بخشی از مقاله
خلاصه
اخیرا روش های پردازش سیگنال به دلیل قابلیت تشخیص نفوذ ها ، در فناوری امنیت شبکه بسیار مورد توجه قرار گرفته است . در این مقاله، مکانیزمی جدید برای تشخیص ناهنجاری ترافیک شبکه بر اساس تبدیل تحلیلی موجک گسسته - ADWT - و تحلیل آماری مرتبه بالا ارائه می دهیم. به منظور توصیف اطلاعات ترافیک شبکه از مجموعه ای از مشخصه ها بر اساس معیار های متفاوت استفاده می کنیم. ما همچنین روش مان را با استفاده از مجموعه داده ی تشخیص نفوذ 1999 DARPA ارزیابی می کنیم. نتایج آزمون نشان می دهد که روش مطرح محدوده ی وسیعی از ناهنجاری ها را به درستی آشکار می سازد.
.1 مقدمه
تشخیص نفوذ و امنیت شبکه در جهان امروزی به مساله ای مهم تبدیل شده است. اینترنت، ظهور انواع مختلف شبکه های بی سیم، پویایی میزبان های شبکه همراه با آسیب پذیری نرم افزار و پروتکل های امروزی تاثیر عمده ای در تکامل حملات مبتنی بر شبکه دارد. نفوذ های شبکه در اشکال متفاوتی انجام شده است که شامل: ویروس، ارسال هرزنامه، کرم ها، بدافزار، تشدید امتیاز، ورود به سیستم های غیر مجاز، دسترسی به اطلاعات حساس، حمله علیه سرویس های آسیب پذیر، تزریق بسته های ناخواسته به شبکه های هدف. در نتیجه این محیط نا امن منجر به توسعه ی سیستم های آشکارساز نفوذ به شبکه - NIDS - می شود.
یک سیستم تشخیص نفوذ ابزاری نرم افزاریست که اطلاعات مبتنی بر میزبان یا مبتنی بر شبکه را به منظور شناسایی حملاتی گرفته و آن ها را تجزیه و تحلیل می کند، که تلاش می کنند تا با کلیّت، در دسترس بودن یا محرمانه بودن سیستم/ شبکه سازش کنند. در درجه ی اول، NIDS به تشخیص امضا/ سوء استفاده و تشخیص ناهنجاری دسته بندی می شود. آشکار سازی مبتنی بر امضاء، وابسته به یک بانک اطلاعاتی شامل مجموعه ای از امضاء های حمله ی از پیش تعریف شده می باشد.
با تحلیل بسته های جمع آوری شده و رد - اثر - مشهودِ به جا مانده در سیستم این حمله می تواند شناسایی شود. مزیت بزرگ این سیستم تشخیص این است که حملات شناخته شده می توانند به صورت قابل اعتمادی با یک نرخ مثبت کاذب کم آشکار شوند. اما، این - سیستم - به بروزرسانی های مکرر امضاء ها با حمله های بعدی نیازمند است. از جهت دیگر تشخیص سوء استفاده با مشکلاتی مواجه است که شامل : چگونگی شناسایی یک حمله که بسته های چندگانه تحت حوادث مجزای گوناگون را اندازه می گیرد، چگونگی تشخیص حملات جدید، می باشند.
روش تشخیص نا هنجاری به عنوان جایگزینی برای تشخیص نفوذ، معرفی شده است. ابتدا، نمایه های فعالیت عادی از طریق معیار های گوناگون ایجاد می شود، و سپس وقتی که هر رفتار سیستم از نمایه های پایه منحرف می شود، نفوذ آشکار خواهد شد. بعضی از مزیت های سیستم های تشخیص ناهنجاری شامل موارد زیر می باشد: قابلیت تشخیص حملات جدید، عدم قطعیت در مورد این که فعالیت حمله کننده می تواند بدون عملکرد آژیر باشد، قابلیت آشکار سازی حملات داخلی. اما، تشخیص ناهنجاری چندین زیان دارد:
ایجاد یک نمایه ی ترافیک عادی چالش بر انگیز بوده و می تواند زمان بر باشد، یک نمایه ی ترافیک عادی نامناسب می تواند موجب عملکرد ضعیف شود، مقدار بالایی هشدار های کذب وجود دارد که همراه شدنشان با هشدار هایی که حملات حقیقی دلیل آنهاست دشوار است، یک کاربر مخرب به تدریج می تواند ترافیک مخرب تزریق کند، به طوری که سیستم تشخیص ناهنجاری آن را به عنوان ترافیک عادی در نظر می گیرد.
از نظر محل های ترافیک، چهار وضعیت وجود دارد: نفوذ هست اما ناهنجار نیست - به عنوان مثال سیستم تشخیص به دروغ فقدان نفوذ را گزارش می کند - ، نفوذ نیست اما ناهنجار هست - به عنوان مثال سیستم تشخیص به دروغ نفوذ را گزارش می کند - ، نه نفوذ هست و نه ناهنجار - مثلا نفوذی گزارش نمی شود - و نفوذ یک ناهنجار - مثلا نفوذی گزارش می شود - .
در سال های اخیر به عنوان جایگزینی برای تکنیک های مرسوم شبکه در تشخیص ناهنجاری - مثل روش های مبتنی بر یادگیری ماشین، روش های مبتنی بر داده کاوی - ، چندین روش پردازش سیگنال کاربردهایی در NIDS یافته اند که شامل: آستانه تطبیقی، جمع انباشته [7]، [8]، تحلیل مولفه اصلی [9]، روش تحلیل آماری [10]، [11]، تحلیل پارامتر [12] Hurst می باشند.
ما در این مقاله روشی جدید برای تشخیص ناهنجاری شبکه بر اساس تبدیل تحلیلی موجک گسسته - ADWT - ارائه می کنیم، که شامل پنج جزء می باشد: تحلیل خصیصه، تبدیل موجک، تحلیل آماری و آستانه، تلفیق موجک و تشخیص ناهنجاری. در مرحله اول، بسته داده ی خام TCPDUMP مربوط به مجموعه داده ی 1999 DARPA ID به ثبت گردشِ شبکه بر اساس معیار های اساسی متفاوت که برای اندازه گیری رفتار کلی شبکه استفاده شده است، تبدیل می شود. سپس ما برای تحلیل آماری به وسیله ی یک پنجره ی کشویی، تبدیل موجک را به کار می گیریم.
پس از آن به طور انتخابی سیگنال را فقط از آن ضرایب موجکی که از آستانه ها در هر مقیاس پیش می افتند، بازسازی می کنیم. بنابراین سیگنال بازسازی شده می تواند از سیگنال اصلی در درجه ای بزرگتر متفاوت باشد. مرحله ی آخر تشخیص می باشد که در آن حملات و ناهنجاری ها با استفاده از آستانه ها بررسی می شوند. این آستانه ها از طریق پژوهش ترافیک های تاریخی معین می شوند. معماری کلی آن در شکل 1 نشان داده شده است.
شکل -1 مدل تشخیص ناهنجاری ترافیک شبکه باقی مقاله به این صورت می باشد. قسمت 2 استفاده از روش های تحلیل موجک برای تشخیص نفوذ را معرفی می کند. در قسمت ADWT 3و تبدیل معکوس تحلیلی موجک گسسته یِ [1] - IADWT - بهبود یافته ی آن را شرح می دهیم.
قسمت 4 روش ما برای تشخیص ناهنجاری را ارائه می دهد. در قسمت 5نتایج شبیه سازیِ روشمان را نشان می دهیم و در قسمت 6 نتیجه گیری این مقاله قرار دارد.
.2 شرح مقاله
روش های متکی بر تبدیل موجک اخیرا به طور وسیعی در NIDS استفاده شده اند. مشخصه ی تغییر- ناوردایی همراه با مشخصه های خوب فرکانسی- زمانی منجر به بهبود نتایج تشخیص می شود. مقالات [6-16] شامل نمونه های نوعی از کارها هستند.
در [6]، Barford و همکارانش از تجزیه و تحلیل حل چند منظوره برای ارزیابی سیگنال ترافیک که فقط در مقیاس های خاصی فیلتر شده، استفاده می کنند. یک الگوریتم انحراف برای شناسایی ناهنجاری ها - به عنوان مثال ازدحام فلاش، خاموشی، حملات DoSو غیره - توسط تنظیم یک آستانه برای سیگنالِ تشکیل شده از ضرایب موجک در سطوح متفاوت فرکانس ارائه شده است. در [13] ، چارچوبی برای تحلیل موجک زمان واقعی در ترافیک شبکه معرفی شده است.
نتایج ارزیابی نشان می دهند که موجک های Coiflet و Paul در تشخیص ناهنجاری ها در محیط های مشابه دارای مشخصه های بهتری می باشند. در [14]، Daniotti و همکارانش یک معماری آبشاری برای تشخیص ناهنجاری های مبتنی بر حجم ناشی از حملات DoS مطرح می کنند. این سیستم از دو سیستم متفاوت ساخته شده است – اولی مبتنی بر آستانه تطبیقی و جمع انباشته و دومی براساس تبدیل موجک پیوسته می باشد.
برای خطاب حل ضعیف در فرکانس متوسط- بالا در تجزیه و تحلیل حل چندگانه، Chang و همکارانش [15]، روشی جدید بر اساس تجزیه بسته موجک برای تشخیص ناهنجاری شبکه ارائه کردند، که می تواند پروسه ی تجزیه را به طور تطبیقی تنظیم کند . در [16]، Wei Lu و علی قربانی روشی جدید برای مدلسازی سیگنال شبکه جهتِ تشخیص ناهنجاری ها مطرح کردند.
رفتار ترافیک شبکه با مشخصه های متفاوت توصیف می شود. سپس، ترافیک عادی روزانه توسط مجموعه ای از ضرایب تخمین موجک با استفاده از یک مدل ARX نمایش داده می شود. خروجی مدل ترافیک عادی روزانه باقی مانده ی آن است که به عنوان یک سیگنال ورودی برای الگوریتم تشخیص پَرت استفاده شده است و نهایتا تصمیم گیری بر نفوذ ایجاد شده است.
.3 تحلیل موجک
تبدیل تحلیلی موجک گسسته - ADWT - اولین بار در [2]معرفی شد و به نسخه ی تک بعدیِ تبدیل موجک هایپرآنالیتیک - فراتر از حد تحلیلی - - HWT - اشاره دارد.
یک تبدیل موجک - WT - تک بعدی به تغییر حساس می باشد و اگر تغییری کوچک در سیگنال ورودی به وجود آید می تواند موجب تغییرات بزرگ در پراکندگی انرژی بین ضرایب DWT در مقیاس های متفاوت شود. حساسیت به تغییر DWT ناشی از نمونه بردارهای پایین که در محاسبات آن استفاده شده، می باشد. در [2, 8] تبدیل موجک گسسته نابود نشده - UDWT - ابداع شده است که یک WT بدون نمونه بردار های پایین می باشد. اگرچه UDWT حساس به تغییر می باشد، اما فراوانی 2 به توان J را دارد، که J نشان دهنده ی تعداد تکرارهای WT می باشد و پیاده سازی آن به تعداد زیادی از فیلتر های متفاوت نیازمند است.
Abry اولین بار نشان داد که قابلیت تغییر تقریبی برای DWTبامقدار کم و ثابتِ فراوانیِ تبدیل ممکن می باشد. او یک جفت موجک واقعی طراحی کرد که یکی تقریبا تبدیلِ Hilbert دیگری می باشد.
