بخشی از مقاله
چکیده
سیستمهای تشخیص نفوذ نقش مهمی جهت شناسایی نفوذ و ناهنجاری در شبکههای کامپیوتری را بر عهده دارد. با استفاده از سیستم-های تشخیص نفوذ میتوان نفوذ به شبکهها را تا حد زیادی کنترل کرد. با استفاده از ترکیب دو الگوریتم درخت تصمیم و ماشین بردار پشتیبان مدلی پیشنهادی ترکیبی جهت تشخیص نفوذ ارائه شد.
مدل پیشنهادی با الگوریتمهای رگرسیون لجستیک، شبکه عصبی، درخت تصمیم و ماشین بردار پشتیبان با سه کرنل - خطی، چندجملهای و پایه شعاعی - مورد مقایسه قرار گرفت. جهت ارزیابی مدل پیشنهادی از داده های استاندار استفاده شده است. داده توسط روش کافولد به دو دسته آموزشی و تست تقسیم شد. نتایج ارزیابی مدل ترکیبی پیشنهادی با روش دو بار اجرا همگرا شد که میزان اطمینان به مدل را بهبود بخشید. پس از مقایسه با الگوریتمهای مذکور مشخص شد، الگوریتم ترکیبی پیشنهادی، عملکرد خوبی جهت پیشبینی مسائل مربوط به تشخیص نفوذ را دارد.
-1 مقدمه
زندگی امروزی بشر وابسته به فناوری اطلاعات شده و با پیشرفتهای روزافزون اینفنّاوریها، زندگی انسان وابسته به استفاده از اینفنّاوریها شده است. دولتها، ادارهها، سازمانها و شرکتهای مختلف نقش پررنگی در توسعهفنّاور یهای وابسته به شبکهها دارند. بیشتر کارها بهوسیله شبکههای مختلف و از راه دور قابل انجام است.
همین امر باعث به وجود آمدن شبکه-های مختلف کامپیوتری شده است که خدمات مختلفی به شهروندان ارائه میکنند. یکی از مواردی که در استفاده از این شبکهها حائز اهمیت است، مسئله تأمین امنیت منابع اطلاعاتی موجود در شبکهها است. برای تأمین امنیت در شبکهها استفاده از دیوارههای آتش، آنتیویروسها و سیستمهای تشخیص نفوذ پیشنهاد میگردد. استفاده از این موارد در کنار هم میتواند امنیت قابل قبولی را ارائه کند.
سیستمهای تشخیص نفوذ که به اختصار IDS نامیده میشوند، توانایی شناسایی و کشف نفوذ در شبکهها را دارند. وظایف مهم این سیستمهاعموماً نظارت و ارزیابی، شناسایی و کشف نفوذ و در مواردی واکنش به نفوذ است.
این سیستمها بهصورت سختافزاری و نرمافزاری قابل پیادهسازی هستند. بر اساس روشهای تشخیص نفوذ - رفتار غیرعادی و مبتنی بر امضاء - ، معماری - مبتنی بر میزبان، مبتنی بر شبکه و توزیعشده - و نحوه پاسخ به نفوذ - فعال و غیرفعال - طبقهبندی میشوند.
قادر به شناسایی نفوذ در شبکهها قبل از انجام آن است. همچنین اطلاعات و هشدارهای مربوط به نفوذ را به مدیر شبکه اطلاعرسانی میکند. سیستمهای تشخیص نفوذ جهت کمک به مدیران شبکه، برای تشخیص بهموقع نفوذ استفاده میشود. با توجه به توسعه سختافزار توسط شرکتهای مختلف و خلاقیت هکرها در استفاده از رفتار طبیعی برای نفوذ، سیستمهای تشخیص نفوذ دچار اشتباهاتی شده که باعث محروم شدن یک کاربر مجاز از منابع موجود در شبکه میشوند
در این تحقیق با ترکیب دو الگوریتم درخت تصمیم و ماشین بردار پشتیبان مدلی ارائه میگردد که توانایی شناسایی نفوذ را در شبکهها را دارد. همچنین میتواند الگوهای حملات جدید را شناسایی کند. الگوهای جدید به پایگاه داده اضافه می-شود تا در برخورد با حملات جدید توانایی شناسایی آنها را داشته باشد. با اضافه کردن این الگوها در بازههای زمانی مختلف و بروز رسانی پایگاه داده میزان اطمینان به مدل جهت تشخیص صحیح نفوذ بیشتر شده درنتیجه از خسارتهای ناشی از حملات کاسته میشود. جهت تشخیص حملات در این تحقیق از داده استاندارد KDD CUP 99 استفاده شده است
در ادامه دادههای استاندارد تشخیص نفوذ بیان میگردد و مدل پیشنهادی که از ترکیب دو الگوریتم بهدستآمده است، مطرح میشود. سپس هفت الگوریتم پیشبینی باهم مقایسه شده و ارزیابی حاصل از نتایج این مقایسه مشخص میکند کدام الگوریتم عملکرد بهتری جهت تشخیص نفوذ دارد و در انتها بحث و نتیجهگیری بیان میشود. سپس هفت الگوریتم پیشبینی باهم مقایسه شده و ارزیابی حاصل از نتایج این مقایسه مشخص میکند کدام الگوریتم عملکرد بهتری جهت تشخیص نفوذ دارد و در انتها بحث و نتیجهگیری بیان میشود.
-2 داده
مجموعه داده KDD CUP 99 از سایت UCI استخراج گردید. از این مجموعه داده که دارای 41 متغیر وابسته و 494,021 رکورد جهت مسئله تشخیص نفوذ است، استفاده شد.
حجم بالای مجموعه داده مورداستفاده باعث شد که از 10% کل داده جهت اجرا بر روی الگوریتم پیشنهادی استفاده شود. هیچگونه داده نویز و یا ازدسترفتهای در این مجموعه داده وجود ندارد. در جدول 1 نوع داده استاندارد مورداستفاده را مشاهده میکنید.
جدول :1 دادههای استاندارد مجموعه KDD CUP 99
در ادامه سه ویژگی از بین 41 ویژگی مجموعه داده، باید تبدیل به عدد شود تا میزان اطمینان الگوریتم پیشنهادی را محاسبه کرد. در جدول 2 نحوه تبدیل مقدار عددی سه ویژگی از بین 41 ویژگی متغیرهای وابسته مشاهده میشود.
جدول :2 مقدار عددی دادههای استاندارد
-3 مدل پیشنهادی ترکیبی
الگوریتم پیشنهادی از ترکیب دو الگوریتم درخت تصمیم و ماشین بردار پشتیبان حاصل میشود. در ابتدا مجموعه دادهها توسط روش کافولد به دو دسته دادههای آموزشی و دادههای تست تقسیم میگردد و سپس دادههای آموزشی به الگوریتم ماشین بردار پشتیبان و الگوریتم درخت تصمیم واردشده و مدل طراحی میشود. با استفاده از داده تست ارزیابی بر رویدادههای تست انجام میگردد. خروجی ارزیابی موردبررسی و مقایسه قرار میگیرد که در اینجا با سه نتیجه مختلف حاصل میشود. نتیجه اول اینکه خروجیها یکسان نباشند که در این مورد باید خروجیهای یکسان از مجموعه داده تست حذفشده و به مجموعه داده آموزشی اضافه گردد و این سیکل تا زمانی که خروجیها یکسان شوند ادامه دارد.
نتیجه دوم اینکه تمامی خروجیها یکسان باشند که در اینجا ارزیابی بر رویداده تست انجامشده و خروجی ارزیابی بهعنوان نتیجه نهایی گزارش میشود. نتیجه سوم که گاهی مواقع ممکن است اتفاق بیافتد به این صورت است که اگر تعدادی از خروجی-ها باهم یکسان باشند، در این موارد ارجحیت به الگوریتم درخت تصمیم داده میشود و این موارد فقط توسط درخت تصمیم مورد ارزیابی قرار میگیرد و نتیجه نهایی گزارش میشود و الگوریتم ترکیبی به پایان میرسد. برای درک بهتر این موضوع میتوانید شبه کد الگوریتم پیشنهادی را در جدول 3 و فلوچارت الگوریتم پیشنهادی را در شکل 1 مشاهده کنید.
جدول :3 الگوریتم پیشنهادی
