Resumen de Sistemas de detección de intrusos con mapas autorganizativos probabilísticos y optimización multiobjetivo
Disponer de procedimientos eficientes de clasificación de patrones es esencial en muchas aplicaciones de gran interés socio-económico. Una de ellas es el diseño de Sistemas de Detección de Intrusos en sistemas de cómputo. Un factor fundamental para la consecución de eficiencia en procesos de clasificación, es la ejecución previa de técnicas de selección y/o extracción de características sobre el conjunto de datos. Lo cual no sólo mejora la precisión de la clasificación, también mejora la capacidad de generalización en el caso de la clasificación supervisada, o contrarresta el sesgo que se genera con números más bajos o más altos de características, que se presenta en algunos de los métodos utilizados para validar la agrupación/clasificación, en el caso de los clasificadores no supervisados.
Para desarrollar el objeto de estudio de esta investigación (clasificación mediante redes neuronales y optimización multiobjetivo para la detección de intrusos), previamente ha sido necesario resolver un problema de selección de características. Con el fin de indentificar la elección de un subconjunto adecuado de características, que permita la reducción de la dimensionalidad en el conjunto de datos, lo que contribuye a disminuir la complejidad computacional de la clasificación, mejorando el rendimiento del clasificador y evitando características redundantes o irrelevantes. Aunque la selección de características se puede definir formalmente como un problema de optimización con un solo objetivo, es decir, la precisión (accuracy) de la clasificación, obtenida usando el subconjunto de característica seleccionada, en los últimos años, se han propuesto algunos enfoques multi-objetivo para este problema. Aquí se rigue esta línea. Así, la principal contribución de este trabajo es un enfoque multi-objetivo para la selección de características y su aplicación a un procedimiento de agrupamiento no supervisado basado en Mapas Auto-Organizados Jerárquicos Crecientes (GHSOMs) que incluye un nuevo método para el etiquetado de unidades y la determinación eficiente de las unidades ganadoras. En el problema de la detección de anomalías de red aquí considerado, este enfoque multi-objetivo hace posible no sólo diferenciar entre el tráfico normal y anómalo (biclase), también lo hace entre las diferentes anomalías (multiclase). La eficiencia de la propuesta se ha evaluado mediante el uso del conjunto de datos DARPA/NSL-KDD que contiene características extraídas y ataques etiquetados de alrededor de 2 millones de conexiones. Los conjuntos de características seleccionadas que se han calculado en los experimentos proporcionan tasas de detección de hasta un 99,8% con el tráfico normal y hasta un 99,6% con tráfico anómalo, así como valores de precisión (accuracy) de hasta el 99,12%.
Este trabajo se ha realizado en el marco del proyecto TIN2012-32039, financiado por el Ministerio de Economía y Competitividad de España y de los Fondos Feder.
