بخشی از مقاله
چکیده
در امنیت شبکه، آنالیز ترافیک شبکه در زمانیکه ناهنجاریهای موثر برکیفیت سرویس تاثیرگذار می شوند بسیار مورد توجه قرار گرفته است. در این مقاله مکانیزم جدیدی مبتنی برآنالیز ترافیک شبکه با استفاده از تبدیل موجکهای گسسته و یک الگوریتم ردهبندی جهت تشخیص نفوذ در ارائه شده است. که در نهایت، با اجرای الگوریتم ارائه شده را بر روی مجموعه دادههای استاندارد DARPA1999، نشان دادهایم که الگوریتم ارائه شده از کارائی خوبی در تشخیص حملات داس برخوردار است.
-1 مقدمه
روشهای مختلفی برای نفوذ به شبکه وجود دارند که مهمترین آنها عبارتند از : ویروس ها ، اسپم ها ، کرم ها، بدافزارها، کاربران غیر مجاز که جهت دسترسی به اطلاعات حساس تلاش می کنند و تزریق بسته های غیر منتظره به شبکه ها. »سیستمهای تشخیص نفوذ در شبکه1«در واقع ابزارهای نرم افزاری هستند که اطلاعات مبتنی بر میزبان یا مبتنی بر شبکه را می گیرد و حملات یا دسترسی های غیر مجاز را در سیستم یا شبکه آنالیز می کند.NIDS ها به دو نوع » تشخیص مبتنی بر امضا« و » سوء استفاده« تقسیم بندی می شوند. تشخیصهای مبتنی بر امضا مجموعه اطلاعات از پیش شناخته شده حملات به امضاها میباشد که با آنالیز مجموعه بسته ها و اثر آنها در سیستم به تشخیص نفوذ می رسد از مزایای این سیستمها این است که حملات شناخته شده با اطمینان بالایی قابل شناسایی هستند.
روش در تشخیص مبتنی بر امضاء که برای تشخیص ناهنجاریها به کار می رود این است که از فعالیتهای نرمال ، لیستی را از میان معیارهای مختلف تهیه می کند و بعد از آن اگر فعالیتی بیش از حد معمول آماری انحراف داشته باشد - مانند حملات داس - 2 سیستم تشخیص نفوذ را اعلام می کند که الگوریتم مورد استفاده در این کار بر مبنای تبدیلات موجک، آنالیزهای آماری و یادگیری ماشین موفق به تشخیص حملات داس در شبکه شده است و دیتا ست مورد استفاده از داده های استاندارد DARPA 1999 می باشند
مفاهیم اولیه
1؛2 حملات داس:
هدف از حملات DoS ، ایجاد اختلال در منابع و یا سرویس هائی است که کاربران قصد دستیابی و استفاده از آنان را دارند - از کار انداختن سرویس ها - . مهمترین هدف این نوع از حملات ، سلب دستیابی کاربران به یک منبع خاص است . در این نوع حملات، مهاجمان با بکارگیری روش های متعددی تلاش می نمایند که کاربران مجاز را به منظور دستیابی و استفاده از یک سرویس خاص ، دچار مشکل نموده و بنوعی در مجموعه سرویس هائی که یک شبکه ارائه می نماید ، اختلال ایجاد نمایند در برخی موارد و به منظور انجام حملات گسترده از حملات DoS به عنوان نقطه شروع و یک عنصر جانبی استفاده شده تا بستر لازم برای تهاجم اصلی ، فراهم گردد.[1]
2؛2 تبدیل موجک گسسته هار :
از بین انواع موجکهای مادر موجک گسسته هار ساده ترین نوع و بدلیل گسستگی مشتق پذیر نمی باشد که تابع مقیاس کننده ∅ - x - و تابع موجک مادر هار - - X در رابطه - 1-1 - بیان شده اس 3؛2 دسته بندی :KNN
جستجوی نزدیکترین همسایه یاNearest Neighbor ، که همچنین با نامهای جستجوی مجاورت، جستجوی همسانی یا جستجوی نزدیک ترین نقطه شناخته میشود، یک مسئله بهینه سازی برای پیدا کردن نزدیک ترین نقطهها در فضاهای متریک است. مسئله بدین صورت است که مجموعه S شامل تعدادی نقطه در یک فضای متریک مانند M و نیز یک نقطهی پرس و جوی q∈ Mداده شده است، هدف پیدا کردن نزدیک ترین نقطه در S به q است.
جستجوی k نزدیکترین همسایه، Kهمسایه نزدیک تر به نقطه پرس و جو را برمیگرداند. این روشمعمولاً در تجزیه وتحلیلِ پیش بینی، به منظور تخمین و یا دسته بندی یک نقطه بر اساس اجماع همسایگان آن استفاده میشود. گراف k نزدیکترین همسایه گرافیست که در آن هر نقطه در گراف K نزدیک ترین همسایگان خود متصل است.روال کلی پیاده سازی الگوریتم KNN بصورت ذیل می باشد:
.تعیین پارامترk تعداد نزدیکترین همسایه ها
.محاسبه فاصله نمونه ورودی با تمام نمونه های آموزشی
.مرتب کردن نمونه های آموزشی براساس فاصله و انتخاب k همسایه نزدیک
•کلاسی که اکثریت را در همسایه های نزدیک دارد بعنوان تخمینی برای کلاس نمونه ورودی برده می شود - - combine برای محاسبه فاصله میتوان از تابع فاصله اقلیدوسی استفاده کرد.
-2 کارهای مرتبط :
در سال 2006 آقایان Pescap و Dainotti در ژورنال IEEE مقاله ای با نام" تشخیص حملات انکار سرویس «DOS» مبتنی بر موجکها" ارائه کرده اند که دراین مقاله یک مدل آبشاری برای تشخیص ناهنجاری مبتنی بر حجم که علت حملات DOS است مطرح شده است و این سیستم از دو سیستم متفاوت تشکیل شده است که اولی بر پایه آستانه انطباقی و جمع انباشته و دومی بر پایه تبدیل موجک پیوسته می باشد.[3]