An application of principal component analysis to the detection and visualization of computer network attacks

摘要

Network traffic data collected for intrusion analysis is typically high-dimensional making it difficult to both analyze and visualize. Principal Component Analysis is used to reduce the dimensionality of the feature vectors extracted from the data to enable simpler analysis and visualization of the traffic. Principal Component Analysis is applied to selected network attacks from the DARPA 1998 intrusion detection data sets namely: Denial-of-Service and Network Probe attacks. A method for identifying an attack based on the generated statistics is proposed. Visualization of network activity and possible intrusions is achieved using Bi-plots, which provides a summary of the statistics.%Les données de trafic que l'on collecte lors d'intrusions dans des réseaux se caractérisent par leur côté multidimensionnel, ce qui les rend difficiles à analyser et à visualiser. L'analyse en composantes principales est ici utilisée pour réduire le nombre de dimensions des vecteurs extraits de ces données, ce qui rend plus simple l'analyse et la visualisation du trafic. Elle est appliquée à des attaques de réseaux prises dans les jeux de données de détection d'intrusion du DARPA 1998 à savoir : attaques par saturation (déni de service) et attaques par sonde. Une méthode d'identification de l'attaque basée sur des statistiques générales est proposée. La visualisation de l'activité du réseau et d'éventuelles intrusions est réalisée en utilisant des « bi-plots », qui fournissent un condensé de ces statistiques.