TU Darmstadt / ULB / TUbiblio

On the Appropriateness of Negative Selection for Anomaly Detection and Network Intrusion Detection

Stibor, Thomas (2006)
On the Appropriateness of Negative Selection for Anomaly Detection and Network Intrusion Detection.
Technische Universität Darmstadt
Dissertation, Erstveröffentlichung

Kurzbeschreibung (Abstract)

The immune system is a complex system which protects humans and animals against diseases caused by foreign intruders such as viruses, bacteria and fungi. It appears as if the recognition and protection mechanism of the immune system can lead to the development of novel concepts and techniques for detecting intrusions in computer networks, particularly in the area of anomaly detection. In this thesis, the principle of "negative selection" as a paradigm for detecting intrusions in computer networks and anomaly detection is explored. Negative selection is a process of the immune system, which destroys immature antibodies which are capable of recognizing self-antigens. Antibodies which survive the negative selection process are self-tolerant and are capable of recognizing almost any foreign body substance. Roughly speaking one can say that the negative selection endows the immune system with an ability to distinguish between self and non-self. Abstracting the principle of negative selection, the coding antigens as bit-strings which represent network packets or as real-valued n-dimensional points and antibodies as binary detectors or as hyperspheres, one obtains an immune-inspired technique for use in the above mentioned areas of application. We are talking about artificial immune systems, when principles and processes of the immune system are abstracted and applied for solving problems. In this thesis, we explore the appropriateness of the artificial immune system negative selection for intrusion detection and anomaly detection problems. In the first instance, we describe the immune system negative selection principle, and the subsequent the artificial immune system negative selection principe. We then describe which network information are required to de- tect an intrusion. Results reveal that previous works that apply the negative selection for this application area, are not appropriate for real-world intrusion detection problems. Moreover we explore if a different antibody-antigen representations, i.e. real-valued n-dimensional points and high-dimensional hyperspheres are appropriate for anomaly detection problems. The results obtained, reveal that negative selection is not appropriate for anomaly detection problems, especially when compared to statistical anomaly detection methods. In summary, we can unfortunately state that negative selection, is not appropriate for network intrusion detection and anomaly detection problems.

Typ des Eintrags: Dissertation
Erschienen: 2006
Autor(en): Stibor, Thomas
Art des Eintrags: Erstveröffentlichung
Titel: On the Appropriateness of Negative Selection for Anomaly Detection and Network Intrusion Detection
Sprache: Englisch
Referenten: Dilger, Prof.Dr. Werner ; Jonathan, Dr. Timmis
Berater: Eckert, Prof.Dr. Claudia
Publikationsjahr: 20 April 2006
Ort: Darmstadt
Verlag: Technische Universität
Datum der mündlichen Prüfung: 7 März 2006
URL / URN: urn:nbn:de:tuda-tuprints-6810
Kurzbeschreibung (Abstract):

The immune system is a complex system which protects humans and animals against diseases caused by foreign intruders such as viruses, bacteria and fungi. It appears as if the recognition and protection mechanism of the immune system can lead to the development of novel concepts and techniques for detecting intrusions in computer networks, particularly in the area of anomaly detection. In this thesis, the principle of "negative selection" as a paradigm for detecting intrusions in computer networks and anomaly detection is explored. Negative selection is a process of the immune system, which destroys immature antibodies which are capable of recognizing self-antigens. Antibodies which survive the negative selection process are self-tolerant and are capable of recognizing almost any foreign body substance. Roughly speaking one can say that the negative selection endows the immune system with an ability to distinguish between self and non-self. Abstracting the principle of negative selection, the coding antigens as bit-strings which represent network packets or as real-valued n-dimensional points and antibodies as binary detectors or as hyperspheres, one obtains an immune-inspired technique for use in the above mentioned areas of application. We are talking about artificial immune systems, when principles and processes of the immune system are abstracted and applied for solving problems. In this thesis, we explore the appropriateness of the artificial immune system negative selection for intrusion detection and anomaly detection problems. In the first instance, we describe the immune system negative selection principle, and the subsequent the artificial immune system negative selection principe. We then describe which network information are required to de- tect an intrusion. Results reveal that previous works that apply the negative selection for this application area, are not appropriate for real-world intrusion detection problems. Moreover we explore if a different antibody-antigen representations, i.e. real-valued n-dimensional points and high-dimensional hyperspheres are appropriate for anomaly detection problems. The results obtained, reveal that negative selection is not appropriate for anomaly detection problems, especially when compared to statistical anomaly detection methods. In summary, we can unfortunately state that negative selection, is not appropriate for network intrusion detection and anomaly detection problems.

Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

Das Immunsystem ist ein komplexes System welches Menschen und Tiere gegen Krankheiten schützt, die durch fremde Eindringlinge wie z.B. Viren, Bakterien und Pilze hervorgerufen werden. Aus Sicht der Informatik scheinen die Erkennungs- und Abwehrmechanismen des Immunsystems neuartige Konzepte und Techniken zur Eindringlingserkennung in Computer-Netzwerke (engl. network intrusion detection) und im Bereich Anomalieerkennung zu bieten. In dieser Arbeit wird das Prinzip der "negativen Selektion" als Paradigma für Eindringlingserkennung in Computer Netzwerke und Anomalieerkennung untersucht. Unter negativer Selektion versteht man in der Immunologie die Zerstörung von unreifen Antikörpern, die körpereigene Antigene erkennen. Antikörper, die die negative Selektion überstehen, sind selbst-tolerant und besitzen die Fähigkeit nahezu jegliche fremde Körpersubstanz zu erkennen. Das Immunsystem is also in der Lage mittels der negativen Selektion, "selbst" und "fremd" zu unterscheiden. Abstrahiert man dieses Prinzip und kodiert Antigene als binäre Netzwerk-Pakete oder als reelle n-dimensionale Datenpunkte und Antikörper als binäre Detektoren oder hochdimensionale Kugeln, so erhält man eine immun-inspirierte Technik für o.g. Anwendungsbereiche. Man spricht von künstlichen Immunsystemen, wenn Prinzipien und Abläufe im Immunsystem abstrahiert und zum Problemlösen angewandt werden. In dieser Arbeit wird untersucht, ob sich die negative Selektion des künstlichen Immunsystems zur Eindringlingserkennung und für Anomalieerkennungs Probleme eignet. Hierfür wird erst die immunlogische negative Selektion beschrieben und anschließend die küunstliche Immunsystem negative Selektion dargestellt. Weiterhin wird beschrieben, welche Netzwerk-Informationen notwendig sind, um ein Eindringen zu erkennen. Es zeigt sich, dass die bisherigen Arbeiten auf dem Gebiet die mittels negativer Selektion eine Eindringlingserkennung versuchen, nicht für reale Eindringlingserkennung geeignet sind. Ebenfalls wird untersucht, ob eine andere Antikörper-Antigen Kodierungsform, d.h. reelle n-dimensionale Datenpunkte und hochdimensionale Kugeln als Erkennungseinheiten zur Anomalieerkennung geeignet sind. Auch hier zeigen die erzielten Resultate, insbesondere beim Vergleich zu statistischen Anomalieerkennungs-Methoden, dass diese Kodierungsform in Anwendung mit der negativen Selektion unbefriedigende Ergebnisse liefert. Als zusammenfassendes Resultat bleibt leider ein negatives Ergebnis zurück, welches zeigt, dass die negative Selektion nicht zur Eindringlingserkennung in Computer Netzwerke und Anomalieerkennung geeignet ist.

Deutsch
Freie Schlagworte: künstliche Immunsysteme, Anomalieerkennung, Eindringlingserkennung, Maschinelles Lernen
Schlagworte:
Einzelne SchlagworteSprache
artificial immune systems, anomaly detection, intrusion detection, machine learningEnglisch
Sachgruppe der Dewey Dezimalklassifikatin (DDC): 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Fachbereich(e)/-gebiet(e): 20 Fachbereich Informatik
Hinterlegungsdatum: 17 Okt 2008 09:22
Letzte Änderung: 26 Aug 2018 21:25
PPN:
Referenten: Dilger, Prof.Dr. Werner ; Jonathan, Dr. Timmis
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: 7 März 2006
Schlagworte:
Einzelne SchlagworteSprache
artificial immune systems, anomaly detection, intrusion detection, machine learningEnglisch
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen