بخشی از مقاله
خلاصه
با رشد فناوری اطلاعات، امنیت شبکه به عنوان یکی از مباحث مهم و چالش بسیار بزرگ مطرح است. سیستمهای تشخیص نفوذ، مولفه اصلی یک شبکه امن است. نفوذ به مجموعه اقدامات غیرقانونی که صحت و محرمانگی و یا دسترسی به یک منبع را به خطر میاندازد، اطلاق میگردد.
در این مقاله روشی مبتنی بر کاهش ویژگیها ارائه شده است که میتواند با استفاده از تنها 8 ویژگی از میان 41
25 mm ویژگی میزان طبقه بندی درست نمونهها را در مدت زمان کمی به مقدار قابل توجهی افزایش دهد . در روش ارائه شده در این مقاله دقت و سرعت به صورت موازی با هم بهینه میشوند که هر دو پارامتر دقت و سرعت مهم ترین پارمترها در بحث تشخیص نفوذ میباشند. همچنین در این مقاله برای ارزیابی سیستم ذکر شده از مجموعه دادهKDD CUP 99 که مجموعه داده استاندارد جهت آزمایش روشهای تشخیص نفوذ به شبکههای کامپیوتری میباشد جهت آموزش و آزمایش روش ارائه شده استفاده شده است.
.1 مقدمه
با روند رو به رشد استفاده از شبکههای کامپیوتری به خصوص اینترنت و مهارت رو به رشد کاربران و مهاجمان این شبکهها و وجود نقاط آسیب پذیری مختلف در نرم افزارها، ایمنسازی سیستمها و شبکههای کامپیوتری، نسبت به گذشته از اهمیت بیشتری برخوردار شده است.
وقتی یک سیستم کامپیوتری به یک شبکه متصل میشود، در معرض ریسک بالایی قرار میگیرد. ازجمله تهدیدهایی که برای یک سیستم کامپیوتری وجود دارند ویروسها و نفوذها هستند. ویروسها میتوانند به طور گسترده با نصب نرم افزار آنتی ویروس و بروز رسانی بطور منظم کنترل شوند.
هر دسترسی غیرمجاز به منابع یک کامپیوتر، نفوذ1 به یک کامپیوتر گفته میشود.[1] برای دفاع در مقابل این تهدیدها، تکنیکهای امنیتی بسیاری در دهههای گذشته مطالعه شدهاند از قبیل رمزنگاری2، دیواره آتش3، تشخیص نفوذ و ناهنجاری.4 از میان آنها تشخیص نفوذ در شبکه به عنوان محتملترین و امید بخش ترین روش برای دفاع در مقابل رفتار دینامیکی و پیچیده ملاحظه میشود
یک سیستم تشخیص نفوذ5، فعالیتهای یک محیط داده شده را مونیتور میکند و تصمیم میگیرد که، این فعالیتها را بر اساس، یکپارچگی، قابلیت اعتماد، دسترسی پذیری منابع اطلاعات، مخرب یا طبیعی هستند.
سیستم تشخیص نفوذ اطلاعاتی درباره سیستم مشاهده شده گردآوری میکند. این دادهی ممیزی جمعآوری شده توسط تشخیصدهنده پردازش می شود. تشخیص دهنده، اطلاعات غیرلازم را از دادهی ممیزی از بین میبرد و سپس تصمیمی، مبنی بر احتمال اینکه این فعالیت میتواند به عنوان یک نشانهی نفوذ تلقی شود را اتخاذ میکند
1-1 نفوذ
نفوذ مجموعه اقدامات غیرقانونی است که صحت، محرمانگی و یا دسترسی به یک منبع را به خطر میاندازد.[4] نفوذها به دسته های زیرتقسیم می شوند:
· ورودی غیرقانونی :ورود غیرقانونی هنگامی روی میدهد که یک بیگانه به شناسه کاربر و کلمه رمز معتبر دسترسی پیدا میکند.
· حملات ایفای نقش: حملات ایفای نقش هنگامی روی میدهند که نفوذی سیستم را متقاعد کندکه یک کاربر مجاز با امتیاز بالاست.
· زمینه مناسب کنترل امنیت: نفوذگر تلاش میکند تا جنبههای امنیتی سیستم از قبیل کلمات رمز را اصلاح کند.
· نشت: اطلاعات به خارج از سیستم انتقال داده شوند.
· جلوگیری از سرویس: منابع برای سایرکاربران غیرقابل دسترسی میشوند.
· استفاده خرابکارانه: این دسته از نفوذها شامل حملات متفاوتی از قبیل حذف فایلها، سوء استفاده از منابع و غیره هستند.
1-1-1 سیستم های تشخیص نفوذ
به منظور پیادهسازی روشهای تشخیص نفوذ، سیستمهای متعددی تحت عنوان سیستمهای تشخیص نفوذ - - IDS طراحی و ساخته شده اند. درحوزه امنیت کامپیوتر، سیستمهای تشخیص نفوذ نقش هشداردهنده را ایفا میکنند و هرزمان که امنیت سایت در معرض خطر قرار میگیرد، آن را اعلام مینمایند. نهاد دیگری که مسئول امنیتی سایت نامیده میشود، میتواند به این هشدارها پاسخ داده و احکام مناسب را انجام دهد. به طور کلی سه عملکرد اصلی سیستمهای تشخیص نفوذ عبارتند از:[5] نظارت و ارزیابی، کشف دانش و واکنش. در شکل 1 دیاگرامی از سیستمی که از هردو رویکرداستفاده می کند نشان داده شده است.
تشخیص دهنده ناهنجاری
- خط مشی ها تولید کننده گزارشها و اعلانها
شکل -1 ساختاریک سیستم تشخیص نفوذ
.2 کارهای گذشته
در مرجع [7] تشخیص نفوذ درسیستمهای کامپیوتری با استفاده از الگوریتم خوشه بندی k-means و طبقهبندی کننده های C4.5 ، Fuzzy Neural Network - FNN - و Support Vector Machine - SVM - استفاده شده است. در این مقاله برای طبقه بندی از روش فاز بندی سه مرحلهای استفاده شده است و این روش باعث افزایش زمان شده است.
بهبود تشخیص نفوذ با استفاده از تکنیکهای داده کاویC4.5 و ماشین بردار پشتیبان در مرجع [8] ارائه شده است. دراین روش از ترکیب C4.5 و ماشین بردار پشتیبان به منظور تشخیص نفوذ در شبکههای کامپیوتری استفاده شده است. در این مقاله میزان دقت به %96.8 افزایش یافته است. در مرجع [9] گروهی از الگوریتم های درخت تصمیم برای سیستم-های تشخیص نفوذ استفاده شده است.
در این مقاله از تمام 41 ویژگی استفاده شده است. در مرجع [10] تشخیص نفوذ در شبکه با استفاده از الگوریتم درخت تصمیم و الگوریتم خوشه بندی k-means استفاده شده است. این آزمایش برروی مجموعه داده KDD CUP99 آموزش و آزمایش شده است. و زمان تشخیص به دلیل اینکه از روشهای ترکیبی استفاده شده است افزایش یافته است. در مرجع [11] سیستم تشخیص نفوذی با استفاده از الگوریتم ماشین بردار پشتیبان و الگوریتم درخت تصمیم ارائه شده است. در این مقاله نیز از تمام ویژگیها برای تشخیص نفوذ استفاده شده است.
روشی از ترکیب الگوریتمهای بیز و درخت تصمیم برای تشخیص نفوذ در [12] ارائه شده است. دراین مقاله از مجموعه داده KDD CUP 99 برای آموزش و آزمایش استفاده شده است. از روشهای مختلف با تعداد ویژگیهای متفاوت استفاده شده است. روش ارائه شده در این مقاله از 17 ویژگی استفاده و توانسته دقت را به مقدار %99 افزایش دهد. در مرجع [13] الگوریتم های مختلف شبکه، مدل بیزین و ماشین بردار پشتیبان روی مجموعه داده KDD آزمایش شده است. الگوریتم هایی مانند Kernel Naïve Baysian، Waode، Aod، Libsv، W_svo، HNB و غیره که در نهایت الگوریتم HNB با دقت% 83.29 بهترین الگوریتم برای تشخیص نفوذ شناخته شده است
