم ٜف ٛ٘زؾر ٜزىا
ٙذؽإ ٚيػ ازٕ وٕ ؼػ٘ٝ ُاْ٘ػ غٍ حضٍٞ ِٞؼثسأٗ
عاّ٘أ ٍِ عّ٘ ٗأ ،ٛدبٞزػأ هبظرا ٕ٘ هبظرلاا سلاصٗ خَٞقس حضٍٞ ُ٘صلاصٗ ُبَص كبْٕٗ ،دبَغٖىا [ خٝضٍس داضٍٞ 8،9
.]
حبمبؾٍ ُ٘نٝ ُأ ِنَٝ وفطزىا فشم خينشٍ ٜف ظغغزىا :خٞرٟا خؼثسلأا فبْطلأا َِػ ً٘غٖىا ( probe ( خٍذخىا غٍْ ،) DoS
) Denial of
Service ه٘ط٘ىا ،
سزع ٙ٘زغٍ ٚىإ ه٘خٍ شٞغ
( خٞؾؼىا خجعبؽ U2R
) User to Root ه٘ط٘ىا ،
شٞغ ىا ( ذؼث ِػ ه٘خَ R2L
) Remote to Local
[ 8،9 .]
حشرقًنا واظُنا حٌساًؼي
:
( ونش ػشزقَىا ًبظْىا ُ٘نزٝ 3
:ٜٕٗ ءاضعا حذػ ٍِ )
3 . حٍنولأا حجناؼًنا
دبّبٞجى خؼعٍ٘ خعاسد ذؼث وٝ٘ؾزىا خٞيَػ ذَر بٕدذػ غىبجىا تٝسذزىا 25191
بظرا وغع ه
ُبمٗ
ٌٞقىا وٝ٘ؾر بٍْٖ فذٖىا شٞغ
ىا خٞقٞقؽ ًبقسأ ٚىإ خَٞقش
( دبفظىا ٌٞق ذّبنف Protocol Type ,Server
) ذق
ٌٞق ٚىإ ذىُّ٘ؽ خٞقٞقؽ
ذٞؽ٘ر ٌص شٍلأا خٝاذث ٜف .
بٖغٞط ٍِ ذى٘ؽ رأ هبظرا وقؽ ونى دبّبٞجىا ٚىإ خفيزخَىا لار ٜنى ،خٞقٞقؾىا داذػلأا خغٞط
ئ ٌ
.دلابخدلإا زىا ذٞؽ٘ر ٌر لاا خقٝشطىبث ٌٞقىا ٓزٕ غٍ وٍبؼ
ر لاضٍ :خٞ
ُ٘نزٝ Protocol Type) ٜٕ ٌٞق سلاص ٍِ )
( TCP,UDP,ICMP ٌٞقىبث ٌٖيٞضَر )
( 1.0,2.0,3.0 .ٜىا٘زىا ٚيػ)
خٍذخىا خفط بٍأ Service
ٛ٘ؾزف ٚيػ 66 خَٞق
ٜٕ ًاساشنر بٕشضمأ ا
ـى private ٜٕ ًاساشنر بَٖٞق وقاٗ
ا ـى Time_i وقلأا ٍِ بؼٝأ ذجرشُف ٌٞقىا ٜقبث بٍأ .
لاذث خٞقٞقؽ ٌٞق ذٞطػُأٗ ًاساشنر شضملأا ٚىإ ًاساشنر ٍِ
ذؾَْف ،خٝضٍشىا ىا
ًاساشنر وقلأا ٌٞق ث
خَٞق ( 1.0 )
اساشنر شضملأاٗ (66.0)
.
2 . لاخدإك جسارخًنا خاَاٍثنا
خػَ٘غٍ ُ٘نزر دبّبٞث
NSL-KDD دلاغع ٍِ
ٍِ ُ٘نزر ٜزىا خٞىٗلأا هبظرلاا خنجش سٗشٍ خمشؽ 41 وقؾىا ِػ فيزخر خطبخ دبَع وقؽ ونىٗ ًلاقؽ
.غٍٞبغٍ غثسأ ٚىإ ه٘قؾىا ٓزٕ فْٞظر ِنَٝٗ شخلأا
:ىنولأا حػوًجًنا
ه٘قؽ 7 ,5 ,4 ,0 ه٘قؾىا ٓزٕ
ٜٖف ،هبظرلاى خٞعبعلأا ضئبظخىا ٜٕ دبقٗا
وقّ
ّٜبَص ٌغؾث ه٘قؾىا وٕبغزّ شٞؽ .دبزث
6 , 3 , 2 ,
1 .هبظرلاا دلابغٍ ٜف
:حٍَاصنا حػوًجًنا
ه٘قؾىا 19-10 ٜٕ ه٘قؾىا ٓزٕ
لا ٌٞقىا ٓزٕ ،سٗشَىا خمشؽ داضٍٞ ذغٞى غقا٘ىا ٜف دلاغع خؼعاشٍ هلاخ ٍِ بٖٞيػ ه٘ظؾىا ِنَٝ سٗشَىا ى
دبّبٞجىا وٞغغزى خعبؽ كبْٖف ،بٕذؽ٘
.فٞؼَىا حذػبغَث
:حصناصنا حػوًجًنا
ه٘قؾىا ٜٕ 30-22
ه٘قؾىا ٓزٕ ،
ٚيػ ادبَزػا سٗشَىا خمشؾى ٜعبعلأا ذق٘ىا ٜٕ ٜف سٗشٍ خمشؽ ٚيػ حد٘عَ٘ىا داءبظؽلإا داضٍٞ ُاْ٘ػ ةبغؽ ٚىإ ذْزغر شٞؽ ِٞزّٞبص IP
سذظَيى .
:حؼتاشنا حػوًجًنا
ه٘قؾىا ٜٕ 40-31
ٗ ٔجشر
اذػبٍ خضىبضىا خػَ٘غَىا ّٔا
ُاْ٘ػ ةبغؽ ٌزٝ IP
فذٖىا ٚىإ ٔعَ٘ىا [6]
. غثسلأا غٍٞبغَىا هلاخ ٍِ
ؼٍ دبغٝأ ٌزٝ ،فشنىا هذ
زعا ذْػ خطبخ حس٘ظثٗ ؼ
َ هب خػَ٘غَىا ه٘قؽ
هذؼٍ دادضٝ شٞؽ ،خؼثاشىا خػَ٘غَىا ٗأ خضىبضىا
خاَاٍثهن حٍنوأ حجناؼي Preprocessing
غٍثطرنا حغٍص ىنا مٌوذرنا Normalization
دبٍ٘يؼَىا خئٖٞر حذؽٗ دبّبٞث هبخدا
NSL-KDD
تٝسذزىا
سبجزخلاا
خاَاٍت
ُضخىا حذؽٗ
خافشاكنا ٌضخ جذدو torage
تٝسذزىا حذؽٗ
وٞيؾزىا حذؽٗ
فشنىا حذؽٗ
ساثرخلااحٍهًػ ووجه
ًؼٍثط
قؽ دشٞزخأ بْثسبغر ٜف .فشنىا خضىبضىا خػَ٘غَىا ه٘
ِػ لاؼف ه٘قؾىا سبٞزخا
3 , 2 , 1
[ 6 .] لاؼف
ِػ خيٍبنىا دبّبٞجىا قٞجطر ٔؼػ٘ث
لابخدإ ًبظْى شخأ
ٛا ػشزقَىا فشنىا 41
.هبظرا وقؽ
1 . غٍثطرنا قئاشط
هبظرلاا دلاغع ٌٞق ؼٞؾظر خٞيَؼث بَْق ُإ ذؼث
دبّبٞث ٜف NSL-KDD
ًبٞقىا تغٝ خٞقٞقؽ ٌٞق ٚىإ
ـىا غٞجطزىا دبٝشظّ قٞجطزث Normalization
ٚيػ
.دبفبشنىا ِٝ٘نر خيؽشَى حضٕبع ُ٘نر ٜنى ،دبّبٞجىا هبغَىا ازٕ ٜف خقجطٍ قئاشؽ حذػ كبْٕ وضٍ ،
MIN-MAX ،
Scaling ،
Logarithmic ذقٗ
زعا يَؼ فيزخٍ ٚيػٗ ِٞضؽبجىا ٍِ دلابغٍ حذػ ٜف ذ
[ دبّبٞجىا عاّ٘أ 10
]
ًًرٌساغوهنا غٍثطرنا Logarithmic Normalization
ِٞث حس٘ظؾٍ ٌٞقث غٞجطزىا خغٞط ٜطؼر خقٝشطىا ٓزٕ شغطا ٚىا ٌٞقىا شٞغظر بٍْٖ فذٖىاٗ ذؽا٘ىاٗ شفظىا ٓزٖى ةبغؾىا خغٞطٗ ،خٝشظْىا ٓزٕ قٞجطزى خغٞزّ ءٜش :ٜٕ خَٞقىا =غٞجطزىا خغٞظث حذٝذغىا خَٞقىا
خَٞقىاخٞىبؾىاخفظيى ٌزٝسبغ٘ى
ٌزٝسبغ٘ى
(... 6 )
َٜزٝسبغ٘يىا غٞجطزىا ُأ خقثبغىا ةسبغزىا ذزجصأ ٙشخلأا قئاشطىا ٍِ قٞجطزىا ٜف وؼفأ ظئبزّ ٜطؼٝ .شؾجىا ازٕ ٜف بٕدبَزػا ٌر ازى ،غٞجطزيى
رسات مفطرنا فشك واظَ ىًٍصذ
لاًؼ
:ًثهسنا ءاقرَلاا حٍيصساوخ
ّ وَؼٝ سا٘ؽأ خصلاضث ػشزقَىا فشنىا ًبظ :ٜٕ:لولاا سوطنا
دازىا دبّبٞث ذٝذؾر شظبْر ٜزىا
سبجزخلااٗ تٝسذزىا دبّبٞث ٜف ٜؼٞجطىا طرَّ٘لأا NSL-KDD دازىا شٞغ دبّبٞث ذٝذؾرٗ .
شظبْر ٜزىا
دبّبٞث ٜف ً٘غٖىا دلاغع NSL-KDD
.
:ًَاصنا سوطنا
قٍ خٞئا٘شػ دبفشبم ذٞى٘ر وم ٚىإ خّسب
دازىا هبنشأ ٍِ ونش خٖعا٘ىا ٜف فشؼٝ ٛزىا
رإ .ٚىٗلأا ا
ُ ونش قثبطٝ بٞئا٘شػ ذىٍ٘ ونش ٛأ ونشىا ازٕٗ بفشبم ُ٘نٝ ُأ ٜف وشفٝ ف٘ع دازىا
.ًبفشبم ؼجظٝ ف٘ع لىر اذػ بَٞف .ػاضُٝ ف٘ع
سناصنا سوطنا
زعبث ًبظْىا ً٘قٝ : هبَؼ
دبفشبنىا
شٕبظىا رٗزشىا ذٝذؾزى ،تٝسذزىا خٞيَػ ٍِ حذىَ٘ىا ذْػ شٝزؾر وئبعس ساذطإٗ هبظرلاا دلاغع ٜف .ٔفبشزما
مداشي
فشكن ًثهسنا ءاقرَلاا حٍيصساوخ
مفطرنا
:
ذٞى٘ر ٜجيغىا ءبقزّلاا خٍٞصسا٘خ ٍِ عشغىا ًادبَزػا دبفبشنىا ٍِ خػَ٘غٍ خػَ٘غٍ ٚيػ
ٍِ خٝدبٞزػلاا دلابظرلاا طربَّ ضَٞر ٜزىا تٝسذزىا .حربشىا دلابظرلاا
3 . ةٌسذرنا حهدشي Training Stage
تٝسذزىا خيؽشٍ ُ٘نزر (
ونشىا ٜف بَم 4
) حذػ ٍِ
دبٞيَػٗ دا٘طخ :
1 . هبخدإ تٝسذزىا طربَّ
طبزؾر ًبظْىا ٚىإ خيخاذىا تٝسذزىا طربَّ خػَ٘غٍ ُأ .دبّبٞجىا غٞجطرٗ ،خغىبؼٍ خٞيَؼث ًبٞقىا ٚىإ را
وم
( ٍِ ُ٘نزٝ تٝسذر طرَّ٘أ 41
ٌعأ ٛ٘ؾٝ حضٍٞ )
زٝبّٖ ٜف ً٘غٖىا .ٔ
دلاخذَىا ٍِ خػَ٘غٍ كبْٕ
ٜٕٗ : S1 دازىا دبْٞػ خػَ٘غٍ ،
Rself
خجزؼىا ، Rab
دبفشبنىا شطق فظّ ،
max
€ ءبطخىا ساذقٍ ٗ ،
n
.دازىا شٞغٗ دازىا ءبؼف 2 .دازىا شٞغٗ دازىا خػَ٘غٍ صشف .
3 .ة٘يطَىا ٙذَىا َِػ دبفشبنىا ذٞى٘ر .
4 .خٝذٞيقلاا خىدبؼَىا قجطّ .
5 . خجزؼىا ؽشش غٍ خّسبقَىا .
6 .خث٘يطَىا دبفشبنىا دذػ دبغٝإ .
7 شطق فظّ دبغٝا . .فشبنىا
8 . ُضخ دبفشبنىا خٞئبْٖىا
.
2 . ساثرخلاا حهدشي Testing Stage
ٚيػ ه٘ظؾىاٗ تٝسذزىا خيؽشٍ ٍِ ءبٖزّلاا ذؼث دبفشبنىا ونش( سبجزخلاا خيؽشٍ أذجر
5 ) م :ٜرلاب
1 . إ هبخد سبجزخلاا طربَّ خػَ٘غٍ NSL-KDD
بٕدذػ غىبجىاٗ 22544
وقؽ .هبظرا
2 . خػَ٘غٍٗ دبفشبنىا ِٞثبٍ قثبطر وَػ دازىا
.
3 . خٝذٞيقلاا خىدبؼَىا قٞجطر ،
دازىا دذػ دبغٝا
( مكش 4 حٍيصساوخ :) ةٌسذرنا حهدشي
. Count=0,
Euclidean No-of-Nonself=0,
Select best detector No-of –Self=0 Testing data, Detectors
Start
Ifi=Self max size No-of –Self increment,
Increment FP If ‖xi-yi‖ ≤ rself
Y=NEAREST – NEIGHBOR(S1,x)
Euclidean
Y=NEAREST – NEIGHBOR(S1,x)
If ‖xi-yi‖ ≥ rself
IncrementNo-of –Nonself, Increment TP No-of –Nonself
If k = Nonself max
Detection rate, False alarm
If count=(Self)&(Nonself)
END
( مكش 5 حٍيصساوخ :) ساثرخلاا حهدشي
.
Ŵŝ= , ϵ=3√ X = uniformly distributed random sample from
[1.0]n
Y=NEAREST – NEIGHBOR(S1,x)
if‖xi-yi‖≤rself
Euclidean
Increment initial number of iterations Star
t
S1:set of self samples, €
max: maximum allowed
error, rself: self-variability threshold, mmin: initial
number of iterations, rab: detector radius,
n:dimention of the self/non-self Training sample, Num_hist=0
if i<=Self set size Increment Num_histincrement
If(m<min & error>€max)
rab, Number of detectors
Euclidean
X = uniformly distributed random sample from [1.0]n
Y=NEAREST – NEIGHBOR(S1,x)
If‖xi-yi‖≥rself
Generate random detector
If detector size=Self max size
جضجًُنا بساجرنا
:
زعبث ًبظْىا زفُّٗ قجُؽ هبَؼ
ةسبش ٜع ها٘غف خغى
(Visual C# 2010) خئٞث ذؾر وَؼر خجعبؽ ٚيػ
وٞغشزىا (Microsoft Windows 7) ٚيػ ٛ٘زؾرٗ
بَٖغؽ حشمار .4.00GB
ظىبؼٍٗ TM )
i5-3210M [email protected]) (Intel(R) Core . 3 . ىنولأا حتشجرنا وفطزىا فشم خَظّأ سبجزخأٗ تٝسذزى بٞيَػ ذقجؽ دبّبٞث ٚيػ خََظَىا NSL-KDD زعبث هبَؼ 41 دبّبٞث هبخدئث ً٘قّ تٝسذزىا خيؽشٍ ٜف .هبظرا وقؽ NSL-KDD تٝسذزيى زعبث هبَؼ 41 ،هبظرا وقؽ ؼّ زثبص خَٞق ٜط خ ( خجزؼيى threshold ،) 10 حشٞغزٍ ٌٞق (فشبنىا شطق فظْى detector radius
لوذج ( 3 حهدشي مك ًف خلاخذًنا ىٍق خضوٌ ) حتشجرهن ساثرخلاا جئارَو ةٌسذذ
ىنولاا لاًؼرسات 43
مقد
لاصذا .
FAR DR
number of directors Detector radius
Threshold(rself) #Exp.
(numab)resut (numab)in
(rab) result (rab) in
0.003198 0.992145
400 400
0.40311 1
0.02 1
0.17543 0.824561
399 400
0.035355339 2
0.02 2
0.53634 0.46365
399 400
0.035355339 2.5
0.02 3
0.1328 0.86716
399 400
0.035355339 0.9
0.02 4
0 1
399 400
0.035355339 0.8
0.02 5
0.0001 0.9999
399 400
0.035355339 0.7
0.02 6
0.44862 0.55137
399 400
0.035355339 0.6
0.02 7
0.25313 0.74686
399 400
0.035355339 0.5
0.02 8
0 1
399 400
0.035355339 0.4
0.02 9
0.062656 0.937343
399 400
0.035355339 0.3
0.02 10
( مكش 6 ( ٍٍت اي حقلاؼنا ططخي ) rab
(و ) DR )
لاًؼرسات 43
لاصذا مقد .
( مكش 7 ( ٍٍت اي حقلاؼنا ططخي ) rab
(و ) FAR )
لاًؼرسات 43
لاصذا مقد .
( مكش 8 ( ٍٍت اي حقلاؼنا ططخي ) numab
(و ) DR )
لاًؼرسات 43
لاصذا مقد .
( مكش 9 ( ٍٍت اي حقلاؼنا ططخي ) numab
)
(و FAR ) لاًؼرسات 43
لاصذا مقد .
( لوذج 2 حٍَاصنا حتشجرهن ساثرخلاا جئارَو ةٌسذذ حهدشي مك ًف خلاخذًنا ىٍق خضوٌ ) لاًؼرسات
43 مقد
لاصذا
FAR DR
number of directors Detector radius
Threshold(rself)
#Exp. (numab)
result (numab)in
(rab) result (rab)
in
0.00786 0.991729
900
900
0.02357022
1 0.02
1
0.22082 0.779171
800
800
0.025
1 0.02
2
0.03285 0.96714
700
700
0.02672612
1 0.02
3
0.5536 0.4463
597
600
0.0288675
1 0.02
4
0.88577 0.11422
499
500
0.03162277
1 0.02
5
0.003198 0.992145
400
400
0.40311
1 0.02
6
0.0001 0.9999
300
300
0.0408248
1 0.02
7
0.025 0.975
200
200
0.05
1 0.02
8
0.0001 0.9999
99
100
0.0707106
1 0.02
9
1 2 3 4 5 6 7 8 9 10
DR 1111111011 numab0000000000
0 0.5 1 1.5
DR
numab
1 2 3 4 5 6 7 8 9 10
FAR 0000000100 numab0000000000
0 0.2 0.4 0.6
FAR
( مكش 31 ( ٍٍت اي حقلاؼنا ططخي ) rab
(و ) DR )
لاًؼرسات 43
.لاصذا مقد
( مكش 33 ( ٍٍت اي حقلاؼنا ططخي ) rab
(و ) FAR )
لاًؼرسات 43
.لاصذا مقد ( مكش
32 ( ٍٍت اي حقلاؼنا ططخي ) numab
)
(و DR ) لاًؼرسات 43
.لاصذا مقد
( مكش 31 حقلاؼنا ططخي ) ( ٍٍتاي
numab )
(و FAR ) لاًؼرسات 43
.لاصذا مقد
( لوذج 1 حتشجرهن ساثرخلاا جئارَو ةٌسذذ حهدشي مك ًف خلاخذًنا ىٍق خضوٌ ) حصناصنا
لاًؼرسات 32
لاصذا مقد
FAR DR
number of directors Detector radius
Threshold(rself)
#Exp. (numab)
result (numab)in
(rab) result (rab) in
0.0034 0.99552
400 400
0.15411035 1
0.0005 1
0.00554 0.98791
400 400
0.15411036 2
0.0005 2
0.0486 0.9139
400 400
0.15411037 3
0.0005 3
0.00036 0.99941
400 400
0.15411038 4
0.0005 4
0.00036 0.99941
400 400
0.15411039 0.9
0.0005 5
0.05144 0.94002
400 400
0.15411040 0.8
0.0005 6
0.00175 0.95889
400 400
0.15411041 0.7
0.0005 7
0.00167 0.99652
400 400
0.15411042 0.6
0.0005 8
0.004 0.996
400 400
0.15411043 0.5
0.0005 9
0.0031 0.9846
400 400
0.15411044 0.4
0.0005 10
( مكش 34 ( ٍٍت اي حقلاؼنا ططخي ) rab
(و ) DR )
لاًؼرسات 32
لاصذا مقد .
( مكش 35 ( ٍٍت اي حقلاؼنا ططخي ) rab
(و ) FAR )
لاًؼرسات 32
لاصذا مقد .
1 2 3 4 5 6 7 8 9
DR 1 1 1 10.10.410.81 rab0.10.100.40 0 0 0 0
0 0.5 1 1.5
DR
rab
1 2 3 4 5 6 7 8 9
FAR 0 0 0 0 1 1 0 0 0 rab 0 0 0 0 0 0 0 0 0
0 0.5 1
FAR
rab
12 3 4 5 6 7 8 9 10
DR 111100111
numab 100001111 0 0.5 1 1.5
DR
numab
1 2 3 4 5 6 7 8 9 10
FAR 0 0 0 00.90.600.20 numab 10.20.30.40.50.60.70.80.9
0 1 2
FAR
numab
1 2 3 4 5 6 7 8 9
DR 1 1 10.91 10.91 1 rab0.20.20.20.20.20.20.20.20.2
0 0.5 1 1.5
DR
rab
1 2 3 4 5 6 7 8 9
FAR 0 0 00.10 0 0 0 0 rab 0.20.20.20.20.20.20.20.20.2
0 0.1 0.2
FAR
( مكش 36 ططخي ) ( ٍٍت اي حقلاؼنا
numab )
(و DR ) لاًؼرسات 32
.لاصذا مقد ( مكش
37 ( ٍٍت اي حقلاؼنا ططخي ) numab
)
(و FAR ) لاًؼرسات 32
لاصذا مقد .
( لوذج 4 حتشجرهن ساثرخلاا جئارَو ةٌسذذ حهدشي مك ًف خلاخذًنا ىٍق خضوٌ ) حؼتاشنا
لاًؼرسات 32
لاصذا مقد
FAR DR
number of directors Detector radius
Threshold(rself)
#Exp. (numab)
result (numab)in
(rab)result (rab)in
0.0074 0.9896
900 900
0.102740 0.4
0.0005 1
0.002 0.998
800 800
0.108972 0.4
0.0005 2
0.001 0.999
700 700
0.116496 0.4
0.0005 3
0.1150 0.88302
600 600
0.125830 0.4
0.0005 4
0.08630 0.91305
500 500
0.137840 0.4
0.0005 5
0.00231 0.94277
400 400
0.154110 0.4
0.0005 6
0.00025 0.9919
300 300
0.177951 0.4
0.0005 7
0.05112 0.91111
200 200
0.217944 0.4
0.0005 8
0.0395 0.9220
100 100
0.308220 0.4
0.0005 9
( مكش 38 ( ٍٍت اي حقلاؼنا ططخي ) rab
(و ) DR )
لاًؼرسات 32
لاصذا مقد
.
( مكش 39 ( ٍٍت اي حقلاؼنا ططخي ) rab
(و ) FAR )
لاًؼرسات 32
لاصذا مقد .
( مكش 21 ( ٍٍت اي حقلاؼنا ططخي ) numab
)
(و DR ) لاًؼرسات 32
لاصذا مقد .
ش ( مك 23 ططخي ) ( ٍٍت اي حقلاؼنا
numab )
(و FAR ) لاًؼرسات 32
لاصذا مقد .
1 2 3 4 5 6 7 8 9 10
DR 1111111111 numab 0000000000
0 0.5 1 1.5
DR
numab
1 2 3 4 5 6 7 8 9 10
FAR 0 0 0 00.10 0 0 0 0 numab0.40.40.40.40.40.40.40.40.40.4
0 0.2 0.4 0.6
FAR
numab
1 2 3 4 5 6 7 8 9
DR 1 1 1 1 1 1 1 1 1
rab 0 0 0 0 0 0 0 0 0
0 0.5 1 1.5
DR
rab
1 2 3 4 5 6 7 8 9
FAR 0 0 0 0 0 0 0 0 0
rab 0 0 0 0 0 0 0 0 0
0 0.2 0.4
FAR
rab
12 3 4 5 6 7 8 9 10
DR 1 11 1 11 1 11
numab 0 00 0 11 1 11
0 0.5 1 1.5
DR
numab
1 2 3 4 5 6 7 8 9 10
FAR 0 0 0 0 0 0 0 0 0
numab 0 0 0 0 1 1 1 1 1
0 0.5 1
FAR
: سداصًنا
[1]Aldabagh N. and Ali I., 2011. Designand implementation of artificial immune system for detecting flooding attacks, High Performance Computing and Simulation (HPCS), International Conference on 08/2011. [2]Al-Enezi J. R.; Abbod M. F. and
Alsharhan S., 2010. Artificial Immune System –Models ,Algorithm and Application, Electric and Computer Engineering Department: School of Engineering and Design, Bronal University ,UK, Computer Science Department ,Golf University for Science and Technology Hawalli ,32093,Kuate.
[3]Dixon Shane E., 2010. Studies on Real-Valued Negative Selection Algorithm for Self-Non Self Discrimination, In Partial Fulfillment of The Requirements for The Degree Master of Science in Electrical Engineering, California Polytechnic State University, San Luis Obispo. [4] Rizwan, R. and Khan A. F., 2012.
Artificial Immune System for Anomaly Detection in Wireless Sensor Network, ICARIS Conference Program, IVSL.
[5]Al-Anezi M. and Aldabagh N., 2011. An Immune Inspired Multilayer IDS, InternationalJournal ofComputer Science and Information Security, Vol. 9 No. 10, Paper 30091144, pp. 30-39.
[6]Forrest S.; Allen L.; Perelson A. and Cherukuri R., A Change-Detection Algorithm Inspired by the Immune System, Submitted to IEEE
Transactions on Software
Engineering, 1995.
[7]Gonzalez F., Dasgupta D. and Nifio L. F., 2003. A Randomize Real-Valued Negative Selection Algorithm, Depto de ing. De Sistemas, Universidad Nacional de Colombia, Bogota, Colombia, Division of Computer Science , The University of Memphis , Memphis TN 38152, IVSL.
[8]Ibraheem,N.; Jawhar, M. and Osman,
H., 2013. Principle Components Analysis and Multi Layer Perceptron Based Intrusion Detection System, AL-Rafidain Journal of Computer Sciences and Mathematics, Volume: 10 Issue: 1 Pages:127-135.
[9]Dhanabal L. and Shantharajah S., 2015. A Study on NSL-KDD Dataset for Intrusion Detection System Based on Classification Algorithms, International Journal of Advanced Research in Computer and Communication Engineering, Vol. 4, Issue 6, Pages 446-452.
Developing an Immune Negative Selection Algorithm for
Intrusion Detection in NSL-KDD data Set
Mafaz Mohsin Khalil Alanezi*
Alaa’ Hazim Jar Allah**
*Computer Sciences Department, College of Computer Sciences & Mathematics, University of Mosul.
**College of Administration & Economics, University of Mosul.
Received 28/9/ 2015 Accepted 5/11/ 2015
Abstract:
With the development of communication technologies for mobile devices and electronic communications, and went to the world of e-government, e-commerce and e-banking. It became necessary to control these activities from exposure to intrusion or misuse and to provide protection to them, so it's important to design powerful and efficient systems-do-this-purpose.
It this paper it has been used several varieties of algorithm selection passive immune algorithm selection passive with real values, algorithm selection with passive detectors with a radius fixed, algorithm selection with passive detectors, variable- sized intrusion detection network type misuse where the algorithm generates a set of detectors to distinguish the self-samples.
Practical Experiments showed the process to achieve a high rate of detection in the system designer using data NSL-KDD with 12 field without vulnerability to change the radius of the detector or change the number of reagents were obtained as the ratio between detection (0.984, 0.998, 0.999) and the ratio between a false alarm (0.003, 0.002, 0.001). Contrary to the results of experiments conducted on data NSL-KDD with 41 field contact, which affected the rate of detection by changing the radius and the number of the detector as it has been to get the proportion of uncovered between (0.44, 0.824, 0.992) and the percentage of false alarm between (0.5, 0.175, 0.003).
