بخشی از مقاله
*** این فایل شامل تعدادی فرمول می باشد و در سایت قابل نمایش نیست ***
تشخیص حملات توزیع شده به وسیله تئوري مجموعه هاي ناهموار و ماشین بردار پشتیبان
چکیده
در این تحقیق یک سیستم تشخیص نفوذ بر اساس تئوري مجموعههاي ناهموار و ماشین بردار پشتیبان به منظور تشخیص بهینه حملات توزیعشده در شبکه هاي رایانهاي ارائه شده است. در مدل پیشنهادي براي انتخاب ویژگیهاي مهم از تئوري مجموعههاي ناهموار و براي دستهبندي ترافیک شبکه در قالب دستههاي عادي و ناهنجار از ماشین بردار پشتیبان استفاده میگردد. نتایج آزمایش و ارزیابی نشان داد که مدل ارائهشده داراي نرخ تشخیص حملات بالا و نرخ اعلان خطاي کم و در نتیجه کارایی بالایی میباشد.
کلمات کلیدي: تشخیص نفوذ، حملات توزیعشده، تئوري مجموعههاي ناهموار، ماشین بردار پشتیبان
.1 مقدمه
ره آورد مهم شبکه هاي کامپیوتري افزایش قابلیت دسترسی از راه دور بود که با توجه به حجم زیاد اطلاعات مهم و محرمانه در سیستمها، باعث طرح مسئله نفوذ به سیستمهاي کامپیوتري گردید. این مسئله نیاز به امنیت و سیستمهاي کنترل را در جهان امروز، امري کاملاً بدیهی و غیرقابلانکار ساخته است. امروزه بحث رسیدگی امنیتی به سیستم و نفوذ یابی بخش مهمی از مباحث مربوط به امنیت شبکه هاي کامپیوتر را تشکیل میدهد.
به منظور مقابله با نفوذکنندگان به سیستمها و شبکه هاي کامپیوتري، روشهاي متعددي تحت عنوان روشهاي تشخیص نفوذ تدوین شده است. هدف از تشخیص نفوذ این است که هر گونه استفاده غیرمجاز، سوءاستفاده و آسیب رساندن به سیستمها و شبکه هاي کامپیوتري توسط هر دو دسته کاربران داخلی و حملهکنندگان خارجی شناسایی شود.
روشهاي تشخیص نفوذ به دو دسته تشخیص سوءاستفاده 1 و تشخیص ناهنجاري2 تقسیم میشوند. در روشهاي تشخیص سوءاستفاده از الگوهاي نفوذ شناخته براي شناسایی نفوذها استفاده میشود، در نتیجه روشهاي تشخیص سوءاستفاده تنها قادر به شناسایی حملات شناختهشده میباشند. در روشهاي تشخیص ناهنجاري رفتار عادي کاربران ملاك عمل قرار داده میشود و در نتیجه هرگونه رفتار مغایر با آن به عنوان تلاشی جهت نفوذ به سیستم شناسایی میگردد.
تشخیص برخی از حملات خاص در شبکه هاي کامپیوتري نیازمند اطلاعات از منابع مختلفی در شبکه مـیباشـد و سیسـتم تشخیص نفوذ روي یک میزبان قادر به تشخیص این حمله نیست. بـراي همـین نیـاز اسـت کـه اطلاعـات از میزبـانهـا و شبکه هاي محلی مختلف جمعآوري شده و با یکی کردن اطلاعات و استنتاج از آنها اینگونه حمـلات تشـخیص داده شـود.
براي تشخیص حملات توزیعشده نیاز به سیستم تشخیص نفوذ سلسله مراتبی توزیعشده میباشد. یک سیستم تشخیص نفوذ
1
سلسله مراتبی اطلاعات را از سیستمهاي تشخیص نفوذ پراکنده در شبکه جمعآوري میکند، دادهها را به هم مـرتبط کـرده و اطلاعاتی براي تعیین الگوها فراهم میکند. با جمعآوري دادهها از سیستمهاي تشخیص نفوذ پراکنده در سیستم یک تحلیلگر مرکزي میتواند حملات توزیعشده را در سگمنتهاي مختلف تشخیص دهد.
در مقاله [1] سیستم تشخیص نفوذي توسط نویسنده ارائه میشود که از روش ناهنجاري و شبکه هاي عصبی براي تشخیص حملات جداگانه استفاده میکند و همچنین در مقاله [2] سیستم تشخیص نفـوذ سلسـله مراتبـی بـه روش ناهنجـاري ارائـه میشود که قادر به تشخیص حملات جداگانه و توزیعشده در شبکه هاي بزرگ کامپیوتري با استفاده از پیشپردازش آماري و دستهبندي شبکه هاي عصبی میباشد. در مقالههاي [4] [5] [6] تئوري مجموعههاي نـاهموار را در سیسـتمهـاي تشـخیص نفوذ به کاربردیم و نتایج حاصله نشان که روش تئوري مجموعههاي نـاهموار دقـت دسـتهبنـدي بـالایی دارد و رتبـهبنـدي پارامترها در آن سریعتر انجام میگیرد. در مقاله [4] سیستم تشخیص ناهنجاري توسط نویسنده ارائـه گردیـد کـه از تئـوري مجموعههاي ناهموار و شبکه هاي عصبی به منظور افزایش کارایی و کاهش منابع کامپیوتر همانند حافظه و پردازنده اسـتفاده میکرد. در مقاله [5] سیستم تشخیص سوءاستفادهاي ارائه گردید که از تئوري مجموعههاي نـاهموار و شبکه هـاي عصـبی استفاده میکرد. در مقاله [6] سیستم تشخیص ناهنجاري ارائه شد که از تئوري مجموعههاي ناهموار و ماشین بردار پشتیبان استفاده میکند و نتایج حاصله را با مقاله [4] مقایسه میکند. کارایی و عملکرد ماشین بردار پشتیبان در برابر شبکه عصـبی
PBH در مقاله [6] نشان داد که در تشخیص ناهنجاري ماشین بردار پشتیبان عملکرد بهتري نسبت به شبکه عصبی دارد.
در این مقاله براي بهبود تشخیص حملات توزیعشده در سیستم سلسهمراتبی نفـوذ [2] از تئـوري مجموعـههـاي نـاهموار و ماشین بردار پشتیبان استفاده مینماییم. نتایج آزمایش و ارزیابی نشان میدهـد کـه مـدل پیشـنهادي داراي نـرخ تشـخیص حملات بیشتر و نرخ اعلان خطاي کمتر و در نتیجه کارایی بالاتري نسبت به مدل مقاله [2] میباشد.
در بخش 2 به معماري سیستم تشخیص نفوذ پیشنهادي و اجزاي آن میپردازیم. بخش 3 بستر آزمون مـورد اسـتفاده بـراي تست سیستم پیشنهادي و نتایج تست را نشان میدهد. در بخش 4 نتیجهگیري از آزمونهاي انجامشده و بحث بر روي آنها عنوان میشود.
.2 معماري سیستم تشخیص نفوذ
سیستم تشخیص نفوذ پیشنهادي سلسهمراتبی و توزیعشده میباشد و از چندین سطح تشکیل شده است. سلسلهمراتب شبکه در شکل 1 نشان داده شده است. سیستم تشخیص نفوذ پیشنهادي داراي سه سطح میباشد که هر سطح ترکیبی از چند سیستم تشخیص نفوذ میباشد.[2] سیستم تشخیص نفوذ سطح 3 گزارشهاي سیستمهاي تشخیص نفوذ سطح 1 در فایروال و مسیریاب و گزارشهاي سیستمهاي تشخیص نفوذ سطح 2 را از شبکه محلی جمعآوري میکند. به دلیل اینکه تمرکز این مقاله بر روي حملات توزیعشده میباشد، از سیستم تشخیص نفوذ سطح 3 استفاده مینماییم.
سیستم تشخیص نفوذ در سطح 3 شامل کاوشگر، پیش پردازنده ترافیک، پردازشگر آمـاري، تئـوري مجموعـههـاي نـاهموار، ماشین بردار پشتیبان و رابط کاربر میباشد. در این بخش به بررسی هر یک از لایههاي فـوق پرداختـه و نحـوه پیـادهسـازي آنها را نشان میدهیم.
.2.1 کاوشگر
در سیستم تشخیص نفوذ پیشنهادي از نرمافزارTcpdump در محیط لینوکس به دلیل نوع دادههاي دریافتی از سطح شبکه و توانایی تبدیل شدن به یک فایل متنی براي جمعآوري ترافیک شبکه استفاده میشود. کاوشگر از ترافیک دریافتی اطلاعاتی نظیر برچسب زمانی، نوع پروتکل، پورت مبدا، پورت مقصد و... استخراج میکند و به واحد پیش پردازنده تحویل میدهد.
.2.2 پیش پردازنده ترافیک
براي تعمیم بخشیدن به تشخیص حملات مختلف در شبکه اتصالات موجود در شبکه از ترافیک شبکه استخراج مـیشـوند.
آمارههاي استخراجشده از اتصالات شبکه بیان دقیقتري از ترافیک شبکه را مشخص میکنند و از آنجایی کـه ویژگـیهـاي استخراجشده از هر بسته براي ایجاد نماهاي ترافیک عادي ناکافی هستند، به جاي بستهها اتصالات بین میزبانهاي مبـدا و مقصد پیگیري میشود. پیش پردازنده ترافیک اطلاعات ارسالی از واحد کاوشگر را دریافـت مـینمایـد و رکـورد اتصـالات را استخراج مینماید. پس از اینکه اتصالات در سطح شبکه تشخیص داده شدند، یک سري از ویژگیها از ترافیک شبکه بـراي اتصالات استخراج میشود که مشخصکننده هر اتصال میباشد. از آنجایی که سیسـتم تشـخیص نفـوذ پیشـنهادي سلسـله مراتبی میباشد و هدف تشخیص حملات توزیعشده میباشد، براي هر اتصال شبکه چهار ویژگی زمان شروع اتصـال، آدرس مبدأ، آدرس مقصد و پورت مقصد به دست آورده میشود.
شکل .1 سلسلهمراتب شبکه در سیستم تشخیص نفوذ سلسله مراتبی
.2.3 پردازشگر آماري
پردازشگر آماري از رکوردهاي اتصالات دریافتی از پیش پردازنده، ویژگیهاي اتصالات را استخراج میکند و با استفاده از ویژگیهاي اتصالات پردازشی آماري- زمانی بر روي ترافیک شبکه انجام میدهد. پیش پردازشگر آماري در فواصل معین از کل اتصالات واقع در شبکه چنین آمارههایی را استخراج میکند که براي تشخیص نفوذ توزیعشده میباشد. در هر فاصله زمانی 30 آماره استخراج میگردد که در ذیل برخی از این آمارهها آورده شده است:[2]
1. تعداد اتصالات در فاصله زمانی
2. تعداد میزبانها در فاصله زمانی
3. تعداد سرویسهاي درخواستی متفاوت در فاصله زمانی
4. درصد اتصالاتی که مبدأ و سرویس متفاوتی دارند.
5. درصد اتصالاتی که مقصد و سرویس یکسانی دارند.
6. متوسط تعداد دفعاتی که یک میزبان به عنوان مبدا اتصال است.
7. درصد اتصالات Telnet
8. متوسط تعداد دفعاتی که یک میزبان به عنوان مبدا از سرویس Telnet استفاده میکند.
9. متوسط تعداد دفعاتی که یک میزبان به عنوان مقصد از سرویس Telnet استفاده میکند.
1. متوسط تعداد دفعاتی که یک میزبان به عنوان مبدا و مقصد از سرویس Telnet استفاده میکند.
4.2. انتخاب ویژگی به وسیله تئوري مجموعههاي ناهموار
مسئله انتخاب ویژگی((Feature Selection، یکی از مسائلی است که در مبحث یـادگیري ماشـین، شناسـایی آمـاري الگـو و پردازش سیگنال مطرح است.[12] هدف اصلی از انتخاب ویژگی، کاهش بعد بردار ویژگی در طبقهبندي است بهطوریکه نـرخ طبقهبندي قابل قبولی نیز حاصل شود. در این شرایط ویژگیهایی که قدرت تمـایز کمتـري دارنـد، حـذفشـده و یکسـري از ویژگیها که شامل اطلاعات مناسبی براي تمایز کلاسهاي الگو هستند، بـاقی مـیماننـد. انتخـاب ویژگـی در سیسـتمهـاي تشخیص نفوذ به دلیل حذف دادههاي تکراري و غیر مرتبط سبب ساده شدن مسئله و تشخیص سریعتر و دقیقتـر حمـلات میگردد.
تئوري مجموعههاي ناهموار3 در اوایل سال 1980 میلادي توسط پروفسور زدیسلاو پاولاك پایهگـذاري گردیـد [13] و از آن زمان به بعد شاهد گسترش کاربردي و نظري این تئوري در دنیا هستیم. این تئوري، یک ابزار قدرتمند ریاضی براي استدلال در موارد ابهام و نایقینی است که روشهایی را براي زدودن و کاستن اطلاعات دانش غیر مرتبط یا مازاد از پایگاههاي دادهها مهیا میسازد. این فرآیند حذف دادههاي زائد بدون از دست دادن دادههاي اساسی پایگاه دادهها صورت میپذیرد و در نتیجه تقلیـل اطلاعات، مجموعهاي از قواعد تلخیص شده و پرمعنا حاصل میگردد که کار تصمیمگیرنده را بسیار سادهتر میکند.
براي پیادهسازي تئوري مجموعههاي ناهموار از نرمافزارهایی همانند Rosetta[19]، Rose2[20] و ... میتوان بهره جست. در سیستم تشخیص نفوذ پیشنهادي در این مقاله از نرمافزار داده کاوي Rosetta براي این منظور استفاده نمودیم. الگوریتمهاي فراهمشده در این نرمافزار به دو صورت قابلاجرا میباشند: در حالت "کامل" مجموعه کاهشها نسبت به کل سیستم اطلاعاتی انتخاب میشوند و در حالت "شیگرا" مجموعه کاهشها نسبت به یک شی ثابت انتخاب میشوند. در نرمافزار Rosetta، چهار الگوریتم کاهش به نامهاي Genetic، Johnson’s، Holte’s و Manual وجود دارد. در مدل پیشنهادشده الگوریتم Genetic[21] بهکاربرده شد که کمترین مجموعههاي ضربه زننده (Hitting Sets) را جستجو میکند. تابع برازش (Fitness Function) الگوریتم به شرح زیر میباشد:
S اجتماع مجموعههایی است که مطابق با تابع تشخیص میباشند و α وزن مابین هزینه زیرمجموعه و کسر ضربه زنندگی میباشد درحالیکه ε در راهحلهاي تقریبی استفاده میگردد. زیرمجموعههاي B از A به وسیله جستجوي تکاملی که توسط
f(B) اندازهگیري میشود، به دست میآیند. اگر زیرمجموعه B داراي حداقل کسر ضربه زنندگی ε باشد در لیست ذخیره میگردد. اندازه لیست اختیاري و قابل تنظیم است. تابع cost هزینه یک زیرمجموعه از ویژگیها را مشخص میکند. اگر هیچ اطلاعاتی مربوط به هزینه موجود نباشد، هزینه فرض میگردد و اگر ε = 1 باشد کوچکترین مجموعه ضربه زننده برگردانده میشود.
با استفاده از الگوریتم Genetic از بین 30 آماره به دست آمده از پردازشگر آماري، پنج آماره با بالاترین رتبه به عنوان آمارههاي مهم انتخاب گردیدند. بر اساس آماري که از نرمافزار به دست آمد، آماره »تعداد سرویسهاي درخواستی متفاوت در فاصله زمانی«، اصلیترین آماره در مجموعه دادهها میباشد.