بخشی از مقاله
چکیده
از سالیان گذشته نیاز به امنیت، جهت حمایت از شبکه های کامپیوتری امری بدیهی است اتصال شبکه های کامپیوتری به اینترنت آنها را در معرض انواع بسیاری از جرایم مجازی قرار داده است . در حال حاضر سیستم های تشخیص نفوذ که همواره در حال رشد و توسعه هستند، به عنوان بخشی از زیرساخت های امنیت شبکه، معمول شده اند و استفاده از آنها ضروری به نظر می رسد.روشهایی که این سیستم ها بر اساس آن کار میکند به دو دسته تشخیص الگو و تشخیص ناهنجاری تقسیم میشوند.
در این مقاله، یک سیستم تشخیص ناهنجاری مبتنی بر ایمنی مصنوعی طراحی، پیادهسازی و ارزیابی شده است. ایده استفاده از روشهای ایمنی مصنوعی در تشخیص ناهنجاری در شبکههای کامپیوتری از آن جهت بوده است که ویژگیهایی در سیستمهای ایمنی وجود دارند که مشابه نیازهای سیستمهای تشخیص ناهنجاری است. بهطور مثال میتوان به مواردی همچون روش تشخیص ناهنجاری، تنوع حملات، حافظه دار بودن، قابلیت خودتنظیمی و همچنین روش یادگیری الگوریتمهای ایمنی مصنوعی اشاره کرد.
آموزش سیستم تشخیص ناهنجاری ارائه شده در این مقاله تنها با استفاده از نمونههای نرمال شبکه صورت میگیرد و نیاز به هیچ داده اضافی در مورد نوع حملات نیست. در سیستم پیشنهادی از فرآیندهای انتخاب منفی، انتخاب مثبت و انتخاب کلونی برای ایجاد تمایز بین نمونههای نرمال و حمله استفاده شده است. مجموعه داده استفاده شده NSL-KDD می باشد. نتایج ارزیابی روی مجموعه دادههای حقیقی نشان میدهد سیستم پیشنهادی در اغلب موارد نرخ هشدار غلط پایینی نسبت به سایر روشها دارد و نرخ تشخیص آن نیز در حد مطلوبی است.
-1 مقدمه
یک ایراد عمده این روش بالا بودن نرخ هشدارهای غلط است چرا که میزان اندکی انحراف از رفتار عادی به عنوان حمله شناخته میشود. در روشهای تشخیص ناهنجاری، تعیین مقدار آستانه که در واقع مرز بین رفتار نرمال و غیرنرمال است بسیار مشکل است و تاثیر مستقیم روی نرخ هشدارهای نادرست سیستم دارد. هر یک از این روشها نقاط ضعف و قدرتی دارند و تاکنون هیچ سیستم تشخیص نفوذی که تمامی خصوصیات مناسب یک سیستم IDS را به طور همزمان داشته باشد، ارائه نشده است.
-1-1 تعاریف تشخیص ناهنجاری
بر اساس در دسترس بودن برچسب دادهها روشهای تشخیص ناهنجاری در سه مدل میتوانند عمل کنند .[2]
تشخیص ناهنجاری با ناظر: در این روش فرض میشود که مجموعه دادهای که برچسب نمونههای نرمال و غیرنرمال آن مشخص است در دسترس قرار دارد.
تشخیص ناهنجاری نیمه نظارتی :در این روش فرض میشود داده آموزش فقط دارای نمونههای کلاس نرمال است.
تشخیص ناهنجاری بدون ناظر :روشهایی که از این شیوه استفاده می-کنند نیازی به داده آموزش ندارند.
-2 سیستم ایمنی مصنوعی
سیستم ایمنی طبیعی بدن یک شبکه پیچیده از بافتها، ارگانها، سلولها و مواد شیمیایی است. وظیفه اصلی آن تشخیص وجود عناصر غریبه در بدن و حذف یا خنثی کردن اثر آنهاست. موادی که به نحوی این سیستم ایمنی را تحریک میکنند تحت عنوان آنتیژن شناخته میشوند. برای موثر بودن، سیستم ایمنی فقط باید به آنتیژنهای خارجی پاسخ دهد. بنابراین باید بتواند بین خودی - سلولها، پروتئینها، و به طور کلی هر مولکولی که توسط بدن تولید شده یا به آن تعلق دارد - و غیرخودی - آنتی-ژنها - تمایز قائل شود.
از آنجا که نتیجه یک پاسخ نامناسب به سلولهای خودی یا برعکس میتواند عواقب وخیمی داشته باشد، تمایز بین خودی و غیرخودی یک خصوصیت اساسی در سیستم ایمنی است .سیستم ایمنی می تواند به صورت یک سیستم چند لایه با مکانیزم های دفاعی در لایه های مختلف در نظر گرفته شود سه لایه اصلی عبارتند از : مانع آناتومیک ، ایمنی ذاتی2 و ایمنی اکتسابی. 3 ایمنی اکتسابی که تحت عناوین ایمنی تطبیقی و خاص نیز شناخته میشود به بخشی از سیستم ایمنی اطلاق میشود که قادر است به طور خاص عوامل بیماریزا را تشخیص دهد و به صورت انتخاب شده آنها را حذف نماید. خصوصیات اصلی ایمنی اکتسابی عبارتند از: تمایز آنتی ژنیک ، تنوع ، حافظه ایمونولوژی.
- 1-2 میل پیوندی
معیار پیوند مصنوعی از مفهوم اتصال بین پذیرنده لنفوسیت به الگوی آنتیژن به وجود آمده است که برای تعیین درجه هماهنگی بین داده و نمونه کاندیدای جواب استفاده میشود. قدرت پیوندی بین یک آنتیژن و یک آنتیبادی بستگی به فاصله آنها دارد که میتوان این فاصله را از طریق معیارهای فاصله بین دو رشته - دو بردار - محاسبه کرد .[5] اگر مختصات یک آنتیبادی <ab1,ab2,…,abL> مختصات یک آنتیژن , ag2,..., agL> باشد از روابط - 1 - و - 2 - برای تعیین فاصله اقلیدسی بین آنها استفاده خواهیم کرد .
- 2-2 انتخاب منفی
انتخاب منفی، در سال1994، توسط فارست [6] معرفی شد. مجموعه حاصل که از اعمال این الگوریتم بدست میآید، به نام مجموعه تشخیص-دهندهها نیز خوانده میشود. علت این نامگذاری آن است که این مجموعه دارای مولفههایی است که میتوانند عدم تجانس با خودیها را شناسایی کنند. این الگوریتم به صورت تولید و تست 5 کار میکند. تشخیصدهندهها به صورت تصادفی تولید شده و تطابق آنها با رشتههای خودی تست می-شود.میتوان تشخیصدهندههایی ایجاد کرد که رشتههای خودی را پوشش دهند، به این الگوریتم انتخاب مثبت میگویند.
- 3-2 انتخاب کلونی
با اقتباس انتخاب کلونی و بهکار گرفتن آن در سیستم ایمنی مصنوعی، میتوان برخی از خصوصیات سیستم ایمنی طبیعی از قبیل تطابق و یادگیری را در سیستم ایمنی مصنوعی بهوجود آورد. در سیستم ایمنی مصنوعی یک سلول ایمنی فعال شده به همین صورت برای ایجاد پاسخ مناسب به یک داده جدید، تغییر پیدا میکند. بعد از فعال شدن، سلول مصنوعی شروع به تکثیر با نرخی متناسب با عکس مقدار پیوند با آنتیژن میکند. هدف این فرآیندها، سوق دادن تدریجی سلولهای جمعیت در فضای جواب به سمت آنتیژن است. چنین فرآیند تطبیقی در الگوریتمهای تکاملی متداول است.. دو اصل در الگوریتم انتخاب کلونی مهم است:
-1 سلولهای زیادی ممکن است برای تکثیر شدن متناسب با میزان پیوندشان انتخاب شوند.
-2 نرخ جهش هر کلون نسبت عکس با میزان پیوند آن با آنتیژن دارد. کُلونالجی الگوریتمی است که توسط دیکاسترو و وون زوبن [7] طراحی شده است. این الگوریتم، یک الگوریتم عمومی انتخاب کلونی است و جهت کاربردهای تشخیص الگو و بهینهسازی مورد استفاده قرار میگیرد.
-3 الگوریتم پیشنهادی - NPCS -
در سیستم پیشنهادی از ترکیب انتخاب منفی، انتخاب مثبت و انتخاب کلونی برای ایجاد دو ردهبند متمایز برای پوشش دادن کل فضای ویژگیها استفاده خواهیم کرد. سپس با انتخاب نتیجه خروجی یکی از ردهبندها بر اساس میزان صلاحیت هر یک، نتیجه نهایی به دست میآید. این نمونهها، ردهبندی تک کلاسه انجام دهیم و مرز بین داده نرمال و غیرنرمال را هرچه دقیقتر تعیین کنیم. در ردهبند شماره یک، از الگوریتم انتخاب منفی استفاده میکنیم تا توسط آنتیبادی T فضای نمونههای غیر خودی پوشش داده شود.
از آنجا که در فاز آموزش سیستم هیچ نمونه ناهنجاری در دسترس نیست، آنتیبادیهای T در حکم ناهنجاری مصنوعی هستند که در مراحل بعد برای پیدا کردن بهترین مرز تفکیک میتوانیم از آنها استفاده کنیم. در ردهبند شماره دو از الگوریتمی پیشنهادی، با ترکیب انتخاب مثبت و کلونی2 که به آن PCS میگوییم، استفاده شده است - شکل - 2 تا بتوانیم فضای نمونههای خودی را با آنتیبادی B پوشش دهیم.
-1-3 ردهبند شماره یک و تولید آنتیبادی های منفی
برای طراحی رده بند شماره یک از الگوریتم انتخاب منفی طول متغیر با مقادیر حقیقی و تشخیص دهنده هایی با شعاع متغیر استفاده میکنیم [8] پارامتر اصلی که روی کارایی ردهبندی تاثیر زیادی دارد و عنصری مهم در قابلیت یادگیری - عمومیسازی ردهبند - است شعاع نمونههای خودی یا rs است که هم در الگوریتم انتخاب منفی با مقادیر حقیقی و هم در الگوریتم انتخاب مثبت با مقادیر حقیقی نقش مهمی دارد.
-2-3 ردهبند شماره دو و تولید آنتیبادیهای مثبت
سیستمهای تشخیص نفوذی که از مدلهای تشخیص ناهنجاری استفاده میکنند، پروفایلی از رفتارهای نرمال ترافیک شبکه میسازند و نفوذ را به شکل انحرافات قابل توجه از این پروفایل میبینند. این پروفایل بر اساس بردارهای اتصال ساخته میشود. یک بردار اتصال از فیلدهای مختلفی تشکیل شده که حاوی اطلاعات بسته دریافت شده از شبکه هستند. در سیستم پیشنهادی از سه مکانیزم موجود در سیستم ایمنی یعنی انتخاب مثبت، انتخاب منفی و انتخاب کلونی استفاده میشود و تصمیم نهایی در مورد بردار اتصال یا ترافیک رسیده با استفاده از نتایج خروجی رده بندهای طراحی شده، گرفته میشود.در این سیستم ایمنی مصنوعی، از مکانیزم تمایز خودی و غیر خودی استفاده میکنیم. بردارهای اتصال با برچسب نرمال که در هنگام آموزش به سیستم داده میشوند عناصر خودی را تشکیل میدهند.
