TU Darmstadt / ULB / TUprints

On the Appropriateness of Negative Selection for Anomaly Detection and Network Intrusion Detection

Stibor, Thomas (2006)
On the Appropriateness of Negative Selection for Anomaly Detection and Network Intrusion Detection.
Technische Universität Darmstadt
Ph.D. Thesis, Primary publication

[img]
Preview
Text
dissertation_thomas_stibor.pdf
Copyright Information: CC BY-NC-ND 2.5 Generic - Creative Commons, Attribution, NonCommercial, NoDerivs .

Download (1MB) | Preview
Item Type: Ph.D. Thesis
Type of entry: Primary publication
Title: On the Appropriateness of Negative Selection for Anomaly Detection and Network Intrusion Detection
Language: English
Referees: Dilger, Prof.Dr. Werner ; Jonathan, Dr. Timmis
Advisors: Eckert, Prof.Dr. Claudia
Date: 20 April 2006
Place of Publication: Darmstadt
Date of oral examination: 7 March 2006
Abstract:

The immune system is a complex system which protects humans and animals against diseases caused by foreign intruders such as viruses, bacteria and fungi. It appears as if the recognition and protection mechanism of the immune system can lead to the development of novel concepts and techniques for detecting intrusions in computer networks, particularly in the area of anomaly detection. In this thesis, the principle of "negative selection" as a paradigm for detecting intrusions in computer networks and anomaly detection is explored. Negative selection is a process of the immune system, which destroys immature antibodies which are capable of recognizing self-antigens. Antibodies which survive the negative selection process are self-tolerant and are capable of recognizing almost any foreign body substance. Roughly speaking one can say that the negative selection endows the immune system with an ability to distinguish between self and non-self. Abstracting the principle of negative selection, the coding antigens as bit-strings which represent network packets or as real-valued n-dimensional points and antibodies as binary detectors or as hyperspheres, one obtains an immune-inspired technique for use in the above mentioned areas of application. We are talking about artificial immune systems, when principles and processes of the immune system are abstracted and applied for solving problems. In this thesis, we explore the appropriateness of the artificial immune system negative selection for intrusion detection and anomaly detection problems. In the first instance, we describe the immune system negative selection principle, and the subsequent the artificial immune system negative selection principe. We then describe which network information are required to de- tect an intrusion. Results reveal that previous works that apply the negative selection for this application area, are not appropriate for real-world intrusion detection problems. Moreover we explore if a different antibody-antigen representations, i.e. real-valued n-dimensional points and high-dimensional hyperspheres are appropriate for anomaly detection problems. The results obtained, reveal that negative selection is not appropriate for anomaly detection problems, especially when compared to statistical anomaly detection methods. In summary, we can unfortunately state that negative selection, is not appropriate for network intrusion detection and anomaly detection problems.

Alternative Abstract:
Alternative AbstractLanguage

Das Immunsystem ist ein komplexes System welches Menschen und Tiere gegen Krankheiten schützt, die durch fremde Eindringlinge wie z.B. Viren, Bakterien und Pilze hervorgerufen werden. Aus Sicht der Informatik scheinen die Erkennungs- und Abwehrmechanismen des Immunsystems neuartige Konzepte und Techniken zur Eindringlingserkennung in Computer-Netzwerke (engl. network intrusion detection) und im Bereich Anomalieerkennung zu bieten. In dieser Arbeit wird das Prinzip der "negativen Selektion" als Paradigma für Eindringlingserkennung in Computer Netzwerke und Anomalieerkennung untersucht. Unter negativer Selektion versteht man in der Immunologie die Zerstörung von unreifen Antikörpern, die körpereigene Antigene erkennen. Antikörper, die die negative Selektion überstehen, sind selbst-tolerant und besitzen die Fähigkeit nahezu jegliche fremde Körpersubstanz zu erkennen. Das Immunsystem is also in der Lage mittels der negativen Selektion, "selbst" und "fremd" zu unterscheiden. Abstrahiert man dieses Prinzip und kodiert Antigene als binäre Netzwerk-Pakete oder als reelle n-dimensionale Datenpunkte und Antikörper als binäre Detektoren oder hochdimensionale Kugeln, so erhält man eine immun-inspirierte Technik für o.g. Anwendungsbereiche. Man spricht von künstlichen Immunsystemen, wenn Prinzipien und Abläufe im Immunsystem abstrahiert und zum Problemlösen angewandt werden. In dieser Arbeit wird untersucht, ob sich die negative Selektion des künstlichen Immunsystems zur Eindringlingserkennung und für Anomalieerkennungs Probleme eignet. Hierfür wird erst die immunlogische negative Selektion beschrieben und anschließend die küunstliche Immunsystem negative Selektion dargestellt. Weiterhin wird beschrieben, welche Netzwerk-Informationen notwendig sind, um ein Eindringen zu erkennen. Es zeigt sich, dass die bisherigen Arbeiten auf dem Gebiet die mittels negativer Selektion eine Eindringlingserkennung versuchen, nicht für reale Eindringlingserkennung geeignet sind. Ebenfalls wird untersucht, ob eine andere Antikörper-Antigen Kodierungsform, d.h. reelle n-dimensionale Datenpunkte und hochdimensionale Kugeln als Erkennungseinheiten zur Anomalieerkennung geeignet sind. Auch hier zeigen die erzielten Resultate, insbesondere beim Vergleich zu statistischen Anomalieerkennungs-Methoden, dass diese Kodierungsform in Anwendung mit der negativen Selektion unbefriedigende Ergebnisse liefert. Als zusammenfassendes Resultat bleibt leider ein negatives Ergebnis zurück, welches zeigt, dass die negative Selektion nicht zur Eindringlingserkennung in Computer Netzwerke und Anomalieerkennung geeignet ist.

German
Uncontrolled Keywords: künstliche Immunsysteme, Anomalieerkennung, Eindringlingserkennung, Maschinelles Lernen
Alternative keywords:
Alternative keywordsLanguage
künstliche Immunsysteme, Anomalieerkennung, Eindringlingserkennung, Maschinelles LernenGerman
artificial immune systems, anomaly detection, intrusion detection, machine learningEnglish
URN: urn:nbn:de:tuda-tuprints-6810
Classification DDC: 000 Generalities, computers, information > 004 Computer science
Divisions: 20 Department of Computer Science
Date Deposited: 17 Oct 2008 09:22
Last Modified: 10 Dec 2012 10:07
URI: https://tuprints.ulb.tu-darmstadt.de/id/eprint/681
PPN:
Export:
Actions (login required)
View Item View Item