Ανίχνευση εισβολών σε ασύρματα δίκτυα IEEE 802.11 με χρήση τεχνικών μηχανικής μάθησης

Loading...
Thumbnail Image

Date

2024-03-19

Authors

Καμπουράκης, Κωνσταντίνος-Ευάγγελος

Journal Title

Journal ISSN

Volume Title

Publisher

Abstract

Τα ασύρματα τοπικά δίκτυα επικοινωνιών που ακολουθούν το πρότυπο IEEE 802.11 είναι διάχυτα και απαντώνται παντού, σε κατοικίες, γραφεία, επιχειρήσεις, αεροσκάφη, πλοία, έξυπνες πόλεις, και αλλού. Όμως, εξαιτίας της δημοφιλίας τους, που κυρίως εδράζεται στην υποστήριξη κινητικότητας, στην ευκολία εγκατάστασης, και στις υψηλές ταχύτητες μετάδοσης, τα δίκτυα του συγκεκριμένου τύπου βρίσκονται διαρκώς στο στόχαστρο διαφόρων κατηγοριών επιτιθέμενων. Όπως καταδεικνύει η πρόσφατη βιβλιογραφία, παρόλο που το συγκεκριμένο πρότυπο ασύρματων επικοινωνιών έχει εξελίξει στο χρόνο σημαντικά τα εγγενή χαρακτηριστικά ασφαλείας του, παραμένει ευπαθές σε παραδοσιακές αλλά και νέες επιθέσεις, σε ένα διαρκή ανταγωνισμό μεταξύ αμυνομένων και εισβολέων. Σε αυτό το πλαίσιο, τα σύγχρονα συστήματα ανίχνευσης εισβολών (IDS) που βασίζονται σε τεχνικές μηχανικής μάθησης μπορούν να συνεισφέρουν σημαντικά στην ανίχνευση επιθέσεων και στην ελάττωση του συνολικού κινδύνου. Η παρούσα διπλωματική εργασία εστιάζει σε συστήματα ανίχνευσης κατάχρησης που στηρίζονται σε αλγορίθμους εποπτευόμενης μάθησης. Αναλυτικότερα, το ερευνητικό πρόβλημα στο οποίο απαντάει η διπλωματική είναι εάν η απόδοση ενός IDS επηρεάζεται (και σε ποιο βαθμό) από το αν το σύνολο δεδομένων στο οποίο το μοντέλο ανίχνευσης του IDS εκπαιδεύτηκε είναι ισορροπημένο ή μη ισορροπημένο, όσον αφορά στην κατανομή των παραδειγμάτων των διαφόρων κλάσεων δικτυακής κίνησης που αυτό περιέχει. Σύμφωνα με όσα γνωρίζουμε, το συγκεκριμένο ερώτημα δεν έχει απαντηθεί στην τρέχουσα βιβλιογραφία για αυτήν την τεχνολογία ασύρματων δικτύων. Θεωρούμε ένα πρόβλημα κατηγοριοποίησης τριών κλάσεων, συγκεκριμένα δύο κλάσεων επιθέσεων και μιας κλάσης που αντιστοιχεί σε κανονική κίνηση του δικτύου, και εξετάζουμε την απόδοση επτά διαφορετικών γνωστών αλγορίθμων ρηχής μάθησης καθώς και έναν δημοφιλή μετα-εκτιμητή συνόλου· τον τελευταίο στις περιπτώσεις που εφαρμόζεται κάποια τεχνική επαναδειγματοληψίας στο σύνολο δεδομένων. Για την εκπαίδευση και έλεγχο των διάφορων αλγορίθμων αξιοποιούμε το σύγχρονο και ιδιαίτερα γνωστό στη βιβλιογραφία σύνολο δεδομένων AWID. Μιας και το AWID είναι μη ισορροπημένο σε υψηλό βαθμό, χρησιμοποιούμε τρεις τεχνικές επαναδειγματοληψίας· υποδειγματοληψία, υπερδειγματοληψία, και συνδυασμό των προηγούμενων δύο. Η εκπαίδευση των αλγορίθμων γίνεται αξιοποιώντας ένα σχετικά μικρό σύνολο 16 χαρακτηριστικών ταξινόμησης, όπως προτείνεται και στη σχετική πρόσφατη βιβλιογραφία. Το κύριο συμπέρασμα που προκύπτει από τα πειραματικά αποτελέσματα είναι ότι οι αλγόριθμοι έχουν σημαντικά καλύτερα αποτελέσματα (+2,5%) με αναφορά στη μετρική F1 score, υποδεικνύοντας ότι, για το συγκεκριμένο πρόβλημα, είναι προτιμότερο το σύνολο δεδομένων να παραμείνει στην αρχική του μη ισορροπημένη μορφή, χωρίς δηλαδή την εφαρμογή κάποιας τεχνικής επαναδειγματοληψίας. Η διαπίστωση αυτή ενισχύεται από το γεγονός ότι και οι τρεις τεχνικές επαναδειγματοληψίας προξένησαν μεγάλο πλήθος ψευδώς θετικών προβλέψεων, που μοιραία οδηγούν το IDS σε πληθώρα λανθασμένων συναγερμών, και επιπλέον παράγουν πολύ υψηλές τιμές για τη μετρική της ορθότητας (Accuracy), κάτι που ενδεχομένως αποτελεί ένδειξη υπερβολικής προσαρμογής (overftting). Εξάλλου, σε κάθε πραγματικό ασύρματο δίκτυο αναμένεται τα πλαίσια που ανήκουν σε επιθέσεις να είναι πολύ λιγότερα έως ελάχιστα σε σχέση με αυτά που ανήκουν σε κανονική κίνηση του δικτύου. Σε κάθε περίπτωση, όπου εφαρμόζονται τεχνικές επαναδειγματοληψίας, θα πρέπει να αιτιολογούνται επαρκώς και σε συνδυασμό με τα αντίστοιχα αποτελέσματα του αρχικού μη ισορροπημένου συνόλου δεδομένων. Τούτο γιατί στην περίπτωση υπερδειγματοληψίας των μειοψηφικών κλάσεων στο σύνολο εκπαίδευσης, το παραγόμενο μοντέλο μπορεί να τείνει να υπερπροβλέπει τις συγκεκριμένες κλάσεις, ενώ η υποδειγματοληψία επιφέρει απώλεια δεδομένων που ενδέχεται να περιέχουν σημαντική πληροφορία που συμβάλει στη σωστή και πληρέστερη εκπαίδευση του μοντέλου. Επιπροσθέτως, στην υπερδειγματοληψία, τα παραδείγματα που δημιουργούνται με τεχνητό τρόπο μπορεί να προσθέτουν θόρυβο και να μην αντιπροσωπεύουν επαρκώς τα αντίστοιχα παραδείγματα ενός πραγματικού ασύρματου δικτύου.

Description

Keywords

Μηχανική μάθηση, Ανίχνευση εισβολών, Ασύρματα δίκτυα

Citation