Un nuevo enfoque para la deteccin de intrusos utilizando Redes Neuronales Artificiales y conjuntos

de lgica difusa
Wang Gang, Jinxing Hao, Ma Jian, Huang Lihua




I N F O R M A C I N D E L
A R T C U L O

Palabras Clave:
Sistemas de deteccin de intrusos
Redes Neuronales Artificiales de
agrupamiento difuso
R E S U M E N

Muchas investigaciones han argumentado que las Redes Neuronales Artificiales (ANN) pueden mejorar el
rendimiento de los sistemas de deteccin de intrusos (IDS), en comparacin con los mtodos tradicionales. Sin
embargo, para IDS basado en ANN,la precisin en la deteccin, especialmente para ataques de baja frecuencia, y la
estabilidad de deteccin siguen siendo necesarios de mejorar. En este trabajo, proponemos un nuevo enfoque,
denominado FC-ANN, basado en ANN y conjuntos de lgica difusa, para resolver el problema y ayudar a los IDS a
lograr una mayor tasa de deteccin, disminuir la tasa de falsos positivos y mejorar la estabilidad. El procedimiento
general de un FC-ANN es como sigue: primero se usa la tcnica de conjuntos de lgica difusa para generar
diferentes subconjuntos de entrenamiento. Posteriormente, basado en diferentes subconjuntos de entrenamiento,
diferentes modelos de ANN son entrenados para formular diferentes modelos base. Por ltimo, el mdulo de la
agregacin difusa, un meta-aprendiz, es empleado para agregar estos resultados. Resultados experimentales en el
KDD CUP 1999 muestran que nuestro nuevo enfoque propuesto, el FC-ANN, supera a BPNN y otros mtodos bien
conocidos tales como decisin tree y nave Bayes, en trminos de precisin de deteccin y estabilidad de deteccin.



1. Introduccin
Con la llegada de la era de Internet, la seguridad de la red se ha
convertido en el fundamento clave para las aplicaciones web, tales
como las ventas minoristas en lnea, subastas en lnea, etc. La
deteccin de intrusos intenta detectar ataques informticos
mediante el examen de registros de datos observados en procesos
de la red (Anderson, 1980; Endorf, Schultz, y Mellander, 2004).
Este es uno de los aspectos importantes para resolver los problemas
de seguridad de la red. La precisin de la deteccin y la estabilidad
en la deteccin son dos indicadores claves para evaluar los sistemas
de deteccin de intrusos (IDS) (Silva, Santos, Mancilha, Silva, y
Montes, 2008). Con el fin de mejorar la precisin de deteccin y la
estabilidad de deteccin, se han realizado muchas investigaciones
(por ejemplo, Patcha y Park, 2007). En las etapas tempranas, el
foco de la investigacin consiste en el uso de sistemas expertos
basados en reglas y acercamientos estadsticos (Manikopoulos y
Papavassiliou, 2002). Pero al encontrar grandes conjuntos de
datos, los resultados de sistemas expertos basados en reglas y
mtodos estadsticos empeoran. As, una gran cantidad de tcnicas
de minera de datos se han introducido para resolver el problema
(por ejemplo, Dokas, Ertoz, Lazarevic, Srivastava, y Tan, 2002;
Wu y Yen, 2009). Entre estas tcnicas, la red neuronal artificial
(ANN) es una de las tcnicas ms utilizadas y ha tenido xito en la
solucin de muchos problemas prcticos complejos. Y las ANN ha
tenido xito al ser aplicadas en IDS (Endorf et al, 2004;. Ryan,
Lin, y Miikku- lainen, 1998).
Sin embargo, los principales inconvenientes de un IDS basado
en ANN se concentran en dos aspectos: (1) menor precisin de
deteccin, especialmente en ataques poco frecuentes, por ejemplo,
remoto a local (R2L), usuario a root (U2R), y (2) estabilidad de
deteccin ms dbil (Beghdad, 2008). Para los dos aspectos
anteriormente expuestos, la razn principal es que la distribucin
de diferentes tipos de ataques no es equilibrada. Para ataques poco
frecuentes, la muestra es demasiado pequea comparacin con la de
ataques frecuentes. Esto hace que para una ANN no sea fcil
aprender el carcter de estos ataques y por lo tanto la precisin de
la deteccin es mucho menor. En la prctica, que los ataques sean
de baja frecuencia no significa que sean menos importantes.
Consecuencias graves se produciran si estos ataques tuvieran
xito. Por ejemplo, si un ataque U2R tuviera xito, el atacante
podra obtener la autoridad del usuario root y hacer lo que quisiera
a los sistemas informticos apuntados o dispositivos de red.
Adems, en los IDS los ataques de baja frecuencia suelen ser
valores atpicos. De este modo ANN es inestable ya que a menudo
converge a un mnimo local (Haykin, 1999). Aunque
investigaciones previas han propuesto algunas aproximaciones,
estas no son efectivas con grandes conjuntos de datos (Joo Hong, y
Han, 2003; Patcha & Park, 2007).
Para resolver estos dos problemas, proponemos un nuevo
enfoque para IDS basado en ANN, FC-ANN, para mejorar la
precisin de deteccin de ataques poco frecuentes y la estabilidad
de deteccin. El procedimiento general del enfoque FC-ANN tiene
las siguientes tres etapas. En la primera etapa, una tcnica de
agrupamiento difuso se utiliza para generar diferentes subconjuntos
de entrenamiento. Basado en distintos conjuntos de entrenamiento,
diferentes ANNs se entrenan en la segunda etapa. En la tercera
etapa, con el fin de eliminar los errores de distintos ANN, el
mdulo de la agregacin difusa, un meta-aprendiz, se introduce
para aprender de nuevo y combinar los resultados de las diferentes
ANN. Todo este planteamiento refleja la famosa filosofa ''divide y
vencers". Por agrupamiento difuso, el conjunto de entrenamiento
se divide en subconjuntos de menor nmero y menor complejidad.
As, la ANN puede aprender cada subgrupo con mayor rapidez,
Listado de contenidos disponible en ScienceDirect

Sistemas Expertos con Aplicaciones

Pgina principal: www.elsevier.com/locate/eswa
firmeza y precisin, especialmente para los ataques de baja
frecuencia, tales como los ataques U2R y R2L. Para ilustrar la
aplicabilidad y la capacidad del nuevo enfoque, los resultados de
experimentos con el conjunto de datos de la KDD CUP 1999
demostraron un mejor rendimiento en comparacin con BPNN y
otros mtodos bien conocidos tales como decision tree y nave
Bayes en trminos de precisin de deteccin y estabilidad de
deteccin.
El resto de este artculo se organiza de la siguiente manera. En
la Seccin 2, discutimos trabajos relacionados con IDS. En la
seccin 3, elaboramos el marco de trabajo del enfoque FC-ANN, y
explicar sus principios y procedimientos de trabajo. Para evaluar el
enfoque FC-ANN, la seccin 4 ilustra la preparacin de datos,
criterios de evaluacin, resultados y discusiones de los
experimentos. Finalmente, la seccin 5 bosqueja conclusiones y
futuras lneas de investigacin.

2. Trabajo relacionado en IDS

IDS se divide en dos categoras: sistemas de deteccin de usos
indebidos y sistemas de deteccin de anomalas (Anderson, 1980;
Endorf et al, 2004.). La deteccin de uso indebido se utiliza para
identificar intrusiones que concuerdan con escenarios de ataque
conocidos. Sin embargo, la deteccin de anomalas es un intento de
buscar comportamientos maliciosos que se desvan de los patrones
normales establecidos. En este trabajo nuestro inters est en la
deteccin de anomalas. Con el fin de detectar la intrusin, diversos
enfoques se han desarrollado y propuesto en la ltima dcada
(Depren, Topallar, Anarim, y Ciliz, 2005; Patcha & Park, 2007). En
las primeras etapas, los sistemas expertos basados en reglas y los
enfoques estadsticos eran dos maneras tpicas de detectar
intrusiones. Un IDS experto basado en reglas puede detectar
algunas intrusiones bien conocidas con una alta tasa de deteccin,
pero es difcil detectar intrusiones nuevas, y su base de datos de
firmas debe ser actualizado manualmente y con frecuencia
(Lindqvist y Porras 1999). Los IDS basados en estadsticas, utilizan
varios mtodos estadsticos incluido anlisis de componentes
principales (Shyu, Chen, Sarinnapakorn, y Chang, 2003),
agrupamiento y anlisis multivariable (Taylor & Alves- Foss,
2001), anlisis Bayesiano (Barbard, Wu y Jajodia, 2001), y
frecuencia y pruebas simples de significacin (Qin y Hwang,
2004). Pero este tipo de IDS necesita recopilar suficientes datos
para construir un modelo matemtico complejo, que no es prctico
en el caso de trfico red complejo (Gordeev, 2000).
Para resolver las limitaciones de los mtodos anteriores,
tcnicas de extraccin de datos se han introducido (Dokas et al,
2002;. Wu Y Yen, 2009). Entre estas tcnicas, las ANN es de las
tcnicas ms utilizadas y ha sido aplicado con xito a la deteccin
de intrusiones (Horeis, 2003; Joo et al, 2003;. Kevin, Rhonda, y
Jonathan, 1990; Tan, 1995). De acuerdo con los diferentes tipos de
ANN, estas tcnicas pueden ser clasificadas en tres categoras:
deteccin de intrusos basada en ANN supervisadas, deteccin de
intrusos basada en ANN sin supervisin y deteccin de intrusos
basada en ANN hbridas.
Las ANN supervisadas aplicadas a IDS incluyen principalmente
redes neuronales pre alimentadas multicapa (MLFF) y redes
neuronales recurrentes (Mukkamala, Janoski, y Sung, 2002). Ryan
et al. (1998) y Tan (1995) usaron redes neuronales MLFF para la
deteccin de anomalas basada en el comportamiento del usuario.
Pero en la prctica el tamao del conjunto de entrenamiento es muy
grande y la distribucin de conjunto de entrenamiento no es
equilibrada, por lo que para las redes neuronales MLFF es fcil
llegar al mnimo local y por lo tanto su estabilidad es baja.
Especialmente, para ataques poco frecuentes ataques, la precisin
de deteccin es muy baja. Algunos investigadores han comparado
la eficacia de ANN supervisadas con otros mtodos, tales como
mquinas de vectores soporte (SVM) y Regresion multivariada
adaptativa (MARS) (Mukkamala, Sung, Abraham, y Ramos,
2004; Mukkamala et al., 2002). Los ANN supervisados han
demostrado tener un rendimiento inferior que SVM y MARS.
La segunda categora usa ANN sin supervisin para clasificar
los datos de entrada y separar los comportamientos normales de los
anormales o intrusivos (Endorf et al., 2004). El uso de ANN sin
supervisin en la deteccin de intrusos tiene muchas ventajas. La
principal ventaja es que los ANN sin supervision pueden mejorar
su anlisis de nuevos datos, sin volver a entrenar. Fox (Kevin et al.,
1990) fue el primero en aplicar un mapa de auto-organizacion
(SOM) para aprender las caractersticas de la actividad de un
sistema normal e identificar variaciones estadsticas de las
tendencias normales. Al igual usando ANN supervisada, el
rendimiento de ANN sin supervisin tambin es menor.
Especialmente en el caso de ataques poco frecuentes, los ANN sin
supervisin tambin obtienen baja precisin de deteccin
(Beghdad, 2008).
La tercera categora es un hbrido que combina ANN
supervisados y sin supervisin, o combina ANN con otras tcnicas
de minera de datos para la deteccin de intrusiones (Han y Cho,
2005; Jirapummin, Wattanapongsakorn, y Kanthamanon, 2002).La
motivacin para usar ANN hbridos es superar las limitaciones de
las ANN individuales. Jirapummin et al. (2002) propuso el empleo
de un hbrido ANN, tanto para visualizacin de intrusiones usando
el SOM de Kohenen y para la clasificacin de intrusiones usando
una propagacin resistente de redes neuronales. Hore es (2003)
utiliza una combinacin de SOM y una red de funcion de base
radial (FSR). El sistema ofrece generalmente resultados mejores
que IDS basados solo en redes RBF. Han y Cho (2005) propusieron
una tcnica de deteccin de intrusines basada en redes neuronales
evolutivas con el fin de determinar la estructura y los pesos de las
secuencias de llamadas. Chen, Abraham, y Yang (2007)
propusieron arboles basados en redes neuronales hbridos y
flexibles basados sobre la base de rbol flexible neuronal,
algoritmo evolucionario y optimizacin por enjambre de partculas
(PSO). Los resultados empricos indican que el mtodo propuesto
es eficiente. Para la deteccin de intrusiones basada en ANN, las
ANN hbridas han sido la tendencia (Chen et al., 2007).Sin
embargo, las diferentes maneras de construir ANN hbridos influye
altamente en el rendimiento de la deteccin de intrusiones.
Diferentes modelos de ANN hbridos deben estar bien construidos,
con el fin de servir para diferentes objetivos.
Siguiendo esta corriente, proponemos un ANN hbrido, llamado
FC-ANN, para resolver los dos inconvenientes, mencionados en la
seccin 1, de los actuales IDS basados en ANN, es decir, menor
precisin de deteccin para ataques poco frecuentes y dbil
estabilidad de deteccin. El enfoque FC-ANN introduce una
tcnica de agrupamiento difuso en ANN ordinarios. Mediante el
uso de la tcnica de agrupamiento difuso, el conjunto de
entrenamiento se puede dividir en subconjuntos que tienen menos
tamao y menor complejidad .Por lo tanto basado en estos sub
conjuntos, la estabilidad de ANN individuales puede ser mejorada,
la precisin de deteccin, especialmente de ataques poco
frecuentes, tambin puede ser mejorada. El marco de trabajo
detallado de la FC-ANN se muestra en la Seccin 3.

3. Marco de trabajo de las FC-ANN
En esta seccin, elaboramos nuestro nuevo enfoque, el FC-
ANN. Presentamos en primer lugar, el marco de trabajo del nuevo
enfoque. A continuacin, se discuten los tres mdulos principales,
es decir, el mdulo de agrupamiento difuso, el mdulo de ANN y el
mdulo de agregacin difusa.



Fig. 1 Marco de trabajo de FC-ANN para IDS.


3.1. Marco de trabajo de IDS basado en ANN y agrupamiento
difuso
FC-ANN en primer lugar, divide los datos de entrenamiento en
varios subgrupos usando la tcnica de agrupamiento difuso.
Posteriormente, se entrena a los distintos ANN utilizando
diferentes subconjuntos. A continuacin, determina los grados de
pertenencia de estos subconjuntos y las combina a travs de una
nueva ANN para obtener resultados finales. El marco de trabajo
entero de FC-ANN se ilustra en la figura. 1 .
En el marco de trabajo tpico de una mquina de aprendizaje,
FC-ANN incorpora tanto la fase de entrenamiento como la fase de
prueba. La fase de entrenamiento incluye las siguientes tres etapas
principales:
Etapa I: Para un conjunto de datos arbitrarios DS, se divide en
primer lugar en un conjunto de entrenamiento TR y
un conjunto de pruebas TS. Luego los distintos
subconjuntos de entrenamiento TR
1,
TR
2,
...,TR
k
se
crean a partir de TR con el mdulo de agrupamiento
difuso.
Etapa II: Para cada subconjunto de entrenamiento TR
i (
i =
1,2,...,k), el modelo de ANN, ANN
i,
(i = 1,2,...,k) es
entrenado por el algoritmo de aprendizaje especfico
para formular k modelos ANN base distintos.
Etapa III: Con el fin de reducir el error para cada ANN
i
,
simulamos el uso de la ANN
i
usando el conjunto de
entrenamiento TR y obtenemos los resultados. Luego
usamos los grados de pertenencia, los cuales fueron
generados por el mdulo de agrupamiento difuso,
para combinar los resultados. Posteriormente,
entrenamos a un ANN nuevo utilizando los
resultados combinados.
En la fase de pruebas, introducimos directamente los datos del
conjunto de pruebas en las k ANN
i
diferentes y obtenemos los
resultados. En base a estos resultados, los resultados finales se
puede obtener con el ltimo mdulo de agregacin difusa.
Las tres etapas del marco de trabajo de la FC-ANN plantean tres
cuestiones importantes: (1) cmo crear k subconjuntos diferentes de
entrenamiento a partir de los conjuntos de datos de entrenamiento
originales TR; (2) cmo crear diferentes modelos bases de ANN
i

con diferentes subconjuntos de entrenamiento; (3) cmo agregar los
diferentes resultados producidos por diferentes modelos base de
ANN
i.
. Estas cuestiones se abordarn en las siguientes secciones,
respectivamente.

3.2. Mdulo de agrupamiento difuso
El objetivo del mdulo de agrupacin difusa particionar un
conjunto dado de datos en grupos, y debe tener las siguientes
propiedades: homogeneidad dentro de los grupos, en relacin con
los datos de mismo grupo y heterogeneidad entre grupos, donde los
datos pertenecientes a grupos diferentes debe ser tan diferente
como sea posible. A travs del mdulo de agrupamiento difuso, el
conjunto de entrenamiento se divide en varios subgrupos. Debido al
hecho de que el tamao y la complejidad de cada subconjunto de
entrenamiento se reduce, la eficiencia y la efectividad del prximo
mdulo ANN puede ser mejorado.
Las tcnicas de agrupamiento pueden dividirse en tcnicas de
agrupamiento duro y tcnicas de agrupamiento blando (Bezdek,
1973). Junto a la particin del conjunto de entrenamiento, tambin
tenemos que agregar los resultados para el mdulo de agregacin
difusa. Por lo tanto, elegimos una de las tcnicas de agrupamiento
suaves populares, Agrupamiento difuso c-maneras, para el mdulo
de agrupamiento difuso (Chiu, 1994; Yager y Filev, 1994).
El difuso c-maneras es un algoritmo de divisin de datos en la
que cada punto de datos pertenece a una agrupacin en un grado
especificado por un grado de pertenencia (Chiu, 1994; Yager y
Filev, 1994). En el mdulo de agrupamiento difuso, se basa en la
minimizacin la siguiente funcin objetivo:



donde m es cualquier nmero real mayor que 1, u
]
1R
es el grado de
pertenencia de u

1R
en el grupo j, u

1R
es el dato medido i, u
]
1R
es el
centro d-dimensional de la agrupacin, y ||*|| es cualquier norma
que exprese la similitud entre los datos medidos y el centro.
El particionamiento difuso se lleva a cabo a travs de un
proceso iterativo de optimizacin de la funcin objeto que se
muestra arriba, con la actualizacin de la pertenencia u
]
1R
y el
grupo de centros de c
]
1R
por


Esta iteracin se detendr cuando:

donde es un criterio de terminacin entre 0 y 1 y q son los pasos
iteracin. Basado en el anlisis anterior, el mdulo de agrupamiento
difuso se compone de los siguientes pasos:

Paso 1: Inicializar u
1R
= |u
]
1R
] , la matriz u
1R
(u) y q =
1.
Paso 2: En el paso q: calcular el centro de los vectores
C
1R
(q) = |c
]
1R
] con U
TR
(q)



Paso 3: Actualizar U (q+1)


Paso 4: Si [u
1R
(q +1) - u
1R
(q) [ < e entonces ir al paso 5, de lo
contrario volver al paso 2.

Paso 5: Basado en argmax(u
]
1R
)
,
cada muestra individual de TR
puede ser asignada en subconjuntos TR
k
.

Despus de los cinco pasos anteriores, el conjunto de
entrenamiento TR se puede dividir en k subconjuntos TR
K
.
Posteriormente, se necesita una ANN
i
para entrenar usando estos
subconjuntos TR
K
. En la siguiente seccin, vamos a discutir cmo
crear diferentes modelos base de ANN
i
con distintos conjuntos de
entrenamiento TR
K
.

3.3. Mdulo de ANN

El mdulo de ANN tiene como objetivo aprender el patrn de cada
subgrupo. Las ANN son una forma de inspiracin biolgica de
computacin distribuida (Anderson, 1995; Haykin, 1999). Est
compuesto por unidades simples de procesamiento y conexiones
entre ellas. En este estudio, vamos a emplear redes neuronales pre
alimentadas entrenadas con el algoritmo de propagacin trasera
para predecir la intrusin.
Una red neuronal pre alimentada tiene una capa de entrada, una
capa de salida, con una o ms capas ocultas entre las capas de
entrada y salida. La ANN funciona as: cada nodo i en la capa de
entrada tiene una seal x
i
como entrada de la red, multiplicada por
un valor de peso entre la capa de entrada y la capa oculta. Cada
nodo j en la capa oculta recibe la seal In(j) de acuerdo con:



Luego se pasa a travs de la funcin de activacin sigmoidea
bipolar:



La salida de la funcin de activacin f(ln(j)) es entonces
transmitida a todas las neuronas de la capa de salida:



donde 0
]
y 0
k
son los sesgos en la capa oculta y la capa de salida.
El valor de salida se comparar con el objetivo; en este estudio,
hemos utilizado el error medio absoluto como funcin de error:



cuando n es el nmero de patrones de entrenamiento, Y
k
y T
K
son el
valor de salida y el valor objetivo, respectivamente.
El mtodo de descenso de gradiente busca el ptimo global de
los pesos de la red, y las derivadas parciales oEow son computadas
para cada peso en la red. El peso se ajustar de acuerdo con la
expresin:


donde t es el nmero de pocas, y n es la tasa de aprendizaje.

Para acelerar la convergencia del error en el procedimiento de
aprendizaje, el impulso con la ganancia al impulso, , es incluida
en la ecuacin (10) (Anderson, 1995):



en la cual el valor de est dentro de 0 y 1.
Basado en las redes neuronales pre alimentadas entrenadas con el
algoritmo de propagacin trasera, cada ANN
i
puede completar la
formacin usando diferentes subconjuntos TR
K
. Sin embargo, la
siguiente pregunta es cmo agregar los diferentes resultados
producidos por distintos modelo base de ANN
i
.
3,4. Mdulo de la agregacin difusa
El objetivo del mdulo de agregacin difusa agregar los distintos
resultados de las ANN y reducir los errores de deteccin ya que
cada ANN
i
en el modulo de ANN slo aprende de subconjunto TR
i
.
Debido a que los errores no son lineales, con el fin de lograr el
objetivo, se utiliza una nueva ANN para aprender los errores como
sigue:
Paso 1: Deja el conjunto de entrenamiento TR como datos para
ingresar a cada ANN
i
entrenada y obtener los resultados:



donde n es el nmero de conjunto de entrenamiento: TR
y
]k
1R
es la salida de la ANN
k.

Paso 2: Formar la entrada para una nueva ANN:


donde u
n
1R
es el grado de pertenencia de TR
n

perteneciente a C
TR.


Paso 3: Entrenar la nueva ANN. Podemos utilizar Y
entrada
como
entrada y usar el conjunto de entrenamiento con etiquetas
TR como salida para entrenar a la nueva ANN.

A travs de tres pasos anteriores, la nueva ANN puede aprender
los errores que fueron causaron por la ANN
i
individual en

el mdulo
de ANN.
Durante la etapa de pruebas, el procedimiento de trabajo del
mdulo de ANN y el mdulo de agregacin difusa es similar a la
anterior. En primer lugar se calcula a el grado de pertenencia,
basado en los centros del grupo C
TR
.
Para una entrada nueva x

1S
que
viene, en primer lugar sobre la base de C
TR
.
la pertenencia U
TS
se
puede calcular por:



Entonces, respectivamente, utilizando el mdulo ANN y el
mdulo de agregacin difusa, la salida, y
suIdu
1S
,
se puede conseguir.

4. Experimentos y resultados

Para evaluar el desempeo del enfoque FC-ANN, una serie de
experimentos sobre el conjunto de datos KDD CUP 1999 se
llevaron a cabo. En estos experimentos, implementamos y
evaluamos los mtodos propuestos en Matlab 2007b en un PC
Windows con CPU Dual-Core de 1,83 GHz y 2 GB de RAM.

4,1. Preparacin de los datos

En los experimentos, se usa el conjunto de datos KDD CUP
1999 (KDD conjunto de datos, 1999). El conjunto de datos KDD
CUP 1999 es una versin original de 1998 de DARPA del
programa de evaluacin de deteccin de intrusos, que es preparado
y dirigido por el Laboratorio Lincoln del MIT.
El conjunto de datos contiene cerca de cinco millones de datos
de entrenamiento de registros de conexiones y cerca de dos
millones de registros de conexin como datos de prueba. Y el
conjunto de datos incluye un conjunto de 41 caractersticas
derivadas de cada conexin y una etiqueta que especifica el estado
de registros de conexin, ya sea como normal o como un tipo de
ataque especfico. Estas caractersticas tienen forma de variables
continuas, discretas, y variables simblicas, con rangos
significativamente diferentes que caben en cuatro categoras: (1) la
primera categora se compone de las caractersticas intrnsecas de
una conexin, que incluye las caractersticas bsicas de las distintas
conexiones TCP. La duracin de la conexin, el tipo de protocolo
(TCP, UDP, etc), y el servicio de red (HTTP, Telnet, etc) son
algunas de las caractersticas. (2) las funciones de contenido dentro
de una conexin sugeridas por el conocimiento del dominio se
utilizan para evaluar la carga de los paquetes TCP originales, como
el nmero de intentos de acceso fallidos. (3) Las mismas
caractersticas del host examinan las conexiones establecidas en los
ltimos dos segundos que tienen el mismo host de destino que la
conexin actual, y calculan las estadsticas relacionadas con el
comportamiento del protocolo, servicio, etc (4) las mismas
caractersticas de servicio similares inspeccionan las conexiones en
los ltimos dos segundos que tienen los mismos servicio que la
conexin actual.
Del mismo modo, los ataques se dividen en cuatro categoras:
(1) Denegacin de Servicio (DoS): hace que algunos recursos de
computacin o de memoria estn demasiado ocupados para aceptar
a los usuarios legtimos para que tengan acceso a los recursos.(2)
Probe (PRB): exploraciones de host y puertos para recabar
informacin o encontrar vulnerabilidades conocidas. (3) Remoto a
Local (R2L): acceso no autorizado una maquina remota con el fin
de explotar las vulnerabilidades de la mquina. (4) Usuario a Root
(U2R): acceso no autorizado a los privilegios del super usuario
local (root) usando la susceptibilidad del sistema.
La seleccin aleatoria se ha usado en muchas aplicaciones para
reducir el tamao del conjunto de datos. En este estudio, se
seleccionan al azar 18.285 registros, similares a estudios previos
(Beghdad, 2008). Los ataques PRB, R2L, y U2R ataque fueron
seleccionados por completo a causa de su baja cantidad

Tipo conexin Datos de prueba
Normal 3000 16,41% 60,593 19.48%
DoS 10.000 54,69% 229,853 73.89%
PRB 4107 22,46% 4166 1,34%
R2L 1126 6,16% 16,189 5.2%
U2R 52 0,28% 288 0,09%
Tabla 1
Nmero y distribucin de datos de entrenamiento y de prueba
Datos de entrenamiento

en el conjunto de datos KDD. Tres mil conexiones normales
(registros) y 10.000 conexiones DoS fueron seleccionados al azar.
Para la etapa de pruebas, se utiliz el conjunto de pruebas KDD.
La Tabla 1 muestra informacin detallada sobre el nmero de
todos los registros. Es importante sealar que los datos de prueba
incluyen tipos especficos de ataque no presentes en los datos de
entrenamiento. Esto hace que la tarea de deteccin de intrusos ms
realista.

4.2. Criterios de evaluacin

Las siguientes medidas se han propuesto para evaluar la
precisin de deteccin de IDS (Axelsson, 2003): verdaderos
positivos, verdaderos negativos, falsos positivos y falsos negativos.
Un verdadera positivo indica que el sistema de deteccin de
intrusos detecta con precisin un ataque particular que ha ocurrido.
Un verdadero negativo indica que el sistema de deteccin de
intrusos no ha cometido un error en la deteccin de una condicin
normal. Un falso positivo indica que un ataque en particular ha sido
detectado por el sistema IDS pero dicho ataque no ocurri en
realidad. Un falso positivo se produce a menudo debido a las
condiciones de reconocimiento holgadas, una limitacin de los
mtodos de deteccin en el sistema de deteccin de intrusos o
fenmenos causados por determinados factores ambientales.
Representa la precisin del sistema de deteccin. Si es bastante
alto, esto conducir a los administradores a que de forma
intencionada hagan caso omiso de las advertencias del sistema, y
por lo tanto permitir que el sistema permanezca en un estado
peligroso. Un falso negativo indica que el sistema de deteccin de
intrusos es incapaz de detectar la intrusin despus de que un
ataque particular se ha producido. Esto se debe probablemente a la
falta de informacin acerca de un tipo de intrusin o por la
informacin de reconocimiento sobre un hecho de intrusin de que
ha sido excluido del sistema de deteccin de intrusiones. Esto pone
de manifiesto que tan integro es el sistema de deteccin.
Sin embargo, como el nmero de instancias para U2R, PRB, y
ataques R2L en el conjunto de entrenamiento y en el equipo de
prueba es baja, estas cantidades no son suficientes como medida de
rendimiento estndar (Dokas et al. 2002).Por lo tanto, si utilizamos
estas cantidades como una medida para probar el funcionamiento
de los sistemas, estos podran ser solo parciales. Por estas razones,
damos la precisin, recall, y valor-F los cuales no dependen del
tamao del entrenamiento y ni de los ejemplos de prueba. Se
definen como sigue:



donde TP, FP y FN son el nmero de verdaderos positivos, falsos
positivos y falsos negativos, respectivamente, y corresponde a la
importancia relativa de precisin en comparacin con el recall y
por lo general se establece en 1.
La ANN es inestable ya que a menudo converge al mnimo local
y falla al entrenar. Este es uno de los factores importantes que
influyen significativamente en la estabilidad de deteccin de IDS
(Beghdad, 2008; Patcha & Park, 2007). De este modo, adems de
los criterios de evaluacin de arriba, calculamos tambin el
porcentaje de entrenamiento exitoso para medir la estabilidad de
deteccin de IDS basado en ANN.

Porccnto]c Jc cntrcnomicnto cxitoso
=
Nmcro Jc cntrcnomicntos cxitosos
Nmcro Jc cntrcnomicntos





4.3. Resultados y discusin

En nuestros experimentos, cada elemento se describe por 41
elementos que forman un vector. Ntese que algunas de las
caractersticas son continuas y otras son nominales. Como los
algoritmos de agrupacin y de clasificacin requieren valores
continuos, estos valores nominales sern convertidos primero a
valores continuos. Para el mdulo de agrupamiento difuso,
dividimos el conjunto de entrenamiento en seis subconjuntos
utilizando el modulo de agrupamiento difuso. Y un soporte de tres
capas de redes se utiliza para el mdulo de ANN y el mdulo de la
agregacin difusa en los experimentos. Para el mdulo de ANN, en
la capa de entrada, haban 41 nodos. Para el modulo de agregacin
difusa, hubo cinco nodos, lo que equivale a la cantidad de ataques.
El nmero de nodos de salida en el mdulo de ANN y en el mdulo
de agregacin difusa eran cinco, igual a la cantidad de ataques, es
decir, normal, DoS, PRB, y R2L y U2R. El nmero de nodos
ocultos se determin por con la frmula emprica I + 0 + o(o =
1 - 1u), donde I es el nmero de nodo de entrada, O es el nmero
de nodo de salida y o nmero aleatorio (Haykin, 1999).
Considerando la complejidad de la deteccin de intrusines, en
nuestro experimento o es igual a 10. As, la estructura de la ANN
en el mdulo de ANN y el mdulo de agregacin difusa es
referenciado como [41, 18, 5] y [5, 13, 5] respectivamente. Los
nodos de entrada y ocultos utilizan la funcin de transferencia
sigmoidal y el nodo de salida utiliza la funcin de transferencia
lineal. El error cuadrtico medio (MSE) en la etapa de
entrenamiento es de 0,001. La tasa de aprendizaje se fij en 0,01, y
se aplic un factor de impulso de 0,2.
Llevamos a cabo 10 experimentos con seleccin aleatoria de
datos de acuerdo a las normas de muestreo de la Seccin 3.1 .Y
tambin comparamos los resultados con BPNN, y otros mtodos
bien conocidos tales como decision tree nave Bayes. Estas tres
tcnicas se realizaron con la ayuda de la herramienta de minera de
datos WEKA (Witten y Frank, 2005).Los resultados promedio de
experimentos se muestran en la Tabla 2-6 y figura. 2-4 .
Como se muestra en las tablas anteriores, podemos ver
claramente la diferencia de cada criterio de evaluacin con
distintos ataques, es decir, normal, DoS, PRB, R2L y U2R.
Mientras que el FC-ANN obtiene resultados similares para ataques
normales de alta frecuencia, para DoS y PRB, el FC-ANN tiene la
ms alta precisin, cobertura y valor F que decision tree, nave
Bayes y BPNN para ataques poco frecuentes, es decir, R2L y U2R.
Como se ilustra mediante las Figs. 2.4 , podemos ver que para
ataques normales, ataques DoS y ataques PRB, los cuatro mtodos
de arriba obtienen los mismos resultados. Para el ataque R2L y el
ataque U2R, decisin tree, nave Bayes y BPNN obtienen los
mismos resultados. Sin embargo FC-ANN obtiene la ms alta
precisin, cobertura y valor F que los otros tres mtodos.
En la tabla 7 , podemos observar que el FC-ANN consigue una
precisin media de 96,71, superior a BPNN y nave Bayes. Estos
resultados revelan que a travs de la introduccin de la tcnica de
agrupamiento difuso, la precisin de la deteccin de las ANN
puede ser mejorada. Especialmente para los ataques R2L y U2R, la
precisin de deteccin es mucho mayor.
Y podemos encontrar el porcentaje de xito de entrenamiento
de la FC-ANN es un 100%, muy superior a BPNN. El resultado
muestra que la estabilidad de FC-ANN tambin se mejora por el
conjunto de entrenamiento agrupado.

Tabla 2
Comparacin de rendimiento de varios metodos (normal)
Decision tree Nave Bayes BPNN FC-ANN
Precision (%) 91,22 89,22 89,75 91,32
Recall (%) 99,41 97,70 98,20 99,08
Valor-F (%) 95,14 93,27 93,79 95,04


Tabla 3
Decision tree Nave Bayes BPNN FC-ANN
Precision (%) 99,84 99,69 99,79 99,91
Recall (%) 97,24 96,65 97,20 96,70
Valor-F (%) 98,52 98,15 98,48 98,28
Comparacin de rendimiento de varios metodos (DoS)


Decision tree Naive Bayes BPNN FC-ANN
Precision (%) 50,00 52,61 60,94 48,12
Recall (%) 78,13 88,13 88,75 80,00
Valor-F (%) 60,98 65,89 72,26 60,09
Tabla 4
Comparacin de rendimiento de varios metodos (PRB)


Decision tree Naive Bayes BPNN FC-ANN
Precision (%) 33.33 46,15 57,14 93,18
Recall (%) 1.43 8,57 5,71 58,57
Valor-F (%) 2.74 14,58 10,39 71,93
Tabla 5
Comparacin de rendimiento de varios metodos (R2L)


Decision tree Naive Bayes BPNN FC-ANN
Precision (%) 50,00 25,00 50,00 83,33
Recall (%) 15,38 7,69 23,08 76,92
Valor-F (%) 23,53 11,76 31,58 80,00
Comparacin de rendimiento de varios metodos (U2L)
Tabla 6



Fig. 2 Precisin (%) de los diferentes mtodos

Fig. 3 Recall (%) de los diferentes mtodos


Fig. 4 Valor-F (%) de los diferentes mtodos

de varios metodos
Decision tree Nave Bayes BPNN FC-ANN
Exactitud Media (%) 96,75 96,11 96,65 96,71
Porcentaje de entrenam. 100 100 60 100
exitoso
Tiempo de Entrenamien 2,68 1,93 1538,17 2125,4
Tabla 7
Precisin media, porcentaje de entrenamientos exitosos y tiempo de entrenamiento



Para el tiempo de entrenamiento, decision tree, nave Bayes, y
FC-ANN observaron 2.68, 1.93, 1538.17 y 2125,4 s,
respectivamente. Es obvio que la ANN pas ms tiempo en
entrenamiento que decision tree y nave Bayes. Tenga en cuenta que
el tiempo promedio de entrenamiento de FC-ANN es ms que
BPNN porque el tiempo de entrenamiento de FC-ANN incluye el
tiempo de agrupamiento difuso y cada tiempo de entrenamiento de
las ANN. Para el mdulo de ANN si cada una de las ANN est
entrenando en paralelo, entonces el tiempo de entrenamiento se
reducir. En nuestro experimento, aadimos el tiempo de
entrenamiento del mdulo de agrupamiento difuso, mdulo de la
agregacin difusa y el tiempo mximo de entrenamiento de ANN
i

paralela individual en un mdulo ANN. El tiempo de entrenamiento
de FC-ANN es 972.08 s.
Por lo tanto podemos sacar la conclusin de que el enfoque FC-
ANN puede obtener una mayor precisin de deteccin,
especialmente para ataques poco frecuentes, y una mayor
estabilidad de deteccin. Adems, si la ANN
i
en el mdulo ANN
puede funcionar en paralelo, puede lograrse un menor tiempo de
entrenamiento. Tal mejora puede atribuirse en gran medida al
mdulo de agrupamiento difuso. Este hace un conjunto de
formacin heterognea dividido en varios subconjuntos
homogneos. En nuestro experimento, tambin encontramos que el
nmero de grupos k, influyen en la precisin de deteccin y
exhaustividad. La Figs. 5-7 muestra los resultados.
Para ataques de alta frecuencia, como, normal, DoS y ataques
PRB, la precisin, recall y el valor-F son relativamente estables,
Para ataques poco frecuentes, es decir, R2L y U2R, la precisin,
recall y el valor-F son generalmente crecientes con k creciente. Esta
es la razn por la cual FC-ANN puede obtener una mayor precisin
de deteccin y la estabilidad. Posteriormente, podemos ver que para
ataques normales DoS y PRB, la precisin, recall y el valor-F
disminuyen con el aumento de k. Como el tamao de estas
categoras es ms grande que los ataques R2L y U2R, la


Fig. 5 Precisin (%) de los distintos nmeros de divisiones



Fig. 6 Recall de los distintos nmeros de divisiones


Fig. 7 Valor-F de los distintos nmeros de divisiones

precisin media disminuir a pesar de la eficacia de R2L y las
detecciones U2R se puede mejorar. Por esta razn, elegimos la
mejor precisin media, 96.71, para informar cuando el nmero de
clusterm sea k= 6. La razn bajo este fenmeno podra ser que hay
diferentes distribuciones de diferentes categoras. Sin embargo,
esto slo es una conjetura que debe ser justificada por un anlisis
terico riguroso y muchos ms experimentos.

5. Conclusiones y futuras direcciones

La completa prevencin de las brechas de seguridad con las
tecnologas de seguridad existentes no es realista. Como resultado,
la deteccin de intrusiones es un componente importante en la
seguridad de la red. IDS ofrece las ventajas potenciales de reducir
la mano de obra necesaria en vigilancia, aumentando la eficiencia
de deteccin, proporcionando datos que de otro modo no estaran
disponibles, ayudando a la comunidad de seguridad de informacin
a aprender sobre nuevas vulnerabilidades y proveer pruebas
legales.
En este trabajo, proponemos un enfoque para la deteccin de
intrusos, llamado FC-ANN, basado en ANN y agrupamiento difuso.
A travs de la tcnica de agrupamiento difuso, el conjunto de
entrenamiento heterogneo es dividido en varios subconjuntos
homogneos. As la complejidad de cada subconjunto de
entrenamiento se reduce y por consiguiente el rendimiento de
deteccin aumenta. Los resultados experimentales usando el
conjunto de datos de la KDD CUP 1999 demuestran la eficacia de
nuestro nuevo enfoque, especialmente para ataques poco
frecuentes, es decir, ataques R2L y U2R en trminos de precisin y
estabilidad de deteccin. En investigaciones futuras, la forma de
determinar el nmero apropiado grupos sigue siendo un problema
abierto. Por otra parte, otras tcnicas de minera de datos, tales
como mquinas de vectores soporte, computacin evolutiva y
deteccin de valores atpicos, pueden ser introducidos en IDS. Las
comparaciones de distintas tcnicas de minera de datos tcnico
proveern pistas para construir ANN hbridas ms eficaces para la
deteccin de intrusiones.
Agradecimientos
Los autores desean agradecer al editor en jefe y a los revisores
por sus recomendaciones y comentarios. Este trabajo est
parcialmente financiado por las subvenciones del Fondo de
Innovacin y Tecnologa (ITF) de Hong Kong (GHP/006/07,
InP/007/08).

Referencias
Anderson, JP (1980). La seguridad informtica amenaza de
seguimiento y vigilancia. Informe Tcnico, en Fort
Washington, PA, EE.UU..
Anderson, J. (1995). Una introduccin a las redes neuronales.
Cambridge: MIT Press.
Axelsson, S. (2003). La falacia de la base de cambio y la dificultad de
deteccin de intrusiones. ACM Transacciones sobre la Seguridad
de la Informacin y del sistema, 3,186-205.
Barbard, D. Wu, N., y Jajodia, S. (2001). La deteccin de intrusiones
de red con nuevos estimadores de Bayes. En: Actas de la primera
conferencia inteANNcional sobre SIAM minera de datos (pp.1-17
Beghdad, R. (2008). Estudio crtico de las redes neuronales en la
deteccin de intrusiones. Computadoras y Seguridad, de 27 aos
(5-6), 168-175.
Bezdek, JC (1973). Matemtica borrosa en la clasificacin de
patrones.Tesis de doctorado, Matemticas Aplicadas. Centro de
la Universidad de Cornell en Ithaca.
Chen, YH, Abraham, A., & Yang, B. (2007). Hbridos flexibles
neural rbol de sistemas basados en deteccin de intrusos. Revista
InteANNcional de Sistemas Inteligentes, 22 (4), 337-352.
Chiu, SL (en1994). La identificacin del modelo difuso basado en la
estimacin de clster. Diario de Sistemas Inteligentes y difusa, 2,
267-278.
Depren, O., Topallar, M., Anarim, E., y Ciliz, MK (2005). Una
intrusin sistema inteligente de deteccin (IDS) para la deteccin
de anomalas y uso indebido de las redes informticas. Sistemas
Expertos con aplicaciones, 29 (4), 713-722.
Dokas, P., Ertoz, L., Lazarevic, A., Srivastava, J., & Tan, PN ((2002).
La minera de datos para la deteccin de intrusiones en la red.
OfNGDM de proceder, 21-30.
Endorf, C. Schultz, E., y Mellander, J. (2004). Deteccin de
intrusiones y prevencin.California: McGraw-Hill.
Gordeev, M. (2000). La deteccin de intrusiones: Tcnicas y
enfoques. <Http://
www.gosecure.ca/SecInfo/library/IDS/ids2.pdf> (consultada en
marzo de 2009).
Han, SJ, y Cho, SB (2005). Evolutiva redes neuronales para la
deteccin de anomalas basados en el comportamiento de un
programa. Transacciones de IEEE en Sistemas, Hombre y
Ciberntica (Parte B), 36 (3), 559-570.
Haykin, S. (1999). Las redes neuronales: una base completa.Prentice-
Hall.
Horeis, T. (2003). Deteccin de intrusiones con redes neuronales -
Combinacin de selforganizing mapas y volver a marcar las redes
de funciones de base para la integracin experto humano.
<http://ieee-
cis.org/_files/EAC_Research_2003_Report_Horeis.pdf>
(consultada en marzo de 2009).
Jirapummin, C, Wattanapongsakorn, N., y Kanthamanon, P. ((2002).
Hbridos de redes neuronales para el sistema de deteccin de
intrusos. Actas de la ITC-CSCC, 928-931.
Joo, D., Hong, T., y Han, I. (2003). Los modelos de redes neuronales
para el IDS basado en los costos asimtricos de errores falsos
negativos y falsos positivos. Errores Sistemas Expertos con
aplicaciones, 25 (1), 69-75.
KDD CUP 1999 conjunto de datos (1999).
<http://archive.ics.uci.edu/ml/datasets/KDD+Cup+ 1999 + de
datos> (consultada en marzo de 2009).
Kevin, LF, Rhonda, RH, y Jonathan, de recursos humanos (1990). Un
enfoque de redes neuronales para la deteccin de intrusiones. En:
Actas de la conferencia de seguridad nacional de informtica en
13 (pp.125-134).
Lindqvist, U., y Porras, PA (1999). La deteccin de equipo y el mal
uso de la red a travs del conjunto de herramientas de expertos
basado en la produccin del sistema. En: IEEE simposio sobre
seguridad y privacidad (pp.146-161).
Manikopoulos, C., & Papavassiliou, S. ((2002). Red de intrusin y
deteccin de fallos: Un enfoque anomala estadstica. IEEE
Communications Magazine, 40 (10), 76-82.
Mukkamala, S., Janoski, G., y Sung, A. ((2002). La deteccin de
intrusiones mediante redes neuronales y mquinas de vectores
soporte. En: Actas de la Conferencia InteANNcional IEEE conjunta
en redes neuronales (pp.1702-1707).
Mukkamala, S., Sung, AH, Abraham, A., y Ramos, V. (2004).
Sistemas de deteccin de intrusos utilizando splines de regresin de
adaptacin. En: Actas ofICEIS-04 (pp.26.33%
Patcha, A., & Park, JM (2007). Una visin general de las tcnicas de
deteccin de anomalas: las soluciones existentes y las ltimas
tendencias tecnolgicas. Redes de Computadores, 51 (12), 3448-
3470.
Qin, M., y Hwang, K. (2004). Reglas para la deteccin de anomalas
frecuentes intrusivo con acceso a Internet de minera de datos. En:
Actas del 13 Simposio USENIX de Seguridad (pp.456-462).
Ryan, J. Lin, M., & Miikkulainen, R. (1998). Deteccin de intrusiones
con las redes neuronales. Los avances en los sistemas neuronales de
procesamiento de informacin (Vol. 10).Cambridge, MA: Springer.
Shyu, ML, Chen, Carolina del Sur, Sarinnapakorn, K., y Chang, L.
(2003). Una anomala novedoso sistema de deteccin basado en
clasificador de componentes principales. En: Actas de las
fundaciones IEEE y las nuevas direcciones del taller de minera de
datos (pp172-179).
Silva, SUD, Santos, AC, Mancilha, TD, Silva, JD, y Montes, A.
(2008). La deteccin de firmas de ataques en el trfico de red real
con ANNida. Sistemas Expertos con aplicaciones, 34 (4), 2326-
2333.
Tan, K. (1995). La aplicacin de redes neuronales para UNIX de
seguridad informtica. En: Actas de la Conferencia InteANNcional
IEEE sobre redes neuronales (Vol. 7, pp 476-481).
Taylor, C., & Foss Alves, J. (2001). '' Low cost "de la red de
deteccin de intrusos. En:
Actas de la seguridad nuevo taller de paradigmas (pp.1.15
Witten, IH, y Frank, E. (2005). La minera de datos: prcticas
herramientas de aprendizaje de mquinas y tcnicas.Boston:
Morgan KaufmANN Publishers.
Wu, S., & Yen, E. (2009). Minera de datos basados en detectores de
intrusin. Sistemas Expertos con aplicaciones, 36 (3), 5605-5612.
Yager, RR, y Filev, DP (1994). Agrupacin aproximada a travs del
mtodo de la montaa. IEEE Transactions on Systems, Man y la
ciberntica, 24 (8), 1279-1284.