A Mechanism for Detecting and Classifying Network Anomalies Using SNMP- MIB Data

Details: Category: IT; Published: Sunday, 14 February 2016 02:00; Written by Eshraq Mohammad Al-Hawari,اشراق محمد الهواري; Hits: 1137

Abstract
A Mechanism for Detecting and Classifying Network Anomalies Using SNMP- MIB Data
Eshraq Mohammad Al-Hawari
Mu’tah University, 2015

The enormous growth in computer networks and in Internet usage in recent years, combined with the growth in the amount of data exchanged over networks, has also seen an exponential increase in the amount of malicious and mysterious threats to computer networks. Among many security issues, network attack is a major threat. DoS flooding attacks have recently become the most attractive type of attacks to attackers and these have posed devastating threats to network services. This has made the detection of network anomalies a critical task in the field of network security and a vibrant research area.

Obtaining the right type of data about network traffic is essential for accurate and speedy intrusion detection. SNMP provides rich statistical information about what is currently going on in network devices. In this thesis, we investigate the use of SNMP for network anomaly detection. We present a MIB based mechanism for network attacks detection and classification of the type of attack using machine learning techniques. Firstly, we collected SNMP MIB statistical data from an SNMP agent by means of real experiments involving different types of DoS attack and Brute Force attack. Secondly, we applied machine learning techniques to the MIB dataset in order to classify attacks by two approaches. In the first approach, the MIB variables collected were categorized into their corresponding groups (Interface, IP, TCP and ICMP), and then the classifiers were applied to each group separately, in order to show the effectiveness of each group in identifying the attacks. In the second approach, the MIB variables collected were used with an accurate feature selection method to select the most effective variables, and then machine learning classifiers were used to classify the type of attack.

Experimental results of using SNMP MIB data demonstrate that our mechanism achieved promising results with high accuracy rates for attacks classification by the Random Forest, AdaBoostM1 and MLP classifiers with IP and Interface groups in the first approach, and 99.93 %, 99.86% and 96.80% accuracy rates from the Random Forest, AdaboostM1 and MLP classifiers, respectively with the 7 MIB variables in the second approach.

Keywords: Anomaly Detection, DoS Attack, SNMP, MIB, Machine Learning Classifier.

الملخص
آلية الكشف وتصنيف شذوذات الشبكة باستخدام بيانات SNMP MIB
إشراق محمد الهواري
جامعة مؤتة، 2015

النمو السريع في شبكات الحاسوب وفي استخدام الإنترنت في السنوات الحديثة الأخيرة، مع النمو في كمية البيانات المتبادلة عبر الشبكات، أدى إلى زيادة في كمية التهديدات الخبيثة والغامضة على شبكات الكمبيوتر. من بين قضايا أمنية متعددة، هجوم الشبكة هو التهديد الأكبر. حاليا، بما أن هجمات (DoS) هي الهجمات الأكثر جاذبية للمهاجمين و تشكل تهديدات مدمرة لخدمات الشبكة. هذا جعل كشف شذوذ الشبكة مهمة حساسة في حقل أمن الشبكات ومنطقة بحث حيوية. الحصول على النوع الصحيح من البيانات حول حركة مرور الشبكة هو ضروري لكشف التسلل بشكل دقيق وسريع. (SNMP) يوفر معلومات إحصائية غنية حول ماذا يحدث حاليا على وحدات الشبكة. في هذه الأطروحة، نبحث في استخدام (SNMP) لكشف شذوذ الشبكة. نقدم آلية مستندة علىMIB لكشف هجمات الشبكة وتصنيف نوع الهجوم باستخدام تقنيات تعلم الآلة.

أولا، جمعنا بيانات(SNMP MIB) الإحصائية من خلال تجارب واقعية تتضمن أنواع مختلفة من هجمات(DoS) وهجوم . (Brute Force)ثانيا، طبقنا تقنيات تعلم الآلة على مجموعة بيانات (MIB) لتصنيف الهجمات من خلال منهجين. في المنهج الأول ، بيانات(MIB) المجمعة يتم تصنيفها إلى المجوعات(Interface, IP, TCP, ICMP, UDP) التابعة لها، ثم تطبيق المصنفات على كل مجموعة بشكل منفصل، من أجل أن نبين فعالية كل مجموعة في التعرف على الهجمات. في المنهج الثاني، يتم استخدام متغيرات(MIB) التي تم تجميعها مع طريقة اختيار ميزات دقيقة لاختيار المتغيرات الأكثر فعالية،ثم مصنفات تعلم الآلة تستخدم لتصنيف نوع الهجوم.

النتائج التجريبية لاستخدام(SNMP MIB) في كلا المنهجين تبين أن طريقتنا حققت نتائج عالية في التعرف على الهجمات وتصنيفها في كلا المنهجين باستخدام تقنيات تعلم الآلة.