earticle

영어

As a way to respond to external threats due to the increase of Internet usage, researches on machine learning methods for network intrusion detection becomes more active. However the problem of data imbalance caused by minority classes is pointed out in the application of machine learning algorithms for intrusion detection. In general classification problems including network intrusion detection, the accuracy of the entire model is often the goal rather than handling the problems caused by such minority classes, so it may not be easy to deal with data imbalance. In this paper, we checked that there is a data imbalance problem in the random forest model used in network intrusion detection, and organized the composition and effect of the gradient boosting classifier for this point. The Random Forest (RF) model and the Gradient Boosting Classifier (GBC) were constructed using the KDDTrain+ data and evaluated using the KDDTest+ data. The difference in the performance of the RF model and the GBC is that the precision and recall of the GBC are higher than that of the RF model without a significant change in accuracy in low-frequency intrusion types. This effect of GBC is expected to have the effect of reducing the overall damage by detecting intrusion types that cause particularly serious damage with a higher probability.

한국어

인터넷 사용의 증가로 인한 외부위협에 대응하는 방안의 하나로서 네트워크 침입탐지를 위한 머신러닝 방식의 연구가 활발하다. 그런데 침입탐지를 위한 머신러닝 알고리즘의 적용에 있어서 소수 클래스로 인해 발생하는 데이터 불균형 문제가 지적된다. 네트워크 침입탐지를 비롯한 일반적인 분류에서는 데이터 불균형에 의한 문제점보다는 대개 전체 모형의 정확도가 목표인 경우가 많아서, 데이터 불균형에 대한 대처가 쉽지 않을 수 있다. 네트워크 침입탐지에 대한 랜덤포레스트(RF) 모형에서 데이터 불균형 문제가 있음을 본 논문에서 확인하 고, 이를 개선하기 위한 그래디언트부스팅 분류기(GBC)의 구성 및 효과를 정리하였다. 랜덤포레스트 모형과 그래디언트부스팅 분류기의 구성은 KDDTrain+ 데이터를 활용하였고, KDDTest+ 데이터로써 구성한 모형을 평가하였다. RF모형과 GBC의 성능에서 보이는 차이점 은 빈도가 낮은 침입유형에서 RF모형에 비해 정확도의 큰 변화 없이 GBC의 정밀도 및 재현율이 높은 것을 확인하였다. GBC의 이러한 효과는 특히 피해가 큰 침입유형에 대해 높은 탐지율로써 전체 피해를 줄이는 효과를 기대할 수 있다.