بخشی از مقاله
چکیده
تاکنون سیستمهای مختلفی برای جلوگیری از حملات اینترنتی طراحی شده است. به خصوص، سیستمهای تشخیص نفوذ به شبکه مورد نظر کمک میکنند تا در برابر حملات خارجی مقاومت کند. به عبارتی، هدف طراحی سیستمهای تشخیص نفوذ این است که یک دیواره دفاعی برای رویارویی با حملات سیستمهای کامپیوتری در اینترنت ایجاد کنند. از این سیستمها میتوان برای شناسایی انواع مختلف ارتباطات مخرب شبکهها و نحوه کاربرد سیستمهای کامپیوتری استفاده کرد، حال آنکه دیواره آتش متداول نمیتواند این وظیفه را انجام دهد. تشخیص نفوذ بر این فرض استوار است که رفتار متجاوزان با رفتار یک کاربر قانونی متفاوت میباشد.
هدف غایی طراحی سیستم تشخیص نفوذ، دستیابی به بیشترین دقت ممکن در کار در دست اقدام است که به طور طبیعی به طراحی رویکردهای ترکیبی برای مسائلی که بناست حل شود، منجر میشود. ایده نهفته ورای طراحی یک دستهبند ترکیبی این است که با ترکیب چند تکنیک یادگیری ماشین بتوان عملکرد سیستم مربوطه را به میزان قابل توجهی افزایش داد. در این مقاله هدف ما تشخیص نفوذ در شبکه های کامپیوتری با استفاده از سیستم فازی عصبی است. برای بررسی عملکرد روش پیشنهادی ما، از دو روش دیگر که شامل شبکه عصبی چند لایه و ماشین بردار پشتیبان می باشد استفاده شده است. جامعه آماری استفاده شده در این مقاله مجموعه داده عمومی . ʼ99 می باشد. معیار های ارزیابی شامل نرخ تشخیص - DR - و نرخ مثبت کاذب - FPR - است. نتایج میزان عملکرد بهتر روش پیشنهادی را نسبت به دو روش دیگر نشان می دهد.
-1 مقدمه
امروزه اینترنت به عنوان یکی از اجزا مهم مدلهای کسب و کار مورد استفاده قرار گرفته است. در عملیات تجاری، هم شرکت و هم مشتریان از برنامههای کاربردی اینترنت نظیر وبسایت و پست الکترونیکی در فعالیتهای تجاری بهره میگیرند. از این رو، امنیت اطلاعاتی استفاده از اینترنت به عنوان یک رسانه گروهی باید با دقت مورد توجه قرار گیرد. تشخیص نفوذ، مسئله تحقیقاتی مهمی برای شبکههای تجاری و شخصی به شمار میرود. سیستمهای تشخیص نفوذ - IDS - به شبکه مورد نظر کمک میکنند تا در برابر حملات خارجی مقاومت کند.
به عبارتی، هدف طراحی سیستمهای تشخیص نفوذ این است که یک دیواره دفاعی برای رویارویی با حملات سیستمهای کامپیوتری در اینترنت ایجاد کنند. از این سیستمها میتوان برای شناسایی انواع مختلف ارتباطات مخرب شبکهها و نحوه کاربرد سیستمهای کامپیوتری استفاده کرد، حال آنکه دیواره آتش متداول نمیتواند این وظیفه را انجام دهد. تشخیص نفوذ بر این فرض استوار است که رفتار متجاوزان با رفتار یک کاربر قانونی متفاوت میباشد . - Stallings, 2006 -
به طور کلی، سیستمهای تشخیص نفوذ را میتوان به دو گروه تقسیم کرد: تشخیص نابهنجاری و سوء استفاده - امضا - بر مبنای رویکردهای تشخیصی آنها . - Anderson, 1995 - تشخیص نابهنجاری تلاش میکند مشخص نماید که آیا انحراف از الگوهای استفاده عادی طراحی شده را میتوان نفوذ تلقی کرد یا خیر؟ از طرفی، تشخیص سوء استفاده برای شناسایی موارد نفوذ، از الگوهای حملات شناخته شده یا نقاط ضعف سیستم استفاده مینماید.
در ابتدای این مقاله، تعدادی از سیستمهای تشخیص نابهنجاری بر مبنای بسیاری از تکنیکهای مختلف یادگیری ماشین معرفی شدهاند.مثلاً، در برخی تحقیقات از تکنیکهای یادگیری واحد نظیر الگوریتمهای ژنتیکی، شبکههای عصبی، ماشینهای بردار پشتیبانی و ... استفاده میشود. علی الخصوص، این تکنیکها به عنوان دستهبند طراحی شدهاند و برای دستهبندی یا تشخیص دسترسی عادی یا حملهای بودن دسترسی آتی به اینترنت بکار گرفته میشوند. با این حال، تاکنون چنین بررسی در حوزه تشخیص نفوذ اینگونه تکنیکهای مختلف یادگیری ماشین صورت نگرفته است. بنابراین در این بخش تعدادی از تحقیقات مرتبط انتشار یافته به طور اجمالی مورد مطالعه قرار گرفته است.
1؛1 تکنیکهای یادگیری ماشین
شناسایی الگو، اقدامی است که برای دریافت دادههای خام و فعالیت در گروه دادهها صورت میگیرد . - Mitchell, 1997 - روشهای یادگیری تحت نظارت و بدون نظارت برای حل مسائل مختلف شناسایی الگو مورد استفاده قرار میگیرد . - Theodoridis and Koutroumbas, 2006 - در دسته بندی با نظارت ما با یک کلکسیونی از نمونه های برچسب خورده مواجه هستیم. هدف برچسب زدن یک نمونه جدید می باشد که تا حال به سیستم معرفی نشده است. این روش بر مبنای استفاده از دادههای آموزشی برای ساخت یک تابع استوار است و در آن هر یک از دادههای آموزشی دارای یک جفت بردار ورودی و خروجی - یعنی برچسب دسته - میباشد.
وظیفه یادگیری - آموزش - عبارت است از محاسبه فاصله تقریبی بین نمونههای ورودی - خروجی جهت ساخت یک دستهبند - مدل - . این وظیفه همزمان با ساخت مدل میتواند نمونههای ناشناس را به برچسبهای دسته یاد گرفته دستهبندی کند. اما درمورد دسته بندی بدون نظارت هدف گروهبندی کلکسیونی از نمونه های برچسب نخورده به گروه های با معنا می باشد. برای بیان این معنا برچسب هایی را به هر گروه تخصیص می دهیم، با این تفاوت که منشا این برچسبها منحصراٌ از خود داده گرفته شده اند. برای حل مسئله تشخیص نفوذ از تکینکهای یادگیری ماشین - مانند k نزدیکترین همسایه، ماشینهای بردار پشتیبانی، شبکه عصبی مصنوعی، درختهای تصمیم، نگاشتهای خود سازمانده و ... - استفاده شده است.
1؛1؛k 1 نزدیک ترین همسایه
k نزدیکترین همسایه - k-NN - یکی از سادهترین و قدیمیترین تکنیکهای غیرپارامتری دستهبندی نمونهها است . - Manocha and Girolami, 2007 - این تکنیک، فاصله بین نقاط متفاوت بردارهای ورودی را محاسبه میکند و سپس نقطه فاقد برچسب را به دسته k نزدیکترین همسایههای آن اختصاص میدهد. بدین طریق، این تکنیک شامل مرحله آموزش مدل نمیشود، بلکه تنها به جستجوی نمونه بردارهای ورودی و دستهبندی نمونههای جدید میپردازد.
2؛1؛1 ماشینهای بردار پشتیبانی
ماشینهای بردار پشتیبانی با علامت اختصاری SVM ابتدا بردار ورودی را در ابعاد بزرگتری از فضای مختصات ترسیم میکند و سپس ابرصفحه جداکننده مناسب را در ابعاد وسیعتری از فضای مختصات بدست میآورد. علاوه بر این، مرز تصمیمگیری یعنی ابرصفحه جداکننده به جای کل نمونههای آموزشی به وسیله بردارهای پشتیبانی مشخص میشود و در نتیجه در مقابل دادههای خارج از محدوده بسیار مقاوم میباشد.
3؛1؛1 شبکه های عصبی مصنوعی
شبکه عصبی، واحدهای پردازش اطلاعاتی هستند که نورونهای مغز انسان را شبیهسازی میکنند . - Haykin, 1999 - پرسپترون چند لایه - MLP - ، معماری شبکه عصبی است که به طور گسترده در بسیاری از مسائل شناسایی الگو بکار گرفته میشود. شبکه پرسپترون چندلایه، از یک لایه ورودی شامل مجموعهای از گرههای حسی به عنوان گرههای ورودی، یک یا چند لایه مخفی گرههای محاسباتی و همچنین یک لایه خروجی از گرههای محاسباتی تشکیل میشود.
هر اتصال میانی با وزن اسکالر خود که طی فاز آموزش تعدیل میشود، مرتبط بوده است. علاوه بر این، الگوریتم یادگیری پس انتشار که شبکههای عصبی پس انتشار نیز بدان اطلاق میشود، معمولاً برای آموزش یک پرسپترون چند لایه مورد استفاده قرار میگیرد. قبل از هر چیز، وزنهای تصادفی در آغاز آموزش تعیین میشود. سپس، الگوریتم مذکور تنظیم وزن را با هدف تعیین اثربخشی بالای هر بازنمایی واحد مخفی در کمینهسازی خطای دستهبندی نادرست انجام میدهد.
4؛1؛1 نگاشت های خود سازمانده
نگاشت خود سازمانده یا SOM به وسیله یک الگوریتم یادگیری رقابتی و فاقد نظارت آموزش داده میشود که به این فرآیند خودسازماندهی میگویند . - Kohonen, 1982 - هدف نگاشت خود سازمانده، کاهش بعد مجازیسازی دادهها است. به