Thảo Quốc Gia 2015 về Điện Tử, Truyền Thông và Công Nghệ Thông Tin (ECIT 2015)
HộiHội
Thảo
Quốc Gia 2015 về Điện Tử, Truyền Thông và Công Nghệ Thông Tin (ECIT 2015)

Một Phƣơng Thức Phát Hiện Bất Thƣờng Trong
Lƣu Lƣợng Mạng
Nguyễn Hà Dƣơng

Khoa Công nghệ thông tin,
Trƣờng Đại học Xây Dựng Hà Nội
Email:
ví dụ sự tăng đột biến của lƣu lƣợng ngƣời dùng tới một dịch
vụ hoặc sự suy giảm đột ngột lƣu lƣợng do sự cố liên quan đến
thiết bị mạng. Nếu xét riêng trong lĩnh vực an ninh mạng, chức
năng của IDS và ADS là nhƣ nhau vì cùng có mục tiêu phát
hiện tấn cơng vào hệ thống. Trong thực tế, phƣơng pháp phát
hiện của IDS thƣờng dựa trên dấu hiệu biết trƣớc của tập mẫu
nhƣ đã trình bày ở trên mà các hệ thống điển hình là Snort, Bro
[10, 11]. Trong khi đó, ADS thƣờng dựa trên các phƣơng pháp
và mơ hình thống kê, khai phá dữ liệu, học máy v.v.. [1-8].

Abstract— Phát hiện lưu lượng mạng bất thường có thể giúp phát
hiện sớm những nguy cơ tấn cơng mạng do hoạt động tấn cơng
của tin tặc có thể gây ra sự biến đổi khơng bình thường của lưu
lượng mạng, nghĩa là những thăng giáng của lưu lượng so với lưu
lượng bình thường của mạng. Trong bài báo này, tác giả đề xuất
một phương thức phát hiện dấu hiệu bất thường (dPCA) trong
lưu lượng mạng dựa trên thuật tốn phân tích thành phần chính
(PCA). Kết quả thử nghiệm của phương thức phát hiện được
đánh giá dựa trên tập dữ liệu tri thức dành cho phát hiện xâm

nhập NSL-KDD.

Trong một số nghiên cứu [1-7], phƣơng pháp phát hiện bất
thƣờng trong lƣu lƣợng mạng dựa trên thuật toán PCA đã
chứng minh khả năng phát hiện với độ chính xác tƣơng đối cao
và có thể ứng dụng trên mạng trực tuyến. Vì vậy, tác giả đã lựa
chọn sử dụng PCA đề đề xuất một thuật toán và phƣơng thức
phát hiện lƣu lƣợng bất thƣờng trong mục II. Mục III trình bày
kết quả thử nghiệm của phƣơng thức phát hiện. Mục IV là phần
kết luận của bài báo.

Keywords- lưu lượng bất thường; phát hiện lưu lượng bất
thường; phát hiện xâm nhập; an ninh mạng.

I. GIỚI THIỆU
Phát hiện sớm các nguy cơ tấn công mạng là một nhu cầu
cấp thiết trong thực tế. Những hoạt động tấn công thƣờng gây
ra những biến đổi khơng bình thƣờng, những thăng giáng của
lƣu lƣợng mạng, thậm chí tạo ra lƣu lƣợng đột biến so với lƣu
lƣợng bình thƣờng trên mạng. Vì vậy việc phát hiện lƣu lƣợng
bất thƣờng có thể giúp sớm tìm ra những dấu hiệu tấn cơng,
điển hình là các tấn cơng DoS, Scan, v.v..

II.

A. Cơ sở thuật tốn PCA
Phân tích thành phần chính (Principal Component Analysis
– PCA) là một thuật toán thƣờng sử dụng để giảm số chiều dữ
liệu nhƣng vẫn giữ đƣợc phần lớn đặc tính của dữ liệu. Mỗi trị
riêng của thành phần chính tƣơng ứng một phần với sự biến

thiên của các thuộc tính hay biến trong dữ liệu. Trị riêng càng
lớn thì càng chứa nhiều biến thiên và vector riêng tƣơng ứng
phản ánh quy luật biến thiên càng lớn nên càng quan trọng. Do
vậy, những thành phần chính quan trọng nhất cần đƣợc xếp
trƣớc các thành phần không quan trọng.

Một hệ thống phát hiện tấn công hiện nay thƣờng đƣợc gọi
với tên: hệ thống phát hiện xâm nhập (Intrusion Detection
System - IDS) [8-11]. Trong IDS, nhìn chung có hai phƣơng
pháp chính để phát hiện tấn cơng là: phát hiện dựa trên dấu
hiệu và phát hiện bất thƣờng [8]. Phƣơng pháp phát hiện dựa
trên dấu hiệu (signature-based detection) thƣờng đòi hỏi phải
biết trƣớc mẫu dấu hiệu tấn công đã lƣu trong cơ sở dữ liệu và
so sánh lƣu lƣợng thu đƣợc từ mạng với các mẫu dấu hiệu lƣu
sẵn. Tuy nhiên, phƣơng pháp này chỉ có thể phát hiện đƣợc
những dấu hiệu tấn công đã biết mà không phát hiện đƣợc các
loại tấn cơng mới. Mặt khác, tin tặc có thể dễ dàng thay đổi
một vài chi tiết để biến tấn cơng trở thành một kiểu mới, khơng
cịn chứa dấu hiệu biết trƣớc trong cơ sở dữ liệu tập mẫu để
qua đó vƣợt qua đƣợc khả năng phát hiện của phƣơng thức này.
Phƣơng pháp thứ hai khơng địi hỏi mẫu dấu hiệu biết trƣớc,
cho phép phát hiện xâm nhập dựa trên hành vi bất thƣờng
(hành vi bất thƣờng đƣợc hiểu là hành vi tấn cơng). Vì vậy,
phƣơng pháp này cho phép phát hiện đƣợc những kiểu tấn công
mới.

Dữ liệu trong PCA đƣợc biểu diễn bởi các trục tạo thành
bởi các vector riêng. Trong dữ liệu dùng để huấn luyện không
chứa dữ liệu bất thƣờng, những trục tƣơng ứng đƣợc coi là
bình thƣờng. Những điểm nằm cách xa những trục bình thƣờng

này có thể nghi ngờ là bất thƣờng.
Gọi X là một tập dữ liệu gồm n quan sát với p biến X1,
X2,… Xp đƣợc tổ chức thành ma trận nxp (n hàng, p cột). Mỗi
biến biểu thị một thuộc tính của dữ liệu ban đầu. Mỗi quan sát
x=(x1, x2,…,xp)T chứa p thuộc tính khác nhau. Gọi R là ma trận
tƣơng quan pxp tính đƣợc từ X, (k, ek) là các cặp trị riêng và
vector riêng của R đƣợc sắp xếp theo thứ tự giảm dần của trị
riêng (1 2 … p>0), khi đó thành phần chính thứ i của
một quan sát x sẽ đƣợc tính nhƣ sau:

Hệ thống chỉ áp dụng phƣơng pháp phát hiện bất thƣờng
còn đƣợc gọi với tên hệ thống phát hiện bất thƣờng (Anomaly
Detection System - ADS) [8]. ADS khơng chỉ phát hiện tấn
cơng mà cịn có thể phát hiện những sự kiện bất thƣờng khác,

ISBN: 978-604-67-0635-9

PHƢƠNG THỨC ĐỀ XUẤT PHÁT HIỆN LƢU LƢỢNG
BẤT THƢỜNG DỰA TRÊN PCA

92
92


Hội Hội
Thảo
Quốc
GiaGia
2015
vềvềĐiện

CôngNghệ
NghệThông
Thông
(ECIT
2015)
Thảo
Quốc
2015
ĐiệnTử,
Tử,Truyền
TruyềnThông
Thông và
và Công
TinTin
(ECIT
2015)


yi

T
e
i z

ei1 z1  ei 2 z2  ...  eip z p

Một giá trị ngƣỡng dN đƣợc xác định dựa vào hàm phân bố
tích lũy thực nghiệm của độ lệch d (empirical cumulative
distribute function - ecdf) và đƣợc tính trên dữ liệu huấn luyện.


(1)

trong đó: yi là thành phần chính thứ i của quan sát x ban đầu,
i=1…p, ei=(ei1,ei2,…,eip)T là vectơ riêng thứ i

Khi có một quan sát mới, giá trị d sẽ đƣợc tính dựa trên
những tham số huấn luyện nhƣ sau:

z = (z1, z2,…,zp)T là vectơ đã chuẩn hóa của x theo cơng thức:

xk  xk

(2)

 Chuẩn hóa dữ liệu dựa trên giá trị trung bình và căn bậc
hai của phƣơng sai cho mỗi thuộc tính (biến đầu vào).

với xk là giá trị trung bình, sk là phƣơng sai của biến thứ k,
k = 1…p.
Đối với bài toán phát hiện bất thƣờng, khi xử lý một lƣợng
dữ liệu lớn nhiều biến sẽ làm tăng thời gian xử lý dữ liệu và tốn
tài nguyên của hệ thống. Vì vậy, áp dụng thuật tốn PCA có
thể giảm thiểu số chiều không cần thiết và tăng hiệu quả tận
dụng tài nguyên hệ thống.

 Sử dụng vectơ riêng để chuyển mỗi quan sát mới sang
các trục của miền con PCA.

zk 


sk

 Tính giá trị d dựa trên (3) và so sánh với ngƣỡng đã
thiết lập dN khi huấn luyện
Nếu d > dN, quan sát mới đƣợc coi là bất thƣờng. Ngƣợc lại
quan sát đó đƣợc coi là bình thƣờng. Phƣơng thức phát hiện
này trong bài báo đƣợc đặt tên là dPCA.

B. Phương thức phát hiện đề xuất (dPCA)
Trong [1-3, 6], các tác giả theo dõi sự thay đổi các giá trị
thành phần chính và phát hiện sự thay đổi bất thƣờng trên các
thành phần chính nhất định. Các thành phần chính có thể phân
chia thành những thành phần quan trọng phản ánh quy luật
biến thiên của lƣu lƣợng y(m) trong trạng thái bình thƣờng của
hệ thống và những thành phần dƣ thừa phản ánh sự biến thiên
không theo quy luật y(p-m). Trong [1, 6], độ lớn của phần dƣ tái
tạo tƣơng ứng với y(p-m) đƣợc phân tích từ đó phát hiện ra những
dấu hiệu bất thƣờng dựa trên mức ngƣỡng. Một cách tƣơng tự
là tính khoảng cách Euclidean giữa dữ liệu chuẩn hóa z và dữ
liệu tái tạo từ những thành phần chính y(m) [2]. Tuy nhiên sự tái
tạo lại z từ những thành phần chính y(m) làm tăng mức độ xử lý
của hệ thống. Trong [3], khoảng cách Mahalanobis dựa trên
thành phần chính chủ yếu và thứ yếu đƣợc sử dụng để phân
tích dấu hiệu bất thƣờng.

III.

A. Tập dữ liệu NSL-KDD
KDD (Knowledge Data Mining Data Set) là những tập dữ
liệu tri thức thuộc các lĩnh vực khác nhau nhƣ: y tế, an ninh

mạng, kinh tế .. đƣợc tổng hợp từ những điều kiện thực tế và sử
dụng trong các thuật toán, phƣơng pháp khai phá dữ liệu. Một
tập dữ liệu hay sử dụng để kiểm nghiệm các phƣơng thức phát
hiện xâm nhập là KDD-CUP 99 [12]. Đây là tập dữ liệu đã qua
tiền xử lý từ tập dữ liệu DARPA 1998. KDD-CUP 99 tách ra
những trƣờng dữ liệu đặc trƣng (thuộc tính) từ các gói tin (một
số thuộc tính nhƣ bảng 1) sau đó tổng hợp lại cho từng kết nối.
Các trƣờng dữ liệu hay thuộc tính trở thành các biến đầu vào
cho cơ chế phát hiện tấn cơng. Tổng cộng có 42 trƣờng dữ liệu
trong đó trƣờng số 42 đánh nhãn (labeling) mỗi kết nối là bình
thƣờng hoặc tên một loại tấn cơng. Dữ liệu đƣợc phân loại
thành các lớp: Bình thƣờng (Normal) hoặc các lớp tấn cơng
(DoS, PROBE, R2L, U2R).

Từ những nghiên cứu trên có thể thấy bằng cách theo dõi sự
biến thiên của các thành phần chính trong miền con của PCA
hoặc trong miền gốc ban đầu sau khi tái tạo và so sánh với
đƣờng cơ sở đƣợc coi là bình thƣờng, chúng ta có thể phát hiện
ra dấu hiệu bất thƣờng trong lƣu lƣợng của mạng.

KDD-CUP 99 tồn tại một số vấn đề mà điển hình là có q
nhiều dữ liệu dƣ thừa và trùng lặp [12]. Điều này ảnh hƣởng
đến kết quả đánh giá hiệu quả của phƣơng thức phát hiện trong
những nghiên cứu sử dụng tập dữ liệu này [2, 3, 6, 12].

Theo dõi từng giá trị PCA không hiệu quả khi sự biến thiên
của các biến ban đầu phân tán sang các thành phần chính khác
nhau của khơng gian con PCA. Vì vậy cần kết hợp các thành
phần chính này lại trong thuật toán phát hiện bất thƣờng.


Bài báo này sử dụng tập dữ liệu NSL-KDD cho việc thử
nghiệm thuật toán phát hiện bất thƣờng. NSL-KDD là tập dữ
liệu đƣợc phát triển từ tập KDD-CUP 99 nhƣng đã loại bỏ
những kết nối dƣ thừa hoặc trùng lặp [12]. Do đã khắc phục
đƣợc một số nhƣợc điểm quan trọng trong KDD-CUP 99,
NSL-KDD là một tập dữ liệu có độ tin cậy cao hơn KDD-CUP
99 khi thử nghiệm các phƣơng thức phát hiện bất thƣờng.

Tiếp theo, bài báo đề xuất một thuật tốn phát hiện dấu hiệu
bất thƣờng trong khơng gian con của PCA:
q

d   wi yi

c

THỬ NGHIỆM PHƢƠNG THỨC PHÁT HIỆN DPCA

(3)

ir

Trong đó: 1  r  q  p , wi là trọng số cho thành phần
chính yi đƣợc lựa chọn dựa trên thực nghiệm, d là độ lệch hình
thành từ các thành phần chính yi và trọng số tƣơng ứng wi, c là
số mũ của yi. c là hằng số, có thể là số thực hoặc số nguyên.
wi , c đƣợc lựa chọn dựa trên thực nghiệm.

B. Các thông số đánh giá trong thử nghiệm
True Positive (TP): Sự kiện một mẫu tấn cơng đƣợc phát

hiện chính xác
False Positive (FP): Sự kiện một mẫu bị phát hiện là tấn
công nhƣng thực tế lại là mẫu bình thƣờng

Tập hợp các giá trị của d đƣợc tính trên tất cả các quan sát
với dữ liệu huấn luyện sạch (không chứa bất thƣờng) sẽ tạo nên
đƣờng cơ sở để phát hiện ngoại lai. Vì vậy có thể coi d là độ
lệch của mỗi quan sát để xét quan sát đó là bình thƣờng hay bất
thƣờng.

True Negative (TN): Sự kiện một mẫu bình thƣờng đƣợc
phát hiện chính xác
False Negative (FN): Sự kiện một mẫu đƣợc hệ thống phát
hiện là bình thƣờng nhƣng thực tế lại là mẫu tấn công.

93
93


HộiHội
Thảo
Quốc
vàCông
CôngNghệ
Nghệ
Thông
(ECIT
2015)
Thảo
QuốcGia

Gia2015
2015về
vềĐiện
Điện Tử,
Tử,Truyền
Truyền Thông
Thông và
Thông
TinTin
(ECIT
2015)

Precision (Độ chinh xác): Bằng tỷ lệ số mẫu phát hiện tấn
cơng chính xác và tổng số mẫu phát hiện là tấn công trong tập
dữ liệu kiểm tra
Precision 

TP
TP  FP

(4)

True Positive Rate (TPR) còn gọi là Recall: Tỷ lệ giữa số
mẫu tấn cơng phát hiện chính xác và số mẫu tấn công thực tế
trong tập dữ liệu kiểm tra
TPR 

TP
TP  FN


TP  TN
TP  FP  TN  FN

Features

% số kết nối đến cùng dịch vụ đang
xét

dst_host_count

Số lƣợng địa chỉ đích

dst_host_srv_count

Số lƣợng kết nối đến cùng địa chỉ
đích đang xét và cùng dịch vụ đích

(8)

d =| yr|+ |yr+1|+ …+ |yq|
B NG II.
k

(6)

Precision (%)

KẾT QU THỬ NGHIỆM 1
TPR (%)


FPR (%)

TA (%)

13

95.3

75.3

3.2

86.8

3

94.6

87.2

4.3

92.1

Do trị riêng i phản ánh mức biến thiên của các trục thành
phần chính tạo nên bởi vectơ riêng ei nên có thể i đƣa vào
trọng số wi của công thức (3).
Bảng 3 thống kê kết quả phát hiện với trọng số wi = i và
hằng số c =1. Công thức (3) trở thành:


(7)

d = r |yr|+ r+1 |yr+1|+ …+q|yq|

C. Thử nghiệm và kết quả
Quá trình thử nghiệm đƣợc thực hiện dựa trên phần mềm
Matlab R2013a. Bài báo sử dụng 1000 kết nối bình thƣờng
dùng để huấn luyện; 50000 kết nối cả tấn cơng và bình thƣờng
đƣợc lựa chọn ngẫu nhiên để kiểm tra độ chính xác của phƣơng
thức phát hiện. Do tập dữ liệu có rất nhiều thuộc tính nên bài
báo chỉ lựa chọn những thuộc tính cần thiết đƣợc liệt kê trong
bảng 1. Quá trình thử nghiệm lựa chọn tất cả các thành phần
chính và một số thành phần chính cuối cùng từ đó thống kê tỷ
lệ phát hiện thành công và cảnh báo sai. Kết quả của phƣơng
thức phát hiện bất thƣờng đƣợc thống kê trong các bảng 2-6.
Giá trị k trong các bảng 2-6 là số thành phần chính.
B NG I.

diff_srv_rate

(5)

Total Accuracy (TA) : Độ chính xác tổng bằng số mẫu phát
hiện chính xác của cả tấn cơng và bình thƣờng trên số mẫu của
tập dữ liệu
TA 

% số kết nối có lỗi đồng bộ REJ

Bảng 2 thống kê kết quả phát hiện với trọng số wi =1 và

hằng số c =1. Công thức (3) trở thành:

False Positive (FPR): Tỷ lệ giữa số mẫu tấn cơng phát hiện
sai và số mẫu bình thƣờng trong tập dữ liệu kiểm tra
FP
FPR 
TN  FP

rerror_rate

B NG III.
k

Precision (%)



KẾT QU THỬ NGHIỆM 2
TPR (%)

FPR (%)

TA (%)

13

96.7

68.4


3.3

83.6

3

95.0

85.6

3.8

92.0

Bảng 4 thống kê kết quả phát hiện với trọng số wi = i1/ 2 và
hằng số c =1. Công thức (3) trở thành:

d r1/ 2 yr  r1/21 yr 1  ...  q1/ 2 yq 



THUỘC TÍNH DÙNG TRONG THỬ NGHIỆM



Meaning

duration

Thời gian của kết nối


protocol_type

Loại giao thức

service

Dịch vụ (ví dụ HTTP)

13

95.1

69.9

3.1

84.4

src_bytes

Số lƣợng byte gửi từ nguồn đến đích

3

94.8

87.6

4.1


92.1

dst_bytes

Số lƣợng byte gửi từ đích về nguồn

num_access_files

Số lƣợng truy nhập file điều khiển

count

Số lƣợng kết nối đến cùng địa chỉ
đích đang xét trong 2s

srv_count
serror_rate

B NG IV.
k

Precision (%)

KẾT QU THỬ NGHIỆM 3
TPR (%)

FPR (%)

TA (%)


Bảng 5 thống kê kết quả phát hiện với trọng số wi =
1/ i và hằng số c =2. Công thức (3) trở thành:

Số lƣợng kết nối đến cùng dịch vụ
đích đang xét trong 2s



% số kết nối có lỗi đồng bộ SYN

94
94

d 

yr2

r



yr21

r 1

 ... 

yq2


q








HộiHội
Thảo
Quốc
Gia
2015
và Công
CôngNghệ
NghệThông
Thông
(ECIT
2015)
Thảo
Quốc
Gia
2015vềvềĐiện
ĐiệnTử,
Tử,Truyền
TruyềnThông
Thông và
TinTin
(ECIT

2015)
B NG V.
k

KẾT QU THỬ NGHIỆM 4

Precision (%)

TPR (%)

FPR (%)

IV. KẾT LUẬN
Trên cơ sở những nghiên cứu về phát hiện lƣu lƣợng bất
thƣờng dựa trên thuật toán PCA, bài báo đề xuất một thuật toán
cho đƣờng cơ sở của phƣơng thức phát hiện lƣu lƣợng bất
thƣờng. Kết quả thử nghiệm cho thấy sự thay đổi độ chính xác
của của phƣơng thức đề xuất với những tham số khác nhau của
thuật toán đƣờng cơ sở cũng nhƣ số lƣợng thành phần chính.
Ngồi ra, kết quả cũng cho thấy việc phát hiện bất thƣờng của
phƣơng thức đề xuất (dPCA) có thể thực hiện đƣợc với những
thành phần chính cuối cùng đƣợc coi là phần dƣ với điều kiện
lƣu lƣợng mạng dùng cho dữ liệu tập huấn đầu vào không chứa
bất thƣờng (dữ liệu sạch).

TA (%)

13

95.4


80.3

3.4

89.1

3

95.1

87.2

3.8

92.1

Bảng 6 thống kê kết quả phát hiện với trọng số wi =
1/ i và hằng số c =1. Công thức (3) trở thành:



d

yr

r




yr 1

r 1

 ... 

yq

q





TÀI LIỆU THAM KH O
[1]

B NG VI.
k

Precision (%)

KẾT QU THỬ NGHIỆM 5
TPR (%)

FPR (%)

[2]

TA (%)


13

95.6

81

3.2

89.3

3

95.2

87.1

3.8

92.0

[3]
[4]

Nhận xét: Kết quả thử nghiệm cho thấy khi lựa chọn wi =
1, wi = i, wi = i1/ 2 có sự chênh lệch tỷ lệ TPR rất lớn giữa k =
3 và k = 13. TPR cho biết khả năng phát hiện tấn công trong
tổng số tấn cơng đƣa vào kiểm tra. Điều đó cho thấy các giá trị
ngoại lai thƣờng nằm ở những thành phần chính cuối cùng
đƣợc coi là phần dƣ. Quy luật biến thiên của hệ thống trong

điều kiện bình thƣờng khi khơng có tấn cơng thƣờng nằm ở
những thành phần chính đầu tiên. Do vậy khi lựa chọn k = 13,
nếu khuyếch đại các thành phần chính này bằng wi = i, wi =

i1/ 2 thì sự chênh lệch của w i yi

[5]
[6]
[7]
[8]

c

giữa những thành phần
chính đầu tiên và cuối cùng càng lớn và làm mất đi một số giá
trị ngoại lai trong d. So với kết quả trong các nghiên cứu [2, 3,
6], tác giả nhận định rằng kết quả đạt đƣợc là tƣơng đƣơng
nhƣng giảm đƣợc mức độ tính tốn cho thuật tốn của đƣờng
cơ sở với cơng thức (8), (11) và (12). Cơng thức (8) có thể áp
dụng cho phần dƣ khi sự chênh lệch giữa các thành phần chính
cuối cùng là khơng nhiều. Thử nghiệm với công thức (11) và
(12) cho kết quả tƣơng đƣơng nhau nhƣng áp dụng cơng thức
(12) giảm đƣợc mức độ tính tốn vì trọng số wi là cố định trong
khi khơng phải tính bình phƣơng của các thành phần chính.
Khi lựa chọn trọng số wi = 1/ i , wi = 1/ i coi nhƣ chuẩn
hóa yi c trong miền con PCA nên sự chênh lệch TPR không quá
nhiều giữa các giá trị k. Đồng thời, kết quả thử nghiệm trong
bài báo có độ tin cậy cao hơn [2, 3, 6] vì sử dụng tập dữ liệu
NSL-KDD đã khắc phục đƣợc một số nhƣợc điểm quan trọng
ảnh hƣởng đến hiệu quả đánh giá của phƣơng thức phát hiện

với KDD-CUP 99.

[9]
[10]
[11]
[12]
[13]
[14]

A. Lakhina, M. Crovella, and C. Diot, “Diagnosing network-wide traffic
anomalies,” in Proc. of ACM SIGCOMM, pp. 219–230, 2004.
W. Wang and R. Battiti, “Identifying Intrusions in Computer Networks
with Principal Component Analysis,” in Proc. of IEEE ARES, 2006.
M. Shyu, S. Chen, K. Sarinnapakorn, L. Chang, "Principal
Componentbased Anomaly Detection Scheme", Foundations and Novel
Approaches in Data Mining, Vol. 9, pp. 311-329, 2006.
Y. Bouzida, “Efficient intrusion detection using principal component
analysis,” in Proc. of 7th World Multiconference on Systemics,
Cybernetics and Informatics, 2003.
D. Brauckhoff, K. Salamatian, M. May, “Applying PCA for Traffic
Anomaly Detection: Problems and Solutions,” in Proc. of IEEE
INFOCOM, 2009.
A. Lakhina, M. Crovella, and C. Diot Diot, “Mining anomalies using
traffic feature distributions,” in Proc. of ACM SIGCOMM, 2005.
L. Mechtri, F.D. Tolba, N.Ghoualmi, “Intrusion detection using
principal component analysis,” in Proc. of IEEE ICESMA, 2010.
M.H.Bhuyan, D.K.Bhattacharyya, J.K.Kalita, “Network Anomaly
Detection: Methods, Systems and Tools,” in Proc. of IEEE
Communications Surveys and Tutorials, Vol. 16, pp. 303 – 336, 2013.
K. Wankhade, S. Patka, R. Thool, “An Overview of Intrusion Detection

Based on Data Mining Techniques,” in Proc. of IEEE CSNT, 2013.
C. Kacha, K. A. Shevade, “Comparison of Different Intrusion Detection
and Prevention Systems,” Intl. Journal of Emerging Technology and
Advanced Engineering, Vol.2, Iss.12, pp.243-245, 2012.
S. Myers, J. Musacchio, N. Bao, “Intrusion Detection Systems: A
Feature and Capability Analysis,” Tech.Report UCSC-SOE-10-12, Jack
Baskin School of Engineering, 2010.
M. Tavallaee, E. Bagheri, W. Lu, A.A. Ghorbani, “A Detailed
Analysis of the KDD CUP 99 Data Set,” In the Proc. of IEEE
CISDA 2009.
The
KDD99
cup
data,

/databases/kddcup99/kddcup99.html, 1999
The NSL-KDD data, 2009.




95
95