بخشی از مقاله

چکیده

در امنیت شبکه، آنالیز ترافیک شبکه در زمانیکه ناهنجاریهای موثر برکیفیت سرویس تاثیرگذار می شوند بسیار مورد توجه قرار گرفته است. در این مقاله مکانیزم جدیدی مبتنی برآنالیز ترافیک شبکه با استفاده از تبدیل موجکهای گسسته و یک الگوریتم ردهبندی جهت تشخیص نفوذ در ارائه شده است. که در نهایت، با اجرای الگوریتم ارائه شده را بر روی مجموعه دادههای استاندارد DARPA1999، نشان دادهایم که الگوریتم ارائه شده از کارائی خوبی در تشخیص حملات داس برخوردار است.

-1 مقدمه

روشهای مختلفی برای نفوذ به شبکه وجود دارند که مهمترین آنها عبارتند از : ویروس ها ، اسپم ها ، کرم ها، بدافزارها، کاربران غیر مجاز که جهت دسترسی به اطلاعات حساس تلاش می کنند و تزریق بسته های غیر منتظره به شبکه ها. »سیستمهای تشخیص نفوذ در شبکه1« در واقع ابزارهای نرم افزاری هستند که اطلاعات مبتنی بر میزبان یا مبتنی بر شبکه را می گیرد و حملات یا دسترسی های غیر مجاز را در سیستم یا شبکه آنالیز می کند.

NIDS ها به دو نوع » تشخیص مبتنی بر امضا« و » سوء استفاده« تقسیم بندی می شوند. تشخیصهای مبتنی بر امضا مجموعه اطلاعات از پیش شناخته شده حملات به امضاها میباشد که با آنالیز مجموعه بسته ها و اثر آنها در سیستم به تشخیص نفوذ می رسد از مزایای این سیستمها این است که حملات شناخته شده با اطمینان بالایی قابل شناسایی هستند. روش در تشخیص مبتنی بر امضاء که برای تشخیص ناهنجاریها به کار می رود این است که از فعالیتهای نرمال ،لیستی را از میان معیارهای مختلف تهیه می کند و بعد از آن اگر فعالیتی بیش از حد معمول آماری انحراف داشته باشد - مانند حملات داس - 2 سیستم تشخیص نفوذ را اعلام می کند که الگوریتم مورد استفاده در این کار بر مبنای تبدیلات موجک، آنالیزهای آماری و یادگیری ماشین موفق به تشخیص حملات داس در شبکه شده است و دیتا ست مورد استفاده از داده های استاندارد DARPA 1999 می باشند

-2 مفاهیم اولیه

1-2 حملات داس:

هدف از حملات DoS ، ایجاد اختلال در منابع و یا سرویس هائی است که کاربران قصد دستیابی و استفاده از آنان را دارند - از کار انداختن سرویس ها - . مهمترین هدف این نوع از حملات ، سلب دستیابی کاربران به یک منبع خاص است . در این نوع حملات، مهاجمان با بکارگیری روش های متعددی تلاش می نمایند که کاربران مجاز را به منظور دستیابی و استفاده از یک سرویس خاص ، دچار مشکل نموده و بنوعی در مجموعه سرویس هائی که یک شبکه ارائه می نماید ، اختلال ایجاد نمایند در برخی موارد و به منظور انجام حملات گسترده از حملات DoS به عنوان نقطه شروع و یک عنصر جانبی استفاده شده تا بستر لازم برای تهاجم اصلی ، فراهم گردد.

2-2 تبدیل موجک گسسته هار :

از بین انواع موجکهای مادر موجک گسسته هار ساده ترین نوع و بدلیل گسستگی مشتق پذیر نمی باشد    که    تابع مقیاس کننده ∅ - x - و تابع موجک مادر هار - - X   در رابطه - 1-1 - بیان شده است                    

3-2 دسته بندی :KNN                            

جستجوی نزدیکترین همسایه یاNearest Neighbor ، که همچنین با نامهای جستجوی مجاورت، جستجوی همسانی یا جستجوی نزدیک ترین نقطه شناخته میشود، یک مسئله بهینه سازی برای پیدا کردن نزدیک ترین نقطهها در فضاهای متریک است. مسئله بدین صورت است که مجموعه S شامل تعدادی نقطه در یک فضای متریک مانند M و نیز یک نقطه­ی پرس و جوی q∈ M داده شده است، هدف پیدا کردن نزدیک ترین نقطه در S به q است.

جستجوی k نزدیکترین همسایه، Kهمسایه نزدیک تر به نقطه پرس و جو را برمیگرداند. این روشمعمولاً در تجزیه وتحلیلِ پیش بینی، به منظور تخمین و یا دسته بندی یک نقطه بر اساس اجماع همسایگان آن استفاده میشود. گراف k نزدیکترین همسایه گرافیست که در آن هر نقطه در گراف K نزدیک ترین همسایگان خود متصل است.روال کلی پیاده سازی الگوریتم KNN بصورت ذیل می باشد:

• تعیین پارامترk تعداد نزدیکترین همسایه ها

• محاسبه فاصله نمونه ورودی با تمام نمونه های آموزشی

•مرتب کردن نمونه های آموزشی براساس فاصله و انتخاب k همسایه نزدیک

• کلاسی که اکثریت را در همسایه های نزدیک دارد بعنوان تخمینی برای کلاس نمونه ورودی برده میشود - - combine برای محاسبه فاصله میتوان از تابع فاصله اقلیدوسی استفاده کرد.

-3  کارهای مرتبط :

در سال 2006 آقایان Pescap و Dainotti در ژورنال IEEE مقاله ای با نام" تشخیص حملات انکار سرویس «DOS» مبتنی بر موجکها" ارائه کرده اند که دراین مقاله یک مدل آبشاری برای تشخیص ناهنجاری مبتنی بر حجم که علت حملات DOS است مطرح شده است و این سیستم از دو سیستم متفاوت تشکیل شده است که اولی بر پایه آستانه انطباقی و جمع انباشته و دومی بر پایه تبدیل موجک پیوسته می باشد

در سال 2008 آقایان Wei Lu ، محمود تولایی و علی قربانی با استفاده از تکنیک پردازش سیگنال و محاسبه رگرسیون و آنالیز فاکتورهای مهم مشخصات ترافیک شبکه، ترافیک شبکه را مورد بررسی قرار داده اند و سپس با استفاده از تبدیلات انواع موجکهای گسسته - , mayer2Daubechies, coiflets, symlets - به تشخیص حملات Dos رسیده اند

آقایان Wei Lu و علی قربانی در سال 2009در ژورنال EURASIP در مقاله ای با عنوان "تشخیص ناهنجاریهای شبکه بر پایه آنالیز موجک" با یک تکنیک مدل سازی پردازش سیگنال ترافیک شبکه برای تشخیص ناهنجاری ارائه شد که در آن فرض بر این است که رفتار ترافیک شبکه بوسیله مشخصه های مختلف توصیف و سپس ترافیک نرمال روزانه بوسیله تنظیم ضرایب تقریب موجکها با استفاده از مدل ARX نشان داده شده است که خروجی مدل ترافیک روزانه شبکه باقیمانده نامیده می شود که از سیگنال ورودی برای الگوریتم تشخیص برون خطی ونهایتاٌ تشخیص نفوذ استفاده شده است.

در سال 2010 آقای Renato در مقاله ای با استفاده از تکنیک پردازش سیگنال و تفکیک اطلاعات شبکه بر مبنای پروتکلهای TCP,UDP,ICMPوسپس آنالیز نرخ ورود و خروج داده ها به شبکه نهایتاٌو محاسبه اختلاف داده های ورودی و خروجی با استفاده از تبدیل موجک گسسته و تحلیل ضرایب موجک در هر سطح با ارئه نمودار گرافیکی از ضرایب در هر سطح تجزیه زمان دقیق شروع و پایان حملات Dos را مشخص کند . و بعد ازمجددا این موضوع را در مقاله ای دیگر با استفاده از آنالیز مقادیر عددی ترافیک شبکه و تشکیل ماتریس دو بعدی از مقادیر و اعمال موجک بروی ماتریس و محاسبه واریانس ضرایب موجک و بدست آوردن آستانه حملات موفق به ارائه الگوریتمی برای تشخیص حمله Dos گردید.

درسال 2012 در مجله بین المللی امنیت شبکه مقاله ای با عنوان " پیاده سازی سیستم تشخیص نفوذ با استفاده ا لگوریتم ژنتیک " چاپ شد که به تشخیص نفوذ بوسیله دسته بندی متریکهای شبکه با استفاده از الگوریتم ژنتیک پرداخته شده است

-4 الگوریتم پیشنهادی

الگوریتم مورد نظر بروی حجم داده ها و محتوای آنها متمرکز می باشد که در مرحله اول پس از تبدیل داده ها به مقادیر هگزا و سپس دسیمال، داده ها در یک ماتریس دو بعدی ذخیره می شوند و و در مرحله دوم موجک هار روی مقادیر ماتریس اعمال شده و ضرایب بدست آمده از موجک را با محاسبه واریانس در هر سطر و سپس اعمال حد آستانه جهت مشخص نمودن فعالیت نرمال و غیر نرمالکه با زدن برچسب روی هر بسته به یک مجموعه داده جدید می رسیم و نهایتاٌ داده های جدید جهت اطمینان از صحت انجام کار با ستفاده از دسته بندی KNN دسته بندی می شوند تا مشخص شود که با محاسبه فاصله اقلیدوسی هر بسته آیا مقادیر نرمال و حمله بصورت صحیح در دسته ها قرار گرفته اند یا خیر؟

در متن اصلی مقاله به هم ریختگی وجود ندارد. برای مطالعه بیشتر مقاله آن را خریداری کنید