مقاله تشخیص حمله DOS در شبکه با استفاده از تبدیل موجک و الگوریتم دسته بندی KNN

بخشی از مقاله

چکیده
امروزه با توجه به استفاده گسترده از اینترنت و شبکه های کامپیوتری، حفظ امنیت و تشخیص حملات به شبکه، توجه زیادی را به خود جلب کرده است. حمله داس یکی از معمول ترین حملات به شبکه است. در این مقاله الگوریتمی به منظور تشخص حمله داس به شبکه با استفاده از تبدیل موجک گسته ارائه شده است. به منظور ارزیابی الگوریتم پیشنهادی، از مجموعه داده استاندارد DARPA1999 وجهت راستی آزمایی از الگوریتم دسته بندی KNN استفاده شده است. نتایج به دست آمده نشان میدهند که الگوریتم پیشنهادی در مقایسه با الگوریتمهای موجود، از کارائی بالاتری برخوردار است.

کلید واژه: تشخیص نفوذ، ترافیک شبکه، تبدیل موجک

-1 مقدمه

شبکه ها به دلیل اینکه دائماٌ در معرض حملاتی مختلفی از جمله ویروس ها ، اسپم ها ، کرم ها، بدافزارها، تزریق بسته های غیر منتظره به شبکه و کاربران غیر مجاز هستند برای ایمن سازی شبکه از سیستمهای تشخیص نفوذ در شبکه - NIDS - ها استفاده می شود که در واقع ابزاری نرم افزاری است که اطلاعات مبتنی بر میزبان یا مبتنی بر شبکه را بررسی و حملات یا دسترسیهای غیر مجاز را در شبکه آنالیز می کند. NIDS ها به دو نوع » تشخیص مبتنی بر امضا« و » سوء استفاده« تقسیم بندی می شوند. تشخیصهای مبتنی بر امضا مجموعه اطلاعات از پیش شناخته شده هستند که با آنالیز مجموعه بسته ها و اثر آنها سیستم تشخیص نفوذ فعال می شود. از مزایای این سیستمها این است که حملات شناخته شده با اطمینان بالایی قابل شناسایی هستند . برای تشخیص حمله داس که آنهم نوعی امضا محسوب می شود با روش آماری، ابتدا لیستی از فعالیتهای نرمال را با استفاده از معیارهای مختلف تهیه می کند و اگر فعالیتی انحراف معیار از مقدار استاندارد داشته باشد سیستم اعلان هشدار میکند. در این مقاله الگوریتمی مبتنی بر تبدیل موجک گسسته هار ارائه شده است که حملات داس را با دقت بالایی شناسائی میکند.

-2 مفاهیم اولیه

-1-2 حملات DOS1

در حمله داس هدف هکرها سرقت اطلاعلات نمی باشد و قصد انها بستر سازی برای انجام سایر حملات و کارهای گسترده تری در روند کار شبکه است و ایجاد اختلال در منابع و یا سرویس هائی است که کاربران قصد دستیابی و استفاده از آنان را دارند که در اینصورت در واحد زمان باری بیشتر از توان شبکه به آن اعمال می شود که باعث اختلال و از کار افتادن شبکه می شود . در این نوع حملات، مهاجمان با بکارگیری روش های متعددی تلاش می نمایند که کاربران مجاز را به منظور دستیابی و استفاده از یک سرویس خاص ، دچار مشکل نموده و به نوعی در مجموعه سرویس هائی که یک شبکه ارائه می نماید ، اختلال ایجاد نمایند .[1]

2-2 تبدیل موجک گسسته هار

از بین انواع موجکهای مادر موجک گسسته هار ساده ترین نوع و به دلیل گسستگی مشتق پذیر نمی باشد که تابع مقیاس کننده - x -  و تابع موجک مادر هار - ; - در رابطه 1 بیان شده است.[2]رابطه - 1 -

-3-2دسته بندی KNN
جستجوی نزدیکترین همسایه یاclustering Nearest Neighbor، که همچنین با نامهای جستجوی مجاورت، جستجوی همسانی یا جستجوی نزدیک ترین نقطه شناخته میشود، یک مسئله بهینهDenial of service 1 سازی برای پیدا کردن نزدیک ترین نقطهها در فضاهای متریک است. مسئله بدین صورت است که مجموعه S شامل تعدادی نقطه در یک فضای متریک مانند M و نیز یک نقطه­ی پرس و جوی q∈ M داده شده است، هدف پیدا کردن نزدیک ترین نقطه در S به q است. جستجوی k نزدیکترین همسایه، K همسایه نزدیک تر به نقطه پرس و جو را برمیگرداند . اینروش معمولاً در تجزیه و تحلِی پیش بینی، به منظور تخمین و یا دسته بندی یک نقطه بر اساس اجماع همسایگان آن استفاده میشود . گراف k نزدیکترین همسایه گرافیست که در آن هر نقطه در گراف K نزدیک ترین همسایگان خود متصل است.روال کلی پیاده سازی الگوریتم KNN بصورت ذیل می باشد:

.تعیین پارامترk تعداد نزدیکترین همسایه ها

.محاسبه فاصله نمونه ورودی با تمام نمونه های آموزشی

.مرتب کردن نمونه های آموزشی براساس فاصله و انتخابk همسایه نزدیک

.کلاسی که اکثریت را در همسایه های نزدیک دارد بعنوان تخمینی برای کلاس نمونه ورودی برده می شود - combine - برای محاسبه فاصله میتوان از تابع فاصله اقلیدوسی استفاده کرد.-3 کارهای مرتبطدر مرجع شماره [3] الگوریتمی برای تشخیص حملات داس به دو روش استفاده شده که اولی مدل آبشاری وآستانه انطباقی و جمع انباشته و دومی بر پایه تبدیل موجک پیوسته می باشد .در مرجع شماره [4] با استفاده تکنیک پردازش سیگنال و محاسبه رگرسیون و آنالیز فاکتورهای مهم ترافیک شبکه مورد بررسی قرار گرفته و سپس با استفاده از تبدیلات چندین نوع موجک گسسته موفق به تشخیص حملات Dos شده اند.

در مرجع شماره [5]با استفاده ازتکنیک مدل سازی و پردازش سیگنال در ترافیک شبکه برای تشخیص ناهنجاریها توسط مدل ARXبر مبنای اختلاف مقادیر ورودی و خروجی شبکه به تشخیص نفوذ پرداخته شده است.در مرجع شماره [6] با استفاده از تکنیک پردازش سیگنال و تفکیک اطلاعات شبکه بر مبنای پروتکلهای TCP,UDP,ICMP وسپس آنالیز نرخ ورود و خروج داده ها به شبکه و نهاتاٌی محاسبه اختلاف داده های ورودی و خروجی با استفاده از تبدیل موجک گسسته و تحلیل ضرایب موجک در هر سطح با ارئه نمودار گرافیکی از ضرایب در هر سطح تجزیه به تشخیصحملات Dos را پرداخته شده .در مرجع شماره [7]با استفاده ا لگوریتم ژنتیک به تشخیص نفوذ به شبکه بوسیله دسته بندی متریکهای مختلف موثر در شبکه پرداخته شده است.

-4 الگوریتم پیشنهادی

الگوریتم مورد نظر بروی حجم داده ها متمرکز می باشد که در مرحله اول پس از تبدیل داده ها به مقادیر هگزا و سپس دسیمال، داده ها به مقادیر دو ماتریس تبدیل می شوند و در مرحله دوم موجک هار روی مقادیر ماتریس اعمال شده و ضرایب بدست آمده از موجک را با محاسبه واریانس در هر سطر و سپس اعمال حد آستانه جهت مشخص نمودن فعالیت نرمال و غیر نرمال که با زدن برچسب روی هر بسته به یک مجموعه داده جدید می رسیم و نهاتاٌی داده های جدید جهت اطمینان از صحت انجام کار با ستفاده از دسته بندی KNN دسته بندی می شوند تا مشخص شود که با محاسبه فاصله اقلیدوسی هر بسته آیا مقادیر نرمال و حمله بصورت صحیح در دسته ها قرار گرفته اند یا خیر؟ شبه کد الگوریتم ارائه شده به شرح ذیل می باشد

-5پیاده سازی

جهت پیش پردازش داده ها و تبدیل مقادیر شبکه به مقادیر قابل فهم و خواندن که ابتدا بایستی مقادیر هگزای مربوط به هر بسته در زمان مشخص توسط نرم افزار Wireshark استخراج و سپس توسط سوئیچهای TSHARKدر فایلی با پسوند pcap ذخیره شده و سپس به مقادیر دسیمال تبدیل و مقادیر بسته ها از هم جداد سازی شده و در یک ماتریس دو بعدی ذخیره و سپس بقیه کار که با کد نویسی در سی شارپ طراحی شده اند ، وهمچنین کد الگوریتم موجک هار در برنامه سی شارپ روی داد ه ها ی اولیه ای استخراج شده از متلب در یک سطح موجک اعمال گردیده که تبدیل موجک در این مرحله باعث کاهش %50 حجم داده ها وبه طبع بالا رفتن سرعت کار پردازش در این مرحله گردید و در مرحله بعد مقدار واریانس مقادیر ضرایب بدست آمده از اعمال موجک در مقادیر هر بسته را محاسبه نموده و سپس مقدار واریانس را بعنوان آستانه از %70 مقادیر عددی هر بسته برای تعیین مقادیر نرمال و حمله مشخص گردید و نهاتاٌی پس از مشخص شدن حملات برچسب normal و abnormal بروی بسته ها زده شده که در این مرحله مقادیر بسته ها برای دسته بندی آماده هستند که دسته بندی با الگوریتم KNN در نرم افزار سی شارپ اعمال شده که طبق تعریف این دسته بند مقدار K=5 در نظر گرفته شده و نهاتاٌی فاصله اقلیدوسی داده ها با داده های آزمون محاسبه شده و توسط دسته بند، دسته بندی انجام شده که نتایج دقیق از تشخیص نفوذ حاصل گردید .

-6ارزیابی نتایج الگوریتم پیشنهادی
دیتاست دارپا 1999 شامل 5 هفته اطلاعات و ترافیک شبکه که هر هفته شامل 5 روز و هر روز شامل 22 ساعت اطلاعات شنود شده دارد که جدل شماره 1 مربوط به اطلاعات حمله در هفته دوم است.[1] دیتاست آنالیز شده مربوط به داده های استاندار هفته دوم دارپا 1999می باشد ولی به دلیل حجیم بودن دادها به ناچار به ارائه نمونه ای از نتایج دو روز ا داده ها با محدوده زمانی مشخص هستیم که داده های تاریخ 1999/03/08 که شامل حمله و ترافیک نرمال از ساعت 08:50:13 تا ساعت 08:50:17 می باشد و حمله مشخص شده در دیتا ست دارپا راس ساعت 08:50:15 می باشدو نتایج در جدول شماره 1 و شکل شماره 1 قابل مشاهده است و در تاریخ 1999/03/11 با ترافیک نرمال و بدون حمله که بصورت تصادفی از ساعت 02:51:44 تا ساعت 02:51:48 نمونه برداری شده است که در بین فاصله مشخص شده هیچگونه حمله ای رخ نداده است و نتایج در جدول شماره 3 و شکل شماره 2 قابل مشاهد است .

-7 نتیجهگیری
طبق نمونه نتایج بدست آمده و انجام آزمون و خطاهایی مکرر و بررسی خروجی های شبیه سازی شده در متلب، سیستم طراحی شده قادر به شناسایی حملات داس مطابق با زمانهای اعلام شده از سازمان دارپا است پس می توان نتیجه گرفت موجک هار قادر به شناسایی حمله داس در یک شبکه می باشد.