بخشی از مقاله
چکیده
تجزیه و تحلیل و نظارت بر ترافیک انتقالی شبکه تلاش دارد که با حجم انبوهی از داده ها در زمان واقعی سر و کار داشته باشد. حملههای صفرروزه2 یکی از خطرناکترین تهدیدهای هستند که کامپیوترهای شبکه را تهدید میکنند و همچنین در معنای لغوی به حملههایی گفته میشود که تا به حال توسط سیستم شناختهنشدهاند. ابزارهای دفاعی مبتنی بر امضا3 طوری ساختهشدهاند که حملههایی که شناختهشدهاند، یعنی در پایگاه داده ثبتشدهاند، به هیچ عنوان نمیتوانند علیه سیستم هیچگونه تهدیدی انجام بدهند. اخیرا ابزارهای دفاعی مبتنی بر الگوریتمهای یادگیری ماشین ساخته میشوند و به دلیل اینکه این روشها حملههای Zero-Days را تا حد قابل قبولی خنثی کردهاند، از محبوبیت خوبی برخوردار شدهاند. در این پژوهش سیستم تشخیص حمله ترافیک انتقالی مبتنی بر ناهنجاری ارائه خواهیم داد. این سیستم ترافیک شبکهای که به سمت سرور هدایت میشود را تجزیه و تحلیل میکند. در این پژوهش کارهای مختلفی را انجام خواهیم داد. اولا الگوریتمی ارائهشده که اجازه میدهد تا مدل دقیقی به وجود آید ، سپس طبقه بندی کننده چندگانه باعث میشود تا دقت طبقهبندی را نسبت به مدل قبلی افزایش بدهد . نتایج و آزمایشات نشان میدهد سیستم مذکور نسبت به سیستم های گذشته از دقت تشخیص بالایی برخوردار بوده است و نرخ مثبت کاذب پایینی را ارائه میکند.
-1 مقدمه
افزایش تعداد برنامههای تحت وب باعث شده است که مسئلهی محافظت ومراقبت یکی از مسائل کلیدی در بحث امنیت کامپیوتر شود. حملات بات نت یکی از بزرگترین چالش های امنیتی محققان و تحلیل گران امروزی است که در سطح بین الملی با آن مواجه هستند. زیان های اقتصادی که این حملات به شبکه های کامپیوتری وارد کرده اند چیزی بیش از میلیاردها دلار است. اخیرا این حملات به کاربران و مدیران وردپرس حمله کردند و DDoS در این شبکه رخ داد. متاسفانه تعداد حمله-های جدیدی که در هر روز ظاهر می شوند همواره رو به افزایش است. با توجه به استفاده از سیستم های سنتی مبتنی بر امضا4 که فرایند شناسایی حمله را با مقایسه حملات موجود در پایگاه داده انجام میدهند، در مواجه با نوعی از حمله که در پایگاه داده وجود نداشته باشد - حمله جدید - سیستم ناتوان خواهد بود. یک پیشنهاد برای این مشکل این خواهد بود که همیشه آخرین حملات فورا در پایگاه داده ثبت شوند که خود این عمل بسیار پر هزینه خواهد بود. یک راه حل ممکن برای حل این مسئله با عنوان سیستمهای مبتنی بر ناهنجاری5 پیشنهاد شده است. سیستم مبتنی بر ناهنجاری، مدلی از رفتارهای نرمال، سیستمی را که قرار است از آن محافظت به عمل آید را میسازد و الگوی حمله را با مدل نرمال مقایسه کرده و در صورت وجود ناسازگاری آن را ناهنجار تشخیص میدهد.
مجموعه رفتارهای نرمال، به مجموعه ویژگیهایی اطلاق میشود که در طول عملکرد درست یک منبع محافظت شده ظاهر میگردد، - مانند توزیع کاراکترها در پارامتر رشتهای - . اگر منبعی که میخواهد تحت محافظت قرار گیرد یک وب سرور باشد- - شامل برنامههای تحت وب مربوطه باشد - رفتار نرمال آن بدین صورت است که کلاینت درخواست خود را به سرور ارسال می کند و سرور بعد از پردازش درخواست، پاسخ را به صورت دنبالهای از بایتها در داخل ترافیک انتقالی6 که بخشی از بسته موجود در شبکه است ارسال می نماید. نکته کلیدی این است، ترافیک انتقالی که شامل یک حمله میباشد با نمونه نرمالش متفاوت است.
-2 کارهای گذشته
Krugel سرویس های خاص تشخیص حمله را که ترکیبی از نوع، طول و چگونگی توزیع بایتهای یک بسته ترافیک انتقالی بود را برای بدست آوردن سرویس های مورد نیاز یک مدل آماری در ترافیک نرمال توصیف میکرد.[2] 48 Netad بایت اول بسته ترافیک انتقالی را بررسی نموده است. او از تعدادی مدل های مجزای ساخته شده که مربوط به رایجترین پروتکلهای شبکه بودهاند در سیستم خود استفاده میکرد و همچنین به منظور کشف وقایع نادر، به هرکدام از بسته ها نمره ناهنجاری تخصیص میداد. [3]در Payl، نفوذ ها از طریق آنالیز توزیعی بایتها در HTTPPayl تشخیص داده می-شدهاند.[4]نسخه بهبود یافته Payl در مقاله آمده است.به طور خاص این نسخه جدید تعدادی مدل برای هر طول بسته می-سازد و ارتباط ترافیک ورودی و خروجی را از حیث تشخیص انتشار حملات - کرم ها - مطمئن می سازد.5]،[4
یک راه حل به نام Anagram پیشنهاد داد که بر اساس مدل های n-gram استخراج شده از دو ترافیک نرمال و آلوده، ساخته شدهبودAnagram .[6] همه n-gram های استخراج شده از ترافیک نرمال را ذخیره میکند، و فیلتر Bloom را به سیستم آموزش می دهد و همچنین این فیلترهای Bloom، n-gramهایی را که از بسته های مخرب استخراج شده اند را شناسایی و ذخیره میکنند. در زمان تشخیص، به بسته بر اساس تعداد n-gram های مخرب مشاهده نشده نمره تعلق می-گیرد.تعدادی از n-gram های مخرب برای وزندهی به نمرهها استفاده میشود. ولی مهمترین مشکل در این روش تشخیص تمایز بسته برای قرار گرفتن در کلاس خوب و یا بد بوده است.
Perdisci سیستم تشخیص حمله ای به نام McPAD ارائه داده است. در این مدل یک الگوریتم استخراج ویژگی پیادهسازی شده است که میتواند یک تقریب برای مدل n-gram در نظر گرفته شود. در مدل McPAD بستههای ترافیک انتقالی در ترافیک نرمال به صورت 2-v-gram استفاده میشود که فرکانس نسبی جفت بایت ها از موقعیت 0 تا v تغییر می کند و هر کدام موقعیت خود را از طریق دیگری پیدا می کند. مجموعه ترافیک انتقالی در v+1 فضای ویژگی مختلف نشان داده میشوند و یک کلاس برای طبقهبندی هر فضای ویژگی آموزش داده شده است و هر کدام از طبقهبندیکنندهها بر اساس ویژگیهای فضای خود آموزش میبیند.[7] اخیرا مدل های مارکوف و مدل های مخفی مارکوف برای مدل سازی مسائل امنیتی کامپیوتری استفاده میشوند در حالیکه قبلا از آنها فقط در برنامههایی نظیر تشخیصگفتار، تشخیص دست خطها وتجزیه تحلیل دنبالههای زیست شناسی استفاده می شده است.9]،[8 در زمینه امنیت کامپیوتر استفاده از مدل مخفی مارکوف در طرف سرور مرسوم شده است. HMM و n-gram از لحاظ ریشه تئوری یکی هستند.HMM می تواند به خوبی n-gram دادهها را به صورت حالات محدود نمایش دهد.10]،11،12،[13 علاوه بر اینکه مدل HMM از قدرتی یکسان با مدل n-gram برخوردار است ،HMM در زمینه مدل کردن دنباله ها درمقایسه با n-gram ازمزایای زیادی برخوردار است. n-gram از جهت میزان ویژگیهایی که میتواند مدل کند به 256 محدود میشود، این در حالی است که HMM می تواند هر طولی از دنباله ها را به خوبی و بدون محدودیت بدون تغییر در پیچیدگی محاسباتی پردازش کند.[8]
-1-2سیستمهای دستهبندیکنندهی چندگانه
سیستمهای دستهبندیکننده چندگانه 7 - MCS - در مسائل تشخیص الگو به طور گستردهای مورد استفاده قرار گرفتهاند، بهطوریکه نسبت به سیستمهای تکدستهبندیکننده دقت بیشتری را از خود نشان دادهاند. دلایل این امر را میتوان در 4]،[3 مشاهده نمود.شکل2 نمونه ای از این دسته بندی کننده را نشان میدهد.
شکل :2 الگوی .MCS ورودی xi به هر ماشین یادگیری تزریق شده و خروجی آنها توسط یک ترکیب کننده به خروجی مورد نظر تبدیل میشود.
تعداد زیادی از توابع ادغام وجود دارند که هر کدام ویژگی های خاص خود را دارند. در اینجا قوانین بزرگترین،کوچکترین، میانگین و میانگین هندسی نشان داده شده است:[2]
یکی از تکنیکهای محاسبات نرم در تشخیص حملات صفرروزه منطق فازی میباشد که در [10] به آن پرداخته شده است. تشخیص حملات مبتنی بر مجموعهها و قوانین فازی، بنا به دلیل زیر نتایج بهتری ارائه میدهد:
الف. از آنجایی که نرمال یا غیرنرمال بودن، مفهوم قطعی نمیباشد، تعریف یک مفهوم قطعی باعث میشود که تمایز نامناسبی بین نرمال و غیرنرمال بودن ایجاد شود. بنابراین طبیعی است که باید از مجموعههای فازی برای محدوده ای که دارای خطا می باشند استفاده کرد 16]،.[15
