بخشی از مقاله

چکیده

کلاسبندی - Classification - یکی از روشهای یادگیری نظارتشده است بهطوریکه دادهها بر مبنای معیار روشنی مورد کلاسبندی قرار میگیرند؛ بنابراین این روش بهعنوان یکی از مهمترین موضوعات در زمینههای علوم آمار، یادگیری ماشین، تشخیص الگوها و غیره به شمار میآید.

برای کلاسبندی یک سیستم تشخیص نفوذ هدف اصلی آن است که نوعی برچسبگذاری برای دستهای از نمونهها انجام گیرد، بهطوریکه دادهها باید دریکی از این کلاسها قرار گیرند. محققان مدلهای طبقهبندی متعددی را برای مسئله تشخیص نفوذ بهکاربردهاند که برای طبقه بندی رویدادهای شبکه بهعنوان حوادث عادی یا حمله استفاده گردیدهاند، بنابراین در این مقاله به مطالعه نمونههایی از ساختار شبکه با خصوصیات پیشبینی دستهبندی شبکههای بیزی - Bayesian Networks - در سامانههای تشخیص نفوذ پرداخته شده است.

-1 مقدمه

با افزایش ارتباط کامپیوترها نیاز به نگهداری شبکههای امن بهتدریج حیاتیتر شده است. سامانههای تشخیص نفوذ از اجزای اساسی برای امنیت کامپیوتر به شمار میروند و این جزء به تکمیل سیستم دفاعی موجود مبدل شده است. تشخیص نفوذ اقدامی امنیتی برای کمک به شناسایی مجموعهای از اقدامات مخربی است که یکپارچگی، محرمانگی و دسترسی منابع اطلاعاتی را به مخاطره میاندازد

تشخیص نفوذ به سبب ملاحظات تجاری مربوط بهدقت و سرعت تشخیص، ماهیت پویا در خصوص شبکهها و قدرت پردازش دسترسی بهمنظور پردازش حجم بالایی از دادهها در سامانههای توزیعشده از پیچیدگیهای بسیاری برخوردار است 

جمعآوری دادهها یکی از مهمترین مراحل در طراحی سامانههای تشخیص نفوذ است و با تحت تأثیر قرار دادن روند طراحی و پیادهسازی به تشخیص نتیجه نهایی میپردازد. معمولاً مهاجمان تنها یک کامپیوتر را هدف حملات قرار نمیدهند بلکه گروهی از میزبانان را مورد هدف قرار میدهند.

بهعنوان نتیجه برخی از حملات احتمالاً میتوانند رفتاری غیرعادی در لایه شبکه نشان دهند، درحالیکه برخی دیگر از حملات رفتاری غیرعادی در لایه کاربردی از خود نشان میدهند. به همین منظور برای پوشش طیفی از نفوذها در شبکه نیاز به نظارت هر دولایه شبکه و کاربردی میباشد.

اگرچه ایده آل آن است که سیستم تشخیص نفوذی طراحی و پیادهسازی گردد که بتواند طیف گستردهای از دادههای استخراجشده در هر دولایه شبکه و کاربردی را موردبررسی قرار دهد، اما چنین چیزی به دو دلیل غیرعملی است: اول به دلیل تنوع دادهها میباشد و دوم به دلیل زمان و فضای منابع سامانهای موردنیاز کاربر برای جمعآوری و تفسیر می-باشد. سامانههای تشخیص نفوذ دادهها را از چندین منبع مختلف ازجمله: فایلهای ورودی سیستم، جریانها یا بستههای شبکه، فراخوانیهای سیستم و کدهای اجرایی خود گردآوری میکنند

سامانههای تشخیص نفوذ بهصورت پویا به نظارت و تصمیمگیری رویدادهای در حال وقوع در سیستم میپردازند و اینکه آیا رویدادها نشانه حمله هستند یا تشکیل قانون مورداستفاده در سیستم را می-دهند. بهطورکلی، سامانههای تشخیص نفوذ با توجه به روشهای تشخیص آنها به دودسته تقسیم میشوند یعنی: تشخیص سوءاستفاده1 و نفوذ ناهنجاری.2

روشهای تشخیص سوءاستفاده از طریق انطباق دادههای مشاهدهشده با توصیفات از پیش تعریفشده، رفتار تودههای نفوذی را شناسایی میکنند؛ بنابراین نفوذهای شناخته-شده میتوانند با نرخ هشدار نادرست بسیار پایین تشخیص داده شوند. روشهای تشخیص ناهنجاری در تشخیص نفوذ بر اساس این فرضیه شکلگرفتهاند که رفتار غیرطبیعی بهطور نادر و متفاوت از رفتار طبیعی میباشد. ازاینرو مدلهایی برای تعیین رفتار طبیعی و تشخیص ناهنجاری در دادههای مشاهدهشده با توجه به انحراف از این مدلها ایجاد میگردند

در بخش دوم این مقاله ردهبندی از حملات ارائه میشود و در بخش سوم منظور از کلاسبندی و معماری سیستم کلاسبندی برای داده-های آموزش و آزمون بیان میگردد تا در بخش چهارم دستهبندی شبکهها ونهایتاً در ادامه نتایج حاصله تشریح گردند.

-2 ردهبندی حملات

کلاسبندی به معنی تفکیک و مرتبسازی اشیا برای ساخت کلاس-های ساده میباشد که ازجمله آنها میتوان به پایگاهها، اصول فرآیندها و قوانین آنها اشاره کرد. در حقیقت هدف کلاسبندی حملات تهیه تئوری و مفهوم دستهبندی سازگار با کامپیوتر و حملات شبکه است؛ بنابراین بهرهوری تبادل اطلاعات در زمان توصیف حملات بهبود مییابد. بهطوریکه سه نوع ردهبندی برای حملات شبکه و کامپیوتر از منظر استفاده کاربردی، استفاده خاص و مهاجم در نظر گرفته میشود

رده بندی هانسمن3 حملات کامپیوتری را در چهار بعد دستهبندی می-کند:

•    پوشش رفتار اصلی حمله
•    مجوز دستهبندی اهداف حمله
•    دستهبندی آسیبپذیری و سوءاستفاده مهاجمان
•    دریافت و ایجاد گزارش محدودیت برای حمله دارای تأثیر فراتر از خود

ترافیک شامل گونههای مختلفی از حمله میباشد که در کلاسهایی مانند حمله انکار سرویس/ - DoS - 4حمله انکار سرویس توزیعشده5 - DDoS - ، حمله کاربر به ریشه6، حمله از راه دور محل7، پروب/8کاوش و غیره تقسیمبندی میشود.

-1-2 حمله انکار سرویس و حمله انکار سرویس توزیعشده

هدف حملات انکار سرویس ایجاد اختلال در عملکرد عادی سرویس-های شبکه بهصورت سیلآسا، فرسوده سازی، مغلوب سازی منابع شبکه موردنظر یا میزبان میباشد.منابع احتمالاً میتوانند پهنای باند شبکه، ظرفیت ارسال بسته مسیریاب، سرور نامها، قدرت حافظه/محاسبات در سرورها یا ساختمان داده سیستمعاملها باشند. طی حملات انکار سرویس گاهی مهاجمان مقادیر زیادی ترافیک بی-معنا تولید میکنند

حملات انکار سرویس توزیعشده حملاتی هستند که به روش توزیع-شده توسعهیافتهاند. در شبکههای واقعی قربانیان در نظر گرفتهشده برای حملات انکار سرویس معمولاً سرورهای قدرتمند باقابلیت اتصال به شبکههای پرسرعت هستند.

-2-2 حمله کاربر به ریشه - U2R -

حمله کاربر به ریشه یااَبر کاربر کلاسی از حملات هستند که در آن مهاجم با دسترسی داشتن بهحساب کاربری معمولی بر روی سیستم قادر به بهرهبرداری و کسب دسترسی به ریشه را در سیستم داشته باشد. Eject, Ffbconfig, Fdformat, Loadmodule, Perl, Ps, Xterm ازجمله این حملات هستند 

-3-2 حمله از راه دور محلی - R2L -

حمله از راه دور به کاربر نوعی از کلاس حملات هستند که در آن مهاجم با ارسال بستهها به دستگاهی بر روی شبکه - بهرغم داشتن حساب کاربری بر روی آن ماشین - سعی در سوءاستفاده و کسب دسترسی بهعنوان کاربر محلی را داشته باشد. Dictionary, Guest, Imap, Named, Phf, Sendmail, Xlock, Ftp _write, Xsnoop مثالهایی از این حملات هستند 

-4-2 حمله پروب

پروبهای شبکه معمولاً ازجمله حملات اسکن شبکههای کامپیوتری برای جمعآوری اطلاعات و یا یافتن نقاط آسیبپذیر شناختهشده هستند که برای حملات بیشتر یا آینده شناساییشدهاند . هدف از جمعآوری اطلاعات درواقع یافتن کامپیوترها و سرویسهایی است که در حال حاضر در شبکه و نیز برای تشخیص احتمال حمله مبتنی بر نقاط آسیب پذیر شناخته شده هستند

محققان مدلهای طبقهبندی متعددی را برای مسئله تشخیص نفوذ بهکاربردهاند، ازجمله قانون مبتنی بر تشخیص [5]، شبکههای عصبی [6]، منطق فازی [7]، مدل مارکوف مخفی [8]، مدل جنگلهای تصادفی [9] ، دادهکاوی [10] و تجزیهوتحلیل بیزی ، اما تحلیل کلاسبندی جزو اولین روشهای استفاده شده برای تشخیص نفوذ است.

در این روش بررسی میشود که فعالیت در حال بررسی تا چه میزان با فعالیت عادی و معمول یک کاربر مشابهت دارد. درواقع وجود تفاوت زیاد میان این رفتار با رفتار عادی میتواند معیار خوبی برای تشخیص نفوذ باشد. در یک سیستم تشخیص نفوذ هدف اصلی آن است که تمامی دادهها در کلاسهایی همانند موارد فوق تقسیمبندی شوند، بهطوریکه که دادهها باید دریکی از این کلاسها قرار گیرند.

-3 کلاسبندی

ذهن انسان دانش خود را با استفاده از کلاسبندی فرآیندهای طبیعی سازماندهی میکند؛ اما زمانی که این قوانین با کلاسبندی همراه باشند، نوعی ردهبندی9 شکل میگیرد. ردهبندی - گونه= کلاس-بندی+قانون تشکیلشده=علم و قانون - اول بهعنوان علم مربوط به کلاسبندی علم موجودات زنده - طبقهبندی آلفا - ظهور پیدا کرد، اما پسازآن بهعنوان علم کلاسبندی کلی توسعه یافت که در اینجا نیز حاکی از اصول کلاسبندی - طرحهای ردهبندی - است؛ بنابراین کلاس-بندی - ردهبندی - به معنای فرآیند قرار دادن شیء ویژه - مفهوم - در مجموعهای از کلاسهای مبتنی بر خواص شیء مربوطه - مفهوم - می-باشد

-1-3 معماری سیستم کلاسبندی

معماری سامانههای دستهبندی بهصورت ماژولار میباشد؛ بنابراین هریک از ماژولها احتمالاً میتواند با داشتن اختلافی ناچیز با اجرای یک کار مشابه جایگزین شود. برای مثال، اولین ماژول میتواند با هر سیستم دیگر باقابلیت تولید مجموعهای از کلاسبندیها جایگزین شود. فرآیند یادگیری تمام سامانهها شامل دو فاز مجزا میباشد .[14] در فاز اول - ماژول مجموعه - مجموعهای از کلاسبندیهای آموزشی با استفاده از مجموعه آموزش نمونههای برچسب خورده ایجاد میگردد که بهوسیله مقادیر صفات آنها تشریح میشوند. در پایان این فاز مجموعهای از پاسخها تولید میگردد

فاز دوم مربوط به یادگیری ماژول ترکیبکننده است که با استفاده از الگوریتم ارزیابی طراحیشده ویژهای انجام میشود. از سوی دیگر قوانین ترکیب آموختهشده عبارتاند از: در نظر گرفتن مجموعه پاسخها با مجموعه مذکور برای نمونه ورودی، محاسبه احتمال اختصاص نمونه-ها به هر یک از کلاسها برای ایجاد تبعیض و انتخاب کلاس با بالاترین احتمال. نتیجه نهایی روش یادگیری از طریق مجموعهای از دسته-بندیها تشریح میگردد

پسازآنکه کل سیستم آموخته شد. با استفاده از فرآیندی دومرحلهای، کلاسبندی نمونههای ساده ناشناخته انجام میشود:

•    مقادیر ویژه برای توصیف نمونه ناشناخته از طریق انتخاب هر یک از کلاسها در طول فرآیند یادگیری تعیین می-شوند.

•    سپس پاسخهایشان هنگام ورود برای ترکیب ماژولها دریافت میشوند

-4 ساختار کلاسبندی شبکهها

ساختار نایو بیز - NB - 10 برای نشان دادن وابستگیهای صفت بهعنوان مدل شبکه بیزی توسعهیافته است. همچنین یادگیری ساختار بهینه در خصوص مدل شبکههای بیزی نیز نوعی مسئله -NPسخت است. در این ساختار برخی از محدودیتها یا ابتکارات بایستی برای ایجاد روش عملی به کار رود، مانند آنهایی که در درخت افزایشی نایو بیز 11 [15] - TAN - ، متوسط تخمینهای یک وابستگی[16] - AODE - 12، کلاسبندی بیزی وابسته K ام - KDB - 13 و مدلهای کلاسبندی نایو بیز مخفی[17] - HNB - 14 مورداستفاده قرارگرفتهاند.

اختصاص یک دسته Ci یا مقدار متغیر کلاس C با ΩC = {C1, … , Cn} در مجموعهای از برچسبهای کلاس - برای شیء جدید - ⃗e از وظایف کلاسبندی است که بهوسیله تخصیص مجموعهای از مقادیر ⃗e = - a1, a2, … , an - برای خصوصیات $1' $2'…'$Q تعریف میشود. در مورد این احتمالات فعالیتهای مذکور میتوانند در روشی دقیق از طریق برنامههای کاربردی قضیه بیزی - معادله - 1 انجام شوند

مخرج کسر بهعنوان رابطهای عادی عمل میکند، بهطوریکه توزیع احتمال پسین را بهمنظور اجتماع جمع میکند؛ بنابراین برای تخمین حداکثر پیشین وجود دارد که برچسب کلاس آن حداکثر پسین است 

ازآنجاییکه بررسی ارتباط توزیع احتمال بهطور محاسباتی کنترلشده است. ارائه برگ خرید ضروری است. شبکههای بیزی میتوانند هر دو جنبه کمی و کیفی مسئله را نشان دهند که سابقاً در گراف جهتدار بدون دور کدگذاری شدهاند. درحالیکه دومی شامل ذخیره سازی جدول احتمال برای هر گره شرطی بر روی والد آن است. حتی اگر توزیع احتمال شرطی بتواند به چندین روش نمایش داده شود. رایج-ترین نمایش استفاده از جدولها یعنی جداول احتمال شرطی16 - CPT - است

در متن اصلی مقاله به هم ریختگی وجود ندارد. برای مطالعه بیشتر مقاله آن را خریداری کنید