بخشی از مقاله
چکیده
روزانه شاهد پیشرفت شبکه های کامپیوتری هستیم و فناوری اطلاعات نقش بیشتری درزندگی پیدا می کند. و همواره لزوم تامین امنیت این شبکه ها احساس می شود.جهت تامین امنیت از تجهیزات وابزارهای مختلفی استفاده می شود که سیستم تشخیص نفوذ یکی از آنها است. کار سیستم تشخیص نفوذ نظارت بر فعالیت های مخرب است تا در سریع ترین لحظه به مدیر شبکه هشدار داده شود و به دو روش تشخیص سوء استفاده و تشخیص ناهنجاری عمل می کند.
یکی از روش های مورد استفاده در سیستم های تشخیص نفوذ داده کاوی می باشد که شامل الگوریتم های مختلفی است مانند k-means وفازی. در این پروژه از الگوریتم k نزدیکترین همسایه وخوشه بندی ترکیبی به منظور تشخیص نفوذ استفاده شده است. الگوریتم KNN یک الگوریتم موثر و کارا درطبقه بندی می باشد.طبقه بندی کننده KNN می تواند با تغییر پارامتر K یک قابلیت بسیار خوب در مسائل داده کاوی داشته باشد. خوشه بندی ترکیبی ، روشی جدید در خوشه بندی می باشد که از ترکیب نتایج روش های خوشه بندی مختلف بدست می آید. صحت ، درستی و پایداری از مشخصه های مهم یک سیستم خوشه بندی ترکیبی در مقایسه با روش های کلاسیک خوشه بندی می باشد. در واقع در این پروژه ما خروجی بدست آمده ازخوشه بندی ترکیبی را با الگوریتم KNN بهینه سازی می کنیم.
مقدمه
در سال های گذشته در کشور ما استفاده از شبکه های کامپیوتری به خصوص اینترنت رشد پیدا کرده است. همچنین همگام با این رشد مهارت کاربران نیز افزایش پیدا کرده است. با وجود نقاط آسیب پذیری مختلف در نرم افزار ها ایمن ساختن سیستم ها و شبکه های کامپیوتری از اهمیت بیشتری برخوردار شده است.یکی از ابزارهای مهم برای ایمن سازی ، سیستم تشخیص نفوذ است. نفوذ مجموعه اقدامات غیر قانونی است که صحت ، محرمانگی و دسترس پذیری به منبع را به خطر می اندازد.نفوذ گران را می توان به دو دسته نفوذ گران داخلی و خارجی دسته بندی کرد.
نفوذ گران داخلی کسانی هستند که برای دستیابی به سیستم اختیارات محدودی دارند،اما سعی دارند به منابعی که اجازه دسترسی به آن را ندارنددست پیدا کنند و نفوذ گران خارجی کسانی هستند که اجازه استفاده از سیستم را ندارند ، ولی سعی دارند سیستم را مورد دسترسی قرار دهند. از آنجایی که از نظر تکنیکی ایجاد سیستم های کامپیوتری بدون نقاط ضعف و شکست امنیتی عملا غیر ممکن است،تشخیص نفوذ در تحقیقات سیستم های کامپیوتری با اهمیت خاصی دنبال می شود.سیستم های تشخیص نفوذ،می توانند انواع نفوذ روی شبکه ها را که می تواند شامل جمع آوری اطلاعات،پویش پورت ها ، بدست آوردن کنترل کامپیوترها و هک کردن آن ها باشد را شناسایی کنند.
سیستم تشخیص نفوذ
یک سیستم تشخیص نفوذ - IDS - یک دستگاه یا برنامه نرم افزاری است که بر شبکه یا فعالیت های سیستم جهت فعالیت های مخرب یا نقض سیاست ها نظارت می کند و تولید گزارش ها برای یک ایستگاه مدیریت را برعهده دارد. روش های متعددی برای پیاده سازی یک روش سیستم تشخیص نفوذ وجود دارد:
· تشخیص ناهنجاری: این روش بر اساس تشخیص ناهنجاری ترافیکی است. روش های تشخیص ناهنجاری توانایی شناسایی حملات جدید را دارند اما نرخ هشدار غلط در آن ها بالا است.
· سوءاستفاده/تشخیص امضاء: این روش الگوها و امضاهای حملات شناخته شده پیشین در ترافیک شبکه را جستجومی کند.سبک این روش با تشخیص نفوذ سروکار دارد که شبیه به روش نرم افزار ضد ویروس عمل می کند. این روش دارای نرخ تشخیص بالایی هستند اما توانایی تشخیص حملات جدید را ندارند.
· تشخیص ترکیبی: این روش ترکیبی هر دو روش تشخیص ناهنجاری و تشخیص امضاء را بکار می برد.
یک مساله مهم در تشخیص نفوذ این است که چگونه می توان به طور موثر الگوهای حمله و الگوهای داده های طبیعی را از تعداد زیادی از داده های شبکه جدا کرد و چگونه می توان به طور موثر قوانین نفوذ خودکار را پس از جمع آوری داده های خام شبکه به وجود آورد.برای انجام این کار،از تکنیک های داده کاوی مختلفی مانند:طبقه بندی،خوشه بندی و استخراج قانون رابطه استفاده می شود. - بختیاری،مغربی - 1390 داده کاوی بر اساس سیستم تشخیص نفوذ به دانش کمتر کارشناس نیازدارد.با این وجود اجرای خوب و امنیت را تامین می کند.
این سیستم ها به صورت حملات شناخته شده به اندازه حملات ناشناخته شبکه قابل تشخیص هستند.تکنیک های مختلف داده کاوی می تواند.شبیه رده بندی،خوشه بندی و کاوش قواعد وابستگی،برای تحلیل ترافیک شبکه و در نتیجه تشخیص نفوذ ها استفاده شود.از میان موارد فوق،الگوریتم های خوشه بندی در بسیاری از موارد برای تشخیص نفوذ استفاده می شوند چون آنها به رده بندی داده آموزش به صورت دستی نیاز ندارند.
مروری بر کارهای گذشته
یک روش ترکیبی برای تشخیص نفوذ بر اساس k-means ،بیز ساده وشبکه های عصبی پس انتشار ارائه دادند.در این مدل ابتدا k-means اعمال می شود که روش تجزیه و تحلیل آن خوشه بدون نظارت است.در این روش حملات انکارسرویس،حملات کاربر به ریشه ،حملات دور دست ،وحملات پویشی توسط طبقه بندی بیزی تشخیص داده شدند.در این مقاله تمرکز اصلی بیشتر روی طبقه بندی و عملکرد آن است.بنابراین الگوریتم طبقه بندی متفاوتی برای فیلتر کردن مجموعه داده استفاده شده است. - - shreya dubey and jigyasu dubey,2015
یک روش ترکیبی بر پایه الگوریتم ماشین بردار پشتیبان،الگوریتم نزدیکترین همسایه،و pso برای تشخیص نفوذ ارائه دادند.هدف این کار ایجاد مجموعه ای از طبقه بندی با دقت بالاتر بود. روش های محلی نمونه تک مدی - lsu - بعنوان یک داده بهیینه برای پیدا کردن پارامتر های رفتاری بهتر برای psoاستفاده شده است.طبقه بندی گروه ها با استفاده از روش های جدید و همچنین بعنوان روش الگورتم اکثریت وزن ایجاد شده است.این روش از دقت طبقه بندی بهتری برخوردار است. - - abroumman and reaz,2015
سیستم تشخیص نفوذ ترکیبی بجای ترکیب نتایج دو روش تشخیص نفوذ،از درخت تصمیم c4.5 برای ایجاد یک مدل تشخیص سواستفاده و از یک class svm برای ایجاد یک مدل تشخیص ناهنجاری بصورت سلسله مراتبی استفاده می کند.در این روش،علاوه بر اصول کلی روش های تشخیص نفوذ،داده های آزمایش نرمال با استفاده از روش تشخیص سواستفاده به زیر
