BGP ANOMALY DETECTION USING ASSOCIATION RULE MINING ALGORITHMS

Abstract

ABSTRACT

Border Gateway Protocol (BGP) is the most common gateway protocol for the communication between autonomous systems to share routing and reachability information. Anomalous behavior of protocol attributes could occur due to a variety of factors, including inadequate provisioning, malicious attacks, traffic or equipment issues, and network operator mistakes. A rule-based machine learning method was proposed to detect anomalies behavior features of BGP protocol according to the training attributes dataset model. Depending on the association rule, the dataset is analyzed and divided into sub-frequent pattern datasets. One anomalous frequent itemset is chosen from each pattern dataset to compare them and determine the itemset that has the highest value of anomaly. Finally, the association rules are built between these anomalous itemsets. The most utilized rule-based machine learning algorithms in anomaly detection are Frequent Pattern (FP) growth and apriori algorithms. However, no comparative evaluation studies have been conducted between these algorithms in the literature. In this context, this study aims to employ a feature selection approach by association rule unsupervised algorithms to detect BGP anomalies and evaluate the performance of these algorithms in terms of values of support, confidence, and accuracy. Moreover, the anomaly detection findings were visualized using an effective and customized tool and framework to clarify the performance in a more accurate and detailed manner.

ÖZET

Sınır Ağ Geçidi Protokolü (BGP), yönlendirme ve erişilebilirlik bilgilerini paylaşmak için otonom sistemler arasındaki iletişim için en yaygın ağ geçidi protokolüdür. Yetersiz provizyon, kötü niyetli saldırılar, trafik veya ekipman sorunları ve ağ operatörü hataları gibi çeşitli faktörler nedeniyle protokol özniteliklerinde anormal davranış meydana gelebilir. Eğitim nitelikleri veri seti modeline göre BGP protokolünün anormal davranış özelliklerini tespit etmek için kural tabanlı bir makine öğrenme yöntemi önerilmiştir. İlişkilendirme kuralına bağlı olarak, veri seti analiz edilir ve alt frekanslı model veri setlerine bölünür. Bunları karşılaştırmak ve en yüksek anormallik değerine sahip öğe kümesini belirlemek için her örüntü veri kümesinden bir anormal sık öğe kümesi seçilir. Son olarak, bu anormal öğe kümeleri arasında birliktelik kuralları oluşturulur. Anormallik tespitinde en çok kullanılan kural tabanlı makine öğrenimi algoritmaları, Sık Model (FP) büyümesi ve apriori algoritmalarıdır. Ancak literatürde bu algoritmalar arasında herhangi bir karşılaştırmalı değerlendirme çalışması yapılmamıştır. Bu bağlamda, bu çalışma, BGP anormalliklerini tespit etmek ve bu algoritmaların performansını destek, güven ve doğruluk değerleri açısından değerlendirmek için birliktelik kuralı denetimsiz algoritmalarla bir özellik seçimi yaklaşımı kullanmayı amaçlamaktadır. Ayrıca, performansı daha doğru ve ayrıntılı bir şekilde netleştirmek için anomali tespit bulguları etkili ve özelleştirilmiş bir araç ve çerçeve kullanılarak görselleştirildi.