مقاله تشخیص نفوذ در شبکه‌های نرم افزار محور با شبکه عمیق پلکانی

بخشی از مقاله

چکیده

شبکه نرم افزار محور - SDN - اخراَی بوجود آمده و یکی از راه حلهای امیدوار کننده برای اینترنت آینده شده است. با تمرکز منطقی کنترل کنندهها و مرور کلی شبکه، SDN فرصتی برای تقویت امنیت شبکهمان به ما میدهد. با این حال، SDN همچنین موجب افزایش پتانسیل در برابر تهدیدات بالقوه را موجب میشود. در این مقاله، یک روش یادگیری عمیق را برای تشخیص ناهنجاریهای مبتنی بر جریان در یک محیط SDN مورد استفاده قرار میدهیم. ما یک مدل شبکه عمیق پلکانی - DLN - را برای یک سیستم تشخیص نفوذ ایجاد میکنیم و مدل را با مجموعه داده NSL-KDD آموزش میدهیم. در این کار، ما فقط از شش ویژگی اصلی که از چهل یکی ویژگی مجموعه داده NSL-KDD گرفته شده ، استفاده میکنیم - که میتواند به آسانی از محیط SDN به دست آیند - . نتایج تجربی نشان میدهد که روش یادگیری عمیق، پتانسیل قوی برای تشخیص ناهنجاری مبتنی بر جریان در محیط SDN را نشان میدهد.
.1 مقدمه

معماری شبکه سنتی در چند دهه گذشته عمدتا بدون تغییر بوده و ثابت شده است که این موضوع دست و پا گیر است. شبکه نرم افزار محور - SDN - 1 یک معماری در حال ظهور است که پویا، قابل کنترل، مقرون به صرفه و قابل انطباق است، و این ویژگیها آن را مناسب برای پهنای باند بالا، ماهیت دینامیکی برنامههای امروز ساخته است. این معماری توابع کنترل و توابع انتقال شبکه را جدا میکند که این موجب شده است تا کنترل شبکه بطور مستقیم قابل برنامه ریزی باشد و زیرساختهای آن برای برنامههای کاربردی و سرویسهای شبکه قابل خلاصه سازی باشد SDN .[1] و [2] OpenFlow به طور فزاینده ای محققان را از دانشگاه و صنعت جذب میکنند.

مزایای SDN در سناریوهای مختلف - به عنوان مثال، شرکت، مرکز داده، و غیره - و در سراسر شبکههای مختلف قبلا اثبات شده است - مثلا [3] Google B4 و شبکه حامل هوآوی . - [4] نرم افزارهای کنترل کننده مختلف SDN توسط سازمانهای منبع باز یا شرکتهای تجاری مانند NOX [5]، [6] Ryu و [7] Floodlight ارائه شده است. فروشندگان تجاری متعددی OpenFlow را در سوئیچ سخت افزار خود - مثلا HP، Pronto، Cisco، Dell، Intel، NEC و - Juniper پشتیبانی میکنند. پروتکل OpenFlow اولین رابط کاربری ارتباطی استاندارد تعریف شده بین لایههای کنترل و انتفال از معماری SDN است. OpenFlow از مفهوم جریان برای شناسایی ترافیک شبکه و ثبت اطلاعات آن با شمارندهها ، استفاده میکند. جریان ، یک گروه از بستههای IP است، با برخی ویژگیهای مشترک، که از یک نقطه نظارت در یک فاصله زمانی مشخص عبور میکنند.

اگر چه قابلیتهای SDN - به عنوان مثال، تجزیه و تحلیل ترافیک مبتنی بر نرم افزار، کنترل منطقی متمرکز ، بررسی کلی شبکه و به روز رسانی دینامیکی قوانین انتقال - شناسایی و واکنش به حملات شبکه را آسان میکند ، جداییِکنترل و دادهها فرصتهای حمله جدیدی را فراهم میکنند و بنابراین خود SDN ممکن است هدف برخی حملات قرار گیرد. بر طبق نظر Kreutz و همکاران. [8]، هفتبردار تهدید در SDN وجود دارد.سه تعداد از آنها به SDN اختصاص یافته و مربوط به کنترل کنندهها است ، رابط کاربری کنترل دادهها و رابط کاربری کنترل نرم افزار میباشند. سیستم تشخیص نفوذ شبکه - NIDS - یک شبکه را از حملات نرم افزارهای مخرب محافظت میکند. به طور سنتی، با توجه به استراتژیهای تشخیص حملات شبکه، دو نوع NIDS وجود دارد. اولین مورد، شناسایی مبتنی بر امضا، اطلاعات جدید را با پایگاه دانش نفوذهای شناخته شده مقایسه میکند.

علی رغم این واقعیت که این روش نمیتواند حملات جدید را تشخیص دهد، این روش محبوب ترین در سیستمهای تشخیص نفوذ تجاری است. دومین، تشخیص مبتنی بر ناهنجاری، دادههای جدید را با یک مدل رفتار عادی کاربر مقایسه میکند و انحراف معنی دار از این مدل را به عنوان یک ناهنجاری با استفاده استفاده از یادگیری ماشین مشخص میکند. در نتیجه، این روش میتواند حملات روز صفر را که تاکنون دیده نشده است شناسایی کند.رویکرد تشخیص مبتنی بر ناهنجاری معمولا با نظارت بر ترافیک مبتنی بر جریان در NIDSها ترکیب میشود. نظارت مبتنی بر جریان بر اساس اطلاعات موجود در هدر بسته است،

بنابراین NIDSهای مبتنی بر جریان باید مقادیر قابل توجهی از دادهها را در مقایسه با NIDSهای مبتنی بر بار در نظر بگیرند. یادگیری ماشین با موفقیت در بسیاری از زمینههای علوم رایانه مانند تشخیص چهره و تشخیص گفتار، اما نه در تشخیص نفوذ استفاده میشود. در [9]، Robin Sommer و Vern Paxson ذکر عوامل بسیاری را ذکر کرده اند که بر استفاده از یادگیری ماشین در تشخیص نفوذ شبکه تاثیر میگذارد.به تازگی، یادگیری عمیق کشف شده است و به موفقیتهای واقعی دست یافته است. تا کنون، یادگیری عمیق به طور گسترده ای در علوم رایانه برای تشخیص صدا، چهره و تصویر مورد استفاده قرار گرفته است. یادگیری عمیق میتواند به طور خودکار به دادهها همبستگی پیدا کند، بنابراین یک روش امیدوار کننده برای نسل بعدی تشخیص نفوذ است. یادگیری عمیق میتواند برای شناسایی موثر حملات روز صفر استفاده شود، بنابراین ما میتوانیم میزان تشخیص بالایی بدست آوریم.

بر اساس ماهیت جریان مبتنی برSDN ، ما یک سیستم تشخیص ناهنجاری مبتنی جریان را با استفاده از یاگیری عمیق پیشنهاد میکنیم. در این مقاله، یک شبکه عمیق پلکانی - DLN - 1 بکار گرفته میشود و از آن برای مدل NIDS در یک زمینه SDN استفاده میشود. ما مدل را با استفاده از مجموعه داده NSL-KDD آموزش میدهیم .[10] از طریق آزمایشات، یک پارامتر فوق العاده برای DLN پیدا میکنیم و میزان تشخیص و میزان هشدار اشتباه را تعیین میکنیم. این مدل بازده عملکردی را به دست میدهد که کاملا شبیه به استفاده از شش ویژگی اصلی شبکه است. ادامه مقاله به شرح زیر است: کارهای مرتبط در بخش 2 معرفی شده است. در بخش 3، مقدمهای مختصر برای یادگیری عمیق، مدل یادگیری عمیق و مجموعه داده NSL-KDD ارائه میکنیم. عملکرد مدل در بخش 4 تحلیل میشود. در نهایت، ما نتیجهگیری میکنیم و برخی از کارهای آینده را در بخش 5 ارائه میدهیم.

.2 کارهای پیشین

تشخیص نفوذ مبتنی بر جریان در حال حاضر به شدت مورد تحقیق قرار گرفته است. در [11]، نویسندگان پیشنهاد یک سیستم تشخیص ناهنجاری مبتنی بر جریان را بر اساس الگوریتم جستجوی چند لایه Perceptron و Gravitational Search ارائه داده اند. این سیستم میتواند جریانهای بیخطر و مخرب را با نرخ دقت بسیار بالا طبقه بندی کند. در [12]، نویسندگان یک NIDS را با استفاده از یک ماشین بردار پشتیبان - SVM - یک کلاسه برای تحلیل خود پیشنهاد کردند و به میزان هشدار نادرست و پایینی را رسیدند. در مقابل کارهای دیگر، سیستم به جای یک شبکه داده بیخطر، با شبکه داده مخرب آموزش داده شده است. مکانیزم تشخیص نفوذ در شبکههای سنتی به طور گسترده مورد مطالعه قرار گرفته و میتوان آن را در SDN اعمال کرد.

برای محافظت از شبکهOpenFlow ، بسیاری از الگوریتمهای تشخیص ناهنجاری نیز در محیط SDN پیاده سازی میشوند. با استفاده از قابلیت برنامه نویسیSDN ، نویسندگان [13] نشان میدهند که یک روتر شبکه با قابلیت برنامه نویسی میتواند پلت فرم و مکان ایده آل را در شبکه برای شناسایی مشکلات امنیتی در یک شبکه - SOHOکوچک / اداری - ارائه دهد. چهار الگوریتم ممتاز تشخیص ناهنجاری ترافیک - آستانه قدم زنی تصادفی مبتنی بر محدود کردن نرخ اعتبار - الگوریتم TRW-CB - ، محدود کردن سرعت، حداکثر تشخیص آنتروپی و NETAD - در یک زمینه SDN با استفاده از سوئیچهای سازگار با OpenFlow و یک کنترل کننده NOX پیاده سازی میشود. آزمایشات نشان میدهد که این الگوریتمها در شناسایی فعالیتهای مخرب در شبکه SOHO دقیقتر از ISP - فراهم کننده خدمات اینترنت - است و تشخیص دهنده ناهنجاری میتواند در نرخ خط بدون ارائه هرگونه هزینه اضافی برای ترافیک شبکه خانگی کار کند.

معماری SDNهدفِ بسیاری از انواع حملات است و آسیب پذیریهای بالقوه توزیع شده تکذیب سرویس Distributed Denial of Service - DDoS - در سراسر پلت فرم SDN وجود دارد. حملات DDoS تلاش برای عدم دسترسی یک ماشین یا منابع شبکه به کاربران خود است. حملات DDoS توسط دو یا چند نفر یا رباتها ارسال میشود. به عنوان مثال، یک مهاجم میتواند مزایای ویژگی SDN را برای انجام حملات DDoS علیه لایه کنترل، سطح لایه زیربنایی و لایه کاربردSDN ، به دست آورد. انجام حملات DDoS آسان است ، اما ایستادگی در برابر آن سخت . با توسعه اینترنت،