abstrakt:
Data preprocessing is widely recognized as an important stage in anomaly detection. This
paper reviews the data preprocessing techniques used by anomaly-based network intru-
sion detection systems (NIDS), concentrating on which aspects of the network traffic are
analyzed, and what feature construction and selection methods have been used. Motiva-
tion for the paper comes from the large impact data preprocessing has on the accuracy and
capability of anomaly-based NIDS. The review finds that many NIDS limit their view of
network traffic to the TCP/IP packet headers. Time-based statistics can be derived from
these headers to detect network scans, network worm behavior, and denial of service
attacks. A number of other NIDS perform deeper inspection of request packets to detect
attacks against network services and network applications. More recent approaches
analyze full service responses to detect attacks targeting clients. The review covers a wide
range of NIDS, highlighting which classes of attack are detectable by each of these
Data preprocessing is found to predominantly rely on expert domain knowledge for
identifying the most relevant parts of network traffic and for constructing the initial
candidate set of traffic features. On the other hand, automated methods have been widely
used for feature extraction to reduce data dimensionality, and feature selection to find the
most relevant subset of features from this candidate set. The review shows a trend toward
deeper packet inspection to construct more relevant features through targeted content
parsing. These context sensitive features are required to detect current attacks.
چکیده :
پیش پردازش داده به عنوان مرحله ای مهم در تشخیص ناهنجاری به شمار می آید. این مقاله مروری بر تکنیک های پیش پردازش داده استفاده شده در سیستم های تشخیص نفوذ ناهنجاری وابسته به شبکه (NIDS) را انجام داده و تعیین می کند که از کدام ویژیگی روشها و ساختار انتخاب استفاده شود. این مقاله از تاثیر زیاد پیش پردازش داده بر روی دقت و توانایی NIDS نامتعارف گرفته شده است. این بازبینی کشف کرد که تعداد زیادی از NIDS نگاه شان را در ترافیک شبکه به سرآیند پروتکل دارند. آمارهای مبتنی بر زمان را می توان از این سرآیندها جهت تشخیص تقاطع شبکه ، رفتار کرم شبکه، و عدم پذیرش حملات به سرور ها به کار برد. تعداد دیگری از NIDS بازرسی عمیق تر از بسته های درخواستی برای تشخیص حملات برعلیه سرور های شبکه و اجرای شبکه به کار می برند. رویکردهای اخیر واکنش های کامل سرور را برای تشخیص حملات به مشتری هدف را تحلیل می کنند. مرور ما بازه گسترده ای از NIDS را پوشش داده، و کلاس های از حملات قابل تشخیص به وسیله هر یک از این رویکردها را برجسته می نماید.
پیش پردازش داده برای انفرادیه کامل به دانش غالب کارشناسی برای تعریف بخش های مرتبط تر به ترافیک شبکه و برای ایجاد مجموعه اولیه کاندید ویژیگی های ترافیکی به کار می روند. بازبینی تمایل به سمت بازرسی بسته عمیق تر جهت ایجاد ویژیگی های وابسته تر به تجزیه محتوای هدف را نشان می دهد. این ویژیگی های حساس مفهومی برای تشخیص حملات حاضر لازم می باشند.
پیش پردازش داده جهت تشخیص ورود ناهنجاری های مبتنی بر شبکه