مقاله تشخیص رفتار ناهنجار شبکه به روش چند سطحی مبتنی بر بکارگیری همزمان ویژگی¬های عددی و دسته¬ای

بخشی از مقاله

چکیده

امروزه توسعه روزافزون شبکههای رایانهای و کاربرد وسیع آن در زندگی بشر، لزوم تأمین امنیت این شبکهها را بیش از پیش نمایان ساخته است. سیستم تشخیص نفوذ از جمله ابزارهای مورد استفاده در تامین امنیت شبکه شمار میرود. روشهای متعددی از جمله روش دوسطحی مطرح گردیده است در این روش ویژگیهای عددی و ویژگیهای دستهای به طور مجزا در هر سطح به کار گرفته میشوند. در این روش همپوشانی ویژگیهای عددی و دستهای در نظر گرفته نمیشود.

از اینرو در این مقاله روشی سه سطحی مطرح شده است که در سطح اول ویژگیهای دستهای، سطح دوم ویژگیهای عددی و سطح سوم تلفیق هر دو دسته ویژگی بهکار برده شده است. در سطح اول قوانین استخراج شده و وجود/عدم وجود ناهنجاری تشخیص داده میشود. در سطح دوم با ایجاد مدل پیشبینی کننده و خروجی سطح دوم نوع ناهنجاری معلوم میگردد . در سطح سوم با داشتن کلاسبند آموزش دیده با هر دو نوع ویژگی نوع ناهنجاری تعیین میگردد. در نهایت از روش رایگیری برای ترکیب نتایج دو مرحله دوم و سوم استفاده میشود. آزمایشات روی دادگان KDDنشان دهنده افزایش دقت کلاسبندی روش پیشنهادی نسبت به دیگر روشها بود.
مقدمه

از سالیان گذشته نیاز به امنیت جهت حمایت از شبکههای کامپیوتری امری بدیهی است. اتصال شبکههای کامپیوتری به اینترنت آنها را در معرض بسیاری از جرایم مجازی قرار داده است. در حال حاضر سیستمهای تشخیص نفوذ 1     به عنوان - IDS - بخشی از زیرساختهای امنیت شبکه، معمول شدهاند و استفاده از آنها ضروری به نظر میرسد. سیستم تشخیص نفوذ حالات شبکه را زیر نظر دارد و بدون آنکه کارایی شبکه را کاهش دهد رفتار کاربرهای آن را زیر نظر میگیرد . - Anderson, 1980 - هدف اصلی این سیستم بازرسی، شناسایی و مقابله با کاربرهای غیرمجاز میباشد. سیستمهای تشخیص نفوذ را میتوان به دو گروه کلی حملات شناخته شده2و شناسایی حملات ناهنجار 3تقسیم کرد .

- Gogoi et al, 2014 - سیستم تشخیص نفوذ به طور سنتی برای کشف تهدیدات با تجزیه و تحلیل دادههای ترافیک در لایه شبکه شناخته شده است. بر اساس منبع اطلاعات دریافتی، سیستمهای تشخیص نفوذ به دو دستهی سیستمهای تشخیص نفوذ مبتنی بر میزبانHIDS4 و سیستمهای تشخیص نفوذ مبتنی بر شبکهNIDS 5 تقسیم میشوند . - Das and Sarkar, 2014 - سیستمهای تشخیص نفوذ مبتنی بر میزبان از فایل رخدادهای سیستم عامل و برنامههای کاربردی به عنوان دادهی ورودی استفاده میکنند و براساس این دادهها تلاش میکنند تا نفوذ و تهدید در کامپیوتر میزبان را تشخیص دهند. سیستمهای تشخیص نفوذ مبتنی بر شبکه از ترافیک شبکه به عنوان منبع اصلی اطلاعات استفاده می کنند.

مدل مبتنی بر میزبان به طور موثر نمیتواند ترافیک شبکه را نظارت کند زیرا تنها بر اساس تجزیه و تحلیل اطلاعات فایل رخدادها یا بستهها نفوذ را تشخیص میدهد این سیستم ممکن است تهدیدها را بر اساس امضا حملهی شناخته شده تشخیص دهد، اما حملات جدید نمیتواند کشف شود . - Das, and Sarkar, 2014 - تشخیص رفتارهای ناهنجار بر روی شناسایی مبتنی بر میزبان یا شبکه بر این فرض است که حملات رفتارهای متفاوتی در مقایسه با فعالیتهای عادی نشان میدهد. بنابراین، برای شناسایی هر گونه رفتار ناهنجار بدون داشتن دانش خاص امکان پذیر است. باتوجه به این مزیت، تشخیص ناهنجاری برای طراحی برنامههای مختلف و هر دامنهای با هدف شناسایی فعالیتهای ناهنجار از جمله زمینه-های پزشکی استفده میشود با این حال، روش تشخیص ناهنجاری ممکن است نرخ هشدار غلط بالا داشته باشد،

و نیاز به مجموعه آموزش گسترده برای رسیدن به نتیجه عملکرد قابل اعتماد دارد. - Das and Sarkar,2014 - رفتارهای ناهنجار اگر با یک مدل تعریف شده برای نمایش رفتارهای نرمال مطابقت نداشته باشند به عنوان الگوهای مختلف در نظر گرفته میشود. برای کشف رفتارهای ناهنجار - به عنوان مثال نفوذ و حملات - ، درک روند و یا الگوهای آنها ضروری است.یک روش تشخیص اختلال شبکه دو سطحی در سال2016 توسط جی سویئون و همکاران - Ji et al,2016 - مطرح گردیدکه با بهرهگیری از قوانین قابل اطمینان برای تشخیص رفتار ناهنجار، تولید یک مدل پیش بینی برای تشخیص حملات دقیق - به عنوان مثال 6   ، Dos 7و -   8 با استفاده از ویژگیهای 9     ، و یک ابزار تحلیلی تجسم سازی برای ارائه کردن درک بیشتر تجزیه و L2R    DWT    probe تحلیل به کاربران بکاربرد.این مطالعه بر اهمیت استفاده از DWT برای استخراج ویژگیهای قابل توجه برای تشخیص رفتارهای غیر طبیعی شبکه تاکید دارد.

قوانین تصمیمگیری برای تشخیص رفتارهای ناهنجار شبکه با استفاده از تنها چهار متغیر ارائه داده است - به عنوان مثال مدت زمان، نوع پروتکل، خدمات، و پرچم - و قوانین ارائه شده در این روش برای تشخیص نفوذ آماری و قابل توجه بودند. در حالی که قوانین تولیدشده رفتارهای طبیعی و غیر طبیعی به وضوح متفاوت بود، یک محدودیت از ارائه اطلاعات دقیق در مورد تشخیص رفتارهای ناهنجار هر متغیری که شامل مقادیر ویژگی متعدد دارد،وجود دارد.

هدف مقاله حاضر تشخیص رفتار ناهنجار شبکه در سیستم تشخیص نفوذ به کمک ایده استفاده از روش تشخیص چند سطحی به منظور افزایش نرخ بازشناسی میباشد. نگاشت مذکور با اعمال ترکیب که در سطح اول ویژگیهای عددی، سطح دوم ویژگیهای دستهای و سطح سوم تلفیق هردودسته ویژگی انجام میگردد. آزمایشات روی دادگان KDD نشاندهنده افزایش دقت کلاسبندی روش پیشنهادی نسبت به دیگر روشها بود. ساختار ادامه مقاله به این صورت خواهد بود. ابتدا مروری بر کارهای مرتبط بیان خواهد شد. سپس روش پیشنهادی سه سطحی مبتنی بر تلفیق ویژگیهای عددی و دستهای آورده میشود. بخش بعدی به بیان نتایج آزمایشات تعلق دارد و در نهایت جمعبندی ارائه شده است.

مروری بر کارهای مرتبط

روش آنالیز داده و داده کاوی پیشنهاد شده توسط - Barbara et al,2001 - تشخیص سوء استفاده به دنبال تشخیص ناهنجاری اعمال میشود. در این روش ابتدا با استفاده از قوانین داده کاوی مدل تشخیص ناهنجاری به تعیین اتصالات مشکوک میپردازد و سپس جهت دسته بندی اتصالات به عنوان اتصال نرمال یا اتصال حمله شناخته شده و یا اتصال حمله ناشناخته به یک مدل تشخیص سوء استفاده ارسال میشود. سیستم تشخیص نفوذ ارائه شده توسط - Oh and Lee,2003 - برای مدل کردن رفتار نرمال از روی فعالیتهای کاربران از الگوریتم خوشهبندی استفاده میکند.

نتایج نشان میدهد که استفاده از خوشهبندی می-تواند باعث کاهش نرخ هشدارهای غلط موجود در متدهای آماری شود و در نتیجه نسبت به روشهای آماری رفتار کابران و تعامل آنها با سیستم را بسیار دقیقتر مدل مینماید.یک معماری جدید برای سیستمهای تشخیص نفوذ توسط - Depren et - al,2005 ارائه گردیده است که در معماری آن از هر دو رویکرد مبتنی بر تشخیص سوءاستفاده و تشخیص ناهنجاریها استفاده شده است.

یک سیستم تشخیص نفوذ با استفاده از شبکههای عصبی و الگوریتمPCA10 که از الگوریتمهای مطرح و پرکاربرد در بحث دادهکاوی است توسط - Liu et al ,2007 - ، ارائه شده است. به منظور پیدا کردن نفوذهای غیرمجاز بر اساس رفتارهای کاربران، اکثر کارهای قبلی بر استفاده ازروشهای آماری برای آنالیز دادههای مورد بازبینی، متمرکز بودهاند. - Hwang et al ,2007 - از روش تشخیص سوءاستفاده که توسط روش تشخیص ناهنجاری دنبال میشود برای طراحی یک سیستم تشخیص نفوذ ترکیبی استفاده کرد.

- $\G Q et al,2009 - یک سیستم تشخیص نفوذ هیبرید، با استفاده از ترکیب دو رویکرد تشخیص نفوذ - کشف ناهنجاری و کشف سوء استفاده - در یک سیستم ارائه شده است. نتایج نشان داده است که سیستم مرکب در مقایسه با روشهای یکتا، کارآیی بهتری دارند.یک اصل مهم و چالشی در روش تشخیص ناهنجاری ایجاد پروفایلهای نرمال است. اگر پروفایلها خیلی بزرگ باشند؛ روش تشخیص ناهنجاری در تشخیص اکثر حملات شکست خورده و منجر به یک نرخ تشخیص پایین می شود.

از سویی نیز اگر پروفایل ها بسیار محدود باشند، روش تشخیص ناهنجاری می تواند تقریبا همه حمله ها را شناسایی کند اما اکثر اتصالات نرمال را نیز به عنوان حمله دستهبندی میکند که متاسفانه در تمامی روشهای پیشین توجهی به این موضوع و برطرف کردن آن نکردند. روشهای ترکیبی مورد بررسی در سال - Kim et al, 2014 - روی کاهش نرخ مثبت کاذب مدل تشخیص ناهنجاری با ترکیب مدلهای تشخیص بصورت سلسله مراتبی، مجتمع شده در یک ساختار تجزیه شده تمرکز دارند. محققان الگوریتمها و یا تئوریهای مختلف از جمله آمار، یادگیری ماشین، دادهکاوی، تئوری اطلاعات، و نظریه طیفی برای