بخشی از مقاله
چکیده
امروزه دنیای امنیت اطلاعات با تغییرات فراوانی روبرو شده است، روند رو به رشد استفاده از شبکههای کامپیوتری بهخصوص اینترنت و افزایش مهارتمهاجمانِ این شبکهها و وجود نقاط آسیبپذیری مختلف در نرمافزارها، ایمنسازی دستگاهها و شبکههای کامپیوتری، نسبت به گذشته از اهمیت بیشتری برخوردار شده است. در مسئله تشخیص نفوذ به پایگاه دادهها هدف پیدا کردن تراکنشهای مهاجمی است که به دادهها بهصورت غیرمجاز دسترسی پیدا میکنند. این رویدادها بهوسیله فرآیند نظارت تحلیل میشوند و درصورتیکه نشانههای تهاجم در آنها یافت شود، سیستم آنها را بهعنوان حمله گزارش میکند.
در این مقاله ما به تاریخچه تغییرات در پایگاه داده همانند یک مجموعه سری زمانی ترتیبی نگاه میکنیم. سپس با آزمودن مدل مخفی مارکوف بهعنوان یک ابزار مانیتورینگ برای به دست آوردن روال عادی تغییرات تراکنشهای موجود در پایگاه داده استفاده میکنیم. درواقع روش مخفی مارکوف تمامی روابط موجود میان هرکدام از رکوردهای گروهبندیشده و تغییرات معتبر بروی تراکنشهای ترتیبی را به دست میآورد، سپس یافته ها الگوریتم خود را با تغییرات در رفتار وفق میدهد.نتیجه آزمایش با مجموعه داده واقعی، مقایسه ویژگیهای مختلف برای پارامترهای بالقوه HMM انجام میشود.
مقدمه
با افزایش سرعت، اندازه و تعداد کامپیوترها بعد از سال 1970، اهمیت امنیت سیستمهای کامپیوتری افزایش یافت و با توجه به افزایش حجم دادههای ذخیرهشده در دنبالههای ممیزی1، مرور و تحلیل دستی آنها مشکل گردید، جیمز اندرسون اولین کسی بود که مساله مرور خودکار دنبالههای ممیزی را مطرح ساخت. تجربیات حاصله از ممیزی سیستمها و ردیابی برخی از وقایع از روی دنبالههای ممیزی به همراه ایدههای مطرحشده توسط اندرسون، منجر به ظهور سیستمهای تشخیص تهاجم در سال 1980گردید.
سیستم تشخیص نفوذ یک نرمافزار باقابلیت تشخیص، آشکارسازی و پاسخ - واکنش - به فعالیتهای غیرمجاز یا ناهنجار در رابطه با سیستم میباشد،در این سیستمها با استفاده اطلاعاتی مانند پویش پورتها و تشخیص ترافیک غیرمتعارف، نفوذ خرابکاریها را میتوان کشف و به مسئول مربوطه گزارش داد
اما سیستمهای متعارف کنترل دستیابی مثل دیواره آتش و سیستم تشخیص نفوذ امروزه برای حفاظت در برابر حمله کافی نیستند، چراکه این روشها درصد خطای بالایی دارند و توانایی تشخیص حملات از قبل تعریفنشده را ندارند، بنابراین سیستمهای تشخیص نفوذ بهنوعی هوشمندی نیاز دارند. در این حالت، این سیستمها قابلیت یادگیری دارند و میتوانند بر روی تراکنشهای واردشده به پایگاه داده تحلیل انجام داده و کاربران عادی و غیرعادی را تشخیص دهند.
ازجمله روشهای هوشمند متداول که امروزه مورداستفاده قرار میگیرند: شبکههای عصبی؛ منطق فازی؛ تکنیکهای دادهکاوی ؛الگوریتم ژنتیک و مدل مخفی مارکوف میباشند. مدل مخفی مارکوف یا HMM1 هم در اواخر دهه 1960 میلادی معرفی گردید و در حال حاضر بهسرعت در حال گسترش دامنه کاربردها میباشد. دو دلیل مهم برای این مسئله وجود دارد. اول اینکه این مدل ازلحاظ ساختار ریاضی بسیار قدرتمند است و به همین دلیل مبانی نظری بسیاری از کاربردها را شکل داده است. دوم اینکه مدل مخفی مارکوف اگر بهصورت مناسبی ایجاد شود میتواند برای کاربردهای بسیاری مورداستفاده قرار گیرد
این مقاله شامل 5 بخش میباشد که در بخش اول مقدمه، در بخش دوم پیشینهای از کاربرد مدل مخفی مارکوف بیان میشود، در بخش سوم تقسیمبندی از سیستمهای تشخیص نفوذ معرفی و ارزیابی میشوند، در بخش چهارم مدل مخفی مارکوف بررسی میشوند، بخش پنجم معرفی سیستم پیشنهادی و آزمایش ، در بخش آخر هم نتیجهگیری از بحث خواهیم داشت.
-2 مروری بر کارهای انجام شده با مدل مارکوف
مدلهای مخفی مارکوف اولین بار در یک سری از مقالات آماری در سال 1960 مطرح گردید. اولین کاربرد آن در شناسایی گفتار بود که در سال 1970 شروع گردید. در [2] مدل مخفی مارکوف بهعنوان ابزاری قدرتمند در پردازش صحبت خصوصاً در تشخیص کلام مورداستفاده قرارگرفته است، در این گزارش برای هر گوینده دسته مدلهایی بر اساس الگوریتم Baum-welch آموزش داده میشوند. دلیل استفاده از مدل مارکوف در این زمینه، گستردگی ساده و حجم کم محاسبات بهدستآمده در مرحله آزمودن است که مدل مارکوف این خواص را به لطف داشتن زمینه ریاضی قوی پیداکرده است.
در[3] از مدل مخفی مارکوف برای مدلسازی رفتار نرون های شبکههای عصبی استفاده کرده است، رفتار نرون های یک شبکه عصبی پس از انتشار خطا را میتوان مدلسازی کرد، اما عیب روشهای قبلی تعداد نمونههای کم یادگیری بود اما با روش مبتنی بر مدل مخفی مارکوف ارتباط بین نرون های شبکه عصبی و نحوه پاسخ آن به نمونههای یادگیری مدل میگردد. تا از آن در شناسایی الگوهای جدید استفاده شود.
در [7] با استفاده از مدلهای مخفی مارکوف به بررسی ارزیابی شبکههای کامپیوتری پرداختهشده است و برای تحقق این امر معیارهای ارزیابی کارایی شبکه ازجمله قابلیت اطمینان و دسترسپذیری بررسی میشود و با استفاده از مدلهای مخفی مارکوف توانسته است تا حدودی رفتار شبکه و سیستمها و میزان ترافیک عبوری در کانال را پیشبینی کند.
برای مطالعه شبکههای سیار موردی میتوان از مدلسازی مبتنی بر مدل مخفی مارکوف استفاده کرد. در سالهای اخیر به دلیل انعطاف و سادگی زنجیرههای مارکوف، استفاده از آن در اکثر مدلسازیها افزایشیافته است. در شبکههای سیار موردی مسائلی وجود دارد که ارزیابی و تحلیل آنها از اهمیت خاصی برخوردار است با ارائهی مدلی برای هر یک از این مسائل روند ارزیابی این نوع شبکهها بهتر انجام گردد، که به دلیل تطبیق بسیاری از خصوصیات شبکههای سیار موردی و زنجیره مارکوفی، بیشتر مدلسازیهای انجامشده در این نوع شبکهها مبتنی بر مدل مارکوف است.
در [8] از مارکوف برای پیشبینی رفتار مشتریان در سیستم بانکی استفادهشده است و برای این کار از مدل مارکوف وزندار، که در آن وزنها میزان شباهت بین کاربران مشاهدهشده و کاربران جاری را نشان میدهد.
