A Stacking Ensemble Learning Approach for Intrusion Detection System

Abstract

Intrusion detection systems (IDSs) have received great interest in computer science, along with increased network productivity and security threats. The purpose of this study is to determine whether the incoming network traffic is normal or an attack based on 41 features in the NSL-KDD dataset. In this paper, the performance of a stacking technique for network intrusion detection was analysed. Stacking technique is an ensemble approach which is used for combining various classification methods to produce a preferable classifier. Stacking models were trained on the NSLKDD training dataset and evaluated on the NSLKDDTest+ and NSLKDDTest21 test datasets. In the stacking technique, four different algorithms were used as base learners and an algorithm was used as a stacking meta learner. Logistic Regression (LR), Decision Trees (DT), Artificial Neural Networks (ANN), and K Nearest Neighbor (KNN) are the base learner models and Support Vector Machine (SVM) model is the meta learner. The proposed models were evaluated using accuracy rate and other performance metrics of classification. Experimental results showed that stacking significantly improved the performance of intrusion detection systems. The ensemble classifier (DT-LR-ANN + SVM) model achieved the best accuracy results with 90.57% in the NSLKDDTest + dataset and 84.32% in the NSLKDDTest21 dataset.

Saldırı tespit sistemleri (STS'ler), artan ağ verimliliği ve güvenlik tehditlerinin yanı sıra bilgisayar bilimlerinde de büyük ilgi görmüştür. Bu çalışmanın amacı, NSL-KDD veri kümesindeki 41 özelliğe bağlı olarak gelen ağ trafiğinin, normal veya saldırı olup olmadığını belirlemektir. Bu yazıda, ağ izinsiz giriş tespiti için bir istifleme tekniğinin performansı analiz edilmiştir. İstifleme tekniği, tercih edilebilir bir sınıflandırıcı üretmek için çeşitli sınıflandırma yöntemlerini birleştirerek kullanılan bir topluluk yaklaşımıdır. İstifleme modelleri NSLKDD eğitim veri seti üzerinde eğitilmiş ve NSLKDDTest+ ve NSLKDDTest21 test veri setleri üzerinde test edilmiştir. İstifleme tekniğinde temel öğrenenler olarak dört farklı algoritma ve istifleme meta öğrenicisi olarak bir algoritma kullanılmıştır. Lojistik Regresyon (LR), Karar Ağaçları (KA), Yapay Sinir Ağları (YSA) ve K En Yakın Komşu (KEYK) temel öğrenici modelleridir ve Destek Vektör Makinesi (DVM) modeli meta öğrenicidir. Önerilen modeller, doğruluk oranı ve sınıflandırmanın diğer performans metrikleri kullanılarak değerlendirilmiştir. Deney sonuçları istiflemenin saldırı tespit sisteminin performansını önemli ölçüde artırdığını göstermiştir. Topluluk sınıflandırıcısı (KA-LR-YSA + DVM) modeli, NSLKDDTest+ veri kümesinde %90.57 ve NSLKDDTest21 veri kümesinde %84.32 ile en iyi sonuçlara ulaşmıştır.